M 4.313 Bereitstellung von sicheren Domänen-Controllern

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Da auf den Domänen-Controllern die Active-Directory-Infrastruktur gespeichert ist, müssen diese entsprechend sicher konfiguriert werden. Die folgenden Sicherheitsempfehlungen sollen dabei helfen, die Risiken bei der Bereitstellung von Domänen-Controllern auf ein Minimum zu reduzieren.

Sicherer Betrieb von Domänen-Controllern

Grundsätzlich sollten Domänen-Controller in einer sicheren Umgebung, z. B. in einem Rechenzentrum oder in Räumlichkeiten, deren Zugang nur vertrauenswürdigem Personal möglich ist, aufgestellt werden. Darüber hinaus sollten sie durch eine gesicherte Infrastruktur, beispielsweise mit Routern, Switches etc. zusätzlich abgesichert werden.

Die Betriebssystem-Installation sollte unter Berücksichtigung der in den IT-Grundschutz-Katalogen enthaltenen Bausteine zu den einzelnen Windows-Server-Betriebssystemen in der Schicht 3 durchgeführt werden.

Vorhersagbare und wiederholbare Bereitstellungen

Um mögliche Konfigurationsfehler zu vermeiden und einen einheitlichen Sicherheitsstand zu erhalten, sollte ausgehend von einer Referenzinstallation eine abbildbasierte Einrichtung der Domänen-Controller vorgenommen werden. Ferner sollten auch die Sicherheitseinstellungen in der Basiseinrichtung der Domänen-Controller einheitlich vorgenommen werden. Dies sollte durch die Implementierung eines vorhersagbaren und leicht zu wiederholenden Bereitstellungsvorgangs erreicht werden. Dies beinhaltet:

Begrenzung auf erforderliche Dienste

Um die sich bietende Angriffsfläche der Domänen-Controller möglichst gering zu halten, sollten die zur Verfügung gestellten Dienste auf das betrieblich notwendige Maß begrenzt werden.

Berechtigung ausführbarer Dateien

Um nach der Heraufstufung der Domänen-Controller die Stammordner der Datenträger vor Speicherplatzangriffen zu schützen, sollten die Berechtigungen für die Gruppe "Jeder" auf "Lesen und Ausführen" eingrenzt werden. Der "Vollzugriff" ist lediglich für die Administratoren zu erteilen.

Systemstart von anderen Betriebssystemen verhindern

Ein Systemstart von anderen Betriebssystemen auf den Domänen-Controllern kann die Zugangsrestriktionen von NTFS aushebeln und einen Zugriff auf kritische Daten ermöglichen. Neben der bereits erwähnten räumlichen Absicherung der Server sind daher ebenfalls organisatorische Vorkehrungen zu treffen.

Die Deaktivierung des Remote-Netzstarts und somit auch die Möglichkeit zur Remote-Netzinstallation, z. B. durch Remote Installation Services (RIS) oder Bootstrap Protocol (BOOTP), sollte wie auch die Verwendung eines BIOS -Kennwortes beim Systemstart vorgesehen werden.

Neustart-Schutz mit SYSKEY

Der Einsatz der Systemschlüssel (SYSKEY) schützt Sicherheitsinformationen unter Windows vor Offline-Angriffen. Die Kennwörter in der Active Directory-Datenbank und der lokalen Sicherheitsautorität (LSA) werden hierzu verschlüsselt auf dem Domänen-Controller hinterlegt. Bei einem Neustart des Domänen-Controllers ist nach Aktivierung des SYSKEY entweder das Kennwort oder der Datenträger mit dem Systemschlüssel erforderlich, andernfalls kann der Computer nicht gestartet werden. In jedem Fall ist es notwendig, den Datenträger mit dem Systemschlüssel nach Gebrauch wieder aus dem Domänen-Controller zu entfernen und an einem sicheren Ort zu hinterlegen. Es sollte außerdem sichergestellt sein, dass auch eine Arbeitskopie dieses Datenträgers vorhanden ist.

Prüffragen: