M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows Server 2003
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die grundlegenden Protokolle für die netzinterne Kommunikation zwischen Windows-Servern und Clients sind SMB, RPC und LDAP. Diese Protokolle sind eng mit der Sicherheitsarchitektur von Windows Server 2003 verzahnt und profitieren von den integrierten Technologien, um eine sichere Kommunikation zu gewährleisten.
Grundsätzlich muss die Verwendung der Klartextanmeldung, unter Windows Standardauthentisierung genannt, unterbunden werden. Gleiches gilt für einige andere Anmeldeverfahren mit schwacher Verschlüsselung, die mit allgemein verfügbaren Auditwerkzeugen leicht kompromittiert werden können. Die Anmeldung muss also hinreichend stark verschlüsselt sein, sowohl bei der Kommunikation innerhalb einer Windows-Umgebung als auch zwischen Windows und anderen IT-Systemen wie z. B. Samba oder MacOS.
Bei der Planung muss berücksichtigt werden, dass einige Sicherheitseinstellungen für SMB, RPC und LDAP nach einer Standardinstallation nicht gesetzt sind. Hinweise zu den Einstellungen sind unter den Hilfsmitteln zum IT-Grundschutz zu finden (siehe RPC, SMB und LDAP unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003). Die Sicherheitseinstellungen sollten überprüft und gegebenenfalls angepasst werden.
Neben den dort genannten Einstellungen sollten mindestens die Standard-Sicherheitseinstellungen von Windows Server 2003 mit Service Pack 1 aktiv sein (siehe Windows Default Security and Services Configuration.xls aus dem Microsoft Security Guide "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP" Version 2.0 vom 27. Dezember 2005).
Kompatibilität
Die nach einer Standardinstallation vorzunehmenden Sicherheitseinstellungen sind mit den in G 2.114 Uneinheitliche Windows-Server-2003-Sicherheitseinstellungen bei SMB, RPC und LDAP beschriebenen Gefahren verbunden. In einem heterogenen Netz sollten diese Einstellungen erst durch das Änderungsmanagement freigegeben werden, nachdem die Verträglichkeit mit allen beteiligten Systemtypen erfolgreich in einem isolierten Testsystem erprobt wurde. Im Test sollte auch die Verfügbarkeit bei hoher Last erprobt werden. Mit Systemtypen sind hier Clients und Server unterschiedlicher Windows-Versionen und Service Packs sowie unterschiedlicher Betriebssystem-Plattformen gemeint. Ausführliche Kompatibilitätshinweise sind im Microsoft Knowledge Base Artikel 823659 Revision 11 vom 9. Februar 2006 (oder einer späteren Revision) dokumentiert. Die deutsche Revision 3.3 ist veraltet, enthält missverständliche Übersetzungen und sollte daher nicht als Referenz verwendet werden.
Einige grundlegende Kompatibilitätshinweise, geeignete Werkzeuge sowie Hinweise zur Vorgehensweise bei der Aktivierung sind in den Hilfsmitteln zum IT-Grundschutz zu finden (siehe RPC, SMB und LDAP unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003).
Sicherheitsvorlage
Die Einstellungen sind in einer Sicherheitsvorlage für diesen Server einzustellen, siehe dazu M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003.
Dokumentation
Eine minimale Dokumentation muss die wirksame Sicherheitsvorlage für jeden Server und deren Inhalt enthalten. Falls einzelne Einstellungen nicht flächendeckend übernommen werden, so sind die jeweiligen Bereiche abzugrenzen, zu begründen und auf alternative Sicherheitsmaßnahmen zu verweisen, z. B. eine stärkere Isolierung des oder der Server oder die Aktivierung von IPSec (siehe M 5.90 Einsatz von IPSec unter Windows 2000/XP).
Ergänzende Kontrollfragen:
- Wurden die Standard-Sicherheitseinstellungen zur Kommunikation innerhalb einer Windows-Umgebung gemäß den Empfehlungen dieser Maßnahme angepasst und getestet?
- Werden Authentisierungsvorgänge durch die Kommunikationsprotokolle angemessen abgesichert?
- Wurden bei heterogenen Netzen Kompatibilität und Lastverhalten berücksichtigt und in einer isolierten Testumgebung getestet?