Bundesamt für Sicherheit in der Informationstechnik

M 4.237 Sichere Grundkonfiguration eines IT-Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Grundeinstellungen, die vom Hersteller oder Distributor eines Betriebssystems vorgenommen werden, sind meist nicht auf Sicherheit optimiert, sondern auf eine einfache Installation und Inbetriebnahme sowie oft darauf, dass jeder Anwender möglichst einfach auf möglichst viele Features des Betriebssystems zugreifen kann. Beim Einsatz von IT -Systemen (egal, ob als Client oder Server) in Behörden oder Unternehmen ist dies oft nicht wünschenswert.

Der erste Schritt bei der Grundkonfiguration muss daher sein, die Grundeinstellungen zu überprüfen und nötigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen. Die Grundkonfiguration ist naturgemäß relativ stark vom eingesetzten Betriebssystem abhängig. Aus diesem Grund sind in den betriebssystemspezifischen Bausteinen entsprechende detailliertere Maßnahmen enthalten.

Ziele einer sicheren Grundkonfiguration sollten sein, dass

  • das System gegen "einfache" Angriffe über das Netz abgesichert ist,
  • kein normaler Benutzer durch reine Neugierde oder gar zufällig Zugriff auf sensitive Daten erlangen kann, die nicht für ihn bestimmt sind,
  • kein normaler Benutzer beim normalen Arbeiten mit dem System durch reine Bedienungsfehler oder Leichtsinn ("Was passiert eigentlich, wenn ich diese Datei lösche?") schwerwiegenden Schaden am System oder an Daten anderer Benutzer verursachen kann, und dass
  • auch für die Arbeiten der Systemadministratoren die Auswirkungen kleinerer Fehler so weit wie möglich begrenzt sind.

Die Einstellungen, die im Rahmen der Grundkonfiguration überprüft und angepasst werden sollten, betreffen insbesondere die folgenden Bereiche:

  • Einstellungen für Systemadministratoren
    Die Kennungen, unter denen Systemadministratoren arbeiten, sollten besonders stark abgesichert werden.. Dies betrifft beispielsweise die Einstellungen für die Benutzerumgebung wie
  • Suchpfade für Programme und Dateien,
  • Umgebungsvariablen und die
  • Konfiguration bestimmter Programme.
    Diese Einstellungen sollten überprüft und gegebenenfalls angepasst werden. Außerdem sollten die Einstellungen für die Benutzerverzeichnisse von Systemadministratoren so gewählt werden, dass normale Benutzer keinen Zugriff darauf haben.
  • Einstellungen für die Systemverzeichnisse und -dateien
    Bei der Grundkonfiguration muss überprüft werden, ob die Berechtigungen für Systemverzeichnisse und -dateien den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf einem Server sollten für die Berechtigungen der Systemverzeichnisse und -dateien relativ restriktive Einstellungen gewählt werden.
  • Einstellungen für Benutzerkonten
    Im Rahmen der Grundkonfiguration sollte überprüft werden, welche Standardeinstellungen für Benutzerkonten gelten. Die Einstellungen müssen gegebenenfalls entsprechend der Sicherheitsrichtlinie angepasst werden. Dies betrifft im Wesentlichen dieselben Parameter wie für Systemadministrator-Konten, für normale Benutzer können aber unter Umständen andere Einstellungen sinnvoll sein.
  • Bereinigung der Benutzerdatenbank
    Oft wird im Rahmen der Standardinstallation eines Betriebssystems eine größere Anzahl von Benutzerkonten eingerichtet, die für den Betrieb nicht in jedem Fall notwendig sind. Daher sollte im Rahmen der Grundkonfiguration geprüft werden, welche Benutzerkonten wirklich gebraucht werden. Nicht benötigte Benutzerkonten sollten entweder gelöscht oder zumindest so deaktiviert werden, so dass unter dem betreffenden Konto keine Anmeldung am System möglich ist.
  • Überprüfung der Dienste
    Die Standardinstallation eines Betriebssystems enthält oft eine Reihe von Programmen und Diensten, die normalerweise nicht benötigt werden und die gerade deswegen eine Quelle von Sicherheitslücken sein können. Dies gilt insbesondere für Netzdienste. Nach der Installation sollte deswegen überprüft werden, welche Dienste auf dem System installiert und aktiviert sind. Nicht benötigte Dienste sollten deaktiviert oder ganz deinstalliert werden.
    Die Überprüfung auf laufende Dienste kann einerseits lokal mit den Mitteln des installierten Betriebssystems und bei Netzdiensten andererseits von außen durch einen Portscan von einem anderen System aus erfolgen. Durch eine Kombination beider Methoden kann weitgehend ausgeschlossen werden, dass das System noch weitere ungewollte Netzdienste anbietet.
  • Einstellungen für den Zugriff auf das Netz
    Im Rahmen der Grundkonfiguration sollten auch die Einstellungen für den Zugriff auf das Netz sowie wichtige externe Dienste getroffen und dokumentiert werden. Dies betrifft beispielsweise (sofern nicht bereits bei der Installation geschehen):
  • Vergabe der IP -Adresse und Konfiguration der grundlegenden Netzparameter oder Konfiguration des Zugriffs auf einen Server, der automatisch, beispielsweise über DHCP (Dynamic Host Configuration Protocol) Netzeinstellungen verteilt. Für Server wird allerdings von der Verwendung von DHCP abgeraten.
  • Konfiguration des Zugriffs auf einen DNS -Server und gegebenenfalls andere Namensdienste und die
  • Konfiguration des Zugriffs auf verteilte Dateisysteme, Datenbanken oder sonstige externe Dienste.
  • Zusätzlicher Schutz durch einen lokalen Paketfilter
    Server und Clients mit hohem Schutzbedarf sollten zusätzlich zum Schutz durch die organisationsweiten Sicherheitsgateways oder Paketfilter, die das interne Netz segmentieren, mit einem lokalen Paketfilter oder einer Personal Firewall abgesichert werden. Entsprechende Funktionalitäten sind in praktisch allen modernen Betriebssystemen vorhanden.
    Im Rahmen der Grundkonfiguration sollte zumindest für Server mit hohem Schutzbedarf ein entsprechender Schutz durch einen lokalen Paketfilter realisiert werden. Auch für Server mit normalem Schutzbedarf wird der Schutz durch einen lokalen Paketfilter empfohlen. Gegebenenfalls kann in diesem Fall eine "liberalere" Konfiguration gewählt werden.
    Für Clients wird der Einsatz eines lokalen Paketfilters oder einer Personal Firewall dann empfohlen, wenn diese einen hohen oder sehr hohen Schutzbedarf im Bezug auf die Vertraulichkeit oder Integrität besitzen.
    Genauere Informationen zur Einrichtung eines lokalen Paketfilters finden sich in M 4.238 Einsatz eines lokalen Paketfilters , zu einer Personal Firewall in M 5.91 Einsatz von Personal Firewalls für Clients .
  • Deaktivierung von "Call Home"-Funktionen
    Einige Betriebssysteme und Anwendungen senden Informationen, beispielsweise über aufgetretene Fehler oder über die Systemkonfiguration , direkt an den Hersteller, damit dieser zukünftig das Produkt an die Bedürfnisse der Anwender anpassen kann. Hierfür wird eine Datenverbindung über Datennetze, wie dem Internet, zu den Servern des Herstellers aufgebaut. Eine solche Form des Datenabflusses kann kritisch sein, vor allem, wenn die Anwender nicht über die Häufigkeit und Inhalte der Datenweitergabe informiert werden.
    Generell sollte dieser oft unerwünschte Informationsaustausch unterbunden werden. Ob und wie Informationen versendet werden, kann in der Regel den Lizenzvereinbarungen der eingesetzten Software entnommen werden.
    Viele Applikationen bieten die Möglichkeit, diese "Call Home"-Funktion zu deaktivieren. Nur in begründeten Ausnahmefällen sollte diese aktiviert bleiben. Nach Updates sollte überprüft werden, ob die "Call Home"-Funktion weiterhin deaktiviert ist.
    Durch lokale Paketfilter oder dem zentralen Sicherheitsgateway (Firewall) kann ebenfalls der Verbindungsaufbau mit dem Hersteller unterbunden werden. Beispielsweise könnten auf Grundlage der Zieladressen oder der Portnummern die Datenverbindungen abgewiesen werden. Hierbei ist zu beachten, dass die Berücksichtigung aller Applikationen aufwändig ist und automatische Update-Funktionen, falls benötigt, dann oft nicht mehr zur Verfügung stehen.
  • Deaktivieren nicht benötigter Schnittstellen
    In einer Grundkonfiguration sind üblicherweise alle vorhandenen oder auch potentiell nachrüstbaren Schnittstellen aktiviert. Häufig werden nicht alle davon benötigt und sollten daher entfernt oder deaktiviert werden. Einige dieser Schnittstellen können auch potentielle Sicherheitsprobleme mit sich bringen, denen durch geeignete organisatorische oder technische Sicherheitsmaßnahmen entgegengewirkt werden muss. Schnittstellen, deren Nutzung kontrolliert werden sollte, sind beispielsweise Bluetooth, WLAN , Firewire, eSATA (externer SATA-Festplattenanschluss) und IrDA (Infrared Data Association). Was dabei zu beachten ist, findet sich in den entsprechenden Maßnahmen.
  • Verzeichnisbasierte Ausführungskontrolle
    Bei aktuellen Betriebssystemen ist eine verzeichnis- oder partitionsbasierte Ausführungskontrolle möglich. Dabei werden die Ausführungsrechte für alle Dateien in einem Verzeichnis und allen Unterverzeichnissen unterbunden. Beispielsweise kann dies auf windowsbasierten Betriebssystemen durch entsprechende Gruppenrichtlinien mit "Richtlinien für Softwareeinschränkung" erreicht werden. Auf Linux-Systemen kann die Festplatte zweckdienlich partitioniert und mit passenden mount-Optionen "ro" (read only) und "noexec" (no execute) eingebunden werden. Für hohen Schutzbedarf existieren darüber hinaus Werkzeuge, die dateibezogene Berechtigungen im Betriebssystem festlegen.
    Die verzeichnis- oder partitionsbasierte Ausführungskontrolle sorgt bei geeigneter Konfiguration dafür, dass Benutzer
  • aus Verzeichnissen, in die sie schreiben dürfen, keine Programme starten können und
  • in Verzeichnisse, aus denen sie Anwendungen starten dürfen, nicht schreiben können.
    Dadurch wird es Benutzern erschwert, eine Programmdatei auszuführen, die sie aus dem Internet geladen oder von einem USB -Stick kopiert haben.
  • Monitoring
    Um auf kritische Systemereignisse reagieren zu können, können diese durch Monitoring beobachtet werden. Hierfür werden in der Regel Statusinformationen von einem zentralen IT-System abgerufen, auf dem die Ereignisse ausgewertet werden. Über die Schnittstelle, die benötigt wird, um die Systemereignisse vom IT-System abzurufen, können aber oft Systemeinstellungen des Betriebssystems verändert werden, z. B. über SNMP (Simple Network Management Protocol). Ist eine solche Modifikation nicht gewünscht, dann sollten diese Merkmale deaktiviert werden.
  • Schutz vor Buffer Overflows
    Um Betriebssystem und Applikation vor möglichen Buffer Overflows zu schützen, sollten entsprechende Speicherschutzmechanismen aktiviert werden, sofern diese von der verwendeten Hardware (CPU) und dem Betriebssystem unterstützt werden. Beispielsweise kann mit Executable Space Protection (ESP) verhindert werden, dass Programme aus nicht dafür zugelassenen Bereichen des Arbeitsspeichers ausgeführt werden.
  • Anlegen einer Integritätsdatenbank
    Nach Abschluss der Grundkonfiguration wird empfohlen, mit einem entsprechenden Tool eine Integritätsdatenbank anzulegen. Bei manchen Betriebssystemen gehören entsprechende Programme bereits zum Umfang einer Standardinstallation. Die Integritätsdatenbank sollte nicht auf dem System selbst, sondern auf einem schreibgeschützten Datenträger (beispielsweise CD-R) oder einem anderen, besonders gesicherten System gespeichert werden. Bei einem Verdacht auf eine Kompromittierung des Systems lassen sich anhand der erzeugten Prüfsummen Dateien identifizieren, die von einem Angreifer modifiziert wurden. Bei den regelmäßigen Überprüfungen der Systemintegrität (siehe auch M 4.93 Regelmäßige Integritätsprüfung ) dient diese Datenbank als Referenz für einen definierten, sicheren Zustand des Systems.

Es sollte dokumentiert werden, welche Einstellungen im Rahmen der Grundkonfiguration überprüft wurden, sowie ob und gegebenenfalls wie sie geändert wurden. Die Dokumentation muss so beschaffen sein, dass im Notfall auch eine andere Person als der eigentliche Administrator ohne vorherige Kenntnis des Systems anhand der Dokumentation nachvollziehen kann, was getan wurde. Im Idealfall sollte es möglich sein, alleine mit Hilfe der Dokumentation das System wiederherzustellen.

Prüffragen:

  • Wird eine sichere Grundkonfiguration aller eingesetzten IT-Systeme entsprechend den Vorgaben der Sicherheitsrichtlinie vorgenommen?

  • Wurden nicht benötigte Benutzerkonten, Dienste und Schnittstellen deaktiviert oder entfernt?

Stand: 13. EL Stand 2013