M 4.146 Sicherer Betrieb von Windows 2000/XP
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Nach der Installation und initialen Konfiguration gemäß den im Vorfeld geplanten Windows 2000/XP Konzepten und Sicherheitsrichtlinien erfolgt der Betrieb von Windows 2000/XP Rechnern in der Regel im Netzverbund. Die Sicherheit eines solchen Netzes hängt dabei einerseits von den eingestellten Konfigurationsparametern ab. Sie wird aber auch andererseits maßgeblich durch die Art und Weise der Konfigurationsänderungen bestimmt, die im laufenden Betrieb erfolgen müssen. Dabei sind insbesondere auch Seiteneffekte zu berücksichtigen, die unter Umständen unbeabsichtigt zu Sicherheitslücken führen können.
Windows 2000/XP bietet eine Reihe von Werkzeugen und Mechanismen an, die die Administratoren bei der Aufrechterhaltung der Sicherheit eines laufenden Systems unterstützen können.
-
Windows File Protection ist ein Systemmechanismus von Windows 2000/XP, der sicherstellt, dass Systemdateien unverändert im Originalzustand vorhanden sind. Der Mechanismus nutzt zwei Komponenten: den so genannten SystemFileChecker (sfc.exe), der die Systemdateien auf ihre Unverändertheit hin überprüft (z. B. beim Systemstart) und veränderte Dateien durch zwischengespeicherte Originaldateien ersetzt. Weiterhin existiert ein Überwachungsmechanismus, der beim schreibenden Zugriff auf Systemdateien diese wieder durch die Originalversion ersetzt. Der Mechanismus kann so konfiguriert werden, dass das Überschreiben nach einer entsprechenden Bestätigung erfolgreich ist und die veränderte Datei beibehalten wird. Die Konfiguration erfolgt über die Kommandozeile durch die Kommandos:
- sfc /enable: Veränderungen werden nach einer Bestätigung übernommen.
- sfc /quiet: Veränderte Dateien werden ohne Nachfrage durch die Originale ersetzt.
- Mit Windows XP wurde eine neue Technologie eingeführt: die automatische Systemwiederherstellung. Dieser Mechanismus kann zum Wiederherstellen eines früheren Systemzustands verwendet werden, wenn beispielsweise eine Softwareinstallation fehlschlug und sich das System in einem instabilen Zustand befindet. In Abhängigkeit von lokalen Umständen und insbesondere von der implementierten Softwareverteilungs-Strategie kann der Einsatz der automatischen Systemwiederherstellung z. B. im Testumfeld vorteilhaft sein.
- Windows 2000/XP bietet mit dem kommandozeilenbasierten Sicherheitseditor secedit.exe bzw. dem MMC-Snap-in Sicherheitskonfiguration und -analyse Werkzeuge zur Konfiguration der Sicherheitseinstellungen von Windows 2000/XP Rechnern. Die Sicherheitskonfiguration kann auch in einer Datenbank gespeichert werden, gegen die dann ein Rechner auf Konformität getestet werden kann. Dazu wird zunächst eine Datenbank neu erzeugt (Vorgang/Datenbank öffnen, neuen oder existierenden Datenbanknamen eingeben). Diese kann dann mit einer Sicherheitsvorlage (.inf-Datei, siehe MMC-Snap-in Sicherheitsvorlagen) initialisiert werden. Mittels Vorgang/Computer jetzt analysieren bzw. Vorgang/System jetzt konfigurieren kann eine Analyse oder Konfiguration des Systems anhand der Einstellungen der Datenbank erfolgen. Die Datenbank selbst liegt in Dateiform vor (.sdb-Datei) und kann auch auf andere Systeme übertragen werden. Allerdings sind die Aussagen bei Abweichungen von Zugriffsrechten auf Datei- oder Registry-Ebene wenig hilfreich, da lediglich eine Abweichung dokumentiert wird, nicht jedoch, welche Zugriffsrechte abweichen.
- Die Sicherheitseinstellungen eines Windows 2000/XP Rechners erfolgen beim Betrieb in einer Domäne in der Regel durch die Anwendung von Gruppenrichtlinienobjekten bzw. den in einem Objekt enthaltenen Einstellungen. Auf diese Weise lassen sich nicht nur die Sicherheitseinstellungen effizient und zentral auch für große Windows 2000/XP Netze verwalten. Im täglichen Betrieb sind in der Regel auch Änderungen von GPO-Einstellungen zu erwarten. Die Änderungen finden zentral an einem Domänen-Controller statt und werden dann an die betroffenen Rechner verteilt. Dazu kann der GPO-Mechanismus so konfiguriert werden, dass periodisch ein Update der GPO-Einstellungen erfolgt, so dass die veränderten Einstellungen wirksam werden können (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Windows XP Gruppenrichtlinien).
- Die Sicherheit des Systemzugangs kann durch die Verwendung von Smartcard-basiertem Logon erhöht werden. Die Authentisierung erfolgt dann nicht über einen Benutzernamen und ein möglicherweise schwaches Passwort, sondern über ein Zertifikat, welches auf einer Chipkarte gespeichert ist. Windows 2000/XP kann so konfiguriert werden, dass Anmeldungen alternativ über Benutzername und Passwort bzw. mit Chipkarte oder ausschließlich mit Chipkarte möglich sind. Generell können hier nur Microsoft-konforme Zertifikate genutzt werden sowie Chipkarten, die von Windows 2000/XP unterstützt werden.
Die Sicherheit eines Rechnersystems basiert immer auch auf der physikalischen Sicherheit der Rechner und Netzkomponenten. Diese muss auch für den Betrieb eines Windows 2000/XP Systems sichergestellt sein. Für den sicheren Betrieb eines Windows 2000/XP Systems ist generell Folgendes zu beachten:
-
Die Sicherheit von Windows 2000/XP hängt wesentlich von der Sicherheit des Active Directories ab. Die hier enthaltenen Informationen müssen einerseits vor unberechtigter Veränderung geschützt und andererseits konsistent gehalten werden. Dies erfordert insbesondere bei Veränderungen entsprechende Sorgfalt. Es empfiehlt sich dringend, im Rahmen der Sicherheitsplanung nicht nur Werte oder Wertbereiche für Parameter festzulegen, sondern auch (innerbetriebliche oder administrative) Abläufe zu definieren, die geeignet sind, die festgelegte Sicherheitsrichtlinie umzusetzen. So sollte z. B. festgelegt werden, welche Schritte beim Anlegen eines neuen Benutzer-Kontos durchzuführen sind, damit die notwendigen Veränderungen vollständig ausgeführt werden.
Auch die Installation eines neuen zusätzlichen Domänen-Controllers ist eine sicherheitskritische AD-Veränderung, da dieser eine Kopie des AD erhält. Die physikalische Sicherheit sowie die konsistente und sichere Konfiguration des zukünftigen Domänen-Controllers muss daher vor der Eingliederung sichergestellt sein.
Windows 2000 erlaubt es, Domänen-Controller im so genannten Active Directory Restore Modus zu betreiben. In diesem Modus ist der Active Directory Service nicht gestartet und es können Reparaturarbeiten an der AD-Datenbank erfolgen, indem bestimmte AD-Zweige von einem Backup-Medium zurückgespielt werden. Die Veränderungen können so eingespielt werden, dass sie in der gesamten Domäne verteilt werden. Daher muss dieser Vorgang unter größter Sorgfalt erfolgen. Es empfiehlt sich, den AD-Restore-Modus nur im Vier-Augen-Prinzip zu nutzen, da Eingabefehler die Integrität des AD zerstören können. - Neben der Sicherheit des Active Directories und die durch die im AD festgelegten Parameter bedingte Systemsicherheit muss auch die Sicherheit wichtiger Systemdienste gewährleistet werden. Hierbei spielt die Sicherheit von DNS, WINS, DHCP, RAS sowie Kerberos eine besondere Rolle. Auch hier muss bei Änderungen sichergestellt werden, dass die für Windows 2000 geltenden und festgelegten Sicherheitsrichtlinien nicht verletzt werden. Hinweise zur Konfiguration dieser Dienste finden sich in der Maßnahme M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste und den darin referenzierten Maßnahmen.
- Für die Verwaltung eines Windows 2000/XP Systems stehen standardmäßig die so genannten Snap-ins der Microsoft Management Console (MMC-Snap-ins) zur Verfügung. MMC-Snap-ins stellen Verwaltungsmodule dar, die über eine standardisierte Schnittstelle in die MMC integriert werden können. Der Zugriff auf die verschiedenen MMC-Snap-ins muss daher reglementiert werden. Normalen Benutzern sollte der Zugriff auf Systemverwaltungswerkzeuge generell untersagt werden. Als Ausnahme ist hier jedoch das MMC-Snap-in zur Verwaltung von Zertifikaten zu nennen, welches auch von normalen Benutzern zum Verwalten der eigenen Zertifikate genutzt werden muss. Der Zugriff auf die einzelnen MMC-Snap-ins lässt sich dabei feingranular über GPO-Einstellungen regeln.
- Die Verwaltungstools zum Zugriff auf die lokale Registry eines Rechners (regedt32 und regedit) sollten nicht für normale Benutzer zugreifbar sein. Auch dies lässt sich durch GPO-Einstellungen erreichen.
- Die Sicherheit eines Windows 2000/XP Netzes hängt von vielen Faktoren ab. Insbesondere können Sicherheitslücken auch durch Zusatzapplikationen entstehen, die entweder fehlkonfiguriert sind oder Fehler in der Programmierung enthalten. Oft ergeben sich Probleme auch erst durch den gemeinsamen Betrieb mehrerer Anwendungen. Aus diesem Grund sind vor Einführung einer neuen Applikation Tests durchzuführen, die einen ersten Hinweis darauf geben, ob offensichtliche Probleme bestehen. Eine vollständige Sicherheit kann hier jedoch nicht erreicht werden, da insbesondere der Test auf Fehler durch Seiteneffekte in anderen Applikationen schwierig durchzuführen und extrem aufwendig ist.
- Auch wenn Änderungen sorgfältig und unter Einhaltung aller Vorsichtsmaßnahmen erfolgen, kann die Existenz von Sicherheitslücken in einem komplexen System nie ganz ausgeschlossen werden. Aus diesem Grund sollte immer eine geeignete Systemüberwachung stattfinden (siehe auch M 4.148 Überwachung eines Windows 2000/XP Systems). Dabei muss die Stärke und Genauigkeit der Überwachung der Gefährdungslage angepasst sein. Die Art und Weise der Überwachung kann dabei immer nur im konkreten Fall festgelegt werden. Generell sollten auch die Tätigkeiten von Administratoren durch die Überwachung erfasst werden. Zusätzlich empfiehlt sich eine regelmäßige Überprüfung, damit eventuelle Lücken, die durch Veränderungen des Systems entstehen können, möglichst aufgedeckt werden.
- Unter Sicherheitsgesichtspunkten sind auch Änderungen in der Domänenstruktur kritisch. Daher sind diese nur nach sorgfältiger Planung durchzuführen. Es ist schon bei der initialen Planung zu berücksichtigen, dass eine Windows 2000 Domänenstruktur (Aufteilung in Domänen, Trees, Forests) nachträglich nur wenige Veränderungen erlaubt.
- Auch unter Sicherheitsgesichtspunkten ist es wichtig, dass alle den Betrieb eines Windows 2000/XP Systems betreffenden Richtlinien, Regelungen und Prozesse dokumentiert werden. Dazu sollten Betriebshandbücher erstellt werden, die auch bei Systemänderungen aktualisiert werden müssen. Da die Betriebshandbücher sicherheitsrelevante Informationen enthalten, sind sie so aufzubewahren, dass einerseits Unbefugte keinen Zugriff auf sie erlangen können, jedoch andererseits für befugte Administratoren ein einfacher Zugriff besteht.
Die aufgeführten Empfehlungen können an dieser Stelle nur allgemeinen Charakter besitzen, da die Aufrechterhaltung der Systemsicherheit auch von lokalen Gegebenheiten abhängt. Daher müssen schon in der Planungsphase eines Windows 2000/XP Netzes entsprechende Richtlinien zum sicheren Betrieb erstellt werden, die die lokalen Anforderungen berücksichtigen. Unter Umständen kann es auch vorkommen, dass gewisse Sicherheitsmechanismen nicht optimal sicher konfiguriert werden können. Dies ist z. B. der Fall, wenn "alte" Applikationen weiter betrieben werden müssen, die nur auf schwache oder keine Authentisierung ausgelegt sind. Hier muss dann durch entsprechend ausgleichende Gegenmaßnahmen an anderer Stelle - oder auf organisatorischer Ebene - eine zufrieden stellende Sicherheit garantiert werden.
Die Sicherheit eines Windows 2000/XP Systems im laufenden Betrieb hängt dabei auch wesentlich vom Kenntnisstand der Administratoren ab. Daher ist die Schulung und Fortbildung der Systemverwalter eine wichtige Schutzmaßnahme (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung), da potentielle Sicherheitslücken nur von kompetenten Administratoren entdeckt bzw. vermieden werden können. Daneben müssen auch die normalen Benutzer in Sicherheitsaspekten geschult werden (siehe auch M 3.28 Schulung zu Windows 2000/XP Sicherheitsmechanismen für Benutzer), damit potentielle Gefahren bekannt sind und die zur Verfügung stehenden Sicherheitsmechanismen richtig eingesetzt werden können.
Ergänzende Kontrollfragen:
- Sind alle Betriebsabläufe dokumentiert?
- Findet eine regelmäßige Kontrolle der Systemprotokolldaten statt?
- Ist sichergestellt, dass Änderungen am AD nur von berechtigten Benutzern vorgenommen werden können?
- Ist der Zugriff auf alle Administrationswerkzeuge für Benutzer unterbunden worden?
- Werden die Administratoren regelmäßig geschult?