M 4.284 Umgang mit Diensten unter Windows Server 2003

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Dienste werden unter dem Sicherheitskontext bestimmter Konten ausgeführt (so genannte Dienstkonten). Zugriffe auf Ressourcen erfolgen mittels des Dienstkontos, ähnlich wie bei einem Benutzer mit Benutzerkonto. Einmal gestartet bleiben Dienste prinzipiell aktiv, also bleibt auch das zugehörige Dienstkonto dauerhaft angemeldet bzw. es wird die Anmeldung regelmäßig durch die zentrale Dienstesteuerung erneuert. Außerdem handelt es sich auf Servern meist um betriebskritische zentrale Dienste. Dienstkonten sind daher exponierter als normale Benutzerkonten. Sofern Abhängigkeiten zwischen Diensten existieren, kann auch ein kompromittierter, scheinbar weniger wichtiger Dienst einen betriebskritischen Dienst zum Absturz bringen. Aus diesen Gründen sollten Dienste und Dienstkonten unter Beachtung spezieller Regeln administriert werden.

Lokale Konten sind Domänenkonten vorzuziehen. Werden Domänenkonten verwendet, sollten sie mit so wenigen Domänenberechtigungen wie möglich ausgestattet werden, und es sollte für eine entsprechende Verfügbarkeit von Domänencontrollern gesorgt werden. Dienstkonten sollte die lokale Anmeldung verweigert werden (Start | Systemsteuerung | Verwaltung |Lokale Sicherheitsrichtlinie |Lokale Richtlinien | Zuweisen von Benutzerrechten | Lokal anmelden verweigern oder in einer Domänengruppenrichtlinie).

Kennwortrichtlinie Standard-
einstellung auf
Domänencontrollern
Tauglichkeit
für
Dienstkonten
Kennwortchronik 24 ja
Maximales Kennwortalter (in Tagen) 42 ungeeignet
Minimales Kennwortalter (in Tagen) 1 ja
Minimale Kennwortlänge 7 nicht ausreichend
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert ja
Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert ja

Das Kennwort sollte eine zweistellige Kennwortlänge (bis 127 Zeichen möglich) besitzen. Es darf nicht automatisch ablaufen (Option Kennwort läuft nie ab in den Eigenschaften des Kontos), sondern sollte während regelmäßiger Wartungszyklen geändert werden. Die Kennwörter sind sicher zu hinterlegen, siehe hierzu M 2.22 Hinterlegen des Passwortes. Bei einer größeren Anzahl von Diensten und Servern kann das Hinterlegen und Ändern der Kennwörter (inklusive Funktionstest der Dienste) sehr aufwendig werden, so dass der Sicherheitsgewinn unter Umständen nicht mehr gegeben ist. Hilfsprogramme für die Kennwortverwaltung von Dienstkonten können hier eine wertvolle Hilfe sein, stellen aber wiederum ihrerseits ein Risiko dar. Das Alter von Kennwörtern und das Verfahren für deren Verwaltung sollte in Abhängigkeit des Schutzbedarfs und des Aufwandes festgelegt sowie in einer Richtlinie dokumentiert werden.

Dokumentation

Zu allen Diensten, die nicht mit einem vordefinierten Konto laufen, sind die Dienstkonten sowie deren Berechtigungen zu vermerken.

Ergänzende Kontrollfragen: