Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.138 Konfiguration von Windows 2000 als Domänen-Controller - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.138 Konfiguration von Windows 2000 als Domänen-Controller

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Domänen-Controller (DC) stellen in einem Windows 2000 Netz die zur Verwaltung einer Windows 2000 Domäne nötigen Dienste zur Verfügung, unter denen der Active Directory Dienst (Active Directory Service, ADS) die wichtigste Rolle einnimmt. In der Regel wird von einem DC auch der Namensdienst DNS (Domain Name Service) angeboten, ohne den das Active Directory nicht betrieben werden kann. Im DNS werden von Windows Referenzen auf wichtige Windows 2000 Ressourcen gehalten, deren Integrität für das korrekte Funktionieren einer Windows 2000 Domäne essentiell sind. Da ein DC als Anmeldeserver fungiert, führt er den dazu notwendigen Kerberos-Dienst aus. Die Kerberos-Komponenten auf dem DC bewahren zudem die im Rahmen des Authentisierungs-Protokolls genutzten geheimen Schlüssel auf.

Da jedem DC daher eine wichtige Rolle zukommt und durch ihn schützenswerte Daten gespeichert werden, sind für die Konfiguration folgende Punkte zu beachten. Daneben gelten auch für einen Domänen-Controller die in der Maßnahme M 4.137 Sichere Konfiguration von Windows 2000 und M 4.139 Konfiguration von Windows 2000 als Server beschriebenen Aspekte entsprechend.

Domänen-Controller sollten so sicher wie möglich konfiguriert werden. Nach der Standardinstallation sollte die Vorlagendatei secdc.inf oder hisecdc.inf angewandt werden. Die Vorlagendateien finden sich im Windows 2000 Systemverzeichnis unter C:\WINNT\security\templates und können entweder von der Kommandozeile mittels des Kommandos secedit konfiguriert werden, oder über die MMC-Plug-ins Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse angesehen oder angewandt werden. Wurde der Rechner von NT nach Windows 2000 migriert und nicht neu installiert, so ist zunächst das Template basicdc.inf anzuwenden, um eine Standard Windows 2000 Konfiguration zu erreichen. Je nach Umfeld müssen die durch die Vorlagen secdc.inf bzw. hisecdc.inf vorgenommen Einstellungen angepasst werden. Dies kann beispielsweise erforderlich sein, wenn im Netz noch Altsysteme, z. B. OS/2, vorhanden sind, die weniger sichere Einstellungen bieten. Weitere Hinweise zur Planung der Sicherheitseinstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows 2000.

Generell ist für jeden Domänen-Controller immer die physikalische Sicherheit zu gewährleisten, z. B durch Aufstellung in einem Serverraum.

Ergänzende Kontrollfragen: