M 2.91 Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server-Netz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Bevor mit der eigentlichen Konfiguration und Installation von Windows NT in einem Client-Server-Netz begonnen werden kann, müssen zuerst zwei grundlegende Überlegungen angestellt werden:
Zunächst muss geklärt werden, welche Dienstleistung das Betriebssystem erbringen und in welchem Rahmen es diesbezüglich eingesetzt werden soll.
Dies soll anhand einiger Beispiele veranschaulicht werden:
- Das System wird in einem servergestützten PC-Netz als Server für eine größere Arbeitsgruppe eingesetzt, in der unterschiedliche Rechte vergeben werden können. Ggf. sollen aufgrund konkreter Anforderungen zusätzlich Peer-to-Peer-Funktionalitäten in eingeschränkter Form realisiert werden. Beispielsweise sollen einzelne Drucker über Peer-to-Peer-Funktionalität gemeinsam benutzt werden können.
- Das System wird als Client in einem servergestützten PC-Netz mit Windows NT Servern eingesetzt, bei dem auf die Peer-to-Peer-Funktionalität zum Austausch von Daten verzichtet werden kann.
- Das System wird als Client in einem servergestützten PC-Netz mit Novell Netware Servern eingesetzt.
- Das System wird als Server in einem PC-Netz mit MS-DOS-, MS-Windows-, WfW- oder Windows 95-Clients eingesetzt.
- Das System wird als Server in einem Netz eingesetzt, in dem ausschließlich Windows NT-Clients vorhanden sind.
Durch die Verwendung von Peer-to-Peer-Funktionalitäten innerhalb eines Windows NT Netzes können zusätzliche Sicherheitsprobleme entstehen (siehe dazu auch Baustein B 5.1 Peer-to-Peer-Dienste). Deshalb sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten innerhalb von Windows NT Netzen verzichtet werden. Peer-to-Peer-Funktionalitäten sollten höchstens als Übergangslösung eingeschränkt zugelassen werden, wenn z. B. WfW-Rechner oder nicht-netzfähige Drucker in das Windows NT-Netz eingebunden werden sollen.
Anschließend müssen diese Überlegungen in eine Sicherheitsstrategie übersetzt werden.
Dabei zeigt sich, dass je nach bereits vorhandener Systemumgebung und Organisationsstruktur sowie der ggf. vorzusehenden Restriktionen an eventuelle Peer-to-Peer-Funktionalitäten ein mehr oder weniger großer Aufwand bei der Entwicklung einer dazu passenden Sicherheitsstrategie notwendig ist.
Es wird nachfolgend eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Da jedoch Windows NT in verschiedenen Konfigu-
rationen eingesetzt werden kann, ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind.
Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz
In der Sicherheitsstrategie muss aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:
-
Definition der Client-Server-Netzstruktur
Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen (siehe M 2.93 Planung des Windows NT Netzes). Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen (siehe M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste). -
Regelung der Verantwortlichkeiten
Ein Client-Server-Netz sollte von einem geschulten Netzadministrator nebst Stellvertreter sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z. B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Datei- und Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnissen bzw. Anwendungen, den Aufbau von Benutzergruppen und -konten sowie die Einstellung der Systemrichtlinien für Benutzer, Zugriffskontrolle und Überwachung vornehmen können.
Die Verantwortlichkeiten der einzelnen BenutzerimClient-Server-Netz sind unter Schritt 11 dargestellt.
-
Festlegung von Namenskonventionen
Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer verwendet werden.
Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden (siehe M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste). Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine freigegebene Ressource nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von Informationen zwischen zwei Anwendern oder zum Zugriff auf Ressourcen, die nur einzelnen Benutzern bekannt sein sollen, freigegeben werden. -
Festlegung der Regeln für Benutzerkonten
Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle bzw. für bestimmte dieser Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Die festgelegten Regelungen können mit Hilfe der Option "Richtlinien" des Benutzer-Managers umgesetzt werden (siehe M 4.48 Passwortschutz unter Windows NT/2000/XP). -
Einrichtung von Gruppen
Zur Vereinfachung der Administration sollten Benutzerkonten, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzerkonten zugeordnet. Die Benutzerkonten erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist. -
Festlegung der Benutzerrechte
Rechte gestatten einem Benutzer die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen hat. Wenn sich ein Benutzer bei einem Konto anmeldet, dem die gewünschten Rechte entweder direkt oder über die Gruppenmitgliedschaft erteilt wurden, kann er die entsprechenden Aktionen ausführen. Besitzt ein Benutzer nicht die geeigneten Rechte, so verhindert Windows NT jeden Versuch, die betreffenden Aktionen auszuführen.
Wie schon zuvor dargestellt, sollten Benutzerrechte möglichst nur Gruppen und nicht einzelnen Benutzern zugeordnet werden.
Windows NT legt bei der Installation Voreinstellungen fest, die in der Regel für einen sicheren und effizienten Betrieb ausreichend sind. Empfehlenswert erscheint jedoch, der Gruppe "Jeder" das Recht "System herunterfahren" und der Gruppe "Jeder" und ggf. der Gruppe "Gäste" das Recht "Lokale Anmeldung" zu entziehen (siehe M 4.50 Strukturierte Systemverwaltung unter Windows NT). -
Festlegung der Vorgaben für Protokollierung
Windows NT stellt sehr ausführliche Möglichkeiten der Protokollierung sicherheitsrelevanter Ereignisse zur Verfügung, die bei vollständiger Nutzung in der Lage sind, das System weitgehend mit Auditing zu beschäftigen und dabei große Mengen an Plattenplatz zu verbrauchen. Dabei kann ein Spektrum von Ereignisarten aufgezeichnet werden, das sich von systemweiten Ereignissen, wie zum Beispiel dem Anmelden eines Benutzers bis hin zum Versuch eines Benutzers, eine bestimmte Datei zu lesen, erstreckt. Sowohl die erfolgreichen als auch die fehlgeschlagenen Versuche, eine Aktion durchzuführen, lassen sich aufzeichnen. Bei der Konfiguration der Protokollierung ist jedoch zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die aufgrund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, dass sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet (siehe M 4.54 Protokollierung unter Windows NT). -
Regelungen zur Datenspeicherung
Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). So ist denkbar, dass Benutzerdaten nur auf einem Server abgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. Möglich ist aber auch, bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. Nach welcher Strategie verfahren werden soll, muss an den konkreten Umständen des Einzelfalles festgelegt werden. Eine generelle Empfehlung auszusprechen, ist nicht möglich. -
Einrichtung von Projektverzeichnissen
Um eine saubere Trennung von Benutzer- und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, mit der eine projekt- und benutzerbezogene Dateiablage unterstützt wird. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen dann die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden. - Vergabe der Zugriffsrechte
Für die Server ist festzulegen, welche Verzeichnisse und bei Nutzung von NTFS-Partitionen welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT). Zusätzlich ist bei Nutzung von Peer-to-Peer-Funktionalitäten auf der Ebene der Clients zu entscheiden, welche Verzeichnisse für Netzzugriff freizugeben sind (siehe M 2.94 Freigabe von Verzeichnissen unter Windows NT).
Das zuvor gesagte gilt analog für die Freigabe von Druckern. -
Verantwortlichkeiten für Administratoren und Benutzer im Client-Server-Netz
Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für- die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients,
- die Vergabe von Zugriffsrechten,
- das Hinterlegen und den Wechsel von Passwörtern und
- die Durchführung von Datensicherungen.
- Schulung
Abschließend muss festgelegt werden, welche Benutzer zu welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows NT gründlich zu schulen.
Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen.
Ergänzende Kontrollfragen:
- Wird die Sicherheitsstrategie an Veränderungen im Einsatzumfeld angepasst?