M 4.137 Sichere Konfiguration von Windows 2000
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Nach der Installation von Windows 2000 Rechnern erfolgt deren Konfiguration. Die jeweils vorzunehmenden Einstellungen hängen dabei wesentlich vom Verwendungszweck ab. Grob kann bei Windows 2000 unterschieden werden zwischen der Verwendung als
- Workstation oder Arbeitsplatzrechner,
- Server (Dateiserver, Applikationsserver, Dienstserver) oder
- Domänen-Controller.
Dabei kommen jeweils die entsprechenden Windows 2000 Versionen (Professional, Server, Advanced Server, Datacenter Server) zum Einsatz.
Für die sichere Konfiguration ist jeweils zu beachten, dass neben der reinen Betriebssystemkonfiguration, die im Wesentlichen über Gruppenrichtlinien erfolgen kann, auch die sichere Konfiguration einzelner Dienste notwendig ist. Dies trifft insbesondere auf die Server-Versionen von Windows 2000 zu.
Folgende Punkte sind für die sichere Grundkonfiguration eines Windows 2000 Systems zu beachten:
- Die Sicherheitseinstellungen sind gemäß der festgelegten Windows 2000 Sicherheitsrichtlinie und der Planung der Windows 2000 Gruppenrichtlinien umzusetzen (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows).
- Die Anmeldeprotokollierung sollte aktiviert sein (siehe auch M 4.148 Überwachung eines Windows 2000/XP Systems).
- Für Windows 2000 Professional (Arbeitsplatzrechner) darf der Autologon-Mechanismus nicht genutzt werden.
- Eine ausreichende Passwortqualität muss sichergestellt sein. Dies gilt insbesondere dann, wenn die Dateiverschlüsselung mit EFS (siehe M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP) genutzt wird. Die Benutzer sollten dementsprechend geschult werden.
- Für jeden Benutzer muss ein eigenes Benutzerkonto eingerichtet werden. Gemeinsam genutzte Konten sind abzulehnen, da in diesem Fall die Verantwortlichkeit nicht eindeutig zuweisbar ist.
- Das Verwaltungskonzept (siehe auch M 2.227 Planung des Windows 2000 Einsatzes) sollte eine strikte Trennung von Benutzer- und Administratorkonten vorsehen. Administrative Tätigkeiten sollten nur unter Administratorkonten ausgeführt werden. Umgekehrt sollten unter Administratorkonten keine normalen Benutzertätigkeiten durchgeführt werden. Windows 2000 bietet hier zur Unterstützung den run-as-Mechanismus an. Damit können Personen mit administrativen Befugnissen unter normalen Benutzerkonten angemeldet sein und für administrative Tätigkeiten Prozesse unter einem Administratorkonto starten, ohne sich vom System abmelden zu müssen.
- Das Gast-Konto sollte nicht genutzt und daher möglichst auch nicht aktiviert werden. Das Umbenennen des Gast-Kontos ist möglich, bietet jedoch keinen wirklichen Schutz, da das Gast-Konto beispielsweise über die Security-ID (SID) des Kontos identifiziert werden kann.
- Konten sollten nach einer vorgegebenen Anzahl von Passwortfehleingaben automatisch gesperrt werden. Die dann notwendige Freischaltung sollte nur durch einen befugten Administrator erfolgen (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows).
- Sämtliche Verwaltungsaktivitäten an Benutzerkonten sollten protokolliert werden (siehe auch M 4.148 Überwachung eines Windows 2000/XP Systems).
- Die im Rahmen der Windows 2000 Planung festgelegten Gruppen, die sich an einem Rechner lokal oder über das Netz anmelden dürfen, müssen konfiguriert werden.
- Für alle Rechner muss ein passwortgeschützter Bildschirmschoner aktiviert sein, der nach einem vorgegebenen Zeitintervall automatisch startet.
- Ist die abgesicherte Kommunikation zwischen Windows 2000 Rechnern gewünscht oder notwendig, so kann die Verschlüsselung mittels IPSec erfolgen (siehe M 5.90 Einsatz von IPSec unter Windows 2000/XP).
In Abhängigkeit vom Verwendungszweck sind außerdem folgende Aspekte jeweils zu berücksichtigen:
- Arbeitsplatzrechner: Die Sicherheit eines Arbeitsplatzrechners hängt im Wesentlichen davon ab, ob ein Benutzer administrativ auf den Rechner einwirken kann, welche Funktionen dem Benutzer verfügbar gemacht werden und ob der Benutzer die ihm zur Verfügung gestellten Sicherheitsmechanismen korrekt nutzt. Detaillierte Maßnahmen sind im Baustein B 3.209 Client unter Windows XP sowie in M 4.150 Konfiguration von Windows 2000 als Workstation und M 3.28 Schulung zu Windows 2000/XP Sicherheitsmechanismen für Benutzer beschrieben. Für die Verwendung als Laptop ist außerdem die Maßnahme M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP relevant.
- Server: Die Sicherheit eines Servers hängt im Wesentlichen davon ab, ob die von ihm angebotenen Dienste sicher konfiguriert wurden. Dies muss durch eine sichere Grundkonfiguration des Betriebssystems unterstützt werden. Detaillierte Empfehlungen dazu finden sich in M 4.139 Konfiguration von Windows 2000 als Server, sowie in der Maßnahme M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste und den dort referenzierten Maßnahmen.
- Domänen-Controller: Auf Domänen-Controllern werden im Active Directory wichtige Systemdaten gehalten. Diese müssen besonders geschützt werden. Die für Domänen-Controller spezifischen Maßnahmen sind in M 4.138 Konfiguration von Windows Server als Domänen-Controller zusammengefasst. Da einige wichtige Windows Dienste auch auf Domänen-Controllern ablaufen können oder müssen, findet auch die Maßnahme M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste Anwendung.
Windows 2000 erlaubt es, Netzfreigaben für jeden Rechner, d. h. für Arbeitsplatzrechner, Server oder Domänen Controller, zu konfigurieren. Netzfreigaben können unter Sicherheitsgesichtspunkten problematisch sein. Freigaben auf Arbeitsplatzrechnern sollten möglichst vermieden werden, da ein Netzzugriff auf diese in der Regel nicht sinnvoll ist (siehe auch M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz). Ausnahmen sollten daher begründet und dokumentiert werden. Für Netzfreigaben auf Servern (z. B. Dateiserver, Druckserver) gilt, dass die Freigaben durch Zugriffsrechte zu schützen sind, so dass diese nur den autorisierten Benutzergruppen zur Verfügung stehen. Die Zugriffsrechte auf die durch die Freigaben zur Verfügung gestellten Ressourcen (z. B. Dateien und Verzeichnisse) sind durch restriktive Zugriffsrechte zu schützen. Netzfreigaben auf Domänen-Controller stellen u. U. eine besondere Gefahr dar, da die Daten auf Domänen-Controllern besonders geschützt werden müssen. Auch hier sind Freigaben zu begründen und zu dokumentieren.
Generell sollte für jede Freigabe eine Risikoabschätzung erfolgen. Die Sicherheit der durch eine Netzfreigabe angebotenen Ressourcen hängt vor allem von den eingestellten Zugriffsrechten ab. Diese können unter Windows 2000 feingranular vergeben werden. Welche Zugriffsrechte zu verwenden sind, kann nur im Einzelfall bestimmt werden. Generell gilt jedoch, dass die Zugriffsrechte so restriktiv wie möglich vergeben werden sollten. Spezielle Hinweise zum Umgang mit Dateizugriffsrechten finden sich auch in M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP .
Unter Windows 2000 wird standardmäßig Kerberos als Authentisierungsmechanismus eingesetzt. Da die Systemsicherheit auch von der korrekten und zuverlässigen Authentisierung abhängt, kommt den Komponenten von Kerberos eine wichtige Rolle zu. Die Windows 2000 Komponenten von Kerberos benötigen keine umfangreiche Konfiguration und stellen nur wenige Konfigurationsparameter bereit. Diese können über Gruppenrichtlinien angepasst werden. Es existieren folgende Konfigurationsmöglichkeiten:
Computer Richtlinien / Kontorichtlinien / Kerberos Richtlinien
|
|
---|---|
Zugriffsbeschränkungen durchsetzen | Ist diese Einstellung aktiviert, überprüft der Kerberos KDC-Server (Key Distribution Center), ob der Benutzer die notwendigen Benutzerrechte (z. B. Recht zum Anmelden über das Netz) zum Zugriff auf den angeforderten Dienst besitzt, bevor das Ticket ausgestellt wird. |
Max. Gültigkeitsdauer des Benutzertickets | Diese Einstellung bestimmt die maximale Gültigkeit eines Benutzertickets. Ist ein Ticket abgelaufen, so muss es erneuert werden (s. u.). |
Max. Gültigkeitsdauer des Diensttickets | Nach Ablauf dieser Zeitspanne kann das Ticket nicht mehr zur Authentisierung beim Dienst genutzt werden. Einmal aufgebaute Dienstverbindungen werden jedoch nicht abgebrochen, da die Authentisierung innerhalb der Gültigkeitsdauer erfolgte. |
Max. Toleranz für die Synchronisation des Computertakts | Kerberos Tickets enthalten Zeitstempel (Ausstellungszeit, Gültigkeitsdauer). Damit die Authentisierung mittels "alter" Tickets ausgeschlossen ist, müssen alle Rechneruhren möglichst synchron laufen, was in einem Windows 2000 Netz automatisch durch den integrierten Zeitdienst gewährleistet wird. Die hier angegebene Zeitspanne gibt an, innerhalb welcher Toleranz Zeiten auf verschiedenen Rechnern als "gleich" angesehen werden. |
Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann | Gibt den Zeitraum an, nach der die Verlängerung eines Benutzertickets nicht mehr möglich ist. Ist diese Zeitspanne für ein Benutzerticket abgelaufen, so muss sich der Benutzer erneut gegenüber dem Kerberos-Server authentisieren, damit ein neues Benutzerticket ausgestellt werden kann. Die Komponenten von Windows führen diesen Vorgang transparent für den Benutzer durch, sodass keine neue Passworteingabe notwendig ist. |
Tabelle: Computer Richtlinien / Kontorichtlinien / Kerberos Richtlinien
Bei der Konfiguration der Parameter über eine Gruppenrichtlinie (GPO) ist Folgendes zusätzlich zu beachten:
- Die Parameter sollten im Probebetrieb an die lokalen Gegebenheiten angepasst werden.
- Die GPO-Einstellungen werden nur wirksam, wenn sie zu einem GPO-Objekt gehören, das mit einem Domänen-Objekt verbunden ist.
- Für Stand-alone-Rechner wird Kerberos als Authentisierungsverfahren zur Anmeldung an lokale Benutzerkonten nicht genutzt.
Neben den hier angesprochenen Windows 2000 spezifischen Maßnahmen muss generell für jeden Rechner bzw. für jede Gruppe von Rechnern eine Schutzbedarfsfeststellung erfolgen (siehe IT-Grundschutz-Vorgehensweise), die die speziellen Risiken, z. B. durch installierte Software oder Einsatzszenarien, berücksichtigt. Zusätzlich sollten auch die generellen Maßnahmen Anwendung finden, wie sie in den übrigen relevanten Bausteinen der IT-Grundschutz-Kataloge beschrieben sind.
Ergänzende Kontrollfragen:
- Sind alle Rechner gemäß der ihnen zugedachten Rolle konfiguriert?
- Werden die geplanten Protokolleinstellungen umgesetzt?
- Sind eventuell notwendige Änderungen in den Kerberos-Parametern umgesetzt und getestet?