M 4.280 Sichere Basiskonfiguration von Windows Server 2003
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Sichere Konfiguration bedeutet die Umsetzung von Einstellungen, die sich aus den Sicherheitsrichtlinien und -vorgaben, den Rollen des Servers und der IT-Umgebung ergeben. Eine Reihe von Einstellungen findet sich bei vielen Rollen und Szenarien wieder.
Die sichere Basiskonfiguration muss während der Bereitstellung des Servers, bei Änderungen der Serverkonfiguration und bei Änderungen von Vorgaben und Richtlinien durchgeführt werden. Außerdem empfiehlt es sich, die Durchsetzung der Einstellungen turnusmäßig zu überprüfen, um Fehleinstellungen durch alltägliche Administrationsarbeiten oder sonstige Einflüsse zu vermeiden.
Die notwendigen Einstellungen sind zu identifizieren, z. B. in Form einer Checkliste. In der Liste sollten die bei der Grundschutzmodellierung gefundenen Maßnahmen berücksichtigt werden.
Standard-Sicherheitseinstellungen und Sicherheitsvorlagen
Für die gefundenen Einstellungen sollten nach Möglichkeit Sicherheitsvorlagen und administrative Vorlagen (M 2.368 Umgang mit administrativen Vorlagen unter Windows Server 2003) erstellt werden. Dadurch wird der Grad an Standardisierung und Automatisierung der Basiskonfiguration erhöht, die Einstellungen können später leichter überprüft und revisioniert werden. Die Basiskonfiguration kann mit relativ wenig Aufwand dokumentiert werden, indem die Vorlagen exportiert und der Dokumentation beigefügt werden. Darauf aufbauend kann ein Freigabeprozess für die Basiskonfiguration im IT-Änderungsmanagement (M 2.221 Änderungsmanagement) etabliert werden.
Die genannten Aspekte setzen voraus, dass die Standardeinstellungen von Windows Server 2003 nicht willkürlich manipuliert wurden. Standard-Gruppenmitgliedschaften sollten belassen, Basisrechte für systeminterne Konten (z. B. NT-Autorität) sollten nicht manipuliert werden. Standardberechtigungen in Subkomponenten wie z. B. WMI und den Komponentendiensten sollten erhalten bleiben. Abweichungen sollten in Form von Checklisten und Vorlagen geplant, begründet und durchgeführt werden, insbesondere wenn die Abweichung eine Verschlechterung des Sicherheitsstandards bewirken könnte. Als Referenz für Standardeinstellungen dienen die mitgelieferten Sicherheitsvorlagen, hauptsächlich defltsv.inf (für Server) und defltdc.inf (für Domänencontroller) im Ordner C:\WINDOWS\inf. In der Vorlage setup security.inf (Ordner C:\WINDOWS\security\templates) sind alle Einstellungen nach Abschluss des Setup-Programms festgehalten. Weitere Informationen sind in M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003 zu finden.
Weitere Referenzen sind die Konfigurationsvorlagen des Sicherheitskonfigurations-Assitenten (ab Service Pack 1), die Tabelle Windows Default Security and Services Configuration.xls (aus der Herstellerdokumentation"Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP" Version 2.0 vom 27. Dezember 2005 oder später), die Maßnahmen des IT-Grundschutzes sowie sonstige Dokumentationsunterlagen des Herstellers.
In den weiteren Abschnitten dieser Maßnahme werden einige Einstellungen und Vorgaben aufgezählt. Sie sind nicht in anderen Maßnahmen für Windows Server 2003 enthalten, beeinflussen aber die Sicherheit der Basiskonfiguration. Sie sollten beim Erstellen der Checkliste ebenfalls berücksichtigt werden.
Wichtige sicherheitsrelevante Funktionen
Festplattenpartitionen sollten bei der ersten Formatierung ausschließlich mit NTFS formatiert werden. Das Setup-Programm von Windows Server 2003 nimmt während der Installation u. U. eine Konvertierung der Systempartition vor. Auf einem produktiven System sollte das nachträgliche Konvertieren von FAT 32-Partitionen jedoch vermieden und gleich NTFS gewählt werden.
Aus der Auslagerungsdatei des Arbeitsspeichers können unverschlüsselte Daten extrahiert werden. Die Auslagerungsdatei sollte bei jedem Herunterfahren automatisch gelöscht werden:
Start | Systemsteuerung | Verwaltung | Konsole Lokale Sicherheitsrichtlinie öffnen | auswählen des Knotens Lokale Richtlinien | Sicherheitsoptionen | Herunterfahren: Auslagerungsdatei des Virtuellen Arbeitsspeichers löschen
Ein weiteres Gefahrenpotential stellen die automatische Hardware-Erkennung (Plug and Play) sowie Autorun-Funktionen (Automatisches Starten von Programmen) dar, falls der Server nicht hinreichend vor unbefugtem Zugang geschützt ist. Alle nicht benötigten Anschlüsse sollten deaktiviert werden (z. B. im BIOS und im Windows-Gerätemanager). Es ist auch zu überlegen, ob Laufwerke für Wechseldatenträger entfernt oder physikalisch verschlossen werden können. Alternativ kann die Verwendung von Wechselmedien durch Software-Werkzeuge von Drittherstellern kontrolliert werden. Windows bietet hierfür keine eigenen ausreichenden Mittel.
Der sichere Betrieb von mehreren Servern setzt eine synchrone Systemzeit voraus. Hierfür kann der im System vorhandene Client für das Network Time Protocol (NTP) genutzt werden
Besitzer haben immer besondere Berechtigungen auf ihre Objekte. Erstellt ein administrativer Benutzer ein Objekt, ist standardmäßig die lokale Sicherheitsgruppe Administratoren der Besitzer. Für Gruppen als Besitzer von Objekten kann die Überwachung nicht optimal gelöst werden. Datenträgerkontingente werden ebenfalls anhand des Dateibesitzes diskreter Benutzer gesteuert. Durch Gruppen als Besitzer von Dateien kommen irreführende Kontingenteinträge und Screeningergebnisse (ab Windows Server 2003 R2) zustande.
Diese Problematik sollte in erster Linie durch geeignete Konzepte gelöst werden, welche sich mit den Bereichen Überwachungseinstellungen, Berechtigungen (z. B. Berechtigungskonzept) und Datenträgerkontingente (z. B. Teilkonzept für einen Dateiserver) befassen.
Wenn keine Kompatibilität zu Windows NT 4.0, Windows ME/98 oder früher benötigt wird, sollte überlegt werden, die anonyme Aufzählung von Freigaben zu deaktivieren:
Start | Systemsteuerung | Verwaltung | Konsole Lokale Sicherheitsrichtlinie öffnen | auswählen des Knotens Lokale Richtlinien | Sicherheitsoptionen |Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben setzen auf Aktiviert
Weitere Sicherheitskomponenten
Auf unveränderten Windows-Server-2003-Installationsdatenträgern befindet sich eine eingeschränkte Kommandozeilenumgebung (Wiederherstellungskonsole), die auf dem Server alternativ zum Betriebssystem gestartet werden kann. Damit kann die Konfiguration des installierten Windows-Betriebsystems manipuliert werden. Für die Authentisierung wird das Kennwort des in der Windows-Server-2003-Installation standardmäßig vordefinierten Administratorkontos abgefragt. Dies funktioniert unabhängig davon, ob das Konto umbenannt oder deaktiviert wurde. Die Wiederherstellungskonsole kann auch direkt auf die Festplatte installiert werden und verhält sich wie ein zusätzlich installiertes Betriebssystem. In beiden Fällen stellt dies einen Eingriff in den Bootvorgang dar, wodurch dieser weniger geschützt ist. Die Installation der Wiederherstellungskonsole sollte daher nicht willkürlich erfolgen, sondern in einer Richtlinie geregelt werden. Die Sicherheitseinstellungen nach einer Standardinstallation (Start | Systemsteuerung | Verwaltung | Konsole Lokale Sicherheitsrichtlinie öffnen | auswählen desKnotens Lokale Richtlinien | Sicherheitsoptionen |Wiederherstellungskonsole) sollten beibehalten werden.
Nach einer Standardinstallation ist die Verstärkte Sicherheitskonfiguration für Internet Explorer aktiv (Systemsteuerung | Software | Windows-Komponenten). Diese Komponente sollte nur deaktiviert werden, falls eine Internet-Explorer-basierte Applikation (eines Drittherstellers), die auf dem Server benötigt wird, nicht damit kompatibel ist.
Die Windows-Firewall wird ab Windows Server 2003 mit Service Pack 1 beim Boot-Vorgang gemeinsam mit dem TCP/IP-Protokoll geladen und aktiviert, wodurch das TCP/IP-Protokoll bereits während des Bootvorgangs besser geschützt wird. Der Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung muss dafür auf Automatisch gesetzt sein.
Nach dem Bootvorgang ist die Firewallfunktionalität (nicht der Dienst selbst) standardmäßig wieder inaktiv. Bei Sicherheitsvorfällen im lokalen Netz (sich ausbreitende Schadprogramme oder Angriffe von innen) ist der Server ungeschützt. Daher sollte überlegt werden, die Aktivierung der Windows-Firewall bei einer sicheren Basiskonfiguration zu berücksichtigen.
Hierzu können gezielt die typischen Dienste und Funktionen in der lokalen Gruppenrichtlinie (Start | Ausführen... | gpedit.msc) freigeschaltet werden (Computerkonfiguration | Administrative Vorlagen | Netzwerk | Netzwerkverbindungen | Windows Firewall)oder die Konfiguration mittels des SCW durchgeführt werden. Die Windows-Firewall unterstützt RPC-Dienste, welche über die vordefinierten Konten Lokales System, Lokaler Dienst und Netzwerkdienst laufen, beispielsweise für die Remote-Administration. Zusatzsoftware mit RPC-Diensten muss vorher getestet werden.
Nicht benötigte Funktionen abschalten
Auf einem Windows Server 2003 System sind häufig Basis- und Hilfsfunktionen aktiv, die nicht in jedem Fall benötigt werden. Es gilt das Prinzip: deaktivieren, um die Angriffsfläche und unnötige Risiken zu minimieren. Möglicherweise sinkt dadurch die Flexibilität von Windows Server 2003 und der Administrationsaufwand steigt. Aus Sicherheitsgründen sollten deaktivierte Funktionen trotzdem nur mit entsprechender Begründung bzw. Dokumentation wieder aktiviert werden.
Es sollte genau überlegt werden, welche Funktionen für den konkreten Einsatz eines Windows Servers 2003 benötigt werden, so dass nur diese aktiviert werden. Hinweise zu nicht benötigten Funktionen sind auch in der Herstellerdokumentation "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP" Version 2.0 vom 27. Dezember 2005 oder später erwähnte Excel-Datei Windows Default Security and Services Configuration.xls zu finden. Generell sollten nicht benötigte Funktionen deaktiviert werden.
Hinweis: Durch zu restriktives Abschalten von Diensten kann das System in einen nicht lauffähigen Zustand geraten. Zum Erhalt der Verfügbarkeit des Systems ist ein entsprechender Testaufwand zu betreiben.
Dokumentation
Die Dokumentation der Basiskonfiguration sollte den Anforderungen des Änderungsmanagements entsprechen. Sie sollte alle verwendeten Vorlagen mit Versionsnummer und Beschreibung enthalten. Für jeden Server sollte ersichtlich sein, welche Vorlagen bei ihm wirken.
Prüffragen:
- Gibt es eine Checkliste oder ein anderes Dokument, worin alle notwendigen Einstellungen dokumentiert sind?
- Gibt es, falls nötig, für alle notwendigen Einstellungen Sicherheitsvorlagen und administrative Vorlagen?
- Sind die Standardeinstellungen zu Gruppenmitgliedschaften, für systeminterne Konten und für Berechtigungen unverändert?
- Sind alle unbenötigten Hardware-Anschlüsse deaktiviert?
- Ist die Systemzeit mit der Zeit der anderen IT-Systeme im Informationsverbund synchronisiert?
- Gibt es ein Konzept, welches verhindert, dass keine Gruppen die Besitzer von Objekten sind?
- Gibt es eine Richtlinie zur Wiederherstellungskonsole?
- Wird der Dienst "Windows-Firewall" automatisch während des Boot-Vorgangs gestartet?
- Sind alle nicht benötigten Funktionen abgeschaltet?
- Gibt es eine Dokumentation für das Änderungsmanagement?