M 4.284 Umgang mit Diensten ab Windows Server 2003

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Dienste werden unter Windows unter dem Sicherheitskontext bestimmter Konten ausgeführt (sogenannte Dienstkonten). Zugriffe auf Ressourcen erfolgen mittels des Dienstkontos, ähnlich wie bei einem Benutzer mit Benutzerkonto. Einmal gestartet bleiben Dienste prinzipiell aktiv, also bleibt auch das zugehörige Dienstkonto dauerhaft angemeldet oder die Anmeldung wird regelmäßig durch die zentrale Dienstesteuerung erneuert. Auf Servern handelt es sich meist um betriebskritische zentrale Dienste. Dienstkonten sind daher exponierter als normale Benutzerkonten. Sofern Abhängigkeiten zwischen Diensten existieren, kann auch ein kompromittierter, scheinbar weniger wichtiger Dienst einen betriebskritischen Dienst zum Absturz bringen. Aus diesen Gründen sollten Dienste und Dienstkonten unter Beachtung spezieller Regeln administriert werden.

Ein kompromittiertes Dienstkonto mit hohem Berechtigungsniveau kann leichter isoliert werden, wenn es nicht für mehrere Dienste verwendet wird. In der Praxis betreiben Serverapplikationen möglicherweise eine Gruppe von Diensten im Kontext desselben Kontos. Hier muss im Einzelfall abgewogen werden, ob dies mit dem Schutzbedarf des Systems vereinbar ist und inwieweit unterschiedliche Dienstkonten zugewiesen werden können, ohne die gewünschte Funktionalität zu beeinträchtigen.

Eine Ausnahme bilden die speziellen, vordefinierten Konten NT AUTHORITY\LocalService und NT AUTHORITY\NetworkService. Sie werden von der internen Dienstesteuerung verwaltet und stellen jedem Dienst einen isolierten Sicherheitskontext zur Verfügung. Die Authentisierung wird systemintern durch die Dienstesteuerung geregelt. Kennworteintragungen werden ignoriert.

Deshalb sind vorrangig die vordefinierten Konten NT AUTHORITY\LocalService für lokal agierende Dienste und NT AUTHORITY\NetworkService für Dienste mit Netzwerkzugriff in Betracht zu ziehen. Sie haben standardmäßig die gleichen Berechtigungen wie die vordefinierte Gruppe Authentifizierte Benutzer (normale Benutzer).

Mit Windows Server 2008 R2 wurden zwei besondere Konten eingeführt: das verwaltete Dienstkonto und das virtuelle Konto.

Im Gegensatz zu den bisher genutzten Konten zur Verwaltung von Diensten wie lokaler Dienst, Netzwerkdienst oder lokales System kann das verwaltete Dienstkonto zentral verwaltet werden, da es in der Organisationseinheit "Verwaltete Dienstkonten" innerhalb des Active Directory gespeichert ist.

Es ist zu beachten, dass die neue Funktion der Dienstkonten auf dem zu verwaltenden System Windows Server 2008 R2 erfordert. Pro System kann nur ein verwaltetes Dienstkonto eingesetzt werden. Darüber hinaus muss sich die Domäne für eine vollständige Nutzung der Funktionen im sogenannten Windows Server 2008 R2 Modus befinden (Domänenfunktionsebene). Für Domänen, die sich im Modus Windows Server 2003 oder 2008 befinden, müssen gegebenenfalls weitere Konfigurationsschritte durchgeführt werden.

Bis einschließlich Windows Server 2008 sind lokale Konten den Domänenkonten vorzuziehen. Werden Domänenkonten verwendet, sollten sie mit so wenigen Domänenberechtigungen wie möglich ausgestattet werden, und es sollte für eine entsprechende Verfügbarkeit von Domänencontrollern gesorgt werden. Dienstkonten sollte die lokale Anmeldung verweigert werden (Start | Systemsteuerung | Verwaltung | Lokale Sicherheitsrichtlinie | Lokale Richtlinien | Zuweisen von Benutzerrechten | Lokal anmelden verweigern oder in einer Domänengruppenrichtlinie). Ab Windows Server 2008 R2 sollten zur Administration von Dienstkonten die schon erwähnten Konten verwaltetes Dienstkonto und das virtuelle Konto genutzt werden.

Das Kennwort sollte eine zweistellige Kennwortlänge besitzen (Es sind bis 127 Zeichen möglich). Es darf nicht automatisch ablaufen (Option Kennwort läuft nie ab in den Eigenschaften des Kontos), sondern sollte während regelmäßiger Wartungszyklen geändert werden. Ein Verfahren zum Ändern der Kennwörter sollte definiert sein und die Kennwörter sicher hinterlegt werden, siehe hierzu M 2.22 Hinterlegen des Passwortes. Bei einer größeren Anzahl von Diensten und Servern kann es sehr aufwendig werden, Kennwörter (inklusive Funktionstest der Dienste) zu ändern und zu hinterlegen, so dass der Sicherheitsgewinn unter Umständen nicht mehr gegeben ist. Hilfsprogramme für die Kennwortverwaltung von Dienstkonten können Hilfestellung leisten, stellen aber ihrerseits ein Risiko dar. Das maximale Alter von Kennwörtern und das Verfahren für deren Verwaltung sollte in Abhängigkeit des Schutzbedarfs und des Aufwandes festgelegt sowie in einer Richtlinie dokumentiert werden.

Dokumentation

Zu allen Diensten, die nicht mit einem vordefinierten Konto laufen, sind die Dienstkonten sowie deren Berechtigungen zu vermerken.

Prüffragen: