BDD 2007: Sicherheit – Handbuch für das Feature-Team

Anhang H: Überwachen der Sicherheitskonfiguration von Bereitstellungsservern mit MBSA

Veröffentlicht: 30. Nov 2006

Mit MBSA stellen Sie fest, ob bei den Bereitstellungsservern noch unerkannte Sicherheitsrisiken vorliegen. Bei einigen Diensten ist die Aktivierung und der Zugriff über das Netzwerk unumgänglich, beispielsweise bei Dateifreigaben. Hierbei sind allerdings jegliche unnötigen Sicherheitsrisiken zu beheben, die von MBSA ermittelt werden.

So führen Sie MBSA aus:

  1. Laden Sie MBSA von http://www.microsoft.com/mbsa herunter, und installieren Sie die Anwendung.

  2. Starten Sie MBSA.

  3. Vervollständigen Sie den Assistenten, indem Sie Optionen auswählen, um das gesamte Netzwerk mit entsprechenden Anmeldeinformationen zu durchsuchen.

  4. Klicken Sie auf der Willkommensseite auf Mehrere Computer überprüfen.

  5. Geben Sie auf der Seite Mehrere Computer zur Überprüfung wählen den IP-Adressbereich der Bereitstellungsserver ein. Klicken Sie dann auf Startet die Überprüfung.

Nach Abschluss des Scanvorgangs sollten keine Probleme mehr auf den Computern auftreten, mit Ausnahme der Informationswarnungen über die Freigaben. Überprüfen Sie auf einem Active Directory-Server sorgfältig alle freigegebenen Ordner und die jeweils zugewiesenen Berechtigungen. Die standardmäßigen Freigaben ADMIN$, NETLOGON, SYSVOL, CAP_domain_name sowie die Stammlaufwerkfreigaben (z. B. C$ und D$) sind vorhanden. Wenn SMS auf dem Computer installiert ist, sind außerdem die Freigaben SMSPKGC$, SMS_HQ1, SMS_SITE und SMS_SUIAgent vorhanden. Entfernen Sie abschließend alle unnötigen Freigaben.

Auch Windows DS-Server bieten Informationswarnungen über Freigaben. Überprüfen Sie sorgfältig alle freigegebenen Ordner und die jeweils zugewiesenen Berechtigungen. Die Deployment Workbench legt automatisch einen verborgenen freigegebenen Ordner unter dem Namen „ShareName$“ an, wenn ein Teammitglied einen Bereitstellungspunkt aktualisiert. Darüber hinaus sind die standardmäßige Freigabe ADMIN$ sowie die Stammlaufwerkfreigaben (z. B. C$ und D$) vorhanden. Beschränken Sie die Berechtigungen für die Bereitstellungsfreigabe auf die Mitarbeiter, die tatsächlich auf die Abbilder zugreifen müssen. Schränken Sie dann den Zugriff mithilfe von NTFS-Dateisystemberechtigungen weiter ein (siehe „Anhang F: Einschränken der Dateiberechtigungen auf Bereitstellungsservern“). Entfernen Sie abschließend alle unnötigen Freigaben.

Beseitigen Sie weitere Schwachstellen, um so das Risiko zu minimieren, dass ein komprimittierter Bereitstellungsserver neu bereitgestellte Clientcomputer infiziert. Achten Sie dabei insbesondere auf die folgenden Schwachstellen, sofern diese erkannt wurden:

  • Konten mit Leerzeichen oder einfachen Kennwörtern Die Komprimittierung einer Bereitstellungsinfrastruktur kann potenziell einem Angreifer die Möglichkeit geben, alle neuen Computer zu infizieren. Der Schutz aller Konten mit komplexen Kennwörtern ist daher überaus wichtig. Weitere Informationen zu komplexen Kennwörtern finden Sie im Abschnitt über das Aufstellen einer sicheren Kennwortrichtlinie (möglicherweise in englischer Sprache) unter http://technet2.microsoft.com/WindowsServer/en/library/041728b4-5ed9-44a8-99fe-c050333d42451033.mspx?mfr=true.

  • Konten mit zeitlich unbegrenzten Kennwörtern. Konten mit zeitlich unbegrenzten Kennwörtern stellen aus mehreren Gründen ein Sicherheitsrisiko dar:

    • Die Angreifer erhalten mehr Zeit, das Kennwort mit einem Brute-Force-Angriff zu knacken.

    • Ein Angreifer, der ein Kennwort geknackt hat, besitzt so lange Zugriff auf das System des Benutzers, bis dieser das Kennwort ändert.

    • Mitarbeiter, die während ihrer Zugehörigkeit zum Unternehmen den legitimen Zugriff auf das System hatten, behalten auch nach ihrem Ausscheiden aus dem Betrieb so lange den Zugriff, bis die entsprechenden Kennwörter geändert wurden.

  • Fehlende Sicherheitsupdates. Mit Sicherheitsupdates werden häufig neu entdeckte Sicherheitsanfälligkeiten entfernt.

  • Unnötig installierte Dienste. MBSA informiert die Teammitglieder nicht über vorhandene Dienste, die in einer Bereitstellungsumgebung erforderlich sind. Entfernen oder deaktivieren Sie daher alle unnötigen Dienste.

  • Überwachungsfunktion nicht aktiviert. Standardmäßig ist nur die Überwachung erfolgreicher Anmeldungen aktiviert. Aktivieren Sie auch die Überwachung gescheiterter Anmeldungen, um so erfolglose Versuche einer Authentifizierung beim Buildserver nachvollziehen zu können. Beim Überwachen gescheiterter Anwendungen ist der Server dem Risiko eines Denial-of-Service-Angriffs ausgesetzt. Die Gefahr, dass ein solcher Angriff in einer Bereitstellungsumgebung gestartet wird, ist allerdings minimal. Weitere Anweisungen zum Ändern der Überwachungseinstellungen finden Sie im Abschnitt über das Definieren und Ändern der Überwachungsrichtlinieneinstellungen für Ereigniskategorien (möglicherweise in englischer Sprache) unter http://technet2.microsoft.com/WindowsServer/en/library/d9fea7ea-61e5-43b1-98cd-b02a09f101561033.mspx?mfr=true.

  • Unnötige Freigaben vorhanden. Wie bereits beschrieben, muss ein Buildserver über mindestens eine verborgene Bereitstellungsfreigabe verfügen. Entfernen Sie alle unnötigen Freigaben, um so die Sicherheitsrisiken zu verringern.

Weitere Anweisungen und Lernprogramme zum Verwenden von MBSA finden Sie unter http://www.microsoft.com/resources/sam/partnerguide/howto_inv_tool.aspx (möglicherweise in englischer Sprache).

Anzeigen: