Bundesamt für Sicherheit in der Informationstechnik

M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows-Servern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die grundlegenden Protokolle für die netzinterne Kommunikation zwischen Windows-Servern und -Clients sind SMB, RPC und LDAP. Diese Protokolle sind eng mit der Sicherheitsarchitektur von Windows verzahnt und profitieren von den integrierten Techniken, um eine sichere Kommunikation zu gewährleisten.

Grundsätzlich muss die Verwendung der Klartextanmeldung, unter Windows Standardauthentisierung genannt, unterbunden werden. Gleiches gilt für einige andere Anmeldeverfahren mit schwacher Verschlüsselung, die mit allgemein verfügbaren Auditwerkzeugen leicht kompromittiert werden können. Die Anmeldung muss also hinreichend stark verschlüsselt sein, sowohl bei der Kommunikation innerhalb einer Windows-Umgebung als auch zwischen Windows und anderen IT -Systemen wie Samba oder Mac OS X.

Bei der Planung muss berücksichtigt werden, dass einige erforderliche Sicherheitseinstellungen für SMB, RPC und LDAP nach einer Standardinstallation nicht gesetzt sind. Hinweise zu den Einstellungen sind unter den Hilfsmitteln zum IT-Grundschutz zu finden (siehe RPC, SMB und LDAP unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003). Die Sicherheitseinstellungen sollten überprüft und gegebenenfalls angepasst werden. Diese Einstellungen gelten ebenso für Windows Server 2008. Einige der erweiterten Einstellungen sind dort, abhängig von der Rolle (AD oder Member Server), bereits als Standard gesetzt (insbesondere im Bereich Verschlüsselung und LM-Hashes), der Großteil muss aber angepasst werden.

Neben den dort genannten Einstellungen sollten für Windows Server 2003 mindestens die Standard-Sicherheitseinstellungen von Service-Pack 1 aktiv sein (siehe Windows Default Security and Services Configuration.xls aus dem Microsoft Security Guide "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP" Version 2.0 vom 27. Dezember 2005).

Kompatibilität

Die nach einer Standardinstallation vorzunehmenden Sicherheitseinstellungen sind mit den in G 2.114 Uneinheitliche Windows-Server-Sicherheitseinstellungen bei SMB, RPC und LDAP bei SMB, RPC und LDAP beschriebenen Risiken verbunden. In einem heterogenen Netz sollten diese Einstellungen erst durch das Änderungsmanagement freigegeben werden, nachdem die Verträglichkeit mit allen beteiligten Systemtypen erfolgreich in einem isolierten Testsystem erprobt wurde. Im Test sollte auch die Verfügbarkeit bei hoher Last erprobt werden. Mit Systemtypen sind hier Clients und Server unterschiedlicher Windows-Versionen und Service-Packs sowie unterschiedlicher Betriebssystem-Plattformen gemeint. Ausführliche Kompatibilitätshinweise sind im Microsoft Knowledge Base Artikel 823659 Revision 22 vom 10. Dezember 2010 (oder einer späteren Revision) dokumentiert. Die deutsche Revision ist üblicherweise einige Revisionen älter und enthält, bedingt durch die automatische Übersetzung, oft missverständliche Formulierungen, sie sollte daher nicht als Referenz verwendet werden.

Einige grundlegende Kompatibilitätshinweise, geeignete Werkzeuge sowie Hinweise zur Vorgehensweise bei der Aktivierung sind in den Hilfsmitteln zum IT-Grundschutz zu finden (siehe RPC, SMB und LDAP unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003).

Sicherheitsvorlage

Die Einstellungen sind in einer Sicherheitsvorlage für diesen Server einzustellen, siehe dazu M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003 und M 2.491 Nutzung von Rollen und Sicherheitsvorlagen unter Windows Server 2008 .

Dokumentation

Eine minimale Dokumentation muss zumindest die wirksame Sicherheitsvorlage für jeden Server und deren Inhalt enthalten. Falls einzelne Einstellungen nicht flächendeckend übernommen werden, so sind die jeweiligen Bereiche abzugrenzen, zu begründen und auf alternative Sicherheitsmaßnahmen zu verweisen, zum Beispiel auf eine stärkere Isolierung des oder der Server oder die Aktivierung von IPSec (siehe M 5.90 Einsatz von IPSec unter Windows ).

Prüffragen:

  • Wird auf die Verwendung der Standardauthentisierung, sowie anderen Anmeldeverfahren mit schwacher Verschlüsselung verzichtet und stattdessen eine Anmeldung mit hinreichend starker Verschlüsslung zwingend gefordert?

  • Sind auf den Windows Servern die aktuellsten Service-Packs installiert und die Standard-Sicherheitseinstellungen konfiguriert?

  • Werden die vorgenommenen Sicherheitseinstellungen unter Windows Server im Vorfeld auf ihre Verträglichkeit mit allen beteiligten Systemtypen überprüft und die Verfügbarkeit unter hoher Last erprobt?

  • Sind die wirksamen Sicherheitsvorlagen für jeden Server dokumentiert?

Stand: 13. EL Stand 2013