M 4.276 Planung des Einsatzes von Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor der Einführung von Windows Server 2003 sind umfangreiche Planungen durchzuführen, damit eine geregelte und auch sichere Einführung sowie in Folge ein sicherer Betrieb ermöglicht wird. Dabei ist zu gewährleisten, dass die festgelegten Sicherheitsrichtlinien (siehe M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server) eingehalten werden und so eine richtlinienkonforme Umsetzung erfolgt. Hierbei ist zu beachten, dass Windows Server 2003 in der Standardinstallation ohne bereits vorinstallierte Softwarekomponenten zur Verfügung steht, um den Betrieb später nicht benötigter Komponenten zu vermeiden. In Abhängigkeit des Einsatzszenarios ist zu definieren, für welche Serverrolle Windows Server 2003 geplant wird und welche Softwarekomponenten hierfür gegebenenfalls zusätzlich installiert werden müssen.

Die im Zusammenhang mit der Einführung bzw. dem Betrieb von Active Directory stehenden Fragestellungen bzw. Planungsschritte werden hier nur ansatzweise berücksichtigt.

Grobkonzept

Die Planung eines Windows Server 2003 erfolgt in mehreren Schritten. Ein definierter Anforderungskatalog gemäß M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware erleichtert die Planung erheblich und ist zu empfehlen.

Die konkrete Planung kann nach dem Prinzip des Top-Down-Entwurfes erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt. Im Grobkonzept werden beispielsweise folgende typische Fragestellungen behandelt:

Rollenplanung

Im Rahmen der Erstellung von Teilkonzepten sollten die Serverrollen festgelegt werden. Das Bedienkonzept von Windows Server 2003 definiert mittels verschiedener Konfigurationsassistenten konkrete Rollen, welche zunächst als Ausgangsbasis für die Planung berücksichtigt werden sollten. Die Rollen sind in Abhängigkeit des Einsatzszenarios und der Anforderungsdefinition zu planen. In Teilkonzepten für die einzelnen Rollen müssen die spezifischen Anforderungen berücksichtigt werden, wie z. B. zu erwartende Datenmenge und Last, Kommunikationsprotokolle und -schnittstellen, Zugriffskonzept, Konfiguration der jeweiligen Betriebssystemkomponenten usw.

Rollen (Auswahl)

Serverrolle Serverkonfigurations-Assistent Manuelle Konfiguration Sicherheitskonfigurations-Assistent
Dateiserver x   x
Druckserver x    
Anwendungsserver x   x
Mailserver x    
Terminalserver x   x
RAS/VPN-Server x   x
Domänencontroller x   x
DNS-Server x   x
DHCP-Server x   x
Streaming Media-Server x   x
WINS-Server x   x
Web-Server   x x
Remote Installations-Server   x x
Bastion-Host   x  
Zertifikatsserver   x x

Der Sicherheitskonfigurations-Assistent unterstützt eine große Zahl weiterer Serverrollen von Microsoft-Produkten, z. B. die Rolle des Datenbankservers.

Kombination von Serverrollen

Rollen können kombiniert werden, um sowohl Beschaffungskosten als auch den Administrationsaufwand zu verringern. Kombinationsmöglichkeiten sind hauptsächlich durch folgende Aspekte beschränkt:

Die Verwendung von Remoteinstallationsdiensten (RIS) ist auf einem Dateiserver möglich, zum Beispiel im Rahmen von Helpdesk-Szenarien. Hierbei kann jedoch die Sicherheit des Servers durch die Remoteinstallationsdienste beeinträchtigt werden.

Die Dienste der Mailserverrolle können für bestimmte administrative oder infrastrukturelle Einsatzzwecke mit anderen Rollen kombiniert werden. Hier sollte seitens der Anforderungsdefinition klar von der Rolle des Bastion-Hosts unterschieden werden.

Überlegungen zur Konfiguration des Servers

Die Dimensionierung der Hardware erfolgt unter den Gesichtspunkten Performance, Verfügbarkeit und Serverrolle.

Für die Performance sollten die Mindestanforderungen des Herstellers sowie der Anforderungskatalog berücksichtigt werden. Lastsimulationstools von der Microsoft-Website oder von Serverherstellern ermöglichen eine Vorhersage des Lastverhaltens von Windows Server 2003 Komponenten. Insbesondere die Maximalzahl gleichzeitiger Benutzer ist sorgfältig und prognostisch einzuschätzen. Bei hoher Benutzerzahl bzw. Nutzungsintensität ist die Zusammenfassung mehrerer Server zu einem Cluster zu erwägen.

Die geplanten Serverrollen und Serverapplikationen, die voraussichtliche Last sowie die zu erwartende Datenmenge entscheiden über weitere Parameter der Hardwarekonfiguration. Wichtige Parameter sind z. B. die Aufteilung von Festplatten-Arrays und das Partitionslayout. Die Einrichtung unabhängiger Festplatten-Arrays (RAID-Level) ist aus Performance- und Verfügbarkeitsgründen für bestimmte Serverrollen zu empfehlen, z. B. Dateiserver oder Datenbankserver. Die Software-RAID-Varianten von Windows Server 2003 ermöglichen es, kurzfristig und kostengünstig eine Datenredundanz zu konfigurieren. Sie eignen sich jedoch nicht für Performance-Steigerung und können auch einen Plattenausfall im laufenden Betrieb meist nicht kompensieren. Hardware-RAID-Level sind bei der Planung in jedem Fall zu bevorzugen.

Die Planung des Partitionslayouts sollte sich am zu erwartenden Datenaufkommen und an der logischen Trennung verschiedener Datenarten orientieren. Z. B. ist eine Partition sinnvoll, die nur das Betriebssystem und Programmdateien enthält. Nutzdaten oder temporäre Daten sollten auf separate Partitionen, die sich gegebenenfalls auf anderen Disk Arrays befinden, verteilt werden. Bei Windows Server 2003 mit Service Pack 1 oder früher sind Datenträgerkontingente nur auf Partitions- bzw. Volumeebene konfigurierbar.

Netzanbindung

Im Rahmen der Einsatzplanung von Windows Server 2003 ist es notwendig, in Abhängigkeit der gewählten Serverrolle eine geeignete Netzanbindung zu berücksichtigen. Die benötigten Kommunikationsprotokolle können aus der Serverrolle(n) abgeleitet werden. Hier ist zu prüfen, ob die Kommunikationsprotokolle mit dem Netzkonzept, den Sicherheitsrichtlinien für die Kommunikationsprotokolle und gegebenenfalls dem Konzept für die Sicherheitsgateways in Konflikt stehen. Der Datendurchsatz am Server kann aufgrund des zu erwartenden Zugriffsaufkommens durch Clients dimensioniert werden. Im Fall von verschlüsselten Zugriffen sind die Performanceeinbußen zu berücksichtigen. Entsprechend sollte die Leistungsfähigkeit skaliert werden, z. B. durch schnellere Prozessoren und Netzwerkadapter oder softwareseitig mit Hilfe des Netzlastenausgleichs in einem Cluster unter Windows Server 2003. Sowohl die Kommunikationsprotokolle als auch der Datendurchsatz sind wesentliche Merkmale der Verfügbarkeit und müssen sorgfältig geplant werden.

Bei der Planung eines Servers, auf den über unsichere Netze zugegriffen werden kann oder der sich in einer besonders exponierten Lage befindet, zum Beispiel Webserver mit Anbindung zum Internet, müssen erhöhte Sicherheitsanforderungen beachtet werden. Bei der Planung für Server in exponierter Lage kann prinzipiell analog zur Planung von Servern im geschützten Bereich vorgegangen werden, jedoch ist bei allen Planungsaspekten von einer stark erhöhten Bedrohung durch Einbruchsversuche, Denial-of-Service-Attacken oder sonstigen Kompromittierungsversuchen auszugehen. Außerdem muss konzeptionell festgelegt werden, wie der oder die Server vom lokalen Netz isoliert werden und wie gegebenenfalls die Kommunikation mit dem lokalen Netz abgesichert werden kann. Als Beispiel sind Sicherheitsgateways und DMZ-Anordnung zu nennen.

Grundsätzlich nicht empfehlenswert ist der Einsatz von Mitgliedsservern einer geschützten Active-Directory-Umgebung in exponierter Lage oder DMZ. Die Sicherheitskontexte sollten entsprechend getrennt werden.

Möglichkeiten des Zugriffs

Bei der Einsatzplanung ist auch zu berücksichtigen, welche Zugriffswege ermöglicht werden müssen bzw. sollen (NetBIOS-Freigaben, WebDAV, DFS usw.). Hinsichtlich der Absicherung der Kommunikation sind gegebenenfalls die Maßnahmen M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows-Servern und M 5.132 Sicherer Einsatz von WebDAV unter Windows Server 2003 zu berücksichtigen. Die Notwendigkeit jedes zugelassenen Zugriffswegs ist zu begründen.

Überlegungen zur Administration des Servers

Im Rahmen der Planung des Einsatzes sollten folgende weiterführende Aspekte berücksichtigt werden. Eigene Teilkonzepte hierfür sind zu empfehlen, vorhandene Konzepte sollten ergänzt werden.

Festlegungen zu diesen Aspekten sollten in der Sicherheitsrichtlinie für Windows Server 2003 getroffen und bei der weiteren Planung berücksichtigt werden. Vor dem produktiven Einsatz sollte die Richtlinie in verbindlicher Form vorliegen.

Lizenzmodell

Geeignete Lizenzmodelle sind abhängig vom Einsatz der Windows-Systeme. Für die Lizenzkontrolle wird Windows Server 2003 vom Hersteller mit Produktschlüssel und Produktaktivierung ausgeliefert. Es ist darauf zu achten, dass der betrachtete IT-Verbund ausreichend lizenziert ist und das für das einzelne Windows Server 2003 System eine aktivierbare oder aktivierungsfreie Installationsquelle und Lizenz verfügbar ist. Dies ist gegebenenfalls im Bereitstellungskonzept und im Notfallkonzept zu berücksichtigen.

Prüffragen: