M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Das Festlegen einer Sicherheitsrichtlinie für Windows 2000 ist eine der organisatorischen Hauptaufgaben bei der Windows 2000 Planung. Durch die Sicherheitsrichtlinie wird festgelegt, welche Sicherheitsbestimmungen in einem Windows 2000 System gelten sollen und bei der Windows 2000 Installation umgesetzt werden müssen.
Durch die Windows 2000 Sicherheitsrichtlinie werden sämtliche sicherheitsbezogenen Themenbereiche eines Windows 2000 Systems geregelt. Die folgende Liste gibt einen groben Überblick über die abzudeckenden Bereiche. Die Liste muss je nach Unternehmen und Windows 2000 Einsatzszenarien entsprechend angepasst, ausgestaltet und erweitert werden.
Eine Windows 2000 Sicherheitsrichtlinie sollte für folgende Windows 2000 spezifischen Bereiche Regelungen treffen:
Allgemein:
- Wie sollen Windows 2000 Rechner physikalisch abgesichert werden?
- Welche Windows 2000 Komponenten, z. B. RAS, IIS, sollen genutzt werden?
- Welcher Benutzer darf welche Rechte ausüben?
- Welcher Administrator darf welche Rechte ausüben?
- Welche Datenkommunikation ist abgesichert abzuwickeln, also wo muss Vertraulichkeit und Integrität sichergestellt sein?
- Wo ist Authentikation erforderlich? Welche Authentisierungsverfahren sollen gewählt werden?
Active Directory (AD):
- Welche Rechner sind Domänen-Controller und halten eine AD Kopie?
- Wer hat welchen Zugriff auf das AD?
- Wer darf welche administrativen Aufgaben auf Objekten im AD ausführen?
- Welche Domänenstruktur (Domäne, Baum, Wald) soll gewählt werden?
- Welche Vertrauensstellungen zwischen Domänen dürfen bzw. müssen existieren?
- Sollen Berechtigungen domänenübergreifend vergeben werden?
DNS/DHCP/WINS:
- Welche DNS-Server sollen Daten miteinander austauschen?
- Welcher Server ist für welche DNS-Zone verantwortlich?
- Welche Rechner sollen DHCP verwenden dürfen?
- Dürfen DHCP-Clients eigenständig DNS-Updates machen?
- Soll neben DNS auch WINS weiter betrieben werden?
- Wer verwaltet DNS, DHCP und WINS?
Kerberos:
- Welche Kerberos-Parameter sind zu verwenden?
- Wer darf Kerberos-Einstellungen ändern?
Dateisystem:
- Welche Berechtigungen auf Systemdateien gelten für die verschiedenen Administratoren und Benutzer?
- Soll das verschlüsselnde Dateisystem (EFS) eingesetzt werden?
- Für welche Daten soll EFS eingesetzt werden?
RAS:
- Welche Rechner sollen als RAS-Einwahlrechner fungieren?
- Welche Benutzer dürfen sich unter welchen Bedingungen über RAS einwählen?
- Welche RAS-Sicherheitsmechanismen sollen benutzt werden, um die RAS-Kommunikation abzusichern?
- Welches Authentisierungsverfahren (z. B. MS-CHAP, PAP, RADIUS) soll für RAS eingesetzt werden?
Netz-Zugriff:
- Auf welche Rechner darf vom Netz aus zugegriffen werden?
- Welche Ressourcen sind aus dem Netz von welchen Benutzern zugreifbar?
- Welchen Rechnern wird für die Delegation, d. h. das stellvertretende Handeln unter einer Benutzeridentität, vertraut?
- Welche Authentisierungsverfahren sollen eingesetzt oder erlaubt werden (Kerberos, NTLM Version 1 oder 2, LanMan)?
- Welche Benutzer dürfen welche externen Dienste, z. B. den Internetzugriff, nutzen?
Diese für Windows 2000 Komponenten spezifische Auflistung von Themengebieten kann in folgende zeitliche Abfolge gebracht werden:
1. Definition der Client-Server-Netzstruktur
Im ersten Schritt ist die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen (siehe M 2.227 Planung des Windows 2000 Einsatzes). Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen (siehe M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste).
2. Regelung der Verantwortlichkeiten
Ein Client-Server-Netz sollte von geschulten Netzadministratoren sicher betrieben werden. Dabei ist im Rahmen der Notfallvorsorge für eine geeignete Stellvertreterregelung zu sorgen. Nur die berechtigten Administratoren dürfen Windows 2000 Sicherheitsparameter verändern. Sie sind z. B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Datei- und Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnissen bzw. Anwendungen, den Aufbau von Benutzergruppen und -konten sowie die Einstellung der Systemrichtlinien für Benutzer, Zugriffskontrolle und Überwachung vornehmen können.
Die Verantwortlichkeiten der einzelnen Administratoren und Benutzer im Client-Server-Netz sind unter Schritt 11 dargestellt.
3. Festlegung von Namenskonventionen
Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer verwendet werden.
Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine freigegebene Ressource nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von Informationen zwischen zwei Anwendern oder zum Zugriff auf Ressourcen, die nur einzelnen Benutzern bekannt sein sollen, freigegeben werden. Es wird explizit darauf hingewiesen, dass das "Verstecken" von Netzfreigaben nicht als Sicherheitsmechanismus angesehen oder benutzt werden kann. Die Sicherheit der über eine Netzfreigabe verfügbar gemachten Daten muss durch entsprechende Zugriffsrechte gewährleistet werden.
4. Festlegung der Regeln für Benutzerkonten
Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle bzw. für bestimmte Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Unter Windows 2000 erfolgen diese Einstellungen bevorzugt über Gruppenrichtlinien im Active Directory (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows) oder für nicht vernetzte Systeme über die Konfiguration der lokalen Sicherheitsrichtlinien in der Programmgruppe Verwaltung.
5. Einrichtung von Gruppen
Zur Vereinfachung der Administration sollten Benutzerkonten, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzerkonten zugeordnet. Die Benutzerkonten erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist.
Die Verwaltung von Gruppen von Benutzern oder Rechnern erfolgt unter Windows 2000 über das Active Directory (siehe M 2.229 Planung des Active Directory).
6. Festlegung der Benutzerrechte
Rechte gestatten einem Benutzer die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen hat. Wenn sich ein Benutzer bei einem Konto anmeldet, dem die gewünschten Rechte entweder direkt oder über die Gruppenmitgliedschaft erteilt wurden, kann er die entsprechenden Aktionen ausführen. Besitzt ein Benutzer nicht die geeigneten Rechte, so verhindert Windows 2000 jeden Versuch, die betreffenden Aktionen auszuführen.
Die Konfiguration der Benutzerrechte erfolgt unter Windows 2000 vorzugsweise über Gruppenrichtlinien im Active Directory (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows) oder bei nicht vernetzten Rechnern über die Konfiguration der lokalen Sicherheitsrichtlinie.
7. Festlegung der Vorgaben für Protokollierung
Windows 2000 stellt sehr ausführliche Möglichkeiten der Protokollierung sicherheitsrelevanter Ereignisse zur Verfügung. Diese sind bei vollständiger Nutzung in der Lage, das System weitgehend mit der Protokollierung auszulasten und dabei große Mengen an Plattenplatz zu verbrauchen. Dabei kann ein Spektrum von Ereignisarten aufgezeichnet werden, das sich von systemweiten Ereignissen, wie zum Beispiel dem Anmelden eines Benutzers bis hin zum Versuch eines Benutzers, eine bestimmte Datei zu lesen, erstreckt. Sowohl die erfolgreichen als auch die fehlgeschlagenen Versuche, eine Aktion durchzuführen, lassen sich aufzeichnen. Bei der Festlegung der jeweils rechnerlokalen Protokolleinstellungen ist auf die Verträglichkeit mit dem Gesamtkonzept der Systemüberwachung (siehe M 4.148 Überwachung eines Windows 2000/XP Systems) zu achten.
Die Konfiguration der Protokolleinstellungen (z. B. Aktivierung der Protokollmöglichkeit, Größe der Protokolldateien, Protokolleinstellungen pro Datei) erfolgt unter Windows 2000 vorzugsweise über Gruppenrichtlinien im Active Directory (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows) oder bei nicht vernetzten Rechnern über die Konfiguration der lokalen Sicherheitsrichtlinie.
8. Regelungen zur Datenspeicherung
Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). So ist es denkbar, dass Benutzerdaten nur auf einem Server abgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. Möglich ist aber auch, bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. Nach welcher Strategie verfahren werden soll, muss an den konkreten Umständen des Einzelfalles festgelegt werden. Eine generelle Empfehlung auszusprechen, ist nicht möglich.
9. Einrichtung von Projektverzeichnissen
Um eine saubere Trennung von Benutzer- und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, mit der eine projekt- und benutzerbezogene Dateiablage unterstützt wird. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen dann die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.
10. Vergabe der Zugriffsrechte
Für die Server ist festzulegen, welche Verzeichnisse - und bei Nutzung von NTFS-Partitionen - welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind (siehe M 4.145 Sichere Konfiguration von RRAS unter Windows 2000). Zusätzlich ist bei Nutzung von Peer-to-Peer-Funktionalitäten auf der Ebene der Clients zu entscheiden, welche Verzeichnisse für Netzzugriffe freizugeben sind. Gleiches gilt für die Freigabe von Druckern.
11. Verantwortlichkeiten für Administratoren und Benutzer im Client- Server-Netz
Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für
- die Verwaltung des Active Directory oder einzelner Active Directory Teilkomponenten,
- die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients,
- die Vergabe von Zugriffsrechten,
- das Hinterlegen und den Wechsel von Passwörtern und
- die Durchführung von Datensicherungen.
Auch die Endbenutzer müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen, sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien, sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden.
12. Schulung
Abschließend muss festgelegt werden, welche Benutzer zu welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows 2000 gründlich zu schulen.
Die daraus entwickelten Sicherheitsrichtlinien sind zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen.
Bei der Definition der Sicherheitsrichtlinie ist zu beachten, dass sich die für Windows 2000 festgelegten Richtlinien an den bisher geltenden Sicherheitsrichtlinien der Organisation orientieren, diesen nicht widersprechen (Konsistenz) und auch nicht im Widerspruch zu geltendem Recht stehen. In der Regel wird eine Windows 2000 Sicherheitsrichtlinie existierende Regelungen Windows 2000-spezifisch anpassen oder aber sinngemäß erweitern. Dabei sind unter Umständen neue Regelungen für neue Windows 2000 spezifische Funktionalitäten, z. B. für das Active Directory, zu treffen. Generell gilt, dass sich die Planung der Windows 2000 Infrastruktur an den jeweiligen Sicherheitsrichtlinien orientiert, dabei jedoch auch Einfluss auf die Sicherheitsrichtlinien besitzt (Feedback-Prozess).
Ergänzende Kontrollfragen:
- Sind alle für den geplanten Einsatz von Windows 2000 relevanten Bereiche durch die Sicherheitsrichtlinien abgedeckt?
- Wurden zeitliche Abhängigkeiten für die Umsetzung der Sicherheitsrichtlinien berücksichtigt?
- Sind alle Benutzer auf die Windows 2000 Sicherheitsrichtlinien vorbereitet worden?