M 2.370 Administration der Berechtigungen unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Leiter IT

Übersicht der zur Verfügung stehenden Berechtigungskonzepte

Das Sicherheitsmodell mit Konten, Gruppen und Zugriffsberechtigungen beschränkt sich keineswegs auf Objekte im Dateisystem NTFS. Vielmehr können in fast allen Bereichen des Betriebssystems Berechtigungen auf eine Vielzahl von Objekten vergeben werden. Somit können die Berechtigungen für jede Art von authentisierbaren Konten fein granuliert werden.

Aspekte des Berechtigungsmodells von Windows Server 2003 sind:

Folgende Berechtigungseinstellungen sind nicht Teil des oben genannten Berechtigungsmodells:

Die Möglichkeiten dieser Berechtigungseinstellungen werden unter den Hilfsmitteln zum IT-Grundschutz (siehe Administration der Berechtigungen unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003) erläutert.

Schulung

Das Verständnis der oben aufgezählten Mechanismen und der dahinter stehenden Philosophien muss den Administratoren durch Schulungen und Bereitstellung von Fachbüchern vermittelt werden. Ansonsten ist ein sicherer Betrieb der jeweils eingesetzten Mechanismen und damit von Windows Server 2003 insgesamt nicht zu gewährleisten.

Je nach Aufgabenbereich der Administratoren sollten sie auch zu den entsprechenden Komponenten geschult werden, um die Auswirkung von Berechtigungskonfigurationen einschätzen und vorausplanen zu können.

Details zu einzelnen Berechtigungen in den verschiedenen Bereichen des Betriebssystems können aus der Online-Hilfe von Windows und der Microsoft Technet Dokumentation für Administratoren entnommen werden.

Grundregeln

Die Administration von Berechtigungen für Benutzerkonten und administrative Konten erfordert ein Grundverständnis der Berechtigungs- und Sicherheitsmechanismen und die Einhaltung gewisser Grundregeln. Vor allem scheinbar kleine Berechtigungsänderungen im laufenden Betrieb ohne vorherige Tests müssen besonders sorgfältig durchgeführt werden, um die Verfügbarkeit des IT-Systems nicht zu gefährden.

Bei allen Tätigkeiten und Planungen im Zusammenhang mit dem Einräumen von Berechtigungen sollte immer das Prinzip der geringsten Berechtigungen (englisch Least Privileges) gelten. Das müssen nicht immer die absolut minimalen Berechtigungen zum Erfüllen einer spezifischen Aufgabe sein. Vielmehr sollten einem Konto nicht "vorsorglich" weit reichende Berechtigungen eingeräumt werden, sondern es soll nur solche Berechtigungen erhalten, die zur Abdeckung der für das Konto definierten Anforderungen notwendig sind. Berechtigungen können Schritt für Schritt auf ein höheres Niveau angehoben werden, wenn die Anforderungen dies rechtfertigen. Ein Konto sollte z. B. nicht Vollzugriff auf eine Ressource bekommen, wenn der Benutzer des Kontos keine administrativen Tätigkeiten auf der Ressource auszuführen braucht.

Eine generelle Schwierigkeit besteht in der Vorhersage der Auswirkungen einer bestimmten Berechtigungskonfiguration. Windows Server 2003 bietet verschiedene Simulationswerkzeuge zur Vorhersage der Auswirkungen von Berechtigungskonfigurationen an:

Von den Simulationswerkzeugen sollte bei der Modellierung von Berechtigungen und bei der Administration im laufenden Betrieb intensiv Gebrauch gemacht werden. Es ist zu empfehlen, dies beim Freigabeprozess für Konfigurationsänderungen in einer entsprechenden IT-Sicherheitsrichtlinie zu formulieren.

Account Sharing, vergessene Kennwörter

Benutzerkonten dürfen nicht von mehreren Personen verwendet werden (so genanntes Account Sharing). Dies gilt für administrative wie für normale Benutzerkonten. Falls der Administrator aus zwingenden organisatorischen Gründen ein geteiltes Konto zur Verfügung stellen muss, ist dies für den Einzelfall zu begründen und zu dokumentieren. Das verwendete Konto, das Verfahren für die Durchsetzung der Kennwortrichtlinie, die Berechtigungen ( ACL ) und Überwachungseinstellungen (SACL) sowie der berechtigte Personenkreis sind zu dokumentieren. Der Missbrauch kann hier nur auf organisatorischem Wege vermieden werden. Geteilte Benutzerkonten sind ähnlich administrativen Konten als kritische Konten einzustufen und bei der Systemüberwachung zu berücksichtigen.

Der Forgotten Password Wizard von Windows XP/2003 dient zum Zurücksetzen vergessener lokaler Kennwörter, ohne dass lokal gespeicherte private Schlüssel dabei gelöscht werden. In einer Umgebung mit zentralisierter Authentisierung sollte dieser Wizard nicht verwendet werden, da er die Sicherheit eines solchen Konzeptes unterläuft. Password-Reset-Disketten dürfen nicht erstellt werden. Dies muss in der IT-Sicherheitsrichtlinie festgehalten werden und kann z. B. mittels Gruppenrichtlinien durchgesetzt werden.

Ergänzende Kontrollfragen: