Bundesamt für Sicherheit in der Informationstechnik

M 4.313 Bereitstellung von sicheren Domänen-Controllern

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Da auf den Domänen-Controllern die Active-Directory-Infrastruktur gespeichert ist, müssen diese entsprechend sicher konfiguriert werden. Die folgenden Sicherheitsempfehlungen sollen dabei helfen, die Risiken bei der Bereitstellung von Domänen-Controllern auf ein Minimum zu reduzieren.

Sicherer Betrieb von Domänen-Controllern

Grundsätzlich sollten Domänen-Controller in einer sicheren Umgebung, z. B. in einem Rechenzentrum oder in Räumlichkeiten, deren Zugang nur vertrauenswürdigem Personal möglich ist, aufgestellt werden. Darüber hinaus sollten sie durch eine gesicherte Infrastruktur, beispielsweise mit Routern, Switches etc. zusätzlich abgesichert werden.

Die Betriebssystem-Installation sollte unter Berücksichtigung der in den IT-Grundschutz-Katalogen enthaltenen Bausteine zu den einzelnen Windows-Server-Betriebssystemen in der Schicht 3 durchgeführt werden.

Vorhersagbare und wiederholbare Bereitstellungen

Um mögliche Konfigurationsfehler zu vermeiden und einen einheitlichen Sicherheitsstand zu erhalten, sollte ausgehend von einer Referenzinstallation eine abbildbasierte Einrichtung der Domänen-Controller vorgenommen werden. Ferner sollten auch die Sicherheitseinstellungen in der Basiseinrichtung der Domänen-Controller einheitlich vorgenommen werden. Dies sollte durch die Implementierung eines vorhersagbaren und leicht zu wiederholenden Bereitstellungsvorgangs erreicht werden. Dies beinhaltet:

  • Regelmäßiges Einspielen aktueller Hotfixes und Service Packs
    In regelmäßigen Abständen sollten aktuelle Hotfixes und Service Packs eingespielt werden. Die Auswirkungen sollten jedoch vorher an einem Abbild des Referenz-Domänen-Controllers ausführlich getestet werden.
  • Vergabe von ausreichend starken Passwörtern
    Für die Benutzerkonten im Active Directory sind ausreichend starke Passwörter zu vergeben. Hierbei soll gewährleistet werden, dass unberechtigte Zugriffe nicht erschlichen werden können. Hinweise auf ausreichend starke Passwörter finden sich in Maßnahme M 2.11 Regelung des Passwortgebrauchs . Neben der Erstellung komplexer Passwörter ist sicherzustellen, dass die Weitergabe der Passwörter an die betroffenen Personen über vertrauensvolle Wege erfolgt. Auch sollten die Benutzerkonten insbesondere bei der Ersteinrichtung mit individuellen Passwörtern ausgestattet werden.
  • Deaktivieren der automatischen Generierung von sogenannten 8.3-Dateinamen in NTFS.
    Die automatische Generierung von 8.3-Dateinamen (also solchen mit acht Zeichen für den Dateinamen, drei Zeichen für die Dateiendung) sollte deaktiviert werden, damit Viren und Angriffe, die speziell auf 8.3-kompatible Dateinamen zielen, vermieden werden können. Vor allem wenn keine 16-Bit-Anwendungen mehr verwendet werden, ist diese Funktion nicht mehr notwendig. Darüber hinaus wird dadurch die Performance beim Auflisten von Verzeichnissen deutlich erhöht. Hierzu ist unter HKLM\SYSTEM\CurrentControlSet\Control\FileSystem folgender Eintrag festzulegen:
    Eintragsname = NtfsDisable8dot3NameCreation
    Datentyp = REG_DWORD
    Wert = 1
    Änderungen der Registrierungsschlüssel sollten zunächst innerhalb einer Testumgebung hinsichtlich ihrer Kompatibilität und Auswirkungen getestet werden.
  • Deaktivieren der Prä-Windows-2000-Kompatibilität:
    Befinden sich keine Server unter Windows NT 4.0 innerhalb oder außerhalb der Gesamtstruktur oder Server unter Windows 2000 in einer vertrauenden Domäne außerhalb der Gesamtstruktur, ist ein Verzicht auf die Prä-Windows-2000-Kompatibilität notwendig. Ansonsten würden Zugriffsberechtigungen erteilt, die einen anonymen Zugang zu Active-Directory-Informationen ermöglichen.
  • Sicherstellen der Integrität der Installation
    Werden die Domänen-Controller an einem anderen Zielstandort bereitgestellt, sollten für deren Transport Signaturen verwendet werden, um auf diese Weise die Integrität der Installationen sicherzustellen

Begrenzung auf erforderliche Dienste

Um die sich bietende Angriffsfläche der Domänen-Controller möglichst gering zu halten, sollten die zur Verfügung gestellten Dienste auf das betrieblich notwendige Maß begrenzt werden.

Berechtigung ausführbarer Dateien

Um nach der Heraufstufung der Domänen-Controller die Stammordner der Datenträger vor Speicherplatzangriffen zu schützen, sollten die Berechtigungen für die Gruppe "Jeder" auf "Lesen und Ausführen" eingrenzt werden. Der "Vollzugriff" ist lediglich für die Administratoren zu erteilen.

Systemstart von anderen Betriebssystemen verhindern

Ein Systemstart von anderen Betriebssystemen auf den Domänen-Controllern kann die Zugangsrestriktionen von NTFS aushebeln und einen Zugriff auf kritische Daten ermöglichen. Neben der bereits erwähnten räumlichen Absicherung der Server sind daher ebenfalls organisatorische Vorkehrungen zu treffen.

Die Deaktivierung des Remote-Netzstarts und somit auch die Möglichkeit zur Remote-Netzinstallation, z. B. durch Remote Installation Services (RIS) oder Bootstrap Protocol (BOOTP), sollte wie auch die Verwendung eines BIOS -Kennwortes beim Systemstart vorgesehen werden.

Neustart-Schutz mit SYSKEY

Der Einsatz der Systemschlüssel (SYSKEY) schützt Sicherheitsinformationen unter Windows vor Offline-Angriffen. Die Kennwörter in der Active Directory-Datenbank und der lokalen Sicherheitsautorität (LSA) werden hierzu verschlüsselt auf dem Domänen-Controller hinterlegt. Bei einem Neustart des Domänen-Controllers ist nach Aktivierung des SYSKEY entweder das Kennwort oder der Datenträger mit dem Systemschlüssel erforderlich, andernfalls kann der Computer nicht gestartet werden. In jedem Fall ist es notwendig, den Datenträger mit dem Systemschlüssel nach Gebrauch wieder aus dem Domänen-Controller zu entfernen und an einem sicheren Ort zu hinterlegen. Es sollte außerdem sichergestellt sein, dass auch eine Arbeitskopie dieses Datenträgers vorhanden ist.

Prüffragen:

  • Werden die Domänen-Controller in einer sicheren Umgebung betrieben?

  • Ist bei allen Domänen-Controllern das grundlegende Windows-Server-Betriebssystem sicher installiert und konfiguriert?

  • Wurde ein Abbild jedes Domänen-Controllers erstellt?

  • Erfolgt eine Vergabe ausreichend starker Passwörter bei den Benutzerkonten?

  • Wurde die Generierung der 8.3-Dateinamen deaktiviert?

  • Wurde die prä-Windows-2000-Kompatibilität deaktiviert?

  • Wurden die Berechtigungen für die Gruppe "Jeder" beschränkt?

  • Sind die Domänen-Controller gegen unautorisierte Neustarts geschützt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK