M 2.232 Planung der Windows-CA-Struktur ab Windows 2000

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Leiter IT

Windows wird ab Windows 2000 mit eigenen PKI-Komponenten ausgeliefert, die den Aufbau einer unternehmensweiten Zertifikatshierarchie ermöglichen. Zertifikate dienen dazu, Identitäten von Personen und Systemen in kryptographischen Prozessen wie der Verschlüsselung, bei der ("zertifikatsbasierten") Authentisierung oder bei der elektronischen Signatur von Daten und Anwendungen zu bestätigen. Kernstück einer PKI (Public Key Infrastruktur) ist die so genannte Zertifizierungsstelle (Certificate Authority, CA), die Zertifikate ausstellen kann. Für den Betrieb von Windows ist der Betrieb einer CA zwar generell nicht notwendig, jedoch immer dann zwingend, wenn bestimmte Eigenschaften oder Funktionen genutzt werden sollen. Dazu gehört die Anmeldung mit Chipkarten oder anderen Token sowie abgesicherte Kommunikation zwischen Windows Systemkomponenten über SSL. Windows bietet zwei Ausprägungen einer CA an:

Der Hauptunterschied zwischen den beiden CA-Versionen ist, dass die Enterprise-CA im Active Directory integriert ist und damit vom Active Directory als Verzeichnisdienst profitiert. Beispielsweise werden Zertifizierungsstellen im Active Directory veröffentlicht, und Zertifikate können in großem Umfang automatisch ausgestellt und verteilt werden. Bei der Stand-alone-CA wird die Zertifikatsanforderung immer vom Administrator der CA geprüft. Die Zertifikatserzeugung muss durch den Administrator von Hand angestoßen werden. Die Stand-alone-CA kann auch auf einem nicht vernetzten Rechner installiert und betrieben werden, wohingegen die Enterprise-CA sinnvoll nur auf einem vernetzten Rechner ablaufen kann. Ab Windows Server 2003 Enterprise Edition können bei der Enterprise-CA die Zertifikatsvorlagen individuell angepasst werden.

Beide CA-Versionen eignen sich für den Aufbau von Zertifikatshierarchien und können daher auch als untergeordnete CA fungieren. Für viele infrastrukturelle Zwecke eines LANs ist die Enterprise-CA besser geeignet und sollte im Normalfall bevorzugt werden. In mehrstufigen Hierarchien empfiehlt es sich, die oberste Hierarchie (Wurzel-CA) offline zu betreiben, da deren Schlüssel als "Vertrauensanker" der gesamten Hierarchie besonders schützenswert ist und die CA nur selten zum Ausstellen der Zertifikate für die Sub-CAs benötigt wird.

Insbesondere bei der Planung einer behörden- oder unternehmensweiten PKI sollte darauf geachtet werden, dass alle Einsatzszenarien und die dadurch betroffenen Applikationen bekannt sind. Um die technische Machbarkeit abschätzen zu können, empfiehlt es sich, alle Komponenten, die eingesetzt werden sollen, im Vorfeld auf ihre Interoperabilität zu überprüfen.

Eine Auflistung struktureller Planungsaspekte ist auf den BSI-Webseiten unter den Hilfsmitteln zum IT-Grundschutz zu finden (siehe Hilfsmittel für die Planung der Windows 2000/2003 CA-Struktur). Generell gilt, dass alle für den Betrieb einer CA relevanten organisatorischen, technischen und auch sicherheitstechnischen Rahmenbedingungen in einem entsprechenden Konzept dokumentiert werden müssen.

Planung des Einsatzes geeigneter Zertifizierungsstellen

Organisatorische Aspekte:

Technische Aspekte:

Neben der Planung einer PKI spielt insbesondere die Sicherheit im laufenden Betrieb der einzelnen PKI-Komponenten eine große Rolle. Die Absicherung einer Zertifizierungsstelle muss dem Schutzbedarf der jeweiligen Anwendung genügen, in der Zertifikate verwendet werden. Empfehlungen dazu finden sich in und unter den Hilfsmitteln zum IT-Grundschutz (siehe Hilfsmittel für den Schutz der Zertifikatsdienste unter Windows Server 2003).

Versionsspezifische Planungsaspekte für eine CA ab Windows Server 2003

Verteilung von Zertifikaten:

Zertifikate können automatisch (ohne Benutzereingriff) oder manuell angefordert und ausgestellt (kurz: verteilt) werden). Die automatische Verteilung von Zertifikaten (Auto-Enrollment) basiert auf Active Directory und Gruppenrichtlinien (vergleiche M 1.1 Einhaltung einschlägiger Normen und Vorschriften). Auto-Enrollment vereinfacht die Verwaltung von Zertifikaten von Benutzern (ab Windows Server 2003 Enterprise Edition) und Computern für bestimmte Anwendungen im Organisationsumfeld. Häufiges Beispiel ist das Verteilen von Verschlüsselungszertifikaten für das Encrypting File System (EFS) auf Clients. Das Zertifikats-Enrollment wird nur für authentisierte Clients durchgeführt und ist mit entsprechenden Sicherheitsmechanismen und Berechtigungen versehen. Die Einstellungen sind im Gruppenrichtlinienobjekt-Editor unter

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien öffentlicher Schlüssel | Eigenschaften von Einstellungen für die automatische Registrierung

und

Benutzerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien öffentlicher Schlüssel | Eigenschaften von Einstellungen für die automatische Registrierung

zu finden. Standardmäßig fordern nur Domänencontroller automatisch ein Computerzertifikat an. Darüber hinaus rufen einige optionale Windows-Komponenten ebenfalls automatisch ein Zertifikat ab, so erhält jeder Client mit aktiviertem EFS automatisch ein EFS-Zertifikat. Auto-Enrollment sollte jedoch nur im tatsächlich benötigten Umfang eingesetzt werden, da sonst die Verwaltung erschwert wird und unter anderem auch die Gefahr des Abfangens von Schlüsseln besteht.

Es sollte auf Grundlage der geplanten Applikationen oder Windows-Komponenten überlegt werden, welche Zertifikatstypen für welche Benutzer beziehungsweise Computer zugelassen sind und auf welche Weise die Verteilung stattfindet. Entsprechend sind die Gruppenrichtlinien und die Berechtigungen in den Zertifikatsdiensten zu planen.

Archivierung von privaten Schlüsseln:

Die Archivierung von privaten Schlüsseln in der Zertifizierungsstelle (ab Windows Server 2003 Enterprise Edition) ist nicht zu empfehlen. Sie sollte nur dann aktiviert werden, wenn ein geeignetes Konzept zur Rollentrennung der PKI-Verwaltung geplant und umgesetzt wurde. Die Archivierung kann die Gefahr des Schlüsselverlusts einzelner Benutzer verringern, allerdings wird das Risiko des Missbrauchs erhöht. Die geeignete Strategie ist abhängig von den eingesetzten Anwendungen und Komponenten und sollte durch die PKI-Planung und in einer Sicherheitsrichtlinie festgelegt werden.

Rollentrennung:

Rollentrennung bedeutet, dass die Konzentration mehrerer oder aller kritischer Verwaltungsrollen im Zusammenhang mit PKI auf eine Person oder ein Benutzerkonto verhindert wird. Dazu muss zunächst die Rollentrennung auf organisatorischer Ebene definiert sein, wie im oberen Absatz beschrieben. Auf technischer Seite kann die Rollentrennung durch das System erzwungen werden (ab Windows Server 2003 Enterprise Edition). Die vier Rollen sind:

Details zu den Rollen sind im Hilfethema Rollenbasierte Verwaltung der integrierten Windows-Hilfe zu finden.

Ein Benutzerkonto, das vorher zwei oder mehr der genannten Rollen inne hatte, wird durch die Rollentrennung von allen Verwaltungstätigkeiten an der CA ausgeschlossen. Die Rollen müssen durch einen Administrator neu zugeteilt werden. Bei einer fehlerhaften Konfiguration der Rollentrennung ist die CA nicht mehr nutzbar. Wenn diese Funktion eingesetzt werden soll, ist hierfür zunächst ein geeignetes Berechtigungskonzept zu erstellen, welches dann in einem Testszenario erprobt werden sollte.

Prüffragen: