Bundesamt für Sicherheit in der Informationstechnik

G 2.114 Uneinheitliche Windows-Server-Sicherheitseinstellungen bei SMB, RPC und LDAP

Die an sich unsicheren Kommunikations-Protokolle SMB / CIFS und LDAP wurden bei Windows Servern mit erweiterten Signierungs- und Verschlüsselungsmechanismen ausgestattet. Ab Windows Server 2003 sind einige der Mechanismen schon in den Einstellungen der lokalen Sicherheitsrichtlinie vorkonfiguriert. Der Einsatz dieser Mechanismen betrifft die Kommunikation mit allen beteiligten Windows-Servern im Netz sowie viele Basisdienste von Windows und hat Auswirkungen auf den gesamten Netzbereich. Wenn diese Einstellungen nicht flächendeckend ordnungsgemäß und konsistent eingestellt werden, sind schwer nachvollziehbare Seiteneffekte bis hin zu Fehlfunktionen einzelner Windows-Server und -Clients die Folge.

Durch Fehlkonfiguration, falsches Vorgehen und falsche Aktivierungsreihenfolge beim Vornehmen der Signierungs- und Verschlüsselungseinstellungen zu SMB/CIFS und LDAP kann die Verfügbarkeit für weite Teile des Windows-Netzes stark beeinträchtigt werden. Bei größeren Umgebungen kann das Zurückversetzen des Windows-Netzes in einen funktionstüchtigen Zustand sehr hohen Aufwand verursachen, da in einer solchen Situation viele netzbasierte Verwaltungs- und Steuerungsfunktionen gestört sind.

Insbesondere für Domänen-Controller stellen inkonsistente Einstellungen innerhalb der Domäne eine große Gefahr dar, weil sich Symptome (Störung von Verwaltungsfunktionen wie der Gruppenrichtlinien) unter Umständen erst nach einer gewissen Zeit bemerkbar machen.

Ältere Windows-Versionen sind nicht ohne weiteres kompatibel zu den erhöhten Sicherheitseinstellungen für SMB/CIFS, RPC und LDAP. Zum Beispiel sind Vertrauensstellungen ohne Kerberos-Authentisierung, wie sie in großen, standortübergreifenden Informationsverbünden genutzt werden, nicht ohne weiteres zu den erhöhten Sicherheitseinstellungen kompatibel. Durch unzureichende Analyse aller betroffenen IT-Systeme und eine unzureichende Planung des Einsatzes können unerwartete Kommunikationsstörungen in allen Bereichen die Verfügbarkeit insgesamt stark einschränken. Eine unzureichende Planung kann hohe Folgekosten bei der Realisierung nach sich ziehen.

Beispiel:

In großen Umgebungen kann es zu Schwierigkeiten beim Domänenbeitritt eines Servers sowie zu Problemen mit Vertrauensstellungen kommen, wenn keine durchgehende Vertrauensstellung auf Kerberos Basis verwendet wird. Anmeldeversuche schlagen sporadisch fehl, obwohl das richtige Kennwort eingegeben wurde, je nachdem welcher Domänencontroller zufällig für Authentisierungsversuche ausgewählt wird. Auch Applikationen können in ihrer Funktionsweise beeinträchtigt werden.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK