M 5.123 Absicherung der Netzkommunikation unter Windows

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Die Sicherheit einer Windows Infrastruktur wird nicht ausschließlich von der sicheren Konfiguration und dem sicheren Betrieb einzelner Systeme bestimmt. Die Gesamtsicherheit hängt auch wesentlich von der Sicherheit in der Netzkommunikation ab, die unter anderem durch die Absicherung der Kommunikationswege (Signaturen, Verschlüsselung) und die verwendeten Authentisierungsmechanismen bestimmt wird.

Generell gilt, dass nicht verwendete Netzwerkkomponenten (z. B. Datei- und Druckerfreigabe für Microsoft-Netzwerke) von existierenden Schnittstellen zu entfernen sind. Die Beurteilung, welche Netzwerkprotokolle entfernt werden sollten, hat anhand konkreter Umstände und im Einzelfall zu erfolgen.

Sicherer Kanal

Die Kommunikation eines Clients mit einem Domain Controller erfolgt über den sog. Sicheren Kanal, der unter anderem für die Übertragung der Authentisierungsdaten verwendet wird. Die Daten des Sicheren Kanals werden mit einem Sitzungsschlüssel verschlüsselt. Das jeweilige Computer-Konto des Clients (automatisch von Windows verwaltet) wird für den Aufbau dieses Kanals verwendet. Die regelmäßigen Änderungen des Kennworts für das Computer-Konto sind daher maßgebend für die Sicherheit des Sicheren Kanals (siehe M 5.89 Konfiguration des sicheren Kanals unter Windows).

Signieren und Verschlüsseln der Kommunikation

Alle Daten, die über den Sicheren Kanal übertragen werden, sollten signiert und verschlüsselt werden. Standardmäßig erfolgt dies nur dann, wenn beide Kommunikationspartner die gleichen Verfahren verwenden. Unterstützt einer der beiden Partner die Verschlüsselung bzw. das Signieren nicht, erfolgt die Kommunikation ungeschützt (Richtlinien Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) und Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen). Wird die Richtlinie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) aktiviert, muss die Kommunikation signiert oder verschlüsselt werden. Unterstützen beide Partner nicht die gleichen Verfahren, wird keine Verbindung aufgebaut. Diese Option wird für den Einsatz empfohlen, wenn alle Domain Controller der Domäne und aller vertrauten Domänen mindestens Windows 2000 ausführen.

Das SMB-Protokoll (Server Message Block) unterstützt nicht nur eine gegenseitige Authentisierung, sondern erlaubt auch das Signieren der SMB-Pakete. Durch die Authentisierung und das Signieren werden Man-in-the-Middle-Angriffe verhindert.

Die SMB-Signaturen werden mit folgenden Richtlinien unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen konfiguriert:

Standardmäßig werden Signaturen für SMB-Pakete unter Windows nicht erzwungen, aktiviert ist lediglich die Richtlinie Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt). Nur wenn auf dem SMB-Server das Signieren der Pakete aktiviert wurde, wird die Kommunikation signiert. Es besteht jedoch die Möglichkeit, die Signaturen zu erzwingen. Hierfür sind die restlichen oben aufgeführten Richtlinien zu aktivieren.

Das Aktivieren der Richtlinien zum Signieren der SMB-Kommunikation kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Vor der Aktivierung dieser Einstellungen sind daher Kompatibilitätstests erforderlich.

Nicht alle SMB-Server von Drittanbietern unterstützen die Kennwortverschlüsselung während der Authentisierung. Wird mit dem SMB-Protokoll auf einen solchen Server zugegriffen, kann das Kennwort unverschlüsselt übertragen werden, wenn die Richtlinie Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden aktiviert wird. Allerdings sollte die Übertragung ungeschützter Kennwörter nicht zugelassen werden, d. h. die genannte Richtlinie darf nicht aktiviert werden.

Windows erlaubt das Festlegen der minimalen Sitzungssicherheit für die Kommunikation auf Anwendungsebene (z. B. zwischen RPC-Komponenten). Folgende Optionen können in den beiden Richtlinien Netzwerksicherheit: minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) und Netzwerksicherheit: minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen gewählt werden:

Standardmäßig werden keine Minimaloptionen festgelegt. Werden auf allen Rechnern Client-Betriebssysteme ab Windows XP bzw. Server-Betriebssysteme ab Windows Server 2003 mit aktivierter 128-Bit-Verschlüsselung ausgeführt, sind die Optionen für die NTLMv2-Authentisierung und 128-Bit-Verschlüsselung zu aktivieren.

Starker Authentisierungsmechanismus

Die Güte des Authentisierungsverfahrens bei Netzanmeldungen spielt ebenfalls eine signifikante Rolle für die Gewährleistung der Sicherheit. Insgesamt können drei Authentisierungsmechanismen verwendet werden: LM, NTLMv1 und NTLMv2. Vor Windows 2000 wurde zunächst das LM-Verfahren und ab Windows NT das NTLM-Verfahren (in zwei Versionen) eingesetzt. Die alten Verfahren haben jedoch Schwächen, so dass aus einem übertragenen Authentisierungswert das Kennwort bestimmt werden kann. Den besten Schutz bietet die Version 2 des NTLM Protokolls.

In reinen Windows-Netzen (mit Client- und Server-Betriebssystemen ab Windows 2000) sollte ausschließlich NTLMv2 als das sicherste verfügbare Verfahren eingesetzt werden. Die älteren Protokolle sollten aufgrund ihrer Schwächen abgelehnt werden. Dazu ist in der zugehörigen Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Netzwerksicherheit: LAN Manager-Authentifizierungsebene der Wert Nur NTLMv2-Antworten senden\LM& NTLM verweigern einzustellen.

Die Speicherung der LAN Manager-Hashwerte bei Kennwortänderungen sollte deaktiviert werden. Dies wird durch das Aktivieren der Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen |Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern erreicht.

Sind noch ältere Systeme im Einsatz (Windows 9x bzw. Windows NT 4.0 vor Service Pack 4), so kann es aus Kompatibilitätsgründen notwendig sein, auch andere Authentisierungsmechanismen zuzulassen, was aus Sicherheitssicht jedoch nicht empfohlen wird. Grundsätzlich wird empfohlen, die älteren Systeme mit Hilfe entsprechender Service Packs zu aktualisieren (Windows NT 4.0 Service Pack 4 oder höher) oder Zusatzsoftware zu verwenden (NTLMv2 ist zusammen mit dem optionalen Client für Verzeichnisdienste auch unter Windows 95/98 verfügbar).

Anonymer Zugriff

Anonyme Zugänge über das Netzwerk sollten grundsätzlich nicht möglich sein (sogenannte NULL SESSIONS). Unter Windows XP ist es standardmäßig vorgesehen, bestimmte Aktivitäten wie z. B. das Aufzählen von SAM-Konten anonym durchzuführen. Diese Funktionalität ist durch das Aktivieren der Richtlinien Netzwerkzugriff: Anonyme SID-/Namensübersetzung nicht erlauben, Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben und Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) explizit abzuschalten. Die Richtlinie Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ermöglichen ist zu deaktivieren. Unter Windows Vista ist Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer bereits in der Standardeinstellung deaktiviert.

Prüffragen: