M 4.142 Sichere Konfiguration des WINS unter Windows 2000
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Der Windows Internet Naming Service (WINS) wurde unter Windows NT als primärer Namensdienst zur Namen-Adressen-Auflösung verwandt. Unter Windows 2000 hat der DNS (Domain Name Service) bzw. die Windows 2000 Variante DDNS (Dynamic DNS) diese Rolle vollständig übernommen. Daher ist WINS zum Betrieb eines Windows 2000 Netzes nicht mehr erforderlich. In vielen Fällen ist es jedoch auch in Windows 2000 Netzen notwendig, weiterhin WINS anzubieten, da diese oft heterogen sind und Rechner oder Applikationen enthalten, die nach wie vor auf die Namensauflösung mittels WINS angewiesen sind. Wenn möglich, sollte auf den Betrieb von WINS jedoch verzichtet oder der Betrieb von WINS nur so lange wie unbedingt notwendig aufrecht erhalten werden.
Unter Sicherheitsgesichtspunkten sind beim Betrieb von WINS unter Windows 2000 folgende Aspekte zu beachten:
- Werden zwei Strukturen zur Namensauflösung parallel betrieben, so müssen beide Datenbestände konsistente Informationen enthalten. Da aber jeweils unterschiedliche Mechanismen zur Verwaltung eingesetzt werden, kann dies zu Fehlern in den Datenbeständen führen. Dies muss durch regelmäßige Kontrollen verhindert werden.
- Die Sicherheit des WINS-Servers muss sichergestellt sein. Dazu gehört auch die Dateisystemabsicherung der WINS-Datenbanken, die unter %SystemRoot%\System32\WINS abgelegt sind. Diese sollten auf restriktive Zugriffsrechte überprüft werden. In der Regel benötigt hier nur das Systemkonto selbst Zugriffsrechte (Vollzugriff). Werden die Dateien selbst von Hand gewartet, so müssen auch dem berechtigten Administrator entsprechende Zugriffsrechte eingeräumt werden.
- Da WINS das dynamische Aktualisieren (z. B. durch DHCP ) unterstützt, muss die WINS-Datenbank periodisch nach alten, d. h. ungültigen Einträgen durchsucht werden, die dann gelöscht werden. In Umgebungen mit mehreren Servern kann es passieren, dass durch Replikation ein Eintrag, der gerade auf einem Server gelöscht wurde, wieder auf diesen Server repliziert wird. Dadurch kann das Löschen schwierig werden. Aus diesem Grund kann ein Eintrag zunächst als "veraltet" deklariert werden, sodass er zwar noch vorhanden ist, aber nicht genutzt wird. Durch die Replikation verbreitet sich auch der Zustand eines so markierten Eintrages, sodass nach einiger Zeit ein solcher Eintrag auf allen Servern als "veraltet" markiert ist und dann automatisiert gelöscht werden kann. Dieser auch "tomb-stoning" genannte Prozess kann periodisch ausgeführt werden. Die relevanten Alterungsparameter, die angeben, ab wann ein Eintrag als alt betrachtet wird, müssen im Eigenschaftsdialog des Servers auf der Karte Intervalle an die lokalen Gegebenheiten angepasst werden. Neben dem automatischen "tomb-stoning" sollte bei WINS in regelmäßigen Abständen auch ein manuelles "tomb-stoning" durchgeführt werden, indem alle nicht automatisch erkannten alten WINS-Einträge über das Vorgang-Menü als "veraltet" erklärt werden: Vorgang/Löschen, Option Löschen des Eintrags zu anderen Servern replizieren (veralten). Für die Sicherung der Konsistenz stehen über das "Windows 2000 Server Resource Kit" weitere Werkzeuge zur Verfügung, z. B. winschk.exe.
- WINS-Replikation, d. h. Austausch und Update der WINS-Daten zwischen WINS-Servern, sollte nur zwischen bekannten und vertrauten WINS-Servern erlaubt sein. Dazu muss die Liste der WINS-Server, mit denen repliziert werden darf, für jeden WINS-Server konfiguriert werden. Dies verhindert, dass "bösartige" WINS-Server inkonsistente oder verfälschte WINS-Daten in einen WINS-Serververbund einbringen. Insbesondere dürfen WINS-Daten nicht mit Domänen, zu denen keine Vertrauensstellungen existieren (untrusted), ausgetauscht werden.
- WINS erlaubt die automatische Konfiguration der WINS-Replikationspartner und der zur Replikation benutzten Topologie (Autodiscovery-Funktion). Dieser Automatismus sollte nicht genutzt werden. Vielmehr ist die WINS-Replikationstopologie zu planen und explizit über die Replikationspartnerlisten im Eigenschaftsdialog eines WINS-Servers zu konfigurieren. Bei der Planung muss festgelegt werden, wo WINS-Server im Netz angesiedelt werden und welcher Server mit welchem Server repliziert.
Wie bei DNS besteht die Hauptgefahr auch bei WINS darin, dass die Adressen-Namens-Zuordnungen verfälscht werden, wodurch Sicherheitseinstellungen unterlaufen werden. Daher sind diese Daten besonders schutzwürdig und erfordern die Umsetzung der angegebenen Schutzmaßnahmen. Je nach Nutzungsszenario sind jedoch auch weitere Maßnahmen notwendig, wie beispielsweise physikalische oder organisatorische Sicherheitsmaßnahmen.
Wird ein WINS-Server aus dem Betrieb genommen, so muss sichergestellt werden, dass dies nach dem vorgeschriebenen Verfahren geschieht, um zu verhindern, dass dessen WINS-Daten weiter im Netz zwischen den verbleibenden WINS-Servern repliziert werden. Im Wesentlichen muss dazu auf allen WINS-Clients des zu entfernenden Servers die WINS-Konfiguration so geändert werden, dass diese nicht mehr auf den WINS-Server zugreifen. Danach müssen alle WINS-Einträge des Servers, der entfernt werden soll, zunächst als "veraltet" markiert werden (tomb-stoning). Anschließend wird die Replikation zu allen Replikationspartnern von Hand gestartet (für den Eintrag Replikationspartner Menü Vorgang/Jetzt Replizieren). Nach erfolgreicher Replikation mit allen Partnern kann der Server entfernt werden. Detaillierte Hinweise zum korrekten Entfernen (Decommissioning) eines WINS-Servers finden sich in der Windows 2000 Hilfe.
Ergänzende Kontrollfragen:
- Ist geprüft worden, ob auf den Einsatz von WINS verzichtet werden kann?
- Sind die WINS-Dateien gegen unbefugten Zugriff geschützt?
- Werden die WINS-Daten regelmäßig gewartet?
- Ist die automatische Konfiguration der WINS-Replikationspartner für jeden WINS-Server deaktiviert?
- Ist für jeden WINS-Server die Liste der erlaubten Replikationspartner konfiguriert?