M 4.138 Konfiguration von Windows 2000 als Domänen-Controller
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Domänen-Controller (DC) stellen in einem Windows 2000 Netz die zur Verwaltung einer Windows 2000 Domäne nötigen Dienste zur Verfügung, unter denen der Active Directory Dienst (Active Directory Service, ADS) die wichtigste Rolle einnimmt. In der Regel wird von einem DC auch der Namensdienst DNS (Domain Name Service) angeboten, ohne den das Active Directory nicht betrieben werden kann. Im DNS werden von Windows Referenzen auf wichtige Windows 2000 Ressourcen gehalten, deren Integrität für das korrekte Funktionieren einer Windows 2000 Domäne essentiell sind. Da ein DC als Anmeldeserver fungiert, führt er den dazu notwendigen Kerberos-Dienst aus. Die Kerberos-Komponenten auf dem DC bewahren zudem die im Rahmen des Authentisierungs-Protokolls genutzten geheimen Schlüssel auf.
Da jedem DC daher eine wichtige Rolle zukommt und durch ihn schützenswerte Daten gespeichert werden, sind für die Konfiguration folgende Punkte zu beachten. Daneben gelten auch für einen Domänen-Controller die in der Maßnahme M 4.137 Sichere Konfiguration von Windows 2000 und M 4.139 Konfiguration von Windows 2000 als Server beschriebenen Aspekte entsprechend.
- Die Sicherheit eines Domänen-Controllers leitet sich hauptsächlich aus zwei wesentlichen Bereichen ab: der Sicherheit der Betriebssystemkonfiguration und der Sicherheit des Active Directories, welches auf eigene Sicherheitsmechanismen zurückgreift (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung). Die Sicherheitseinstellungen des Betriebssystems erfolgen im Wesentlichen durch Gruppenrichtlinien, die Sicherheitseinstellungen des Active Directories erfordern entsprechende Planung und Umsetzung (siehe M 2.229 Planung des Active Directory, M 2.231 Planung der Gruppenrichtlinien unter Windows 2000).
- An einem Domänen-Controller dürfen sich nur berechtigte Administratoren lokal anmelden. Ein Benutzerbetrieb auf einem Domänen-Controller darf nicht erlaubt werden. Nach einer Standardinstallation ist es normalen Benutzern daher nicht gestattet, sich lokal an einem DC anzumelden.
- Ein Domänen-Controller sollte neben den zwingend notwendigen Standard DC Diensten, wie z. B. ADS, Kerberos und DNS, keine weiteren Infrastrukturdienste (z. B. DFS, DHCP) anbieten. Insbesondere vom Betrieb eines DHCP-Servers auf einem DC muss aus Sicherheitsgründen abgeraten werden (siehe auch Microsoft Dokumentation zu DNS und DHCP). Beide Dienste laufen unter den gleichen Berechtigungen ab. Dadurch können - stark vereinfacht dargestellt - die Zugriffsrechte auf DNS-Daten nicht mehr durchgesetzt werden, wenn der DHCP-Dienst Veränderungen an DNS-Daten durchführt.
- Ein Domänen-Controller sollte keine (Applikations-) Serverdienste anbieten, da bei Fehlern in den Serverprogrammen eine Kompromittierung des DC und damit der gesamten Windows 2000 Domäne möglich ist.
Domänen-Controller sollten so sicher wie möglich konfiguriert werden. Nach der Standardinstallation sollte die Vorlagendatei secdc.inf oder hisecdc.inf angewandt werden. Die Vorlagendateien finden sich im Windows 2000 Systemverzeichnis unter C:\WINNT\security\templates und können entweder von der Kommandozeile mittels des Kommandos secedit konfiguriert werden, oder über die MMC-Plug-ins Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse angesehen oder angewandt werden. Wurde der Rechner von NT nach Windows 2000 migriert und nicht neu installiert, so ist zunächst das Template basicdc.inf anzuwenden, um eine Standard Windows 2000 Konfiguration zu erreichen. Je nach Umfeld müssen die durch die Vorlagen secdc.inf bzw. hisecdc.inf vorgenommen Einstellungen angepasst werden. Dies kann beispielsweise erforderlich sein, wenn im Netz noch Altsysteme, z. B. OS/2, vorhanden sind, die weniger sichere Einstellungen bieten. Weitere Hinweise zur Planung der Sicherheitseinstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows 2000.
- Die Konfiguration des Kanals, der zur Kommunikation von Verwaltungsdaten zwischen Rechnern einer Windows 2000 Domäne genutzt wird, sollte so sicher wie möglich sein (siehe dazu M 5.89 Konfiguration des sicheren Kanals unter Windows 2000/XP).
- Wenn möglich, sollte ein Domänen-Controller im native mode betrieben werden, damit alle Windows 2000 Mechanismen voll ausgenutzt werden können. Dies sind beispielsweise universelle Gruppen, Gruppenschachtelung und die Vergabe der RAS-Zugangsberechtigung über eine Gruppenzugehörigkeit. Ein Umschalten in den native mode ist dann möglich, wenn in der Domäne kein Windows NT BDC (Backup-Domänen-Controller) betrieben wird. Der Betrieb von Windows NT Servern und Workstations ist auch im native mode möglich. Zu beachten ist, dass eine Rückkehr in den mixed mode und damit zu einer NT-Domäne danach nicht mehr möglich ist.
- Kann ein Domänen-Controller in den so genannten AD-Restore-Modus gebootet werden, so ist es möglich, Veränderungen am AD durchzuführen, indem z. B. alte Zustände (teilweise oder vollständig) von Backup-Medien geladen werden. Diese Veränderungen lassen sich so einspielen, dass sie nach dem regulären Booten durch die AD-Replikation an alle anderen DCs einer Domäne propagiert werden. Es ist daher sicherzustellen, dass der AD-Restore-Modus durch ein geeignetes Passwort geschützt ist und Arbeiten in diesem Modus nur unter Einhaltung des Vier-Augen-Prinzips erfolgen. Der AD-Restore-Modus ist kommandozeilenbasiert und Tippfehler können gravierende Folgen haben, z. B. Löschen oder Überschreiben des falschen AD-Zweiges. Daher bietet das Vier-Augen-Prinzip hier neben der Tätigkeitskontrolle auch eine Sicherheit durch die Kontrolle aller Eingaben durch zwei Personen.
- Die Domänen-Controller der Forest-Root-Domäne (FRD) sind aufgrund der Sonderstellung der FRD besonders schutzbedürftig.
Generell ist für jeden Domänen-Controller immer die physikalische Sicherheit zu gewährleisten, z. B durch Aufstellung in einem Serverraum.
Ergänzende Kontrollfragen:
- Sind für alle Domänen-Controller restriktive Zugriffsrechte auf Betriebssystemebene vergeben?
- Wurden die AD-Berechtigungen restriktiv vergeben?
- Ist die physikalische Sicherheit aller Domänen-Controller gewährleistet?
- Sind nur die gemäß Planung benötigten Dienste für jeden Domänen-Controller installiert?