Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.81 Unsachgemäßer Einsatz von Sicherheitsvorlagen für Windows Server 2003 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.81 Unsachgemäßer Einsatz von Sicherheitsvorlagen für Windows Server 2003

Windows Server 2003 ermöglicht die Übernahme von Einstellungen aus Vorlagen direkt in die Systemkonfiguration. Dafür existieren drei Vorlagentypen:

Alle genannten Typen werden nachfolgend Sicherheitsvorlagen genannt. Sie verändern die Systemkonfiguration, sobald sie angewendet werden.

Wenn Sicherheitsvorlagen auf einem Server eingespielt und aktiviert werden, dann besteht die Gefahr, dass bestimmte Funktionen oder der ganze Server nicht mehr verfügbar sind. Werden Sie mit Hilfe von Gruppenrichtlinien oder Skripten automatisch auf mehrere Server ausgerollt, kann der Betrieb im betrachteten IT-Verbund gestört werden und sogar vollständig ausfallen.

Durch unsachgemäßen Umgang mit Sicherheitsvorlagen ergibt sich daher ein hohes Gefährdungspotential.

Mögliche Gefährdungen können ihre Ursache bereits in einem fehlerhaften Verhalten bei der Erstellung von Sicherheitsvorlagen haben. Der Erstellung geht meist die Analyse von Anforderungen voraus. Anschließend wird ein Referenzsystem manuell vom Administrator oder automatisch durch den SCW analysiert. Die Analyseprozesse umfassen viele Komponenten des Servers und betreffen Einstellungen, die tief in das Betriebssystem eingreifen. Die Analyseprozesse können unvollständig bleiben oder unbemerkt aus technischen Gründen fehlschlagen. Die zugrunde liegenden Sicherheitsdatenbanken und Sicherheitskataloge können korrupt oder nicht aktuell sein. Außerdem können Programme von Drittherstellern oder eine spezielle Systemkonfiguration unvorhergesehenen Einfluss auf den Analysevorgang haben.

Der SCW kann Sicherheitsvorlagen des SCE umwandeln und in seine Sicherheitsrichtlinien-Dateien mit einbinden. Hieraus können sich Konflikte von bestimmten Parametern ergeben. Sicherheitsvorlagen insgesamt können zwar von den Verteilungsmechanismen von Active Directory und Gruppenrichtlinien profitieren, allerdings müssen dazu alle Vorlagentypen in Gruppenrichtlinienobjekte umgewandelt oder - im Falle von .pol-Dateien aus Windows NT 4.0 - migriert werden. Dabei können ebenfalls Konflikte oder Kompatibilitätsprobleme auftreten.

Der Ausroll-Vorgang von Sicherheitsvorlagen auf einen Server kann fehlschlagen, wenn der Server nicht den Voraussetzungen für die jeweilige Vorlage entspricht. Alte Applikationen, die nicht für Windows 2000/2003 entwickelt wurden, führen häufig zu unerwarteten Effekten. Außerdem

können Berechtigungseinstellungen, die in der Vorlage auf Verweigern gesetzt sind, unerwartetes Verhalten verursachen, das sehr schwer zu beheben ist.

Bei allen beschriebenen Punkten besteht die Gefahr, dass eine Vorlage nicht die geplante Wirkung erzielt und das System in einen unvorhergesehenen Zustand versetzt wird.

Die Gefahren verschärfen sich erheblich, wenn beim Entwickeln und Ausrollen von Sicherheitsvorlagen auf Tests verzichtet wird oder wenn die im Test verwendeten Referenzsysteme nicht repräsentativ sind.

Schließlich kann auch eine unzureichende technische und organisatorische Durchsetzung und Kontrolle der Verteilungsmechanismen von Sicherheitsvorlagen den IT-Verbund gefährden. Wenn Ausrollvorgänge unbemerkt fehlschlagen, ergeben sich Inkonsistenzen zwischen Servern. Die erwartete Konfiguration und somit die erwartete Sicherheit ist nicht flächendeckend gegeben. Beim Entwickeln und inkrementellen Ausrollen weiterer Vorlagen entsprechen einige Zielsysteme dann auch nicht mehr den erwarteten Voraussetzungen. Dieser Zusammenhang wird auch als fehlende Richtlinien-Konformitätbezeichnet.

Sicherheitsvorlagen aus Windows NT 4.0 (.pol-Dateien) bergen verstärkt das Risiko von Konformitätsproblemen und Inkompatibilitäten mit anderen Vorlagentypen. Für .pol-Dateien werden in Windows Server 2003 keine Werkzeuge mehr mitgeliefert und es gibt keine Herstellerunterstützung.