M 4.284 Umgang mit Diensten unter Windows Server 2003
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator
Dienste werden unter dem Sicherheitskontext bestimmter Konten ausgeführt (so genannte Dienstkonten). Zugriffe auf Ressourcen erfolgen mittels des Dienstkontos, ähnlich wie bei einem Benutzer mit Benutzerkonto. Einmal gestartet bleiben Dienste prinzipiell aktiv, also bleibt auch das zugehörige Dienstkonto dauerhaft angemeldet bzw. es wird die Anmeldung regelmäßig durch die zentrale Dienstesteuerung erneuert. Außerdem handelt es sich auf Servern meist um betriebskritische zentrale Dienste. Dienstkonten sind daher exponierter als normale Benutzerkonten. Sofern Abhängigkeiten zwischen Diensten existieren, kann auch ein kompromittierter, scheinbar weniger wichtiger Dienst einen betriebskritischen Dienst zum Absturz bringen. Aus diesen Gründen sollten Dienste und Dienstkonten unter Beachtung spezieller Regeln administriert werden.
- Für Dienstkonten sollte niemals das vordefinierte Administratorkonto verwendet werden.
- Jeder Dienst sollte mit einem eigenen Dienstkonto laufen.
Ein kompromittiertes Dienstkonto mit hohem Berechtigungsniveau kann leichter isoliert werden, wenn es nicht für mehrere Dienste verwendet wird. In der Praxis betreiben Serverapplikationen möglicherweise eine Gruppe von Diensten im Kontext desselben Kontos. Hier muss im Einzelfall abgewogen werden, ob dies mit dem Schutzbedarf des Systems vereinbar ist und inwieweit unterschiedliche Dienstkonten zugewiesen werden können, ohne die gewünschte Funktionalität zu beeinträchtigen.
Eine Ausnahme bilden die speziellen, vordefinierten Konten NT AUTHORITY\LocalService, NT AUTHORITY\NetworkService. Sie werden von der internen Dienstesteuerung verwaltet und stellen jedem Dienst einen isolierten Sicherheitskontext zur Verfügung. Die Authentisierung wird systemintern durch die Dienstesteuerung geregelt. Kennworteintragungen werden ignoriert.
- Jedes Dienstkonto sollte nur mit den minimal erforderlichen Berechtigungen ausgestattet sein.
Deshalb sind vorrangig die vordefinierten Konten NT AUTHORITY\LocalService für lokal agierende Dienste und NT AUTHORITY\NetworkService für Dienste mit Netzwerkzugriff in Betracht zu ziehen. Sie haben standardmäßig die gleichen Berechtigungen wie die vordefinierte Gruppe Authentifizierte Benutzer (normale Benutzer).
Lokale Konten sind Domänenkonten vorzuziehen. Werden Domänenkonten verwendet, sollten sie mit so wenigen Domänenberechtigungen wie möglich ausgestattet werden, und es sollte für eine entsprechende Verfügbarkeit von Domänencontrollern gesorgt werden. Dienstkonten sollte die lokale Anmeldung verweigert werden (Start | Systemsteuerung | Verwaltung |Lokale Sicherheitsrichtlinie |Lokale Richtlinien | Zuweisen von Benutzerrechten | Lokal anmelden verweigern oder in einer Domänengruppenrichtlinie).
- Als Faustregel gilt, dass Applikationen mit Diensten auf Administrator-Niveau auf einem eigenen Server zu betreiben sind. Je höher die Anzahl solcher Applikationen auf einem Server ist, desto geringer ist das erreichbare Sicherheitsniveau. Als Beispiel sind Backup-Server oder Domänencontroller zu nennen, welche ihre Kerndienste nur mit vollen administrativen Berechtigungen ausüben können.
- Die voreingestellten Konten für die in Windows enthaltenen Dienste sollten nicht verändert werden.
- Unnötige oder potenziell gefährliche Dienste sollten deaktiviert werden.
- Viele Skripte und sonstige ausführbare Dateien können als Dienst installiert und ausgeführt werden. Dies ist im Normalfall kein empfohlenes Vorgehen.
Im Einzelfall muss geklärt werden, wie das Verhalten von als Dienst ausgeführten Prozessen (d. h. Skripte oder Programme) die Systemstabilität und -sicherheit beeinflusst. Beispielsweise kann Dienst beenden oder Dienst neu starten zu korrupten Daten führen, weil der Prozess auf solche Ereignisse nicht selbst reagieren kann, sondern einfach gelöscht wird. Auch hier gilt: kleinstmöglicher Sicherheitskontext verringert das Risiko. Der Einsatz eines solchen Verfahrens sollte in einer Testumgebung erprobt worden sein. Es sollte erwogen werden, starke Überwachungseinstellungen (System Access Control List, SACL) für die Dienstkonten zu setzen, um unvorhergesehenes Verhalten erkennen zu können. - Für Kennwörter von Dienstkonten sind die üblichen Festlegungen für Benutzerkennwörter teilweise ungeeignet. Die folgende Tabelle zeigt beispielhaft die Standardeinstellungen nach der Installation.
Kennwortrichtlinie | Standard- einstellung auf Domänencontrollern |
Tauglichkeit für Dienstkonten |
---|---|---|
Kennwortchronik | 24 | ja |
Maximales Kennwortalter (in Tagen) | 42 | ungeeignet |
Minimales Kennwortalter (in Tagen) | 1 | ja |
Minimale Kennwortlänge | 7 | nicht ausreichend |
Kennwort muss Komplexitätsvoraussetzungen entsprechen | Aktiviert | ja |
Kennwörter mit umkehrbarer Verschlüsselung speichern | Deaktiviert | ja |
Das Kennwort sollte eine zweistellige Kennwortlänge (bis 127 Zeichen möglich) besitzen. Es darf nicht automatisch ablaufen (Option Kennwort läuft nie ab in den Eigenschaften des Kontos), sondern sollte während regelmäßiger Wartungszyklen geändert werden. Die Kennwörter sind sicher zu hinterlegen, siehe hierzu M 2.22 Hinterlegen des Passwortes. Bei einer größeren Anzahl von Diensten und Servern kann das Hinterlegen und Ändern der Kennwörter (inklusive Funktionstest der Dienste) sehr aufwendig werden, so dass der Sicherheitsgewinn unter Umständen nicht mehr gegeben ist. Hilfsprogramme für die Kennwortverwaltung von Dienstkonten können hier eine wertvolle Hilfe sein, stellen aber wiederum ihrerseits ein Risiko dar. Das Alter von Kennwörtern und das Verfahren für deren Verwaltung sollte in Abhängigkeit des Schutzbedarfs und des Aufwandes festgelegt sowie in einer Richtlinie dokumentiert werden.
Dokumentation
Zu allen Diensten, die nicht mit einem vordefinierten Konto laufen, sind die Dienstkonten sowie deren Berechtigungen zu vermerken.
Ergänzende Kontrollfragen:
- Werden vordefinierte Konten mit administrativen Berechtigungen verwendet?
- Haben alle Dienstkonten nur die minimal benötigten Rechte?
- Wurde ein Verfahren zum Ändern der Kennwörter der Dienstkonten definiert?