Bundesamt für Sicherheit in der Informationstechnik

B 3.109 Windows Server 2008

Logo Windows Server 2008

Beschreibung

Mit Windows Server 2008 hat Microsoft ein Serverbetriebssystem auf den Markt gebracht, dass in Bezug auf die Sicherheit deutliche Verbesserungen gegenüber den Vorgängerversionen mitbringt. Mit dem Release Windows Server 2008 R2 sind weitere Verbesserungen und Erweiterungen verfügbar, die Windows 2008 zum Pendant zu Windows 7 auf der Clientseite machen.

Windows Server 2008 kann als Betriebssystem für Server mit unterschiedlichen Aufgaben eingesetzt werden, vom Windows-Domänencontroller über Active Directory Server und Datenbankserver bis hin zu Anwendungsservern oder Infrastrukturdiensten wie DHCP , DNS oder VPN . Nicht alle Funktionen müssen aktiviert werden, die Auswahl hängt von den Anwendungsszenarien ab. Dieser Baustein kann nicht alle Einsatzszenarien im Detail betrachten, sondern beschränkt sich auf die gemeinsame Betriebssystemplattform und wesentliche, übergreifende Sicherheitsfunktionen.

Dieser Baustein ist immer dann anzuwenden, wenn Windows Server 2008 als Betriebssystem verwendet wird, auch in der Ausführung als Windows Server Core. Mit Hilfe von Windows Server 2008 realisierte Dienste müssen unabhängig davon durch geeignete Bausteine der Schicht 5 (Anwendungen) oder durch eine ergänzende Risikoanalyse abgedeckt werden.

Soweit in diesem Baustein und den dazugehörigen Maßnahmen und Gefährdungen von Windows Server 2008 die Rede ist, schließt dies auch die Version R2 ein. Änderungen und Besonderheiten in R2 sind jeweils explizit ausgewiesen.

Gefährdungslage

Die folgenden Gefährdungen sind beim Einsatz eines Servers mit dem Betriebssystem Windows Server 2008 relevant:

Organisatorische Mängel

G 2.7 Unerlaubte Ausübung von Rechten
G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel
G 2.114 Uneinheitliche Windows-Server-Sicherheitseinstellungen bei SMB, RPC und LDAP
G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen ab Windows Server 2003
G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten ab Windows Server 2003
G 2.156 Kompatibilitätsprobleme beim Anheben der Active Directory-Funktionsebene

Menschliche Fehlhandlungen

G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.27 Fehlerhafte Zeitsynchronisation
G 3.48 Fehlerhafte Konfiguration von Windows- /basierten IT-Systemen
G 3.81 Unsachgemäßer Einsatz von Sicherheitsvorlagen ab Windows Server 2003
G 3.97 Vertraulichkeitsverletzung trotz BitLocker-Laufwerksverschlüsselung ab Windows Vista
G 3.98 Verlust von BitLocker-verschlüsselten Daten

Technisches Versagen

G 4.13 Verlust gespeicherter Daten
G 4.22 Software-Schwachstellen oder -Fehler
G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS
G 4.55 Datenverlust beim Zurücksetzen des Kennworts ab Windows Server 2003 und XP

Vorsätzliche Handlungen

G 5.7 Abhören von Leitungen
G 5.52 Missbrauch von Administratorrechten bei Windows-Betriebssystemen
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen
G 5.83 Kompromittierung kryptographischer Schlüssel
G 5.85 Integritätsverlust schützenswerter Informationen
G 5.132 Kompromittierung von RDP-Benutzersitzungen ab Windows Server 2003
G 5.133 Unautorisierte Benutzung web-basierter Administrationswerkzeuge

Maßnahmenempfehlungen

Die hier beschriebenen Maßnahmen ergänzen die Maßnahmen aus dem Baustein B 3.101 Allgemeiner Server um spezifische Aspekte für Server unter dem Betriebssystem Windows Server 2008. Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Planung und Konzeption

Eine sorgfältige Planung ist für jeden eingesetzten Server unverzichtbar. In M 4.418 Planung des Einsatzes von Windows Server 2008 sind die grundlegenden Empfehlungen hierfür zusammengefasst. Neuerungen gegenüber früheren Server-Betriebssystemen von Microsoft beschreibt M 4.408 Übersicht über neue, sicherheitsrelevante Funktionen in Windows Server 2008 .

Im betrieblichen Umfeld werden üblicherweise Volumenlizenzverträge für die Beschaffung von Windows-Servern genutzt. Für die damit verbundene Aktivierung müssen die richtigen Voraussetzungen geschaffen werden, um die Verfügbarkeit der Systeme sicherzustellen (siehe M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag ). Dazu gehört auch, die Reaktivierung vorzubereiten, die insbesondere nach Konfigurationsänderungen erforderlich werden kann (M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag ).

Für einen sicheren Betrieb des Systems sind weitere Aspekte bereits in der Planungsphase zu berücksichtigen, von allgemeinen Festlegungen zur Systemadministration (M 2.364 Planung der Administration ab Windows 2003 ) über die Gruppenrichtlinien (M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ) bis hin zur Einbindung in eine Systemüberwachung (M 2.489 Planung der Systemüberwachung unter Windows Server 2008 ).

Je nach dem vorgesehenen Einsatzgebiet des Servers müssen weitere Aspekte geplant werden, z. B. für eine organisationseigene Public-Key-Infrastruktur (M 2.232 Planung der Windows-CA-Struktur ab Windows 2000 ) oder im Rahmen von Windows-basierten Virtualisierungslösungen (M 2.490 Planung des Einsatzes von Virtualisierung mit Hyper-V ).

Beschaffung

Bevor ein Windows 2008 Serversystem beschafft wird, müssen dessen Anforderungen geklärt werden. Dies umfasst nicht nur die Hardware-Anforderungen, sondern es ist auch die richtige Edition auszuwählen (M 4.409 Beschaffung von Windows Server 2008 ) und die erforderliche Infrastruktur für die Aktivierung zu berücksichtigen (M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag ).

Umsetzung

Um das Betriebssystem aufzusetzen, helfen die vom Hersteller bereitgestellten Vorlagen (M 2.491 Nutzung von Rollen und Sicherheitsvorlagen unter Windows Server 2008 ). Auf dieser Grundlage muss eine sichere Basiskonfiguration erstellt werden (M 4.280 Sichere Basiskonfiguration ab Windows Server 2003 ). Hierfür können, anders als bei früheren Windows Server-Versionen, weitgehend die Standardeinstellungen übernommen werden. Sofern durch Windows Server 2008 ein älteres Windows-Betriebssystem ersetzt wird, muss eine entsprechende Migrationsplanung erfolgen und umgesetzt werden (M 4.412 Sichere Migration von Windows Server 2003 auf Server 2008 ).

Wie schon bei früheren Windows Server-Versionen ist auch der Schutz der lokal angeschlossenen Geräte (M 4.52 Geräteschutz unter NT-basierten Windows-Systemen ), der Einsatz von Skripten und Skript-Umgebungen (M 2.367 Einsatz von Kommandos und Skripten ab Windows Server 2003 ), die Konfiguration der Systemdienste (M 4.284 Umgang mit Diensten ab Windows Server 2003 ) sowie ein ausreichender Passwortschutz (M 4.48 Passwortschutz unter Windows-Systemen ) wichtig.

Für das Dateisystem ist festzulegen, ob eine Protokollierung des jeweils letzten Dateizugriffs genutzt werden soll. Diese Protokollierung erleichtert die Aufklärung von Sicherheitsvorfällen, kann aber negativen Einfluss auf die Performance haben und muss daher abgewogen werden (M 4.342 Aktivierung des Last Access Zeitstempels ab Windows Vista ). Neue Funktionen wie die Benutzerkontensteuerung (M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ) und die Möglichkeit zum Integritätsschutz (M 4.341 Integritätsschutz ab Windows Vista ) können für eine, im Vergleich zu früheren Versionen, verbesserte Systemsicherheit sorgen und sollten daher genutzt werden. Wird der Server als Active Directory eingesetzt, sind auch die Erläuterungen zu beachten, die in M 4.414 Überblick über Neuerungen für Active Directory ab Windows Server 2008 zusammengestellt sind.

Bei erhöhtem Schutzbedarf empfehlen sich erweiterte Schutzmaßnahmen wie beispielsweise die Einrichtung von eingeschränkten Benutzerumgebungen (M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung ), zusätzliche Maßnahmen zur Absicherung der Netzkommunikation (M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows-Servern oder M 5.90 Einsatz von IPSec unter Windows ) oder die Anwendungssteuerung mit dem Werkzeug AppLocker (M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker ). Für die Verschlüsselung von Daten stehen Mechanismen auf Datenträger- und auf Dateisystemebene bereit (M 4.337 Einsatz von BitLocker Drive Encryption und M 4.147 Sichere Nutzung von EFS unter Windows ).

Betrieb

Die wichtigsten regelmäßigen Betriebsaufgaben sind in M 2.369 Regelmäßige sicherheitsrelevante Wartungsmaßnahmen eines Windows Server 2003 zusammengefasst und werden ergänzt durch die sichere Administration der Benutzerkonten und Berechtigungen (M 2.370 Administration der Berechtigungen ab Windows Server 2003 ). Das System sollte gezielt überwacht werden, damit Verfügbarkeitsprobleme und Sicherheitsvorfälle schnell erkannt werden (M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 ).

Wie für alle IT -Systeme ist auch für Windows-Server ein funktionierendes Patch-Management ein zentrales Element für den Erhalt der Systemsicherheit. Hierfür steht mit den Windows Server Update Services (WSUS) ein Werkzeug von Microsoft selbst bereit (M 4.417 Patch-Management mit WSUS ab Windows Server 2008 ).

Benutzer und Administratoren des Servers müssen die Besonderheiten beim Löschen von Dateien beachten (M 4.56 Sicheres Löschen unter Windows-Betriebssystemen ). Mit den neuen Möglichkeiten zur biometrischen Authentisierung per Fingerabdruck steht außerdem eine Alternative zur Passworteingabe bereit (M 4.415 Sicherer Betrieb der biometrischen Authentisierung unter Windows ).

Aussonderung

Bei der Aussonderung von Windows-Servern sind die im Baustein B 3.101 Allgemeiner Server beschriebenen Maßnahmen umzusetzen. Zusätzlich müssen die einzelnen Konten deaktiviert bzw. gelöscht werden (M 2.371 Geregelte Deaktivierung und Löschung ungenutzter Konten ).

Notfallvorsorge

Wie für alle anderen zentralen IT -Systeme muss auch für Windows-Server eine geeignete Notfallplanung erstellt werden (M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows-Systemen ). Ein zentrales Element der Notfallvorsorge ist die Datensicherung, die auch relevante Bereiche des Betriebssystems mit einbeziehen muss (M 6.99 Regelmäßige Sicherung wichtiger Systemkomponenten für Windows-Server ). Bei erhöhten Anforderungen an die Verfügbarkeit kann über Redundanzen eine zusätzliche Vorsorge getroffen werden (M 6.43 Einsatz redundanter Windows-Server ).

Planung und Konzeption

M 2.232 (C) Planung der Windows-CA-Struktur ab Windows 2000
M 2.326 (A) Planung der Gruppenrichtlinien für Clients ab Windows XP
M 2.364 (A) Planung der Administration ab Windows 2003
M 2.489 (A) Planung der Systemüberwachung unter Windows Server 2008
M 2.490 (C) Planung des Einsatzes von Virtualisierung mit Hyper-V
M 4.147 (Z) Sichere Nutzung von EFS unter Windows
M 4.277 (C) Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows-Servern
M 4.336 (A) Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag
M 4.337 (Z) Einsatz von BitLocker Drive Encryption
M 4.340 (A) Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista
M 4.341 (A) Integritätsschutz ab Windows Vista
M 4.342 (Z) Aktivierung des Last Access Zeitstempels ab Windows Vista
M 4.408 (W) Übersicht über neue, sicherheitsrelevante Funktionen in Windows Server 2008
M 4.414 (W) Überblick über Neuerungen für Active Directory ab Windows Server 2008
M 4.418 (A) Planung des Einsatzes von Windows Server 2008

Beschaffung

M 4.409 (W) Beschaffung von Windows Server 2008

Umsetzung

M 2.32 (Z) Einrichtung einer eingeschränkten Benutzerumgebung
M 2.367 (C) Einsatz von Kommandos und Skripten ab Windows Server 2003
M 2.491 (B) Nutzung von Rollen und Sicherheitsvorlagen unter Windows Server 2008
M 4.48 (A) Passwortschutz unter Windows-Systemen
M 4.52 (A) Geräteschutz unter NT-basierten Windows-Systemen
M 4.280 (A) Sichere Basiskonfiguration ab Windows Server 2003
M 4.284 (B) Umgang mit Diensten ab Windows Server 2003
M 4.410 (Z) Einsatz von Netzwerkzugriffsschutz unter Windows
M 4.412 (Z) Sichere Migration von Windows Server 2003 auf Server 2008
M 4.413 (Z) Sicherer Einsatz von Virtualisierung mit Hyper-V
M 4.419 (Z) Anwendungssteuerung ab Windows 7 mit AppLocker
M 5.90 (Z) Einsatz von IPSec unter Windows

Betrieb

M 2.368 (C) Umgang mit administrativen Vorlagen unter Windows ab Server 2003
M 2.369 (A) Regelmäßige sicherheitsrelevante Wartungsmaßnahmen eines Windows Server 2003
M 2.370 (A) Administration der Berechtigungen ab Windows Server 2003
M 4.56 (C) Sicheres Löschen unter Windows-Betriebssystemen
M 4.343 (Z) Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag
M 4.344 (B) Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008
M 4.411 (Z) Sichere Nutzung von DirectAccess unter Windows
M 4.415 (Z) Sicherer Betrieb der biometrischen Authentisierung unter Windows
M 4.416 (Z) Einsatz von Windows Server Core
M 4.417 (B) Patch-Management mit WSUS ab Windows Server 2008

Aussonderung

M 2.371 (A) Geregelte Deaktivierung und Löschung ungenutzter Konten
M 2.410 (B) Geregelte Außerbetriebnahme eines Verzeichnisdienstes

Notfallvorsorge

M 6.43 (Z) Einsatz redundanter Windows-Server
M 6.76 (C) Erstellen eines Notfallplans für den Ausfall von Windows-Systemen
M 6.99 (A) Regelmäßige Sicherung wichtiger Systemkomponenten für Windows-Server

Stand: 14. EL Stand 2014