M 5.89 Konfiguration des sicheren Kanals unter Windows 2000/XP
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Zwischen Rechnern einer Windows 2000 Domäne müssen administrative Daten ausgetauscht werden. So tauschen beispielsweise Domänen-Controller einer Domäne Verwaltungsdaten aus. Generell werden dabei sensitive Daten transportiert und müssen daher abgesichert übertragen werden. Schon unter Windows NT stand dafür der so genannte Sichere Kanal (englisch Secure Channel) zur Verfügung. Auch unter Windows 2000/XP wird dieser Mechanismus genutzt und muss entsprechend den Sicherheitsanforderungen und den lokalen Gegebenheiten konfiguriert werden. Hierbei werden als Sicherheitsmechanismen die Authentisierung der beiden Kommunikationspartner, Verschlüsselung zur Wahrung der Vertraulichkeit und Signaturen zur Absicherung der Integrität eingesetzt.
Die Konfiguration des sicheren Kanals erfolgt über Gruppenrichtlinien. Bei deren Konfiguration ist Folgendes zu berücksichtigen:
- Die gegenseitige Authentisierung ist immer gewährleistet, Verschlüsselung und Signatur können jedoch unabhängig voneinander gefordert werden. Unterstützt der Kommunikationspartner die geforderte Absicherung nicht, wird diese nicht eingesetzt. Die Kommunikation erfolgt dann ungesichert.
- Verschlüsselung oder Signatur können als notwendige Voraussetzung für die Kommunikationsaufnahme spezifiziert werden. Unterstützt der Kommunikationspartner die Absicherung nicht, wird keine Kommunikation aufgebaut. Dies kann z. B. zur Folge haben, dass sich Clients nicht an einer Domäne anmelden können. Diese Option sollte nur aktiviert werden, wenn alle Rechner einer Domäne und alle Rechner aller vertrauten Domänen das Verschlüsseln und Signieren unterstützen.
- Die Stärke des zur Verschlüsselung erzeugten Sitzungsschlüssels lässt sich vom Windows NT Niveau auf das Windows 2000 Niveau erhöhen. Von dieser Option darf jedoch nur Gebrauch gemacht werden, wenn alle Rechner einer Domäne und alle Rechner aller vertrauten Domänen ausschließlich unter Windows 2000/XP betrieben werden. Ist sie aktiviert, können sich Rechner, auf denen andere Betriebssysteme installiert sind, nicht mehr an der Domäne anmelden.
Die für die Konfiguration relevanten Gruppenrichtlinienparameter sind:
- Secure Channel: Digitally encrypt secure channel data (when possible)
- Secure Channel: Digitally sign secure channel data (when possible)
- Secure Channel: Digitally encrypt or sign secure channel data (always)
- Secure Channel: Require strong (Windows 2000 or later) session key
Diese Parameter finden sich unter Computer Settings/Windows Settings/ Security Settings/Local Policies/Security Options.
Wenn sich neben Rechnern mit dem Betriebssystem Windows 2000/XP auch Rechner mit anderen Betriebssystemen im Netz befinden, sollten nur die beiden ersten Optionen aktiviert werden. Verfügen hingegen alle Rechner im Netz über Windows 2000/XP, so sollten alle Optionen aktiviert werden.