Bundesamt für Sicherheit in der Informationstechnik

M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sicherheitsrelevante Einstellungen können in Windows Server 2003 durch Sicherheitsvorlagen festgelegt werden. Da die meisten Bereiche des Systems sicherheitsrelevante Aspekte aufweisen, sind Vorlagen ein wichtiges und mächtiges Administrationswerkzeug. Mit ihrer Hilfe können Einstellungen standardisiert und zentral administriert werden. Die wichtigsten Werkzeuge für Vorlagen sind Sicherheitskonfigurationseditor (englisch Security Configuration Editor, SCE) und Sicherheitskonfigurations-Assistent (englisch Security Configuration Wizard, SCW, erst ab Service Pack 1 enthalten). Eine kurze Beschreibung ist unter den Hilfsmitteln zum IT-Grundschutz zu finden (siehe Nutzung von Sicherheitsvorlagen unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003).

Im Unterschied zu administrativen Vorlagen (M 2.368 Umgang mit administrativen Vorlagen unter Windows ab Server 2003 ) enthalten Sicherheitsvorlagen für alle Einstellungsoptionen konkrete Werte. Das Aktivieren einer Sicherheitsvorlage in der lokalen Sicherheitsrichtlinie verändert unmittelbar die Systemkonfiguration. Sämtliche Einstellungen der Vorlage werden sofort aktiviert und mit dem konkreten Wert konfiguriert.

Der Vorlagentyp von Windows NT 4.0 (Dateien mit der Erweiterung .pol) sollte auf Windows Server 2003 nicht mehr angewendet werden. Vorhandene Sicherheitsvorlagen mit diesem Typ sollten als Gruppenrichtlinienobjekte neu erstellt werden. Das Programm Gpolmig.exe aus dem Windows Server 2003 Ressource Kit kann den Aufwand hierfür verringern.

Allgemeine Vorsichtsmaßnahmen für Sicherheitsvorlagen

In G 3.81 Unsachgemäßer Einsatz von Sicherheitsvorlagen ab Windows Server 2003 sind einige Gefährdungen aufgezählt. Durch eine sorgfältige Planung und Umsetzung und durch Beachtung von Grundregeln kann sichergestellt werden, dass Sicherheitsvorlagen die gewünschte Wirkung auf dem Zielsystem haben.

Zu Beginn sollte der Aufwand für das Entwickeln und Testen abgeschätzt werden. Dies ist abhängig von der Anzahl der unterschiedlich konfigurierten Zielsysteme, Art und Anzahl der Einstellungen in einer Vorlage sowie der vorgesehenen Verteilungsstrategie von Vorlagen auf die Zielsysteme. Dies sollte vorab in einer Anforderungsanalyse geklärt werden, in welcher auch vorhandene Sicherheitsrichtlinien für den IT-Verbund zu berücksichtigen sind.

Eine Test- und Entwicklungsumgebung oder zumindest ein vorübergehend isolierter Testserver ist in jedem Fall zu empfehlen. Je höher die Anzahl von Einstellungen und Zielkonfigurationen ist, desto größer der Aufwand für die Testumgebung. Je mehr sich die Konfiguration eines Testservers in einem bestimmten Bereich der tatsächlichen Konfiguration von potenziellen Zielservern annähert, desto besser kann die Wirkung der Vorlage für diesen Bereich vorhergesagt werden.

Der technische Aufwand für einzelne Einstellungen, wie beispielsweise die Kennwortlänge, ist klein und mit geringerem Risiko verbunden (eine Testumgebung ist hier nicht unbedingt nötig). Dies gilt insbesondere, wenn sie als Gruppenrichtlinie automatisch auf alle relevanten Server und Clients übertragen werden.

Das Verteilen und Aktivieren der Sicherheitsvorlagen in der Produktivumgebung (nachfolgend Ausrollen genannt) stellt ein nicht unerhebliches Risiko dar, insbesondere, wenn sich beim Test nicht hinreichend nachvollziehen lässt, wie sich kritische Einstellungen auf dem Zielserver auswirken werden. Dann ist es erforderlich, das Ausrollen zunächst auf einzelne, weniger kritische Server zu beschränken und erst bei entsprechendem Erfolg weiter auszudehnen. Des Weiteren sollten so genannte Rollback-Szenarien eingeplant und getestet werden. Rollback bedeutet, dass die Konfiguration des Servers bei Problemen wieder in den vorherigen Zustand zurückversetzt werden kann. Die Sicherung des Systemstatus und die zuverlässige Wiederherstellung sollten bei den Rollout- und Rollback-Szenarien berücksichtigt werden.

In vielen Fällen ist es sicherer, eine große Anzahl von Einstellungen auf mehrere Sicherheitsvorlagen zu verteilen und dann stufenweise auszurollen. Es kann zum Beispiel Vorlagen für bestimmte Windows Server 2003 Komponenten, für bestimmte Behörden- oder Unternehmensbereiche oder für bestimmte Sicherheitsstufen (z. B. Basissicherheit und hohe Sicherheit) geben. Dieses Vorgehen ist deutlich flexibler für die Entwicklung weiterer Vorlagen, da gezielt spezifische Vorlagen ersetzt werden können, während bewährte Grundeinstellungen erhalten bleiben. Beim stufenweisen Ausrollen kann es zu Konflikten kommen, wenn zwei Vorlagen dieselbe Einstellung definieren. Die Ausrollstrategie entscheidet darüber, welche Vorlage dominiert.

Sicherheitsvorlagen können manuell auf einem Server oder automatisiert auf mehreren Servern ausgerollt werden. Das manuelle Ausrollen erfolgt mittels der Konsolen des SCE bzw. des SCW und empfiehlt sich für einzelne Server mit sehr hohem Schutzbedarf, da mögliche unerwünschte Effekte so am schnellsten erkannt und behoben werden können. Die Automatisierung erfolgt mittels Skripten oder durch Active Directory. Letzteres ist für das stufenweise Ausrollen am besten geeignet, da mit geringem Aufwand eine Reihe von Vorlagen zugewiesen und die jeweils dominierende Vorlage festgelegt werden kann.

Es wird deutlich, dass eine geeignete Strategie für den jeweiligen IT-Bereich konzeptionell festgelegt werden muss, bevor Sicherheitsvorlagen produktiv eingesetzt werden. Sicherheitsvorlagen können den Freigabeprozess für Konfigurationsänderungen in Windows Server 2003 sowie die Bereitstellungskonzepte (M 4.281 Sichere Installation und Bereitstellung von Windows Server 2003 ) deutlich transparenter gestalten. Sie sollten in einen Freigabeprozess im Rahmen von M 2.221 Änderungsmanagement eingebunden sein.

Sicherheitskonfigurations-Editor (SCE)

Der SCE besteht nach einer Standardinstallation aus den Konsolen:

  • Lokale Sicherheitsrichtlinie (unter Start | Systemsteuerung | Verwaltung): führt Sicherheitseinstellungen direkt auf lokalem Server durch
  • Sicherheitsvorlagen: erstellt und verwaltet Sicherheitsvorlagen (.inf-Dateien) führt keine Konfigurationsänderungen am Server durch
  • Sicherheitskonfiguration und -analyse: Modellierung von Sicherheitseinstellungen und Analyse des Systems mit Hilfe einer zwischengeschalteten Konfigurationsdatenbank, Export und Import von Sicherheitsvorlagen, Überprüfen der Richtlinienkonformität, Aktivieren einer modellierten Sicherheitskonfiguration

Die Konsolen Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse werden über die Microsoft Management Console (MMC) aufgerufen.

Mittels der Werkzeuggruppe SCE werden alle Aspekte der Authentisierung und Signierung von Netzverkehr zwischen Windows-Computern eingestellt. Außerdem werden hier alle zentralen Sicherheitseinstellungen für einen Server eingestellt, unter anderem die Überwachungsrichtlinien und Berechtigungen im Dateisystem und in der Registrierdatenbank. In Domänen enthalten die SCE-Konsolen zusätzliche Einstellungen für Kerberos und andere domänenweite Einstellungen. Alle diese Einstellungen können in Sicherheitsvorlagen gespeichert werden. Es ist zu empfehlen, immer die aktuellsten vom Hersteller angebotenen Einstellungen einzuspielen (siehe Hilfsmittel zum IT-Grundschutz, Nutzung von Sicherheitsvorlagen unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003).

Bei Windows Server 2003 werden einige Sicherheitsvorlagen für unterschiedliche Sicherheitsanforderungen mitgeliefert. Sie befinden sich im Verzeichnis C:\WINDOWS\security\templates. Vom Hersteller sind weitere dokumentierte Vorlagen erhältlich.

Die Einstellungen unter Eingeschränkte Gruppen, Systemdienste, Registrierung und Dateisystem können nicht mittels Rollback rückgängig gemacht werden. Solche Einstellungen können durch das Anwenden einer anderen Sicherheitsvorlage neu gesetzt werden. Eine Rollback-Variante stellt das parallele Entwickeln von Rollback-Vorlagen dar, welche die Einstellungen aus den eigentlichen Sicherheitsvorlagen im Notfall mit unkritischeren Werten überschreibt. Besonders kritisch sind Ressourcenberechtigungen ( ACL ) und Objekt-Überwachungseinstellungen (SACL). Berechtigungskonzepte, die in Sicherheitsvorlagen abgebildet werden, können vorhandene Berechtigungsstrukturen durch Anwenden der Vorlage unwiederbringlich zerstören. Hier muss M 2.370 Administration der Berechtigungen ab Windows Server 2003 berücksichtigt werden.

Für jeden Server sollte eine verbindliche Festlegung aller Einstellungen unter Kontorichtlinien, Lokale Richtlinien und Ereignisprotokoll getroffen werden. Hierzu sind die Sicherheitsrichtlinien und Sicherheitskonzepte für den betrachteten Informationsverbund und die Maßnahmen des IT-Grundschutzes heranzuziehen. Ferner können die Standardeinstellungen von Windows Server 2003 sowie die mitgelieferten Sicherheitsvorlagen als Referenz verwendet werden. Es sollte für jeden Server eine gültige Sicherheitsvorlage bzw. ein Satz Sicherheitsvorlagen existieren. Die Sicherheitskonfiguration des Servers sollte dem letzten dokumentierten Stand der Sicherheitsvorlagen entsprechen.

Die Konformitätsanforderungen sollten in einer Sicherheitsrichtlinie für den betrachteten Informationsverbund vorgeschrieben werden.

Der Sicherheitskonfigurationsassistent (SCW) stellt eine Erweiterung und zum Teil eine Vereinfachung des SCE dar. Es gelten dieselben Grundsätze. Hinweise und Empfehlungen zur Bedienung des SCW finden sich in den Hilfsmitteln zum IT-Grundschutz (siehe Nutzung von Sicherheitsvorlagen unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003).

Dokumentation

Für eine minimale Dokumentation von Sicherheitsvorlagen genügt es, für jeden Server die verwendeten Vorlagendateien (Dateien mit der Erweiterung .inf oder .xml), deren Version und bei selbsterstellten Vorlagen auch deren Inhalt in die Systemdokumentation aufzunehmen. Durch entsprechendes Versionsmanagement und Zugriffskontrolle auf die Vorlagen sollte nachvollziehbar sein, wer wann welche Vorlagen editiert hat. Wird die Vorlage über Active Directory bereitgestellt, sind alle weiteren Faktoren zu dokumentieren, welche die Wirksamkeit der Einstellungen für den oder die Server bestimmen, z. B. Organizational Unit (OU), Sicherheits- und WMI-Filter. Es muss immer nachvollziehbar sein, woher eine einzelne Sicherheitseinstellung stammt.

Auf dieser Basis sollten Dokumentationen und gegebenenfalls Konzepte für Tests, eigene Skripte sowie Bereitstellungs- und Rollbackszenarien im Zusammenhang mit Sicherheitsvorlagen erstellt werden. Die Dokumentation sollte ebenfalls zur Planung der regelmäßigen Auswertung von System- und Sicherheitsprotokollen herangezogen werden.

Für die Sicherheitsvorlagen des SCW werden Transformations- und Stylesheet-Dateien für Anzeige und Ausdruck der Vorlagen mitgeliefert (C:\WINDOWS\security\msscw\transformfiles). Für die Basisdokumentation der Serverrollen im Rahmen einer Systemdokumentation ist dies ausreichend.

Zur Dokumentation von aktiven Einstellungen ist die GPMC-Konsole (Group Policy Management Console) gut geeignet, sofern Active Directory zum Einsatz kommt. Für die Gruppenrichtlinienobjekte, Richtlinienergebnissätze und Gruppenrichtlinienmodellierungen können Berichte in druckbarem Format in eine HTML-Datei exportiert werden (gewünschtes Objekt markieren | Menü Aktion | Bericht speichern...).

Prüffragen:

  • Werden Sicherheitsvorlagen unter Windows Server 2003 verwendet und in den Test- und Freigabeprozess des Änderungsmanagements eingebunden?

  • Wurden Rollout- und Rollback-Strategien für Sicherheitsvorlagen unter Windows Server 2003 bzw. Rollbackvorlagen geplant und getestet?

  • Basieren die Einstellungen in den Sicherheitsvorlagen unter Windows Server 2003 auf aktuellen Sicherheitsempfehlungen des Herstellers?

  • Sind die in den Sicherheitsvorlagen unter Windows Server 2003 vorgenommenen Einstellungen nachvollziehbar dokumentiert?

  • Unterliegen die Sicherheitsvorlagendateien einer Versions- und Zugriffskontrolle?

Stand: 13. EL Stand 2013