M 4.144 Nutzung der Windows 2000 CA
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Windows 2000 wird mit eigenen PKI-Komponenten ausgeliefert. Eine Hauptkomponente jeder PKI (Public Key Infrastruktur) bildet dabei die so genannte CA (Certificate Authority, Zertifikatsausgabestelle). Windows 2000 kann generell auch ganz ohne PKI bzw. CA betrieben werden, wenn spezielle Windows 2000 Funktionen, wie z. B. chipkartenbasiertes Logon und SSL-Kommunikation zwischen Betriebssystemkomponenten, nicht genutzt werden. Ist die Entscheidung für den Aufbau einer Windows 2000 PKI gefallen und wurde eine entsprechende PKI-Planung (siehe dazu M 2.232 Planung der Windows 2000 CA-Struktur) durchgeführt, so muss eine der Windows 2000 CAs (Enterprise-CA oder Stand-alone-CA) installiert und betrieben werden.
Aus Sicherheitssicht ergeben sich dabei folgende Aspekte, die zu berücksichtigen sind:
- Gemäß der geplanten CA-Struktur müssen die notwendigen Vertrauensstellungen eingerichtet werden. Es ist darauf zu achten, dass kein Fehler in der Vertrauensstruktur existiert, da dies im Betrieb zu Sicherheitsproblemen führen kann, indem bestimmten Zertifikaten fälschlicherweise vertraut wird. Die notwendigen Vertrauensstellungen werden entweder während der Konfiguration als untergeordnete CA oder aber durch das Eintragen von CA-Zertifikaten in die Liste der vertrauten Root-CAs (Cross-Zertifizierung) eingerichtet.
- Rechner, auf denen die CA-Komponenten von Windows 2000 installiert sind, müssen besonders geschützt werden. Insbesondere ist die physikalische Sicherheit und die sichere Konfiguration des Betriebssystems notwendig (siehe auch M 4.137 Sichere Konfiguration von Windows 2000, M 4.146 Sicherer Betrieb von Windows 2000/XP). Vor der Installation der CA-Komponenten muss berücksichtigt werden, dass nach der Installation der CA-Komponenten keine Veränderungen der Domänenzugehörigkeit und des Namens des benutzten Rechners mehr möglich sind. Der Rechner stellt nun die Identität der CA dar, die nicht verändert werden darf, sodass dies von Windows 2000 auch nicht zugelassen wird.
- Es empfiehlt sich, dedizierte CA-Rechner zu benutzen, auf denen keine weiteren Dienste ablaufen.
- Die Administration der CA darf nur den berechtigten CA-Administratoren möglich sein.
Beim Betrieb einer Stand-alone-CA wird das Ausstellen von Zertifikaten durch den CA-Administrator angestoßen, nachdem die Rechtmäßigkeit der Zertifikatsanforderung durch ihn überprüft wurde. Dieser Autorisierungsschritt fehlt, wenn eine Enterprise-CA eingesetzt wird, die Zertifikatsanfragen automatisch bearbeitet. Für die Enterprise-CA sind daher außerdem die folgenden Aspekte zu berücksichtigen:
- Soll unter Windows 2000 Smartcard-gestütztes Login ermöglicht werden oder sollen für Rechner Zertifikate, z. B. zur Absicherung der Kommunikation von Betriebssystemkomponenten mittels SSL, benutzt werden, so muss eine Enterprise-CA eingesetzt werden.
- Eine Enterprise-CA stellt Zertifikate nur dann aus, wenn das so genannte Zertifikats-Template dem Benutzer, der die Zertifikatsanforderung initiiert hat, entsprechende Zugriffsrechte einräumt. Daher sind für jedes Zertifikats-Template die gemäß CA-Planung korrekten Zugriffsrechte (so genannte Enroll Permissions) zu konfigurieren. Die Konfiguration ist zweistufig. Zum einen erfolgt sie über das MMC-Snap-in Certification authority console. Hier können über den Eigenschaftsdialog des CA-Serverknotens die generellen Zugriffsberechtigungen auf den Server eingestellt werden. Damit kann den berechtigten Benutzergruppen das Recht Enroll eingetragen werden. Zum anderen erfolgt die Konfiguration über das MMC-Snap-in AD Sites and Services im Eigenschaftsdialog der einzelnen Zertifikats-Templates unter dem Konsolenpfad Services/Public Key Services/Certificate Templates.
- Für die Enterprise-CA erfolgt die Zertifikatsanforderung von Benutzern über spezielle WWW-Seiten, die so genannten Web Enrollment Pages, die auf einem separaten Rechner mit installiertem WWW-Server gehalten werden.
Für den Zugriff auf diese Seiten sollte die Authentisierung nicht mittels basic authentication erfolgen. Diese Methode hat nämlich den Nachteil, dass hier ohne zusätzliche Maßnahmen, wie z. B. durch SSL-Absicherung, das Benutzerpasswort mehrfach ungeschützt übertragen wird. Das Passwort ist zwar Base64-kodiert und damit auf den ersten Blick nicht entzifferbar, aber ohne Probleme auswertbar.
Außerdem muss der Rechner, der die Web Enrollment Pages anbietet, abgesichert werden, da dieser direkt mit dem CA-Rechner kommuniziert. Netztopologisch muss der Rechner, der die Enrollment Pages anbietet, von allen Benutzern zugreifbar sein, die berechtigt sind, Zertifikate zu beantragen. Je nach Einsatzszenario kann auch eine Anordnung in einem eigenen Netzsegment sinnvoll sein, wobei der Zugriff auf dieses Segment beispielsweise durch Paketfilter kontrolliert werden kann. - Soll die Enterprise-CA lediglich Zertifikate für Rechner ausgeben und keine Benutzerzertifikate erstellen, so muss die Unterstützung der Web Enrollment Pages deaktiviert werden.
Generell muss auch berücksichtigt werden, dass die Rückruflisten entsprechend dem CA-Konzept erstellt und verteilt werden müssen. Die aufgezeigten Maßnahmen müssen immer auf den konkreten Fall angepasst werden.
Ergänzende Kontrollfragen:
- Wurde eine bedarfsgerechte PKI-Planung durchgeführt?
- Sind alle Rechner, auf denen CA-Komponenten installiert sind, gegen unbefugten Zugriff geschützt?
- Sind alle Rechner, auf denen CA-Komponenten installiert sind, physikalisch geschützt?
- Sind auf Rechnern, auf denen CA-Komponenten installiert sind, keine anderen Infrastrukturdienste installiert?
- Sind für alle CAs alle eingerichteten Vertrauensstellungen geprüft worden?
- Sind für alle Zertifikatsvorlagen die notwendigen Zugriffsrechte für Benutzer eingetragen?
- Ist eine Enterprise-CA installiert worden, wenn eine Benutzerauthentisierung mittels Chipkarte geplant ist oder wenn die Kommunikation zwischen Windows 2000 Systemkomponenten mittels SSL abgesichert werden soll?