Bundesamt für Sicherheit in der Informationstechnik

M 2.405 Erstellung einer Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Als eine der nächsten organisatorischen Aufgaben bei der Planung des Verzeichnisdienst-Einsatzes muss aufbauend auf dem Sicherheitskonzept (siehe M 2.404 Erstellung eines Sicherheitskonzeptes für Verzeichnisdienste ) eine Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten fixiert werden. Durch die Sicherheitsrichtlinie wird festgelegt, welche konkreten Sicherheitsbestimmungen in einem Verzeichnisdienst-System gelten sollen und wie diese bei der Installation und dem Betrieb umgesetzt werden müssen.

Durch die Verzeichnisdienst-Sicherheitsrichtlinie sollten sämtliche sicherheitsbezogenen Themenbereiche eines Verzeichnisdienstes geregelt werden. Diese komponentenspezifische Auflistung von Themengebieten kann in folgende zeitliche Abfolge gebracht werden:

1. Definition der Verzeichnisdienst-Baumstruktur

Im ersten Schritt ist die logische Struktur des Verzeichnisdienst-Baumes, die Aufteilung in die Organisation (die dem Root-Element und somit dem obersten Element des Baumes entspricht) und Organisationseinheiten (Organizational Units, abgekürzt mit OU) sowie insbesondere auch die Zuordnung der Server und der zu verwaltenden Netz-Ressourcen festzulegen (siehe M 2.403 Planung des Einsatzes von Verzeichnisdiensten ).

Anschließend müssen Art und Umfang der im Verzeichnisdienst gehaltenen Objekte und deren Attribute festgelegt werden. Bei Bedarf sind hierzu Schema Änderungen am Verzeichnisdienst vorzunehmen. Weiterhin sollten an dieser Stelle die Partitionierung der Verzeichnisdaten und die Einrichtung von Repliken festgelegt werden (siehe M 2.409 Planung der Partitionierung und Replikation im Verzeichnisdienst ).

2. Regelung der Verantwortlichkeiten

Ein Verzeichnisdienst sollte nur von geschulten Netzadministratoren betrieben werden. Dabei ist im Rahmen der Notfallvorsorge eine geeignete Stellvertreterregelung zu treffen. Generell sollte für den Verzeichnisdienst-Betrieb ein Konzept zur rollenbasierten Administration erstellt werden. Nur die berechtigten Administratoren dürfen Verzeichnisdienst-Sicherheitsparameter verändern. Die Verantwortlichkeiten der einzelnen Benutzer des Verzeichnisses sind weiter unten dargestellt.

3. Festlegung von Namenskonventionen

Um die Verwaltung des Verzeichnisbaums zu erleichtern, sollten Namenskonventionen festgelegt werden, damit eindeutige Namen für die Server, Applikationen, Drucker, Benutzer, Benutzergruppen und die weiteren Verzeichnisdienst-Objekte verwendet werden.

4. Festlegung der Regeln für Benutzerkonten

Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle oder nur für bestimmte Konten gelten sollen, festgelegt werden.

Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Anmelde-Vorgänge. Außerdem sollte das Erstellen der Login-Skripts geregelt werden.

5. Einrichtung von Gruppen

Zur Vereinfachung der Administration sollten Benutzer-Objekte, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Zugriffsrechte auf Verzeichnisobjekte und gegebenenfalls weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzer-Objekten zugeordnet. Die Benutzer-Objekte erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Benutzerberechtigungen sollten nur dann einzelnen Benutzern zugewiesen werden, wenn dies ausnahmsweise unumgänglich ist.

6. Festlegung der Vorgaben für Protokollierung

Hierbei ist festzulegen, welche vom Verzeichnisdienst generierten Ereignisse zu protokollieren sind und bei welcher Ereigniskombination eine Benachrichtigung an die Administratoren zu erfolgen hat. Weiterhin muss entschieden werden, wie lange die gesammelten Ereignisdaten aufzubewahren sind.

7. Regelungen zur Datenspeicherung

Es ist festzulegen, wo Benutzerdaten gespeichert und wie diese geschützt werden (siehe M 2.138 Strukturierte Datenhaltung ). Datenspeicherung auf den lokalen Festplatten der einzelnen Clients sollte nicht stattfinden. Die Frage nach der Datenspeicherung ist jedoch auf der Ebene einzelner Partitionen zu klären. Datenbestände sollten in Bezug auf ihren Schutzbedarf klassifiziert werden, und entsprechend sollte die Partitionierung des Verzeichnisses auf vertrauenswürdige und gesicherte Hosts vorgenommen werden. Dabei sind besonders die hochsensiblen Daten zu berücksichtigen.

8. Einrichtung von Projektverzeichnissen

Um eine saubere Trennung von benutzer- und projektspezifischen Daten (Objekten) untereinander durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, die eine solche Objekthaltung unterstützt.

9. Vergabe der Zugriffsrechte

Für die Objekte des Verzeichnisdienstes ist festzulegen, welche Attribute für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind.

10. Verantwortlichkeiten der Administratoren und Benutzer im Client-Server-Netz

Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe oben) müssen die Verantwortlichkeiten der einzelnen Administratoren im Verzeichnissystem festgelegt werden. Dies können zum Beispiel Verantwortlichkeiten sein für

  • die Verwaltung des Verzeichnisdienst-Baums oder einzelner Partitionen,
  • die Verwaltung der Schemadefinition,
  • die Verwaltung der Zertifizierungsstelle und der Schlüssel-Objekte,
  • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients,
  • die Vergabe von Zugriffsrechten und
  • das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen.

Auch die Benutzer müssen in einem Verzeichnisdienst mit Client-Zugriff bestimmte Verantwortlichkeiten übernehmen, insbesondere wenn ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. In der Regel beschränkt sich dies jedoch auf den verantwortungsvollen Umgang mit den eigenen Passwörtern für den Verzeichnisdienst.

11. Schulung

Abschließend muss festgelegt werden, welche Benutzer zu welchen Teilaspekten geschult werden müssen. Erst nach ausreichender Schulung kann der Verzeichnisdienst in den Produktivbetrieb aufgenommen werden. Besonders die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit eines Verzeichnisdienstes gründlich zu schulen.

Die daraus entwickelten Sicherheitsrichtlinien sind zu dokumentieren und im erforderlichen Umfang den Benutzern des Verzeichnisdienstes mitzuteilen. Bei der Definition der Sicherheitsrichtlinie für Verzeichnisdienste ist zu beachten, dass sie sich an den vorhandenen Sicherheitsrichtlinien der Institution orientieren muss, diesen nicht widersprechen (Konsistenz) und auch nicht im Widerspruch zu geltendem Recht stehen darf. In der Regel werden mit einer Verzeichnisdienst-Sicherheitsrichtlinie existierende Regelungen spezifisch angepasst oder aber sinngemäß erweitert, z. B. durch zusätzliche Anforderungen für Komponenten. Dabei sind unter Umständen neue Regelungen für Verzeichnisdienst-spezifische Funktionalitäten zu treffen. Generell gilt, dass sich die Planung des Verzeichnisdienstes an den jeweiligen Sicherheitsrichtlinien orientiert, dabei jedoch auch Einfluss auf die Sicherheitsrichtlinien besitzt (Feedback-Prozess).

Prüffragen:

  • Sind alle für den geplanten Einsatz von Verzeichnisdienst relevanten Bereiche durch die Sicherheitsrichtlinien abgedeckt?

  • Sind alle Benutzer über die Verzeichnisdienst-Sicherheitsrichtlinien informiert?

Stand: 13. EL Stand 2013