Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.43 Sichere Konfiguration der TCP/IP-Netzdienste unter Windows NT - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.43 Sichere Konfiguration der TCP/IP-Netzdienste unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

TCP/IP

Bei der Installation des Protokolls TCP/IP werden dessen Eigenschaften mit der Systemsteuerungsoption "Netzwerk" festgelegt. Dabei ist zu beachten, dass, sofern der betreffende Rechner über mehr als eine Netzkarte verfügt und/oder Fernzugriff über RAS (Remote Access Server, siehe M 5.41 Sichere Konfiguration des Fernzugriffs unter Windows NT) installiert ist, das Routing zwischen diesen Karten bzw. zwischen dem Fernzugriffsinterface und der Netzkarte über die Registerkarte "Routing", Option "IP-Forwarding aktivieren" eingeschaltet werden kann. Diese Option sollte bei Rechnern, die eine Verbindung zu einem externen Netz, etwa dem Internet, haben, in der Regel nicht aktiviert werden, da sie dann externen Rechnern transparent Zugriff auf das lokale Netz gewähren.

In der Version 4.0 lässt sich in begrenztem Maße auch eine Filterung des Datenverkehrs über TCP/IP erreichen. Dazu ist auf der Registerkarte "IP-Adressen" die Option "Erweitert" zu wählen und in dem dann dargestellten Fenster die Option "Sicherheit aktivieren" zu wählen. Mit der Option "Konfigurieren" lassen sich dann die für die einzelnen Netzkarten zuzulassenden bzw. zu sperrenden TCP- und UDP-Anschlüsse (Ports) und IP-Protokolle wählen. Die hier einzutragenden Werte sollten unter Berücksichtigung der notwendigen Funktionalität und der gegebenen Sicherheitsanforderungen gewählt werden. Für einen Rechner mit externen Verbindungen sollte dabei ein Sicherheitskonzept für die Nutzung der Internet-Dienste vorhanden sein. Hierzu sollten ähnliche Überlegungen wie bei der Installation einer Firewall angestellt werden (siehe Baustein B 3.301 Sicherheitsgateway (Firewall), insbesondere M 2.76 Auswahl und Einrichtung geeigneter Filterregeln).

FTP (File Transfer Protocol)

Ein FTP-Server wird unter Version 3.51 während der Installation von TCP/IP eingerichtet; in der Version 4.0 kann der FTP-Server als Teil der Installation der Peer-Web-Dienste installiert werden. Wird der FTP-Serverdienst auf einem Windows NT System ausgeführt, können andere IT-Systeme über das Dienstprogramm FTP als Clients den Anschluss zu diesem Windows NT System herstellen und Dateien übertragen. Benutzer, die eine Verbindung zum FTP-Serverdienst herstellen, werden über ihr Benutzerkonto unter Windows NT authentisiert und erhalten je nach ihrem Benutzerprofil Zugriff. Aus diesem Grund ist es erforderlich, den FTP-Serverdienst auf einer NTFS-Partition zu installieren, damit die Dateien und Verzeichnisse, die über FTP zugänglich gemacht werden, geschützt werden können.

Nach Installation des FTP-Serverdienstes muss dieser Dienst konfiguriert werden, bevor damit gearbeitet werden kann. Bei der Konfiguration führen die Einstellungen zu einer der folgenden Situationen:

Hinweis: FTP überträgt standardmäßig die Benutzerkennwörter unverschlüsselt über das Netz. Ein Benutzer mit einem Netzanalyseprogramm kann daher die Benutzerkennwörter für Fernkonten während der FTP-Authentisierung herausfinden.

Ob anonyme FTP-Verbindungen zugelassen werden sollten, hängt von verschiedenen Faktoren ab:

Für anonyme Verbindungen muss der Benutzername "Anonymous" eingegeben werden, ein Passwort wird nicht benötigt, aber der Benutzer wird aufgefordert, seine E-Mail-Adresse einzugeben. Unter Windows NT muss für anonyme Verbindungen ein lokales Benutzerkonto eingerichtet werden, standardmäßig ist dies "Gast". Sobald über eine anonyme FTP-Verbindung eine Datenübertragung erfolgt, überprüft Windows NT den in diesem Dialogfenster zugewiesenen Benutzernamen und stellt anhand dieses Namens fest, welche Dateizugriffe zulässig sind.

Die für anonyme Verbindungen verwendete Benutzer-Kennung sollte Mitglied der Gruppe "Gäste" und auf keinen Fall Mitglied der Gruppe "Benutzer" sein, da im zweiten Fall leicht zu umfangreiche Zugriffsmöglichkeiten bestehen können.

Bei der Erstinstallation des FTP-Serverdienstes müssen zusätzlich die Zugriffsrechte dieses Dienstes konfiguriert werden. Dabei sind die Laufwerke bzw. Partitionen auszuwählen, deren Zugriffsrechte konfiguriert werden sollen. Je nach gewünschter Sicherheit für die ausgewählte Partition wird der Lesezugriff oder Schreibzugriff oder beide aktiviert. Die so vergebenen Berechtigungen gelten auf FAT-Partitionen und HPFS-Partitionen für alle Dateien der gesamten Partition. Auf NTFS-Partitionen kann mit Hilfe dieser Einstellung der Lese- oder Schreibzugriff (oder beides) für die gesamte Partition gesperrt werden.

Alle so festgelegten Einschränkungen gelten zusätzlich zu den Sicherheitsmaßnahmen, die unter Umständen einen Teil des Dateisystems bilden. Das heißt, dass ein Administrator über dieses Dialogfeld die Berechtigungen für bestimmte Datenträger entfernen, aber über die im Dateisystem festgehaltenen Berechtigungen hinaus keine weiteren erteilen kann. Wenn z. B. für eine Partition nur Lesezugriff erteilt wurde, kann über FTP niemand auf diese Partition schreiben, unabhängig davon, welche Berechtigungen für FTP festgelegt wurden.

Es besteht die Möglichkeit, eingehende FTP-Verbindungen im System-Ereignisprotokoll festzuhalten, indem für Version 3.51 von Windows NT die Werte für LogAnonymous und LogNonAnonymous im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ftpsvc\ Parameters auf 1 gesetzt werden. Diese Werte sind standardmäßig nicht in der Registrierung vorgesehen. Damit eingehende Verbindungen protokolliert werden, müssen die Werte neu eingetragen werden. Es kann angegeben werden, ob sowohl für anonyme als auch für nicht-anonyme Benutzer, die eine Verbindung zum FTP-Server herstellen, Einträge in das Ereignisprotokoll vorgenommen werden sollen.

In Version 4.0 von Windows NT können die entsprechenden Einstellungen für die Sicherheit des FTP-Serverdienstes mit Hilfe des Internet Service Managers vorgenommen werden; direkte Änderungen der Registrierung sind hier nicht mehr erforderlich.

Telnet

Windows NT stellt selbst keinen Telnet-Server zur Verfügung; dieses System kann nur als Telnet-Client arbeiten. Der Telnet-Client wird zusammen mit TCP/IP installiert. Falls ein Telnet-Server benötigt wird, kann der als Bestandteil des Windows NT Resource Kits Version 4.0 verfügbare Telnet-Dämon bzw. ein Produkt eines Fremdherstellers oder Shareware eingesetzt werden.

Hinweis: Da Telnet beim Logon die Benutzer-Passwörter im Klartext überträgt, sollte die Installation und Nutzung von Telnet nur dann erlaubt werden, wenn das Rechnernetz zuverlässig gegen Abhören geschützt ist. Nach Möglichkeit sollte deshalb auf die Verwendung von Telnet grundsätzlich verzichtet werden.

NFS (Network File System)

Windows NT stellt selbst weder einen NFS-Client noch einen NFS-Server zur Verfügung. Sofern NFS genutzt werden soll, müssen Produkte von Drittherstellern eingesetzt werden. Zur Konfiguration dieser Produkte können keine allgemeinen Angaben gemacht werden, doch sollten, soweit dies unterstützt wird, die entsprechenden Vorgaben für die Konfiguration von NFS unter dem Betriebssystem Unix umgesetzt werden.

Ergänzende Kontrollfragen: