Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Das Festlegen einer Sicherheitsrichtlinie für Windows 2000 ist eine der organisatorischen Hauptaufgaben bei der Windows 2000 Planung. Durch die Sicherheitsrichtlinie wird festgelegt, welche Sicherheitsbestimmungen in einem Windows 2000 System gelten sollen und bei der Windows 2000 Installation umgesetzt werden müssen.

Durch die Windows 2000 Sicherheitsrichtlinie werden sämtliche sicherheitsbezogenen Themenbereiche eines Windows 2000 Systems geregelt. Die folgende Liste gibt einen groben Überblick über die abzudeckenden Bereiche. Die Liste muss je nach Unternehmen und Windows 2000 Einsatzszenarien entsprechend angepasst, ausgestaltet und erweitert werden.

Eine Windows 2000 Sicherheitsrichtlinie sollte für folgende Windows 2000 spezifischen Bereiche Regelungen treffen:

Allgemein:

Active Directory (AD):

DNS/DHCP/WINS:

Kerberos:

Dateisystem:

RAS:

Netz-Zugriff:

Diese für Windows 2000 Komponenten spezifische Auflistung von Themengebieten kann in folgende zeitliche Abfolge gebracht werden:

1. Definition der Client-Server-Netzstruktur

Im ersten Schritt ist die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen (siehe M 2.227 Planung des Windows 2000 Einsatzes). Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen (siehe M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste).

2. Regelung der Verantwortlichkeiten

Ein Client-Server-Netz sollte von geschulten Netzadministratoren sicher betrieben werden. Dabei ist im Rahmen der Notfallvorsorge für eine geeignete Stellvertreterregelung zu sorgen. Nur die berechtigten Administratoren dürfen Windows 2000 Sicherheitsparameter verändern. Sie sind z. B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Datei- und Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnissen bzw. Anwendungen, den Aufbau von Benutzergruppen und -konten sowie die Einstellung der Systemrichtlinien für Benutzer, Zugriffskontrolle und Überwachung vornehmen können.

Die Verantwortlichkeiten der einzelnen Administratoren und Benutzer im Client-Server-Netz sind unter Schritt 11 dargestellt.

3. Festlegung von Namenskonventionen

Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer verwendet werden.

Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine freigegebene Ressource nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von Informationen zwischen zwei Anwendern oder zum Zugriff auf Ressourcen, die nur einzelnen Benutzern bekannt sein sollen, freigegeben werden. Es wird explizit darauf hingewiesen, dass das "Verstecken" von Netzfreigaben nicht als Sicherheitsmechanismus angesehen oder benutzt werden kann. Die Sicherheit der über eine Netzfreigabe verfügbar gemachten Daten muss durch entsprechende Zugriffsrechte gewährleistet werden.

4. Festlegung der Regeln für Benutzerkonten

Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle bzw. für bestimmte Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Unter Windows 2000 erfolgen diese Einstellungen bevorzugt über Gruppenrichtlinien im Active Directory (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows) oder für nicht vernetzte Systeme über die Konfiguration der lokalen Sicherheitsrichtlinien in der Programmgruppe Verwaltung.

5. Einrichtung von Gruppen

Zur Vereinfachung der Administration sollten Benutzerkonten, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzerkonten zugeordnet. Die Benutzerkonten erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist.

Die Verwaltung von Gruppen von Benutzern oder Rechnern erfolgt unter Windows 2000 über das Active Directory (siehe M 2.229 Planung des Active Directory).

6. Festlegung der Benutzerrechte

Rechte gestatten einem Benutzer die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen hat. Wenn sich ein Benutzer bei einem Konto anmeldet, dem die gewünschten Rechte entweder direkt oder über die Gruppenmitgliedschaft erteilt wurden, kann er die entsprechenden Aktionen ausführen. Besitzt ein Benutzer nicht die geeigneten Rechte, so verhindert Windows 2000 jeden Versuch, die betreffenden Aktionen auszuführen.

Die Konfiguration der Benutzerrechte erfolgt unter Windows 2000 vorzugsweise über Gruppenrichtlinien im Active Directory (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows) oder bei nicht vernetzten Rechnern über die Konfiguration der lokalen Sicherheitsrichtlinie.

7. Festlegung der Vorgaben für Protokollierung

Windows 2000 stellt sehr ausführliche Möglichkeiten der Protokollierung sicherheitsrelevanter Ereignisse zur Verfügung. Diese sind bei vollständiger Nutzung in der Lage, das System weitgehend mit der Protokollierung auszulasten und dabei große Mengen an Plattenplatz zu verbrauchen. Dabei kann ein Spektrum von Ereignisarten aufgezeichnet werden, das sich von systemweiten Ereignissen, wie zum Beispiel dem Anmelden eines Benutzers bis hin zum Versuch eines Benutzers, eine bestimmte Datei zu lesen, erstreckt. Sowohl die erfolgreichen als auch die fehlgeschlagenen Versuche, eine Aktion durchzuführen, lassen sich aufzeichnen. Bei der Festlegung der jeweils rechnerlokalen Protokolleinstellungen ist auf die Verträglichkeit mit dem Gesamtkonzept der Systemüberwachung (siehe M 4.148 Überwachung eines Windows 2000/XP Systems) zu achten.

Die Konfiguration der Protokolleinstellungen (z. B. Aktivierung der Protokollmöglichkeit, Größe der Protokolldateien, Protokolleinstellungen pro Datei) erfolgt unter Windows 2000 vorzugsweise über Gruppenrichtlinien im Active Directory (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows) oder bei nicht vernetzten Rechnern über die Konfiguration der lokalen Sicherheitsrichtlinie.

8. Regelungen zur Datenspeicherung

Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). So ist es denkbar, dass Benutzerdaten nur auf einem Server abgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. Möglich ist aber auch, bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. Nach welcher Strategie verfahren werden soll, muss an den konkreten Umständen des Einzelfalles festgelegt werden. Eine generelle Empfehlung auszusprechen, ist nicht möglich.

9. Einrichtung von Projektverzeichnissen

Um eine saubere Trennung von Benutzer- und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, mit der eine projekt- und benutzerbezogene Dateiablage unterstützt wird. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen dann die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.

10. Vergabe der Zugriffsrechte

Für die Server ist festzulegen, welche Verzeichnisse - und bei Nutzung von NTFS-Partitionen - welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind (siehe M 4.145 Sichere Konfiguration von RRAS unter Windows 2000). Zusätzlich ist bei Nutzung von Peer-to-Peer-Funktionalitäten auf der Ebene der Clients zu entscheiden, welche Verzeichnisse für Netzzugriffe freizugeben sind. Gleiches gilt für die Freigabe von Druckern.

11. Verantwortlichkeiten für Administratoren und Benutzer im Client- Server-Netz

Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für

Auch die Endbenutzer müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen, sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien, sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden.

12. Schulung

Abschließend muss festgelegt werden, welche Benutzer zu welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows 2000 gründlich zu schulen.

Die daraus entwickelten Sicherheitsrichtlinien sind zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen.

Bei der Definition der Sicherheitsrichtlinie ist zu beachten, dass sich die für Windows 2000 festgelegten Richtlinien an den bisher geltenden Sicherheitsrichtlinien der Organisation orientieren, diesen nicht widersprechen (Konsistenz) und auch nicht im Widerspruch zu geltendem Recht stehen. In der Regel wird eine Windows 2000 Sicherheitsrichtlinie existierende Regelungen Windows 2000-spezifisch anpassen oder aber sinngemäß erweitern. Dabei sind unter Umständen neue Regelungen für neue Windows 2000 spezifische Funktionalitäten, z. B. für das Active Directory, zu treffen. Generell gilt, dass sich die Planung der Windows 2000 Infrastruktur an den jeweiligen Sicherheitsrichtlinien orientiert, dabei jedoch auch Einfluss auf die Sicherheitsrichtlinien besitzt (Feedback-Prozess).

Ergänzende Kontrollfragen: