M 5.89 Konfiguration des sicheren Kanals unter Windows

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Zwischen Rechnern einer Windows-Domäne müssen administrative Daten ausgetauscht werden. So tauschen beispielsweise Domänen-Controller einer Domäne Verwaltungsdaten aus. Generell werden dabei sensitive Daten transportiert, die abgesichert übertragen werden müssen. Schon unter Windows NT stand dafür der so genannte Sichere Kanal (englisch Secure Channel) zur Verfügung. Auch unter Windows ab Version 2000 wird dieser Mechanismus genutzt und muss entsprechend den Sicherheitsanforderungen und den lokalen Gegebenheiten konfiguriert werden. Hierbei werden als Sicherheitsmechanismen die Authentisierung der beiden Kommunikationspartner, Verschlüsselung zur Wahrung der Vertraulichkeit und Signaturen zur Absicherung der Integrität eingesetzt.

Die Konfiguration des sicheren Kanals erfolgt über Gruppenrichtlinien. Bei deren Konfiguration ist Folgendes zu berücksichtigen:

Die für die Konfiguration relevanten Gruppenrichtlinienparameter sind:

Diese Parameter finden sich unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen.

Bei Windows XP, Windows Vista und Windows 7 lauten die Einstellungen:

Diese Parameter finden sich unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen.

Wenn sich neben IT-Systemen mit Windows-Betriebssystemen ab Version 2000 auch IT-Systeme mit anderen Betriebssystemen im Netz befinden, sollten nur die beiden ersten Optionen aktiviert werden. Verfügen hingegen alle IT-Systeme im Netz über Windows ab Version 2000, so sollten alle Optionen aktiviert werden.

Prüffragen: