Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 3.106 Server unter Windows 2000 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 3.106 Windows 2000 Server

LogoWindows 2000 Server

Beschreibung

Windows 2000 ist das Nachfolgeprodukt zum Betriebssystem Windows NT, das häufig eingesetzt wird, um kleine, mittlere und auch große Rechnernetze aufzubauen. Es ist zu erwarten, dass Windows 2000 in Zukunft die Rolle von Windows NT übernimmt, so dass mit einer entsprechend großen Verbreitung zu rechnen ist. Die Sicherheit eines solchen Betriebssystems spielt eine wichtige Rolle, da Schwachstellen auf der Betriebssystemebene die Sicherheit aller Anwendungen beeinträchtigen können. Der vorliegende Baustein beschreibt die aus Sicherheitssicht relevanten Gefährdungen und insbesondere auch Maßnahmen, die für einen Server mit Windows 2000 zutreffen.

Windows 2000 Produkte im Überblick

Die Windows 2000 Produktfamilie umfasst die Arbeitsplatz-Variante "Microsoft Windows 2000 Professional", die vergleichbar mit der Workstation Version von Microsoft Windows NT ist (siehe dazu Baustein B 3.209 Client unter Windows XP) und drei verschiedene Server-Versionen:

Die einzelnen Versionen des Microsoft Windows 2000 Server Betriebssystems unterscheiden sich dabei hauptsächlich in der Skalierbarkeit. Die unterstützte Hardware-Ausstattung liegt z. B.

Die zugrunde liegende Architektur der Software und die verfügbaren Dienste unterscheiden sich nur in wenigen Punkten. So unterstützen z. B. der Advanced Server und der Datacenter Server im Gegensatz zur Windows 2000 Server Software auch Clustering-Mechanismen, mit denen mehrere physikalische Rechner zu einem virtuellen Rechner mit erhöhter Ausfallsicherheit zusammengeschaltet werden können.

Hauptunterschiede zu Windows NT

Windows 2000 bietet im Vergleich zu Windows NT einige neue Sicherheitsmechanismen. Hauptsächlich ist hier das Kerberos-Protokoll zu nennen, das von Windows 2000 standardmäßig als Authentisierungsverfahren benutzt wird. Das NTLM-Verfahren von Windows NT kann ebenfalls zur Authentisierung benutzt werden, so dass ein gemeinsamer Betrieb von Windows NT und Windows 2000 Rechnern innerhalb einer Windows 2000 Domäne möglich ist.

Durch die Verwendung des Kerberos-Verfahrens wird es einfacher, die Authentisierung von Benutzern zu delegieren. Dies ist eine der Voraussetzungen für den Betrieb großer Windows 2000 Netze, in denen sich Benutzer auch über Domänengrenzen hinweg authentisieren können.

Eine der wichtigsten neuen Komponenten unter Windows 2000 ist das Active Directory. Dabei handelt es sich um eine verteilte Datenbank, die die Benutzer- und Konfigurationsdaten einer Domäne auf mehrere Domänen-Controller verteilt. Änderungen können an jedem Domänen-Controller vorgenommen werden. Die Domänen-Controller replizieren diese Änderungen untereinander. Durch die Verwendung des Active Directory werden größere Domänen möglich als bei Windows NT. Zum einen kann die Active Directory Datenbank wesentlich mehr Einträge fassen, als die SAM- Benutzerdatenbank eines Windows NT Domänen-Controllers. Zum anderen lässt sich aufgrund der verteilten Struktur des Active Directories die Last besser auf mehrere Domänen-Controller verteilen, als dies bei Windows NT der Fall ist.

Unter Sicherheitsaspekten spielt das Active Directory eine wichtige Rolle, da es

Weitere sicherheitsspezifische Neuerungen von Windows 2000 sind

Ein weiterer Punkt, in dem sich Windows NT und Windows 2000 unterscheiden, ist die Voreinstellung der Zugriffsrechte auf das Dateisystem: Unter Windows 2000 lassen sich diese Zugriffsrechte restriktiver konfigurieren als unter Windows NT. Eine solche restriktive Konfiguration ist nicht zwingend erforderlich, unter Sicherheitsgesichtspunkten jedoch wünschenswert. Ihre Verwendung kann jedoch zu Problemen mit Windows NT Applikationen führen, die für eine solche Rechtekonfiguration nicht ausgelegt sind.

Gefährdungslage

Wie jedes IT-System ist auch ein Netz von Microsoft Windows 2000 Rechnern vielfältigen Gefahren ausgesetzt. Dabei sind neben Angriffen von außen auch Angriffe von innen möglich. Oft nutzen erfolgreiche Angriffe Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten. Daher kommt der korrekten Konfiguration des Systems und seiner Komponenten eine wichtige Rolle zu. Generell gilt, dass die Gefährdungslage einzelner Rechner immer auch vom Einsatzszenario abhängt und diese Einzelgefährdungen auch in die Gefährdung des Gesamtsystems eingehen.

Für den IT-Grundschutz eines servergestützten Netzes unter dem Betriebssystem Microsoft Windows 2000 werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.18 Ungeordnete Zustellung der Datenträger
- G 2.68 Fehlende oder unzureichende Planung des Active Directory

Menschliche Fehlhandlungen:

- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.48 Fehlkonfiguration von Windows 2000/XP Rechnern
- G 3.49 Fehlkonfiguration des Active Directory

Technisches Versagen:

- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische CD-ROM-Erkennung
- G 4.35 Unsichere kryptographische Algorithmen

Vorsätzliche Handlungen:

- G 5.7 Abhören von Leitungen
- G 5.23 Computer-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP System
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen
- G 5.83 Kompromittierung kryptographischer Schlüssel
- G 5.84 Gefälschte Zertifikate
- G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den erfolgreichen Aufbau eines Windows 2000 Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Installation bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Nach der Entscheidung, Windows 2000 als internes Betriebssystem einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Folgende Maßnahmen sind durchzuführen:

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation des Windows 2000-Systems erfolgen. Dabei sind die folgenden Maßnahmen zu beachten:

Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:

Nachfolgend wird nun das Maßnahmenbündel für den Baustein "Windows 2000" vorgestellt.

Planung und Organisation

- M 2.227 (A) Planung des Windows 2000 Einsatzes
- M 2.228 (A) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.229 (A) Planung des Active Directory
- M 2.230 (A) Planung der Active Directory-Administration
- M 2.231 (A) Planung der Gruppenrichtlinien unter Windows 2000
- M 2.232 (B) Planung der Windows 2000 CA-Struktur
- M 2.233 (B) Planung der Migration von Windows NT auf Windows 2000
- M 4.147 (Z) Sichere Nutzung von EFS unter Windows 2000/XP

Umsetzung

- M 3.27 (A) Schulung zur Active Directory-Verwaltung
- M 4.48 (A) Passwortschutz unter Windows NT/2000/XP
- M 4.75 (A) Schutz der Registrierung unter Windows NT/2000/XP
- M 4.136 (A) Sichere Installation von Windows 2000
- M 4.137 (A) Sichere Konfiguration von Windows 2000
- M 4.138 (A) Konfiguration von Windows 2000 als Domänen-Controller
- M 4.139 (A) Konfiguration von Windows 2000 als Server
- M 4.140 (A) Sichere Konfiguration wichtiger Windows 2000 Dienste
- M 4.141 (A) Sichere Konfiguration des DDNS unter Windows 2000
- M 4.142 (B) Sichere Konfiguration des WINS unter Windows 2000
- M 4.143 (B) Sichere Konfiguration des DHCP unter Windows 2000
- M 4.144 (B) Nutzung der Windows 2000 CA
- M 4.145 (A) Sichere Konfiguration von RRAS unter Windows 2000
- M 4.149 (A) Datei- und Freigabeberechtigungen unter Windows 2000/XP
- M 5.89 (A) Konfiguration des sicheren Kanals unter Windows 2000/XP
- M 5.90 (Z) Einsatz von IPSec unter Windows 2000/XP

Betrieb

- M 4.56 (C) Sicheres Löschen unter Windows-Betriebssystemen
- M 4.146 (A) Sicherer Betrieb von Windows 2000/XP
- M 4.148 (B) Überwachung eines Windows 2000/XP Systems

Notfallvorsorge

- M 6.43 (Z) Einsatz redundanter Windows NT/2000 Server
- M 6.76 (C) Erstellen eines Notfallplans für den Ausfall eines Windows 2000/XP Netzes
- M 6.77 (A) Erstellung von Rettungsdisketten für Windows 2000
- M 6.78 (A) Datensicherung unter Windows 2000/XP