Bundesamt für Sicherheit in der Informationstechnik

M 4.280 Sichere Basiskonfiguration ab Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die sichere Basiskonfiguration muss während der Bereitstellung des Servers, bei Änderungen der Serverkonfiguration und bei Änderungen von Vorgaben und Richtlinien durchgeführt werden. Außerdem empfiehlt es sich, die Durchsetzung der Einstellungen turnusmäßig zu überprüfen, um Fehleinstellungen durch alltägliche Administrationsarbeiten oder sonstige Einflüsse zu vermeiden.

Die notwendigen Einstellungen sind zu identifizieren, zum Beispiel in Form einer Checkliste. In der Liste sollten die bei der Grundschutzmodellierung gefundenen Maßnahmen berücksichtigt werden.

Standard-Sicherheitseinstellungen und Sicherheitsvorlagen

Für die gefundenen Einstellungen sollten nach Möglichkeit Sicherheitsvorlagen und administrative Vorlagen (siehe M 2.368 Umgang mit administrativen Vorlagen unter Windows ab Server 2003 ) erstellt werden. Dadurch wird der Grad an Standardisierung und Automatisierung der Basiskonfiguration erhöht. Außerdem können die Einstellungen später leichter überprüft und revisioniert werden. Die Basiskonfiguration kann mit relativ wenig Aufwand dokumentiert werden, indem die Vorlagen exportiert und der Dokumentation beigefügt werden. Darauf aufbauend kann ein Freigabeprozess für die Basiskonfiguration im IT -Änderungsmanagement (siehe M 2.221 Änderungsmanagement ) etabliert werden.

Die genannten Aspekte setzen voraus, dass die Standardeinstellungen von Windows Server 2003 und Server 2008 nicht willkürlich verändert wurden. Standard-Gruppenmitgliedschaften sollten belassen, Basisrechte für systeminterne Konten (z. B. NT-Autorität) sollten nicht verändert werden. Standardberechtigungen in Subkomponenten wie WMI und den Komponentendiensten sollten erhalten bleiben. Abweichungen sollten in Form von Checklisten und Vorlagen geplant, begründet und durchgeführt werden, insbesondere wenn die Abweichung eine Verschlechterung des Sicherheitsstandards bewirken könnte. Als Referenz für Standardeinstellungen dienen die mitgelieferten Sicherheitsvorlagen, hauptsächlich defltsv.inf (für Server) und defltdc.inf (für Domänencontroller) im Ordner C:\WINDOWS\inf. In der Vorlage setup security.inf (Ordner C:\WINDOWS\security\templates) sind alle Einstellungen nach Abschluss des Setup-Programms festgehalten. Unter Windows Server 2008 sind nur noch die Sicherheitsvorlagen

  • Defltbase.inf
  • Defltsv.inf (Für Server)
  • Defltdc.inf (Für Domänencontoller)

verfügbar. Diese Vorlagen werden ausschließlich im Verzeichnis %systemroot%\inf der Windows Installation gespeichert.

Weitere Informationen sind in M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003 zu finden.

Für die Konfiguration von Windows Server 2008 sollte als zentrales Verwaltungstool Microsoft Security Compliance Manager eingesetzt werden, um Vorlagedateien zu steuern und zu bearbeiten (Siehe Maßnahmen M 2.491 Nutzung von Rollen und Sicherheitsvorlagen unter Windows Server 2008 und M 4.416 Einsatz von Windows Server Core ).

Weitere Referenzen sind die Konfigurationsvorlagen des Sicherheitskonfigurations-Assistenten (ab Windows Server 2003 Service-Pack 1), die Tabelle Windows Default Security and Services Configuration.xls (aus der Herstellerdokumentation "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP" Version 2.0 ), die Maßnahmen des IT-Grundschutzes sowie sonstige Dokumentationsunterlagen des Herstellers.

Ab Windows Server 2008 sind die Einstellungen des Dokuments Windows Server 2008 Security Baseline Settings zu beachten. Diese Tabelle ist Teil des Security Compliance Management Toolkit.

In den weiteren Abschnitten dieser Maßnahme werden einige Einstellungen und Vorgaben aufgezählt. Sie sind nicht in anderen Maßnahmen für Windows Server 2003 oder Windows Server 2008 enthalten, beeinflussen aber die Sicherheit der Basiskonfiguration. Sie sollten beim Erstellen der Checkliste ebenfalls berücksichtigt werden.

Wichtige sicherheitsrelevante Funktionen

Festplattenpartitionen sollten bei der ersten Formatierung ausschließlich mit NTFS formatiert werden. Das Setup-Programm von Windows Server 2003 und Windows Server 2008 nimmt während der Installation unter Umständen eine Konvertierung der Systempartition vor. Auf einem produktiven System sollte das nachträgliche Konvertieren von FAT32-Partitionen jedoch vermieden und gleich NTFS gewählt werden.

Aus der Auslagerungsdatei des Arbeitsspeichers können unverschlüsselte Daten extrahiert werden. Die Auslagerungsdatei sollte bei jedem Herunterfahren automatisch gelöscht werden:

Start | Systemsteuerung | Verwaltung | Konsole Lokale Sicherheitsrichtlinie öffnen | auswählen des Knotens Lokale Richtlinien | Sicherheitsoptionen | Herunterfahren: Auslagerungsdatei des Virtuellen Arbeitsspeichers löschen

Weitere Gefahrenpotentiale stellen die automatische Hardware-Erkennung (Plug and Play) sowie Autorun-Funktionen (Automatisches Starten von Programmen) dar, falls der Server nicht hinreichend vor unbefugtem Zugang geschützt ist. Alle nicht benötigten Anschlüsse sollten deaktiviert werden ( z. B. im BIOS und im Windows-Gerätemanager). Es ist auch zu überlegen, ob Laufwerke für Wechseldatenträger entfernt oder physikalisch verschlossen werden. Alternativ kann die Verwendung von Wechselmedien durch Software-Werkzeuge von Drittherstellern kontrolliert werden. Windows bietet hierfür bis einschließlich Windows Server 2003 keine eigenen ausreichenden Mittel. Erst mit der Einführung von Windows Server 2008 können über Gruppenrichtlinienobjekte Wechseldatenträger zumindest teilweise konfiguriert werden (siehe M 4.52 Geräteschutz unter NT-basierten Windows-Systemen ).

Der sichere Betrieb von mehreren Servern setzt eine synchrone Systemzeit voraus. Sie sollte mit der Zeit der anderen IT-Systeme im Informationsverbund synchronisiert sein. Hierfür kann der im System vorhandene Client für das Network Time Protocol (NTP) genutzt werden.

Besitzer haben immer besondere Berechtigungen auf ihre Objekte. Erstellt ein administrativer Benutzer ein Objekt, ist standardmäßig die lokale Sicherheitsgruppe "Administratoren" der Besitzer. Für Gruppen als Besitzer von Objekten kann die Überwachung nicht optimal gelöst werden. Datenträgerkontingente werden ebenfalls anhand des Dateibesitzes diskreter Benutzer gesteuert. Durch Gruppen als Besitzer von Dateien kommen irreführende Kontingenteinträge und Screeningergebnisse (ab Windows Server 2003 R2) zustande.

Diese Problematik sollte in erster Linie durch geeignete Konzepte gelöst werden, welche sich mit den Bereichen Überwachungseinstellungen, Berechtigungen (z. B. Berechtigungskonzept) und Datenträgerkontingente (z. B. Teilkonzept für einen Dateiserver) befassen.

Wenn keine Kompatibilität zu Windows NT 4.0, Windows ME/98 oder früher benötigt wird, sollte überlegt werden, die anonyme Aufzählung von Freigaben zu deaktivieren:

Start | Systemsteuerung | Verwaltung | Konsole Lokale Sicherheitsrichtlinie öffnen | auswählen des Knotens Lokale Richtlinien | Sicherheitsoptionen | Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben setzen auf Aktiviert

Weitere Sicherheitskomponenten

Auf unveränderten Windows-Server-Installationsdatenträgern befindet sich eine eingeschränkte Kommandozeilenumgebung (Wiederherstellungskonsole), die auf dem Server alternativ zum Betriebssystem gestartet werden kann. Damit kann die Konfiguration des installierten Windows-Betriebssystems manipuliert werden. Für die Authentisierung wird das Kennwort des in der Windows-Server-Installation standardmäßig vordefinierten Administratorkontos abgefragt. Dies funktioniert unabhängig davon, ob das Konto umbenannt oder deaktiviert wurde. Die Wiederherstellungskonsole kann auch direkt auf die Festplatte installiert werden und verhält sich wie ein zusätzlich installiertes Betriebssystem. In beiden Fällen stellt dies eine Möglichkeit für den potenziellen Missbrauch des Bootvorgangs dar. Die Installation der Wiederherstellungskonsole sollte daher nicht willkürlich erfolgen, sondern in einer Richtlinie geregelt werden. Die Sicherheitseinstellungen nach einer Standardinstallation (Start | Systemsteuerung | Verwaltung | Konsole Lokale Sicherheitsrichtlinie öffnen | auswählen des Knotens Lokale Richtlinien | Sicherheitsoptionen |Wiederherstellungskonsole) sollten beibehalten werden.

Nach einer Standardinstallation ist die verstärkte Sicherheitskonfiguration für Internet Explorer aktiv (Systemsteuerung | Software | Windows-Komponenten). Diese Komponente sollte nur deaktiviert werden, falls eine Internet-Explorer-basierte Applikation (eines Drittherstellers), die auf dem Server benötigt wird, nicht damit kompatibel ist.

Die Windows-Firewall wird ab Windows Server 2003 mit Service-Pack 1 beim Boot-Vorgang gemeinsam mit dem TCP/IP-Protokoll geladen und aktiviert, wodurch das TCP/IP-Protokoll bereits während des Bootvorgangs besser geschützt wird. Der Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung muss dafür auf die Startart "Automatisch" gesetzt sein. Es gilt zu beachten, dass die Firewall auf einem Windows Server 2008 im Gegensatz zu Windows Server 2003 den Datenverkehr in beide Flussrichtungen, also auch ausgehend filtert. Dies ist für die eventuell notwendige Kommunikation von Applikationen zu berücksichtigen.

Nach dem Bootvorgang ist die Firewallfunktionalität (nicht der Dienst selbst) standardmäßig wieder inaktiv. Bei Sicherheitsvorfällen im lokalen Netz (sich ausbreitende Schadprogramme oder Angriffe von innen) ist der Server ungeschützt. Daher sollte überlegt werden, die Aktivierung der Windows-Firewall bei einer sicheren Basiskonfiguration zu berücksichtigen.

Hierzu können gezielt die typischen Dienste und Funktionen in der lokalen Gruppenrichtlinie (Start | Ausführen... | gpedit.msc) freigeschaltet werden (Computerkonfiguration | Administrative Vorlagen | Netzwerk | Netzwerkverbindungen | Windows Firewall) oder die Konfiguration mittels des mit Windows 2003 eingeführten Security Configuration Wizard (SCW) durchgeführt werden. Die Windows-Firewall unterstützt RPC-Dienste, welche über die vordefinierten Konten Lokales System, Lokaler Dienst und Netzwerkdienst laufen, beispielsweise für die Remote-Administration. Zusatzsoftware mit RPC-Diensten muss vorher getestet werden.

Nicht benötigte Funktionen abschalten

Auf einem Windows-Server-System sind häufig Basis- und Hilfsfunktionen aktiv, die nicht in jedem Fall benötigt werden. Es gilt das Prinzip: Funktionen so weit wie möglich deaktivieren, um die Angriffsfläche und unnötige Risiken zu minimieren. Möglicherweise sinkt dadurch die Flexibilität von Windows Server 2003 und der Administrationsaufwand steigt. Aus Sicherheitsgründen sollten deaktivierte Funktionen trotzdem nur mit entsprechender Begründung und Dokumentation wieder aktiviert werden.

Es sollte genau überlegt werden, welche Funktionen für den konkreten Einsatz eines Windows Servers 2003 oder Windows Server 2008 benötigt werden, um nur diese zu aktivieren. Hinweise zu nicht benötigten Funktionen sind auch in der Herstellerdokumentation "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP" Version 2.0 vom 27. Dezember 2005 oder später und in der erwähnten Excel-Datei Windows Default Security and Services Configuration.xls zu finden.

Hinweis: Durch zu restriktives Abschalten von Diensten kann das System in einen nicht lauffähigen Zustand geraten. Zum Erhalt der Verfügbarkeit des Systems ist ein entsprechender Testaufwand zu betreiben.

Dokumentation

Die Dokumentation der Basiskonfiguration sollte den Anforderungen des Änderungsmanagements entsprechen. Sie sollte alle verwendeten Vorlagen mit Versionsnummer und Beschreibung enthalten. Für jeden Server sollte ersichtlich sein, welche Vorlagen bei ihm wirken.

Prüffragen:

  • Gibt es eine Checkliste oder ein anderes Dokument, worin alle notwendigen Einstellungen dokumentiert sind?

  • Gibt es, falls nötig, für alle notwendigen Einstellungen Sicherheitsvorlagen und administrative Vorlagen?

  • Sind die Standardeinstellungen zu Gruppenmitgliedschaften, für systeminterne Konten und für Berechtigungen unverändert?

  • Ist die Systemzeit mit der Zeit der anderen IT-Systeme im Informationsverbund synchronisiert?

  • Gibt es ein Konzept, welches verhindert, dass keine Gruppen die Besitzer von Objekten sind?

  • Gibt es eine Richtlinie zur Wiederherstellungskonsole?

  • Sind alle nicht benötigten Funktionen abgeschaltet?

  • Gibt es eine Dokumentation für das Änderungsmanagement?

  • Wird zur Bearbeitung von Sicherheitsvorlagen der Microsoft Security Compliance Manager eingesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK