Bundesamt für Sicherheit in der Informationstechnik

M 4.368 Regelmäßige Audits der Terminalserver-Umgebung

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Revisor

Bei allen Komponenten der Terminalserver-Infrastruktur muss regelmäßig überprüft werden, ob alle festgelegten Sicherheitsmaßnahmen umgesetzt und diese korrekt konfiguriert sind. Neben den Terminalservern selbst, zählen hierzu die Verwaltungsdienste wie Sitzungsdatenbanken und Lizenzserver, aber auch Elemente der Sicherheitsinfrastruktur.

Insbesondere sollten Authentisierungsserver und Sicherheitsgateways an den Übergangspunkten zwischen zwei Netzen, zu denen die Terminalserver-Umgebung Verbindungen hat, regelmäßig geprüft werden. Dies betrifft auch Router, Firewalls und VLAN bildende Switches. Dabei sind auch Webportale (siehe B 5.4 Webserver ) zu berücksichtigen, die als Zwischenglied Applikationen bereitstellen können.

Protokolldaten der einzelnen Komponenten können dabei wichtige Hinweise zu kritischen Vorkommnissen geben. Bei der Protokollierung fallen zumeist sehr viele Einträge an, so dass diese nur mit Hilfe eines Werkzeugs sinnvoll ausgewertet werden können.

Bei der Untersuchung auf eventuelle Sicherheitsereignisse sollten Einträge über An- und Abmeldevorgänge sowie Nutzungszeiträume von Benutzern analysiert werden. Überdies ist auf nicht autorisierte Sitzungsspiegelungen zu achten.

Ein bedeutender Aspekt in Bezug auf die Verfügbarkeit der Terminalserver-Umgebung ist die Auslastung von Ressourcen wie Speicher, Prozessor und Festplattenplatz, aber auch die genutzte Bandbreite im Netz oder die Anzahl der aktiven Sitzungen. Um hier Entwicklungen korrekt beurteilen zu können, müssen im Vorfeld entsprechende Analysen vorgenommen werden (siehe M 2.465 Analyse der erforderlichen Systemressourcen von Terminalservern und M 5.162 Planung der Leitungskapazitäten beim Einsatz von Terminalservern ). Nur so sind verlässliche Rückschlüsse auf Engpässe in der individuellen Terminalserver-Umgebung möglich.

Neben den Informationen, die sich aus Protokolldaten entnehmen lassen, ist es unabdingbar, die sichere Grundkonfiguration der Terminalserver zu kontrollieren. Hier sollten zumindest stichprobenartig die durchführten Maßnahmen zur Härtung der Terminalserver-Systeme, deren Dateisysteme und der nachgelagerten Dienste inspiziert werden.

Ein besonderes Augenmerk sollte auf vergessene temporäre Dateien gelegt werden, die bei der automatischen Installation anfallen können, denn darin befinden sich oft kritische Informationen, wie z. B. unverschlüsselte Anmeldedaten.

Weiterhin müssen die Client-Systeme, über die auf Terminalserver zugegriffen wird, regelmäßig überprüft werden. Bei einer größeren Anzahl sollte dies zumindest stichprobenartig geschehen. Zu kontrollieren ist zunächst die Konfiguration von gegebenenfalls lokal installierter Client-Software auf nicht autorisierte Veränderungen. Werden auf den Terminalserver-Betrieb spezialisierte Druckertreiber eingesetzt, sollten auch diese in die Untersuchung eingebunden werden. Weiterhin ist bei Clients mit einem eigenständigen Betriebssystem (Fat Clients) auch der Versionsstand des Betriebssystems sowie Aktualität und Integrität der Client-Software und des Virenschutzes zu beachten.

Neben den vorgenannten technischen Mitteln zur Analyse der Sicherheit, können Interviews der Anwender Probleme in der Verlässlichkeit oder Sicherheitsvorfälle aufdecken.

Falls Unregelmäßigkeiten oder Schwachstellen festgestellt werden, müssen diese dokumentiert werden, und festgehalten werden, wie sie zu verfolgen sind.

Neben den Audits der einzelnen Terminalserver-Komponenten sollte auch zyklisch eine Revision der Richtlinie zur sicheren Terminalserver-Nutzung durchgeführt werden. Es sollte hierbei eine Bewertung erfolgen, ob die ergriffenen Maßnahmen zur Absicherung der Terminalserver-Umgebung noch dem Stand der Technik entsprechen und ob der zu Grunde gelegte Schutzbedarf nach wie vor gültig ist.

Außerdem sollte immer wieder hinterfragt werden, ob alle Benutzer über die erforderlichen und auf den Terminalserver-Betrieb bezogenen, Sicherheitsmaßnahmen informiert sind und diese umsetzen.

Es muss weiterhin festgelegt werden, wer die Protokolle und Audit-Daten inspiziert. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und -auswerter (z. B. Administrator und Auditor) vorgenommen werden. Für alle erhobenen Daten sind insbesondere die gesetzlichen Anforderungen des Datenschutzes zu beachten.

Prüffragen:

  • Werden regelmäßig Sicherheitsaudits bei den Terminalservern durchgeführt?

  • Werden festgestellte Unregelmäßigkeiten bei den Terminalservern dokumentiert und verfolgt?

Stand: 12. EL Stand 2011