M 4.138 Konfiguration von Windows Server als Domänen-Controller

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Domänen-Controller stellen in einem Netz auf Basis der Serverbetriebssysteme Windows 2000 Server und Windows Server 2003 (im Folgenden unter dem Begriff Windows-Server zusammengefasst) die zur Verwaltung einer Windows-Server Domäne nötigen Dienste zur Verfügung, unter denen der Active Directory Dienst (Active Directory Service, ADS) die wichtigste Rolle einnimmt. In der Regel wird von einem Domänen-Controller auch der Namensdienst DNS (Domain Name Service) angeboten, ohne den das Active Directory nicht betrieben werden kann. Im DNS werden von Windows Referenzen auf wichtige Windows-Server Ressourcen gehalten, deren Integrität für das korrekte Funktionieren einer Windows-Server Domäne essentiell sind. Da ein Domänen-Controller als Anmeldeserver fungiert, führt er den dazu notwendigen Kerberos-Dienst aus. Die Kerberos-Komponenten auf dem Domänen-Controller bewahren zudem die im Rahmen des Authentisierungs-Protokolls genutzten geheimen Schlüssel auf.

Da jedem Domänen-Controller daher eine wichtige Rolle zukommt und durch ihn schützenswerte Daten gespeichert werden, sind für die Konfiguration folgende Punkte zu beachten. Daneben gelten auch für einen Domänen-Controller die in der Maßnahme M 4.137 Sichere Konfiguration von Windows 2000 und M 4.139 Konfiguration von Windows 2000 als Server beschriebenen Aspekte entsprechend.

Domänen-Controller sollten so sicher wie möglich konfiguriert werden. Nach der Standardinstallation sollte die Vorlagendatei secdc.inf (unter Windows 2003 Server securedc.inf) oder hisecdc.inf angewandt werden. Die Vorlagendateien finden sich im Windows-Server Systemverzeichnis unter %windir%\security\templates und können entweder von der Kommandozeile mittels des Kommandos secedit konfiguriert werden, oder über die MMC-Plug-ins Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse angesehen oder angewandt werden. Je nach Umfeld müssen die durch die Vorlagen secdc.inf (unter Windows Server 2003 securedc.inf) bzw. hisecdc.inf vorgenommen Einstellungen angepasst werden. Dies kann beispielsweise erforderlich sein, wenn im Netz noch Altsysteme, z. B. OS/2, vorhanden sind, die weniger sichere Einstellungen bieten. Weitere Hinweise zur Planung der Sicherheitseinstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows. Als ergänzendes Regelwerk für die Migration von Windows NT Server auf Windows 2003 Server empfiehlt sich die im Microsoft Download Center (http://www.microsoft.com/downloads) erhältliche Migrationshilfe "Migrating from Windows NT Server 4.0 to Windows Server 2003". Diese beschreibt detailiert alle für die Umstellung erforderlichen Konfigurationsanpassungen.

Generell ist für jeden Domänen-Controller immer die physikalische Sicherheit zu gewährleisten, z. B durch Aufstellung in einem Serverraum.

Prüffragen: