Bundesamt für Sicherheit in der Informationstechnik

M 4.279 Erweiterte Sicherheitsaspekte für Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für IT-Verbünde mit erhöhtem Schutzbedarf, in denen Windows Server 2003 eingesetzt wird, sind zusätzliche Maßnahmen zur Erreichung eines solchen Schutzniveaus erforderlich. Damit ist nicht nur die Erhöhung der Verfügbarkeit des Systems insgesamt gemeint (Redundanz, Hochverfügbarkeitscluster), sondern auch gezielte Maßnahmen zum erhöhten Schutz der Vertraulichkeit und Integrität von Anwendungen, Daten und Datenverkehr im Netz. Die Maßnahmen können unter Umständen eine Einschränkung von Funktionalität oder Interoperabilität bedeuten. Deshalb sollte auf jeden Fall eine Testumgebung zur Verfügung stehen, um die gewünschte Funktionalität sicherzustellen.

Die nachfolgend erläuterten Aspekte sind bereichsübergreifend und keinesfalls erschöpfend. Je nach Rolle des Servers, Einsatzszenario und entsprechender Gefährdungslage sind weitere Vorkehrungen zu treffen. In den spezifischen Maßnahmen für Windows Server 2003 werden dazu weitere Anhaltspunkte genannt.

Produktaktivierung

Die Online-Produktaktivierung benötigt eine aktive Internetverbindung und das HTTP-Protokoll. Während der Installationsphase sollte diese Verbindung nur über ein Sicherheits-Gateway mit Proxyserver realisiert werden, d. h. die Option AutoActivate darf ausschließlich gemeinsam mit der Option ActivateProxy verwendet werden. Dazu muss die Antwortdatei manuell editiert werden. Die Aktivierung kann auch später skriptgesteuert (z. B. im Post-Installationsskript) oder manuell ausgelöst werden.

Bei hohem Schutzbedarf des Servers kann auf die telefonische Aktivierung ausgewichen werden.

Verschlüsselung

Durch IPSec können alle IP-basierten Kommunikationsverbindungen von und zu einem Client abgesichert werden. Dabei ist es möglich, die Endpunkte der Kommunikation zu authentisieren und die Datenpakete signiert und verschlüsselt zu übertragen, so dass die Integrität und Vertraulichkeit der Daten bei erhöhten Anforderungen an die Sicherheit gewährleistet werden kann. Das Teilkonzept für eine IPSec-Infrastruktur sollte den erhöhten Administrationsaufwand berücksichtigen und setzt eine Verträglichkeitsprüfung mit den beteiligten Systemen in einer Testumgebung voraus.

Falls Verschlüsselung gemäß den Richtlinien FIPS (Federal Information Processing Standard) der US-amerikanischen Behörde NIST (National Institute of Standards and Technology) für das SSL/TLS-Protokoll und für das Encrypting File System ( EFS ) benötigt wird, kann dies unter

Konsole Lokale Sicherheitsrichtlinie | Lokale Richtlinien Sicherheitsoptionen | Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden

eingestellt werden. Die Aktivierung bedeutet sichere Verschlüsselung (z. B. 3 DES ), aber nicht unbedingt immer höchstmögliche Schlüssellänge. Beispielsweise wird AES (beim EFS) nicht berücksichtigt.

Generell darf der erhöhte Rechenaufwand und der mögliche Einfluss auf das Lastverhalten des Servers nicht vernachlässigt werden.

Weiterhin sollte Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen mindestens auf Benutzer wird zur Eingabe aufgefordert, wenn der Schlüssel zum ersten mal verwendet wird setzen. Dadurch wird bei Zugriff auf den privaten Schlüssel eines Sicherheitszertifikats die Kennworteingabe erzwungen.

Hochverfügbarkeit

Bei hohen Verfügbarkeitsanforderungen kann es erforderlich sein, nicht nur Teile der Serverhardware, sondern den gesamten Server redundant auszulegen und in einem Hochverfügbarkeits-Cluster zusammenzufassen. Windows Server 2003 Enterprise Edition unterstützt mittels des Clusterdienstes acht Knoten in einem Cluster, die je nach Anforderung für Hochverfügbarkeit und Lastverteilung optimiert werden können. Jeder der redundanten Server sollte einheitlichen Hardwareanforderungen gerecht werden. Die Planung des Clusters muss bei der Rollenplanung berücksichtigt werden, da bestimmte Dienste nur eingeschränkt clusterfähig sind.

Der Netzwerklastenausgleich wird nicht nur von der Enterprise Edition, sondern auch von der Web Edition und der Standard Edition unterstützt.

Denial-of-Service

Um sich gegen DoS -Attacken abzusichern, sollten die TCP/IP-Einstellungen des Servers (siehe Hilfsmittel zum IT-Grundschutz, Absichern von IP-Protokollen unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003) überprüft und gegebenenfalls gesetzt werden. Zum Setzen der Registrierungsschlüssel wird die Verwendung von administrativen Vorlagen empfohlen (siehe M 2.368 Umgang mit administrativen Vorlagen unter Windows ab Server 2003 ). Diese Vorkehrungen sollten auf jeden Fall ausgeführt werden, wenn der Server in einer exponierten Umgebung eingesetzt wird, z. B. als Sicherheits-Gateway oder in einer Demilitarized Zone ( DMZ ). Innerhalb einer geschützten IT-Umgebung sind sie optional.

Der Einsatz als Webserver oder als sogenannter Bastion Host (öffentlich erreichbarer Computer des Unternehmensnetzes) erfordert weitere spezifische Schutzmaßnahmen, die z. B. im Baustein B 5.10 Internet Information Server beschrieben sind.

Plug and Play

Ein weiteres Gefahrenpotential stellt die automatische Hardware-Erkennung (Plug and Play) dar, falls der Server nicht hinreichend vor unbefugtem Zugang geschützt ist. Im Normalfall genügt es, alle nicht benötigten Anschlüsse zu deaktivieren (z. B. im BIOS und im Windows-Gerätemanager). Laufwerke für Wechseldatenträger sollten entfernt oder verschlossen werden oder durch Software-Werkzeuge von Drittherstellern kontrolliert werden. Windows Server 2003 stellt entsprechende Funktionalitäten nur sehr eingeschränkt zu Verfügung.

Die vollständige Umgehung von Plug and Play ist in Windows Server 2003 nicht vorgesehen und beeinträchtigt die Systemstabilität. Der Testaufwand und das Risiko sind nur bei besonders hohen Sicherheitsanforderungen gerechtfertigt.

Ressourcenberechtigungen

Die standardmäßigen Ressourcenberechtigungen in den Systemordnern und an Systemobjekten sind restriktiv, sollten aber bei sehr hohem Schutzbedarf gehärtet werden. Hierzu werden die Berechtigungen für bestimmte Standardgruppen entzogen und explizit an bestimmte Benutzerkonten vergeben.

Die Einstellung in der Konsole Lokale Sicherheitsrichtlinie | Lokale Richtlinien Sicherheitsoptionen | Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden steht standardmäßig auf Administratorgruppe. Besitzer haben immer besondere Berechtigungen auf ihr Objekt. Außerdem kann die Überwachung von Gruppen als Besitzer von Objekten nicht optimal gelöst werden. Die Einstellung Administratorengruppe sollte durch Objektersteller ersetzt werden. Dies verschlechtert jedoch die Administrierbarkeit des Servers erheblich.

Prüffragen:

  • Bei Produktaktivierung: Erfolgt diese online ausschließlich über ein Sicherheits-Gateway mit Proxy-Server oder wird im Bedarfsfall auf eine telefonische Aktivierung ausgewichen?

  • Bei Einsatz verschlüsselter IP -basierter Kommunikationsverbindungen: Sind der erhöhte administrative und technische Aufwand mit der Sicherheitsrichtlinie der Organisation abgestimmt und dokumentiert?

  • Sind nicht benötigte Hardware-Anschlüsse und Laufwerke für Wechseldatenträger vom Windows Server 2003 entfernt oder verschlossen worden?

Stand: 13. EL Stand 2013