Bundesamt für Sicherheit in der Informationstechnik

M 4.284 Umgang mit Diensten ab Windows Server 2003

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Dienste werden unter Windows unter dem Sicherheitskontext bestimmter Konten ausgeführt (sogenannte Dienstkonten). Zugriffe auf Ressourcen erfolgen mittels des Dienstkontos, ähnlich wie bei einem Benutzer mit Benutzerkonto. Einmal gestartet bleiben Dienste prinzipiell aktiv, also bleibt auch das zugehörige Dienstkonto dauerhaft angemeldet oder die Anmeldung wird regelmäßig durch die zentrale Dienstesteuerung erneuert. Auf Servern handelt es sich meist um betriebskritische zentrale Dienste. Dienstkonten sind daher exponierter als normale Benutzerkonten. Sofern Abhängigkeiten zwischen Diensten existieren, kann auch ein kompromittierter, scheinbar weniger wichtiger Dienst einen betriebskritischen Dienst zum Absturz bringen. Aus diesen Gründen sollten Dienste und Dienstkonten unter Beachtung spezieller Regeln administriert werden.

  • Für Dienstkonten sollte niemals das vordefinierte Administratorkonto verwendet werden.
  • Jeder Dienst sollte mit einem eigenen Dienstkonto laufen.

Ein kompromittiertes Dienstkonto mit hohem Berechtigungsniveau kann leichter isoliert werden, wenn es nicht für mehrere Dienste verwendet wird. In der Praxis betreiben Serverapplikationen möglicherweise eine Gruppe von Diensten im Kontext desselben Kontos. Hier muss im Einzelfall abgewogen werden, ob dies mit dem Schutzbedarf des Systems vereinbar ist und inwieweit unterschiedliche Dienstkonten zugewiesen werden können, ohne die gewünschte Funktionalität zu beeinträchtigen.

Eine Ausnahme bilden die speziellen, vordefinierten Konten NT AUTHORITY\LocalService und NT AUTHORITY\NetworkService. Sie werden von der internen Dienstesteuerung verwaltet und stellen jedem Dienst einen isolierten Sicherheitskontext zur Verfügung. Die Authentisierung wird systemintern durch die Dienstesteuerung geregelt. Kennworteintragungen werden ignoriert.

  • Jedes Dienstkonto sollte nur mit den minimal erforderlichen Berechtigungen ausgestattet sein.

Deshalb sind vorrangig die vordefinierten Konten NT AUTHORITY\LocalService für lokal agierende Dienste und NT AUTHORITY\NetworkService für Dienste mit Netzwerkzugriff in Betracht zu ziehen. Sie haben standardmäßig die gleichen Berechtigungen wie die vordefinierte Gruppe Authentifizierte Benutzer (normale Benutzer).

Mit Windows Server 2008 R2 wurden zwei besondere Konten eingeführt: das verwaltete Dienstkonto und das virtuelle Konto.

  • Verwaltete Dienstkonten sind unter Windows Server 2008 R2 verwaltete Domänenkonten, die eine automatische Kennwortverwaltung bieten. Darüber hinaus können Klassen von Domänenkonten erstellt werden, diese können für Verwaltungsaufgaben an Nicht-Administratoren delegiert werden. Dieser Kontentyp wird in der Regel zur Verwaltung von Anwendungen wie SQL-Server oder des IIS eingesetzt.
  • Virtuelle Konten sind unter Windows Server 2008 R2 verwaltete lokale Konten. Für diese Konten ist keine Kennwortverwaltung erforderlich. Innerhalb einer Domäne erfolgt die Anmeldung an Ressourcen des Netzes mit der Computeridentität.

Im Gegensatz zu den bisher genutzten Konten zur Verwaltung von Diensten wie lokaler Dienst, Netzwerkdienst oder lokales System kann das verwaltete Dienstkonto zentral verwaltet werden, da es in der Organisationseinheit "Verwaltete Dienstkonten" innerhalb des Active Directory gespeichert ist.

Es ist zu beachten, dass die neue Funktion der Dienstkonten auf dem zu verwaltenden System Windows Server 2008 R2 erfordert. Pro System kann nur ein verwaltetes Dienstkonto eingesetzt werden. Darüber hinaus muss sich die Domäne für eine vollständige Nutzung der Funktionen im sogenannten Windows Server 2008 R2 Modus befinden (Domänenfunktionsebene). Für Domänen, die sich im Modus Windows Server 2003 oder 2008 befinden, müssen gegebenenfalls weitere Konfigurationsschritte durchgeführt werden.

Bis einschließlich Windows Server 2008 sind lokale Konten den Domänenkonten vorzuziehen. Werden Domänenkonten verwendet, sollten sie mit so wenigen Domänenberechtigungen wie möglich ausgestattet werden, und es sollte für eine entsprechende Verfügbarkeit von Domänencontrollern gesorgt werden. Dienstkonten sollte die lokale Anmeldung verweigert werden (Start | Systemsteuerung | Verwaltung | Lokale Sicherheitsrichtlinie | Lokale Richtlinien | Zuweisen von Benutzerrechten | Lokal anmelden verweigern oder in einer Domänengruppenrichtlinie). Ab Windows Server 2008 R2 sollten zur Administration von Dienstkonten die schon erwähnten Konten verwaltetes Dienstkonto und das virtuelle Konto genutzt werden.

  • Als Faustregel gilt, dass Applikationen mit Diensten auf Administrator-Niveau auf einem eigenen Server zu betreiben sind. Je höher die Anzahl solcher Applikationen auf einem Server ist, desto geringer ist das erreichbare Sicherheitsniveau. Als Beispiel sind Backup-Server oder Domänencontroller zu nennen, welche ihre Kerndienste nur mit vollen administrativen Berechtigungen ausüben können.
  • Die voreingestellten Konten für die in Windows enthaltenen Dienste sollten nicht verändert werden.
  • Unnötige oder potenziell gefährliche Dienste sollten deaktiviert werden.
  • Viele Skripte und sonstige ausführbare Dateien können als Dienst installiert und ausgeführt werden. Dies ist im Normalfall kein empfohlenes Vorgehen.
  • Im Einzelfall muss geklärt werden, wie das Verhalten von als Dienst ausgeführten Prozessen (Skripte oder Programme) die Systemstabilität und -sicherheit beeinflusst. Beispielsweise kann Dienst beenden oder Dienst neu starten zu beschädigten Daten führen, weil der Prozess auf solche Ereignisse nicht selbst reagieren kann, sondern einfach gelöscht wird. Der Einsatz eines solchen Verfahrens sollte in einer Testumgebung erprobt worden sein. Es sollte erwogen werden, starke Überwachungseinstellungen (System Access Control List, SACL) für die Dienstkonten zu setzen, um unvorhergesehenes Verhalten erkennen zu können.
  • Für Kennwörter von Dienstkonten sind die üblichen Festlegungen für Benutzerkennwörter teilweise ungeeignet. Die folgende Tabelle zeigt beispielhaft die Standardeinstellungen nach der Installation. Daher ist für die Dienstkonten eine eigene, mit den Sicherheitsrichtlinien der Organisation abgestimmte Kennwortrichtlinie zu definieren.
    Kennwortrichtlinie Standardeinstellung auf Domänencontrollern Tauglichkeit für Dienstkonten
    Kennwortchronik 24 ja
    Maximales Kennwortalter (in Tagen) 42 ungeeignet
    Minimales Kennwortalter (in Tagen) 1 ja
    Minimale Kennwortlänge 7 nicht ausreichend
    Kennwort muss festgelegten Anforderungen an Komplexität entsprechen? Aktiviert ja
    Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert ja

Das Kennwort sollte eine zweistellige Kennwortlänge besitzen (Es sind bis 127 Zeichen möglich). Es darf nicht automatisch ablaufen (Option Kennwort läuft nie ab in den Eigenschaften des Kontos), sondern sollte während regelmäßiger Wartungszyklen geändert werden. Ein Verfahren zum Ändern der Kennwörter sollte definiert sein und die Kennwörter sicher hinterlegt werden, siehe hierzu M 2.22 Hinterlegen des Passwortes . Bei einer größeren Anzahl von Diensten und Servern kann es sehr aufwendig werden, Kennwörter (inklusive Funktionstest der Dienste) zu ändern und zu hinterlegen, so dass der Sicherheitsgewinn unter Umständen nicht mehr gegeben ist. Hilfsprogramme für die Kennwortverwaltung von Dienstkonten können Hilfestellung leisten, stellen aber ihrerseits ein Risiko dar. Das maximale Alter von Kennwörtern und das Verfahren für deren Verwaltung sollte in Abhängigkeit des Schutzbedarfs und des Aufwandes festgelegt sowie in einer Richtlinie dokumentiert werden.

Dokumentation

Zu allen Diensten, die nicht mit einem vordefinierten Konto laufen, sind die Dienstkonten sowie deren Berechtigungen zu vermerken.

Prüffragen:

  • Haben alle Dienstkonten nur die minimal benötigten Rechte?

  • Wurde ein Verfahren zum Ändern der Kennwörter der Dienstkonten definiert?

  • Ist sichergestellt, dass für Dienstekonten niemals der Built-in-Administrator verwendet wird?

  • Wird nach Möglichkeit jeder Dienst mit einem separaten Dienstkonto betrieben?

  • Werden ab Windows Server 2008 R2 zur Administration von Dienstkonten die neu eingeführten Kontentypen Verwaltetes Dienstkonto und Virtuelles Konto eingesetzt?

  • Wurde für die Dienstkonten eine eigene Kennwortrichtlinie definiert und mit den Sicherheitsrichtlinien der Organisation abgestimmt?

  • Sind die vorgenommenen Einstellungen bei den Dienstkonten dokumentiert?

Stand: 13. EL Stand 2013