Windows Server 2003-Sicherheitshandbuch
Kapitel 2: Absicherungsmechanismen von Windows Server 2003
Aktualisiert: 27.12.2005
Auf dieser Seite
Überblick
Absicherung mit dem Sicherheitskonfigurations-Assistenten
Absichern von Servern mit der Active Directory-Gruppenrichtlinie
Überblick über den Prozess
Zusammenfassung
Überblick
Dieses Kapitel enthält eine Einführung in die Mechanismen, die zur Implementierung von Sicherheitseinstellungen unter Microsoft® Windows Server™ 2003 verwendet werden können. Service Pack 1 (SP1) von Windows Server 2003 enthält den Sicherheitskonfigurations-Assistenten, ein neues rollenbasiertes Tool, das Sie zur Erhöhung der Sicherheit Ihrer Server verwenden können. In Verbindung mit Gruppenrichtlinienobjekten (GPOs) ermöglicht der SCW erhöhte Kontrolle, Flexibilität und Konsistenz im Absicherungsprozess.
In diesem Kapitel werden v. a. folgende Themen behandelt:
Verwenden des SCW zum Erstellen, Testen und Bereitstellen rollenbasierter Absicherungsverfahren
Ermöglichen zuverlässiger Unternehmensabsicherung mithilfe des Active Directory®-Verzeichnisdienstes und des Einsatzes von Gruppenrichtlinienobjekten
Auswirkungen des Entwurfs von Active Directory-Domänen, Organisationseinheiten, Gruppenrichtlinien und administrativen Gruppen auf die Sicherheitsbereitstellungen
Verwenden des SCW und der Gruppenrichtlinien zum Erstellen eines überschaubaren, rollenbasierten Ansatzes zur Absicherung von Servern unter Windows Server 2003 mit SP1
Diese Informationen stellen eine Grundlage dar und geben Ihnen eine Vorstellung davon, wie Sie innerhalb einer Domäneninfrastruktur von einer Umgebung mit älteren Clients (LC) zu einer Hochsicherheitsumgebung (SSLF) wechseln können.
Absicherung mit dem Sicherheitskonfigurations-Assistenten
Der SCW bietet ein flexibles, schrittweises Verfahren zum Verringern der Angriffsfläche auf Servern, die unter Windows Server 2003 mit SP1 ausgeführt werden. Beim SCW handelt es sich um eine Toolsammlung, die mit einer Datenbank aus XML-Regeln verknüpft ist. Sie soll Administratoren dabei helfen, die für die Rollen spezifischer Server erforderliche Mindestfunktionalität schnell und zuverlässig zu bestimmen.
Mit dem SCW können Administratoren Sicherheitsrichtlinien, die sämtliche unwesentlichen Funktionen deaktivieren, erstellen, testen, korrigieren und bereitstellen. Außerdem besteht die Möglichkeit einer Rücknahme von Sicherheitsrichtlinien. Der SCW bietet systemeigene Unterstützung für die Verwaltung von Sicherheitsrichtlinien auf einzelnen Servern sowie Servergruppen mit verwandten Funktionen.
Der SCW ist ein umfassendes Tool, das Sie bei der Durchführung folgender Aufgaben unterstützen kann:
Festlegen, welche Dienste aktiv sein bzw. ausgeführt werden müssen und welche Dienste deaktiviert werden können
Verwalten der Netzwerkanschlussfilterung in Verbindung mit der Windows-Firewall
Festlegen, welche IIS-Interneterweiterungen für Webserver zugelassen sind
Reduzierung der Gefährdung von Protokollen in Zusammenhang mit SMB-basierten Protokollen (Server Message Block), NetBIOS (Network Basic Input/Output System), CIFS (Common Internet File System) und Lightweight Directory Access Protocol (LDAP)
Erstellen nützlicher Überwachungsrichtlinien, die bestimmte Ereignisse erfassen
Ausführliche Anweisungen zur Installation und Verwendung des SCW sowie zur Fehlerbehebung finden Sie in der Dokumentation zum Sicherheitskonfigurations-Assistenten (in englischer Sprache), die unter www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en heruntergeladen werden kann.
Hinweis: Der SCW kann nur mit Windows Server 2003 mit SP1 verwendet werden. Zum Erstellen von Richtlinien für Windows 2000 Server, Windows XP oder Windows Small Business Server 2003 kann er nicht eingesetzt werden. Zur Absicherung einer großen Anzahl von Computern mit diesen Betriebssystemen müssen Sie von den gruppenrichtlinienbasierten Absicherungsmechanismen Gebrauch machen, die weiter unten in diesem Kapitel beschrieben werden.
Erstellen und Testen von Richtlinien
Mit dem SCW können Sie schnell Sicherheitsrichtlinien für mehrere Server oder Servergruppen von einem einzelnen Computer aus erstellen und testen. Dadurch können Sie von einem einzelnen Ort aus Richtlinien unternehmensweit verwalten. Diese Richtlinien bieten einheitliche, unterstützte Absicherungsmaßnahmen, die auf die Funktionen der einzelnen Server im Unternehmen abgestimmt sind. Wenn Sie den SCW zum Erstellen und Testen von Richtlinien verwenden, sollte dieser auf allen Zielservern bereitgestellt werden. Obwohl die Richtlinie auf einer Verwaltungsstation erstellt wird, versucht der SCW, mit den Zielservern zu kommunizieren, um ihre Konfiguration zu prüfen und die Feinabstimmung der resultierenden Richtlinie vorzunehmen.
Der SCW ist in die IPSec- und Windows-Firewall-Untersysteme integriert und ändert diese Einstellungen dementsprechend. Sofern es nicht unterbunden wird, konfiguriert der SCW die Windows-Firewall so, dass eingehender Netzwerkverkehr über wichtige, vom Betriebssystem benötigte Ports und empfangsbereite Anwendungen zugelassen wird. Werden zusätzliche Portfilter benötigt, kann der SCW sie erstellen. Als Folge dessen sorgen die mit dem SCW erstellten Richtlinien dafür, dass IPSec-Filter durch benutzerdefinierte Skripts so konfiguriert werden, dass unerwünschter Verkehr blockiert wird. Dadurch wird die Verwaltung der Netzwerkabsicherung erleichtert. Die Konfiguration von Netzwerkfiltern für Dienste, die RPC-Ports oder dynamische Ports verwenden, kann ebenfalls vereinfacht werden.
Darüber hinaus bietet der SCW umfassende Möglichkeiten zur Anpassung der von Ihnen erstellten Richtlinien. So lassen sich Konfigurationen erstellen, mit denen notwendige Funktionen zugelassen und gleichzeitig Sicherheitsrisiken verringert werden. Neben den Baseline-Verhaltensweisen und -einstellungen können Sie den SCW in folgenden Bereichen außer Kraft setzen:
Dienste
Netzwerkports
Von der Windows-Firewall genehmigte Anwendungen
Registrierungseinstellungen
IIS-Einstellungen
Einbeziehung bereits vorhandener Sicherheitsvorlagen (INF-Dateien)
Der SCW stellt dem Administrator Informationen zu einigen der wichtigsten Registrierungseinstellungen zur Verfügung. Zur Verringerung der Komplexität des Tools haben die Entwickler nur jene Einstellungen aufgenommen, die die größten Auswirkungen auf die Sicherheit haben. In diesem Handbuch werden jedoch noch viele weitere Registrierungseinstellungen erläutert. Zur Überwindung der Einschränkungen des SCW können Sie Sicherheitsvorlagen mit Ergebnissen des SCW kombinieren, um eine umfassendere Konfiguration zu erstellen.
Wenn Sie den SCW zum Erstellen einer neuen Richtlinie verwenden, verwendet dieser zunächst die aktuelle Konfiguration eines Servers. Sie sollten deshalb einen Server als Zielserver verwenden, der vom selben Typ ist wie die Server, auf denen Sie die Richtlinie bereitstellen möchten, damit Sie die Konfiguration der Serverrollen genau beschreiben können. Wenn Sie die grafische Benutzeroberfläche des SCW zum Erstellen einer neuen Richtlinie verwenden, wird eine XML-Datei erstellt und standardmäßig im Ordner %systemdir%\security\msscw\Policies gespeichert. Nach Erstellung der Richtlinien können Sie diese entweder mit der Benutzeroberfläche des SCW oder mit dem Befehlszeilenprogramm Scwcmd auf Ihre Testserver anwenden.
Beim Testen der Richtlinien müssen Sie möglicherweise eine bereitgestellte Richtlinie entfernen. Sie können sowohl die grafische Benutzeroberfläche als auch das Befehlszeilenprogramm zum Zurücknehmen der letzten auf einen Server oder eine Servergruppe angewendeten Richtlinie verwenden. Der SCW speichert die vorherigen Konfigurationseinstellungen in XML-Dateien.
Für Unternehmen mit begrenzten Ressourcen für das Entwerfen und das Testen von Sicherheitskonfigurationen ist der SCW möglicherweise ausreichend. Unternehmen, denen es an solchen Ressourcen mangelt, sollten eine Absicherung der Server gar nicht erst versuchen, da solche Bemühungen häufig zu unerwarteten Problemen und Produktivitätsverlusten führen. Wenn in Ihrem Unternehmen die für den Umgang mit diesen Problemen erforderliche Fachkenntnis und Zeit nicht zur Verfügung stehen, sollten Sie sich auf andere wichtige Sicherheitsaktivitäten wie Anwendungs- und Betriebssystemaktualisierungen und Updateverwaltung konzentrieren.
Bereitstellen von Richtlinien
Zum Bereitstellen Ihrer Richtlinien stehen Ihnen drei verschiedene Möglichkeiten zur Verfügung:
Anwenden der Richtlinie mit der grafischen Benutzeroberfläche des SCW
Anwenden der Richtlinie mit dem Befehlszeilenprogramm Scwcmd
Konvertieren der SCW-Richtlinie in ein Gruppenrichtlinienobjekt und Verknüpfen der Richtlinie mit einer Domäne oder Organisationseinheit
Jede Option hat ihre Vor- und Nachteile. Diese werden in den folgenden Unterabschnitten beschrieben.
Anwenden der Richtlinie mit der grafischen Benutzeroberfläche des SCW
Der wichtigste Vorteil der grafischen Benutzeroberfläche des SCW ist ihre Einfachheit. Mit ihr können Administratoren leicht eine vordefinierte Richtlinie auswählen und auf einen einzelnen Computer anwenden.
Der Nachteil der grafischen Benutzeroberfläche des SCW liegt darin, dass Richtlinien mit ihr immer nur auf einen einzelnen Computer angewendet werden können. Diese Option ist also nicht für große Umgebungen geeignet. Auf diese Methode wird deshalb in diesem Handbuch nicht weiter eingegangen.
Anwenden der Richtlinie mit dem Befehlszeilenprogramm Scwcmd
Wenn Sie systemeigene SCW-Richtlinien ohne Active Directory auf mehrere Computer anwenden möchten, können Sie das Programm Scwcmd verwenden. Sie können den Einsatz von Scwcmd auch mit Skripterstellungstechnologien verbinden, um ein bestimmtes Maß an automatischer Richtlinienbereitstellung zu erzielen, z. B. als Teil eines bestehenden Prozesses zum Einrichten und Bereitstellen von Servern.
Der größte Nachteil der Scwcmd-Option besteht darin, dass es sich um keinen automatischen Vorgang handelt. Sie müssen die Richtlinie und den Zielserver entweder manuell oder durch eine Skripterstellungslösung angeben. Dabei besteht die Gefahr, dass versehentlich die falsche Richtlinie auf dem falschen Computer bereitgestellt wird. Wenn Sie Server mit leicht abweichenden Konfigurationen in einer Gruppe haben, müssen Sie für jeden dieser Computer eine separate Richtlinie erstellen und diese separat anwenden. Aufgrund dieser Einschränkungen wird in diesem Handbuch nicht auf diese Methode eingegangen.
Konvertieren der SCW-Richtlinie in ein Gruppenrichtlinienobjekt
Als dritte Option zur Bereitstellung von SCW-Richtlinien steht die Verwendung des Programms Scwcmd zur Konvertierung der XML-basierten Richtlinie in ein Gruppenrichtlinienobjekt (GPO) zur Verfügung. Obwohl diese Umwandlung zunächst unnötig erscheinen mag, ergeben sich daraus einige Vorteile:
Die Replikation, Bereitstellung und Anwendung der Richtlinien erfolgt anhand vertrauter Active Directory-Mechanismen.
Da es sich um systemeigene Gruppenrichtlinienobjekte handelt, können für die Feinabstimmung der Absicherung von Servern, die so ähnlich, aber nicht genauso wie andere Server konfiguriert sind, Organisationseinheiten, Richtlinienvererbung und inkrementelle Richtlinien verwendet werden. Mit Gruppenrichtlinien platzieren Sie diese Server in einer untergeordneten Organisationseinheit und wenden eine inkrementelle Richtlinie an, während Sie mit dem SCW für jede spezielle Konfiguration eine neue Richtlinie erstellen müssten.
Richtlinien werden automatisch auf alle Server angewendet, die in den entsprechenden Organisationseinheiten enthalten sind. Systemeigene SCW-Richtlinien müssen entweder manuell angewendet oder in Verbindung mit einer benutzerdefinierten Skripterstellungslösung eingesetzt werden.
Absichern von Servern mit der Active Directory-Gruppenrichtlinie
Mit Active Directory können Anwendungen Verzeichnisressourcen in einer dezentralisierten Computerumgebung suchen, verwenden und verwalten. Obwohl ausführliche Informationen zum Entwerfen einer Aktive Directory-Infrastruktur ein ganzes Buch füllen könnte, werden diese Begriffe hier nur kurz erklärt, um einen Zusammenhang mit dem Rest des Handbuchs herzustellen. Die Informationen zum Entwerfen sind nötig, um verständlich zu machen, wie mithilfe von Gruppenrichtlinien die Domänen, Domänencontroller und Serverrollen Ihres Unternehmens sicher verwaltet werden können. Wenn Ihr Unternehmen bereits über einen Active Directory-Entwurf verfügt, erhalten Sie in diesem Kapitel einen Einblick in einige Sicherheitsvorteile und potenzielle Probleme.
In diesem Handbuch wird keine spezielle Anleitung zum Schutz der Active Directory-Datenbank gegeben. Eine solche Anleitung erhalten Sie im Dokument „Best Practice Guide for Securing Active Directory Installations“, auf das im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels verwiesen wird.
Beim Erstellen einer Active Directory-Infrastruktur müssen Sie die Sicherheitsgrenzen der Umgebung genau berücksichtigen. Wenn Sie die Sicherheitsdelegierung und den Implementierungsplan eines Unternehmens umsichtig planen, ist der Active Directory-Entwurf für das Unternehmen sicherer. Sie müssen den Entwurf wahrscheinlich nur bei umfassenden Änderungen an der Umgebung, wie etwa bei einer Übernahme oder einer Umstrukturierung der Organisation, neu strukturieren.
Active Directory-Grenzen
In Active Directory gibt es verschiedene Arten von Grenzen. Diese Grenzen definieren die Gesamtstruktur, die Domäne, die Standorttopologie und die Zuweisung von Rechten. Sie werden bei der Installation von Active Directory automatisch eingerichtet. Sie müssen jedoch sicherstellen, dass die Berechtigungsgrenzen den Anforderungen und Richtlinien der Organisation entsprechen. Die Zuweisung von Verwaltungsrechten kann recht flexibel gehandhabt werden, um den Anforderungen verschiedener Organisation gerecht zu werden. Zum Gewährleisten eines geeigneten Gleichgewichts zwischen Sicherheit und Verwaltungsfunktionalität können Sie die Berechtigungszuweisungsgrenzen z. B. in Sicherheitsgrenzen und Verwaltungsgrenzen unterteilen.
Sicherheitsgrenzen
Sicherheitsgrenzen definieren die Autonomie oder Isolierung verschiedener Gruppen in einer Organisation. Die Gewährleistung einer ausreichenden Sicherheit (basierend auf der Konfiguration der Geschäftsgrenzen der Organisation) und die Notwendigkeit der Aufrechterhaltung solider grundlegender Funktionen müssen unter Berücksichtigung der möglichen Einbußen gegen einander abgewogen werden. Zum Herstellen dieses Gleichgewichts müssen Sie die Bedrohungen für Ihr Unternehmen gegen die Sicherheitsauswirkungen durch die Delegierung von Verwaltungsrechten und andere im Zusammenhang mit der Netzwerkarchitektur Ihrer Umgebung zu treffende Entscheidungen abwägen.
Die Gesamtstruktur ist die wahre Sicherheitsgrenze Ihrer Netzwerkumgebung. Es wird empfohlen, separate Gesamtstrukturen zu erstellen, damit Ihre Umgebung vor potenziellen Beeinträchtigungen durch Administratoren anderer Domänen geschützt sind. Dieser Ansatz trägt dazu bei, dass die Beeinträchtigung einer Gesamtstruktur nicht notwendigerweise die Beeinträchtigung des gesamten Unternehmens mit sich bringt.
Eine Domäne ist eine Verwaltungsgrenze von Active Directory, keine Sicherheitsgrenze. Bei einer Organisation mit zuverlässigen Benutzern ermöglicht eine Domänengrenze eine autonome Verwaltung der Dienste und Daten innerhalb der einzelnen Domänen der Organisation. Leider ist Isolierung in Bezug auf die Sicherheit gar nicht so einfach zu erreichen. Eine Domäne kann z. B. einen Angriff von einem böswilligen Domänenadministrator nicht vollständig isolieren. Diese Ebene einer Trennung kann nur auf der Ebene von Gesamtstrukturen erreicht werden.
Innerhalb der Domäne bietet die Organisationseinheit eine andere Verwaltungsgrenzenebene. Organisationseinheiten stellen einen flexiblen Weg zur Gruppierung verwandter Ressourcen und zur Delegierung des Verwaltungszugriffs an das entsprechende Personal dar, ohne diesem dabei die Verwaltung der gesamten Domäne zu gestatten. Wie Domänen sind auch Organisationseinheiten keine echten Sicherheitsgrenzen. Obwohl Sie einer Organisationseinheit Berechtigungen zuweisen können, werden die Ressourcen sämtlicher Organisationseinheiten einer Domäne in Bezug auf die Ressourcen der Domäne und der Gesamtstruktur authentifiziert. Eine gut gestaltete Organisationseinheitshierarchie unterstützt dennoch die Entwicklung, Bereitstellung und Verwaltung effektiver Sicherheitsmaßnahmen.
Ihr Unternehmen kann eine geteilte administrative Überwachung der Dienste und Daten innerhalb des aktuellen Active Directory-Entwurfs in Betracht ziehen. Ein effektiver Active Directory-Entwurf setzt ein umfassendes Verständnis der Anforderungen Ihres Unternehmens bezüglich Dienstautonomie und -isolierung sowie Datenautonomie und -isolierung voraus.
Verwaltungsgrenzen
Da möglicherweise eine Segmentierung von Diensten und Daten notwendig ist, müssen Sie die verschiedenen benötigten Verwaltungsebenen definieren. Neben Administratoren, die bestimmte Dienste für Ihre Organisation ausführen können, sollten Sie folgende Administratortypen in Betracht ziehen.
Dienstadministratoren
Die Active Directory-Dienstadministratoren sind für die Konfiguration und Bereitstellung des Verzeichnisdienstes verantwortlich. Dienstadministratoren verwalten z. B. Domänencontrollerserver, steuern verzeichnisweite Konfigurationseinstellungen und gewährleisten die Verfügbarkeit von Diensten. Die Active Directory-Administratoren in Ihrem Unternehmen sollten u. U. auch als Ihre Dienstadministratoren fungieren.
Die Konfiguration des Active Directory-Dienstes wird häufig von Attributwerten bestimmt. Diese Attributwerte entsprechen den im Verzeichnis gespeicherten Objekten. Dienstadministratoren in Active Directory sind daher gleichzeitig auch Datenadministratoren. Aufgrund der Anforderungen Ihres Unternehmens müssen Sie möglicherweise andere Gruppen von Dienstadministratoren für den Entwurf des Active Directory-Dienstes in Betracht ziehen. Beispiele:
Eine Domänenverwaltungsgruppe, die hauptsächlich für Verzeichnisdienste verantwortlich ist.
Für die Auswahl der Gruppe, die die einzelnen Domänen verwaltet, ist der Gesamtstrukturadministrator verantwortlich. Wegen der umfassenden Zugriffsrechte, die dem Administrator jeder Domäne gewährt werden, müssen diese Administratoren besonders vertrauenswürdig sein. Die Domänenadministratoren verwalten die Domänen über die Gruppe Domänenadministratoren und andere vordefinierte Gruppen.
Administratorgruppen, die DNS verwalten.
Die DNS-Administratorgruppe ist für den DNS-Entwurf und die Verwaltung der DNS-Infrastruktur zuständig. Der DNS-Administrator verwaltet die DNS-Infrastruktur über die Gruppe der DNS-Administratoren.
Administratorgruppen, die Organisationseinheiten verwalten.
Der Administrator für eine Organisationseinheit weist jeder Organisationseinheit eine Gruppe oder eine Person als Verwalter zu. Jeder Organisationseinheitsadministrator verwaltet die in der zugewiesenen Active Directory-Organisationseinheit gespeicherten Daten. Diese Gruppen können die Zuweisung der Verwaltung und die Anwendung von Richtlinien auf die Objekte in ihren Organisationseinheiten steuern. Organisationseinheitsadministratoren können auch neue Unterstrukturen erstellen und die Verwaltung ihrer Organisationseinheiten delegieren.
Administratorgruppen, die Infrastrukturserver verwalten.
Die für die Verwaltung der Infrastrukturserver zuständige Gruppe verwaltet die Dienste WINS, DHCP und u. U. die DNS-Infrastruktur. In einigen Fällen verwaltet die für die Domänenverwaltung zuständige Gruppe die DNS-Infrastruktur, da Active Directory in DNS integriert ist und auf den Domänencontrollern gespeichert und verwaltet wird.
Datenadministratoren
Active Directory-Datenadministratoren verwalten Daten, die in Active Directory oder auf mit Active Directory verbundenen Computern gespeichert sind. Diese Administratoren haben keine Kontrolle über die Konfiguration oder Bereitstellung des Verzeichnisdienstes. Datenadministratoren sind Mitglieder einer von Ihrer Organisation erstellten Sicherheitsgruppe. Die Standardsicherheitsgruppen in Windows sind manchmal nicht für alle Situationen in der Organisation geeignet. Daher können Organisationen eigene für die Umgebung geeignete Benennungsstandards und Definitionen für Sicherheitsgruppen entwickeln. Zu den täglichen Aufgaben der Datenadministratoren zählen:
Verwalten eines Teils der Objekte im Verzeichnis. Durch die vererbbare Zugriffssteuerung auf Attributebene kann Datenadministratoren die Steuerung spezieller Abschnitte des Verzeichnisses, aber keine Kontrolle über die Konfiguration des Dienstes selbst ermöglicht werden.
Verwalten von Mitgliedscomputern im Verzeichnis sowie der auf diesen Computern gespeicherten Daten.
Hinweis: In vielen Fällen bestimmen Attributwerte für im Verzeichnis gespeicherte Objekte die Dienstkonfiguration des Verzeichnisses.
Bevor Besitzern von Active Directory-Dienststrukturen und -Verzeichnisstrukturen der Beitritt zu einer Gesamtstruktur oder Domäneninfrastruktur erlaubt wird, muss die Organisation also allen Dienstadministratoren in der Gesamtstruktur und in sämtlichen Domänen vertrauen. Darüber hinaus müssen die Unternehmenssicherheitsprogramme Standardrichtlinien und –verfahren entwickeln, die eine entsprechende Überprüfung der Administratoren durchführen. Dienstadministratoren zu vertrauen, bedeutet im Kontext dieses Sicherheitshandbuchs Folgendes:
Darauf vertrauen, dass Dienstadministratoren in erster Linie entsprechend den Interessen des Unternehmens handeln. Organisationen sollten keiner Gesamtstruktur oder Domäne beitreten, wenn die Besitzer dieser Gesamtstruktur oder Domäne triftige Gründe haben könnten, der Organisation zu schaden.
