Bundesamt für Sicherheit in der Informationstechnik

G 3.81 Unsachgemäßer Einsatz von Sicherheitsvorlagen ab Windows Server 2003

Windows Server ab Version 2003 ermöglicht die Übernahme von Einstellungen aus Vorlagen direkt in die Systemkonfiguration. Dafür existieren drei Vorlagentypen:

  • Dateien mit der Erweiterung .inf, ab Windows Server 2003 Sicherheitsvorlagen genannt, werden im Sicherheitskonfigurations-Editor (SCE) bearbeitet.
  • XML -Vorlagen, ab Windows Server 2003 mit Service Pack 1 als Sicherheitsrichtlinien bezeichnet, werden mit dem Sicherheitskonfigurations-Assistenten (SCW) bearbeitet.
  • Dateien mit der Erweiterung .pol (Windows NT 4.0-Vorlagen) können ebenfalls auf Windows Server 2003 angewendet werden.

Alle genannten Typen werden nachfolgend Sicherheitsvorlagen genannt. Sie verändern die Systemkonfiguration, sobald sie angewendet werden.

Neben sogenannten Sicherheitsvorlagen existieren administrative Vorlagen (Erweiterung .adm).

Mit Windows Vista wurden die ADM-Dateien durch ADMX-Vorlagedateien ersetzt, die eine neue Syntax auf XML-Basis für die Registry-basierten Richtlinien verwenden. ADMX-Dateien bieten den Vorteil, dass sie, im Gegensatz zu ADM-Dateien, sprachneutral sind und in Verbindung mit sprachspezifischen ADML-Dateien auf beliebige Sprachversionen angewendet werden können.

In Unterschied zu ADM-Dateien werden ADMX-Dateien nicht mehr einzeln in jedes Gruppenrichtlinienobjekt geladen, sondern in einem zentralen Speicher verwaltet. Da sich die Gruppenrichtlinien-Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor standardmäßig mit dem PDC-Emulator verbinden, wird in einer Active Directory-basierten Umgebung die zentrale Speicherung der ADMX/ADML-Dateien im SYSVOL-Verzeichnis auf diesem Betriebsmaster empfohlen. Die Betriebsmasterrolle PDC-Emulator emuliert einen Primary- oder Backup-Domain-Controller unter Windows NT, um für Abwärtskompatibilität zu sorgen.

Es ist auch möglich, eigene administrative Vorlagen zu definieren. Diese Vorgehensweise empfiehlt sich vor allem, wenn in der Institution reger Gebrauch von direkten Registry-Einstellungen gemacht wird. Durch die einmalige Definition einer administrativen Vorlage können die entsprechenden Registry-Einstellungen komfortabel über den Gruppenrichtlinien-Mechanismus verteilt werden. Dies stellt unter anderem sicher, dass die Registry-Einstellungen tatsächlich auf allen Zielrechnern umgesetzt werden.

Da Sicherheitsvorlagen die Systemkonfiguration tiefgreifend ändern, besteht die Gefahr, dass bestimmte Funktionen oder der ganze Server nicht mehr verfügbar sind, wenn diese nicht getestet wurden. Werden sie mit Hilfe von Gruppenrichtlinien oder Skripten automatisch auf mehrere Server ausgerollt, kann der Betrieb im gesamten Informationsverbund gestört werden und sogar vollständig ausfallen.

Durch unsachgemäßen Umgang mit Sicherheitsvorlagen ergibt sich daher ein hohes Gefährdungspotential.

Mögliche Gefährdungen können ihre Ursache bereits in einem fehlerhaften Verhalten bei der Erstellung von Sicherheitsvorlagen haben. Der Erstellung geht meist die Analyse von Anforderungen voraus. Anschließend wird ein Referenzsystem manuell vom Administrator oder automatisch durch den SCW analysiert. Die Analyseprozesse umfassen viele Komponenten des Servers und betreffen Einstellungen, die tief in das Betriebssystem eingreifen. Die Analyseprozesse können unvollständig bleiben oder unbemerkt aus technischen Gründen fehlschlagen. Die zugrunde liegenden Sicherheitsdatenbanken und Sicherheitskataloge können korrupt oder nicht aktuell sein. Außerdem können Programme von Drittherstellern oder eine spezielle Systemkonfiguration unvorhergesehenen Einfluss auf den Analysevorgang haben.

Der SCW kann Sicherheitsvorlagen des SCE umwandeln und in seine Sicherheitsrichtlinien-Dateien mit einbinden. Hieraus können sich Konflikte von bestimmten Parametern ergeben. Sicherheitsvorlagen insgesamt können zwar von den Verteilungsmechanismen von Active Directory und Gruppenrichtlinien profitieren, allerdings müssen dazu alle Vorlagentypen in Gruppenrichtlinienobjekte umgewandelt oder - im Falle von .pol-Dateien aus Windows NT 4.0 - migriert werden. Dabei können ebenfalls Konflikte oder Kompatibilitätsprobleme auftreten.

Das Einspielen von Sicherheitsvorlagen auf einen Server kann fehlschlagen, wenn der Server nicht den Voraussetzungen für die jeweilige Vorlage entspricht. Alte Applikationen, die nicht für aktuelle Windows-Versionen entwickelt wurden, führen häufig zu unerwarteten Effekten.

Außerdem können Berechtigungseinstellungen, die in der Vorlage auf Verweigern gesetzt sind, unerwartetes Verhalten verursachen, das sehr schwer zu beheben ist.

Bei allen beschriebenen Punkten besteht die Gefahr, dass eine Vorlage nicht die geplante Wirkung erzielt und das System in einen unvorhergesehenen Zustand versetzt wird.

Die Gefahren verschärfen sich erheblich, wenn beim Entwickeln und Ausrollen von Sicherheitsvorlagen auf Tests verzichtet wird oder wenn die im Test verwendeten Referenzsysteme nicht repräsentativ sind.

Schließlich kann auch eine unzureichende technische und organisatorische Durchsetzung und Kontrolle der Verteilungsmechanismen von Sicherheitsvorlagen den Informationsverbund gefährden. Wenn Ausrollvorgänge unbemerkt fehlschlagen, ergeben sich Inkonsistenzen zwischen Servern. Die Konfiguration ist somit entspricht somit nicht flächendeckend den Vorgaben, so dass auch die Sicherheitsziele nicht erreicht werden. Beim Entwickeln und inkrementellen Ausrollen weiterer Vorlagen entsprechen einige Zielsysteme auch nicht mehr den erwarteten Voraussetzungen. Dieser Zusammenhang wird auch als fehlende Richtlinien-Konformität bezeichnet.

Sicherheitsvorlagen aus Windows NT 4.0 (.pol-Dateien) bergen verstärkt das Risiko von Konformitätsproblemen und Inkompatibilitäten mit anderen Vorlagentypen. Für .pol-Dateien werden ab Windows Server 2003 keine Werkzeuge mehr mitgeliefert und es gibt keine Herstellerunterstützung.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK