Bundesamt für Sicherheit in der Informationstechnik

M 2.412 Schutz der Authentisierung beim Einsatz von Active Directory

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Active Directory fungiert innerhalb des Netzes als zentrale Komponente. Um eine vertrauenswürdige Kommunikation zwischen den betroffenen Teilnehmern innerhalb des Netzes gewährleisten zu können, ist die Sicherheit und Zuverlässigkeit hinsichtlich der Authentisierung und Autorisierung beim Zugriff auf Netzressourcen erforderlich.

Um einen möglichst hohen Schutz der Active-Directory-Authentisierung zu erhalten, sollte die LAN-Manager-Authentisierung deaktiviert und der Server-Message-Block-Datenverkehr (SMB-Datenverkehr) zwischen Domänen-Controllern sowie zwischen Domänen-Controller und Computern der Domäne signiert werden. Ferner sollte der prä-Windows-2000-kompatible Zugriff deaktiviert, sowie die anonymen Zugriffe auf die Domänen-Controller eingeschränkt werden.

Ein hohes Maß an Sicherheit kann nur erreicht werden, wenn alle Domänen-Controller, Mitgliedsserver und Arbeitsstationen das Authentisierungsprotokoll NTLMv2 (NT LAN Manager Version 2) unterstützen. NTLMv2 steht standardmäßig ab Windows NT 4.0 SP4 zur Verfügung (siehe hierzu auch M 5.123 Absicherung der Netzkommunikation unter Windows ). Ältere Authentisierungsprotokolle aus früheren Windows-Versionen bieten eine geringere Sicherheit. So werden beispielsweise bei dem LAN-Manager-Authentisierungsprotokoll (LM) die Kontokennwörter in einem unsicheren LM-Hashformat gespeichert. Die Kennwörter für das Windows-NT-Authentisierungsprotokoll NT LAN Manager (NTLM) und NT LAN Manager Version 2 (NTLMv2) werden im NTLM-Hashformat abgelegt. Der NTLM-Hash ist kryptografisch stärker als das LM-Hashformat.

Das SMB-Protokoll bildet die Grundlage für die Microsoft Datei- und Druckfreigabe sowie für viele andere Netzoperationen, wie z. B. die Remoteverwaltung von Windows. Um beispielsweise Man-in-the-Middle-Angriffe zu verhindern (siehe G 5.143 Man-in-the-Middle-Angriff ), bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signatur von SMB-Paketen.

Einige Betriebssysteme und Anwendungen, die für Windows-Betriebssysteme vor Windows 2000 entwickelt wurden, benötigen einen anonymen Zugriff auf andere Server und Domänen-Controller, z. B. setzt der Spooler-Dienst unter Windows NT 4.0 einen anonymen Zugriff auf Remotedrucker voraus. Auch werden anonyme Zugriffe für die Einrichtung von Vertrauensbeziehungen zwischen einer Windows-NT-4.0-Domäne und einer Windows-2000-Domäne benötigt. Für eine größtmögliche Sicherheit sollten anonyme Zugriffe auf Domänen-Controller sowie anonyme Zugriffe auf Active-Directory-Daten strikt unterbunden werden.

Diese Schritte können beim Einsatz von früheren Windows Client- und Server-Betriebssystemen, z. B. Windows 95, Windows 98, Windows Millennium Edition und Windows NT 4.0, zu Störungen im Betrieb des Netzes führen, da diese die oben genannten Schutzmaßnahmen nicht oder nur eingeschränkt unterstützen. Daher ist es aus Gründen der Verfügbarkeit nicht immer möglich, die unsichere LAN-Manager-Authentisierung zu deaktivieren, den SMB-Datenverkehr zu signieren und anonyme Zugriffe auf Domänen-Controller zu unterbinden. In solchen Fällen sollten die entsprechenden Anforderungen von Diensten und Programmen, die für ihre Funktionen anonymen Zugriff benötigen, gegen die Sicherheitsvorteile abgewogen werden. Die getroffenen Entscheidungen müssen inklusive verbleibender Restrisiken dokumentiert und vom Leiter IT unterschrieben werden.

Sofern die Serverumgebung verschiedene Windows-Betriebssysteme umfasst, müssen die in Maßnahme M 4.314 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller beschriebenen Sicherheitsempfehlungen angepasst werden, so dass sie mit den früheren Versionen von Windows kompatibel sind.

Prüffragen:

  • Wird in der Umgebung des Active Directory konsequent das Authentisierungsprotokoll NTLMv2 eingesetzt?

  • Wurde die LAN -Manager-Authentisierung deaktiviert und wird der SMB -Datenverkehr signiert?

  • Werden anonyme Zugriffe auf Domänen-Controller unterbunden?

Stand: 13. EL Stand 2013