Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.123 Absicherung der Netzwerkkommunikation unter Windows XP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.123 Absicherung der Netzwerkkommunikation unter Windows XP

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator

Verantwortlich für Umsetzung: Administrator

Die Sicherheit einer Windows XP Infrastruktur wird nicht ausschließlich von der sicheren Konfiguration und dem sicheren Betrieb einzelner Systeme bestimmt. Die Gesamtsicherheit hängt auch wesentlich von der Sicherheit in der Netzkommunikation ab, die unter anderem durch die Absicherung der Kommunikationswege (Signaturen, Verschlüsselung) und verwendete Authentisierungsmechanismen bestimmt wird.

Generell gilt, dass nicht verwendete Netzwerkkomponenten (z. B. Datei- und Druckerfreigabe für Microsoft-Netzwerke) von existierenden Schnittstellen zu entfernen sind. Die Beurteilung, welche Netzwerkprotokolle entfernt werden sollten, hat anhand konkreter Umstände und im Einzelfall zu erfolgen.

Sicherer Kanal

Die Kommunikation eines Clients mit einem Domain Controller erfolgt über den sog. Sicheren Kanal, der unter anderem für die Übertragung der Authentisierungsdaten verwendet wird. Die Daten des Sicheren Kanals werden mit einem Sitzungsschlüssel verschlüsselt. Das jeweilige Computer-Konto des Clients (automatisch von Windows verwaltet) wird für den Aufbau dieses Kanals verwendet. Die regelmäßigen Änderungen des Kennworts für das Computer-Konto sind daher maßgebend für die Sicherheit des Sicheren Kanals.

Standardmäßig sind die Änderungen des Kennworts für das Computer-Konto aktiviert und sollten nicht durch eine nachträgliche Konfiguration deaktiviert werden (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Domänenmitglied: Änderungen von Computerkennwörtern deaktivieren), da dies zu Sicherheitsproblemen führen kann. Das Maximalalter des Kennworts ist standardmäßig auf 30 Tage voreingestellt (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Domänenmitglied: Maximalalter von Computerkennwörtern) und sollte im Normalfall nicht auf einen größeren Wert geändert werden.

Die Absicherung der Kommunikation mit Domain Controllern ist sehr wichtig, da hier kritische Informationen übertragen werden. Diese Kommunikation muss immer signiert und stark verschlüsselt werden. Eine starke Verschlüsselung mit 128 Bit (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Domänenmitglied: Starker Sitzungsschlüssel erforderlich) sollte daher verwendet werden, wenn auf allen Rechnern der Domäne und aller vertrauten Domänen mindestens Windows 2000 eingesetzt wird. Kommen ältere Betriebssystemversionen zum Einsatz, kann diese Einstellung nicht erfolgen. Die Aktivierung starker Verschlüsselung ist also anhand der konkreten Umstände und im Einzelfall festzulegen.

Signieren und Verschlüsseln der Kommunikation

Alle Daten, die über den Sicheren Kanal übertragen werden, sollten signiert und verschlüsselt werden. Standardmäßig erfolgt dies aber nur dann, wenn beide Kommunikationspartner gleiche Verfahren verwenden. Unterstützt einer der beiden Partner jedoch Verschlüsselung bzw. Signieren nicht, erfolgt die Kommunikation ungeschützt (Richtlinien Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) und Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen). Wird die Richtlinie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) aktiviert, muss die Kommunikation signiert oder verschlüsselt werden. Unterstützen dann beide Partner nicht die gleichen Verfahren, wird keine Verbindung aufgebaut. Diese Option wird für den Einsatz empfohlen, wenn alle Domain Controller der Domäne und aller vertrauten Domänen mindestens Windows NT 4.0 mit Service Pack 4 ausführen.

Das SMB-Protokoll (Server Message Block) unterstützt nicht nur eine gegenseitige Authentisierung, sondern erlaubt auch das Signieren der SMB-Pakete. Durch die Authentisierung und das Signieren werden Man-in-the-Middle-Angriffe verhindert.

Die SMB-Signaturen werden mit folgenden Richtlinien unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen konfiguriert:

Standardmäßig werden die Signaturen für SMB-Pakete unter Windows XP nicht erzwungen, lediglich die Richtlinie Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) ist aktiviert. Nur wenn auf dem SMB-Server beispielsweise das Signieren der Pakete aktiviert wurde, wird die Kommunikation signiert. Es besteht jedoch die Möglichkeit, die Signaturen zu erzwingen. Hierfür sind die restlichen Richtlinien zu aktivieren.

Das Aktivieren der Richtlinien zum Signieren der SMB-Kommunikation kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Vor der Aktivierung dieser Einstellungen sind daher Kompatibilitätstests erforderlich.

Nicht alle SMB-Server von Drittanbietern unterstützen die Kennwortverschlüsselung während der Authentisierung. Wird im Rahmen des SMB-Protokolls auf einen solchen Server zugegriffen, kann das Kennwort unverschlüsselt übertragen werden, wenn die Richtlinie Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden aktiviert wird. Die Übertragung ungeschützter Kennwörter sollte nicht zugelassen werden, d. h. die genannte Richtlinie darf nicht aktiviert werden.

Windows XP erlaubt das Festlegen der minimalen Sitzungssicherheit für die Kommunikation auf Anwendungsebene (z. B. zwischen RPC-Komponenten). Folgende Optionen können in beiden Richtlinien Netzwerksicherheit: minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) und Netzwerksicherheit: minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen gewählt werden:

Standardmäßig werden keine Minimaloptionen festgelegt. Wird auf allen Rechnern Windows XP bzw. Windows 2003 mit aktivierter 128-Bit-Verschlüsselung ausgeführt, sind die Optionen für NTLMv2-Authentisierung und 128-Bit-Verschlüsselung zu aktivieren.

Starker Authentisierungsmechanismus

Die Güte des Authentisierungsverfahrens bei Netzwerkanmeldungen spielt ebenfalls eine signifikante Rolle für die Gewährleistung der Sicherheit. Insgesamt können drei Authentisierungsmechanismen verwendet werden: LM, NTLMv1 und NTLMv2. Vor Windows 2000/XP/2003 wurde zunächst das LM-Verfahren und ab Windows NT das NTLM-Verfahren (in zwei Versionen) eingesetzt. Die alten Verfahren haben jedoch Schwächen, so dass aus einem übertragenen Authentisierungswert das Kennwort bestimmt werden kann. Den besten Schutz bietet an dieser Stelle die Version 2 des NTLM Protokolls.

In reinen Windows Netzen (mit NT 4.0 ab SP4/2000/XP/2003) sollte in jedem Fall ausschließlich NTLMv2 als das sicherste verfügbare Verfahren eingesetzt werden. Die älteren Protokolle sollten aufgrund ihrer Schwächen abgelehnt werden. Dazu ist in der zugehörigen Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Netzwerksicherheit: LAN Manager-Authentifizierungsebene der Wert Nur NTLMv2-Antworten senden\LM&NTLM verweigern einzustellen.

Die Speicherung der LAN Manager Hashwerte bei Kennwortänderungen sollte deaktiviert werden. Dies wird durch das Aktivieren der Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen |Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern erreicht.

Sind noch ältere Systeme im Einsatz (Windows 9x/NT 4.0 vor Service Pack 4), so kann es aus Kompatibilitätsgründen notwendig sein, auch andere Authentisierungsmechanismen zuzulassen, was aus Sicherheitssicht jedoch nicht empfohlen wird. Grundsätzlich wird empfohlen, die älteren Systeme mit Hilfe entsprechender Service Packs zu aktualisieren (Windows NT 4.0 Service Pack 4 oder höher) oder Zusatzsoftware zu verwenden (NTLMv2 ist zusammen mit dem optionalen Client für Verzeichnisdienste auch unter Windows 95/98 verfügbar).

Anonymer Zugriff

Anonyme Zugänge über das Netzwerk sollten grundsätzlich nicht möglich sein (sogenannte NULL SESSIONS). Unter Windows XP ist es standardmäßig vorgesehen, bestimmte Aktivitäten wie z. B. das Aufzählen von SAM-Konten anonym durchzuführen. Diese Funktionalität ist durch das Aktivieren der Richtlinien Netzwerkzugriff: Anonyme SID-/Namensübersetzung nicht erlauben, Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben und Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) explizit zu deaktivieren. Die Richtlinie Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ist zu deaktivieren.

Ergänzende Kontrollfragen: