Bundesamt für Sicherheit in der Informationstechnik

M 4.276 Planung des Einsatzes von Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor der Einführung von Windows Server 2003 sind umfangreiche Planungen durchzuführen, damit eine geregelte und auch sichere Einführung sowie in Folge ein sicherer Betrieb ermöglicht wird. Dabei ist zu gewährleisten, dass die festgelegten Sicherheitsrichtlinien (siehe M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server ) eingehalten werden und so eine richtlinienkonforme Umsetzung erfolgt. Hierbei ist zu beachten, dass Windows Server 2003 in der Standardinstallation ohne bereits vorinstallierte Softwarekomponenten zur Verfügung steht, um den Betrieb später nicht benötigter Komponenten zu vermeiden. In Abhängigkeit des Einsatzszenarios ist zu definieren, für welche Serverrolle Windows Server 2003 geplant wird und welche Softwarekomponenten hierfür gegebenenfalls zusätzlich installiert werden müssen.

Die im Zusammenhang mit der Einführung bzw. dem Betrieb von Active Directory stehenden Fragestellungen bzw. Planungsschritte werden hier nur ansatzweise berücksichtigt.

Grobkonzept

Die Planung eines Windows Server 2003 erfolgt in mehreren Schritten. Ein definierter Anforderungskatalog gemäß M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware erleichtert die Planung erheblich und ist zu empfehlen.

Die konkrete Planung kann nach dem Prinzip des Top-Down-Entwurfes erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt. Im Grobkonzept werden beispielsweise folgende typische Fragestellungen behandelt:

  • Wird ein neues Netz aufgebaut oder wird ein bestehendes Netz migriert?
  • Soll ein existierendes Windows-Netz (z. B. basierend auf Windows 2000 Server) vollständig oder nur teilweise nach Windows Server 2003 migriert werden?
  • Handelt es sich um einen zusätzlichen einzuführenden Server oder um das Upgrade eines existierenden Servers (siehe M 4.283 Sichere Migration von Windows NT 4 Server und Windows 2000 Server auf Windows Server 2003 )?
  • Welche Komponenten, z. B. Dateiserver, Druckserver, DNS -Server, werden ersetzt, welche bleiben erhalten?
  • Müssen existierende Verfahren oder Komponenten, wie z. B. ein bestehendes Kerberos-System oder auch eine bestehende PKI, in Windows Server 2003 integriert werden? Hier sind u. a. die Interoperabilität mit anderen IT-Systemen sowie der angebotene Funktionsumfang zu berücksichtigen.
  • Wird die geplante Konfiguration des Servers der zu erwartenden Datenmenge und Spitzenlast gerecht?
  • Ist das Lizenzierungsmodell ausreichend und geeignet für das Bereitstellungskonzept und das Notfallkonzept?
  • Ist ein Mischbetrieb von Windows Server 2003 und anderen Betriebssystemen, wie Windows 2000, Windows 95, Novell oder Unix, notwendig? Ist dies der Fall, so hat dies u. a. Einfluss auf die im System verwendeten Authentisierungsverfahren, die abhängig von den anderen eingesetzten Betriebssystemen auch Schwachstellen aufweisen und damit die Sicherheit der Windows-Server-2003 Umgebung insgesamt herabsetzen können. Der Sicherheitsstandard in der Mischumgebung sollte in einer Sicherheitsrichtlinie festgelegt sein.

Rollenplanung

Im Rahmen der Erstellung von Teilkonzepten sollten die Serverrollen festgelegt werden. Das Bedienkonzept von Windows Server 2003 definiert mittels verschiedener Konfigurationsassistenten konkrete Rollen, welche zunächst als Ausgangsbasis für die Planung berücksichtigt werden sollten. Die Rollen sind in Abhängigkeit des Einsatzszenarios und der Anforderungsdefinition zu planen. In Teilkonzepten für die einzelnen Rollen müssen die spezifischen Anforderungen berücksichtigt werden, wie z. B. zu erwartende Datenmenge und Last, Kommunikationsprotokolle und -schnittstellen, Zugriffskonzept, Konfiguration der jeweiligen Betriebssystemkomponenten usw.

Rollen (Auswahl)

Serverrolle Serverkonfigurations-Assistent Manuelle Konfiguration Sicherheitskonfigurations-Assistent
Dateiserver x   x
Druckserver x    
Anwendungsserver x   x
Mailserver x    
Terminalserver x   x
RAS/VPN-Server x   x
Domänencontroller x   x
DNS-Server x   x
DHCP -Server x   x
Streaming Media-Server x   x
WINS-Server x   x
Web-Server   x x
Remote Installations-Server   x x
Bastion-Host   x  
Zertifikatsserver   x x

Der Sicherheitskonfigurations-Assistent unterstützt eine große Zahl weiterer Serverrollen von Microsoft-Produkten, z. B. die Rolle des Datenbankservers.

Kombination von Serverrollen

Rollen können kombiniert werden, um sowohl Beschaffungskosten als auch den Administrationsaufwand zu verringern. Kombinationsmöglichkeiten sind hauptsächlich durch folgende Aspekte beschränkt:

  • Sicherheit/Schutzbedarf des IT-Systems
  • designbedingte Beschränkungen von Windows Server 2003
  • Skalierbarkeitsanforderungen
    Nachfolgende Möglichkeiten der Rollenverteilung sind Empfehlungen. In jedem Fall sind die geplanten Rollenkombinationen zu testen.
    • Anwendungsserver, Zertifikatsserver, Webserver, RAS/VPN-Server:
      Diese Rollen sollten hauptsächlich aus Gründen der Sicherheit jeweils getrennt von anderen Rollen verwendet werden.
    • Terminalserver, Druckserver:
      Diese Rollen sind hauptsächlich aus Design- und Skalierbarkeitsgründen von anderen Rollen zu trennen. Zum Beispiel werden auf Druckservern Treiber von anderen Herstellern installiert, die die Verfügbarkeit des Servers beeinträchtigen können.
    • Bastion Host:
      Ein Bastion-Host ist ein abzusichernder Computer, der direkt mit dem Internet verbunden ist. Bastion-Hosts werden in der Regel als Webserver, DNS-Server, FTP -Server, SMTP-Server und als NNTP-Server eingesetzt. Die Rolle des Bastion-Hosts eignet sich für Server im exponierten Bereich und sollte nicht mit anderen Serverrollen kombiniert werden.
  • Kombinationen
    Infrastrukturdienste können gemeinsam auf einem Server betrieben werden. Kommt Active Directory zum Einsatz, empfiehlt sich die Integration von DNS auf den Domänencontrollern. Bei erhöhten Sicherheitsanforderungen in mittleren und großen Umgebungen sollte WINS nicht auf dem Domänencontroller integriert werden.
    In vielen Fällen bietet es sich an, einem Dateiserver weitere Rollen hinzuzufügen, z. B. Infrastrukturdienste. Auch die Rolle des Streaming-Media-Servers könnte von einem Dateiserver übernommen werden.

Die Verwendung von Remoteinstallationsdiensten (RIS) ist auf einem Dateiserver möglich, zum Beispiel im Rahmen von Helpdesk-Szenarien. Hierbei kann jedoch die Sicherheit des Servers durch die Remoteinstallationsdienste beeinträchtigt werden.

Die Dienste der Mailserverrolle können für bestimmte administrative oder infrastrukturelle Einsatzzwecke mit anderen Rollen kombiniert werden. Hier sollte seitens der Anforderungsdefinition klar von der Rolle des Bastion-Hosts unterschieden werden.

  • Weitere Serverapplikationen und -dienste
    Die Internet Information Services (IIS) enthalten Basisdienste für verschiedene Serverrollen (z. B. Webserver) und stellen selbst keine eigene Serverrolle dar. Bei der Planung sollte unter Sicherheitsgesichtspunkten zwischen statischen und dynamischen IIS-Komponenten unterschieden werden.

  • Weitere Serverrollen können durch Zusatzsoftware bereitgestellt werden. Die Verträglichkeit mit den Standardrollen ist im Einzelfall abzuwägen, dabei sind die bei den oben zur Kombination von Rollen beschriebenen möglichen Konflikte zu berücksichtigen. Die Planung sollte auf Basis der Ergebnisse des Software-Auswahlprozesses (siehe B 1.10 Standardsoftware ) erfolgen.
    16-bit-Anwendungen und sonstige veraltete Software, die keine Sicherheitsmechanismen auf Anwendungsebene bieten bzw. die Mechanismen von Windows Server 2003 nicht unterstützen, stellen ein erhöhtes Sicherheitsrisiko für den Server dar. Daher sind besondere Anforderungen der Absicherung auf Daten- und Netzwerkebene bei der Planung der Windows Server 2003 Umgebung zu berücksichtigen. Dies ist sowohl technisch als auch organisatorisch relevant.

  • Rollen in heterogenen Umgebungen
    Heterogene Serverumgebungen mit vorhandenen Diensten und Rollen beeinflussen ebenfalls die Rollenplanung, vor allem wenn vorhandene Dienste in Windows Server 2003 überführt, konsolidiert oder wenn bestimmte Rollen parallel auf verschiedenen Plattformen realisiert werden sollen (das klassische Beispiel hierfür ist DNS). Letztlich ist die Rollenplanung auch vom Format und den Migrationsmöglichkeiten vorhandener Datenbestände und Produktionssysteme und der damit verbundenen mittel- und langfristigen Strategie abhängig.

Überlegungen zur Konfiguration des Servers

Die Dimensionierung der Hardware erfolgt unter den Gesichtspunkten Performance, Verfügbarkeit und Serverrolle.

Für die Performance sollten die Mindestanforderungen des Herstellers sowie der Anforderungskatalog berücksichtigt werden. Lastsimulationstools von der Microsoft-Website oder von Serverherstellern ermöglichen eine Vorhersage des Lastverhaltens von Windows Server 2003 Komponenten. Insbesondere die Maximalzahl gleichzeitiger Benutzer ist sorgfältig und prognostisch einzuschätzen. Bei hoher Benutzerzahl bzw. Nutzungsintensität ist die Zusammenfassung mehrerer Server zu einem Cluster zu erwägen.

Die geplanten Serverrollen und Serverapplikationen, die voraussichtliche Last sowie die zu erwartende Datenmenge entscheiden über weitere Parameter der Hardwarekonfiguration. Wichtige Parameter sind z. B. die Aufteilung von Festplatten-Arrays und das Partitionslayout. Die Einrichtung unabhängiger Festplatten-Arrays (RAID-Level) ist aus Performance- und Verfügbarkeitsgründen für bestimmte Serverrollen zu empfehlen, z. B. Dateiserver oder Datenbankserver. Die Software-RAID-Varianten von Windows Server 2003 ermöglichen es, kurzfristig und kostengünstig eine Datenredundanz zu konfigurieren. Sie eignen sich jedoch nicht für Performance-Steigerung und können auch einen Plattenausfall im laufenden Betrieb meist nicht kompensieren. Hardware-RAID-Level sind bei der Planung in jedem Fall zu bevorzugen.

Die Planung des Partitionslayouts sollte sich am zu erwartenden Datenaufkommen und an der logischen Trennung verschiedener Datenarten orientieren. Z. B. ist eine Partition sinnvoll, die nur das Betriebssystem und Programmdateien enthält. Nutzdaten oder temporäre Daten sollten auf separate Partitionen, die sich gegebenenfalls auf anderen Disk Arrays befinden, verteilt werden. Bei Windows Server 2003 mit Service Pack 1 oder früher sind Datenträgerkontingente nur auf Partitions- bzw. Volumeebene konfigurierbar.

Netzanbindung

Im Rahmen der Einsatzplanung von Windows Server 2003 ist es notwendig, in Abhängigkeit der gewählten Serverrolle eine geeignete Netzanbindung zu berücksichtigen. Die benötigten Kommunikationsprotokolle können aus der Serverrolle(n) abgeleitet werden. Hier ist zu prüfen, ob die Kommunikationsprotokolle mit dem Netzkonzept, den Sicherheitsrichtlinien für die Kommunikationsprotokolle und gegebenenfalls dem Konzept für die Sicherheitsgateways in Konflikt stehen. Der Datendurchsatz am Server kann aufgrund des zu erwartenden Zugriffsaufkommens durch Clients dimensioniert werden. Im Fall von verschlüsselten Zugriffen sind die Performanceeinbußen zu berücksichtigen. Entsprechend sollte die Leistungsfähigkeit skaliert werden, z. B. durch schnellere Prozessoren und Netzwerkadapter oder softwareseitig mit Hilfe des Netzlastenausgleichs in einem Cluster unter Windows Server 2003. Sowohl die Kommunikationsprotokolle als auch der Datendurchsatz sind wesentliche Merkmale der Verfügbarkeit und müssen sorgfältig geplant werden.

Bei der Planung eines Servers, auf den über unsichere Netze zugegriffen werden kann oder der sich in einer besonders exponierten Lage befindet, zum Beispiel Webserver mit Anbindung zum Internet, müssen erhöhte Sicherheitsanforderungen beachtet werden. Bei der Planung für Server in exponierter Lage kann prinzipiell analog zur Planung von Servern im geschützten Bereich vorgegangen werden, jedoch ist bei allen Planungsaspekten von einer stark erhöhten Bedrohung durch Einbruchsversuche, Denial-of-Service-Attacken oder sonstigen Kompromittierungsversuchen auszugehen. Außerdem muss konzeptionell festgelegt werden, wie der oder die Server vom lokalen Netz isoliert werden und wie gegebenenfalls die Kommunikation mit dem lokalen Netz abgesichert werden kann. Als Beispiel sind Sicherheitsgateways und DMZ -Anordnung zu nennen.

Grundsätzlich nicht empfehlenswert ist der Einsatz von Mitgliedsservern einer geschützten Active-Directory-Umgebung in exponierter Lage oder DMZ. Die Sicherheitskontexte sollten entsprechend getrennt werden.

Möglichkeiten des Zugriffs

Bei der Einsatzplanung ist auch zu berücksichtigen, welche Zugriffswege ermöglicht werden müssen bzw. sollen (NetBIOS-Freigaben, WebDAV, DFS usw.). Hinsichtlich der Absicherung der Kommunikation sind gegebenenfalls die Maßnahmen M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows-Servern und M 5.132 Sicherer Einsatz von WebDAV unter Windows Server 2003 zu berücksichtigen. Die Notwendigkeit jedes zugelassenen Zugriffswegs ist zu begründen.

Überlegungen zur Administration des Servers

Im Rahmen der Planung des Einsatzes sollten folgende weiterführende Aspekte berücksichtigt werden. Eigene Teilkonzepte hierfür sind zu empfehlen, vorhandene Konzepte sollten ergänzt werden.

Festlegungen zu diesen Aspekten sollten in der Sicherheitsrichtlinie für Windows Server 2003 getroffen und bei der weiteren Planung berücksichtigt werden. Vor dem produktiven Einsatz sollte die Richtlinie in verbindlicher Form vorliegen.

Lizenzmodell

Geeignete Lizenzmodelle sind abhängig vom Einsatz der Windows-Systeme. Für die Lizenzkontrolle wird Windows Server 2003 vom Hersteller mit Produktschlüssel und Produktaktivierung ausgeliefert. Es ist darauf zu achten, dass der betrachtete IT-Verbund ausreichend lizenziert ist und das für das einzelne Windows Server 2003 System eine aktivierbare oder aktivierungsfreie Installationsquelle und Lizenz verfügbar ist. Dies ist gegebenenfalls im Bereitstellungskonzept und im Notfallkonzept zu berücksichtigen.

Prüffragen:

  • Werden bei Einsatz von Windows Server 2003 die Sicherheitsrichtlinien der Organisation berücksichtigt und umgesetzt?

  • Wurden bei Windows Server 2003 die Serverrollen nach Abhängigkeit des Einsatzszenarios und der Anforderungsdefinition geplant?

  • Ist bei Windows Server 2003 die Kompatibilität zwischen den Standard-Serverrollen und zusätzlichen Serverrollen sichergestellt?

  • Fehlende Sicherheitsmechanismen auf Anwendungsebene: Sind die besonderen Anforderungen zur Absicherung auf Daten- und Netzwerkebene bei der Planung der Windows Server 2003 Umgebung berücksichtigt?

  • Sind bei der Dimensionierung der Hardware für Windows Server 2003 die Bereiche Performance, Verfügbarkeit und Serverrollen berücksichtigt?

  • Sind die eingesetzten Kommunikationsprotokolle mit dem Netzkonzept und den Sicherheitsrichtlinie abgestimmt, um Konflikten entgegenzuwirken?

  • Wurden für Windows Server 2003 in exponierter Lage erhöhte Sicherheitsanforderungen definiert?

  • Sind Richtlinien und Maßnahmen definiert, wie exponierte Windows Server 2003 vom lokalen Netz isoliert und abgesichert werden?

  • Sind die auf den Windows Servern 2003 zur Verfügung stehenden Zugriffswege auf das erforderliche Maß reduziert und dokumentiert?

  • Stehen für Windows Server 2003 die erforderlichen Mengen an Lizenzen und Installationsquellen zur Verfügung?

Stand: 13. EL Stand 2013