B 3.106 Server unter Windows 2000

LogoWindows 2000 Server

Beschreibung

Windows 2000 ist das Nachfolgeprodukt zum Betriebssystem Windows NT, das häufig eingesetzt wird, um kleine, mittlere und auch große Rechnernetze aufzubauen. Es ist zu erwarten, dass Windows 2000 in Zukunft die Rolle von Windows NT übernimmt, so dass mit einer entsprechend großen Verbreitung zu rechnen ist. Die Sicherheit eines solchen Betriebssystems spielt eine wichtige Rolle, da Schwachstellen auf der Betriebssystemebene die Sicherheit aller Anwendungen beeinträchtigen können. Der vorliegende Baustein beschreibt die aus Sicherheitssicht relevanten Gefährdungen und insbesondere auch Maßnahmen, die für einen Server mit Windows 2000 zutreffen.

Windows 2000 Produkte im Überblick

Die Windows 2000 Produktfamilie umfasst die Arbeitsplatz-Variante "Microsoft Windows 2000 Professional", die vergleichbar mit der Workstation Version von Microsoft Windows NT ist (siehe dazu Baustein B 3.207 Client unter Windows 2000) und drei verschiedene Server-Versionen:

Die einzelnen Versionen des Microsoft Windows 2000 Server Betriebssystems unterscheiden sich dabei hauptsächlich in der Skalierbarkeit. Die unterstützte Hardware-Ausstattung liegt z. B.

Die zugrunde liegende Architektur der Software und die verfügbaren Dienste unterscheiden sich nur in wenigen Punkten. So unterstützen z. B. der Advanced Server und der Datacenter Server im Gegensatz zur Windows 2000 Server Software auch Clustering-Mechanismen, mit denen mehrere physikalische Rechner zu einem virtuellen Rechner mit erhöhter Ausfallsicherheit zusammengeschaltet werden können.

Hauptunterschiede zu Windows NT

Windows 2000 bietet im Vergleich zu Windows NT einige neue Sicherheitsmechanismen. Hauptsächlich ist hier das Kerberos-Protokoll zu nennen, das von Windows 2000 standardmäßig als Authentisierungsverfahren benutzt wird. Das NTLM-Verfahren von Windows NT kann ebenfalls zur Authentisierung benutzt werden, so dass ein gemeinsamer Betrieb von Windows NT und Windows 2000 Rechnern innerhalb einer Windows 2000 Domäne möglich ist.

Durch die Verwendung des Kerberos-Verfahrens wird es einfacher, die Authentisierung von Benutzern zu delegieren. Dies ist eine der Voraussetzungen für den Betrieb großer Windows 2000 Netze, in denen sich Benutzer auch über Domänengrenzen hinweg authentisieren können.

Eine der wichtigsten neuen Komponenten unter Windows 2000 ist das Active Directory. Dabei handelt es sich um eine verteilte Datenbank, die die Benutzer- und Konfigurationsdaten einer Domäne auf mehrere Domänen-Controller verteilt. Änderungen können an jedem Domänen-Controller vorgenommen werden. Die Domänen-Controller replizieren diese Änderungen untereinander. Durch die Verwendung des Active Directory werden größere Domänen möglich als bei Windows NT. Zum einen kann die Active Directory Datenbank wesentlich mehr Einträge fassen, als die SAM- Benutzerdatenbank eines Windows NT Domänen-Controllers. Zum anderen lässt sich aufgrund der verteilten Struktur des Active Directories die Last besser auf mehrere Domänen-Controller verteilen, als dies bei Windows NT der Fall ist.

Unter Sicherheitsaspekten spielt das Active Directory eine wichtige Rolle, da es

Sollte der Windows 2000 Server die Rolle eines Domänen Controller in einer Active Directory Gesamtstruktur übernehmen, so ist der Baustein B 5.16 Active Directory gemäß der Modellierungsanweisung anzuwenden.

Weitere sicherheitsspezifische Neuerungen von Windows 2000 sind

Ein weiterer Punkt, in dem sich Windows NT und Windows 2000 unterscheiden, ist die Voreinstellung der Zugriffsrechte auf das Dateisystem: Unter Windows 2000 lassen sich diese Zugriffsrechte restriktiver konfigurieren als unter Windows NT. Eine solche restriktive Konfiguration ist nicht zwingend erforderlich, unter Sicherheitsgesichtspunkten jedoch wünschenswert. Ihre Verwendung kann jedoch zu Problemen mit Windows NT Applikationen führen, die für eine solche Rechtekonfiguration nicht ausgelegt sind.

Gefährdungslage

Wie jedes IT-System ist auch ein Netz von Microsoft Windows 2000 Rechnern vielfältigen Gefahren ausgesetzt. Dabei sind neben Angriffen von außen auch Angriffe von innen möglich. Oft nutzen erfolgreiche Angriffe Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten. Daher kommt der korrekten Konfiguration des Systems und seiner Komponenten eine wichtige Rolle zu. Generell gilt, dass die Gefährdungslage einzelner Rechner immer auch vom Einsatzszenario abhängt und diese Einzelgefährdungen auch in die Gefährdung des Gesamtsystems eingehen.

Für den IT-Grundschutz eines servergestützten Netzes unter dem Betriebssystem Microsoft Windows 2000 werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.18 Ungeregelte Weitergabe von Datenträgern

Menschliche Fehlhandlungen

- G 3.9 Fehlerhafte Administration von IT-Systemen
- G 3.48 Fehlerhafte Konfiguration von Windows basierten IT-Systemen

Technisches Versagen

- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische Erkennung von Wechseldatenträgern
- G 4.35 Unsichere kryptographische Algorithmen

Vorsätzliche Handlungen

- G 5.7 Abhören von Leitungen
- G 5.23 Schadprogramme
- G 5.52 Missbrauch von Administratorrechten bei Windows-Betriebssystemen
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen
- G 5.83 Kompromittierung kryptographischer Schlüssel
- G 5.84 Gefälschte Zertifikate
- G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den erfolgreichen Aufbau eines Windows 2000 Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Installation bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Nachfolgend wird nun das Maßnahmenbündel für den Baustein "Windows 2000" vorgestellt.

Planung und Konzeption

- M 2.227 (A) Planung des Windows 2000 Einsatzes
- M 2.228 (A) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.232 (C) Planung der Windows 2000/2003 CA-Struktur
- M 2.233 (B) Planung der Migration von Windows NT auf Windows 2000
- M 4.147 (Z) Sichere Nutzung von EFS unter Windows

Umsetzung

- M 4.48 (A) Passwortschutz unter NT-basierten Windows-Systemen
- M 4.75 (A) Schutz der Registry unter NT-basierten Windows-Systemen
- M 4.136 (A) Sichere Installation von Windows 2000
- M 4.137 (A) Sichere Konfiguration von Windows 2000
- M 4.139 (A) Konfiguration von Windows 2000 als Server
- M 4.140 (A) Sichere Konfiguration wichtiger Windows 2000 Dienste
- M 4.141 (A) Sichere Konfiguration des DDNS unter Windows 2000
- M 4.142 (B) Sichere Konfiguration des WINS unter Windows 2000
- M 4.143 (B) Sichere Konfiguration des DHCP unter Windows 2000
- M 4.144 (B) Nutzung der Windows 2000 CA
- M 4.145 (A) Sichere Konfiguration von RRAS unter Windows 2000
- M 4.149 (A) Datei- und Freigabeberechtigungen unter Windows
- M 5.89 (A) Konfiguration des sicheren Kanals unter Windows
- M 5.90 (Z) Einsatz von IPSec unter Windows

Betrieb

- M 4.56 (C) Sicheres Löschen unter Windows-Betriebssystemen
- M 4.146 (A) Sicherer Betrieb von Windows Client-Betriebssystemen
- M 4.148 (B) Überwachung eines Windows 2000/XP Systems

Notfallvorsorge

- M 6.43 (Z) Einsatz redundanter Windows-Server
- M 6.76 (C) Erstellen eines Notfallplans für den Ausfall von Windows-Systemen
- M 6.77 (A) Erstellung von Rettungsdisketten für Windows 2000
- M 6.78 (A) Datensicherung unter Windows Clients