Darauf vertrauen, dass die Dienstadministratoren die empfohlenen Vorgehensweisen befolgen und den physischen Zugriff auf die Domänencontroller einschränken.
Verstehen und Akzeptieren der Risiken für das Unternehmen, einschließlich der folgenden:
Böswillige Administratoren. Vertrauenswürdige Administratoren könnten zu böswilligen Administratoren werden und die Berechtigungen, die sie auf dem Netzwerk haben, missbrauchen. Ein böswilliger Administrator in einer Gesamtstruktur könnte leicht die Sicherheits-ID (SID) für einen anderen Administrator von einer anderen Domäne nachschlagen. Der böswillige Administrator kann die gestohlene SID dann mithilfe eines API-Tools (Anwendungsprogrammierschnittstelle), Festplatteneditors oder Debuggers der SID-Verlaufsliste eines Kontos in seiner eigenen Domäne hinzufügen. Durch das Hinzufügen der gestohlenen SID zum SID-Verlauf des Benutzers, besitzt der böswillige Administrator nicht nur in seiner eigenen Domäne Verwaltungsrechte, sondern auch in der Domäne der gestohlenen SID.
Genötigte Administratoren. Ein vertrauenswürdiger Administrator kann u. U. zum Durchführen von Operationen gezwungen werden, die die Sicherheit eines Computers oder Netzwerks verletzen. Ein Benutzer oder Administrator kann Social Engineering-Techniken oder Drohungen mit körperlichem oder sonstigen Schaden auf legitimierte Administratoren eines Computersystems anwenden, um sich die für den Zugriff auf den Computer benötigten Informationen zu verschaffen.
Einige Organisationen können möglicherweise das Risiko einer Sicherheitsverletzung durch einen böswilligen oder genötigten Dienstadministrator aus einem anderen Teil des Unternehmens akzeptieren. Diese Organisationen können zu dem Entschluss kommen, dass die gemeinschaftlichen und Kosten sparenden Vorteile der Beteiligung an einer gemeinsamen Infrastruktur dieses Risiko überwiegen. Andere Organisationen können das Risiko u. U. nicht akzeptieren, da die möglichen Konsequenzen einer Sicherheitsverletzung zu gravierend sind.
Active Directory-Gruppenrichtlinie für Computer
Obwohl Organisationseinheiten eine einfache Möglichkeit bieten, Computer, Benutzer, Gruppen und andere Sicherheitsprinzipale zu gruppieren, bieten sie auch einen effektiven Mechanismus, um administrative Grenzen zu segmentieren. Darüber hinaus bieten Organisationseinheiten eine entscheidende Struktur für die Bereitstellung von Gruppenrichtlinienobjekten (GPOs), weil sie Ressourcen entsprechend den Sicherheitsanforderungen segmentieren und es Ihnen ermöglichen können, für verschiedene Organisationseinheiten unterschiedliche Sicherheitsmaßnahmen zu ergreifen. Der Einsatz von Organisationseinheiten zum Verwalten und Zuweisen von Sicherheitsrichtlinien in Abhängigkeit von der Serverrolle ist ein wesentlicher Bestandteil der Gesamtsicherheitsarchitektur für der Organisation.
Delegieren der Verwaltung und Anwenden von Gruppenrichtlinien
Organisationseinheiten sind Container innerhalb der Verzeichnisstruktur einer Domäne. Diese Container können beliebige Sicherheitsprinzipale in der Domäne enthalten, obwohl sie meist Objekte eines bestimmten Typs aufweisen. Um einer Gruppe bzw. einem einzelnen Benutzer eine Zugriffsberechtigung auf die Organisationseinheiten zu erteilen oder den Zugriff zu sperren, können Sie bestimmte Zugriffssteuerungslisten (ACLs) in der Organisationseinheit festlegen, sodass die Berechtigungen von allen Objekten innerhalb der Organisationseinheit geerbt werden.
Mithilfe einer Organisationseinheit können Sie rollenbasierte, Verwaltungsfunktionen bereitstellen. So könnte z. B. eine Administratorgruppe für die Organisationseinheiten der Benutzer und Gruppen zuständig sein, während eine andere Gruppe die Organisationseinheiten mit den Servern verwalten könnte. Sie können auch eine Organisationseinheit erstellen, die eine Gruppe von Ressourcenservern enthält und durch andere Benutzer über die so genannte Delegierung verwaltet wird. Dieser Ansatz ermöglicht der delegierten Gruppe die autonome Steuerung einer bestimmten Organisationseinheit, ohne sie vom Rest der Domäne zu isolieren.
Administratoren, die die Objektverwaltung für bestimmte Organisationseinheiten zuweisen, sollten Dienstadministratoren sein. Auf einer niedrigeren Autoritätsebene handelt es sich bei den Benutzern, die die Objekte der Organisationseinheiten verwalten, normalerweise um Datenadministratoren.
Administrative Gruppen
Administratoren können administrative Gruppen erstellen, um Benutzer-, Sicherheitsgruppen- oder Servercluster in Container für die autonome Verwaltung zu unterteilen.
Betrachten Sie z. B. die Infrastrukturserver, die sich in einer Domäne befinden. Zu den Infrastrukturservern zählen alle Server, die keine Domänencontroller sind und auf denen grundlegende Netzwerkdienste ausgeführt werden, z. B. WINS- oder DHCP-Dienste. Oftmals werden diese Server von einer Betriebsgruppe oder einer Infrastrukturverwaltungsgruppe verwaltet. Sie können eine Organisationseinheit auf einfache Weise zu Verwaltungsfertigkeiten für diese Servern einsetzen.
Die folgende Abbildung enthält eine übergeordnete Darstellung einer solchen Organisationseinheitskonfiguration.
.gif)
Abbildung 2.1: Organisationseinheitsdelegierung der Verwaltung
Wenn der Gruppe Infrastrukturadministrator die Verwaltung der Infrastruktur-Organisationseinheit zugewiesen wurde, besitzen die Mitglieder dieser Gruppe Vollzugriff auf die Infrastruktur-Organisationseinheit und sämtliche darin enthaltenen Server und Objekte. Dadurch können Mitglieder der Gruppe die Serverrollen mithilfe von Gruppenrichtlinien schützen.
Dieser Ansatz stellt nur eine der Möglichkeiten zum Bereitstellen einer administrativen Segmentierung durch Organisationseinheiten dar. Informationen für komplexere Organisationen finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.
Hinweis: Da Active Directory so stark von DNS abhängig ist, ist es üblich, den DNS-Dienst auf Domänencontrollern auszuführen. Domänencontroller werden standardmäßig der vordefinierten Domänencontroller-Organisationseinheit hinzugefügt. Da in den Beispielen in diesem Handbuch wird ebenso verfahren wird, ist die Infrastruktur-Serverrolle nicht im DNS-Dienst enthalten.
Anwendung von Gruppenrichtlinien
Verwenden Sie Gruppenrichtlinien, und delegieren Sie die Verwaltung, um bestimmte Einstellungen, Rechte und Verhalten auf alle Server in einer Organisationseinheit anzuwenden. Wenn Sie statt manueller Schritte Gruppenrichtlinien verwenden, können mehrere Server auf einfache Weise mit eventuell erforderlichen zusätzlichen Änderungen aktualisiert werden.
Gruppenrichtlinien werden in der dargestellten Reihenfolge (siehe folgende Abbildung) zusammengefasst und angewendet.
.gif)
Abbildung 2.2: Anwendungshierarchie von Gruppenrichtlinienobjekten
Bild in voller Größe anzeigen
Wie in der Abbildung dargestellt, werden Richtlinien zunächst auf der lokalen Richtlinienebene des Computers angewendet. Anschließend werden alle Gruppenrichtlinienobjekte auf Standortebene und danach auf Domänenebene angewendet. Wenn der Server in mehreren Organisationseinheiten eingebettet ist, werden zuerst die Gruppenrichtlinienobjekte der Organisationseinheit der höchsten Ebene angewendet. Der Prozess der Anwendung der Gruppenrichtlinienobjekte wird entlang der Organisationseinheit-Hierarchie fortgeführt. Das letzte Gruppenrichtlinienobjekt wird auf der untergeordneten Organisationseinheitsebene angewendet, die das Serverobjekt enthält. Die Rangfolge für die Verarbeitung von Gruppenrichtlinien reicht von der höchsten Organisationseinheit (am weitesten vom Benutzer- oder Computerkonto entfernt) bis zur untersten Organisationseinheit (die das Benutzer- bzw. Computerkonto enthält).
.gif){kind=link}
Beachten Sie beim Anwenden von Gruppenrichtlinien die folgenden grundlegenden Überlegungen:
Sie müssen die Anwendungsreihenfolge der Gruppenrichtlinienobjekte für Gruppenrichtlinienebenen mit mehreren Gruppenrichtlinienobjekten festlegen. Wenn mehrere Richtlinien dieselbe Option enthalten, hat die zuletzt angewendete Option Vorrang.
Sie müssen für eine Gruppenrichtlinie die Option Kein Vorrang wählen, wenn Sie verhindern möchten, dass sie von anderen Gruppenrichtlinienobjekten überschrieben wird. Wenn Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden, heißt diese Option Erzwungen.
Zeitkonfiguration
Die Ausführung vieler Sicherheitsdienste, insbesondere der Authentifizierung, hängt von einem genauen Computerzeit ab. Sie sollten sicherstellen, dass die Computerzeit korrekt ist und alle Server in Ihrem Unternehmen dieselbe Zeitquelle verwenden. Der W32-Zeitdienst von Windows Server 2003 ermöglicht die Zeitsynchronisierung für in einer Active Directory-Domäne ausgeführte Windows Server 2003- und Microsoft Windows XP-Computer.
Der W32-Zeitdienst synchronisiert die Uhren von Windows Server 2003-Computern mit den Domänencontrollern in einer Domäne. Diese Synchronisierung ist für das korrekte Funktionieren des Kerberos-Authentifizierungsprotokolls und anderer Authentifizierungsprotokolle erforderlich. Eine Reihe von Komponenten der Windows Server-Produktfamilie erfordern ein genaue und synchronisierte Zeit, um einwandfrei zu funktionieren. Wenn die Uhren auf den Clients nicht synchronisiert sind, kann es passieren, dass das Kerberos-Authentifizierungsprotokoll Benutzern den Zugriff verweigert.
Ein weiterer wichtiger Vorteil der Zeitsynchronisierung ist die Ereigniskorrelation auf allen Clients im Unternehmen. Synchronisierte Uhren auf den Clients in der Umgebung gewährleisten, dass Sie auf diesen Clients in einheitlicher Folge auftretende Ereignisse im ganzen Unternehmen korrekt analysieren können.
Der W32-Zeitdienst verwendet NTP (Network Time Protocol) zum Synchronisieren von Computeruhren unter Windows Server 2003. In einer Windows Server 2003-Gesamtstruktur wird die Zeit standardmäßig wie folgt synchronisiert:
Die PDC-Emulation (Primary Domain Controller oder primärer Domänencontroller) in der Stammdomäne der Gesamtstruktur bildet die maßgebliche Zeitquelle für die Organisation.
Alle PDC-Betriebsmaster in anderen Domänen der Gesamtstruktur folgen bei der Auswahl einer PDC-Emulation zum Synchronisieren der Zeit der Domänenhierarchie.
Alle Domänencontroller in einer Domäne synchronisieren ihre Zeit mit dem PDC-Betriebsmaster in ihrer Domäne als Zeitgeber.
Alle Mitgliedsserver und Clientdesktopcomputer verwenden den authentifizierenden Domänencontroller als Zeitgeber.
Zum Gewährleisten einer korrekten Uhrzeit kann die PDC-Emulation in der Stammdomäne der Gesamtstruktur mit einer maßgeblichen Zeitquelle, wie etwa einer zuverlässigen NTP-Quelle oder einer extrem genauen Uhr in Ihrem Netzwerk, synchronisiert werden. Bedenken Sie, dass für die NTP-Synchronisierung der UDP-Port 123 verwendet wird. Bevor Sie eine Synchronisierung mit einem externen Server vornehmen, müssen Sie die Vorteile der Portöffnung gegen das mögliche Sicherheitsrisiko abwägen.
Dazu kommt, dass Sie beim Synchronisieren mit einem externen Server, der nicht von Ihnen verwaltet wird, das Risiko der Konfiguration Ihrer Server mit einer falschen Zeit eingehen. Der externe Server könnte von einem Angreifer beeinträchtigt werden, um die Uhren Ihrer Computer zu manipulieren. Wie bereits erläutert, sind für das Kerberos-Authentifizierungsprotokoll synchronisierte Computeruhren notwendig. Wurde die Synchronisierung unterlassen, kann eine Denial-of-Service-Attacke stattfinden.
Verwaltung von Sicherheitsvorlagen
Sicherheitsvorlagen sind textbasierte Dateien, die Sie zum Anwenden einer Computerkonfiguration auf einen Computer verwenden können. Sie können Sicherheitsvorlagen mit dem Sicherheitsvorlagen-Snap-In der Microsoft Management Console (MMC) oder mit einem Texteditor, wie z. B. Notepad, ändern. Einige Abschnitte der Vorlagendateien enthalten spezielle in SDDL (Security Descriptor Definition Language) geschriebene Zugriffssteuerungslisten (ACLs). Weitere Informationen zum Bearbeiten von Sicherheitsvorlagen und SDDL finden Sie auf der Microsoft MSDN®-Seite „Security Descriptor Definition Language“ unter http: //msdn.microsoft.com/library/en-us/secauthz/security/security_descriptor_definition_language.asp.
Authentifizierte Benutzer sind standardmäßig berechtigt, alle Einstellungen in einem Gruppenrichtlinienobjekt zu lesen. Daher ist es sehr wichtig, die für eine Produktionsumgebung verwendeten Sicherheitsvorlagen an einem sicheren Speicherort abzulegen, auf den nur die Administratoren zugreifen können, die Gruppenrichtlinien implementieren. Dadurch soll nicht die Anzeige von INF-Dateien, sondern die unautorisierte Änderung der Quellsicherheitsvorlagen verhindert werden.
Alle Computer mit Windows Server 2003 speichern Sicherheitsvorlagen in ihrem lokalen Ordner %SystemRoot%\security\templates. Da dieser Ordner nicht auf mehreren Domänencontrollern repliziert wird, muss ein Ort ausgewählt werden, auf dem die Masterkopie der Sicherheitsvorlagen gespeichert wird, damit Versionskontrollprobleme bei den Vorlagen vermieden werden. Nachdem die zentral gespeicherte Vorlage modifiziert wurde, kann sie auf den jeweiligen Computern erneut bereitgestellt werden. Durch diesen Ansatz wird sichergestellt, dass immer das gleiche Vorlagenexemplar geändert wird.
Ereignisse bei erfolgreicher Anwendung von Gruppenrichtlinienobjekten
Obwohl ein Administrator alle Einstellungen manuell überprüfen kann, um deren ordnungsgemäße Anwendung auf die Server in der Organisation sicherzustellen, sollte auch ein Ereignis im Ereignisprotokoll angezeigt werden, damit der Administrator über das erfolgreiche Herunterladen der Domänenrichtlinie auf jeden Server informiert wird. Ein Ereignis wie das folgende sollte im Anwendungsprotokoll mit seiner eindeutige Ereigniskennung angezeigt werden.
Typ: Informationen
Quelle: SceCli
Ereigniskennung: 1704
Beschreibung: Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.
Die Sicherheitseinstellungen werden auf einer Arbeitsstation oder einem Server standardmäßig alle 90 Minuten und auf einem Domänencontroller alle 5 Minuten aktualisiert. Dieser Ereignistyp wird angezeigt, wenn in dieser Zeit Änderungen aufgetreten sind. Außerdem werden die Einstellungen alle 16 Stunden aktualisiert, unabhängig davon, ob Änderungen vorgenommen wurden. Sie können auch eine manuelle Aktualisierung der Gruppenrichtlinien-Einstellungen erzwingen, indem Sie die später in diesem Kapitel beschriebene Methode verwenden.
Organisationseinheiten für Serverrollen
Im vorigen Beispiel wurde gezeigt, wie die Infrastrukturserver eines Unternehmens verwaltet werden können. Diese Methode kann erweitert werden, um andere Server und Dienste in einem Unternehmen mit einzubeziehen. Ziel ist das Erstellen einer nahtlosen Gruppenrichtlinie, die alle Server abdeckt und gleichzeitig sicherstellt, dass die Server in Active Directory die Sicherheitsstandards der Umgebung erfüllen.
Dieser Gruppenrichtlinientyp bildet eine konsistente Baseline von Standardeinstellungen auf allen Servern der Organisation. Zudem müssen die Organisationseinheitsstruktur und die Anwendung von Gruppenrichtlinien einen detaillierten Entwurf zum Bereitstellen von Sicherheitseinstellungen für bestimmte Servertypen in einer Organisation bieten. Internet Information Server (IIS), Datei-, Druck-, Internetauthentifizierungsserver (IAS) und Zertifikatdienste sind nur einige der Serverrollen in einem Unternehmen, die u. U. spezielle Gruppenrichtlinien erfordern.
Wichtig: Der Einfachheit halber wird für die Beispiele in diesem Kapitel die Verwendung der Unternehmensclient-Umgebung (EC) vorausgesetzt. Wenn Sie eine der anderen zwei Umgebungen benutzen, müssen Sie die entsprechenden Dateinamen ersetzen. Die Unterschiede zwischen den drei Umgebungen und ihren Funktionen werden in Kapitel 1, „Einführung in das Windows Server 2003-Sicherheitshandbuch“, erläutert.
Richtlinie für die Mitgliedsserver-Baseline
Der erste Schritt beim Einrichten der Serverrollen-Organisationseinheiten ist das Erstellen einer Baseline-Richtlinie. Zum Erstellen einer solchen Richtlinie kann mit dem SCW eine Mitgliedsserver-Baseline.xml-Datei auf einem standardmäßigen Mitgliedsserver erstellt werden. Als Teil der XML-Erstellung können Sie mit dem SCW eine der im Lieferumfang enthaltenen Sicherheitsvorlagen für die Mitgliedserver-Baseline („Älterer Client - Mitgliedsserver-Baseline.inf“, „Unternehmensclient - Mitgliedsserver-Baseline.inf“ oder „Hochsicher - Mitgliedsserver-Baseline.inf“) hinzufügen.
Nach Erstellung der SCW-Richtlinie wird diese in ein Gruppenrichtlinienobjekt konvertiert und mit der Mitgliedsserver-Organisationseinheit verknüpft. Dieses neue Baseline-Gruppenrichtlinienobjekt wendet die Einstellungen der Baseline-Gruppenrichtlinie auf alle Server in der Mitgliedsserver-Organisationseinheit und in untergeordneten Organisationseinheiten an. Die Richtlinie für die Mitgliedsserver-Baseline wird in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“, erläutert.
Die gewünschten Einstellungen für die meisten Server im Unternehmen sollten in der Baseline-Gruppenrichtlinie festgelegt werden. Bei einigen wenigen Servern kann es vorkommen, dass die Baseline-Richtlinie nicht auf sie zutrifft. Beim Erstellen Ihrer eigenen Baseline-Gruppenrichtlinie sollten Sie eine möglichst einschränkende Richtlinie erstellen und alle Server, die andere Richtlinien erfordern, in separate serverspezifische Organisationseinheiten unterteilen.
Serverrollentypen und Organisationseinheiten
Jede identifizierte Serverrolle erfordert eine zusätzliche SCW-Richtlinie, eine Sicherheitsvorlage sowie zuzüglich zur Baseline-Organisationseinheit eine weitere Organisationseinheit. Dadurch kann eine separate Richtlinie für schrittweise Änderungen, die die einzelnen Rollen erfordern, erstellt werden.
In einem früheren Beispiel wurden die Infrastrukturserver der Infrastruktur-Organisationseinheit hinzugefügt, die der Mitgliedsserver-Organisationseinheit untergeordnet ist. Im nächsten Schritt wird die entsprechende Konfiguration auf diese Server angewendet. Im Lieferumfang dieser Lösung sind drei Sicherheitsvorlagen enthalten, und zwar eine für jede Sicherheitsumgebung: „Älterer Client - Infrastrukturserver.inf“, „Unternehmensclient - Infrastrukturserver.inf“ und „Hochsicher - Infrastrukturserver.inf“. Werden diese Sicherheitsvorlagen gemeinsam mit dem SCW eingesetzt, können Sie eine Sicherheitsrichtlinie erstellen, die die spezifischen, für DHCP und WINS erforderlichen Anpassungen enthält. Die daraus resultierende Richtlinie wird dann in ein neues Gruppenrichtlinienobjekt konvertiert und mit der Infrastruktur-Organisationseinheit verknüpft.
Dieses Gruppenrichtlinienobjekt verwendet die Einstellung Eingeschränkte Gruppen, um die folgenden drei Gruppen zur Gruppe Lokale Administratoren aller Server der Infrastruktur-Organisationseinheit hinzuzufügen:
Domänenadministratoren
Unternehmensadministratoren
Infrastrukturadministratoren
Wie bereits erwähnt, stellt dieser Ansatz nur eine der vielen Möglichkeiten zum Erstellen von Organisationseinheitsstrukturen dar, die zum Bereitstellen von Gruppenrichtlinienobjekten verwendet werden können. Weitere Informationen zum Erstellen von Organisationseinheiten für die Gruppenrichtlinienimplementierung finden Sie auf der Seite „Entwerfen der Active Directory-Struktur“ (in englischer Sprache) und in den verwandten Themen unter www.microsoft.com/resources/documentation/Windows/2000/server/reskit/ en-us/deploy/dgbd_ads_heqs.asp?frame=true.
In der folgenden Tabelle werden die in diesem Kapitel definierten Serverrollen und entsprechenden Vorlagendateien von Windows Server 2003 aufgeführt. Den Dateinamen der Sicherheitsvorlagen wird die Variable <Umg> vorangestellt, die je nach Bedarf durch „Älterer Client“, „Unternehmensclient“ oder „Hochsicher“ ersetzt wird.
Tabelle 2.1: Serverrollen für Windows Server 2003
| Serverrolle | Beschreibung | Dateiname der Sicherheitsvorlage |
|---|---|---|
| Mitgliedsserver | Alle Server, die Mitglied der Domäne sind und sich in oder unterhalb der Organisationseinheit für die Mitgliedsserver befinden. | <Umg>-Mitgliedsserver-Baseline.inf |
| Domänencontroller | Alle Active Directory-Domänencontroller. Diese Server sind auch DNS-Server. | <Umg>-Domänencontroller.inf |
| Infrastrukturserver | Alle dedizierten WINS- und DHCP-Server. | <Umg>-Infrastrukturserver.inf |
| Dateiserver | Alle dedizierten Dateiserver. | <Umg>-Dateiserver.inf |
| Druckserver | Alle dedizierten Druckserver. | <Umg>-Druckserver.inf |
| Webserver | Alle dedizierten IIS-Webserver. | <Umg>-Webserver.inf |
| IAS-Server | Alle dedizierten IAS-Server. | <Umg>-IAS-Server.inf |
| Zertifikatdienstserver | Alle dedizierten Zertifizierungsstellenserver. | <Umg>-Zertifizierungsstellenserver.inf |
| Bastion-Host | Alle Server mit Internetverbindung. | <Umg>-Bastion-Host.inf |
| Name der Organisationseinheit | Administrative Gruppe |
|---|---|
| Domänencontroller | Domänentechnik |
| Mitgliedsserver | Domänentechnik |
| Infrastruktur | Infrastrukturadministratoren |
| Datei | Infrastrukturadministratoren |
| Druck | Infrastrukturadministratoren |
| IAS | Domänentechnik |
| Webserver | Webdienste |
| Zertifizierungsstelle | Unternehmensadministratoren |
.gif) 3 von 19 .gif) |