Bundesamt für Sicherheit in der Informationstechnik

M 2.364 Planung der Administration ab Windows 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor der Einführung eines Windows-Servers ab der Version 2003 sind umfangreiche Planungen durchzuführen, damit er geregelt und sicher eingeführt sowie anschließend sicher betrieben werden kann. Aus der Beschreibung des Einsatzszenarios und der Definition des Einsatzzwecks ergeben sich Anforderungen an die Administration. Sie muss anhand der Vorgaben der Sicherheitsrichtlinie erfolgen (siehe M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server ) und dokumentiert werden. Darin sollte unter anderem darauf hingewiesen werden, dass die Verwendung des Servers in der Rolle einer Arbeitsstation eines Benutzers zu unterlassen ist. Administrative Änderungen, die im laufenden Betrieb durchgeführt werden, können sicherheitsrelevante Nebeneffekte hervorrufen und sollten daher nur mit besonderer Sorgfalt durchgeführt werden.

Die Administration kann vor Ort mit dem Zugang zur Konsole des Servers, von einem anderen Computer innerhalb des LAN oder von außerhalb, zum Beispiel über VPN erfolgen. Bei der Planung der Aufgaben und Berechtigungen der Administratoren sind Regelungen zuer Zutrittsberechtigung zu treffen (siehe M 2.6 Vergabe von Zutrittsberechtigungen ). Dabei ist die vorher erarbeitete Funktionstrennung (siehe M 2.5 Aufgabenverteilung und Funktionstrennung ) zu beachten. Unnötige Zutritts- und Zugriffsrechte zum Server sind zu vermeiden. Die Aufgabenbereiche der Windows Server-Administratoren müssen schriftlich festgehalten und mit den Sicherheitsrichtlinien der Institution abgestimmt werden.

Typische administrative Aufgaben

Administration müssen regelmäßig diverse Aktionen durchführen, um die IT -Systeme zu aktualisieren, pflegen und betriebsbereit zu halten. Hierzu gehören unter anderem folgende Tätigkeiten:

  • Ereignisanzeige überwachen
  • Software installieren, warten und deinstallieren
  • Windows-Komponenten hinzufügen/ändern/entfernen
  • Aktualisierungen (Windows Update)
  • Auslastung kontrollieren
  • Funktion der Hardware überwachen
  • Funktion von Applikationen und Diensten überwachen
  • Dateisystem warten
  • Rechte entsprechend neuer Anforderungen anpassen
  • Benutzer/Gruppenverwaltung, neue Benutzer/Gruppen anlegen, verschieben oder löschen
  • Anpassungen am OU Design vornehmen
  • Änderungen oder Anpassungen am Active Directory vornehmen
  • Daten sichern
  • Netzkonnektivität prüfen
  • Virenschutz prüfen und warten
  • Registrierdatenbank warten
  • Datum/Uhrzeit/Zeitzonen administrieren

Eingebaute Standardgruppen für die Administration

Die Administration eines Windows-Servers erfordert weitreichende Berechtigungen und somit ein geeignetes Berechtigungskonzept. Folgende lokale Sicherheitsgruppen für die Administration sind nach einer Standardinstallation vorhanden:

Systemdefinierte Sicherheitsgruppen
Gruppe Server 2003 Server 2008 Beschreibung
Administratoren X X Vollzugriff auf alle Bereiche, sehr sicherheitskritisch
Hauptbenutzer X X umfangreicher Zugriff auf Systemeinstellungen, mit einigen Einschränkungen: Hauptbenutzer können z. B. nicht den Besitz von Dateien übernehmen, Gerätetreiber laden oder entladen, Sicherheits- und Systemprotokolle verwalten, Dienste installieren
Sicherungs-Operatoren X X Lese- und Schreibzugriff auf alle Dateien
Remoteunterstützungsanbieter X X nur in Active Directory-Umgebung vorhanden, dürfen von Ferne an einer Konsolensitzung teilnehmen ("Shared Desktop"), erhalten somit die Rechte des angemeldeten Benutzers. Für Fernadministration ungeeignet, besser geeignet ist Remotedesktop
Hilfedienstgruppe X   mit Hilfe dieser Gruppe können Administratoren gemeinsame Rechte für alle Supportanwendungen festlegen, kann hohes Sicherheitsrisiko verursachen
Netzwerkkonfigurations-Operatoren X X Eigenschaften von Verbindungen im Ordner Netzwerkverbindungen administrieren
Druck-Operatoren X   Administration von Druckern und Druckerwarteschlangen
Leistungsprotokollbenutzer X X Administration der Konsole Leistung (perfmon.exe)
Distributed COM-Benutzer X X Administration der Konsole Komponentendienste
Systemmonitorbenutzer X X lesender Zugriff auf Leistungszähler und -protokolle
Benutzer X X erlaubt Anmeldung an Mitgliedsservern und alleinstehenden Servern
Remotedesktopbenutzer X X Gruppe zur Steuerung der Remote-Desktop-Einwahlmöglichkeit
TelnetClients X   Gruppe zur Steuerung der Telnet-Einwahlmöglichkeit
Replikations-Operator X X vom Betriebssystem verwendete Gruppe, darf nicht für Benutzer verwendet werden
Gäste X X Steuerung des Ressourcenzugriffs für Benutzer ohne Anmeldung, darf nicht für Benutzer verwendet werden
Kryptographie-Operatoren   X Mitglieder dieser Gruppe sind autorisiert, kryptographische Vorgänge auszuführen.
IIS_IUSRS   X hierbei handelt es sich um eine integrierte Gruppe, die von Internetinformationsdienste (Internet Information Services, IIS) verwendet wird.

Hinweis:

Die Standardgruppen auf einem Domänencontroller unterscheiden sich zum Teil von den hier genannten.

Für die Aufgabenerfüllung der Administration gibt es im Betriebssystem Sicherheitsgruppen, wie die Gruppe Administratoren, die vollen administrativen Zugriff auf alle Bereiche des Servers haben und somit die Sicherheit erheblich beeinflussen können. Für definierte Einsatzzwecke, zum Beispiel Dateiserver, sind Sicherheitsgruppen mit nicht vollen administrativen Rechten einzuplanen. So können administrative Aufgaben wie das Erstellen einer Datensicherung unter Verwendung der Gruppe Sicherungsoperatoren, sowie die damit einhergehenden Gefährdungen auf ihre Teilbereiche im Server beschränkt werden. Für Benutzergruppen und deren Mitglieder ist immer das Prinzip der minimal nötigen Berechtigungskombination einzuhalten. So sollte betrachtet werden, ob es ausreicht, die Administrationsaufgaben mit den geringeren Rechten der Sicherheitsgruppe Hauptbenutzer durchzuführen (siehe M 5.10 Restriktive Rechtevergabe ). Bei einem bestehenden Netz ist zu berücksichtigen, ob für die festgelegten Aufgaben mit den vorhandenen Sicherheitsgruppen aus dem Active Directory oder dem lokalen Server gearbeitet werden kann (zu berücksichtigen ist G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen ab Windows Server 2003 ).

Die Installation von zusätzlichen Komponenten erweitert die Auswahl von Standardgruppen, die für die Administration in Frage kommen. Ein Beispiel hierfür ist die Sicherheitsgruppe Terminalserverbenutzer bei installierten Terminalserverdiensten oder DHCP-Administratoren bei installiertem DHCP-Dienst. Die Festlegung auf vorhandene Sicherheitsgruppen ist jedoch nicht immer geeignet, da deren Rechte nicht angepasst werden können. Daher ist eine für die festgelegten Administrationsaufgaben angepasste Sicherheitsgruppe zu nutzen.

Um Fehler zu vermeiden, ist genau festzulegen, für welche administrativen Aufgaben die Berechtigungen der Gruppe Administratoren wirklich erforderlich sind. Zum Beispiel können Änderungen des Vollzugriffs im Dateisystem standardmäßig nur durch die Gruppe Administratoren erfolgen (für weitere Informationen siehe M 4.149 Datei- und Freigabeberechtigungen unter Windows ), andererseits hat die Gruppe Administratoren immer Zugriff via Remotedesktop auf jeden Server, unabhängig von der Gruppe Remotedesktopbenutzer. In größeren Umgebungen sollten immer die Gruppen mit dem niedrigsten administrativen Zugriffsniveau bevorzugt werden. Bei Bedarf können Berechtigungen um Gruppen mit höherem Zugriffsniveau ergänzt werden.

Selbstdefinierte Gruppen

Weiterhin können selbstdefinierte Sicherheitsgruppen entworfen werden, welche die Berechtigungen für eine definierte administrative Aufgabe enthalten. Eigene Gruppen können entsprechend ihres Zugriffsniveaus in der oben genannten Auflistung ergänzt werden.

Bei der Planung muss geprüft werden, ob Programme ungewollt mit zu weitreichenden administrativen Berechtigungen aufgerufen werden, um zu verhindern, dass die Programme dadurch Zugriff auf kritische Bereiche des Servers erhalten und die Sicherheit des Servers gefährden können.

Benutzerkonten für die Administration

Bei der Betrachtung der Arbeitsaufgaben, die eine Person mit einem autorisierten Benutzerkonto in einer IT-Umgebung durchführt, muss für Administratoren eine grundlegende Abgrenzung gefunden werden:

  • Welche Aufgaben betreffen die Nutzung des IT-Systems?
  • Welche Aufgaben betreffen die Administration des IT-Systems?

Es ist sehr zu empfehlen, diese Betrachtungsweise in zwei separaten Konten für eine Person abzubilden. Da die eingebauten Standardgruppen von Windows-Servern keine spezielle Nutzung als Administrator oder Benutzer erzwingen, sollten ein normales Benutzerkonto für das tägliche Arbeiten und ein administratives Konto für administrative Aufgaben vorhanden sein und dementsprechend genutzt werden.

Es ist wichtig, einen definierten und dokumentierten Prozess für die Einrichtung und Entfernung von Benutzerkonten zu implementieren. Dies ist besonders wichtig für administrative Konten.

Das Ziel ist immer, die Anmeldung einer Benutzersitzung auf einem Windows-Server oder Windows-Verwaltungscomputer mit so geringen Berechtigungen wie möglich durchzuführen, am besten mit normalen Benutzerrechten. Mehrere grundlegende Ansätze sind hierfür denkbar:

  • Sekundäre Anmeldung auf dem Server
    Auf dem zu administrierenden Server wird eine normale Benutzersitzung mit eingeschränkten Rechten angemeldet, Administrationswerkzeuge werden mit Hilfe der sekundären Anmeldung (Ausführen als... oder runas) mit dem entsprechenden administrativen Benutzerkonto auf dem Server ausgeführt. In diesem Fall ist zu überlegen, ob normalen Benutzern die lokale Anmeldung auf einem Server erlaubt wird (Standardeinstellung) oder ob hierfür eine separate Sicherheitsgruppe entworfen wird.
  • Einrichten einer Verwaltungsstation
    Für den Betrieb einer Verwaltungsstation ist Active Directory zu empfehlen (M 2.229 Planung des Active Directory ). Die Anmeldung an der Verwaltungsstation erfolgt mit einem Benutzerkonto, das auf diesem Computer nur geringe Berechtigungen besitzt (z. B. Benutzer). Von der Verwaltungsstation aus wird auf die zu administrierenden Server mit entsprechenden Werkzeugen (siehe unten) zugegriffen. Entweder hat das Benutzerkonto dort die erforderlichen Berechtigungen, oder der Zugriff erfolgt mit Hilfe der sekundären Anmeldung. Dadurch ist in den meisten Fällen keine komplette Anmeldung mit administrativen Berechtigungen nötig.
  • Lokales Anmelden mit erweiterten Berechtigungen
    In diesem Szenario sollte das lokale Anmelden an Servern generell unterbunden und nur für ausgewählte administrative Benutzerkonten freigeschaltet werden. Diese Benutzerkonten sollten genau für die vorgesehene Aufgabe angepasst sein. Weitere Einschränkungen dieser Konten, zum Beispiel durch festgelegte Anmeldezeiten, sind zu empfehlen. Ab Windows Server 2008 werden die Risiken bei dieser Vorgehensweise durch die Benutzerkontensteuerung begrenzt (siehe hierzu M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ).

Es empfiehlt sich, die jeweiligen Strategien in einer Richtlinie für die Windows-Server-Umgebung zu vermerken.

Konfigurationsänderungen

Es muss bei der Planung beachtet werden, dass administrative Änderungen im laufenden Betrieb hinsichtlich Verfügbarkeit und Zuverlässigkeit als kritisch zu betrachten sind (siehe M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen ). Bei der Planung der administrativen Aufgaben muss also unterschieden werden, welche Aufgaben während des laufenden Betriebs und welche Aufgaben nur in speziellen Wartungsfenstern durchgeführt werden können. Dies ist stark von der Konfiguration des Servers, den zusätzlichen Serverapplikationen und den Verfügbarkeitsanforderungen abhängig. Konfigurationsänderungen sollten vorzugsweise nur in speziellen Wartungsfenstern durchgeführt werden, da unter Umständen Neustarts des Servers im laufenden Betrieb provoziert werden können.

Administrationswerkzeuge

Ein wichtiger Aspekt ist die Auswahl der geeigneten Administrationswerkzeuge für den jeweiligen Server. Die mitgelieferten Werkzeuge bieten eine sehr gute Integration in die Sicherheitsmechanismen des Betriebssystems und ein einheitliches Bedienkonzept. Eingesetzte Werkzeuge müssen den Anforderungen der Sicherheitsrichtlinie der Institution entsprechen.

Die zentralen mitgelieferten Komponenten für die Administration sind:

  • Microsoft Management Console (MMC):
    Fast alle Komponenten sind über ein eigenes MMC-Snap-in zu administrieren. Mit der MMC können Komponenten auf entfernten Servern von einer Verwaltungsstation aus administriert werden. Viele Werkzeuge von Drittherstellern benutzen die MMC als Administrationsoberfläche.
  • Server Manager:
    Ab der Version Windows Server 2008 sind die zentralen Verwaltungsfunktionen im Tool Server Manager gebündelt. Für den Server Manager steht auch eine Server-Manager-Konsole als MMC-Snap-In zur Verfügung.
  • Fernadministration per Remotedesktop
    Die Verwendung von Remotedesktops kann die Sicherheit des Servers hinsichtlich Integrität und Vertraulichkeit verringern, siehe G 5.132 Kompromittierung von RDP-Benutzersitzungen ab Windows Server 2003 . Außerdem entstehen erhöhte organisatorische Anforderungen.
  • Konsolen, die Internet Information Services (IIS) erfordern
    Diese werden für die Administration des Anwendungsservers sowie zum Teil für die Zertifizierungsdienste benötigt. Außerdem setzen viele Werkzeuge von Drittherstellern auf Web-basierte Konsolen. Hierbei entstehen zusätzliche Risiken, so dass gegebenenfalls weitere Maßnahmen umzusetzen sind (siehe M 4.282 Sichere Konfiguration der IIS-Basis-Komponente unter Windows Server 2003).
  • Kommandozeilenbefehle
    Viele Komponenten von Windows-Servern können mit Kommandozeilenbefehlen administriert werden. Die Syntax der Kommandos ist teilweise kompliziert, so dass ein erhebliches Risiko für falsche Bedienung und Fehlkonfiguration besteht. Die Verwendung sollte sich auf Fälle konzentrieren, bei denen GUI-basierte Werkzeuge nicht im erforderlichen Maß zur Verfügung stehen zum Beispiel beim Einsatz eines Windows Server Core ab Windows Server 2008).
    Einige Einstellungen sind jedoch nur durch entsprechende Kommandozeilenbefehle zu realisieren. Meist ist der konkrete Anwendungsfall explizit dokumentiert, beispielsweise in Artikeln der Microsoft Knowledge Base, in der Windows-Hilfe oder in anderen vom Hersteller online bereitgestellten Dokumenten. Es wird empfohlen, die Gewährleistung und den Umfang der Herstellerunterstützung für den konkreten Anwendungsfall vorab mit dem Hersteller zu klären.
    Die Verwendung von Kommandozeilenwerkzeugen ist geeignet, wenn eine sehr flexible Automation von Vorgängen erforderlich ist, zum Beispiel mit Hilfe von Skripten. Die Skripte müssen vor Verwendung auf einem Testsystem erprobt werden (siehe M 2.367 Einsatz von Kommandos und Skripten ab Windows Server 2003 ).
    Bestimmte Konfigurationsroutinen und Administrationsprogramme von Drittherstellern können weitere Konfigurationsänderungen erfordern, unter anderem wenn diese IIS-Komponenten oder das .NET-Framework voraussetzen. Dadurch kann die Sicherheit des Servers beeinträchtigt werden. Bei der Festlegung ihrer Verwendung ist auf ihre Eignung zu achten (siehe B 1.10 Standardsoftware ).
    Die Verwendung von 16-Bit-Programmen für Administrationszwecke ist generell zu vermeiden.
  • Fernadministration
    • Zugriff aus dem LAN
      Die mitgelieferten Remote-Werkzeuge bieten innerhalb des LAN einen effizienten Zugriff auf Windows-Server. Sofern die Sicherheitsrichtlinie für Windows-Server erfüllt ist, sind für ein normales Sicherheitsniveau keine weiteren Maßnahmen erforderlich. Die Nutzung der im LAN zugelassenen Remote-Werkzeuge, zum Beispiel von Remote-Desktop-Verbindungen, sollten in einer Sicherheitsrichtlinie definiert sein.
    • Zugriff über Sicherheits-Gateways
      Der Zugriff über Sicherheits-Gateways sollte auf Grundlage der RAS-Sicherheitsrichtlinie erfolgen. Remote-Werkzeuge können von einem anderen Computer innerhalb des LAN, aber auch von außerhalb, beispielsweise über das Internet, verwendet werden. Für einen Fernzugriff von außerhalb der durch Sicherheits-Gateways geschützten IT-Umgebung müssen der Authentisierungsvorgang und die Datenübertragung verschlüsselt werden. Hierfür ist HTTPS oder ein VPN zu empfehlen. Weiterhin ist zu beachten, dass der Zugriff von externen Clients auf wenige Computer beschränkt wird. Hierfür müssen jedoch alle beteiligten Komponenten in das Administrationskonzept einbezogen werden, zum Beispiel Sicherheits-Gateways, VPN-Gateways und Windows Server 2003-Zertifizierungsdienste.
      Im Rahmen der Planung der Fernadministration muss auch für den entfernten Zugang eine Sicherheitsrichtlinie festgelegt werden. Die durch die organisationsweiten Sicherheitsrichtlinien geltenden Vorschriften sind dazu entsprechend anzupassen und zu erweitern.

Externe Dienstleister

Die speziellen Anforderungen beim Outsourcing (siehe B 1.11 Outsourcing ) sowie vertragliche Vereinbarungen mit externen Dienstleistern müssen in das oben beschriebene Berechtigungskonzept einfließen. Für externe Dienstleister sollten separate Sicherheitsgruppen entworfen werden, die nur in den notwendigen Bereichen über Berechtigungen verfügen. Die vorhandenen Standardgruppen sind meist nicht geeignet. Beispielsweise ist zu prüfen, ob für einen reinen Datensicherungsdienstleister die Berechtigungen der Gruppe Sicherungsoperatoren schon zu weitreichend sind.

Die Übergabe von Anmeldedaten von administrativen Konten sowie die Durchsetzung von Kennwortrichtlinien gestaltet sich besonders schwierig, wenn die beauftragte Person des Dienstleisters nicht vor Ort arbeitet (siehe auch G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel ). Kommt Active Directory zum Einsatz, ist es erst ab Windows Server 2008 möglich, innerhalb einer Domäne unterschiedliche Kennwortrichtlinien für externe Dienstleister zu erzwingen. Dies muss beim Einsatz von Windows Server 2003 daher auf organisatorischer Ebene geregelt und in einer IT-Richtlinie definiert werden.

Einspielen von Patches und Updates

Windows-Server ermöglichen das regelmäßige automatische Einspielen von Aktualisierungen. Das Risiko von Diensteunterbrechungen durch automatische Neustarts und von Inkompatibilitäten mit installierten Programmen ist hierbei gegenüber der zeitnahen Schließung von Sicherheitslücken abzuwägen.

Für Server mit hohem Schutzbedarf sollte diese Funktion deaktiviert werden. Bei Servern mit normalem Schutzbedarf ist die Entscheidung für automatische Updates im Einzelfall zu treffen.

Automatische Updates sollten nicht direkt aus dem Internet bezogen werden, sondern über ein Software-Verteilungssystem wie Windows Server Update Service, WSUS verwaltet und zum Installieren freigegeben werden (siehe M 4.417 Patch-Management mit WSUS ab Windows Server 2008 ). Hier sind Regeln zu definieren, welche Arten von Updates und Patches automatisch installiert werden und welche der Freigabe durch einen Administrator bedürfen. In jedem Fall ist M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates umzusetzen und zu gewährleisten.

Vor dem Einspielen von Service Packs sollte eine Ausroll-Strategie (Reihenfolge der Server, mögliches Rollback) festgelegt werden. Hierbei ist auch zu berücksichtigen, dass Service Packs bestimmte neue Funktionen enthalten können, die auf Servern mit bestimmten Rollen vorrangig installiert werden müssen. Ein Beispiel hierfür ist die Sicherheitsgruppe Distributed COM-Benutzer, die mit Service Pack 1 von Windows Server 2003 neu hinzukam.

Dokumentation

Zur Planung der Administration gehört auch der Entwurf eines geeigneten Dokumentationskonzeptes. Es sollte eng an das Änderungsmanagement (M 2.221 Änderungsmanagement ) angelehnt sein.

Die definierten Aufgaben der Administratoren eines Servers, die entsprechenden Berechtigungen (auch Ressourcenberechtigungen) und die verwendeten Administrator-Werkzeuge sind in die Dokumentation aufzunehmen, um bei Personalausfall den weiteren Betrieb zu ermöglichen (siehe G 1.1 Personalausfall und M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile ).

Es ist ein geeignetes Konzept zur Dokumentation der Kennwörter von Dienstkonten zu entwickeln. Diese Kennwörter sind hochkritisch und müssen einer strikten Zugriffskontrolle unterliegen, zum Beispiel über einen Tresor, Mehrfachverschlüsselung und Vier-Augen-Prinzip).

Bei der Verwendung von administrativen Skripten muss eine erweiterte Dokumentation angefertigt werden. Die zu dokumentierenden Konfigurationen und Einsatzszenarien können aus der Dokumentation der Testumgebung für Skripte verwendet werden (siehe M 4.240 Einrichten einer Testumgebung für einen Server ).

Prüffragen:

  • Sind die Anforderungen zur Administration von Windows Servern mit den Vorgaben der Sicherheitsrichtlinie der Organisation abgestimmt und dokumentiert?

  • Sind die Aufgabenbereiche der Windows Server-Administratoren schriftlich festgehalten und mit den Sicherheitsrichtlinien der Organisation abgestimmt?

  • Sind die auf den Windows Servern eingetragenen Benutzergruppen, deren Mitglieder und die sich darauf ergebenen Berechtigungen auf das minimal erforderliche Maß reduziert?

  • Werden die Windows Server über angepasste administrative Konten administriert?

  • Wird unterschieden, welche Systemänderungen während des laufenden Betriebs und welche Aufgaben nur in speziellen Wartungsfenstern durchgeführt werden können?

  • Entsprechen die eingesetzten Administrationswerkzeuge von Windows Server den Anforderungen der Sicherheitsrichtlinie der Organisation?

  • Ist das Verfahren zur Fernadministration von Windows Server mit den Sicherheitsanforderungen der Organisation abgestimmt?

  • Wurden Regeln definiert, welche Arten von Updates und Patches automatisch installiert werden und welche der Freigabe durch einen Administrator bedürfen?

  • Wird der Umgang mit den Kennwörtern der Dienstkonten dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK