Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.142 Sichere Konfiguration des WINS unter Windows 2000 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.142 Sichere Konfiguration des WINS unter Windows 2000

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Der Windows Internet Naming Service (WINS) wurde unter Windows NT als primärer Namensdienst zur Namen-Adressen-Auflösung verwandt. Unter Windows 2000 hat der DNS (Domain Name Service) bzw. die Windows 2000 Variante DDNS (Dynamic DNS) diese Rolle vollständig übernommen. Daher ist WINS zum Betrieb eines Windows 2000 Netzes nicht mehr erforderlich. In vielen Fällen ist es jedoch auch in Windows 2000 Netzen notwendig, weiterhin WINS anzubieten, da diese oft heterogen sind und Rechner oder Applikationen enthalten, die nach wie vor auf die Namensauflösung mittels WINS angewiesen sind. Wenn möglich, sollte auf den Betrieb von WINS jedoch verzichtet oder der Betrieb von WINS nur so lange wie unbedingt notwendig aufrecht erhalten werden.

Unter Sicherheitsgesichtspunkten sind beim Betrieb von WINS unter Windows 2000 folgende Aspekte zu beachten:

Wie bei DNS besteht die Hauptgefahr auch bei WINS darin, dass die Adressen-Namens-Zuordnungen verfälscht werden, wodurch Sicherheitseinstellungen unterlaufen werden. Daher sind diese Daten besonders schutzwürdig und erfordern die Umsetzung der angegebenen Schutzmaßnahmen. Je nach Nutzungsszenario sind jedoch auch weitere Maßnahmen notwendig, wie beispielsweise physikalische oder organisatorische Sicherheitsmaßnahmen.

Wird ein WINS-Server aus dem Betrieb genommen, so muss sichergestellt werden, dass dies nach dem vorgeschriebenen Verfahren geschieht, um zu verhindern, dass dessen WINS-Daten weiter im Netz zwischen den verbleibenden WINS-Servern repliziert werden. Im Wesentlichen muss dazu auf allen WINS-Clients des zu entfernenden Servers die WINS-Konfiguration so geändert werden, dass diese nicht mehr auf den WINS-Server zugreifen. Danach müssen alle WINS-Einträge des Servers, der entfernt werden soll, zunächst als "veraltet" markiert werden (tomb-stoning). Anschließend wird die Replikation zu allen Replikationspartnern von Hand gestartet (für den Eintrag Replikationspartner Menü Vorgang/Jetzt Replizieren). Nach erfolgreicher Replikation mit allen Partnern kann der Server entfernt werden. Detaillierte Hinweise zum korrekten Entfernen (Decommissioning) eines WINS-Servers finden sich in der Windows 2000 Hilfe.

Ergänzende Kontrollfragen: