Bundesamt für Sicherheit in der Informationstechnik

M 4.308 Sichere Installation von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nachdem alle Rahmenbedingungen zum Einsatz eines Verzeichnisdienstes geplant wurden (siehe M 2.403 Planung des Einsatzes von Verzeichnisdiensten ), müssen die Verzeichnisdienst-Komponenten auf den relevanten Servern und Clients installiert werden. Während der Installationsphase ist ein Verzeichnisdienst-Server nicht vollständig konfiguriert, so dass auch die gewünschten Sicherheitseinstellungen noch nicht aktiviert sind. Es empfiehlt sich daher, die erstmalige Konfiguration entweder in einer geschützten Umgebung durchzuführen oder alternativ eine vorbereitete Standardkonfiguration aufzuspielen. Es sollte allerdings nie die ausgelieferte Standardkonfiguration des Herstellers innerhalb eines Produktivnetzes in Betrieb genommen werden, da diese erfahrungsgemäß keine angemessene Betriebssicherheit bieten.

Gleiches gilt auch, wenn der Verzeichnisdienst aufgrund einer Migration (siehe M 2.408 Planung der Migration von Verzeichnisdiensten ) aktualisiert oder neu installiert werden muss.

Bei der Installation eines Verzeichnisdienst-Servers in einen bereits bestehenden Verzeichnisbaum muss dessen genauer Kontext spezifiziert werden. Eine spätere Verschiebung des Servers innerhalb des Baums ist nur mit größerem Aufwand zu bewerkstelligen.

Während der Installation werden auch die lokalen Sicherheitseinstellungen erstmalig konfiguriert. Die wichtigsten Grundeinstellungen beziehen sich auf

  • die Definition des Verzeichnisdienst-Baums,
  • die Verzeichnisdienst-Zugriffsberechtigungen,
  • die Verzeichnisdienst-Vererbungseinstellungen und
  • die Sicherheitseinstellungen für den LDAP -Zugriff.

Während der Installation lassen sich diese Einstellungen zum Teil vorgeben, ein Teil wird jedoch zunächst mit Standardwerten initialisiert. Eventuell sind einige Einstellungen ohne verschlüsselten Zugang durchzuführen, bevor ein durch SSL geschützter LDAP-Zugriff verwendet werden kann. Je nachdem, welche Verzeichnisdienst-Module zum Einsatz kommen, ist für jedes Modul eine sichere Installationskonfiguration einzurichten, die den Zugriff verhindert, solange sich der Server in der erstmaligen Konfigurationsphase befindet und bis die festgelegten Sicherheitsrichtlinien umgesetzt worden sind. Weitere Empfehlungen hierzu finden sich in M 4.307 Sichere Konfiguration von Verzeichnisdiensten .

Generell ist bei der Installation aus Sicherheitssicht Folgendes zu beachten:

  • Die Zugriffsrechte für Verzeichnisdienst-Objekte bei Systemen, die von Vorgängerversionen aktualisiert bzw. von anderen Verzeichnissystemen übernommen wurden, müssen aktualisiert werden.
  • Upgrade-Mechanismen können die Standardeinstellungen verändern, z. B. durch die Einbeziehung eines anderen Verzeichnisdienstes in eine vorhandene Verzeichnisdienst-Struktur.
  • Soll ein neuer Server in einen existierenden Verzeichnisdienst-Baum aufgenommen werden, so erlaubt es der implizite Vererbungsmechanismus, die erstmalige Konfiguration deutlich abzukürzen. Hierbei ist kritisch zu prüfen, ob durch den Vererbungsmechanismus ungewollte Einstellungen vorgenommen wurden, die zu Sicherheitslecks führen.
  • Bei der Installation der Verzeichnisdienst-Server ist besondere Sorgfalt erforderlich, da diese im späteren Betrieb schützenswerte Daten speichern.

Verzeichnisdienst-Server dürfen nur auf Servern installiert und betrieben werden, die sich in einer physikalisch sicheren Umgebung befinden, z. B. einem Serverraum oder einem Serverschrank. Dies gilt vor allem für Verzeichnisdienst-Server, auf denen besonders schützenswerte Daten abgelegt sind.

Prüffragen:

  • Befinden sich die Verzeichnisdienst-Server in einer physikalisch geschützten Umgebung?

  • Existiert ein Konzept, welche Administrations- und Zugriffsberechtigungen bei der Installation in den Sicherheitseinstellungen des Verzeichnisdienstes konfiguriert werden müssen?

  • Sind die Zugriffsrechte für Verzeichnisdienst-Objekte bei Systemen, die von Vorgängerversionen aktualisiert beziehungsweise von anderen Verzeichnissystemen übernommen wurden, ebenfalls aktualisiert worden?

Stand: 13. EL Stand 2013