M 4.139 Konfiguration von Windows 2000 als Server
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Nutzung von Windows 2000 als Serverbetriebssystem stellt eine der drei Hauptnutzungsvarianten dar. Generell können Server als Rechner angesehen werden, die Dienste zur Nutzung durch Clients, d. h. durch Arbeitsplatzrechner, aber auch durch andere Server, anbieten. Die angebotenen Dienste können sehr vielfältig sein, wenn zusätzliche Produkte von Drittherstellern zum Einsatz kommen.
Schon in einer Standarddistribution von Windows 2000 Server sind verschiedene Dienste enthalten, die meist Systemdienst-Charakter besitzen und damit als Infrastrukturdienste angesehen werden können (siehe auch M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste).
Aus Sicherheitssicht ist für einen Server Folgendes zu beachten:
- Die Sicherheit eines Servers hängt wesentlich von den eingesetzten Diensten ab. Ist ein Dienst fehlerhaft konfiguriert oder programmiert, so können diese Fehler unter Umständen dazu genutzt werden, auf den Server in unberechtigter Weise zuzugreifen. Aus diesem Grund kommt der sicheren Konfiguration aller von einem Server angebotenen Dienste eine besondere Bedeutung zu. Hinweise zur sicheren Konfiguration von wichtigen Windows 2000 Diensten finden sich in M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste. Für die Konfiguration von Diensten von Drittherstellern können an dieser Stelle keine allgemeinen Empfehlungen geben werden.
- Auf einem Server sollten alle nicht benötigten Systemdienste abgeschaltet werden. Dies verhindert, dass diese Dienste durch Dritte unberechtigt oder für Angriffe genutzt werden können.
- Die auf einem Server eingesetzten Dienste sollten auf ihre wechselseitige Verträglichkeit geprüft werden. Oft entstehen Sicherheitslücken erst durch die Kombination von Diensten. Die Verträglichkeitsprüfung ist jedoch schwierig und erfordert in der Regel eine genaue Analyse. Allgemeine Hinweise dazu lassen sich leider nicht geben. Es empfiehlt sich jedoch auch aus Gründen der Fehlertoleranz, Dienste nicht auf einem Server zu kumulieren, sondern auf verschiedene, unter Umständen dedizierte Server zu verteilen.
- Auf einem Server sollte kein Benutzerbetrieb stattfinden. Ausnahmen sind naturgemäß Terminalserver. Die Konfiguration der zulässigen Benutzer kann unter Windows 2000 über Gruppenrichtlinien gesteuert werden. Die dazu wichtigen Einstellungen sind die Benutzerrechte Logon Locally und Access this computer from the network.
- Dienste können unter den Berechtigungen eines bestimmten Benutzerkontos ablaufen. Nach der Standardinstallation eines Dienstes wird jedoch meist das Konto des lokalen Rechners (Local System) benutzt, welches dem Dienst Betriebssystemprivilegien gibt. Für Dienste, die diese privilegierten Berechtigungen nicht zwingend zum Ablauf benötigen, empfiehlt sich daher die Nutzung eines eigenen, dedizierten Dienstkontos. Das gewünschte Konto ist nach dem Anlegen unter dem Punkt Dieses Konto auf der Registerkarte Anmelden im Eigenschaftsdialog des Dienstes in der Diensteverwaltung (Systemsteuerung/Computerverwaltung/Dienste) einzutragen. Hier muss auch das Passwort des jeweiligen Kontos angegeben werden. Auf diese Weise lässt sich auch die Zugriffskontrolle auf lokale oder entfernte Ressourcen implementieren, sodass einem Dienst nur die Zugriffsberechtigungen erteilt werden, die für den geregelten Ablauf nötig sind. Insbesondere verhindert dies, dass bei einer Kompromittierung des Dienstes der Angreifer Betriebssystemberechtigungen erhält.
Problematisch ist dabei jedoch, dass neue Dienste meistens standardmäßig unter den Berechtigungen Local System ablaufen. Dies gilt auch für die Windows Standarddienste. Außerdem ist es oft unklar, ob diese Dienste auch unter einem dedizierten Dienstkonto ablauffähig sind und welche Berechtigungen diesem Konto eingeräumt werden müssen. Dies kann im Regelfall nur durch Tests herausgefunden werden. - Werden für Dienste dedizierte Dienstkonten genutzt, so sollten diese Konten für den interaktiven Zugang zum System gesperrt werden. Das Anmelden als Dienst muss hingegen erlaubt werden. Außerdem ist ein sicheres Passwort für das Dienstkonto zu vergeben. Zur Verwaltung von Dienstkonten existieren Produkte von Drittherstellern, die auch ein Passwortmanagement erlauben.
- Für komplexe Dienste, die meist über eine lokale Datenhaltung verfügen, empfiehlt sich die Nutzung dedizierter Rechner. Beispiele hierfür sind u. a. der RAS-Dienst und die Internet Information Services (IIS). Je nach Funktion empfiehlt es sich auch, eine eigene Windows Domäne für gleichartige Dienstrechner, wie z. B. für Internetserver zu erzeugen, sodasss auch auf Domänenebene eine Trennung erfolgen kann. Je nach Einsatzszenario können dann Zugriffsbeschränkungen für diese Domänenmitglieder eingerichtet werden, wie beispielsweise der Entzug der Vertrauensstellung.
- Werden durch einen Server Netzfreigaben angeboten, wie beispielsweise durch einen Dateiserver, so ist auf die Vergabe geeigneter Zugriffsrechte zu achten. Dies betrifft sowohl die Netzfreigabe, als auch die durch die Freigabe angebotenen Verzeichnisse und Dateien (siehe dazu auch M 4.149 Datei- und Freigabeberechtigungen unter Windows).
- Generell empfiehlt es sich, die Zugriffe auf die Ressourcen eines Servers zu protokollieren. Daher sollten für Server Protokolleinstellungen entworfen und umgesetzt werden, die für die Überwachung im Rahmen der jeweiligen Nutzungsszenarien geeignet sind. Diese müssen in das Überwachungskonzept (sieheM 4.148 Überwachung eines Windows 2000/XP Systems) integriert sein. Da hier meist auch benutzerbezogene Daten erfasst werden, sollte sowohl der Datenschutzbeauftragte als auch der Personal- bzw. Betriebsrat rechtzeitig in die Planung einbezogen werden.
Die aufgezeigten Empfehlungen sind als Anregung für weitere Maßnahmen zu verstehen, die in Abhängigkeit spezieller Dienste und deren Funktion durchgeführt werden müssen. Vor Einführung eines neuen Dienstes sollte daher eine geeignete Analyse der Auswirkungen auf die Systemsicherheit sowie eine Schutzbedarfsfeststellung erfolgen (siehe dazu auch IT-Grundschutz-Vorgehensweise).
Ergänzende Kontrollfragen:
- Werden nur die benötigten Dienste auf einem Server ausgeführt?
- Sind bei Nutzung mehrerer Dienste auf einem Server Abhängigkeiten und Seiteneffekte berücksichtigt worden?
- Ist der lokale Benutzerbetrieb für Server unterbunden worden?
- Werden Dienste - wenn möglich - unter eigenen Konten ausgeführt?
- Werden Zugriffe auf die Server-Ressourcen gemäß des Überwachungskonzeptes protokolliert?
- Sind für Dateiserver bedarfsgerechte und minimale Zugriffsrechte auf die Netzfreigaben und die freigegebenen Ressourcen vergeben?