Bundesamt für Sicherheit in der Informationstechnik

M 5.89 Konfiguration des sicheren Kanals unter Windows

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zwischen Rechnern einer Windows-Domäne müssen administrative Daten ausgetauscht werden. So tauschen beispielsweise Domänen-Controller einer Domäne Verwaltungsdaten aus. Generell werden dabei sensitive Daten transportiert, die abgesichert übertragen werden müssen. Schon unter Windows NT stand dafür der so genannte Sichere Kanal (englisch Secure Channel) zur Verfügung. Auch unter Windows ab Version 2000 wird dieser Mechanismus genutzt und muss entsprechend den Sicherheitsanforderungen und den lokalen Gegebenheiten konfiguriert werden. Hierbei werden als Sicherheitsmechanismen die Authentisierung der beiden Kommunikationspartner, Verschlüsselung zur Wahrung der Vertraulichkeit und Signaturen zur Absicherung der Integrität eingesetzt.

Die Konfiguration des sicheren Kanals erfolgt über Gruppenrichtlinien. Bei deren Konfiguration ist Folgendes zu berücksichtigen:

  • Die gegenseitige Authentisierung ist immer gewährleistet, Verschlüsselung und Signatur können jedoch unabhängig voneinander gefordert werden. Unterstützt der Kommunikationspartner die geforderte Absicherung nicht, wird diese nicht eingesetzt. Die Kommunikation erfolgt dann ungesichert.
  • Verschlüsselung oder Signatur können als notwendige Voraussetzung für die Kommunikationsaufnahme spezifiziert werden. Unterstützt der Kommunikationspartner die Absicherung nicht, wird keine Kommunikation aufgebaut. Dies kann zum Beispiel zur Folge haben, dass sich Clients nicht an einer Domäne anmelden können. Diese Option sollte nur aktiviert werden, wenn alle IT-Systeme einer Domäne und alle IT-Systeme aller vertrauten Domänen das Verschlüsseln und Signieren unterstützen.
  • Die Stärke des zur Verschlüsselung erzeugten Sitzungsschlüssels lässt sich vom Windows NT Niveau auf das Niveau von Windows 2000 oder höher erhöhen. Von dieser Option darf jedoch nur Gebrauch gemacht werden, wenn alle IT-Systeme einer Domäne und alle IT-Systeme aller vertrauten Domänen ausschließlich mit einer Version ab Windows 2000 betrieben werden. Ist sie aktiviert, können sich IT-Systeme, auf denen frühere Betriebssysteme installiert sind, nicht mehr an der Domäne anmelden.

Die für die Konfiguration relevanten Gruppenrichtlinienparameter unter Windows 2000 sind:

  • Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich)
  • Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
  • Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
  • Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Verschlüsselung mit 128 Bit, immer wenn Windows 2000 oder höher)

Diese Parameter finden sich unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen.

Bei Clients ab Windows XP lauten die Einstellungen:

  • Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
  • Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
  • Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
  • Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Verschlüsselung mit 128 Bit, immer wenn Windows 2000 oder höher)
  • Domänenmitglied: Änderungen von Computerkennwörtern deaktivieren
  • Domänenmitglied: Maximalalter von Computerkennwörtern (Standard: 30 Tage, sollte im Normalfall nicht auf größere Werte geändert werden)

Diese Parameter finden sich unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen. Alle Optionen sollten entsprechend aktiviert werden.

Prüffragen:

  • Ist der Sichere Kanal unter Windows entsprechend den Sicherheitsanforderungen und den lokalen Gegebenheiten konfiguriert worden?

  • Wurden bei der Konfiguration des Sicheren Kanals unter Windows alle relevanten Gruppenrichtlinienparameter berücksichtigt?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK