Bundesamt für Sicherheit in der Informationstechnik

M 2.370 Administration der Berechtigungen ab Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Leiter IT

Übersicht der zur Verfügung stehenden Berechtigungskonzepte

Das Sicherheitsmodell von Windows mit Konten, Gruppen und Zugriffsberechtigungen beschränkt sich keineswegs auf Objekte im Dateisystem NTFS . Vielmehr können in fast allen Bereichen des Betriebssystems Berechtigungen für jede Art von authentisierbaren Konten fein granuliert werden. Daher ist ein eigenes Berechtigungskonzept für Windows Server zu erstellen.

Aspekte des Berechtigungsmodells von Windows-Servern ab Server 2003 sind:

  • Benutzerkonten und Computerkonten
  • Systemkonten
  • vordefinierte Standardgruppen
  • Gruppenmitgliedschaften
  • Verschachtelung von Gruppen (nur Active Directory)
  • Zugriffsberechtigungen am Objekt (Access Control List, ACL)
  • Systemzugriffskontrollen-Einstellung am Objekt (System Access Control List, SACL)
  • Vererbung

Folgende Berechtigungseinstellungen sind nicht Teil des oben genannten Berechtigungsmodells:

  • ressourcenbasierte Berechtigungsmechanismen in den Internet Information Services (IIS)
  • Systemrechte (engl. rights/privileges)
  • rollenbasiertes Zugriffsmanagement (Role Based Access Control, RBAC)

Die Möglichkeiten dieser Berechtigungseinstellungen werden unter den Hilfsmitteln zum IT-Grundschutz (siehe Administration der Berechtigungen unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003) erläutert.

Schulung

Das Verständnis der oben aufgezählten Mechanismen und der dahinter stehenden Philosophien muss den Administratoren durch Schulungen und Bereitstellung von Fachbüchern vermittelt werden. Ansonsten ist ein sicherer Betrieb der jeweils eingesetzten Mechanismen und damit des Windows-Servers insgesamt nicht zu gewährleisten.

Je nach Aufgabenbereich der Administratoren sollten sie auch zu den entsprechenden Komponenten geschult werden, um die Auswirkung von Berechtigungskonfigurationen einschätzen und vorausplanen zu können.

Details zu einzelnen Berechtigungen in den verschiedenen Bereichen des Betriebssystems können aus der Online-Hilfe von Windows und der Microsoft-Technet-Dokumentation für Administratoren entnommen werden.

Grundregeln

Die Administration von Berechtigungen für Benutzerkonten und administrative Konten erfordert ein Grundverständnis der Berechtigungs- und Sicherheitsmechanismen und die Einhaltung gewisser Grundregeln. Vor allem Berechtigungsänderungen im laufenden Betrieb ohne vorherige Tests müssen besonders sorgfältig durchgeführt werden, um die Verfügbarkeit des IT-Systems nicht zu gefährden.

Bei allen Tätigkeiten und Planungen im Zusammenhang mit dem Einräumen von Berechtigungen sollte immer das Prinzip der geringsten Berechtigungen (englisch Least Privileges) gelten. Danach sollten einem Konto nicht "vorsorglich" weitreichende Berechtigungen eingeräumt werden, sondern es sollte nur solche Berechtigungen erhalten, die zur Abdeckung der für das Konto definierten Anforderungen notwendig sind. Berechtigungen können Schritt für Schritt auf ein höheres Niveau angehoben werden, wenn die Anforderungen dies rechtfertigen. So sollte ein Konto nicht Vollzugriff auf eine Ressource bekommen, wenn der Benutzer des Kontos keine administrativen Tätigkeiten auf der Ressource auszuführen braucht.

Eine generelle Schwierigkeit besteht in der Vorhersage der Auswirkungen einer bestimmten Berechtigungskonfiguration. Windows-Server bieten verschiedene Simulationswerkzeuge zur Vorhersage der Auswirkungen von Berechtigungskonfigurationen an:

  • Die Registerkarte Effektive Berechtigungen
    In den Sicherheitseinstellungen eines Objektes, zum Beispiel einer Datei, ist die Option zur Simulation unter Erweitert | Effektive Berechtigungen | Auswählen zu erreichen. Simulationen sollten sowohl mit der konfigurierten Sicherheitsgruppe als auch stichprobenartig mit Benutzerkonten durchgeführt werden, welche die Rechte ausüben sollen.
  • Die Konsolen Richtlinienergebnissatz (Resultant Set of Policies, RSOP)
    Start | Ausführen | rsop.msc eintippen
    Kommt Active Directory zum Einsatz, kann dieser Prozess über die Gruppenrichtlinienverwaltungs-Konsole auch auf entfernten Computern im Netz gestartet und ausgewertet werden.

Von den Simulationswerkzeugen sollte bei der Modellierung von Berechtigungen und bei der Administration im laufenden Betrieb intensiv Gebrauch gemacht werden. Es ist zu empfehlen, dies beim Freigabeprozess für Konfigurationsänderungen in einer entsprechenden Sicherheitsrichtlinie zu formulieren.

Account Sharing, vergessene Kennwörter

Benutzerkonten dürfen nicht von mehreren Personen verwendet werden (so genanntes Account Sharing). Dies gilt für administrative wie für normale Benutzerkonten. Falls der Administrator aus zwingenden organisatorischen Gründen ein geteiltes Konto zur Verfügung stellen muss, ist dies für den Einzelfall zu begründen und zu dokumentieren. Das verwendete Konto, das Verfahren für die Durchsetzung der Kennwortrichtlinie, die Berechtigungen (ACL) und Überwachungseinstellungen (SACL) sowie der berechtigte Personenkreis sind zu dokumentieren. Der Missbrauch kann hier nur auf organisatorischem Weg vermieden werden. Geteilte Benutzerkonten sind ähnlich administrativen Konten als kritische Konten einzustufen und bei der Systemüberwachung zu berücksichtigen.

Der Forgotten Password Wizard dient ab Windows XP und Server 2003 zum Zurücksetzen vergessener lokaler Kennwörter, ohne dass lokal gespeicherte private Schlüssel dabei gelöscht werden. In einer Umgebung mit zentralisierter Authentisierung sollte dieser Wizard nicht verwendet werden, da er die Sicherheit eines solchen Konzeptes unterläuft. Datenträger, mit denen das Passwort zurückgesetzt werden kann ("Password Reset Disc"), dürfen nicht erstellt werden. Dies muss in der Sicherheitsrichtlinie festgehalten werden und kann beispielsweise mittels Gruppenrichtlinien durchgesetzt werden.

Prüffragen:

  • Gibt es für Windows Server ein eigenes Berechtigungskonzept?

  • Werden die Administratoren zu den Berechtigungskonzepten von Windows Server geschult?

  • Werden unter Windows Server vorsorglich Simulationswerkzeuge bei der Modellierung von Berechtigungen und bei der Administration im laufenden Betrieb benutzt?

  • Wird unter Windows Server Account Sharing unterbunden bzw. auf ein Mindestmaß begrenzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK