Bundesamt für Sicherheit in der Informationstechnik

M 2.414 Computer-Viren-Schutz für Domänen-Controller

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Für einen ausreichenden Schutz gegen Computer-Viren und andere Schadprogramme muss in einer Institution ein umfassendes Computer-Viren-Schutzkonzept umgesetzt werden. Die entsprechende Vorgehensweise wird im Baustein B 1.6 Schutz vor Schadprogrammen beschrieben. In dem Computer-Viren-Schutzkonzept sollten grundsätzlich auch die Domänen-Controller einer Institution berücksichtigt werden.

Damit die Nutzung eines Viren-Schutzprogramms auf einem Domänen-Controller keine negativen Auswirkungen auf den laufenden Betrieb hat, sind jedoch für Domänen-Controller einige Besonderheiten zu beachten.

Die Hinweise in dieser Maßnahme sind als allgemeine Hinweise zu verstehen. Unter Umständen müssen zusätzlich die speziellen Anweisungen des Herstellers des jeweils eingesetzten Viren-Schutzprogramms berücksichtigt werden.

Bei der Auswahl der Viren-Schutz-Software muss darauf geachtet werden, dass der Einsatz auf einem Domänen-Controller explizit unterstützt wird. Entscheidend ist dabei, dass die Viren-Schutz-Software die vom Betriebssystem-Hersteller vorgesehenen Programmierschnittstellen (Application Programming Interface, API ) verwendet.

Bei der Verwendung falscher Programmierschnittstellen werden unter Umständen die Metadaten der untersuchten Dateien durch den Zugriff der Viren-Schutz-Software verändert. In diesem Fall ist es möglich, das der File Replication Service ( FRS ) des Betriebssystems eine Replizierung der vermeintlich geänderten Datei innerhalb der Organisation veranlasst. Solche unnötigen Replizierungen können zu einer verminderten Systemleistung führen und sollten daher vermieden werden. Weitere Details bezüglich kompatibler Viren-Schutzprogramme sind im Microsoft-Knowledge-Base-Artikel mit der Artikel-ID 815263 zu finden.

Die korrekte Funktionsweise der Viren-Schutz-Software sollte in einer Testumgebung vor dem endgültigen Einsatz in einer Produktivumgebung ausgiebig auf korrekte Funktionalität getestet werden. Die Testumgebung sollte dabei den Gegebenheiten der Produktivumgebung möglichst nachempfunden werden, um Auswirkungen auf die Gesamtleistung des Domänen-Controllers festzustellen.

Um die Einführung von Schadsoftware zu vermeiden, sollte auf Domänen-Controllern ausschließlich die Active-Directory-Funktionalität des Betriebssystems verwendet und möglichst keine weiteren Dienste angeboten werden. Insbesondere darf ein Domänen-Controller nicht als herkömmlicher Arbeitsplatz genutzt werden. So sollten lokal auf einem Domänen-Controller angemeldete Benutzer nicht in der Lage sein, im Internet zu surfen, E-Mails zu empfangen oder auf externe Datenträger, wie z. B. USB-Speichermedien oder DVD-ROM s, zuzugreifen.

Ebenso sollte der Domänen-Controller nicht als Dateifreigabe-Server genutzt werden. Werden auf dem Domänen-Controller Dateien per Dateifreigaben im Netz verfügbar gemacht, so werden diese Dateien vom Viren-Schutzprogramm bei jedem Zugriff auf Schadsoftware untersucht, was zu Performance-Einbußen auf dem Domänen-Controller führen kann. Dateifreigaben auf dem Domänen-Controller sollten somit deaktiviert werden.

Grundsätzlich sollte das Viren-Schutzprogramm alle Dateizugriffe transparent im Hintergrund überwachen. Allerdings existieren auf den Windows-Server-Betriebssystemen einige Dateien, z. B. Verzeichnisdienst-Datenbank, Protokolldateien, Datenbank des Dateireplikationsdienstes, die bei einem Zugriff durch ein Viren-Schutzprogramm die Funktionen des Domänen-Controllers beeinträchtigen können. Um unnötige Dateisperrungen durch das Viren-Schutzprogramm zu verhindern und den einwandfreien Betrieb des Domänen-Controllers sicherzustellen, sollten daher die folgenden Punkte beachtet werden.

Zugriff auf die Active Directory-Datenbank und Protokolldateien durch die Extensible Storage Engine (ESE)

Die Verzeichnisdienst-Datenbank und Protokolldateien werden vom Active Directory mittels ESE für den exklusiven Dateizugriff geöffnet. Daher kann die ESE nur auf die Dateien zugreifen, die nicht durch die Viren-Schutz-Software blockiert werden. Gleichzeitig kann die Viren-Schutz-Software nur auf die Dateien zugreifen, die nicht durch die ESE blockiert werden.

Sowohl die Datenbankdateien als auch die Protokolldateien verwenden Active-Directory-interne Prüfsummen, die durch den Dateizugriff eines Viren-Schutzprogramms ungültig werden und zu inkonsistenten Datenbanken führen können. Eine inkonsistente Datenbank kann zu einem Ausfall des Active Directory führen.

Daher sind folgende Dateien aus der regelmäßigen Virenüberprüfung auszuschließen:

  • Active-Directory Hauptdatenbank
  • Active-Directory Transaktionsprotokolldateien
  • Active-Directory Arbeitsordner

Zugriff auf die Datenbank und Protokolldateien des Dateireplikationsdienstes (FRS) durch ESE

Wie bereits beschrieben, können durch den unsachgemäßen Einsatz von Viren-Schutzprogrammen bei Datenbank- oder Protokolldateizugriffen konkurrierende Zugriffe des Replikationsdienstes auftreten. Ebenso kann eine Änderung der internen Prüfsummen dieser Dateien zu einem Ausfall des Active Directory führen. Daher sollten folgende Dateien aus der regelmäßigen Virenüberprüfung ausgeschlossen werden:

  • Dateien im Arbeitsordner des Dateireplikationsdienstes
  • Datenbankprotokolldateien des Dateireplikationsdienstes
  • Staging-Ordner (Cache für neue und geänderte Dateien, die repliziert werden sollen) und Stammreplikat (Kopie des Distributed-File-System-Stamms und dessen untergeordnete Verknüpfungen) des Dateireplikationsdienstes
  • Vorinstallationsordner des Dateireplikationsdienstes

Wird der Dateireplikationsdienst verwendet, um Windows-Freigaben zu replizieren, deren Verknüpfungsziel auf Windows Server Betriebssystemen liegt, so sind diese Dateien der SYSVOL-Ordner ebenfalls auszuschließen

Dateireplikation durch den Dateireplikationsdienst (File Replication Service, FRS)

Der Dateireplikationsdienst wird von den Windows-Server-Betriebssystemen für die Replizierung von Anmeldeskripten und Systemrichtlinien des SYSVOL-Ordners zwischen Domänen-Controllern verwendet. Werden die Metadaten (Sicherheitsinformationen oder Zeitstempel) einer Datei durch ein Viren-Schutzprogramm verändert, so wird die entsprechende Datei durch FRS zwischen den Domänen-Controllern erneut repliziert. Dieses Verhalten führt zu einer erhöhten Replizierung der SYSVOL-Dateien und damit zu

  • einem erhöhten Bandbreitenverbrauch im Netz,
  • einem erhöhten Ressourcenverbrauch auf den Domänen-Controllern und
  • einer hohen Anzahl von Dateien im Staging-Ordner (dies gilt insbesondere für die Betriebssysteme Windows Server 2003 und Windows 2000 Server SP 3).

Um eine übermäßige Replikation zu verhindern, sollten folgende Punkte beachtet werden:

  • Es ist ein Viren-Schutzprogramm auszuwählen, das die Metadaten der SYSVOL-Dateien nicht ändert.
  • Sollte eine entsprechende Auswahl nicht möglich sein, so ist das SYSVOL-Verzeichnis inklusive aller Unterverzeichnisse aus der automatischen Überprüfung durch das Viren-Schutzprogramm zu entfernen. Dabei erhöht sich allerdings das Risiko für einen Virenbefall, da anders als bei den oben genannten Dateien in diesem Falle ausführbare Dateien, z. B. Anmeldeskripte, von der Viren-Schutz-Software nicht mehr erfasst werden. Daher sollten für den Fall, das die SYSVOL-Verzeichnisse nicht durch das Viren-Schutzprogramm abgesichert werden können, ausschließlich signierte Anmeldeskripte auf den Domänen-Controllern und Arbeitsstationen der Administratoren verwendet werden.

Update-Funktion des Microsoft Betriebssystems

Im Rahmen der Update-Funktion des Windows-Server-Betriebssystems ("Microsoft Update", "Windows Update" oder "Automatisches Update") kann das exklusive Zugriffsrecht für Dateien eines Viren-Schutzprogramms zu Problemen führen.

Um diese Probleme zu vermeiden, sollten folgende Dateien aus der regelmäßigen Virenüberprüfung ausgeschlossen werden:

  • Datenbankdateien mit Bezug auf die Update-Funktionalität, wie z. B. im Ordner %windir%\SoftwareDistribution\Datastore die Datei "Datastore.edb"
  • die im Ordner %windir%\SoftwareDistribution\Datastore\Logs abgelegten Transaktionsprotokolldateien

Weitere Details zu den auszuschließenden Dateien finden sich online im Dokument Managing Domain Controllers im Microsoft Windows Server TechCenter und im Microsoft-Knowledge-Base-Artikel mit der Artikel-ID 822158, welcher Empfehlungen für die Suche nach Viren auf einem Windows Server 2003-, Windows 2000- oder Windows XP-Computer beschreibt.

Hinweise zur Einführung von Skriptsignaturen können den Hilfsmitteln zum IT-Grundschutz (siehe Virenprüfung durch Einführung von Skriptsignaturen in Hilfsmittel zum Baustein Active Directory) entnommen werden.

Prüffragen:

  • Werden die Domänen-Controller im Computer-Viren-Schutzkonzept berücksichtigt?

  • Ist die eingesetzte Viren-Schutz-Software vom Hersteller für den Einsatz auf Domänen-Controllern freigegeben?

  • Wurde die Viren-Schutz-Software vor dem produktiven Einsatz auf dem Domänen-Controller in einer Testumgebung ausreichend getestet?

  • Werden Dateien, die bei Zugriff durch die Viren-Schutz-Software die Funktion des Domänen-Controllers beeinträchtigen können, ( z. B. Datenbanken und Protokolldateien von Verzeichnisdienst und Dateireplikationsdienst) von der Viren-Prüfung ausgenommen?

  • Werden Dateien, die von der Prüfung durch die Viren-Schutz-Software ausgenommen sind, ausreichend gegen Virenangriffe geschützt?

Stand: 13. EL Stand 2013