Bundesamt für Sicherheit in der Informationstechnik

M 4.138 Konfiguration von Windows Server als Domänen-Controller

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Domänen-Controller stellen in einem Netz auf Basis der Serverbetriebssysteme Windows 2000 Server und Windows Server 2003 (im Folgenden unter dem Begriff Windows-Server zusammengefasst) die zur Verwaltung einer Windows-Server Domäne nötigen Dienste zur Verfügung, unter denen der Active Directory Dienst (Active Directory Service, ADS ) die wichtigste Rolle einnimmt. In der Regel wird von einem Domänen-Controller auch der Namensdienst DNS (Domain Name Service) angeboten, ohne den das Active Directory nicht betrieben werden kann. Im DNS werden von Windows Referenzen auf wichtige Windows-Server Ressourcen gehalten, deren Integrität für das korrekte Funktionieren einer Windows-Server Domäne essentiell sind. Da ein Domänen-Controller als Anmeldeserver fungiert, führt er den dazu notwendigen Kerberos-Dienst aus. Die Kerberos-Komponenten auf dem Domänen-Controller bewahren zudem die im Rahmen des Authentisierungs-Protokolls genutzten geheimen Schlüssel auf.

Da jedem Domänen-Controller daher eine wichtige Rolle zukommt und durch ihn schützenswerte Daten gespeichert werden, sind für die Konfiguration folgende Punkte zu beachten. Daneben gelten auch für einen Domänen-Controller die in der Maßnahme M 4.137 Sichere Konfiguration von Windows 2000 und M 4.139 Konfiguration von Windows 2000 als Server beschriebenen Aspekte entsprechend.

  • Die Sicherheit eines Domänen-Controllers leitet sich hauptsächlich aus zwei wesentlichen Bereichen ab: der Sicherheit der Betriebssystemkonfiguration und der Sicherheit des Active Directory, welches auf eigene Sicherheitsmechanismen zurückgreift (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung ). Die Sicherheitseinstellungen des Betriebssystems erfolgen im Wesentlichen durch Gruppenrichtlinien, die Sicherheitseinstellungen des Active Directory erfordern entsprechende Planung und Umsetzung (siehe M 2.229 Planung des Active Directory , M 2.231 Planung der Gruppenrichtlinien unter Windows ).
  • An einem Domänen-Controller dürfen sich nur berechtigte Administratoren lokal anmelden. Ein Benutzerbetrieb auf einem Domänen-Controller darf nicht erlaubt werden. Nach einer Standardinstallation ist es normalen Benutzern daher nicht gestattet, sich lokal an einem Domänen-Controller anzumelden.
  • Ein Domänen-Controller sollte neben den zwingend notwendigen Standard Domänen-Controller Diensten, wie z. B. Active Directory, Kerberos und DNS, keine weiteren Infrastrukturdienste (z. B. DFS, DHCP ) anbieten. Insbesondere vom Betrieb eines DHCP-Servers auf einem Domänen-Controller muss aus Sicherheitsgründen abgeraten werden (siehe auch Microsoft Dokumentation zu DNS und DHCP). Beide Dienste laufen unter den gleichen Berechtigungen ab. Dadurch können - stark vereinfacht dargestellt - die Zugriffsrechte auf DNS-Daten nicht mehr durchgesetzt werden, wenn der DHCP-Dienst Veränderungen an DNS-Daten durchführt.
  • Ein Domänen-Controller sollte keine (Applikations-) Serverdienste anbieten, da bei Fehlern in den Serverprogrammen eine Kompromittierung des Domänen-Controllers und damit der gesamten Windows-Server Domäne möglich ist.

Domänen-Controller sollten so sicher wie möglich konfiguriert werden. Nach der Standardinstallation sollte die Vorlagendatei secdc.inf (unter Windows 2003 Server securedc.inf) oder hisecdc.inf angewandt werden. Die Vorlagendateien finden sich im Windows-Server Systemverzeichnis unter %windir%\security\templates und können entweder von der Kommandozeile mittels des Kommandos secedit konfiguriert werden, oder über die MMC-Plug-ins Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse angesehen oder angewandt werden. Je nach Umfeld müssen die durch die Vorlagen secdc.inf (unter Windows Server 2003 securedc.inf) bzw. hisecdc.inf vorgenommen Einstellungen angepasst werden. Dies kann beispielsweise erforderlich sein, wenn im Netz noch Altsysteme, z. B. OS/2, vorhanden sind, die weniger sichere Einstellungen bieten. Weitere Hinweise zur Planung der Sicherheitseinstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows . Als ergänzendes Regelwerk für die Migration von Windows NT Server auf Windows 2003 Server empfiehlt sich die im Microsoft Download Center (http://www.microsoft.com/downloads) erhältliche Migrationshilfe "Migrating from Windows NT Server 4.0 to Windows Server 2003". Diese beschreibt detailiert alle für die Umstellung erforderlichen Konfigurationsanpassungen.

  • Wenn möglich, sollte ein Domänen-Controller im native mode betrieben werden, damit alle Windows-Client-Mechanismen (ab Windows 2000) voll ausgenutzt werden können. Dies sind beispielsweise universelle Gruppen, Gruppenschachtelung und die Vergabe der RAS-Zugangsberechtigung über eine Gruppenzugehörigkeit. Ein Umschalten in den native mode ist dann möglich, wenn in der Domäne kein Windows NT BDC (Backup-Domänen-Controller) betrieben wird. Der Betrieb von Windows NT Servern und Workstations ist auch im native mode möglich. Zu beachten ist, dass eine Rückkehr in den mixed mode und damit zu einer NT-Domäne danach nicht mehr möglich ist.
  • Kann ein Domänen-Controller in den so genannten Active-Directory-Restore-Modus gebootet werden, so ist es möglich, Veränderungen am AD durchzuführen, indem z. B. alte Zustände (teilweise oder vollständig) von Backup-Medien geladen werden. Diese Veränderungen lassen sich so einspielen, dass sie nach dem regulären Booten durch die Active-Directory-Replikation an alle anderen Domänen-Controllern einer Domäne propagiert werden. Es ist daher sicherzustellen, dass der Active-Directory-Restore-Modus durch ein geeignetes Passwort geschützt ist und Arbeiten in diesem Modus nur unter Einhaltung des Vier-Augen-Prinzips erfolgen. Der Active-Directory-Restore-Modus ist kommandozeilenbasiert und Tippfehler können gravierende Folgen haben, z. B. Löschen oder Überschreiben des falschen Active-Directory-Zweiges. Daher bietet das Vier-Augen-Prinzip hier neben der Tätigkeitskontrolle auch eine Sicherheit durch die Kontrolle aller Eingaben durch zwei Personen.
  • Die Domänen-Controller der Forest-Root-Domäne ( FRD ) sind aufgrund der Sonderstellung der FRD besonders schutzbedürftig.

Generell ist für jeden Domänen-Controller immer die physikalische Sicherheit zu gewährleisten, z. B durch Aufstellung in einem Serverraum.

Prüffragen:

  • Sind für alle Domänen-Controller restriktive Zugriffsrechte auf Betriebssystemebene vergeben?

  • Wird der Domänen-Controller im native mode betrieben?

  • Ist sichergestellt, dass der Active-Directory-Restore-Modus durch ein geeignetes Passwort geschützt ist und Arbeiten in diesem Modus nur unter Einhaltung des Vier-Augen-Prinzips erfolgen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK