Windows–Sicherheit
Kerstin Eisenkolb Mehmet Gökhan Helge Weickardt
Windows–Sicherheit Sicherheit von Systemen, Daten und Netzwerken unter Windows 2000, XP und .NET
An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam
Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titelsatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich
© 2001 Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: vierviertel gestaltung, Köln Korrektorat: Roswitha Leferink, Düsseldorf Lektorat: Sylvia Hasselbach,
[email protected] Herstellung: Philipp Burkart,
[email protected] Satz: reemers publishing service gmbh, www.reemers.de. Gesetzt aus der Palatino 9,5/12 pt. Druck: Bercker Graphischer Betrieb, Kevelaer Printed in Germany Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar.
Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Produkt wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.
10 9 8 7 6 5 4 3 2 1 04 03 02 01
ISBN 3-8273-1876-9
Inhaltsverzeichnis 1
Einleitung
13
2
Was ist überhaupt Sicherheit?
15
2.1
15
2.2
3
4
Welche unterschiedlichen Sicherheitsbegriffe gibt es? 2.1.1
Der Sicherheitsbegriff von gestern
15
2.1.2
Der Sicherheitsbegriff von heute
16
Anmeldesicherheit unter Windows 2000
20
2.2.1
Kerberos und NTLM
20
2.2.2
SmartCart-Authentifizierung
22
2.2.3
Remote-Zugriff
23
2.3
Datenverschlüsselung unter Windows 2000
25
2.4
Datenverlässlichkeit unter Windows 2000
26
2.5
Zugriffssicherheit unter Windows 2000
28
2.6
Überwachungssicherheit unter Windows 2000
29
2.7
Datensicherung mit Windows 2000
31
2.8
Ausfallsicherheit und Lastenverteilung unter Windows 2000
32
2.9
Datenredundanz in Windows 2000
34
2.10 Reliability of Service unter Windows 2000
35
Bekannte Sicherheitsstandards
37
3.1
Die Veröffentlichungen des NCSC
37
3.2
Veröffentlichungen des BSI
38
3.3
Sicherheitskriterien für die Bewertung von IT-Systemen
39
Prozess der Sicherheitsimplementierung
41
4.1
Grundüberlegungen zum ITSM
41
4.2
Übersicht über die Managementdisziplinen von ITSM
42
4.3
Abhängigkeiten der Managementdisziplinen
45
4.4
Praktische Umsetzung von ITSM
47
4.5
Das Microsoft Operations Framework
48
4.5.1
Das MOF-Prozessmodell
49
4.5.2
Das MOF-Teammodell
51
Abhängigkeiten zwischen MOF und MSF
55
4.6
5
Inhaltsverzeichnis
4.7
Der Prozess des Sicherheits-Managements 4.7.1
Ersteinführung und Arbeitsweise des Sicherheits-Managements
55
4.7.2
Schnittstelle des Sicherheits-Managements zum Change-Management
57
4.7.3
Ausführung durch das Release-Management
59
4.7.4
Der komplette Prozessplan für die Implementierung eines neuen Sicherheitsstandards
60
4.7.5 4.8 5
Die einzelnen Aufgaben des SicherheitsManagements
Weiterführende Informationen zum Thema ITSM und MOF
61 65
Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln (Schritte 1 & 2 des Sicherheits-Managements
67
5.1
Bekannte Sicherheitslücken
68
5.1.1
Internetzugang
68
5.1.2
Internetserver
72
5.1.3
RAS-Server
75
5.1.4
Mail-Server
78
5.1.5
Datenklau durch Mitarbeiter
79
5.2
5.3
5.4
6
55
Klassische Angriffsmethoden
81
5.2.1
Was ist ein Angriff?
82
5.2.2
Viren, Würmer und Trojaner
83
5.2.3
Passwort-Cracking
87
5.2.4
Mail-Missbrauch
90
5.2.5
Netzwerk-Missbrauch
91
Klassische Verlustmethoden
92
5.3.1
92
Datenverlust und Wiederherstellung
5.3.2
Datenverlust bei Anwendungsservern
94
5.3.3
Datenverfügbarkeit bei Anwendungsservern
94
Beispielhafte Ist-Analysen
95
5.4.1
Ist-Analyse Datenzugriffssicherheit
96
5.4.2
Ist-Analyse Passwortsicherheit
98
5.4.3
Ist-Analyse RAS-Zugang
100
5.4.4
Ist-Analyse Internetzugang direkt
101
5.4.5
Ist-Analyse Internetzugriff über Router
103
5.4.6
Ist-Analyse Internetzugriff über Proxy
104
5.4.7
Ist-Analyse für einen angebundenen Internetserver
106
Inhaltsverzeichnis
5.5 6
5.4.8
Ist-Analyse für einen eigenen Mailserver
107
5.4.9
Ist-Analyse für das Datenverlustrisiko
108
Erhebung, Auswertung und Schritt 3 des Sicherheits-Managements
110
Administrative Tools für das Sicherheits-Management
113
6.1
114
6.2
Die Management-Konsole von Windows 2000 (MMC) 6.1.1
Einsatzgebiete der MMC
114
6.1.2
Bestandteile der MMC
114
6.1.3
Snap-Ins
116
6.1.4
Taskpadansicht
122
6.1.5
Die MMC-Optionen
126
6.1.6
MS Common Console-Dokument
127
6.1.7
Sichern der MMC gegen unberechtigte Benutzung
129
Die Gruppenrichtlinien
131
6.2.1
Einsatzgebiete der Gruppenrichtlinien
132
6.2.2
Funktionsweise der Gruppenrichtlinien
132
6.2.3
Zuweisungsreihenfolge von Gruppenrichtlinien
133
6.2.4
Gruppenrichtlinien-Typen und Einstellungsmöglichkeiten
134
6.2.5
Grundlegende Regeln im Umgang mit Gruppenrichtlinien
138
6.2.6
Zuweisen von Gruppenrichtlinien an einem praktischen Beispiel
139
6.2.7
Gruppenrichtlinien vererben
146
6.2.8
Zuweisung von Gruppenrichtlinien manuell anstoßen
155
Filterung von Gruppenrichtlinien
156
6.2.9 6.3
6.4
Die Registrierdatenbank und ihre Bearbeitung
157
6.3.1
Dateistruktur der Registrierdatenbank
157
6.3.2
Bearbeiten der Registrierdatenbank mit dem Registrierungs-Editor
158
6.3.3
Logische Struktur der Registrierdatenbank
161
6.3.4
Bearbeitungsmöglichkeiten der Registrierdatenbank 164
Sicherheitskonfiguration unter Windows 2000 6.4.1 6.4.2
170
Einsatzgebiete und Aufgabenbereiche des Sicherheitskonfigurations-Managers
171
Abgrenzung des SicherheitskonfigurationsManagers zu anderen Werkzeugen
172
7
Inhaltsverzeichnis
6.4.3
7
Das Snap-In »Sicherheitsvorlagen«
174
6.4.4
Sicherheitskonfiguration und -analyse
184
6.4.5
Das Befehlszeilentool SECEDIT
186
6.4.6
Verteilung von definierten Sicherheitsvorlagen
188
Benutzerbezogene Sicherheit 7.1
Anforderungen an die benutzerbezogene Sicherheit
191
7.2
Authentifizierung unter Windows
192
7.2.1
Authentifizierung über NTLM
193
7.2.2
Kerberos-Authentifikation
195
7.2.3
Authentifizierung über Smartcards
201
7.3
7.4
7.5
Sicherheitsoptionen für die Anmeldesicherheit
219
7.3.1
Kontenrichtlinien festlegen
219
7.3.2
Verwendung von Gruppenrichtlinien für die Zuweisung von Benutzerrechten und Sicherheitsoptionen
223
7.3.3
Zusätzliche Sicherung der Passwörter
230
Sicherheitsgruppen unter Windows
231
7.4.1
Gruppenstruktur im gemischten Modus
231
7.4.2
Wechsel in den einheitlichen Modus
235
7.4.3
Gruppen im einheitlichen Modus
236
Überwachungsrichtlinien für die Benutzerüberwachung 7.5.1
7.5.2 8
238
Übersicht über die möglichen Überwachungsrichtlinien für die Benutzerüberwachung
238
Überwachungsstrategien für die Benutzerüberwachung
240
Ressourcenbezogene Sicherheit
245
8.1
Anforderungen an die ressourcenbezogene Sicherheit
245
8.2
Sicherheit von Dateien
246
8.2.1
Klassifizierung der Datenbestände
247
8.2.2
Sicherung des lokalen Dateizugriffs per NTFSBerechtigungen
249
Sicherung des Zugriffs über Netzwerk per Netzwerkfreigaben und NTFS
259
Überwachungsstrategien für Dateizugriffe
270
8.2.3 8.2.4 8.3
8
191
Sicherheit der Konfigurationseinstellungen
278
8.3.1
Registry direkt absichern
279
8.3.2
Registry-Zugriff über Gruppenrichtlinien absichern 282
Inhaltsverzeichnis
8.4
Sicherheit von Systemdiensten
283
8.5
Druckersicherheit
286
8.5.1
Zugriffssicherheit steuern
286
8.5.2
Richtlinien zur Druckersicherheit
288
8.6
9
Sicherheit der Active Directory Objekte
290
8.6.1
Delegierung von administrativen Aufgaben
290
8.6.2
Explizite und vererbte Berechtigungen
296
8.6.3
Objektsicherheit gegenüber dem globalen Katalog
302
Datenverschlüsselung unter Windows
305
9.1
Anforderungen, die zum Einsatz von EFS führen
305
9.2
Verfahren zur Datenverschlüsselung und Sicherung der Datenverlässlichkeit
305
9.2.1
Die symmetrische Verschlüsselung
306
9.2.2
Die asymmetrische Verschlüsselung
306
9.2.3
Digitale Signaturen
307
9.3 9.4
9.5
9.6
EFS (Encryption File System) – Verschlüsselung von Dateien und Verzeichnissen
308
Vorbereitung des Einsatzes von EFS
310
9.4.1
Systemvoraussetzungen für den Einsatz von EFS
310
9.4.2
Festlegung der zu verschlüsselnden Daten
311
Die Aspekte der Dateiverschlüsselung
313
9.5.1
Dateien und Ordner verschlüsseln
313
9.5.2
Zugriff auf verschlüsselte Dateien und Ordner
320
9.5.3
Verschlüsselte Daten kopieren oder verschieben
321
Sicherung & Wiederherstellung verschlüsselter Dateien
322
9.6.1
Sicherung von verschlüsselten Daten
322
9.6.2
Der Wiederherstellungsagent
323
9.6.3
Konfigurieren der Sicherheitsrichtlinien
324
9.6.4
Sicherung der Zertifikate
333
9.6.5
Wiederherstellen verschlüsselter Dateien
339
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
341
10.1 Anforderungen, die zum Einsatz von digitalen Zertifikaten führen
341
10.2 Die Public Key Infrastructure
342
10.2.1
Grundlegende Komponenten der PKI
342
10.2.2
Hierarchie und Typen der Zertifizierungsstellen
344
10.2.3
Voraussetzungen für den Aufbau einer PKI
347
9
Inhaltsverzeichnis
10.3 Installation der Zertifikatsdienste 10.3.1
Installation der ersten Zertifizierungsstelle im Unternehmen
348
10.3.2
Installierte Komponenten
351
10.3.3
Einrichten einer untergeordneten Zertifikatsstelle
352
10.3.4
Sichern und wiederherstellen einer vorhandenen Zertifizierungsstelle
356
10.4 Prozess der Zertifikatsvergabe
360
10.4.1
Anfordern von Zertifikaten
360
10.4.2
Die verschiedenen Zertifikatsvorlagen
366
10.4.3
Überprüfung von Zertifikatsanforderungen
372
10.5 Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
373
10.5.1
Manuelles Ausstellen von Zertifikaten bei einer eigenständigen Zertifizierungsstelle
373
10.5.2
Erneuern von Zertifikaten
374
10.5.3
Sperren von Zertifikaten
380
10.5.4
Umgang mit der Zertifikatssperrliste
383
10.5.5
Import und Export von Zertifikaten
390
10.5.6
Gruppenrichtlinien für die Zertifikate
393
10.5.7
Zusammenarbeit mit anderen Zertifizierungsstellen 395
11 Sicherheit der verschiedenen Netzwerkdienste
399
11.1
Anforderungen an eine sichere Kommunikation im LAN
11.2
Platzierung der Netzwerkdienste in der Netzwerkinfrastruktur
400
11.3
Sicherung des DHCP-Dienstes
406
11.3.1
Vermeidung unautorisierter DHCP-Server
406
11.3.2
Vermeidung der IP-Vergabe an unautorisierte Clients
409
11.3.3
Schutz der DHCP-Datenbank
414
11.3.4
DHCP-Antworten auf Netzwerksegmente binden
415
11.4
11.5
10
348
399
Sicherung des DNS-Dienstes
416
11.4.1
DNS-Server absichern
417
11.4.2
DNS-Server gegen unautorisierte Registrierungen absichern
420
11.4.3
Weitere Schutzmechanismen
422
Sicherung der Terminaldienste
425
11.5.1
Verschlüsselung der Terminalserver-Daten
426
11.5.2
Sicherheitseinstellungen zur Absicherung von Terminalservern
427
Inhaltsverzeichnis
11.6
11.7
11.8
Sicherung der Kommunikationskanäle über IPSec 11.6.1
Das Netzwerkmodell und die verschiedenen Varianten der Datenverschlüsselung
431
11.6.2
Einfacher Einsatz von IPSec
433
11.6.3
Konfiguration benutzerdefinierter IPSec-Richtlinien 435
Gesicherte Netzwerkkommunikation durch Routing
445
11.7.1
446
Network Address Translation einrichten
11.7.2
Reverse-NAT einrichten
453
11.7.3
Routen-Kommunikation verhindern
458
Remote-Zugänge durch RAS und VPN 11.8.1
11.9
430
Anforderungen bei der Anbindung von RemoteBenutzern und Remote-Standorten
466 467
11.8.2
Sicherheit der RAS-Authentifizierung konfigurieren 467
11.8.3
Sicherheit der Datenübertragung konfigurieren
471
11.8.4
Zugriffsicherheit über RAS-Richtlinien definieren
477
11.8.5
Sicherheit über Richtlinien und Profile definieren
479
11.8.6
Zusätzliche Sicherheitfunktionen für RASund VPN-Server
483
Internetauthentifizierungsdienst (IAS)
485
11.9.1
RADIUS & IAS
486
11.9.2
Einrichten des IAS
487
12 Internet & Sicherheit 12.1 Anforderungen an Internetzugang & Internetpräsenz 12.2 Der Internet Explorer 6.0
489 489 490
12.2.1
Definition unterschiedlicher Sicherheitszonen
490
12.2.2
Beeinflussung der Cookie-Verwendung (Datenschutzfunktion)
493
12.2.3
Nutzung der erweiterten Sicherheitseinstellungen
499
12.2.4
Einsatz von Zertifikaten
501
12.3 Gruppenrichtlinien zur Internetnutzung
504
12.3.1
Gruppenrichtlinien für die Sicherheitskonfiguration 504
12.3.2
Genehmigte ActiveX-Plug-Ins
508
12.3.3
Authenticode-Einstellungen einrichten
509
12.4 IEAK
510
12.5 Sicherheit bei Internetpräsenzen
511
12.5.1
Die Dienste des IIS
511
12.5.2
Die Sicherheitsbarrieren des IIS
513
12.5.3
IIS absichern
520
11
Inhaltsverzeichnis
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
A
13.1 Sicherheitskatalog erstellen
528
13.2 Kontrollwerkzeuge & Testvarianten
530
13.2.1
Manuelle Tests oder Scripts
530
13.2.2
Batch-Jobs
531
13.2.3
Sicherheitsprotokoll (Ereignisprotokoll)
537
13.2.4
Sicherheitskonfiguration und -analyse
541
13.2.5
HFNetChk
543
13.2.6
Microsoft Personal Security Advisor (MPSA)
547
13.3 Reaktionen auf die Implementierungskontrolle
549
Anhang
553
A.1
Die Class-IDs der Standard-Snap-Ins von Windows 2000
553
A.1.1
Eigenständige Snap-Ins
553
A.1.2
Erweiterungs-Snap-Ins
555
A.1.3
Snap-Ins der Gruppenrichtlinien
557
A.2
Nützliche Internetadressen
558
A.3
Checklisten zur Überprüfung der Sicherheitskonfiguration
562
A.4
Planungshilfe für die Einführung von Sicherheitsstandards
563
A.5
Liste der in diesem Buch verwendeten RFCs
564
A.6
Bekannte Ports unter Windows 2000
566
Stichwortverzeichnis
12
527
571
1
Einleitung
Kennen Síe das auch? Für viele Firmen besteht die wesentliche Sicherheit des Netzwerks darin, dass der gelbe Zettel mit dem Administratorenpasswort am Arbeitsplatz des Sicherheitsbeauftragten in kryptisch gehaltener Schrift geschrieben wurde. Es steht wahrhaftig nicht gut um die Sicherheit im Windows-Land, doch der »Feind« sitzt nicht in irgendwelchen Programmiererbaracken des ehemaligen Ostblocks und arbeitet an der Wiederauferstehung des sozialistischen Weltreichs, sondern eher in der eigenen Firma. Da schreiben sich die Journalisten der Fachgazetten die Finger wund über Sicherheitslücken in Windows 2000, die UNIX-Fachpresse feiert den hundertsten Bug des Internet Information Servers, doch in der Regel werden, sofern Sie nicht gerade die Firma Amazon oder Yahoo besitzen, kaum Schäden durch erfolgreiche DoS-Attacken verursacht. Schlimmer ist da schon der Datenverlust, der entsteht, weil Anwender Dinge dürfen, die sie eigentlich gar nicht dürfen sollen, weil für Datensicherheit keine Konzepte vorliegen und weil Administratoren mit der Einführung von Sicherheitsmaßnahmen zumeist auf verlorenem Posten stehen. Es ist eine Mär, dass Sicherheit die Anwender in ihrer täglichen Arbeit einschränkt. Sie hat zumeist nur die unangenehme Eigenschaft, die Anwender auf die Dinge zu beschränken, die sie tatsächlich leisten sollen, nämlich die tägliche Arbeit. Es ist nichts dagegen einzuwenden, dass jeder Anwender im Firmennetzwerk Zugriff auf das Internet erhält, doch gehören Pornoseiten und Moorhuhn-Online wirklich zu den (zumindest für die Firma) relevanten Diensten des Internet?
erstellt von ciando
Was also soll dieses Buch? Nun wir Autoren haben uns entschlossen, nicht das 30. Buch zur Frage, wie Sie erfolgreich die Datenbanken des FBI und CIA hacken, zu schreiben. Es soll auch nicht zeigen, wie Sie erfolgreich die Bestelldatenbank einer Pizzeria in Los Angeles manipulieren, um sich per Airbus eine Pizza liefern zu lassen. Derartige Informationen können Sie gerne in anderen Büchern und auf einschlägigen Internetseiten nachlesen. Wir haben es uns vielmehr zur Aufgabe gemacht, Ihnen für den Aufbau und die Durchführung eines fortwährenden Sicherheits-Managements in Ihrem Netzwerk konkrete Lösungsvorschläge zu machen. Zudem sollen Sie durch die zu Grunde liegende Theorie auch fit für Diskussionen zu diesem Thema gemacht werden. Das Buch beginnt daher auch nicht mit dem Einstieg in die grundlegende Virenprogrammierung, sondern mit einer Ist-Analyse der Sicherheit im Netzwerk. Erst, wenn man weiß, welche Probleme und Sicherheitslücken im Netzwerk tatsächlich existieren, kann man sie auch gezielt lösen. Im Anschluss lernen Sie die Erstellung eines für Ihre Zwecke passenden Sicher-
13
1 Einleitung
heitskonzepts kennen, in dem Sie die benötigten Lösungsansätze formulieren. Sobald Sie sich dann durch die Vielzahl von Keks- und Kaffee-Konferenzen geschlagen und grünes Licht für Ihre Vorschläge erhalten haben, folgt die eigentliche Einführung. In der Einführungsphase der Netzwerksicherheit zeigen wir Ihnen, welche Mechanismen Sie für die unterschiedlichen Anforderungen von Sicherheit im Netzwerk zur Verfügung haben. Dies beginnt bei uns nicht mit einem 400-seitigen Exkurs über die Verschlüsselungsmechanismen des Secure Hash-Algorithmus, sondern mit der simplen, aber effizienten Anwendung von Freigabe- und NTFS-Sicherheit. Über die neuen und speziellen Features von Windows 2000 gelangen wir schließlich tatsächlich zu den höheren Weihen von Daten- und Netzwerksicherheit, ohne dabei den Boden der Realität zu verlassen. Denn eine uralte Regel gilt bis heute: der sicherste Computer ist immer noch ein ausgeschalteter Computer. Bitte sehen Sie es uns dabei nach, dass wir Sicherheit nicht als Magie betrachten, die man mit großem Trara betreibt (nicht zuletzt, um gigantische Gehaltsforderungen zu rechtfertigen). Wir handhaben die Sicherheitsfunktionen von Windows 2000 genauso, wie die Möglichkeit, mit dem Mediaplayer MP3-Dateien wiederzugeben. Denn nur so sollte Sicherheit unter Windows 2000 betrachtet werden: als Selbstverständlichkeit. Mainz, Wiesbaden, Herbst 2001 Kerstin Eisenkolb, Mehmet Gökhan, Helge Weickardt
14
2
Was ist überhaupt Sicherheit?
Sicherheit ist nicht gleich Sicherheit. Zumindest wenn man sich dem Begriff Sicherheit nähert, ist er im Grunde genommen eine mehr oder weniger leere Hülle, die mit beliebigem Inhalt gefüllt werden kann. Geht es um die Sicherheit der Daten vor nicht autorisiertem Zugriff, geht es um die Sicherheit der Daten gegen Datenverlust oder geht es beispielsweise um die Sicherheit des Netzwerks gegen unautorisierte Nutzung? Dieses Kapitel versucht noch vor dem eigentlichen Einstieg in das Thema Sicherheit, einmal die verschiedenen Facetten von Sicherheit in der IT-Infrastruktur zu beleuchten und genauer zu unterscheiden.
2.1
Welche unterschiedlichen Sicherheitsbegriffe gibt es?
Da gibt es doch diesen Spruch, »Äpfel mit Birnen vergleichen«. Angewendet auf den Sicherheitsbegriff würde der Spruch vermutlich »Äpfel mit Birnen, Salat, Zucchini und Schokoladenpizza vergleichen« heißen. Doch bevor wir uns hier in kulinarischen Ausuferungen verlieren, sollen an dieser Stelle die einzelnen Sicherheitsbegriffe genauer vorgestellt werden:
2.1.1
Der Sicherheitsbegriff von gestern
Bis vor einigen Jahren gab es im Wesentlichen drei Sicherheitsbegriffe, die von allen namhaften öffentlichen wie privaten Institutionen vertreten wurden. Hierbei handelte es sich um: 왘 Datensicherheit. Dies bezeichnet vor allem den Schutz von Daten gegen-
über nicht autorisierten Zugriffen. Im Detail musste bei Datensicherheit einerseits stets dafür Sorge getragen werden, dass die betroffenen Daten nicht oder nur unter bestimmten Voraussetzungen manipuliert werden konnten, zum anderen war es eine Sicherheitsanforderung, dass alle Zugriffe auf Daten auch protokolliert werden mussten. Im Großen und Ganzen findet sich dieser Sicherheitsbegriff heute besonders in SQLbasierten Datenbanksystemen wieder. Hier werden Zugriffe über spezielle Konten und Rollen definiert, die unterschiedliche Stufen von Datensicherheit für unterschiedliche Gruppen von Anwendern definieren. 왘 Datensicherung. Befasst sich die Datensicherheit mit dem Zugriff und
der Manipulation von Daten, so befasst sich der Begriff der Datensicherung mit dem Schutz von Daten vor Datenverlust. Gemeint ist die Fähigkeit, Daten beim Ausfall eines Speichermediums im aktuellen Betrieb
15
2 Was ist überhaupt Sicherheit?
möglichst zeitnah wiederherzustellen. Es war seit jeher eine Anforderung der Datensicherung, den entstandenen Datenverlust so gering wie möglich zu halten, da bei Verlust durchaus massiver wirtschaftlicher Schaden entstehen kann. Die produktive Arbeit einer Vielzahl von Anwendern geht hier verloren, dieser Verlust kann in Arbeitszeit und somit in einen direkten betriebswirtschaftlichen Faktor umgerechnet werden. Die meisten global agierenden Firmen haben diesem Risiko bereits mit entsprechenden Desaster Recovery-Lösungen Rechnung getragen, bei Mittelstand und Kleinunternehmen hingegen liegt die Datensicherung nach wie vor im Argen. Unverständlich, da in Betriebssystemen wie Windows NT oder Windows 2000 eine durchaus akzeptable Backup-Software kostenlos beiliegt und einfache Backup-Hardware heute maximal im vierstelligen Bereich liegt. 왘 Datenverfügbarkeit. Der dritte Datensicherheitsbegriff beschreibt die
Anforderung von Datensicherheit in Bezug auf Datenverlässlichkeit. Stellen Sie sich vor, Sie fertigen einen Report mit allen Verkäufen Ihres Unternehmens an. Da ein Großteil der Daten aufgrund eines Rechnerausfalls nicht verfügbar ist, sieht das dritte Quartal Ihrer Firma miserabel aus, wichtige Verkäufe fehlen. Da keiner über die fehlenden Daten informiert ist, gibt Ihre Firma eine Gewinnwarnung aus, daraufhin fällt der Kurs Ihrer Firmenaktie ins Bodenlose, tausende von Mitarbeitern müssen entlassen werden, die Börsen der Welt crashen, Millionen Aktienanleger werden in den persönlichen Ruin getrieben, Analysten begehen Selbstmord..., und das alles nur wegen eines »kleinen« Fehlers. Zurück zum Ernst: für eine sinnvolle Unternehmensplanung, für korrekt ablaufende Transaktionen und auch für die Schaffung von Datensicherheit (Zugriffsdatenbanken müssen auch verfügbar sein) ist eine dauerhafte und fehlerfreie Bereitstellung von Daten zwingend erforderlich.
2.1.2
Der Sicherheitsbegriff von heute
Eigentlich kann man die drei alten Begriffe auch heute gewissermaßen als Säulen der heutigen Sicherheitsbegriffe verwenden. Die drei Urbegriffe wurden in weitere Teilbegriffe aufgesplittet, um den einzelnen Aspekten der Sicherheit besser Rechnung tragen zu können. Dies wurde im Besonderen im Bereich der Datensicherheit und Datenverfügbarkeit deutlich gemacht; hier haben die Softwarehersteller modernen Anforderungen und Gegebenheiten umfassend Rechnung getragen. Der Begriff Datensicherheit teilt sich heute in eine ganze Reihe von untergeordneten Begriffen auf: 왘 Anmeldesicherheit. Bei diesem Begriff ist die Sicherheit der Anmeldung
von Personen an einem Sicherheitssystem zu verstehen. Dies kann das Öffnen einer Tür über eine entsprechende Chipkarte sein, dies kann aber auch die Authentifizierung von Benutzern und Computern an Servern und Datenspeichern beschreiben. Alle Varianten haben eine Gefahr
16
Welche unterschiedlichen Sicherheitsbegriffe gibt es?
gemeinsam: die Abhörbarkeit der Authentifizierungsdaten. Zeiten, in denen Programme wie Telnet fröhlich Benutzername und Passwort unverschlüsselt über das Netzwerk tratschten, sind noch nicht lange vorbei. Und auch wenn die meisten Serverbetriebssysteme heute wesentlich sicherere Authentifizierungsmechanismen verwenden, haben auch die »Gegner« aufgerüstet. Das Mitschneiden und Auswerten von Authentifizierungsinformationen ist immer noch möglich, daher gehört der Verschlüsselung dieser Daten auch ein besonderes Augenmerk der Softwarehersteller. 왘 Datenverschlüsselung. Speziell, seit immer mehr Daten über öffentliche
Netzwerke übertragen werden, besteht kaum noch eine Kontrollmöglichkeit, wessen Rechner die Daten auf ihrer Reise zum Ziel passieren. Gleichgültig, ob E-Mail oder Datenübertragung über das Internet, die Daten können prinzipiell an jeder Schnittstelle abgefangen und ausgewertet werden. Industriespionage nach Art von James Bond mit Kamera und Krawatte ist out, die modernen Spione tragen Jeans und leben neben Türmen leerer Pizzaschachteln. Wollen Sie Ihre Daten vor den neugierigen Blicken anderer bewahren, bleibt nur die Datenverschlüsselung. Durch spezielle Verfahren werden die Daten durch eine Art »Zerhacker« geschickt. Die unlesbaren Fragmente können dann nur noch beim Empfänger mit einem bestimmen Schlüssel wiederhergestellt werden, sonst kann keiner mehr die Daten lesen. Eine derartige Verschlüsselung findet derzeit sowohl bei gespeicherten Daten, wie bei der sicheren Übertragung von E-Mail, als auch bei der Übertragung von Daten über virtuelle private Netze (VPNs) statt. 왘 Datenverlässlichkeit. Neulich fiel uns ein Brief in die Hand, der exakt
den Look der uns allen bekannten Bußgeldstellen hatte. In Erwartung der obligatorischen Verwarnung wegen Falschparkens (schafft endlich mehr Parkplätze!!!) waren wir überrascht, die Werbung eines Glücksspielanbieters in Händen zu halten. Prinzipiell kann man auch jede E-Mail oder jedes Dokument so aussehen lassen, als wäre die Nachricht bzw. die unterschriebene Bestellung von Ihnen. Dies ist die derzeit wohl größte Sicherheitslücke im gesamten Internethandel. Zur Bestellung von Bananen-Lieferungen nach Nowosibirsk auf Kosten von Bill Gates’ Kreditkarte bedarf es lediglich der Kenntnis der Kreditkartendaten, zusätzliche Bestätigungen oder Unterschriften sind nicht notwendig. Jeder, der bereits einmal auf diese Weise geschädigt wurde, wird bestätigen, dass der Datenverlässlichkeit, also der Manipulationssicherheit von Daten, eine der wichtigsten Aufgaben der nahen Zukunft zukommt. Einen Lösungsansatz dieses Problems bieten so genannte digitale Zertifikate und digitale Signaturen, die die Authentizität eines Anwenders bzw. das Faktum, dass ein Text während des Versendens nicht mehr verändert wurde, gewährleisten. 왘 Zugriffssicherheit. Hierbei handelt es sich eigentlich um die Fortfüh-
rung des Originalbegriffs der Datensicherheit. Durch die Zugriffssicherheit wird gewährleistet, dass nur diejenigen auf einen Datenbestand
17
2 Was ist überhaupt Sicherheit?
zugreifen können, die zuvor durch entsprechende Instanzen autorisiert wurden. Zudem wird hier beschrieben, dass es unterschiedliche Varianten von Zugriffsberechtigungen gibt, solche mit reinen Anwenderrechten und solche mit administrativen Berechtigungen, also beispielsweise mit der Fähigkeit, Daten zu löschen. Eine weitere Stufe der expliziten Zugriffsverweigerung ist ebenfalls eine wichtige Komponente, die heute von jedem modernen Betriebssystem erwartet werden kann. 왘 Überwachungssicherheit. Lange Zeit war die Überwachung von Zugrif-
fen auf Daten und Objekte, also beispielsweise Computer, Server oder auch einfach Drucker, ein Stiefkind der Sicherheitsfachleute. Mechanismen zur Überwachung gibt es bereits seit etlichen Jahren sowohl unter Windows als auch unter UNIX, dennoch mochte keiner die angebotenen Features so recht nutzen. Zu groß war die Sorge, dass die Überwachung von Zugriffen zu einer Überwachung von Mitarbeitern ausartet. Mit den neuen Betriebssystemen des neuen Jahrtausends (klingt immer noch komisch...) hat sich hier allerdings viel geändert. Überwachungsverfahren lassen sich nun viel genauer spezifizieren und somit gezielt auf einzelne Objekte anwenden; es besteht gar nicht mehr die Notwendigkeit, alles und jeden zu kontrollieren. Hinzu kommt die Einsicht, dass Überwachung auch dem Beweis der Unschuld gilt, weswegen auch Administratoren sich mit Vorliebe selbst überwachen. Wohl dem, der nachweisen kann, dass ein Serverfehler durch die Aktivitäten eines Servicetechnikers der Fremdfirma verursacht wurde, denn dann trägt diese Firma die Kosten der Wiederherstellung, sonst muss das betroffene Unternehmen selbst geradestehen. Der Begriff Datensicherung war bereits in der ursprünglichen Definition sehr ausgereift realisiert worden. Dennoch hat sich hier eine Art Verschiebung in der Begrifflichkeit ergeben. So zeigt der Begriff »Datensicherung«, dass früher vor allem auf die zusätzliche Absicherung der Daten Wert gelegt wurde. Der heutige Begriff »Desaster Recovery« zeigt hingegen, dass wesentlich mehr Wert auf die Datenwiederherstellung gelegt wird. Die Datenwiederherstellung wird auch zunehmend zum Problem in der Systemtechnik. Während wir über entsprechende Backupsysteme mittlerweile zahllose Gigabyte an Daten in kürzester Zeit auf ein Band sichern können, dauert die Wiederherstellung einzelner Daten von diesen Bändern etwa so lange wie die Entwicklung vom ersten Feuer bis zur Dampfmaschine. Wenn Unternehmen bis zu 24 Stunden auf die Wiederherstellung von elementaren Daten warten müssen, ist es Zeit für kreative Wiederherstellungsverfahren, die die Servertopologie und auch die Datenstruktur optimal berücksichtigen. Und auch an der Tatsache, dass das Bandlaufwerk bis in alle Ewigkeit das einzige Sicherungsmedium bleibt, darf getrost gezweifelt werden. Optische Speicher auf Kristallbasis stehen kurz vor der Serienreife. Hier darf sicherlich in den nächsten Jahren eine regelrechte Evolution der Sicherungstechnologien zu erwarten sein.
18
Welche unterschiedlichen Sicherheitsbegriffe gibt es?
Bleibt der Begriff der Datenverfügbarkeit. Nicht ganz uneigennützig hat die PC-Industrie dieses Thema zu ihrem Lieblingsthema erkoren. Kaum ein Tag, an dem nicht eine neue Hochverfügbarkeitslösung mit 30-fach-Cluster und Terabyte-Festplattenarray vorgestellt wird. Auch hier haben sich einige neue Begriffe herauskristallisiert: 왘 Ausfallsicherheit. Dieser inzwischen doch fast klassische Begriff defi-
niert den Schutz vor Hardwareausfällen. Mit entsprechenden Vorkehrungen zur Ausfallsicherheit beugen wir Fehlern von Festplattenlaufwerken, Stromversorgung oder zentralen Komponenten wie CPU oder RAM vor. Die heute zumeist angestrebte Lösung ist der Cluster, in dem zumindest zwei gleiche Geräte über eine spezielle Software zusammengeschaltet werden. Fällt das eine System aus, springt das zweite System ein, das während der übrigen Zeit nur die Funktionalität des primären Servers überwacht. Damit beide Server den gleichen Datenbestand besitzen, sind sie zumeist beide mit einem Festplattenarray verbunden, das einfach formuliert die Festplatte für beide Rechner darstellt. Festplattenarrays selbst gewährleisten ebenfalls Ausfallsicherheit, indem sie durch spezielle Mechanismen (z.B. RAID 1, 5 oder 10) den Ausfall von Festplatten ausgleichen können. Weitere Ausfallsicherheit wird schließlich durch zusätzliche Netzteile in einem Server, durch separate Stromkreise und andere Vorkehrungen zusätzlich gewährleistet. 왘 Datenredundanz. Unter der Datenredundanz wird noch einmal explizit
die Toleranz von Systemen gegenüber dem Ausfall von Speichermedien verstanden. Datenredundanz wird dabei entweder über Softwaremechanismen oder über spezielle Hardware realisiert. Zu den Softwaremechanismen gehört beispielsweise die automatische Replikation von Daten zwischen Servern, so wie sie bei verteilen SQL-Datenbanken, ExchangeOrdnern oder auch im Active Directory stattfindet. Die Hardwarelösungen hatten wir bereits bei der Ausfallsicherheit erwähnt, hier sorgen RAID-Controller und entsprechende Festplattenarrays für die fehlertolerante Behandlung von Festplattenausfällen. Es sei hier noch einmal erwähnt, dass Datenredundanz bzw. Fehlertoleranz keine Sicherheit in Bezug auf Datenfehler, Inkonsistenzen oder Eingabefehler darstellen. Diese wird nach wie vor durch die Datensicherung gewährleistet. 왘 Reliability of Service. Diesen Begriff gibt es noch nicht offiziell, dennoch
dürfte ein vergleichbarer Begriff in den nächsten Jahren sicherlich auch als Standard definiert werden. Beschrieben wird hiermit die Zuverlässigkeit eines Dienstes, also z.B. die Stabilität eines Webservers oder die Leistungsfähigkeit eines SQL-Servers bei Transaktionen. Die Softwarehersteller tragen dieser Anforderung bereits durch umfassende Patches im Sicherheitsbereich bei Webservern Rechnung, so dass diese Dienste durch externe Attacken (z.B. Denial of Service) nicht mehr deaktiviert werden können. Auch die Leistungsfähigkeit eines Dienstes wird durch die Unterstützung intelligenterer Hardwarestrukturen zunehmend gewährleistet. Zu guter Letzt zählt auch die Unterstützung von Echtzeit-
19
2 Was ist überhaupt Sicherheit?
Überwachungssystemen, wie Microsofts Operations Management Server zum guten Ton, die beim Ausfall eines Dienstes automatisch vordefinierte Eskalationsmechanismen auslösen können. 왘 Lastenverteilung. Ein inzwischen recht häufig vorkommendes Problem
ist die mangelnde Verfügbarkeit von Daten aufgrund zu stark ausgelasteter Server. Die Forderung nach der dauerhaften Verfügbarkeit aktueller Daten erlaubt nicht, dass Datenabfragen nicht erfolgen können, weil zu viele Abfragen gleichzeitig auf einem Server stattfinden. Nicht nur die Verfügbarkeit von Daten, sondern auch der die Daten haltenden Server muss gewährleistet sein. Für diese Aufgabe steht der Begriff Lastenverteilung. Die Last des Zugriffs auf die Daten wird so auf mehrere Rechner verteilt, die sich die gleiche Datenbasis teilen. Ein Anwender merkt bei voll funktionierender Lastenverteilung gar nicht, auf welchem Server er derzeit arbeitet, eine Überlastung von Servern wird so weitgehend verhindert. Für die Mechanismen der Lastenverteilung gibt es verschiedene Ansätze, vom klassischen Cluster über Replikation und MultimasterFunktionalität bis hin zu den klassischen n-Tier-Modellen (mehrere Frontendserver, ein Datenserver) bei SQL- und Mail-Servern. Alle hier vorgestellten Begriffe stellen das Fundament für die heutige Begrifflichkeit von Sicherheit dar. Das Schöne daran ist, dass die meisten dieser Features und Funktionen in Windows 2000 kostenlos enthalten sind oder aber durch entsprechende Servererweiterungen hinzugefügt werden können. Die Umsetzung der einzelnen Sicherheitsbegriffe in Windows 2000 möchten wir Ihnen kurz in den folgenden Abschnitten vorstellen.
2.2
Anmeldesicherheit unter Windows 2000
Windows 2000 bietet den Anwendern vier unterschiedlich geartete Authentifizierungsmethoden, wobei Microsoft auch in dieser Version wieder am Gedanken des Single Sign-on festgehalten hat, die Computer einer Domäne also einen einmal angemeldeten Benutzer untereinander verifizieren, ohne dass weitere Passwortangaben notwendig sind. Die ersten beiden Methoden befassen sich mit der klassischen Authentifizierung von Anwendern an einer Workstation der Windows 2000-Domäne – Kerberos und NTLM. Die dritte Variante unterstützt die Authentifizierung mithilfe eines Schlüsselmechanismus – die SmartCard. Die vierte Variante schließlich umfasst die Authentifizierung von Anwendern bei einem Remote-Zugriff.
2.2.1
Kerberos und NTLM
Am Anfang war der LAN-Manager. Seit jeher findet die Authentifizierung unter Windows über die Abfrage von Benutzerkonto und Passwort statt, das Anmeldefenster von Windows NT und Windows 2000 ist sicherlich fast
20
Anmeldesicherheit unter Windows 2000
jedem Anwender eines Windows-Netzwerks bekannt. Die NT LAN-Manager-Authentifizierung war bereits unter Windows NT 4 verfügbar, der Vorgänger, der LAN-Manager, sicherte Netzwerke auf Basis von MS LANManager und Windows 3.11. Während man bei der LAN-Manager-Authentifizierung kaum von einer geschützten Übergabe von Benutzernamen und Benutzerpasswort sprechen konnte, verfügte Windows NT mit der NTLAN-Manager-Version, kurz NTLM, bereits über ein erstaunliches Sicherheitspotential. Bereits in dieser Version war eine verschlüsselte Übergabe von Benutzerkonto und Passwort integriert, wenn auch die Codierung nach heutigen Geschichtspunkten ein wenig unsicher war. Windows 2000 selbst verwendet mittlerweile Kerberos 5.0 für die gesicherte Authentifizierung, unterstützt aber aus Gründen der Abwärtskompatibilität die Authentifizierungsmechanismen aller älteren Windows-Clients. Strengere Sicherheit unter Windows 2000 erzwingen Verfügen Sie über ein homogenes Netzwerk aus Windows 2000-Maschinen oder aber zumindest über ein Netzwerk, in dem auf Windows-Seite ausschließlich Windows 9x, Windows NT und Windows 2000 vertreten ist, können Sie mithilfe spezieller Gruppenrichtlinien die Sicherheit allein dadurch erhöhen, indem Sie die alten Authentifizierungsmechanismen abschalten. So können Sie die zulässigen Verfahren zur Authentifizierung von Benutzerkonten auf NTLM und NTLMv2 (Kerberos) beschränken. Wem dies noch zu unsicher ist, der kann in einem reinen Windows 2000Netzwerk sogar auf alle anderen Authentifizierungsverfahren verzichten und somit die höchstmögliche Sicherheitsstufe erzwingen. Abbildung 2.1: Gruppenrichtlinien erlauben die Definition der Unterstützung von älteren Clients
21
2 Was ist überhaupt Sicherheit?
Die eigentliche Authentifizierungsmethode von Windows 2000 ist aber Kerberos. Wenn ein Anwender sich an einem Windows 2000-Client mittels Benutzername und Passwort oder über eine SmartCard anmeldet, sucht der Windows-Computer nach einem Active Directory-Domänencontroller, auf dem der Kerberos-Dienst Anmeldungen verarbeitet. Dabei wendet das Kerberos-Verfahren einen Trick an, der die folgenden Authentifizierungen gegenüber Servern und Ressourcen drastisch vereinfacht. Der Kerberos-Server stellt dem Anwender ein so genanntes Benutzerticket (Ticket-grantingTicket) aus. Anstelle nun für jede Verbindung auf eine Ressource innerhalb der Domäne erneut eine solche Verhandlung durchzuführen, verwendet Windows 2000 dieses Benutzerticket, um weitere Kerberos-Tickets (ServiceTickets) für den Zugriff auf die Ressourcen zu erlangen. Vorteil: der Anwender bemerkt diese Verhandlungen zwischen den beteiligten Servern nicht, da seine Benutzerkennung durch das Kerberos-Sitzungsticket verwaltet wird. Diese sehr effektive Verwaltung von Benutzeranmeldungen gilt dabei für alle Ressourcen innerhalb einer Gesamtstruktur. Da in einer Gesamtstruktur von Windows 2000 alle Domänen miteinander über beidseitige direkte oder über transitive Vertrauensstellungen verbunden sind, kann die KerberosVerhandlung über Domänengrenzen hinweg durchgeführt werden. Lediglich bei Verbindungen über eine Gesamtstruktur hinaus muss der Anwender ein weiteres Mal seine Benutzerdaten für eine Anmeldung angeben, doch auch dieses Problem kann durch eine explizite Vertrauensstellung zwischen zwei Domänen behoben werden. Allerdings findet die Authentifizierung über eine klassische Vertrauensstellung nur mithilfe des NTLM-Verfahrens statt. Kerberos greift bei Windows-Maschinen nur in der Gesamtstruktur. Ein weiterer wesentlicher Vorteil von Kerberos ist die Kompatibilität mit anderen Betriebssystemen. Der Kerberos-Standard ist ein am MIT entwickeltes Verfahren, das seit vielen Jahren bereits im UNIX-Bereich eingesetzt wird. So kommt es, dass die aktuelle Version 5 nicht nur durch Windows 2000, sondern durch eine Vielzahl von UNIX-Betriebssystemen unterstützt wird. Somit wird es möglich, ohne weitere Authentifizierung von WindowsComputern auf UNIX-Ressourcen zuzugreifen. Natürlich ist auch der umgekehrte Weg möglich, besonders im Umfeld der verteilten Applikationen werden UNIX-Computer dank Kerberos ohne weitere Umwege direkt auf Daten von Microsoft-Rechnern zugreifen können, also beispielsweise auf Datenbanken.
2.2.2
SmartCart-Authentifizierung
Die SmartCard-Authentifizierung basiert auf einem so genannten privaten Schlüssel, einem speziellen Code, der auf einem Chip der SmartCard gespeichert wird. Ein Anwender legt diese SmartCard nun in einen speziellen Kartenleser ein, der mit dem Computer verbunden ist. Auf Basis des mit dem privaten Schlüssel gespeicherten Benutzerzertifikats wird die Anmeldung des Benutzers durchgeführt, die der Benutzer zudem durch die Eingabe eines speziellen Pincodes absichern muss.
22
Anmeldesicherheit unter Windows 2000
Um unter Windows 2000 eine direkte Anmeldung mithilfe von SmartCards zu realisieren, muss in der jeweiligen Gesamtstruktur eine OrganisationsZertifizierungsstelle (Enterprise CA) installiert sein, die die entsprechenden Zertifikate ausgibt. Die Installation der Zertifikatsdienste von Windows 2000 ist also zwingend erforderlich, ebenso die Pflege der damit verbundenen Public Key Infrastructure (PKI), Näheres hierzu aber später. Zudem unterstützt Windows 2000 nur Kartenlesegeräte, die den Spezifikationen des Industriestandards Personal Computer/SmartCard (PC/SC) genügen und Plug&Play unterstützen. Der Vorteil von SmartCards ist die immer gleich bleibende Authentifizierung mithilfe der SmartCard, gleichgültig, ob Login im Unternehmen, ob Remote-Login über eine Remote-Verbindung oder auch die Signatur und Verschlüsselung von Daten. Der Nachteil liegt in den doch noch recht hohen Anschaffungskosten für die notwendige Infrastruktur.
2.2.3
Remote-Zugriff
Unter Windows 2000 wurde der Remote-Zugriff über einen Einwahlserver vollständig neu definiert, vom alten RAS-Server sind nur noch einzelne Fragmente übrig geblieben. Wenn sich ein Anwender heute in ein Unternehmensnetzwerk einwählt, erhält er nur dann Zugriff, wenn: 왘 eine im Routing und RAS-Server definierte Remote Access-Richtlinie auf
ihn zutrifft und diese ihm Zugriff gewährt, 왘 sein Konto für den Zugriff über Remote-Verbindung aktiviert wurde, 왘 die Benutzerauthentifizierung zwischen dem Anwendercomputer und
dem RAS-Server erfolgreich verläuft. Erst im Anschluss hat der Anwender Zugriff auf Ressourcen des Netzwerks. Allerdings ist der Administrator unter Windows 2000 sehr flexibel in Bezug auf die bereitgestellten Ressourcen, auch hier kann mithilfe spezieller Remote-Profile dafür gesorgt werden, dass die Remote-Anwender nur einen beschränkten Zugriff auf das Unternehmensnetzwerk erhalten. Die erste große Neuheit unter Windows 2000 sind die Remote Access Richtlinien. In diesen Richtlinien kann ein Anwender beispielsweise einer bestimmten Gruppe zugeordnet werden, um Remote-Zugriff zu erhalten. Allerdings können diese Richtlinien nicht nur auf Windows-Gruppen, sondern auch auf spezielle Dienstmerkmale, beispielsweise die Caller-ID von ISDN, oder aber auf Tageszeiten angewendet werden. Es kann somit auch auf Gegebenheiten außerhalb der Windows-Welt reagiert werden. Über die Richtlinien lassen sich spezielle Anwenderprofile festlegen. So können Sie beispielsweise die Fähigkeit zur Verbindungsherstellung auf bestimmte Medien, z.B. ISDN oder S-DSL, begrenzen, eine bestimmte Sicherheitsstufe in der Verbindung fordern oder auch schlicht Sitzungszeiten definieren. Kurzum: die Remote Access-Richtlinien sind ein umfassendes Werkzeug für die gezielte Steuerung der Einwahlclients.
23
2 Was ist überhaupt Sicherheit? Abbildung 2.2: RAS-Richtlinien steuern den Zugriff über RemoteVerbindungen
Abbildung 2.3: EAP-TLS erlaubt die Authentifizierung mithilfe einer SmartCard
24
Datenverschlüsselung unter Windows 2000
Zu guter Letzt verfügt Windows 2000 bei der Authentifizierung der Anwender, wie auch später bei der Datenübertragung, über eine Reihe von Verschlüsselungsmechanismen, mit denen die übertragenen Daten vor Mithörern im öffentlichen Netzwerk geschützt werden können. Die Sicherheit kann dabei soweit realisiert werden, dass Remote-Verbindungen nur zustande kommen, wenn ein gewisser Sicherheitsstandard sowohl vom Remote-Client als auch vom RAS-Server gewährleistet werden kann. In diesem Zusammenhang sei auch erwähnt, dass Windows 2000 beim Remote-Zugriff einen umfassenden Support für SmartCards und die darauf enthaltenen digitalen Zertifikate bietet. Realisiert wird dies durch das spezielle Protokoll EAP (Extensible Authentication Protocol). Hierbei handelt es sich im Prinzip um eine Art Gerüst, innerhalb dessen Anbieter von Sicherheitshardware ihre eigenen Authentifizierungsmechanismen integrieren können. Eine bereits vorhandene Implementierung ist EAP-TLS (Transport Layer Security), eine Erweiterung, die die bereits erwähnte Unterstützung von SmartCards für den Remote-Zugriff möglich macht.
2.3
Datenverschlüsselung unter Windows 2000
Die Forderung nach Datenverschlüsselung ist auch an Microsoft nicht vorbeigegangen. Die Problematik liegt auf der Hand. Zwar sind Dateien auf NTFS-Datenträgern mit einem enormen Schutz versehen, doch bieten sie keinen Schutz vor illegalem Zugriff auf die Festplatte. Da es beinahe schon Tradition hat, dass Mitglieder der Geschäftsleitung ihre Notebooks mit allen sensiblen Daten im Flugzeug oder Zug vergessen, muss gewährleistet sein, dass kein Anwender die auf dem System enthaltenen Dateien lesen kann. Analog dazu dürfen die Daten auch dann nicht lesbar sein, wenn beispielsweise über ein Fremdbetriebssystem (z.B. Linux) lesend auf NTFS-Datenträger zugegriffen werden kann. Die Lösung für diese Probleme bringt das in Windows 2000 integrierte Encryption File System (EFS), das eine Verschlüsselung von Dateien und ganzen Verzeichnissen durchführt. Diese Dateien können später nur von dem Anwender geöffnet werden, der die Daten ursprünglich verschlüsselt hat. Ein Zugriff durch andere Anwender oder durch spezielle Gruppen ist hingegen unter Windows 2000 (bezüglich der Anwendergruppen wird sich dies unter Windows XP ändern) nicht möglich. Natürlich muss für verschlüsselte Dateien auch eine Wiederherstellungsfunktion integriert sein, dies geschieht allerdings nicht so sehr wegen der Vergesslichkeit von Anwendern, sondern aus juristischen Gründen, da Daten beispielsweise im Fall von polizeilichen Ermittlungen zur Verfügung gestellt werden müssen. Dies geschieht unter Windows 2000 über den so genannten Wiederherstellungsagenten, eine spezielle administrative Rolle, die nur durch lokale Administratoren oder durch Domänenadministratoren wahrgenommen werden kann.
25
2 Was ist überhaupt Sicherheit? Abbildung 2.4: Die Verschlüsselung macht Daten für Fremde unlesbar
Die Nutzung und Verschlüsselung der Daten selbst wird dabei durch die neue Version des NTFS-Dateisystems gewährleistet, die Verschlüsselung steht dann auch nur auf NTFS-Datenträgern zur Verfügung. Verschlüsseln können Sie die Daten mit einem insgesamt bis zu 128 Bit langen Verschlüsselungscode, der ein »Knacken« der gesicherten Daten fast unmöglich macht, zumindest aber eine ganze Großrechnerbatterie erfordert. Eine weitere Funktion der Datenverschlüsselung ist die verschlüsselte Übertragung von Mail und von Netzwerkpaketen. Um der erstgenannten Forderung Genüge zu tun, unterstützt Windows 2000 die so genannte Public Key Infrastructure (PKI), bei der Daten mithilfe eines digitalen Zertifikats und eines darin enthaltenen privaten Schlüssels verschlüsselt werden. Die Daten werden also unleserlich über das interne Netzwerk und über ein öffentliches Netzwerk wie das Internet übertragen. Die Ver- und Entschlüsselung von E-Mails samt Anhang muss dabei allerdings durch den E-Mail-Client gewährleistet werden, also beispielsweise durch Outlook 2000 oder durch Outlook Express. Die Umsetzung der zweiten Forderung, der die Datenverschlüsselung bei der Datenübertragung über Netzwerke betrifft, wird durch eine eigene Technologie, durch IPSec gewährleistet. Hierbei handelt es sich um eine Sammlung von offenen Standards, die unter anderem eine starke Verschlüsselung von Daten fordert und über entsprechende Verschlüsselungsmechanismen auch umsetzt.
2.4
Datenverlässlichkeit unter Windows 2000
Wenn es um die Gewährleistung von Datenzuverlässigkeit geht, bietet Windows 2000 eine ganze Reihe von Funktionen, doch nicht alle sind bereits genutzt. So bietet Windows 2000 einen eigenen Zertifikatsdienst an, der an die Anwender eigene digitale Zertifikate vergeben kann. Mithilfe dieses Zertifikats können Anwender beispielsweise E-Mails digital signieren oder bei
26
Datenverlässlichkeit unter Windows 2000
entsprechenden Applikationen auch Dokumente abnehmen oder Beschlüssen zustimmen. Auch eine Kaufbestätigung mithilfe der digitalen Signatur ist möglich. Die digitale Signatur wird somit zu einem ernst zu nehmenden Ersatz für die Unterschrift eines Anwenders. Abbildung 2.5: Das digitale Zertifikat stellt die Authentizität von E-Mails und Dokumenten sicher
Die Datenverlässlichkeit ist damit aber nur in einem gewissen Bereich gewährleistet. Es bleibt zu erwarten, dass die Zertifizierung auch bei Software, Softwareerweiterungen und anderen Bestandteilen der täglichen Arbeit Einzug hält. Bei der Installation von Treibern und bei der Nutzung von ActiveX-Applikationen wurde die Zertifizierung ja bereits erfolgreich eingebaut, so dass mit weiteren Umsetzungen der Zertifizierung zu rechnen ist. Die von Windows 2000 angebotenen Zertifizierungsstellen ermöglichen übrigens alle vorstellbaren Varianten in der Gültigkeit der ausgestellten Zertifikate. So kann eine Windows-Zertifizierungsstelle mühelos als untergeordnete Zertifizierungsstelle einer im Internet erreichbaren Stammzertifizierungsstelle, z.B. VeriSign, angemeldet werden. Da alle an der Public Key Infrastructure (PKI) teilnehmenden Systeme diesen Stammzertifizierungsstellen vertrauen, vertrauen sie auch der neu hinzugefügten untergeordneten Zertifizierungsstelle, quasi über einen transitiven Trust. Wer die Kosten für eine derartige Infrastruktur scheut, muss dennoch nicht auf die Zertifikatsdienste verzichten. Diese Dienste können auch als Standalone-Variante betrieben werden. Die Gültigkeit der Zertifikate gegenüber Anwendern in fremden Netzwerken muss dann individuell eingerichtet werden.
27
2 Was ist überhaupt Sicherheit?
2.5
Zugriffssicherheit unter Windows 2000
Im Prinzip war die Zugriffsicherheit bei Daten und Verzeichnissen bereits unter Windows NT 4 ausgezeichnet umgesetzt. Allerdings fehlte es bei einigen Punkten noch ein wenig an Flexibilität. Hinzu kam, dass einige Berechtigungsvarianten aufgrund von Softwareproblemen nicht so genutzt werden konnten, wie dies eventuell vorstellbar gewesen wäre. Mit NTFS 5, dem Dateisystem von Windows 2000 ist die Zugriffsicherheit auf Objekte flexibel und zudem noch einmal eine Stufe sicherer geworden. Entscheidend ist aber, dass ein Administrator für wichtige Dateien oder Verzeichnisse die Zugriffsberechtigungen für Anwenderkreise unterschiedlich definieren kann. Dies kann unter Windows 2000 in einer solchen Feinheit definiert werden, dass ein Anwender beispielsweise eine Datei zwar bearbeiten, aber nicht löschen kann. Die so definierten Zugriffberechtigungen lassen sich nur durch einen Administrator außer Kraft setzen und gelten darüber hinaus sowohl für den lokalen Zugriff als auch für den Zugriff über das Netzwerk. Eine nähere Definition von Freigabeberechtigungen ist somit in einem Windows 2000-Netzwerk nicht mehr notwendig. Abbildung 2.6: NTFS 5 bietet umfassende Einstellungsmöglichkeiten für die Sicherheit von Verzeichnissen und Dateien
28
Überwachungssicherheit unter Windows 2000
Wichtig ist dabei, dass für die Definition von Zugriffsrechten kein Administratorkonto vonnöten ist. Jeder Anwender kann die Rechte an den von ihm erstellten Dateien und Verzeichnissen selbst und frei bestimmen. Dieses Recht erhält er als höchste Instanz im NTFS-Dateisystem, als Besitzer. NTFS = Virenschutz Der gezielte Einsatz von NTFS-Berechtigungen ist zudem ein wirkungsvoller Schutz gegen Viren, deren einzige Intention die Zerstörung von Daten ist. Ein Anwender, der nicht über administrative Fähigkeiten verfügt, kann prinzipiell zwar virenverseuchte Software laden und in das System einschleusen, doch sind die Daten des Systems von dieser Verseuchung nicht betroffen. Da auch der Virus mit den Berechtigungen des Anwenders fungiert, kann er nur Daten befallen und zerstören, bei denen er über entsprechende Rechte verfügt. Da Microsoft zudem in Windows 2000 die so genannte Sekundäranmeldung eingeführt hat, besteht auch kein Grund mehr für Administratoren, sich nicht mit einem gesonderten Administratorenkonto anzumelden. Bei Bedarf können die Verwaltungstools samt administrativer Berechtigungen über die Sekundäranmeldung gestartet werden, der Rest des Systems läuft weiterhin im Kontext des normalen Benutzers. Weiterhin verfügbar sind unter Windows 2000 auch die guten alten Freigabeberechtigungen. Auch wenn sich hier im Vergleich zu Windows NT 4 nichts geändert hat, ist die bestehende Integration in Windows 2000 vor allem für die Migration von Netzwerken auf Windows 2000 notwendig. Bei Ressourcen, bei denen bislang mit Freigabeberechtigungen gearbeitet wurde, kann diese Rechtestruktur ohne weiteres auch mit Windows 2000 fortgeführt werden. Dennoch sollten Administratoren langfristig die Zugriffssicherheit auf die wesentliche flexiblere NTFS-Sicherheit umstellen. Es entsteht dabei aber eben kein zeitlicher Druck, der durch mögliche Sicherheitslücken während der Umstellung aufkommen würde.
2.6
Überwachungssicherheit unter Windows 2000
Kaum ein Betriebssystem der Welt, auch nicht auf der kommerziellen UNIXSeite, bietet derzeit so umfangreiche Mechanismen zur Überwachung von Anwendern und Ressourcen. Und dabei bleibt die Einrichtung der Überwachung auch noch flexibel handhabbar. Gewährleistet wird die Überwachung unter Windows 2000 mithilfe der so genannten Gruppenrichtlinien, dem Nachfolger der alten Windows Policies. Durch die Gruppenrichtlinien können Administratoren für einzelne Rechnergruppen unterschiedliche Überwachungsstärken definieren. So kann beispielsweise für Domänencontroller die Überwachung von Kontenmanipula-
29
2 Was ist überhaupt Sicherheit?
tionen eingeschaltet werden, während auf den RAS-Servern der Zugriff und die Authentifizierung überwacht wird. Bei Datenbankservern wiederum lässt sich die vollständige Kontrolle des Zugriffs auf die Datenbanken einrichten, bei Druckerservern analog hierzu der Zugriff auf die angeschlossenen Drucker protokollieren. Abbildung 2.7: Gruppenrichtlinien steuern die Überwachung von Computern in der Domäne
Wer die Überwachung lieber lokal einrichtet, verfügt unter Windows 2000 mit den so genannten Sicherheitsrichtlinien und den darin enthaltenen Sicherheitsvorlagen bereits über einen Satz von vorgefertigten Sicherheitseinstellungen, in denen auch die Überwachung der notwendigen Serverelemente voreingestellt ist. Diese Schablonen lassen sich durch wenige Mausklicks zuweisen und bieten somit tatsächlich »Security on your Fingertips«. Je nachdem, welche Überwachungen die Administratoren auf den betreffenden Servergruppen einschalten, können anschließend in den entsprechenden Protokollen der Ereignisanzeige beliebige Zugriffe auf Dateien, Verzeichnisse, Drucker, Server, das Active Directory oder andere Elemente dokumentiert werden. Auch wenn eine derartige Überwachung in diesem vollen verfügbaren Umfang nur selten benötigt wird, dienen einzelne Features durchaus sinnvollen Zwecken, beispielsweise der Identifikation von Anmeldeproblemen oder schlicht der Dokumentation der Administratorentätigkeit.
30
Datensicherung mit Windows 2000 Abbildung 2.8: Sicherheitsvorlagen erlauben das schnelle Zuweisen von Sicherheitseinstellungen
2.7
Datensicherung mit Windows 2000
Zugegeben, das gute alte NT Backup-Programm ist mittlerweile sicherlich überholt und nicht mehr zeitgemäß. Gerade deshalb ist Microsoft wohl auch für Windows 2000 auf Shoppingtour gegangen. Herausgekommen ist das Sicherungsprogramm von Windows 2000, das die Ähnlichkeiten mit Backup Exec von Veritas nicht verleugnet. Der kleine Bruder des professionellen Backup Exec wartet denn auch bereits mit allen Features auf, die man von einem modernen Backup-Tool erwarten kann. Sicherungen können von Partitionen, Verzeichnissen oder einzelnen Dateien erstellt werden. Eine Besonderheit stellt dabei der so genannte »Systemstatus« dar. Über eine Sicherung des Systemstatus kann ein Anwender mit einem Schlag alle wesentlichen Bestandteile des Betriebssystems sichern, also z.B. die Registry, das Active Directory und eine ganze Reihe von anderen Konfigurationsdateien. Über diese Sicherung kann ein Server selbst beim völligen Ausfall der Systemfestplatten jederzeit regeneriert werden, längere Ausfallzeiten entstehen nun höchstens noch durch die Tatsache, dass bei einem Plattenausfall Windows selbst neu installiert werden muss. Neu ist auch die Möglichkeit, Sicherungen in Dateien zu speichern. Diese Neuheit ermöglicht nicht nur die Unterstützung alternativer Sicherungsmedien, sondern auch neue Sicherungsstrategien. So ist es beispielsweise möglich, alle Clients ihre Daten auf ein Netzwerklaufwerk sichern zu lassen, das später unabhängig vom Tagesgeschäft über ein Bandlaufwerk gesichert werden kann.
31
2 Was ist überhaupt Sicherheit? Abbildung 2.9: Das Sicherungsprogramm von Windows 2000
Natürlich sei auch erwähnt, dass in das neue Backup-Tool endlich auch eine vollwertige Unterstützung des Taskplaners von Windows 2000 enthalten ist. Backup-Jobs müssen also nicht mehr umständlich über AT-Befehle getriggert werden, sondern lassen sich bequem über die grafische Oberfläche definieren. Vorteil: der Windows Taskplaner lässt die Anmeldung spezieller Sicherungs-Dienstkonten zu, so dass auch hier keine vollen administrativen Berechtigungen mehr notwendig sind. Wer nach einer professionelleren Lösung für die Sicherung von Windows 2000-Daten und –Diensten sucht, muss ebenfalls nicht lange suchen. Sowohl Veritas als auch Computer Associates haben mit Backup Exec 8.5 und ArcServe 2000 professionelle Backup-Lösungen für Windows 2000 auf dem Markt, die sich bereits im aktiven Einsatz bewährt haben. Beide unterstützen neben Windows 2000 auch die Datenstrukturen von SQL Server 2000 und Exchange 2000.
2.8
Ausfallsicherheit und Lastenverteilung unter Windows 2000
Die Ausfallsicherheit ist unter Windows 2000 durch eine Vielzahl von Features und Funktionen gewährleistet. Dazu zählt zuallererst einmal die direkte Unterstützung von Clustering durch das Betriebssystem. Windows 2000 Advanced Server beinhaltet die Clusterdienste von Microsoft, die in einer aktualisierten Fassung vorliegen. Die Besonderheit dabei ist, dass Win-
32
Ausfallsicherheit und Lastenverteilung unter Windows 2000
dows 2000 Advanced Server einen so genannten Aktiv/Aktiv-Zweiknotencluster realisieren kann, Windows 2000 Datacenter Server sogar über einen integrierten aktiven Vierfachcluster verfügt. Aktiv bedeutet dabei, dass beide Knoten, also beide Computersysteme, die über die Clusterdienste zu einem Cluster zusammengeschaltet werden, aktiv an der Serverlast teilnehmen. Bei älteren Clustern lief üblicherweise die Arbeit ausschließlich auf einem Knoten, während der zweite Knoten »Standby« war, also nur im Falle des Ausfalls des ersten Knotens in Aktion trat und die Serveraufgaben übernahm. Unter Windows 2000 können beide Knoten des Clusters gleichzeitig Serveranfragen verarbeiten, wodurch eine Lastenverteilung gewährleistet ist, die auch der Forderung nach der beständigen Datenverfügbarkeit entgegenkommt. Wenn zwei Servermaschinen entsprechende Clientanfragen verarbeiten können, ist die Wahrscheinlichkeit einer hohen Serverauslastung drastisch reduziert. Zudem wird durch die aktive Lösung verhindert, dass der Standby-Server beim Ausfall des überwachten Servers ebenfalls ausfällt. Diese Gefahr ist bei einem Standby-System deutlich höher als bei einem bereits ständig aktiven System. Bleibt zu bemerken, dass lediglich bei Windows 2000 Professional und Windows 2000 Server keine Clusterdienste enthalten sind. Dennoch sind auch diese Systeme in der Lage, alternative Clustersoftware zu unterstützen oder mit externen Festplattenarrays zusammenzuarbeiten, mehr hierzu aber im nächsten Abschnitt. Abbildung 2.10: Die Dienstidentifizierung (SRV) bietet eine Möglichkeit zur Lastenverteilung auf mehrere Server mit gleichen Aufgaben
33
2 Was ist überhaupt Sicherheit?
Ein Bestandteil der Clusterdienste ist die Lastenverteilung, die sogar ohne explizite Cluster eine Verteilung der Serveraufgaben auf mehrere Dienste ermöglicht. Windows schaltet dabei vor alle einbezogenen Server einen speziellen Lastenverteilungsdienst, der die gleichmäßige Beantwortung von Clientanfragen sicherstellt. Doch auch andere Dienste von Windows 2000 realisieren Lastenverteilung. Die Fähigkeit, die Verwaltung der Benutzerkonten auf mehrere Server zu verteilen, ist eine eingebaute Funktion des Aktive Directory, natürlich können auch alle beteiligten Domänencontroller zugleich Client-Anfragen beantworten. Weitere Lastenverteilungsmechanismen lassen sich beispielsweise durch den DNS-Server realisieren, bei dem über SRV-Statements und Round Robin-Methode moderne Features für die Aufgabenverteilung zwischen den Servern bereitstehen.
2.9
Datenredundanz in Windows 2000
Bereits unter Windows NT 4 Server brachte Windows ein eigenes SoftwareRAID mit, über das Daten gegen Festplatteausfälle gesichert werden konnten. Konkret unterstützt wurden dabei die Spiegelung von Festplatten (RAID 1) und der Stripe Set mit Parität (RAID 5), beide Lösungen wurden dabei ohne allzu großen Performanceverlust umgesetzt. Schwierig wurde unter Windows NT 4 zumeist das Handling von externen Drive-Arrays, in denen die einzelnen Festplatten über eigene RAID-Conroller betrieben werden. Unter Windows 2000 hat Microsoft den Support für externe Systeme vollständig überarbeitet und bietet nun direkt über das integrierte Festplattenmanagement den einfachen Zugriff auf externe Festplattenlösungen. Dabei kann Windows äußerst flexibel auf spezielle Gegebenheiten bei externen RAID-Systemen reagieren. Es erkennt bei Bedarf (und ohne Neustart!) veränderte Größen, wenn das externe Array beispielsweise nachträglich um weitere Festplatten erweitert wurde. Auch ein nachträgliches Einlesen von RAID-Systemen, die zuvor an einem anderen Computer betrieben wurden, sind mit dem neuen Festplattenmanagement möglich. Zu guter Letzt hat Microsoft unter Windows 2000 auch die Umsetzung des Software-RAID einem umfassenden Lifting unterzogen. Durch die Einführung von dynamischen Datenträgern werden eine Reihe von Beschränkungen der bisherigen partitionierten Festplatten aufgehoben. So ist nunmehr auch eine dynamische Erweiterung des bereitgestellten Speicherplatzes ohne Datenverlust in eingeschränktem Maße möglich. Man kann davon ausgehen, dass mit den nächsten Versionen wohl endgültig Abschied von der Festplattenpartitionierung á la MS-DOS genommen werden wird, hin zu einem rein virtuellen Festplattenmanagement mit beliebiger dynamischer Alloziierung von Speicherplatz.
34
Reliability of Service unter Windows 2000 Abbildung 2.11: Die neue Datenträgerverwaltung von Windows 2000
2.10 Reliability of Service unter Windows 2000 Die Zuverlässigkeit und Stabilität von Serverdiensten wird in zunehmendem Maß eine elementare Rolle im IT-Business spielen. Kaum ein Unternehmen wird sich in wenigen Jahren noch einen ständig abstürzenden Experimentalserver leisten können, wenn hier ein wesentlicher Teil der Unternehmenstransaktionen ausgeführt wird. Microsoft hat alle Dienste von Windows NT 4 noch einmal gründlich überarbeitet und dabei auch die Windows-Architektur nicht als Heiligtum angesehen. So wurde ein gewisser Bestandteil des technischen Supports für die grafische Oberfläche aus der Diensteschicht (dem Kernel Mode) in die Anwenderschicht (den User-Mode) verlagert. Vorteil: das System ist bei Abstürzen im Bereich der Grafikunterstützung kaum noch anfällig, alle Serverfunktionalitäten laufen weiter. Erkauft wurde diese Stabilisierung durch einen etwas höheren Speicherbedarf bei der Ausführung von Anwendungsprogrammen, was angesichts der heutigen Speichergrößen und Speicherpreise getrost als zweitrangig bezeichnet werden darf. Der TCP/IP-Stack wurde unter Windows 2000 komplett neu umgesetzt, was den Anwendern deutlich weniger Overhead in den Netzwerkpaketen beschert. Vorteil: mehr Daten passen in ein Paket, folglich finden die Datenübertragungen selbst wesentlich schneller statt. Aber auch die »höheren Dienste« sind besser abgesichert. In der Dienstverwaltung von Windows 2000 kann für den Fall eines Dienstausfalls eine Reaktionsmöglichkeit defi-
35
2 Was ist überhaupt Sicherheit?
niert werden. Dabei kann vom Neustart des Dienstes bis hin zu einer Benachrichtigung des Administrators alles Denkbare zur schnellen Fehlerbehebung eingeschaltet werden. Die Situation, dass Produktivsysteme durch einen Dienstfehler länger ausfallen, werden somit deutlich reduziert. Abbildung 2.12: Beim Ausfall eines Dienstes kann sich Windows zumindest teilweise selbst heilen
Bleibt die Berücksichtigung der Internet-Dienste. Diese sind nun leider den Attacken von externen Angreifern ausgesetzt, deren einziges Ziel die Schädigung der Unternehmen ist, die die Server einsetzen. Es ist kaum möglich, einen »unverwundbaren« Internetserver zu realisieren, der zugleich alle Möglichkeiten für echte Transaktionen bieten soll. Dieses Problem haben aber nicht nur Microsoft-Produkte, auch die Webseiten zur UNIX-Alternative Apache sind voll mit Abhilfen gegen Denial of Service-Angriffe. Die Qualität eines Produktes wird sich hier also vor allem durch die Serviceleistungen des Anbieters definieren, der die aufgeworfenen Sicherheitslücken möglichst schnell beheben muss. Hier bietet Microsoft eine gute Qualität, indem alle Patches sehr schnell verfügbar gemacht werden und gut dokumentiert sind. Zudem haben Administratoren über das Windows-Update und entsprechende Webseiten die Möglichkeit, ihre Internetserver ständig auf dem neusten Sicherheitsstand zu halten.
36
3
Bekannte Sicherheitsstandards
Für all jene, die sich tiefer in die Materie »Sicherheit« einarbeiten wollen, ist dieses Kapitel bestimmt. Es gibt einen Überblick über verschiedene Standards und Anforderungsprofile bezüglich des Begriffs Sicherheit selbst. Der Bedarf zur Standardisierung dessen, was der Begriff Sicherheit eigentlich überhaupt bedeuten soll, existiert seit nunmehr fast 20 Jahren. Zahllose Behörden und Ingenieure haben in dieser Zeit versucht, der Begrifflichkeit habhaft zu werden, was nicht immer gelang. Hinzu kommt, dass sich, bedingt durch die massiven Veränderungen im IT-Segment, unser Verständnis von Sicherheit fast täglich ändert. Dennoch gibt es eine Reihe von Ansätzen und Publikationen, die ein Sicherheitsspezialist kennen sollte.
3.1
Die Veröffentlichungen des NCSC
Im Jahre 1981 übergab das amerikanische Department of Defense (DoD) die Verantwortung für die Sicherheit von Computern an die National Security Agency (NSA). Aus dieser Verantwortlichkeit heraus wurde dann das DoD Computer Security Center gegründet, das bereit kurze Zeit später in National Computer Security Center (NCSC) umbenannt wurde. Das Ziel der Gründung dieses Instituts wurde wie folgt formuliert: »... technical standards and criteria for the security evaluation of trusted computer systems that can be incorporated into the Department of Defense component life-cycle management process...« (DoD Directive 5215.1, übernommen von http://www.radium.ncsc.mil/tpep/process/ourprogram.html) Ziel war es also zuerst einmal, lediglich Sicherheitsrichtlinien für den Einsatz von Computern innerhalb des DoD festzulegen. Die vom NCSC erarbeiteten Sicherheitsrichtlinien wurden erstmals 1983 im Dokument »DoD Trusted Computer System Evaluation Criteria (TCSEC)« veröffentlicht. Dieses Dokument ist im allgemeinen Sprachgebrauch heute allerdings mehr unter dem Namen »Orange Book« bekannt. Das Dokument sollte den folgenden Zweck erfüllen: 왘 Hersteller von IT-Produkten sollten einen standardisierten Satz von
Sicherheitsfunktionen in die eigenen Produkte einbauen. 왘 Es sollte eine Messbarkeit der Sicherheit von Daten ermöglicht werden. 왘 Für den Einkauf von IT-Produkten sollten verpflichtende Sicherheitskri-
terien vorliegen. Das Orange Book verwendet dazu eine Klassifizierung von Computersystemen in unterschiedliche Kategorien, die in einem der folgenden Abschnitte noch genauer dargelegt wird.
37
3 Bekannte Sicherheitsstandards
Zusätzlich zum Orange Book veröffentlichte das NCSC noch eine Reihe weiterer Dokumentationen, die sich mit Teilaspekten oder Aktualisierungen des Orange Books befassen und so auf Neuheiten im Sicherheitsbereich Bezug nehmen. Die entsprechenden Dokumentationen können bis heute unter der Internetadresse http://www.radium.ncsc.mil/tpep/library/rainbow/index.html abgerufen werden. Seit 1997 ist das ursprüngliche Programm des NCSC durch ein neues Programm ersetzt worden, das zusammen mit dem National Institute of Standards and Technology (NIST) unter dem Titel »Trust Technology Assessment Program« geführt wird. Dieses Programm konzentriert sich im Wesentlichen auf die Bewertung von Produkten bezüglich der C2-Sicherheit, eines allgemein mit heutigen Computern erreichbaren Sicherheitsstandards. Die Integration des weiterreichenden B1-Standards befindet sich derzeit in der Vorbereitung. Näheres zum neuen Programm findet sich unter der Internetadresse: http://www.radium.ncsc.mil/tpep/ttap/Process.html
3.2
Veröffentlichungen des BSI
In Anlehnung an die Veröffentlichungen des NSC in den USA wurde auch in Deutschland eine Institution ins Leben gerufen, deren Aufgabe die Dokumentation von Sicherheitskriterien in Bezug auf IT-Systeme sein sollte. Die damalige Zentralstelle für Sicherheit in der Informationstechnik (ZSI) veröffentlichte 1989 erstmals das so genannte »Grünbuch« mit dem offiziellen Titel »Deutsche IT-Sicherheitskriterien«. Auch in diesem Dokument wurde eine Klassifizierung von Computertechnologie in verschiedene Sicherheitsstufen vorgenommen, die wir im folgenden Abschnitt näher dokumentieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der Nachfolger der ZSI und führt seit etlichen Jahren Zertifizierungen für Computerprodukte nach den Maßgaben des Grünbuchs durch. Seit 1998 werden diese Zertifizierungen allerdings im europäischen Umfeld durchgeführt. Die »Information Technology Security Evaluation Criteria«, kurz ITSEC, wurden im Rahmen eines europäischen Abkommens zur Anerkennung der national ausgestellten Sicherheits-Zertifikate eingeführt. Im Unterschied zum NCSC differenzieren die ITSEC-Kriterien zwischen Funktionalität und Vertrauenswürdigkeit von Produkten. Die Funktionalitätsklassen entsprechen dabei den Einstufungen des amerikanischen NCSC, als zusätzlicher Aspekt wird allerdings auch noch die Wirksamkeit und Stärke von Sicherheitsverfahren bewertet. Die unterschiedlichen Kriterien sind nachzulesen unter der Internetadresse http://www.bsi.de/literat/faltbl/itsikrit.htm
38
Sicherheitskriterien für die Bewertung von IT-Systemen
Neben den Kriterien für eine Zertifizierung gemäß der Richtlinien des BSI veröffentlicht das Bundesamt noch eine ganze Reihe von Dokumentationen zu sicherheitsrelevanten Themen, die teils über das Internet heruntergeladen werden können und teils über das BSI bestellt werden müssen. Näheres hierzu finden Sie aber unter der Internethauptseite des BSI unter http:// www.bsi.de.
3.3
Sicherheitskriterien für die Bewertung von IT-Systemen
Sowohl das NCSC als auch das BSI haben eine Einstufung von IT-Produkten entwickelt, die bei der Bewertung der Sicherheit von Systemen hilfreich ist. Diese Klassifizierung wird sehr häufig bei IT-Systemen genannt, daher sollten Sicherheits-Beauftragte die hier gezeigten Klassifizierungen kennen. Um die Einstufungen übersichtlicher zu gestalten, haben wir dabei die Klassifizierung des NCSC und die Funktionalitätsklassifizierung des BSI direkt gegenübergestellt. Auch wenn es zwischen den Einstufungen geringe Abweichungen gibt, ist ein Vergleich durchaus vertretbar: Kategorie Kategorie Funktion NCSC BSI A1
F5
Die höchste Sicherheitsstufe, die von einem System bisher erreicht wurde (Honeywell Bull SCOMP). Systeme müssen ihre Sicherheit mithilfe formaler Modelle beschreiben können. Dies gilt auch für die Hardware. Eine Verifizierung der Sicherheit, die keine Lücken aufweisen darf, muss nachgewiesen werden.
B3
F5
In der B-Klasse werden zusätzlich regelbasierte Schutzmechanismen eingeführt (Policies.). In B3 wird zusätzlich zu den vorangehenden Klassen die Rolle des Sicherheitsverantwortlichen (Security Administrator) festgeschrieben, der aber nichts mit dem Systemadministrator zu tun hat. Zudem muss im System ein Mechanismus implementiert werden, der beim Eintreten einer sicherheitseinschränkenden Situation einen speziellen Benutzer benachrichtigt.
B2
F4
Erweitert B1. Für die Identifikation und Authentifizierung muss ein vertrauenswürdiger Pfad zwischen System und Benutzer zur Verfügung stehen. Informationen über angemeldete Benutzer müssen jederzeit abrufbar sein, die Attribute des Benutzers, also die Rechte, müssen sich ebenfalls nachprüfen lassen. Alle Lesezugriffe auf Daten im Speicher oder auf der Festplatte müssen protokolliert werden.
Tabelle 3.1: Sicherheitskriterien des NCSC und des BSI samt ihrer Funktion
39
3 Bekannte Sicherheitsstandards Tabelle 3.1: Sicherheitskriterien des NCSC und des BSI samt ihrer Funktion (Forts.)
Kategorie Kategorie Funktion NCSC BSI B1
F3
Der Zugriff auf ein Objekt wird nicht mehr aufgrund einer Benutzerauthentifizierung verweigert, sondern auf Basis von allgemein feststehenden Regeln. Zusätzlich werden Regeln festgelegt, was beim Transport eines Objekts aus dem System oder in das System passieren soll.
C2
F2
In der C-Klasse wird der benutzerbestimmbare Schutz beurteilt. Bei C2 muss zusätzlich zur Authentifizierung bei der Anmeldung eine Authentifizierung bei jedem Zugriff stattfinden können. Die Rechteverwaltung des Systems muss so eingerichtet werden, dass ein nicht verändernder Zugriff auf Daten erlaubt wird und dass sich die Zugriffsrechte für jeden Benutzer individuell konfigurieren lassen. Im Rahmen der Überwachung müssen folgende Vorgänge kontrolliert werden:· 왘 Identifikation und Authentifizierung· 왘 Zugriffe auf Objekte, die der Rechteverwaltung unterliegen· 왘 Anlegen und Löschen o.g. Objekte· 왘 Aktivitäten von Benutzern mit besonderen Rechten (z.B. Administratoren) An diese Informationen wiederum dürfen nur speziell berechtigte Personen gelangen. Wenn Speicherobjekte (Arbeitsspeicher oder Festplatte) genutzt werden, müssen die alten Versionen unwiederbringlich entfernt werden.
C1
F1
Es existieren Sicherheitskontrollen, die vom Benutzer bestimm- und setzbar sind, z.B. Passwörter für den Zugriff und für die eigenen Daten. Allerdings wird nach dem Anmeldevorgang keine weitere Sicherheitsabfrage mehr durchgeführt.
D
Die so genannte Restklasse, in die alle Systeme eingeordnet werden, die den obigen Standards nicht entsprechen.
Der wohl bekannteste, aus dieser Klassifizierung hervorgegangene Standard ist der C2-Standard, der speziell bei amerikanischen Produkten derzeit das Ziel aller IT-Produkte ist. Auch unter Windows 2000 und den Microsofteigenen Serverprodukten (z.B. SQL-Server 2000) spielt die Konformität zu diesem Standard eine wichtige Rolle. Prinzipiell sind Sie heute mit Windows 2000 und einem Großteil der Server-Applikationen in der Lage, auf Windows-Systemen eine Sicherheit nach dem C2-Standard zu realisieren.
40
4
Prozess der Sicherheitsimplementierung
Wenn Sie »Sicherheit« nicht auf Einzelsysteme beziehen oder das Thema »Sicherheit« als Hobby betreiben, sondern in Ihrer Organisation, Ihrem Unternehmen Sicherheit als einen festen Bestandteil betrachten, dürfen Sie Sicherheit nicht nur von der technischen Seite sehen. Auch ist es nicht damit getan, dass die IT-Infrastruktur im Rahmen eines wilden Rund-um-Schlages, bei dem auf irgendeinem Server schnell mal die Freigabeberechtigungen entfernt werden oder mal eben alle verfügbaren Überwachungsmechanismen des Betriebssystems eingeschaltet und damit das System vermeintlich sicher gemacht wird. In der Regel versinkt die Hotline nach solchen Aktionen in Anrufen von erbosten Anwendern, die auf einmal bestimmte Funktionen nicht mehr nutzen können, und Sie werden sich damit ganz sicher keine Freunde machen. Die Implementierung und Bewahrung der Sicherheit ist ein Prozess, der aus mehreren Stufen besteht, gut geplant und permanent fortgeführt werden muss. In modernen Unternehmungen wird dieser Prozess im Rahmen eines so genannten Sicherheits-Management implementiert. Teilaspekte des Sicherheits-Prozesses fallen auch in den Bereich des so genannten Verfügbarkeits-Managements, das für die Daten- und Dienste-Verfügbarkeit zuständig ist (vgl. Sie hierzu auch das Kapitel, das die unterschiedlichen Sicherheitsbegriffe erläutert). Damit haben wir bereits zweimal den Begriff des »Managements« erwähnt. Für den gesamten IT-Betrieb haben sich verschiedene Managementdisziplinen herausgebildet, die im Rahmen des IT Service Managements näher beschrieben werden. Da auch das Hause Microsoft sich zunehmend dem Thema ITSM widmet, möchte Ihnen dieses Kapitel zum einen eine kurze Einführung in das Thema ITSM bieten, Ihnen aber auch andererseits die Adaption, die Microsoft zum Thema ITSM vorgenommen hat, vorstellen. Das Kapitel möchte Ihnen auf diese Weise ein Werkzeug an die Hand geben, das es Ihnen ermöglicht, ein modernes Sicherheits-Management in Ihr Unternehmen zu integrieren.
4.1
Grundüberlegungen zum ITSM
In der Praxis hat sich der organisatorische Aufbau von IT-Diensten, darunter auch das Sicherheits-Management als viel schwieriger erwiesen, als die spätere technische Umsetzung der notwendigen Sicherheitseinstellungen. Durch die Forderung nach definierten Dienstleistungen innerhalb der ITInfrastruktur, die sich im Rahmen einer Kostenweitergabe auch gezielt berechnen lassen, wird in der Regel eine entsprechende personelle Struktur bezogen auf die verschiedenen Ebenen des IT Service Managements sowie die Definition entsprechender Prozessabläufe erforderlich. Wenn man in diesem Kontext über die in einer IT Umgebung zu verwaltenden Aufgaben und Dienstleistungen spricht, verwendet man einen weltweit anerkannten Standard, das bereits mehrfach erwähnte IT-Service Management.
41
4 Prozess der Sicherheitsimplementierung
Versuchen wir den Begriff IT Service Management direkt zu übersetzen, würden wir ihn in etwa als »geschicktes Verwalten von IT-Diensten« bezeichnen. Hinter ITSM verbirgt sich in Wirklichkeit aber ein skalierbares Musterkonzept, das sich sowohl auf kleine als auch auf große Unternehmen anwenden lässt. Außerdem ist das Konzept so aufgebaut, dass es auf die unterschiedlichsten Branchen und Organisationstypen angepasst werden kann. ITSM selbst hat die Erbringung kundenoptimaler und bezahlbarer ITDienstleistungen zum Ziel. Die IT-Abteilung wird damit als »Dienstleister« für die anderen Abteilungen des Unternehmens gesehen. Der Ansatz von ITSM zeichnet sich durch seinen ganzheitlichen und integrativen Charakter aus. Zugleich werden die verschiedenen durch ITSM abgedeckten Themenbereiche aber in unterschiedliche Prozesse, so genannte Managementdisziplinen unterteilt. Dies ermöglicht den Unternehmen auch einen sanften Einstieg in das Thema ITSM, da es möglich ist, zunächst nur einige und nicht gleich alle Managementdisziplinen in den eigenen ITBetrieb zu integrieren. Zwischen den einzelnen Managementdisziplinen gibt es jedoch wieder zahlreiche Verbindungen, die das Ziel einer effizienten und an Kundeninteressen orientierten Leistungserbringung unterstützen. Alle genutzten Managementdisziplinen bilden, wie bereits erwähnt, jeweils einen Schwerpunkt des IT Service Managements und weisen Schnittstellen zueinander auf, über die Ergebnisse und Informationen ausgetauscht werden. So ist ein ausgereiftes ITSM Voraussetzung für die Gewährleistung der Vereinbarungen, die mit dem Kunden (das können auch die anderen Abteilungen des eigenen Unternehmens sein) im Rahmen des Service Level Agreements (SLA) getroffen werden.
4.2
Übersicht über die Managementdisziplinen von ITSM
Keine Sorge, wir werden Sie nun nicht mit der kompletten Entwicklungsgeschichte von ITSM oder den gesamten theoretischen Hintergrundwissen quälen, denn dazu gibt es vom Erfinder von ITSM, der CCTA bereits genügend, hervorragende Dokumentationen. Damit Sie aber einen Eindruck bekommen, was welche Themengebiete und Aufgaben die verschiedenen Managementdisziplinen von ITSM abdecken, möchten wir Ihnen an dieser Stelle eine Kurzübersicht der verschiedenen Prozesse anbieten: Service Level-Management
Der Service Level Management-Prozess ist verantwortlich für die Gewährleistung von Service Level Vereinbarungen. Im Rahmen dieser Disziplin werden einerseits Service Level Agreements definiert und andererseits deren Einhaltung überwacht.
42
Übersicht über die Managementdisziplinen von ITSM
Finanz-Management für IT Dienste
Das Finanz-Management ist verantwortlich für die Kosten der IT-Dienste und die Kontrolle der Kosten-Nutzen-Relation der geforderten und erbrachten Leistung. Kapazitäts-Management
Aufgabe des Kapazitäts-Managements ist die Gewährleistung der Kundenanforderungen bezüglich Transaktionsvolumen, Durchlauf- und Antwortzeiten durch rechtzeitige und kostengünstige Bereitstellung der erforderlichen Ressourcen. IT Service Kontinuitäts-Management
Aufgabe des Kontinuitäts-Managements ist es, für fortlaufende- und unterbrechungsfreie Dienste zu sorgen. Verfügbarkeits-Management
Die Aufgabe des Verfügbarkeits-Managements besteht darin, ein Kontrollund Messverfahren für das IT-System zu implementieren, um die Einhaltung des in den SLAs zugesicherten Verfügbarkeitslevels zu garantieren. Konfigurations-Management
Die Aufgabe des Konfigurations-Managements besteht darin, alle genutzten Komponenten (Hardware, Software, Netzwerkinfrastruktur) sowie deren Beziehungen untereinander und Abhängigkeiten voneinander zu erfassen, fortlaufend zu dokumentieren und den anderen Managementdisziplinen als Informationsgrundlage zur Verfügung zu stellen. Change-Management
Das Change-Management sorgt für die Koordination und Umsetzung der notwendigen Veränderungen am bestehenden IT-System. Als Basis für die Arbeit des Change-Managements dienen die vom Konfigurations-Management erfassten und bereitgestellten Daten. Die Aufgaben und die durchzuführenden Schritte werden über das SLA definiert. Release-Management
Das Release-Management hat die Aufgabe, ein sicheres Rollout von neuen Software- und Hardware-Komponenten zu koordinieren und fungiert daher als eine Art »rechte Hand« des Change-Managements. Incident-Management
Die Aufgabe des Incident-Managements besteht darin, beim Eintreten eines Incidents (unvorhergesehenes Ereignis) so schnell wie möglich wieder die normale System- oder Servicefunktionalität bereitzustellen. Ein Incident ist jedes Ereignis, das nicht zu den Standardfunktionen eines Systems oder
43
4 Prozess der Sicherheitsimplementierung
eines Services gehört und das eine Unterbrechung oder eine Beeinträchtigung der Systemfunktionalität verursacht bzw. verursachen kann. Was als »normale System- oder Servicefunktionalität« anzusehen ist, wird in der Regel über die SLAs (Service Level Agreements) geregelt. Problem-Management
Die Hauptaufgabe des Problem-Managements besteht darin, die negativen Auswirkungen auf die Geschäftsprozesse, die durch auftretende Fehler in der IT-Infrastruktur verursacht werden, zu verringern. Zudem ist es ein Hauptziel des Problem-Managements, die Wiederholung von Ereignissen und Problemen, die mit diesen Fehlern zusammenhängen, zu vermeiden. Um dieses Ziel zu erreichen, versucht das Problem-Managements die Ursache, die hinter den auftretenden Ereignissen oder Problemen steht, herauszufinden, um anschließend die zur Behebung des Problems notwendigen Maßnahmen zu ergreifen. Dabei gibt es innerhalb des Problem-Management-Prozesses zwei Aspekte, den reaktiven und den proaktiven Aspekt. Während der reaktive Aspekt als Reaktion auf eine Reihe von aufgetretenen Ereignissen oder Problemen erfolgt, besteht der proaktive Aspekt darin, Probleme oder bekannte Fehler zu eliminieren, bevor Ereignisse oder Probleme überhaupt erst von den Anwendern bemerkt werden. Service Desk
Das Service Desk ist die zentrale Verbindungs- und Kommunikationsstelle zwischen dem Anwender und dem Dienste-Anbieter der IT-Dienste. Das Service Desk beinhaltet unter anderem die Funktion einer Call-Annahme und Koordinierung der eingehenden Kunden- und Anwenderwünsche (User-Help-Desk oder kurz UHD). Für die Erfüllung dieser Anforderungen wird häufig ein so genanntes Trouble-Ticket-System (z.B. Remedy) vom Service Desk verwendet, um die eingegangenen Anfragen in einer Datenbank erfassen, an entsprechende Supportstellen eskalieren und auch deren Abarbeitung verfolgen zu können. Anwendungs-Management
Das Anwendungs-Management ist verantwortlich für die gesamte Lebenszeit einer Anwendung. Eine Anwendung kann ein Hardwaresystem oder auch eine Software sein. Die Lebenszeit einer Anwendung beginnt mit der Planungsphase bis hin zur endgültigen Abschaffung eines Produktes. Es beinhaltet unter anderem auch die Koordination der Verteilung, der Fortentwicklung, der benötigten Schulungsmaßnahmen und die Stilllegung bzw. die Deinstallation eines Produktes. Sicherheits-Management
Das Sicherheits-Management hat die Aufgabe, die Vertraulichkeit, die Verlässlichkeit und die Verfügbarkeit der vorhandenen Daten sicherzustellen und zu überprüfen. Andererseits muss natürlich auch die Sicherheit der
44
Abhängigkeiten der Managementdisziplinen
Hard- und Softwarekomponenten sowie der vorhandenen Dokumentationen und ablaufenden Prozesse gewährleistet sein. Welche typischen Aufgaben das Sicherheits-Management im Einzelnen wahrnimmt, erfahren Sie an einer späteren Stelle. Projekt-Management
Das Projekt-Management hat die Aufgabe, IT-Projekte, die z.B. durch Prozessveränderungen und/oder durch Neuentwicklungen hervorgerufen wurden, zu planen, vorzubereiten und deren Durchführung zu koordinieren. Business Relationship-Management
Das Business Relationship-Management dient als Koordinations- und Verbindungsschnittstelle zu Geschäftspartnern und Lieferanten. Customer Relationship-Management
Das Customer (Kunden) Relationship-Management dient als Koordinationsund Verbindungsschnittstelle zum Kunden. Das Customer RelationshipManagement trifft, mit Absprache der anderen Disziplinen, SLAs mit dem Kunden.
4.3
Abhängigkeiten der Managementdisziplinen
In dem vorangegangenen Kapitel haben Sie im Schnelldurchgang die verschiedenen Managementdisziplinen des IT Service Managements kennen gelernt. Wie aber bereits eingangs des Kapitels erwähnt, gibt es Abhängigkeiten und Schnittstellen zwischen diesen Einzeldisziplinen. Während es bei den Abhängigkeiten der einzelnen Disziplinen vor allem darum geht, dass eine bestimmte Managementdisziplin nicht sinnvoll ohne eine andere Disziplin arbeiten kann, geht es bei den Schnittstellen vor allem darum, den Output, den ein Managementprozess erzeugt, in einer definierten Form an einen anderen Managementprozess zu übergeben. Was könnte die Abhängigkeiten und Schnittstellen der einzelnen Prozesse besser aufzeigen als ein entsprechendes Schaubild (siehe Abbildung 4.1). Da wir kein Buch über ITSM schreiben, möchten wir es auch bei diesem Schaubild belassen und uns mit den Aussagen zum Thema »Schnittstellen und Abhängigkeiten der Managementdisziplinen« auf das für dieses Buch relevante Sicherheits-Management beschränken: 왘 Sie können keine Sicherheit in Ihrem Unternehmensnetzwerk implemen-
tieren und gewährleisten, wenn Sie nicht wissen, wie Ihre Systemkonfiguration aussieht! Damit Sie aber wissen, wie Ihre Systemkonfiguration gestaltet ist, müssen Sie über das Thema Konfigurations-Management zumindest nachgedacht haben.
45
4 Prozess der Sicherheitsimplementierung 왘 Eine weitere sehr wichtige Abhängigkeit des Sicherheits-Managements
besteht zum Veränderungs- bzw. Change-Management. Stellen Sie sich vor, Sie planen und implementieren Sicherheit in einer nicht an das Internet angebundenen Umgebung. Wenn dann aber nachträglich doch eine Anbindung an das Internet stattfindet, können Sie danach noch davon ausgehen, dass Ihr vorhandenes Sicherheitsmodell den veränderten Anforderungen standhält? 왘 Und denken Sie doch noch einmal an die verschiedenen Sicherheitsbe-
griffe, die wir eingangs des Buches diskutiert haben. Das Thema Datenverfügbarkeit wird im Rahmen von ITSM nicht direkt vom SicherheitsManagement, sondern vom Verfügbarkeits-Management abgedeckt. Abbildung 4.1: Die Kommunikation der ITSM-Management-Komponenten
Operations- Management
Service- Desk
Incident- Management
Netzwerk
Hardware
Software
Verfügbarkeits- Management
46
Kapazitäts- Management
Problem- Management
Sicherheit
SLA- Management
weitere ITSM Prozesse
Praktische Umsetzung von ITSM
4.4
Praktische Umsetzung von ITSM
In den späten 80er Jahren begann die CCTA (Central Computer and Telecommunications Agency) ein IT-Konzept für die englische Regierung zu entwickeln, das auf Material basierte, das die CCTA von verschiedenen Organisationen, die im Bereich des Service-Managements tätig waren, gesammelt hatte. Die CCTA analysierte dieses Material und stellte es in Form einer Veröffentlichung, die rund 40 Bücher umfasste, den eigenen Kunden zur Verfügung. Da dieses Konzept aber auch bereits in seinen Anfängen der Öffentlichkeit zugänglich gemacht wurde, adaptierten es Unternehmen in den unterschiedlichsten Branchen und setzten es in den Bereichen des Consulting, der Mitarbeiter Aus- und Fortbildung sowie im Bereich des Supports ein. So entstand vor allem aus dem Bereich der Service-Dienstleister eine rege Nachfrage nach dem IT-Konzept der CCTA. Bis Mitte der 90er Jahre hat sich aus dem einstigen Konzept der CCTA ein »de-facto-Standard« im Bereich des ServiceManagement entwickelt, der heute unter dem Namen ITIL oder IT Infrastructure Library weltweit bekannt und anerkannt ist. Auch Microsoft befasst sich, wie bereits erwähnt, seit kurzer Zeit intensiv mit den Themen Projekt-Management und ITSM und hat daraus das Enterprise Solution Framework (ESF) entwickelt. Wie bei Microsoft üblich, ist das Ergebnis dieser Bemühungen eine gut verständliche Zusammenfassung der umfangreichen CCTA-Dokumentationen, die Sie zudem ganz leicht für Ihr eigenes Unternehmen adaptieren und in der Praxis einsetzen können. Gerade wenn Sie in Ihrem Unternehmen hauptsächlich mit Microsoft-Produkten arbeiten, ist das ESF hervorragend für Sie geeignet, da es für sämtliche Phasen des IT-Betriebes entsprechende Hilfestellungen bietet. Dabei untergliedert sich ESF in drei weitere Frameworks, die jeweils für unterschiedliche Situationen oder auch »Lebensphasen« von IT-Projekten und IT-Betrieb konzipiert wurden. Da die meisten neuen Produktsysteme in Form von so genannten Projekten in die bestehende IT-Infrastruktur eingeführt werden, befassen sich zwei der drei Frameworks mit diesen Projektphasen. Das dritte und für uns besonders interessante Framework befasst sich hingegen mit dem eigentlichen Betrieb der IT-Infrastruktur und basiert auf den ITSM-Erkenntnissen: Die drei Frameworks heißen im Übrigen: 왘 In der Vorbereitungsphase von IT-Projekten unterstützt Sie Microsoft Readi-
ness Framework (MRF) bei der Entwicklung der Bereitstellung von Anwendungstechnologien. 왘 Bei der Planung, Erstellung und Einführung eines Projektes hilft Ihnen
Microsoft Solution Framework (MSF) . 왘 Das Microsoft Operations Framework (MOF) unterstützt Sie bei der effizi-
enten Verwaltung von komplexen und modernen Produktionssystemen.
47
4 Prozess der Sicherheitsimplementierung
en
sF
re i t
r be
Rea din es
Vo
Mic ros oft
MESF Microsoft Enterprise Services Framework
rk wo
MRF
e ra m l l e n nF tio s te olu Er ft S n d nu ne
MSF
o os
P la
ram ew ork
cr Mi
Abbildung 4.2: Die Enterprise Services Framework (ESF) von Microsoft
MOF
Microsoft Operations Framework
Verwalten
4.5
Das Microsoft Operations Framework
Wie bereits im vorangegangenen Kapitel erwähnt, ist für uns das Microsoft Operations Network das wichtigste Framework des ESF, denn das MOF verbindet die gemeinschaftlichen Industriestandards für das IT Service Management wie die IT Infrastructure Library (ITIL) des Central Computer and Telecommunications Agency (CCTA) der britischen Regierung mit besonderen Richtlinien für das Verwenden von Microsoft-Produkten. Aus diesem Grund stellt das MOF den idealen Weg dar, ein Sicherheits-Management für eine Windows 2000-basierte IT-Infrastruktur zu implementieren. Die Grundprinzipien, die die Anwendung von MOF so erfolgreich machen, sind: 왘 IT-Ausrichtung auf das spezielle Unternehmen, 왘 die Kundenorientierung, 왘 der Spiral-Lebenszyklus des Betriebsservices, 왘 das Peer-Team als Modell der Personalbeschaffung,
48
Das Microsoft Operations Framework 왘 die Best Practices der Branche und speziell die Best Practices von Micro-
soft sowie 왘 die Tools zum Messen der Betriebsaktivitäten.
Nach unserem kleinen Loblied auf MOF, möchten wir uns in den beiden folgenden Abschnitten mit den Kernelementen von MOF befassen; dies sind das Prozessmodell für Betriebsvorgänge und das Teammodell.
4.5.1
Das MOF-Prozessmodell
Das Prozessmodell von MOF besteht wiederum aus vier wesentlichen Komponenten, die Sie auseinanderhalten müssen. Unterschieden wird zwischen: 왘 dem Lebenszyklus des IT Service Managements, 왘 den spezifischen Phasen des Lebenszyklus, die parallel laufen, 왘 den versions- und zeitbasierten Betriebskontrollen 왘 sowie der Einbindung allee Unternehmensaspekte.
Die Phasen des Prozessmodells Der Lebenszyklus des Prozessmodells wird darüber hinaus als SpiralLebenszyklus betrachtet, der wiederum in vier Phasen untergliedert ist. Die Phasen heißen im Einzelnen: 왘 Wechsel (Change) 왘 Betrieb 왘 Support 왘 Optimierung
Die nachstehende Abbildung verdeutlicht die Vorstellung des Prozessmodells viel besser, als es ein beschreibender Text könnte; dort sehen Sie auch die wesentlichen Komponenten sowie den Spiral-Lebenszyklus inklusive seiner Phasen. Jede Phase endet im Übrigen mit einer Kontrolleinheit, in der die Auswirkungen auf die vorangegangenen Betriebsaktivitäten bewertet werden (z.B. die Implementierungskontrolle, die Betriebskontrolle, die Service Level Agreement-Kontrolle und die Versionsreife). Anschließend wird der Zyklus erneut durchlaufen. Anhand der unternehmensspezifischen Betriebsziele werden die Kriterien für die entsprechenden Kontrollen festgelegt. Die Versionsreife und die Implementierungskontrolle werden dabei als versionsbasierte Kontrolleinheiten betrachtet. Wobei als Version jede Änderung bezeichnet wird, die in eine verwaltete IT-Landschaft einzubinden ist. Die Betriebskontrolle sowie die Service Level Agreement-Kontrolle werden hingegen in regelmäßigen Abständen, also zeitbasiert kontrolliert.
49
4 Prozess der Sicherheitsimplementierung Abbildung 4.3: Das MOF-Prozessmodell von Microsoft
O
ng
pt im
ru de
ie
n rä
ru n
Ve
g
Versionsreife
ITSM
SLAkontrolle
Implementierungskontrolle
IT-Service Management
B
t or
et ri
pp
eb
Su
Betriebskontrolle
Ablauf der einzelnen Phasen des Prozessmodells Der Lebenszyklus des Prozessmodells beginnt immer mit der Überprüfung der Versionsreife einer bestimmten vorliegenden Version. Dabei handelt es sich nicht um eine punktuelle Überprüfung, sondern um einen Prozess, an dessen Ende die Entscheidung steht, ob die geprüfte und »neue« Version in die IT-Infrastruktur implementiert werden kann. Die Entscheidung wird anhand von Kriterien getroffen, die besagen, dass die physische Umgebung und die Belegschaft für die Aufnahme der Version bereit ist, der Installationsplan und ein Alternativplan für den Notfall stehen sowie die Auswirkungen auf andere Systeme dargestellt werden können. Entscheiden Sie sich für die Einführung der Version, kann der eigentliche Wechsel stattfinden, der dazu dient, neue Servicelösungen innerhalb der Infrastruktur zu etablieren. Ob der Wechsel erfolgreich war, wird anschließend durch die Implementierungskontrolle überprüft. In der Betriebsphase läuft die implementierte Version mit all den erforderlichen Aktivitäten, die dabei helfen, die Wissensbasis des Unternehmens zu sichern. Die Betriebskontrolle überprüft diese einzelnen Aktivitäten wie Stapelverarbeitung, Systemadministration und Kontoverwaltung. Die Phase Support hilft im Wesentlichen, die SLAs zu erfüllen. Die SLAKontrolle überprüft, welche Services die Anforderung des SLA erfüllt haben. Incident-Management und Problem-Management helfen, notwendige Korrekturen durchzuführen und unterstützen die Weiterentwicklung der kundenorientierten Dienste. Da die Wettbewerbsfähigkeit der Unternehmen heute im Wesentlichen von ihrer Zuverlässigkeit abhängt, stellt die Optimierung der IT-Serviceleistung und damit die Senkung der Kosten einen wichtigen Erfolgsfaktor dar. Die Optimierungsphase ist somit die Grundlage für die »lernende Organisation«, neue Versionen zu erarbeiten. Der Zyklus beginnt somit von neuem mit der Überprüfung der Versionsreife dieser optimierten Version. Optimierungen
50
Das Microsoft Operations Framework
bleiben dabei nicht auf den technischen Bereich beschränkt, sondern beziehen sich ganz im Sinne des Modells auch auf personelle Themen und Prozessabläufe. Zuordnung der IT-Service Managementdisziplinen zu den Phasen des MOF-Prozessmodells Die IT Service Managementdisziplinen können schwerpunktmäßig den verschiedenen Phasen des MOF-Prozessmodells zugeordnet werden, sind aber nicht ausschließlich auf diese Phasen beschränkt. Bei dieser kleinen Gegenüberstellung wird auch noch einmal sehr deutlich, warum wir das Thema »Sicherheit« nicht losgelöst von den restlichen IT Service ManagementFunktionen betreiben können. Versionsreife
Änderungsmanagement Konfigurationsmanagement Versionsmanagement
O
ng
pt im
ru de
ie
n rä
ru n
Ve
g
Kapazitätsmanagement Verfügbarkeitsmanagement Kostenmanagement Ressourcemanagement
Abbildung 4.4: IT Service Management-Funktionen und MOF
ITSM
SLAkontrolle
Implementierungskontrolle
IT-Service Management
B
t or
et ri
pp
eb
Su
Service-Desk Problemmanagement Ausfallsicherheit Wiederherstellung
Betriebskontrolle
Systemadministration Netzwerkadministration Aktive Directory Administration Überwachung und Messung Sicherheitsmanagement
왘 In der Wechselphase wird vorrangig das Change oder Veränderungs-, das
Konfigurations- und Release-Management zum Tragen kommen. 왘 In der Phase Betrieb stehen hingegen die System- und Netzwerkadminis-
tration, die Überwachung, die Messung, das Verzeichnisdienstmanagement und natürlich unser Sicherheits-Management im Vordergrund. 왘 In der Support-Phase spielen dann wiederum Service Desk, Problem-
Management, Ausfallsicherheit und Wiederherstellung eine herausragende Rolle. 왘 Zur Optimierung der Servicelösungen tragen Kapazitäts-, Verfügbarkeits-,
Kosten- und Arbeitseinsatz-Management und die Alternativplanung bei.
4.5.2
Das MOF-Teammodell
Sie haben nun schon mehrfach gehört, dass das IT Service Management aus verschiedenen Managementdisziplinen besteht, die ineinander greifen bzw. miteinander kooperieren und in Form von einzelnen Prozessen dargestellt werden.
51
4 Prozess der Sicherheitsimplementierung
Grundbestandteile eines Prozesses Bevor wir genauer auf das MOF-Teammodell eingehen, möchten wir Ihnen an dieser Stelle erst noch einmal die grundlegenden Bestandteile eines jeden Prozesses vorstellen. Dies wird das spätere Verständnis des Teammodells nämlich erleichtern: 왘 Input: Jeder Prozess benötigt bestimmte Eingaben, wie z.B. Informat-
ionen, die dann im Rahmen des Prozesses weiterverarbeitet werden. Im Rahmen des Sicherheits-Managements wären dies die in einer Ist-Analyse erhobenen Daten des aktuellen Sicherheitsstandards oder Eingaben von Anwendern, die Hacker-Angriffe oder Virenbefall befürchten. 왘 Der Prozess-Besitzer: Jeder Prozess sollte über einen so genannten
»Besitzer« (Owner) verfügen, der für die Definition des Prozesses verantwortlich ist und dafür sorgt, dass alle an dem Prozess beteiligten Personen über ihre Aufgaben und die eventuell anstehenden Veränderungen informiert werden. Im Falle des Sicherheits-Managements ist das der Leiter des entsprechenden für die Sicherheit der IT-Infrastruktur zuständigen Teams. 왘 Aufgaben: Jeder Prozess wird in verschiedene Aufgaben untergliedert
bzw. setzt sich aus diesen zusammen, wobei die Aufgaben ihrerseits aus Einzelaktivitäten bestehen, die von den vom Prozess-Besitzer definierten Rollen ausgeführt werden. Die Aufgaben bekommen entsprechende Inputs und liefern umgekehrt auch entsprechende Outputs. Zu den Aufgaben des Sicherheits-Managements kommen wir weiter hinten in diesem Kapitel. 왘 Rollen: Die Aufgaben eines Prozesses werden von entsprechenden Rol-
len ausgeführt. Dabei kann eine solche »Rolle« von einem Menschen bzw. von einer Hard- oder Software ausgeführt werden. Es ist die Aufgabe des Prozess-Besitzers festzulegen, wer welche Rolle übernimmt und damit für die Ausführung einer entsprechenden Aufgabe zuständig ist. Rollenbeschreibungen haben auch etwas von Stellenbeschreibung, sie definieren beispielsweise auch die Voraussetzungen, die ein Mitglied des Sicherheits-Managements mitbringen muss. 왘 Regeln: Die Ausübung einer jeden Rolle wird innerhalb des Prozesses über
genau vorgegebene Regeln gesteuert. Auf diese Weise weiß jedes Mitglied des Sicherheits-Managements, was im Rahmen seiner Rolle zu tun ist. 왘 Output: Jeder Prozess liefert bestimmte Ergebnisse. Diese können dann
beispielsweise den Input für einen anderen Prozess darstellen. So werden beispielsweise die neuen Versionen eines Sicherheitsstandards als Output an das Change-Management übergeben. Mit diesen sechs einfachen Bestandteilen lässt sich jeder noch so komplexe Management- oder anderweitige Betriebsprozess abbilden, gleichgültig, über wie viele Abteilungen einer Organisation hinweg sich der Prozess erstreckt.
52
Das Microsoft Operations Framework
Die Rollen des MOF-Teammodells Grundsätzlich erhalten Sie aus dem MOF-Teammodell vor allem Hinweise darauf, wie Sie Ihre Teams zusammensetzen können, wie die Rollen der Teams definiert sind und wie das Team die Microsoft-Plattform erfolgreich nutzt. Die Rollen, die im MOF-Teammodell vergeben werden, sind: Version und Konfiguration, Infrastruktur, Support, Betrieb, Partner und Sicherheit. Abbildung 4.5: Die Betriebsteams
Zuordnung von ITSM-Prozessen zum MOF-Teammodell Die ITSM-Managementdisziplinen oder Prozesse werden im MOF-Teammodell von der Perspektive der dazugehörigen Rollen bzw. Teamrollen betrachtet. Der Zusammenhang Prozess und Teamrolle stellt sich wie folgt dar: Konfiguration- und Change- oder Veränderungs-Management
Teamrolle: Version Bisherige Änderungen oder bekannte Fehler- und problembezogene Informationen werden detailliert aufgezeichnet und bilden eine unternehmensspezifische »Knowledge Base«. Aus diesen dokumentierten Erfahrungen können die anderen Teams wertvolle Informationen für ihren Bedarf herausfiltern. Über eine zusätzliche CMDB (Configuration Management Database) ist die Bestandsverfolgung und Änderungskontrolle gewährleistet.
53
4 Prozess der Sicherheitsimplementierung
Verwaltung physischer Umgebungen und Infrastruktur-Tools
Teamrolle: Infrastruktur Die Organisation von komplexen Hardware, Software und den Systemen erfordert klar definierte Standards und Tools zum Verwalten der IT-Infrastruktur. Die Automatisierung und Reproduktion von Standards (SoftwareImages, Hardware, Softwareplattformen, Konfigurationswerkzeuge) wird hierbei verstärkt unterstützt. Problem-Management, Incident-Management und Service Desk
Teamrolle: Support Die Qualität der Problemlösungen ist für den Kunden das deutlichste Merkmal, die IT-Leistungen zu beurteilen. Wie viel Zeit wird für die Problemlösung benötigt? Wie viele Probleme müssen gemeldet werden? Wie oft wiederholen sich Probleme? Wie viele Probleme werden nicht gelöst? Supportmitarbeiter können dabei z.B. auf ein professionelles Help Desk, Support Services, Schulungszentren, ITIL Bücher und andere Standards zurückgreifen. System-Management (auch als Operations-Management bezeichnet)
Teamrolle: Operation Tägliche Routineaufgaben des Unternehmens müssen automatisiert und selbstverständlich zur Verfügung gestellt werden. Konsistente ServiceManagement-Verfahren müssen vorhersehbar und wiederholbar sein. Dies erfordert eine detaillierte, tagesaktuelle Dokumentation zu Richtlinien und Verfahren für Betriebsaktivitäten. Sicherheits-Management
Teamrolle: Sicherheit Eine große Herausforderung für den IT-Bereich ist es, den Schutz des physischen, immateriellen, intellektuellen und wirtschaftlichen Eigentums zu sichern. Es müssen autorisierte Benutzer definiert und identifiziert werden und diesen muss gleichzeitig ein einfacher Zugriff ermöglicht werden. Zusätzlich muss der unberechtigte Zugriff intern und extern verhindert werden. Dabei müssen Unternehmensrichtlinien und –verfahren berücksichtigt werden. Business Relations-Management
Teamrolle: Partner Die Kooperationspartner müssen zuverlässig und solide sein. Kosteneffiziente und auf Dauer angelegte Partnerschaften sind Erfolg versprechender. Um die Leistung des Teams und die Einzelarbeiten zu verbessern, ist es erforderlich, die Teamrolle und die entsprechenden Aufgaben genau zu definieren. Ziele und Erwartungen sollten für jedes einzelne Teammitglied klar definiert und durch eine entsprechende Dokumentation auch nachlesbar sein.
54
Abhängigkeiten zwischen MOF und MSF
4.6
Abhängigkeiten zwischen MOF und MSF
MOF und MSF arbeiten ineinander verzahnt. MSF plant, erstellt und etabliert Lösungstypen. MOF widmet sich dem Betriebsaspekt dieser Lösungen. Das hat zur Folge, dass die MOF-Teams meist auf unbestimmte Zeit eingesetzt werden und die MSF-Teams projektbezogen je nach Bedarf arbeiten. Parallel zu den Lösungsentwicklungen im MSF-Team überprüft das MOFTeam bereits die Implementierung. MSF testet die Lösung an sich, während MOF die praktische Umsetzbarkeit der erarbeiteten Lösung testet. Dies erfolgt immer anhand der notwendigen MOF-Prozesse, Verfahren, Stellenbesetzungen, Infrastruktur und Tools. Die Rolle der Produktionsunterstützung im MOF-Team legt sich dabei meist über die Rolle der Betriebsinteressen im MSF-Team. Der Kontrollvorgang zur Versionsreife integriert MSF und MOF. Die Version ist auf ihre Bereitschaft hin überprüft, und das Betriebspersonal ist auf die Installation, den Betrieb und den Support für diese Version vorbereitet.
4.7
Der Prozess des SicherheitsManagements
Nachdem Ihnen nun die vorangegangenen Kapitel einen Einblick in die verschiedenen Aspekte des IT Service Managements gegeben haben, möchten wir Ihnen nun die für dieses Buch wichtigste Managementdisziplin, das Sicherheits-Management, an dieser Stelle einmal genauer vorstellen. Wenn Sie jetzt jedoch erwarten, dass wir Ihnen an dieser Stelle alle möglichen Gefahren für Ihr Netzwerk inklusive der dazugehörigen Lösungen und Verfahren präsentieren, müssen wir Sie noch ein wenig vertrösten. Diese Aspekte folgen erst in den späteren Kapiteln. Aber bitte nicht traurig sein, denn an dieser Stelle erfahren Sie, wie Sie das Sicherheits-Management einführen und wie es grundlegend arbeitet, wie die Schnittstelle zum Change-Management und Release-Mangement funktioniert und welche Aufgaben das Sicherheits-Management wahrnimmt.
4.7.1
Ersteinführung und Arbeitsweise des Sicherheits-Managements
Eines ist schön am Sicherheits-Management, es gibt zwischen dem Prozess der Implementierung des Sicherheits-Managements und der späteren Fortführung, also der grundlegenden Arbeitsweise des Sicherheits-Managements mit einer Ausnahme, keinen Unterschied. Der Prozess wiederholt sich, wie im Spiral-Lebenszyklus des MOF-Modells, einfach immer wieder. Der einzige Unterschied besteht lediglich darin, dass Sie bei der Einführung des Sicherheits-Managements in Ihr Unternehmen noch ein Team zusammenstel-
55
4 Prozess der Sicherheitsimplementierung
len müssen, das aus einem Verantwortlichen (Prozess-Besitzer) und entsprechenden Team-Mitgliedern, die die festgelegten Rollen wahrnehmen, besteht. Ist dieses Team gebildet, kann es mit der grundlegenden Arbeit des Sicherheits-Managements auch schon losgehen. Ziel dieser Arbeit ist es, einen definierten Sicherheitsstandard für Ihr Unternehmensnetzwerk zu erarbeiten. Da dieser Sicherheitsstandard aber nicht für alle Ewigkeit Bestand hat, sondern ebenfalls dem Spiral-Lebenszyklus der MOF-Modells unterworfen ist, macht es auch Sinn, wie in den vorangegangenen Betrachtungen geschehen, von Versionen zu sprechen. Auch wenn dieser Begriff sich im Zusammenhang »Sicherheit« vielleicht für Sie ungewohnt anhört, sollte Ihr Sicherheitsstandard doch immer genau definiert sein. Die einfachste Methode ist, dass Sie Ihren Sicherheitsimplementierungen entsprechende Versionsnummern geben. Ausgehend von einem aktuellen bzw. schon implementierten Sicherheitsstatus wollen Sie Ihre Sicherheit verändern. Damit Sie aber auch wirklich einen Erfolg vorweisen können, muss die Implementierung der »neuen Sicherheit« im Rahmen eines Prozesses ablaufen, der zugleich exakt die grundlegende Vorgehensweise des Sicherheits-Managements beschreibt. Wie der Prozess im Einzelnen abläuft, verdeutlicht die nachstehende Grafik: Abbildung 4.6: Arbeitsweise des SicherheitsManagements
Wo wollen wir sein?
Aufgabe 1
Mögliche Gefahren
Schritt 2
Wo stehen wir?
Schritt 1
Aufgabe 2
Ermitteln des momentanen Zustands
Schritt 3
Wie kommen wir dort hin, wo wir sein wollen?
Aufgabe 3
Planung
Schritt 4
Wie wissen wir, ob wir angekommen sind?
56
Aufgabe 4
Erstellen von Meßverfahren, Tests und Meilensteine
Der Prozess des Sicherheits-Managements
Im Rahmen der Einführung eines neuen Sicherheits-Managements oder der Vorbereitung eines neuen Sicherheitsstandards in Ihrem Unternehmensnetz sind verschiedene Schritte notwendig, die wir Ihnen an dieser Stelle näher vorstellen möchten: 왘 Schritt 1: Definieren Sie im Rahmen eines Meetings oder Brain-Stor-
mings die Ziele, Anforderungen und Visionen bezüglich der »neuen Netzwerksicherheit«. Zeigen Sie im Rahmen eines solchen Meetings auch die potentiellen Gefahren und Risiken für Ihr Netzwerk auf. Mehr Informationen dazu erhalten Sie in dem Kapitel »Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln«. 왘 Schritt 2: Ermitteln Sie im Rahmen einer durchgeführten Ist-Analyse den
aktuellen Sicherheitsstandard Ihres Unternehmensnetzwerkes und stellen Sie auf diese Weise potentielle Sicherheitslücken in Ihrem Unternehmensnetz fest. Mehr Informationen zu diesem Thema erhalten Sie in dem Kapitel »Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln«. Stellen Sie den formulierten Zielen anschließend die durch die Ist-Analyse ermittelte aktuelle Situation gegenüber, um den Ausgangspunkt bzw. den »status quo« festzulegen. 왘 Schritt 3: Stellen Sie sich nun die Frage, wie Sie vom Ausgangspunkt am
effektivsten zu dem von Ihnen gewünschten Ziel gelangen und führen Sie im Anschluss an die Planung die notwendigen Konfigurationen zunächst an einem Test-System durch. Nähere Informationen zu den einzelnen Konfigurationsschritten erhalten Sie in den einzelnen themenbezogenen Kapiteln. Dokumentieren Sie die Konfigurationsschritte, so dass sie für jedermann reproduzierbar werden. Diese Umkonfiguration des Systems wird dann vom Sicherheits-Management im Rahmen eines RFCs (Änderungswunsches) an das Change- und Release-Management übergeben, die für die Implementierung zuständig sind. 왘 Schritt 4: Legen Sie zusätzlich entsprechende Kontrollmechanismen fest,
mit denen Sie überprüfen können, ob Sie das gesetzte Ziel bzw. die definierten Anforderungen erreicht haben oder nicht. Nähere Informationen zu diesem Thema erhalten Sie in dem Kapitel »Kontrollphase«. Danach ist die Arbeit des Sicherheits-Managements im Wesentlichen getan, denn die anschließende Umsetzung innerhalb der IT-Infrastruktur übernimmt, wie das nachstehende Kapitel zeigt, das Change-Management.
4.7.2
Schnittstelle des Sicherheits-Managements zum Change-Management
Im Rahmen von ITSM werden anstehende Veränderungen an einer bestehenden IT-Infrastruktur immer in Form von so genannten »Requests for Changes« (RFCs) durch das Change- oder Veränderungs-Management realisiert. Für die Umsetzung Ihres Sicherheits-Managements bedeutet dies nun, dass Sie dem Change-Management die entsprechenden Änderungswünsche
57
4 Prozess der Sicherheitsimplementierung
(RFCs) übergeben. Das Change-Management koordiniert dann wiederum die tatsächliche Umsetzung in der vorhandenen IT-Infrastruktur. Jeder RFC sollte dabei die folgenden Informationen beinhalten: 왘 Eine fortlaufende Nummer, die jedem neuen RFC zugeordnet wird,
damit jederzeit eine eindeutige Zuordnung stattfinden kann. 왘 Beschreibung der gewünschten Änderung sowie eine Liste aller von der
Änderung betroffenen Elemente (z.B. Hard- oder Software), damit eine genaue Dokumentation der Veränderung festgehalten ist und alle abhängigen Elemente vorher definiert sind. Zudem wird auf diese Weise vermieden, dass Ereignisse die nach der Veränderung auftreten, nicht zugeordnet werden können. Ein weiterer wichtiger Aspekt ist auch die Information der von der Änderung betroffenen Abteilungen oder Personen. 왘 Begründung des Änderungswunsches inklusive einer Analyse der Risi-
ken, die eine Nichtdurchführung mit sich bringen würde. Auf diese Weise wird klar definiert, warum eine Änderung durchgeführt werden soll, was auch verhindert, dass Veränderungen um der Veränderung willen geschehen. Außerdem werden so die Veränderungsgründe für alle anderen nachvollziehbar. 왘 Name, Adresse und Telefonnummer desjenigen, der den Änderungs-
wunsch eingereicht hat. Dadurch ist ein eindeutiger Verantwortlicher und ein eindeutiger Ansprechpartner für die Veränderung festgehalten. 왘 Wunschtermin der Veränderung, denn alle Veränderungen müssen über
alle betroffenen Komponenten koordiniert werden. Es macht keinen Sinn, wenn zur selben Zeit sich widersprechende Veränderungen durchgeführt werden. Genauso wenig macht es Sinn, Veränderungen, die zur gleichen Zeit durchgeführt werden können, zeitlich zu trennen, was z.B. zu mehrfachem Herunterfahren und Hochfahren der Server führen kann. 왘 Priorität der Veränderung, denn manche Veränderungen sind zeitkri-
tisch, andere hingegen nicht. Damit bei der Terminierung der Veränderungen auch eine zweckmäßige Reihenfolge zustande kommt, ist eine Priorisierung notwendig. Als Beispiel sei hier ein Viruspatch im Vergleich zu einem Servicepack aufgeführt. Natürlich sind beide Veränderungen wichtig, aber was zum Zeitpunkt des RFC wichtiger bzw. vorrangiger ist, muss definiert sein. In der Regel werden die folgenden Prioritätsstufen angewendet: 왘 Sofort: Diese Prioritätsstufe wird verwendet, wenn es sich um eine
so genannte »mission critical« handelt, also beispielsweise ein Server- oder ein Systemausfall droht, der viele Anwender beeinträchtigen würde.
58
Der Prozess des Sicherheits-Managements 왘 Hoch: Diese Stufe wird verwendet, wenn es sich um ein ernstes
Problem handelt, das eine größere Anzahl an Anwendern in ihrer Arbeit beeinträchtigen würde. 왘 Mittel: Diese Stufe wird verwendet, wenn es sich zwar nicht um ein
schwerwiegendes Problem handelt, die Veränderung aber dennoch nicht bis zum nächsten geplanten Update warten kann. 왘 Niedrig: Diese Stufe wird verwendet, wenn die Veränderung zwar
wünschenswert und auch notwendig erscheint, sie aber gut bis zum nächsten planmäßigen Update warten kann.
4.7.3
Ausführung durch das Release-Management
Nachdem die Ausgangssituation analysiert, die Ziele definiert, der RFC für das Change-Management formuliert und die Implementierungsvorbereitung durch das Change-Management abgeschlossen sind, geht es an die eigentliche Umsetzung. Die Ausführung delegiert das Change-Management in der Regel an das Release-Management, so dass das Sicherheits-Management quasi über eine indirekte Schnittstelle zum Release-Management verfügt. Für eine erfolgreiche Implementierung sind im Wesentlichen die folgenden Aspekte relevant: 왘 Sie benötigen einen definierten Implementierungsprozess, der die Ein-
führung des neuen Sicherheitsstandards exakt und für jeden nachvollziehbar dokumentiert. Einen solchen Prozess können Sie mit dem nun erworbenen theoretischen Wissen und mittels des Beispielprozesses des folgenden Abschnittes leicht mit dem Grafikprogramm MS Visio erstellen und dokumentieren. 왘 Sie benötigen für die Umsetzung des Sicherheitsstandards entspre-
chende Werkzeuge. Die wichtigsten administrativen Werkzeuge und deren Handhabung haben wir im Kapitel »Administrative Tools für das Sicherheits-Management« zusammengestellt. Alle weiteren Tools werden in den entsprechenden themenbezogenen Kapiteln vorgestellt. 왘 Sie benötigen definierte Kontrollmechanismen, die es Ihnen erlauben zu
überprüfen, ob die Implementierung den gewünschten Erfolg gebracht hat oder nicht. Auch hier verweisen wir noch einmal auf unser Kapitel »Kontrollphase« am Ende dieses Buches. 왘 Last but not least benötigen Sie aber auch noch ein so genanntes Roll-
back-Verfahren oder, wie Microsoft es in seinem MOF-Modell bezeichnet, einen Alternativplan. Wenn nämlich trotz aller vorhergehender Tests die Implementierung oder der Betrieb nicht den gewünschten Effekt bringt, können Sie mit Ihrem Rollback-Verfahren bzw. dem Alternativplan den vorhergehenden Zustand wiederherstellen, um anschließend mit der Planung neu anzufangen.
59
4 Prozess der Sicherheitsimplementierung
4.7.4
Der komplette Prozessplan für die Implementierung eines neuen Sicherheitsstandards
Folgender Beispielprozessplan fasst noch einmal sämtliche in den vorangegangenen Abschnitten behandelten Phasen der Implementierung eines neuen Sicherheitsstandards zusammen und bietet Ihnen somit einen guten Überblick und eine gute Basis für eigene Prozessdefinitionen. Abbildung 4.7: Prozessplan für die Implementierung eines neuen Sicherheitsstandards
START Idee
Planungsinformationen: Ist-Zustand Soll-Zustand ....
Planung
Implementierung Implementierungsfehler
Planungsfehler ImplementierungsKontrolle
Fehler Einstufung
Betriebskritisch
Rollback
Negativ
Ergebnis der Kontrolle
Positiv
Betrieb
BetriebsKontrolle
Negativ Ergebnis der Kontrolle
Positiv
Ende
60
SystemInformationen: Soll-Zustand erreicht? Event Log Security Log Funktionalität ....
SystemInformationen: Soll-Zustand erreicht? Event Log Security Log Funktionalität ....
Der Prozess des Sicherheits-Managements
4.7.5
Die einzelnen Aufgaben des SicherheitsManagements
In den vorangegangenen Kapiteln haben Sie erfahren, wie Sie das Sicherheits-Management institutionalisieren, wie es arbeitet und mit welchen anderen Managementdisziplinen es bei der Einführung neuer Sicherheitsstandards zusammenarbeiten muss. Aber eine Frage haben wir bisher noch nicht geklärt: Was macht das Sicherheits-Management eigentlich? Also kurz gesagt, das Sicherheits-Management ist dafür zuständig, jede im Unternehmen verwendete IT-Ressource angemessen zu schützen sowie die Entwicklung neuer Sicherheitsstandards voranzutreiben, die Implementierbarkeit zu testen und die erfolgreiche Implementierung zu kontrollieren. Damit diese Aussage ein wenig mit Leben gefüllt wird, haben wir für Sie einmal ein paar typische Einzelaufgaben des Sicherheits-Managements zusammengestellt. Dabei wurden die Aufgaben der Übersichtlichkeit halber noch einmal nach verschiedenen Netzwerkfunktionen oder Netzwerkstrukturen unterteilt. Netzwerkzugriff im lokalen, privaten Unternehmensnetzwerk Das LAN oder das private Unternehmensnetzwerk ist das Netz, in dem die Computer und Server des Unternehmens miteinander über entsprechende Netzwerkverbindungen konnektiert sind. Um die Ressourcen dieses lokalen Netzwerkes zu schützen, muss sich das Sicherheits-Management mit den folgenden Aspekten befassen: 왘 Das Sicherheits-Management entwirft, dokumentiert, informiert und
schult sowohl das administrative tätige Personal als auch die Anwender über die für das Unternehmen geltenden Sicherheits-Richtlinien, die in global operierenden Unternehmen auch als »Security Mandates« bezeichnet werden. 왘 Das Sicherheits-Management kümmert sich um die physische Zugriffs-
Sicherheit der einzelnen Computer-Systeme. Insbesondere für die Serversysteme, Router, Hubs und Switches des Unternehmens sind Maßnahmen zu ergreifen, die einen physischen Zugriff durch nicht-autorisiertes Personal verhindern. Aber auch der Zugriff auf Workstations sollte überdacht werden. Gehören beispielsweise geschlossene Räume, die zusätzlich durch die Verwendung von speziellen Keycards gesichert werden können, zu den für die Serversysteme zu ergreifenden Maßnahmen, lassen sich Workstations durch Laufwerkschlösser oder BIOS-Passwörter sichern. 왘 Das Sicherheits-Management kümmert sich genauso um die logische
Zugriffs-Sicherheit der einzelnen Computer-Systeme, womit Maßnahmen wie die Verwendung von Benutzerpasswörtern oder Bildschirmschonern, die nach einem bestimmten Zeitintervall der Untätigkeit aktiv werden und nur durch Passworteingabe deaktiviert werden können, gemeint sind. Aber auch die Festlegung, welche Anwendergruppen sich an einem System lokal oder über Netzwerk anmelden können, bzw. Richtlinien, die die
61
4 Prozess der Sicherheitsimplementierung
Konfiguration des Windows-Desktops auf der Clientseite betreffen, gehören dazu. 왘 Das Sicherheits-Management entwirft entsprechende Sicherheits-Richt-
linien für die laufende Benutzerverwaltung, die häufig auch als »Security Mandates« bezeichnet werden. Im Rahmen dieser Tätigkeiten werden entsprechende Prozesse für die Erstellung von Benutzern, die Zuweisung von Benutzerrechten, die Verwendung von Benutzergruppen, das Kontrollieren und Überprüfen vorhandener Benutzerkonten und von Gruppenzugehörigkeiten sowie für das Löschen von Anwendern definiert. Ein ganz wichtiger Punkt in diesem Zusammenhang ist die Festlegung der in der Active Directory-Domäne anzuwendenden Kontenrichtlinien. 왘 Das Sicherheits-Management kümmert sich um entsprechende Vorgaben,
die die Authentifizierung von Benutzern und Computern betrifft. Im Rahmen dieser Tätigkeiten kümmert sich das Sicherheits-Management um die lokale Anmeldung oder um die Anmeldung im lokalen Netz. Das Spektrum reicht hier vom zu verwendenden Authentifizierungsprotokoll (LAN-Manager, NTLM oder Kerberos) bis hin zur Implementierung einer PKI-Infrastruktur für die Nutzung einer zertifikatsbasierten Authentifizierung. 왘 Das Sicherheits-Management ist genauso für die sichere Datenübertragung
im lokalen Netzwerk zuständig und erarbeitet in diesem Zusammenhang entsprechende Vorgaben zur Datenverschlüsselung oder zur Sicherung der Datenverlässlichkeit per digitaler Signatur oder anderen Verfahren. 왘 Eine ganz wichtige Aufgabe des Sicherheits-Managements ist auch die
Sicherung der im Netzwerk angebotenen Datei-Ressourcen. Dies fängt an bei der Klassifikation der vorhandenen Informationen in entsprechende Kategorien und geht weiter über die Vergabe entsprechender Freigabeund NTFS-Zugriffsrechte und hört auf bei der Implementierung entsprechender Überwachungsrichtlinien für den Ressourcenzugriff. 왘 Das Sicherheits-Management kümmert sich aber nicht nur um die Datei-
Ressourcen, sondern befasst sich auch mit der Sicherung von Netzwerkdiensten, Anwendungen und Netzwerkdruckern. Das Sicherheits-Management kümmert sich dabei insbesondere um die Vergabe der Zugriffsund Verwaltungsrechte sowie um die Überwachung. Was die Verfügbarkeit der Dienste und Anwendungen betrifft, ist dies Aufgabe des Verfügbarkeits- und Kontinuitäts-Managements. 왘 Nicht zu vernachlässigen ist auch das Fakt, dass sich das Sicherheits-
Management um die Entwicklung und das Testen von entsprechenden Datensicherungs- und Wiederherstellungsverfahren kümmert. 왘 Ein weiterer Aspekt, dem sich das Sicherheits-Management im Rahmen
einer Windows 2000-basierten Netzwerkstruktur widmet, ist die eventuell notwendige Integration von älteren Microsoft-Clients oder Nicht-Microsoft-Clients in diese Infrastruktur. Sowohl die älteren Microsoft-Clients als auch ein Großteil der Nicht-Microsoft-Clients kommen mit dem
62
Der Prozess des Sicherheits-Managements
hohen Sicherheitsstandard von Windows 2000 nicht zurecht, weswegen das Sicherheits-Management entsprechende Integrationsverfahren, Sicherheitsrisiken und zur Not auch entsprechende Migrationsanforderungen erstellen muss. 왘 Das Sicherheits-Management muss natürlich kontrollieren, ob sowohl auf
der Administratorenseite als auch auf der Anwenderseite die für das Unternehmen entwickelten Sicherheits-Richtlinien oder »Security Mandates« auch »gelebt«, sprich eingehalten werden. Zu diesem Zweck muss das Sicherheits-Management über entsprechende Kontrollmechanismen und Prozessdefinitionen für durchzuführende Stichproben verfügen. 왘 Und last but not least, ist das Sicherheits-Management dafür zuständig,
den vorhandenen Sicherheitsstandard fortwährend weiterzuentwickeln und fortwährend nach neuen, potentiellen Sicherheitslücken (mehr zu diesem Thema finden Sie im Kapitel »Ist-Analyse und Planung«) zu forschen und durch deren Beseitigung die Sicherheit weiter zu optimieren. Mit dieser Tätigkeit schließt sich der Kreis also. Internetzugang und Internetpräsentation Auch bei einem privaten Netzwerk gibt es, wie bereits gesehen, eine ganze Reihe von Aufgaben, die das Sicherheits-Management zu bewältigen hat. Die meisten Unternehmen verfügen heute aber nicht mehr über ein isoliertes, allein stehendes Unternehmensnetzwerk, sondern sind an das Internet angebunden. Diese Anbindung geschieht einerseits, um den eigenen Mitarbeitern einen Zugang zu den reichhaltigen Informationen des Internets zu gewähren. Andererseits präsentieren sich die meisten Firmen heute aber auch mit eigenen Informationen in diesem Medium. Die Anbindung an das Internet bringt aber auch eine Reihe zusätzlicher Aufgaben für das Sicherheits-Management mit sich. Dazu gehören: 왘 Das Sicherheits-Management muss die Risiken aufzeigen, die mit einer
Anbindung an das Internet verbunden sind, diese zusammenfassen und dokumentieren sowie nach entsprechenden Lösungsmöglichkeiten dafür suchen. 왘 Aufgabe des Sicherheits-Managements ist es, entsprechende Firewall-
Lösungen für den Schutz der firmeneigenen Netzwerkressourcen zu erarbeiten. Im Rahmen dieser Tätigkeiten ist das Firewall-Design, die Verwendung von Protokollen wie NAT, der Einsatz von Paketfilterung oder die Nutzung von statischen Adress-Mappings zu erörtern. 왘 Fällt im Rahmen des Firewall-Designs die Entscheidung für die Nutzung
einer DMZ, muss das Sicherheits-Management entscheiden, welche Netzwerkdienste und –ressourcen (DNS-Server, Mail-Server, Webserver, Terminal-Server, etc.) in der DMZ zu platzieren sind und sich mit dem Verfügbarkeits-Management abstimmen, ob aus Gründen der Datenverfügbarkeit zusätzliche Mechanismen wie z.B. Load-Balancing für diese Ressourcen eingeführt wird.
63
4 Prozess der Sicherheitsimplementierung 왘 Verfügt das Unternehmen über eigene Webserver, hat sich das Sicher-
heits-Management auch hier mit Fragen zur Sicherheit des Webservers zu befassen. Das fängt an bei der Benutzerauthentifizierung und geht über die sichere Datenübertragung bis hin zur Frage nach der Bereitstellung verlässlicher Daten. 왘 Eine der größten Gefahren, die aus dem Internet stammen, ist der Viren-
befall. Daher muss sich das Sicherheits-Management bei einer Internetanbindung dringend mit dem Thema Anti-Virus-Software sowie mit deren Installation und Konfiguration beschäftigen. 왘 Das Sicherheits-Management hat sich auch darum zu kümmern, entspre-
chende Leitfäden, Dokumentation, Richtlinien und Schulungen für den akzeptablen Umgang der eigenen Anwender mit dem Internet und mit E-Mails zu kümmern. 왘 Zudem muss sich das Sicherheits-Management damit befassen, wie den
eigenen Anwendern ein sicherer Internetzugang gewährt werden kann. Zur Auswahl stehen unter Windows 2000 verschiedene Varianten des Internetzugangs zur Verfügung. Vom lokalen Zugang von jeder Workstations aus, über eine so genannte gemeinsame Internetanbindung bis hin zur Internetanbindung über Routing und RAS oder NAT bzw. die Nutzung eines Proxy- oder ISA-Servers reichen die angebotenen Varianten. 왘 Neben der serverseitigen Konfiguration des Internetzugangs sind aber
auch noch Entscheidungen zur clientseitigen Konfiguration zu treffen. Hier kann beispielsweise durch den Einsatz des IEAK eine firmenweite, konsistente Konfiguration der Browser verabschiedet werden. Anbindung von Remote-Benutzern oder Remote-Standorten Die Mitarbeiter vieler Unternehmen sind oftmals im mobilen Einsatz und müssen von unterwegs auf die Ressourcen des Unternehmensnetzes zugreifen. In diesem Fall muss sich das Sicherheits-Management darum kümmern, sichere Komunikations- und Zugriffsmöglichkeiten für diese Anwender zu schaffen. Bei größeren Firmen geht es aber oftmals nicht nur um die Integration einzelner Remote-Benutzer, sondern dort müssen ganze Remote-Standorte über entsprechende WAN- und Einwählverbindungen mit dem lokalen Unternehmensnetz verbunden werden. In diesem Fall obliegen dem Sicherheits-Management noch weitere zusätzliche Aufgaben: 왘 Für Remote-Verbindungen steht unter Windows 2000 die Routing- und
RAS-Funktion zur Verfügung. Dem Sicherheits-Management obliegt dabei die Aufgabe, entsprechende Vorgaben zur Benutzerauthentifizierung und Autorisierung der Remote-Benutzer zu entwerfen. 왘 Für den Remote-Zugriff müssen entsprechende RAS-Richtlinien definiert
werden, um festzulegen, wer wann, wie, auf welche Ressourcen zugreifen darf.
64
Weiterführende Informationen zum Thema ITSM und MOF 왘 Je nach Art der Remote-Verbindungen (Einwählverbindungen oder
VPN-Verbindungen) hat das Sicherheits-Management sich darum zu kümmern, welche Möglichkeiten zur sicheren Datenübertragung eingesetzt werden können. 왘 Bei der Verwendung von mehreren RAS-Servern kann das Sicherheits-
Management durch den gezielten Einsatz von RADIUS eine zentralisierte Verwaltung, Steuerung und Überwachung der Remote-Verbindungen realisieren. 왘 Bei größeren Unternehmensnetzwerken mit mehreren Standorten muss
das Sicherheits-Management aber auch in die Planung der Domänen- und OU-Struktur sowie der Konfiguration von Gruppen- und Sicherheitsrichtlinien mit einbezogen werden. 왘 Zudem spielt bei größeren Unternehmensnetzwerken mit mehreren
Standorten die Wahl des administrativen Verwaltungsmodells eine wichtige Rolle, die nicht ohne das Sicherheits-Management getroffen werden sollte. Zur Auswahl stehen das zentrale Verwaltungsmodell, das dezentrale Verwaltungsmodell und eine Kombination der beiden Modelle, die auch als Hybrid-Verwaltungsmodell bezeichnet wird. Sie sehen, die Aufgaben des Sicherheits-Managements sind vielfältig gestreut, und dabei erhebt diese Liste keinen Anspruch auf Vollständigkeit. Insbesondere bei den Maßnahmen handelt es sich nur um ein paar Beispiele. Welche Maßnahmen genau vom Sicherheits-Management ergriffen werden können, erfahren Sie in den einzelnen themenbezogenen Kapiteln.
4.8
Weiterführende Informationen zum Thema ITSM und MOF
Weiterführende und tiefer gehende Informationen zum Thema IT Service Management und ITIL oder der CCTA finden Sie im Internet unter: http://www.itil.co.uk http://www.ccta.gov.uk Dort werden beispielsweise auch die Titel aufgeführt, die von der CCTA im Laufe der letzten Jahre publiziert wurden. Mehr Informationen zu »Microsofts Enterprise Frameworks« und zu »Microsofts Operation Framework« finden Sie unter: http://www.microsoft.com/es http://www.microsoft.com/mof http://www.microsoft.com/germany/loesungen/default.asp
65
5
Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln (Schritte 1 & 2 des Sicherheits-Managements
Das vorangegangene Kapitel hat Sie mit dem theoretischen Hintergrundwissen zum Thema ITSM und Sicherheits-Management versorgt. Allerdings fällt das Sicherheits-Management natürlich nicht vom Himmel. Das größte Problem bei der Einführung von Sicherheit in das Unternehmen ist die Frage »wo fange ich überhaupt an?«. Selbst geübte Administratoren kommen hier ins Schwitzen, denn die Materie ist zwar nicht neu, doch zu geballt, um nicht davon zuerst einmal erschlagen zu werden. Wenn man sich vom ersten »Schock« erholt hat, sollte man sich nicht selbst in unnötige Panik versetzen. Die Unsicherheit, die über Jahre in der IT geherrscht hat, kann nicht innerhalb von wenigen Minuten behoben werden. Stattdessen sollten Sie die erste Zeit im Wesentlichen mit einer vernünftigen Vorbereitung verbringen. Diese Vorbereitung dient einerseits der Vermeidung von überflüssigen Arbeiten, zum anderen aber vor allem der genauen Analyse des Sicherheitsbedarfs in den verschiedenen Segmenten Ihrer IT. Nicht jeder Bereich Ihrer Firma muss wie Fort Knox gesichert werden, zumal sich dann häufig auch Probleme mit den Anwendern einstellen. Als ersten Schritt des Sicherheits-Managements müssen Sie Ihre Anforderungen, Visionen und Ziele definieren. Sie müssen die möglichen Risiken und Gefahren für Ihr Netzwerk aufzeigen. Das heißt, Sie führen dem Management folgende Dinge vor Augen: 왘 Wo wollen wir mit dem Sicherheits-Management hin 왘 Welche möglichen Gefahren gibt es für unser Unternehmensnetzwerk
Daher gibt Ihnen dieses Kapitel zuerst einmal einen Überblick über typische Sicherheitslücken und den Nutzen von entsprechenden Sicherheitsmechanismen. Die Kenntnis dieser Themen ist sowohl in den klassischen Montagsrunden der IT nützlich, als natürlich auch bei der Argumentation, wenn es ums Überzeugen von Geldgebern in Bezug auf die Anschaffung sicherheitsspezifischer Hard- und Software geht. Welche konkreten Anforderungen sich für die einzelnen Themenbereiche des Großthemas »Sicherheit« ergeben, haben wir den entsprechenden themenbezogenen Praxiskapiteln vorangestellt. Hier lernen Sie jetzt erst einmal die grundlegenden Gefahren und Risiken kennen.
67
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
5.1
Bekannte Sicherheitslücken
Wenn Sie heute IT-Fachmagazine lesen, drängt sich der Eindruck auf, als wäre alles, was mit Computern zu tun hat, unsicher. Zudem haben Milliarden von Hackern den ganzen Tag nichts Besseres zu tun, als die ExcelTabelle mit den letzten Ergebnissen Ihres Fußballvereins zu klauen. Zwar genügt für diese Informationen auch ein Blick in die Tageszeitung, aber man weiß ja nie. Tatsächlich, das sicherste System der IT-Branche ist der ausgeschaltete Computer. Wo nichts läuft, kann auch nichts geklaut oder manipuliert werden. Doch damit führt sich das Arbeitsmittel Computer natürlich auch ad absurdum. Noch eines ist wichtig: das Wesentliche im Umgang mit dem Computer ist immer noch die Produktivität. Nimmt sie durch den Einsatz von Sicherheitsmechanismen Schaden, gehört der zuständige Administrator zur Pinguin-Station an den Südpol versetzt. Für eine sinnvolle und zugleich akzeptable Einführung von Sicherheit im Unternehmen sollte also zuerst eine Identifikation der potentiellen Sicherheitslücken gehören. Sind diese erst einmal offen gelegt, kann man sich dann genauer mit den potentiellen Risiken befassen, die durch die erkannten Sicherheitslücken entstehen könnten. Sind schließlich die Gefahren erkannt, kann man gezielt wirkungsvolle Gegenmaßnahmen ergreifen, die den Missbrauch nahezu unmöglich machen. Allerdings: eine totale Sicherheit gibt es nicht, es sei denn, Sie lassen den Computer tatsächlich ausgeschaltet. Wer es um jeden Preis darauf anlegt, Daten zu stehlen oder Daten zu manipulieren, wird es unter Umständen auch schaffen. Die Aufgabe eines Sicherheitskonzepts kann es deswegen auch nur sein, potentiellen Angreifern so viele Steine in den Weg zu legen, wie nur möglich. Da die meisten Angreifer über alles verfügen, nur nicht über Geduld, wird Ihr Unternehmen aller Voraussicht nach äußerst gut geschützt sein. Es gibt kaum einen Hacker oder Datendieb, der sich erst einmal daran macht, Ihre zahllosen Verschlüsselungsschlüssel zu knacken, bloß weil er an die Ergebnisse Ihrer Fußballmannschaft gelangen möchte...
5.1.1
Internetzugang
Die Gefahr eines Missbrauchs liegt ganz besonders in den Schnittstellen Ihrer Computersysteme zu anderen Netzwerken. Unter anderen Netzwerken kann man einerseits geschlossene Netze verstehen, dann handelt es sich um das Netzwerk eines Geschäftspartners. Andererseits wird darunter aber heute viel häufiger das öffentliche Netzwerk des Internets verstanden. Wenn Sie Ihre Computer mit einem Internetzugang ausstatten, bekommen diese Computer zumindest temporär eine nachvollziehbare Adresse im Internet. Diese Adresse wird benötigt, damit die Webserver, von denen Sie Informationen beziehen wollen, die Daten an Ihren Rechner zurücksenden können. Mit der Adresse, der so genannten IP-Adresse, verhält es sich also
68
Bekannte Sicherheitslücken
so wie mit einer Nachricht auf einem Anrufbeantworter, bei der Sie um Rückruf bitten. Wenn Sie die Telefonnummer nicht mit angeben, wird der Rückruf nie erfolgen. Diese, als »öffentliche« IP-Adresse bezeichnete Adresse befähigt Sie also zur Teilnahme an der Datenübertragung im Internet. Dummerweise haben die Erfinder von TCP/IP nie daran gedacht, dass eine Kommunikation immer nur einseitig gerichtet sein soll. Wenn Sie heute Daten im Internet von einem fremden Rechner herunterladen, besteht natürlich genauso die Möglichkeit, dass sogar zeitgleich Daten von Ihrem eigenen Rechner heruntergeladen werden können. Abbildung 5.1: Die direkte Verbindung eines Clients mit dem Internet birgt Gefahren
Das soll nicht heißen, dass automatisch immer dann, wenn Sie im Internet arglos surfen, andere Einblick in Ihre Firmendaten nehmen können. Es müsste einem potentiellen Angreifer gelingen, Sie genauer zu identifizieren. Er muss also erst einmal feststellen, dass es Sie überhaupt gibt. Dies kann zwar mithilfe spezieller Programme und Serverfunktionen ermittelt werden, doch laufen solche Programme nur auf unseriösen Webservern, nicht hingegen auf Systemen, die professionell und kommerziell betrieben werden. Ist es dem Angreifer gelungen, Sie zu identifizieren, wird er versuchen, eine Verbindung zu Ihrem Rechner herzustellen. Damit diese Verbindung überhaupt zustande kommen kann, muss allerdings auf Ihrem Computer ein entsprechender Dienst laufen, der eine solche Verbindung zulässt. Das Problem dabei ist, dass viele Computer in Bezug auf solche Verbindungen tatsächlich offen wie Scheunentore sind. Das Betriebssystem mit den wenigsten Lücken in Bezug auf solche Verbindungen ist Windows NT bzw. Windows
69
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
2000. Die Linux-Gemeinde mag nun laut aufschreien, doch solange in den Standardinstallationen der Linux-Derivate bis heute ungesicherte TELNETund FTP-Zugänge automatisch mit eingerichtet werden, solange nützt selbst die tollste Sicherheitsfunktionalität nichts. Unter Windows 2000 und Windows XP ist lediglich der Server-Dienst auf Kommunikation mit anderen Systemen eingerichtet. Damit über diesen Dienst jedoch eine Verbindung zu Ihrem Rechner aufgebaut werden kann, muss sich das Gegenüber mit einem gültigen Anwenderkonto und Kennwort authentifizieren. Erst dann erlangt man Zugriff auf den Rechner. Wird dieser Dienst abgeschaltet, ist überhaupt kein Zugriff von außen mehr auf eine Arbeitsstation möglich. Der Arbeitsstation selbst ist dies nicht weiter abträglich, da die Zugriffe der Arbeitsstation auf andere Server unter Windows 2000 und XP durch den Arbeitsstationsdienst geregelt werden. Unsicher sind hingegen andere Betriebssysteme von Microsoft, vor allem Windows 9x und Windows Me. Dies ist wohl einer der Gründe, warum Microsoft beim Me-Nachfolger »Windows XP Personal« alle Features der Netzwerksicherheit von Windows 2000 integriert hat. Anwender, die mit einem der »unsicheren« Betriebssysteme entsprechende Ressourcen im Internet nutzen, können zu jeder Zeit mit Angreifern unliebsame Bekanntschaft machen. Dies ist nicht zuletzt ein Grund, warum man Windows 9xDerivate kaum als Netzwerkbetriebssysteme bezeichnen kann. Da sie keine integrierte Sicherheit bieten, sind sie für den Einsatz in Unternehmensnetzwerken ungeeignet. Subtiler ist eine andere Angriffsmethode, die allerdings ebenfalls einige Voraussetzungen auf der Seite eines attackierten PCs benötigt. Wenn wir uns die Ausgabe des Befehls netstat –n auf unserer Windows 2000-Arbeitsstation ansehen, stellen wir fest, dass einige Dienste im System selbst nach Abschaltung des Serverdiensts immer noch auf Verbindungen warten. C:>netstat -n Aktive Verbindungen Proto Lokale Adresse TCP MOBILHUBS:epmap TCP MOBILHUBS:microsoft-ds TCP MOBILHUBS:1027 TCP MOBILHUBS:1054 TCP MOBILHUBS:1110 TCP MOBILHUBS:1355 TCP MOBILHUBS:netbios-ssn TCP MOBILHUBS:netbios-ssn TCP MOBILHUBS:1110 HERGESTELLT TCP MOBILHUBS:1352 TCP MOBILHUBS:1353 TCP MOBILHUBS:1355 HERGESTELLT
70
Remoteadresse Status MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN MOBILHUBS.eiwei.de:0 ABHÖREN sqlhubs.eiwei.de:microsoft-ds sqlhubs.eiwei.de:microsoft-ds WARTEND sqlhubs.eiwei.de:netbios-ssn WARTEND sqlhubs.eiwei.de:microsoft-ds
Bekannte Sicherheitslücken
UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP
MOBILHUBS:epmap MOBILHUBS:microsoft-ds MOBILHUBS:1026 MOBILHUBS:1043 MOBILHUBS:1048 MOBILHUBS:netbios-ns MOBILHUBS:netbios-dgm MOBILHUBS:isakmp MOBILHUBS:netbios-ns MOBILHUBS:netbios-dgm MOBILHUBS:isakmp MOBILHUBS:1135
*:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:*
Listing 5.1: Die Ausgabe von netstat zeigt zusätzliche Dienste, die auf Verbindungen warten
Die Dienste, die im Listing durch ABHÖREN gekennzeichnet sind, werden Sie auch auf Ihren Windows 2000-Arbeitsstationen finden. Diese Dienste sind selbst völlig ungefährlich, da sie für Angreifer keine Datenverbindungen zulassen, sondern lediglich beispielsweise die Abfrage des Computernamens erlauben. Dennoch: hätten Sie gewusst, dass hier weitere Programme Netzwerkverbindungen zulassen? Diese Kommunikationsfreude Ihres Computers ist notwendig, damit andere Anwender Ihnen beispielsweise eine Nachricht zusenden können oder auch, damit andere Anwender erwünschte Verbindungen zu Ihrem Rechner aufbauen können. Sie dient somit der Funktionalität des Rechners im Netzwerk. Ein potentieller Angreifer im Internet kann sich diese Kommunikationsfreude nun durch zweierlei Methoden zunutze machen. Zum einen kann er versuchen, Ihnen durch die Integration von kleinen Programmen (Java, ActiveX) auf einer Webseite ein solches Programm unterzujubeln. Ist das Programm erst einmal gestartet, legt es sich wie einer der vorgestellten Dienste auf eine beliebige Netzwerkverbindung und wartet darauf, von einem Remotecomputer adressiert zu werden. Der Angreifer kennt nun die Eigenschaften dieses Programms und verbindet sich so mit Ihrem Rechner. Über die Funktionen, die das Programm bietet, ist er dann in der Lage, die Kontrolle über Daten und Funktionen auf Ihrem Computer zu übernehmen. Die zweite Variante unterscheidet sich von der ersten Methode nur durch die Art und Weise, wie Ihnen das Programm untergeschoben wird. Bei der zweiten Variante ist der Start des Hilfsprogramms mit dem Start eines anderen Programms verbunden, das beispielsweise als kostenlose Freeware im Internet angeboten wird. Sobald Sie das Freeware-Programm starten, startet dieses seinerseits das Hilfsprogramm, über das ein Angreifer eine Verbindung zu Ihrem Rechner aufbauen kann. Dennoch besteht auch hier kein Anlass zur Panik. Die erste Angriffsmethode kann von vornherein vermieden werden, indem Sie die Sicherheitseinstellungen Ihres Internet-Browsers erhöhen oder aber zumindest auf den Standardvorgaben belassen. Sie werden dann in jedem Fall informiert, dass eine
71
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Applikation über eine Webseite installiert und ausgeführt werden soll, und Sie können folglich selbst entscheiden, ob diese Applikation vertrauenswürdig ist. Der zweite Angriff lässt sich durch den Einsatz von Virenscannern und durch den kontrollierten Download aus verlässlichen Quellen fast vollständig vermeiden. Abbildung 5.2: Selbst die Standardeinstellung des Internet Explorers ermöglicht keine geheime Installation von Hintergrundprogrammen
Hinzu kommt ein weiterer Aspekt, der für den Einsatz von Windows 2000 oder XP im Anwenderbereich spricht. Um auf dem System echten Schaden anrichten zu können, benötigt ein Angreifer nämlich die Berechtigungen eines Administrators. Diese Berechtigungen liegen bei einem normalen Anwender gar nicht vor, somit kann ein potentieller Angreifer allenfalls die Daten des gerade angemeldeten Anwenders zerstören, nicht jedoch das gesamte System oder die Daten anderer Anwender (sofern entsprechende Sicherheitsmaßnahmen genutzt werden).
5.1.2
Internetserver
Wenn Ihre Firma über eine eigene Internet-Präsenz verfügt, ist der dafür notwendige Internetserver zumeist ein eigenständiger Rechner, auf dem die Daten für die Webseiten gesichert sind. Solange dieser Computer bei einem Internetprovider steht, ist die Gefahr, die von diesem Computer für Ihr
72
Bekannte Sicherheitslücken
Unternehmensnetz ausgeht, verschwindend gering. Die größte Gefahr ist, dass ein Angreifer die Daten auf dem Webserver löscht oder manipuliert, was auch schon ärgerlich genug ist und unter Umständen zu einer Schädigung des Firmenimages führen kann. Ihre unternehmensinternen Daten sind hier aber in der Regel nicht in Gefahr. Problematischer wird es, wenn der Server nicht bei einem Provider, sondern im eigenen Hause steht. Dann ist dieser Rechner normalerweise nicht nur mit dem Internet, sondern auch mit dem lokalen Netzwerk verbunden. Dies bringt beispielsweise den Vorteil, dass alle Anwender die Seiten des Webservers mit der Geschwindigkeit des LAN nutzen können. Zudem verläuft die Pflege des Webservers so deutlich effektiver, da die Daten nicht umständlich über FTP- oder FrontPage-Verbindungen eingespielt werden müssen, sondern man direkt über das Netzwerk eine Kopie durchführen kann. Das Problem, das daraus entsteht, ist aber offensichtlich. Der Webserver ist nicht nur Server im Internet, sondern natürlich zugleich auch Client im lokalen Netzwerk. Sobald es also einem Angreifer gelingt, den Webserver zu kontrollieren, verfügt er auch über den Zugriff auf die Daten im lokalen Netzwerk. Viel schlimmer noch: da die Daten im lokalen Netzwerk zumeist nicht sonderlich gut gesichert sind, kann ein Angreifer durch die gezielte Ausnutzung bestimmter Mechanismen auch in die Lage kommen, Benutzerkonten und Kennwörter auszuspionieren. Dies wiederum könnte dann auch sensitive Daten eines Unternehmens in größere Gefahr bringen. Abbildung 5.3: Der Internet Information Server ist als kostenlose Beigabe in allen Windows 2000 Server-Varianten enthalten
73
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Wer also den eigenen Webserver in sein Unternehmensnetzwerk integrieren will, sollte zusätzliche Sicherheitsmechanismen nutzen, die neben dem kostenlosen Webserver ebenfalls in Windows 2000 enthalten sind. Das Wichtigste ist dabei, die konsequente Trennung des Webservers von einer direkten Verbindung zum lokalen Netzwerk. Mithilfe einiger weniger Handgriffe ist dies aber recht leicht zu bewerkstelligen. Ein viel größeres Problem entsteht, wenn der Webserver nicht nur mit dem lokalen Netzwerk verbunden sein soll, sondern darüber hinaus auch noch Funktionalitäten bieten soll, die Anwender aus dem lokalen wie aus dem Internet heraus nutzen können. In zunehmendem Maße verwenden Firmen internetbasierte Systeme für die Abwicklung von Bestellungen oder Aufträgen. Diese Nutzung eröffnet natürlich gleich zwei neue Gefahrenherde. Erstens muss Internet-Anwendern die Möglichkeit zur Nutzung dieser Funktionen gegeben werden. Zweitens müssen auch die Anwender im Firmennetzwerk die Daten und Funktionen des Servers nutzen können. Auch hier steht der Administrator vor dem Problem, einerseits autorisierte Zugriffe zu ermöglichen, andererseits aber unautorisierte Aktivitäten zu unterbinden. Nur durch ein ausgereiftes Konzept zur Authentifizierung von Anwendern und zur darüber hinaus gehenden Sicherung der so hergestellten Verbindungen kann die gefahrlose Nutzung solcher Dienste erreicht werden. Schwerer wird es, wenn sich Angreifer bei einem öffentlichen System darauf beschränken, dieses System außer Funktion zu setzen. Hier kann bis heute keine allgemeine Lösung präsentiert werden, denn zumeist verwenden die Angreifer dabei Mechanismen, die auch die regulären Anwender nutzen. Ein System kann nicht unterscheiden, ob ein Anwender tatsächlich eine Bestellung aufgibt oder aber durch die Simulation von tausenden Bestellvorgängen versucht, das System zum Absturz zu bringen. Das Einzige, was solchen Angriffen gleich ist, ist die Methode bzw. das Ziel des Angriffs. Von einer größeren Zahl an Rechnern wird zeitgleich der Versuch gestartet, auf dem Internetserver eine Transaktion auszuführen. Dabei ist es gleichgültig, ob diese Transaktion erfolgreich ist oder nicht, Hauptsache, das System ist mit der Transaktion beschäftigt. Andere Transaktionen werden während der Abarbeitung in eine Warteschlange gestellt und später abgearbeitet. Übersteigt die Anzahl von neu hinzukommenden Transaktionen die Verarbeitungsgeschwindigkeit des Webservers, wird die Warteschlange immer länger, bis das System schließlich mehr Ressourcen für die Verwaltung der Warteschlange aufbringen muss als für die Abarbeitung bereitstehen. Aus diesem Teufelskreis gibt es keinen Ausweg mehr, irgendwann stellt der Webserver seine Funktion ein. Um diesen Effekt zu vermeiden, muss bereits bei der Verbindungsaufnahme eine Kontrolle erfolgen, so dass der betreffende Serverdienst bei Bedarf Verbindungen zurückweist, nicht jedoch die Funktion einstellt. Hinzu kommt eine effektive Überwachung des Servers, die bei den ersten Anzeichen eines Angriffs sofort eine entsprechende Reaktion seitens der Serveradministratoren nach sich ziehen.
74
Bekannte Sicherheitslücken
5.1.3
RAS-Server
Seit die an sich brillante Idee des Einwählzugangs für externe Firmenmitarbeiter auf dem Markt vertreten ist, ist natürlich auch eine neue Gefahr entstanden, nämlich die des unerlaubten Zugriffs über diese offene Schnittstelle des Firmennetzwerks. Mithilfe eines Remote-Access-Servers, wie er beispielsweise unter Windows 2000 in allen Server-Varianten enthalten ist, wählt sich ein Mitarbeiter mithilfe eines Modems oder einer ISDN-Karte in das Firmennetzwerk ein. Alternativ werden Einwahlrouter eingesetzt, um ganze Firmensegmente, z.B. eine Filiale, über die Telefonleitung bei Bedarf anzubinden. Dies stellt per se noch kein Problem für die Netzwerksicherheit dar, doch was, wenn die Schnittstelle durch einen Anwender genutzt wird, der überhaupt keinen Zugang zum Netzwerk erhalten soll? Abbildung 5.4: Die modellhafte Darstellung einer Verbindung über Einwählrouter und RAS-Server
Das Problem vieler Netzwerke ist heute, dass der Einwahlzugang nur wenig oder gar nicht gesichert ist. Etliche Drittprogramme offerieren eine derartige Funktionalität, verwenden aber keinerlei Sicherheitsvorkehrungen wie beispielsweise eine vor die Verbindung geschaltete Authentifizierung. Bei etlichen Produkten ist diese Sicherheit zwar prinzipiell enthalten, wird aber häufig von Administratoren nicht eingesetzt, weil es entweder zu Problemen bei der Einwahl führte oder aber zu komplex einzurichten war. Folge: oftmals genügt einem potentiellen Angreifer die Kenntnis der anzurufenden Einwahlnummer, schon hat er freien Zugang im Unternehmensnetzwerk. Nun mögen Zweifler entgegnen, dass kaum einer eine entsprechende Telefonnummer erraten kann, doch die Praxis zeigt, dass die Anwender, die die Einwahlschnittstelle nutzen, häufig selbst die unsichere Stelle sind. Wer kann schon kontrollieren, welche Vorkehrungen ein Außendienstmitarbeiter zum Schutz der Einwahldaten trifft?
75
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Bis zum Markteintritt von Windows 2000 war die Nutzung von RemoteAccess-Servern also oftmals eine Art »Russisches Roulette«. Mit Windows 2000 hat Microsoft nun aber eine Kombination aus Router, RAS-Server und Authentifizierungsserver geschaffen, der seinesgleichen sucht. Ein Beispiel hierfür ist die Unterstützung der RAS-Funktionalität direkt über das Kontenmanagement. Der Administrator kann dabei beliebig entscheiden, ob ein Anwender RAS-Zugriff erhält oder nicht. Dies ging nun auch schon unter Windows NT 4, doch mit den neuen RAS-Richtlinien kann die Entscheidung, ob und wie ein Anwender Zugriff auf das Firmennetzwerk erhält, beliebig verfeinert werden. Der Administrator kann an das Zustandekommen von Verbindungen eine Vielzahl von Bedingungen knüpfen. Nur wenn alle Bedingungen erfüllt sind, kann sich ein Anwender einwählen. Beispiele hierfür sind die neue Erkennung von Caller-Ids oder die Beschränkung der Anmeldung und Datenübertragung auf spezielle hoch gesicherte Verschlüsselungsverfahren. Abbildung 5.5: Bei der Einwahl können Sie bestimmte Authentifizierungsverfahren erzwingen
Die direkte Einwahl über ein Modem oder über ISDN stellt allerdings nur einen kleinen Bestandteil der heute verfügbaren Methoden zur Einbindung von Außendienstmitarbeitern, Telearbeitsplätzen und vergleichbaren Berufsbildern dar. Stark im Kommen ist mittlerweile selbst bei kleineren Firmen die Nutzung des Internets für die Einwahl in ein Unternehmensnetzwerk. Dies bietet einen klaren Vorteil: es ist billiger. Anwender können sich vor Ort mit dem POP eines Internetproviders verbinden und dann über das Internet zum Ortstarif eine Verbindung mit dem Unternehmensnetzwerk herstellen.
76
Bekannte Sicherheitslücken Abbildung 5.6: Über das Internet kann ein Anwender die Verbindung zu seinem Unternehmensnetzwerk herstellen
Diese Variante birgt natürlich fast noch mehr Gefahren, als eine »echte« RAS-Lösung. Ist die Adresse für den Zugang erst einmal öffentlich bekannt, muss man zu jeder Zeit damit rechnen, dass auch nicht autorisierte Internetanwender versuchen, Kontakt zu Ihrem Unternehmensnetzwerk aufzubauen. Während bei einem unsicheren RAS-Server vielleicht auf eine Lösung ein Angreifer kommt, sind es bei der Internet-Variante schlicht tausende denkbarer Angreifer. Wenn hier keine umfangreichen Barrieren aufgebaut werden, werden Sie schnell ungebetenen Besuch haben. Um Unternehmen die Nutzung des Internets zu ermöglichen, hat Microsoft auch in dieser RAS-Variante eine Vielzahl neuer Features eingebaut. So unterstützt der RAS-Server von Windows 2000 den Zugriff über das Internet, setzt aber die gleiche Sicherheit voraus, wie bei einer lokalen Anmeldung. Ohne funktionierende Anmeldung erhält also ein Anwender aus dem Internet auch keinen Zugriff. Damit die Daten, die während der Authentifizierung oder später bei der Datenübertragung über das Internet gesendet werden, geschützt sind, sind in Windows 2000 zahlreiche Verschlüsselungsmechanismen eingebaut, die eine Verschlüsselung von Daten und Passwörtern mit bis zu 128 Bit ermöglichen. Derart gesicherte Daten können nur noch von Supercomputern dechiffriert werden, doch die hat letztlich kaum ein »Hacker« zu Hause stehen. Damit zu guter Letzt die Nutzung von Anmeldesicherheit nicht auf eine Windows 2000-Domäne beschränkt bleibt, unterstützt Windows 2000 zusätzlich den so genannten RADIUS-Standard. Hierbei handelt es sich um eine Authentifizierungsmethode, die die Anmeldebestätigung der InternetAnwender bereits bei der Einwahl ins Internet durchführt und – da allgemeiner Industriestandard – nicht von einem spezifischen Kontenverwal-
77
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
tungsserver abhängt. Sofern alle Systeme RADIUS unterstützen, könnte also eine UNIX-Maschine beispielsweise die Einwahl der Anwender abwickeln, die Authentifizierung aber an den Windows 2000-Domänencontroller über RADIUS-Kommunikation weiterleiten. Die Variante funktioniert natürlich auch umgekehrt.
5.1.4
Mail-Server
Ein weiterer Angriffspunkt sind Systeme, die zwangsläufig mit anderen Systemen kommunizieren müssen. Der klassische Vertreter ist dabei der Mailserver einer Firma. Solange Sie diesen Mailserver nur für den internen Mailaustauch nutzen, besteht kein Anlass zur Sorge. Leider werden irgendwann Ihre Anwender auf die Idee kommen, dass das Austauschen von Mails mit Anwendern anderer Firmen schick und effizient ist. Zugegebenermaßen kann die Funktionalität von E-Mail heute kaum noch aus modern ausgerichteten Firmen weggedacht werden – zu praktisch und zeitsparend ist dieses Medium. Der Nachteil ist wieder einmal eine Sicherheitslücke. Wenn ein Mailserver an das Internet angebunden wird, damit er Mails mit anderen Mailsystemen austauschen kann, handelt es sich um eine nicht zu unterschätzende Schnittstelle zum öffentlichen Netzwerk. Häufig wird übersehen, dass dieser Server für Anwender aus dem Internet direkt adressierbar ist. Da es sich zudem zumeist um einen Server in einem Netzwerk handelt, laufen neben dem Mailsystem oftmals auch andere Verbindungsdienste auf diesem Server. Folglich kann ein potentieller Angreifer versuchen, Zugang zu diesem Server zu erhalten. Damit hätte er zumindest die Möglichkeit, die Daten auf dem Mailserver selbst zu manipulieren, wenn nicht sogar alle Daten im Netzwerk. Abbildung 5.7: Der Mailserver ist zumeist direkt mit dem Internet verbunden
78
Bekannte Sicherheitslücken
Nicht zuletzt aus diesem Grund empfiehlt Microsoft für seinen Exchange 2000 eine Struktur aus mehreren Servern, bei denen Frontend-Server nur Abfrage- oder Weiterleitungsdienste für das Internet enthalten. Diese Server wiederum sind über sichere Verbindungen mit einem zweiten Netzwerk verbunden, in dem der eigentliche Mailserver mit den Postfächern der Anwender steht. Auf diese Art und Weise kann man seinen Anwendern komfortabelste Internet-Funktionen bieten, also z.B. die Mailabfrage über einen Internet-Browser, ohne dabei die gesamte Sicherheit des Netzwerks aufs Spiel zu setzen. Der Komfort hat allerdings einen Haken: ein so gesichertes Netzwerk kostet deutlich mehr als ein unsicheres. Doch verlorene oder manipulierte Daten kosten noch wesentlich mehr! Abbildung 5.8: Durch einen Frontendserver wird die Kommunikation mit dem Internet sicherer
5.1.5
Datenklau durch Mitarbeiter
Natürlich wollen wir niemandem etwas unterstellen, doch immer noch erfolgt der größte Schaden, der einem Unternehmen zugefügt wird, nicht durch Angriffe von außen, sondern durch Datenmissbrauch in den eigenen Reihen. Dabei meinen wir nicht die Ungeschicklichkeit von Anwendern, die versehentlich Daten löschen oder auch manchmal interne Memos an Empfänger außerhalb des Unternehmens absenden. Wo viel Technologie im Einsatz ist, muss viel in die Mitarbeiterausbildung investiert werden. Da dies aber das Stiefkind eines jeden Managements ist (logisch: viel finanzieller Input – kein sichtbarer Output), müssen solche Probleme definiert, delegiert und in Kauf genommen werden. Wichtig ist an dieser Stelle nur, dass Sie als Netzwerkadministrator den »schwarzen Peter« wieder an das Management zurückgeben. Ohne Mitarbeiterschulung kann Fehlbedienung nicht ausgeschlossen werden, somit sind selbstverständlich auch Sicherheitslücken bei der Handhabung von Firmeninterna gegeben.
79
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Wir beziehen uns an dieser Stelle aber eher auf die Anwender, die die Unternehmensdaten bewusst missbrauchen oder für eigene Zwecke einsetzen. So erinnern wir Autoren uns immer wieder gerne an die »Mutter« aller Münchner PR-Agenturen. Fast jeder Mitarbeiter, der die Firma irgendwann verließ, nahm selbstverständlich auch die Datenbanken mit den Verteilern mit, so dass Empfänger dieses Verteilers nach und nach plötzlich immer mehr Post von gerade neu gegründeten oder konkurrierenden PR-Agenturen erhielten. Ein anderes Beispiel ist gerade im Frankfurter Raum sehr beliebt. Jeder Mitarbeiter, der von einer Bank zur nächsten wechselt, nimmt natürlich auch seinen Kundenstamm oder auch seine Technologieunterlagen mit. Wen wundert’s, dass in den Frankfurter Bankenvierteln inzwischen ungemein homogene Daten- und IT-Landschaften existieren. Wenn ein Anwender Zugriff auf Daten haben muss, können Sie kaum verhindern, dass er sie auch mit sich nimmt. Doch muss er Zugriff auf alle Daten haben? In vielen Unternehmensnetzwerken haben Anwender bedingt durch Unkenntnis oder Bequemlichkeit der Administratoren freien Zugriff auf eine Vielzahl von Datenbeständen, die sie an sich niemals benötigen. Durch einen gezielten Einsatz von Berechtigungen, so wie sie in Minimalform durch die Freigabeberechtigungen oder in Optimalform durch die NTFS-Berechtigungen umgesetzt werden, können Sie viele »Versuchungen« bereits im Keim ersticken. Wer gar nicht erst auf bestimmte Daten zugreifen kann, kommt auch nicht auf die Idee, die Daten näher anzusehen. Abbildung 5.9: Mithilfe der NTFSBerechtigungen lassen sich die Zugriffsrechte sehr detailliert festlegen
80
Klassische Angriffsmethoden
Ein weiterer Faktor sind gezielte Spionageangriffe aus dem Netzwerk heraus. Dies kann bewusst durch Anwender geschehen, aber auch durch Programme, die Angreifer Anwendern »untergejubelt« haben. So könnte beispielsweise ein Anwender oder eine Applikation den Netzwerkverkehr im LAN mitschneiden und die erhaltenen Daten dann an eine externe Stelle versenden. Dort wird der zumeist unverschlüsselte Verkehr ausgewertet, in dem sich Benutzerkennungen, Passwörter und natürlich auch Daten befinden. Durch spezielle Programme lassen sich solche Mitschnitte gezielt auswerten und dann gegen das Unternehmen einsetzen. Solche Gefahren können Sie unter Windows 2000 gleich auf zweierlei Art und Weise eliminieren. Einerseits können Sie Daten heute verschlüsseln. Verschlüsselte Daten sind nur für den lesbar, der die Daten verschlüsselt hat, nicht hingegen für andere Anwender. Mit Windows XP können im Rahmen der verbesserten Verschlüsselung zudem Zugriffe für vereinzelte Gruppen definiert werden, so dass dem effizienten Einsatz von Datenverschlüsselung nichts mehr im Wege steht. Das Gleiche gilt auf der Netzwerkebene für die Datenübertragung mit IPSec. Auch hier werden die Daten verschlüsselt über das Netzwerk übertragen und erst beim Empfänger wieder richtig zusammengesetzt. Ein »Datenspion« sieht somit nur Datensalat. Abbildung 5.10: IPSec ermöglicht die Verschlüsselung von Daten während der Übertragung über das Netzwerk
5.2
Klassische Angriffsmethoden
Ein wirksamer Schutz der Unternehmensdaten erfordert natürlich auch die Kenntnis der vorstellbaren Angriffsmethoden sowie die Beurteilung der Wahrscheinlichkeit eines solchen Angriffs. Prinzipiell könnte man ja behaupten, dass es gemüsefressenden Piranhas gelungen ist, den Blumenkohl auf Ihrem Serversystem aufzufuttern, doch im Grunde existieren nur wenige Angriffs- oder Verlustschemata, die immer wieder auftreten. Das Besondere dabei ist eigentlich nur, dass sie immer variieren. So genannte Wurmviren beispielsweise verwenden immer die gleiche Methode zum
81
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Befall und zur Zerstörung von Daten, interessant ist die unterschiedliche Auswirkung von Variationen. So richtet ein Virus mit dem Namen kournikova.jpg.vbs in einer männerdominierten Firma wesentlich mehr Schaden an als der gleich gestrickte Homepage-Virus. Der »Feind« ist nicht immer ein bösartiger Angreifer von außen, sondern viel häufiger die Dummheit der Anwender (kournikova.jpg.vbs wurde überwiegend in den Management-Etagen geöffnet...). Ein Hacker sagte mal in einem Interview, dass es in der Regel reichen würde, auf einer Herrentoilette eine Diskette mit der Aufschrift SEX liegen zu lassen, die eine Datei mit dem Namen SEX.EXE enthält. Kurze Zeit später wäre dann mindestens ein Rechner erfolgreich mit einem Trojaner ausgestattet, der dem Hacker den Zugriff auf das gesamte System gibt.
5.2.1
Was ist ein Angriff?
Ein »Angriff« auf ein System setzt immer mehrere Faktoren voraus. Auf Seiten des potentiellen »Angreifers« muss ein Motiv für den Angriff vorliegen, zudem muss er in der Lage sein, die Sicherheitslücken eines Systems effizient zu erkennen und zu nutzen. Dies sind bereits eine ganze Menge Hürden, die hier zu überwinden sind. Bleiben wir bei der ersten Frage nach dem Motiv, welche Gründe kann es für einen Angriff geben? Ein paar Beispiele: 왘 Frustrierte Mitarbeiter, die versuchen, der Firma bewusst Schaden zuzu-
fügen (typischer »interner Angriff«) . 왘 Konkurrenten, die versuchen, Firmendaten zu erlangen (typischer
»externer Angriff durch Wettbewerber«) . 왘 Hacker, die versuchen, einer »prominenten« Firma einen Streich zu spie-
len. Zugegeben, wenn jeder frustrierte Mitarbeiter sich gleich in alle Systeme einhacken und Daten zerstören oder stehlen würde, kämen wir kaum noch zum Arbeiten. Gefährlich werden diese erst, wenn sich zum Motiv auch noch eine gezielte Vorgehensweise gesellt, also ein tatsächlicher Vorsatz mit den technischen Fähigkeiten zum Missbrauch kombiniert wird. In diesem Fall wird die Sache gefährlich, beispielsweise wenn 왘 Mitarbeiter Informationen über interne Daten an Dritte weitergeben, 왘 Konkurrenten gezielt Tools für die Spionage ausnutzen, 왘 Professionelle Hacker die Daten an Dritte verkaufen.
Diese gefährliche Mischung kann aber erst wirklich Schaden anrichten, wenn sie auf der Seite des Unternehmensnetzwerks auf »unbeabsichtigte Sicherheitslücken« stößt. Diese Sicherheitslücken sind in den seltensten Fällen bekannt. Ein »normaler« Administrator arbeitet zumeist funktional orientiert, versucht also innerhalb seines Unternehmensnetzwerks die Funktionsbereitschaft von Netzwerkzugängen bzw. Servern oder Speichermedien sicherzustellen. Dass durch diese Arbeitsweise Sicherheitslücken ent-
82
Klassische Angriffsmethoden
stehen können, ist den Firmen, die kein Sicherheits-Management betreiben, oftmals nicht bewusst. Nur dann, wenn bei einer administrativen Tätigkeit durch die Zusammenarbeit mit dem Sicherheits-Management auch immer die Auswirkungen von Aktivitäten auf die Sicherheit eines Netzwerks berücksichtigt werden, ist die Gefahr einer Sicherheitslücke verhältnismäßig gering: Beispiele für typische Sicherheitslücken, die glücklicherweise aber in den seltensten Fällen extern bekannt sind, lauten: 왘 Server-Freigaben, die mangelhaft gesichert sind (Die Gruppe JEDER ver-
fügt beispielsweise über VOLLZUGRIFF). 왘 Betriebssystemverzeichnisse, die ungenügend gesichert sind (Auch hier
verfügt die Gruppe JEDER häufig über VOLLZUGRIFF). 왘 RAS-Zugänge, die eine unkontrollierte Einwahl ins Netzwerk zulassen. 왘 Ungesicherte Internet-Zugänge. 왘 Mangelhafte Passwortvorschriften. Kurze Passwörter und der Verzicht
auf Sperren sind zwar komfortabel für die Anwender, sicherheitstechnisch aber inakzeptabel. 왘 Internetserver, die nicht mit aktuellen Sicherheits-Patches ausgestattet
werden und anonyme Zugänge zulassen. 왘 Zu viele Domänenberechtigungen für zu viele Anwender.
Eine professionelle Administration einer Windows-Domäne schaltet fast alle dieser Faktoren aus. Sie können somit zwar noch nicht sicherstellen, dass kein Angriff mehr erfolgen kann, doch setzen Sie durch ein zuverlässiges Sicherheits-Management die Hürde für den Erfolg eines Angriffs so hoch, dass der potentielle Angreifer enorm viele Mittel investieren muss, um zum Erfolg zu kommen. Da Angreifer aber zumeist nur die einfachen Wege suchen, wird sich das Risiko eines Angriffs drastisch verringern.
5.2.2
Viren, Würmer und Trojaner
Grundsätzlich mag man sich eigentlich gar nicht vorstellen, dass sich Unmengen an begabten Programmierern den ganzen Tag damit beschäftigen, gegenseitig in Systeme einzubrechen und dort Daten zu zerstören. Nützlicher wäre es sicherlich, wenn die betreffenden Hacker täglich hundertmal mit dem Kopf gegen die Wand rennen, dies würde zumindest den vielleicht schon lange geplanten Wanddurchbruch erleichtern. Doch leider haben wir keinen Einfluss auf kranke Gehirnwindungen und Passionen nach Art »Microsoft ist das Böse auf Erden« (aber wieso muss das Böse dann einen Milliardenumsatz erzielen und Aktionäre glücklich machen?). Das eigentlich Dumme für den Administrator ist, dass er zumeist gar nicht Ziel der Virenattacke ist, sondern eher zufällig in das Feuergefecht zwischen chinesischen und amerikanischen Hackern gerät. Um hier einen vernünftigen Schutz zu realisieren, muss man sich die Systematik, nach der Viren, Würmer oder Trojaner vorgehen, genauer vergegenwärtigen.
83
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Grundsätzlich können sich alle drei Typen in der Regel nur durch die Nachlässigkeit von Anwendern verbreiten. Der klassische Virus ist heute quasi schon »Out«, da nur noch sehr wenige Anwender Dateien installieren und ausführen dürfen, ohne dass vorher ein Virenscanner die Datei geprüft hat. Dennoch hier noch einmal die allgemeine Funktion. Der Virus ist ein binäres Anhängsel an einer ausführbaren Datei, also z.B. einem Programm. Wird die Datei ausgeführt, wird auch der Virus in den Speicher geladen. Hier verselbstständigt sich das kleine Programm und führt eine Reihe von Aktivitäten aus. So kann sich ein Virus an andere Programme anhängen oder sich auch im Boot-Sektor einer Festplatte platzieren. Durch Letzteres würde er bei jedem Systemstart neu aktiviert. Viele Viren haben die Aufgabe, das Computersystem zu schädigen, also z.B. durch das Löschen von Dateien entsprechende Daten zu zerstören oder das Betriebssystem unbrauchbar zu machen. Ein Trojaner hingegen verfolgt eigentlich ein anderes, zumeist gefährlicheres Ziel. Hierbei handelt es sich in der Regel um ein eigenständiges ausführbares Programm, das auf verschiedenen Wegen auf den Rechner eines Anwenders gelangt. Einerseits ist es möglich, dass der Anwender das Programm ausführt, im Glauben, es handle sich um ein Anwendungsprogramm. Aber auch über Makroviren oder andere Kniffe kann ein solcher Trojaner beispielsweise aus dem Internet downgeloadet und anschließend automatisiert ausgeführt werden. Der Anwender öffnet also nur einen einfachen WordText und beantwortet die Abfrage nach der Aktivierung enthaltener Makros mit Ja. Diese Aktion genügt bereits, um einen Trojaner zu installieren. Die Aufgabe des Trojaners ist in der Regel die verdeckte Manipulation von Datenbeständen des befallenen Computersystems. Mithilfe eines Trojaners können Sie ohne dass ein Anwender es bemerkt, Daten vom Rechner des Anwenders auf Ihren Rechner übertragen. Die Art der Kontrolle reicht dabei von einer einfachen Dateiübertragung bis hin zur völligen Kontrolle des Computersystems, wie es beispielsweise die Trojaner NetBus und Back Orifice realisierten. Interessanterweise sind beide Klassiker inzwischen beliebte Support-Tools geworden, da die gebotene Kontrolle auch für den RemoteSupport von fehlerhaften Systemen geradezu ideal ist. Back Orifice – vom Trojaner zum Support-Tool Als vor einigen Jahren der Back Orifice-Virus zum ersten Mal sein Unwesen trieb, war die Fachwelt entsetzt. Durch das Einschleusen einer einzigen, kleinen ausführbaren Datei auf dem Rechner eines Anwenders konnte man über eine beliebige Netzwerkverbindung, also auch über das Internet, die völlige Kontrolle über einen Remote-Computer übernehmen. Back Orifice ist mittlerweile in die Jahre gekommen, die aktuelle Version Back Orifice 2000 unterliegt inzwischen der GNU Public License, der Source Code ist also frei und überall verfügbar. Das Tool dient inzwischen mehr dem bewussten Einsatz im Systemsupport, dennoch bietet das Produkt einen sehr schönen Einblick in die Technik eines Trojaners.
84
Klassische Angriffsmethoden
Zu Beginn muss man den Back Orifice Server, also das Programm, das auf dem entfernten Computer eingeschleust werden soll, konfigurieren. Netterweise stellt die neue Version dafür einen Assistenten für Windows bereit, der uns die Konfiguration erleichtert. Im Wesentlichen definieren Sie hier, auf welchem Port und welchem Protokoll der Trojaner auf Verbindungen aus dem Netzwerk wartet. So können Sie beispielsweise einstellen, dass der Server auf Verbindungen über das TCP-Protokoll auf dem Verbindungsport 1307 wartet. Wenn ein Client diese Konfiguration kennt, kann er sich darüber mit dem Remote-Computer verbinden. Ist der Back Orifice Server dann auf dem Remote-Computer gestartet, können Sie sich mithilfe einer speziellen Oberfläche mit dem Server verbinden. Je nachdem, was die Programmierer des Trojaners ihrem Programm an Funktionen mitgegeben haben, können Sie dann eine beliebige Anzahl an Funktionen auf dem entfernten Rechner ausführen. Bösartige Funktionen wären hierbei beispielsweise das Blockieren eines Rechners oder das Übertragen bzw. Aufzeichnen von Passwörtern. Positive Funktionen wären beispielsweise die Korrektur von Systemproblemen durch gezielte Dateiübertragungen oder Manipulationen der Windows-Registry. Back Orifice ist ein Beispiel für die Wandlung vom »Saulus zum Paulus«. Abbildung 5.11: Mit dem Konfigurations-Assistenten legen Sie fest, über welchen Port die Netzwerkkommunikation mit dem Trojaner umgesetzt wird.
Bleibt der Wurmvirus. Hierbei handelt es sich um eine spezielle Abart eines Virus, der zu 99 Prozent auf die totale Verblödung von Anwendern setzt und dabei – leider – auch noch Erfolg hat. Es ist kaum zu glauben, doch selbst gut ausgebildete IT-Spezialisten wundern sich nicht etwa, dass ihnen ein sonst seriöser Geschäftspartner plötzlich Fotos von Anna Kournikova schickt (und das noch mit einem englischen Text). In freudiger Erwartung werden die vermeintlichen Bilder geöffnet, kurze Zeit später ist der Wurm aktiviert
85
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
und führt die ihm einprogrammierten Funktionen aus. Bei den Wurmviren handelt es sich fast immer um Dateien für den Windows Scripting Host. Dieser wurde von Microsoft in die Betriebssysteme Windows 98, ME und 2000 standardmäßig integriert und ermöglicht eine umfassende Batchjobprogrammierung. Dummerweise findet beim Aufruf eines solchen Programms mit der Endung .VBS oder .JS keine weitere Überprüfung oder Benachrichtigung des Anwenders statt. Dieser wird sich nur wundern, warum sein Outlook mit einem Mal plötzlich 534 E-Mails verschickt. Abbildung 5.12: Ist der Trojaner installiert, lassen sich eine ganze Reihe von Funktionen auf dem Remote-Computer ausführen
Ob Homepage, Kournikova oder Loveletter, alle Würmer verwendeten E-Mails als Träger, um auf den Computer des Anwenders zu gelangen. Wurden sie dort geöffnet, versendeten sich die meisten dieser Würmer an alle, die in den Adressbüchern des Anwenders gespeichert waren. Allein das E-MailAufkommen, das durch diese Verbreitung verursacht wurde, reichte, um weltweit einen großen Teil der Mailserver zum Ausstieg zu bringen. Leider verfolgen viele Würmer aber auch noch andere Zwecke, sie vervielfältigen sich nicht nur, sondern befallen parallel dazu auch noch Dateien auf dem lokalen Rechner, einige löschen auch Dateien auf dem befallenen Rechner. Neuere Würmer haben die unangenehme Angewohnheit, innerhalb des VBS-Codes Hexadezimalcode zu speichern. Dieser Code muss später durch den Virus nur noch geringfügig umgewandelt werden, schon ist eine ausführbare Datei auf dem Rechner installiert, die wie ein echter Virus bzw. Trojaner agiert. Diese Technologie nutzen wiederum speziell die neuen DoS bzw. DDoS, Viren. Hierbei handelt es sich zumeist zuerst einmal um einen Mail-Virus, der dann bei Ausführung das lokale System infiziert. Dieses System versucht nun zu einer vorgegebenen Zeit, mit einer Vielzahl von
86
Klassische Angriffsmethoden
Threads einen spezifischen Server im Internet zu adressieren. Empfängt dieser Webserver zu viele Anfragen von Systemen, wird die Funktion des Servers außer Kraft gesetzt, da er die Anfragen nicht mehr beantworten kann. The next generation Vielleicht ist die Zeit der Mail-Würmer aber auch schon vorbei. Spätestens seit Code Red gehen Virenprogrammierer andere Wege. Anstelle Clients zu infizieren, attackieren die neuen Viren direkt Schwachstellen von UNIX- oder Windows-basierten Webservern. So nutzte Code Red beispielsweise eine Schwachstelle in bestimmten Programmteilen des IIS, um den im http-Request verpackten Virus-Code in den Arbeitsspeicher des Servers zu kopieren. Der so befallene Rechner führte anschließend eine Vielzahl von Threads aus, die zu bestimmten Uhrzeiten eine Denial of Service Attacke auf die Webseiten des Weißen Hauses durchführten und sich sonst auf andere Webserver weiterverbreiteten.
5.2.3
Passwort-Cracking
Das Knacken von Passwörtern ist natürlich eine sehr beliebte Methode, wenn es darum geht, sich unerlaubt Zugang zu Systemen zu verschaffen. Grundsätzlich ist es eigentlich kaum möglich, ein mit modernen Methoden verschlüsseltes Passwort zu knacken, da die dazu verwendeten Verschlüsselungsalgorithmen zumeist Einweg-Verschlüsselungen sind, die mathematisch nicht mehr zurückberechnet werden können, selbst wenn man an das gespeicherte Passwort gelangt. Ein echtes »Knacken« des Passworts ist somit nicht möglich. Der folgende Dump zeigt die Passwörter, wie sie unter Windows 2000 in der Security-Datenbank gespeichert werden. Administrator:500:62bcf16f00a21e04aad3b435b51404ee:b4e3f058923c1743ad59d7c320e08 72e::: Eisenkolb:1005:2087cc3ccdab8303bad3b435b51404ee:842a4997bb8782c4eef76b d6d4061231::: Gast:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c0 89c0::: Weickardt:1000:5cbb9f65be39772993e28745b8bf4ba6:ad5af99947c65ce6d0d3506403e 9e523:::
Es gibt allerdings Mittel und Wege, Passwörter dennoch zu erraten. Viele Anwender bevorzugen für die Anmeldung immer noch Familienmitglieder. Der Name der Freundin, Ehefrau oder auch des Familienhunds sind beliebte Passwörter, die Außenstehende leicht erraten können. Oftmals wird auch sehr schlampig mit den Passwörtern umgegangen. So geben Anwender ihr Passwort einfach an andere Anwender weiter, damit diese unter der Identität des Anwenders entspechende Aktivitäten durchführen können, selbst Administratoren-Kennwörter werden oftmals so stupid ans schwarze Brett
87
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
gehängt. Zu guter Letzt sei natürlich auch der berühmte gelbe Zettel am Monitor oder unter der Tastatur bzw. in der ersten Schublade rechts oben (na, getroffen?) erwähnt. Solche Nachlässigkeiten werden in modernen Firmen mittlerweile mit Abmahnungen und Kündigungen bestraft, die zudem bereits durch entsprechende Gerichtsentscheidungen bestätigt wurden. Software-Methoden verwenden einen anderen Denkansatz. Sie versuchen in den durch die Verschlüsselung erzeugten Zeichenketten Muster zu erkennen. Wenn Sie also beispielsweise das Passwort »Abba« verwenden, wird der verschlüsselte String vermutlich sehr viele wiederholt vorkommende Muster enthalten. Die Software versucht dann das Muster gegenüber einem Wortschatz abzugleichen und so wieder in Klartext umzuwandeln. Diese recht aufwendige Methode wird natürlich durch schnelle Systeme immer mehr vereinfacht, kann aber durch entsprechend lange Kennwörter verhindert werden. Je länger das Kennwort, desto umfassender sind die Muster, die das Programm prüfen muss. Die Wahrscheinlichkeit ist also gering, dass das Programm fündig wird. Wer ganz auf Nummer Sicher gehen will, verwendet Sonderzeichen. Da diese im natürlichen Sprachschatz nicht vorkommen, wird das Vergleichswörterbuch um Milliarden von weiteren Möglichkeiten erweitert. Somit ist es im Grunde genommen nur noch Supercomputern möglich, eine entsprechende Verschlüsselung zu knacken. Anleitung zum Passwort-Knacken Die folgenden Aktivitäten können übrigens nur von Windows-Administratoren durchgeführt werden, somit zeigen die Schritte lediglich die Vorgehensweise, die für das Knacken von Passwörtern vonnöten wären. In ersten Schritt generieren wir mithilfe eines kleinen Hilfsprogramms einen Dump aller Konten und verschlüsselten Kennwörter in eine Textdatei. Das Ergebnis dieses Dumps sehen Sie übrigens ein wenig weiter oben. Wir wenden das im Internet verfügbare Programm PWDUMP2 an, um auch das Passwort des Anwenders Doof in ein Textfile zu kopieren. Dieses Textfile kann man nun wiederum mit einem Password-Cracker wie z.B. dem Program L0phtCrack einlesen. Anschließend muss dem Knackprogramm noch ein Wörterbuch mitgegeben werden, aus dem es die Möglichkeiten zum Mustervergleich ziehen kann, auch diese Wörterbücher sind im Internet verfügbar. Nun fehlen noch einige Einstellungen bezüglich der Art der Kennwortattacke. Sie können hier festlegen, welches Kennwort angegangen werden soll und welche Methode dabei genutzt wird. Wichtig ist auch die Vorgabe der zulässigen Zeichen. Wenn nur Buchstaben vorliegen, kann das Programm mit weniger Varianten arbeiten und benötigt weniger Zeit. Liegt ein Kennwort mit Sonderzeichen vor, braucht das Programm wesentlich länger, um das Passwort durch Musterabgleich herauszufinden.
88
Klassische Angriffsmethoden
In unserem Beispiel hat das Programm rund einen Tag gerechnet, um das Passwort des Anwenders herauszubekommen. Wir sind dem Programm dabei entgegengekommen, indem wir bewusst ein Kennwort gewählt haben, dass im Wörterbuch des Systems enthalten war, und dass ausschließlich aus Buchstaben besteht. Je länger und komplexer das Kennwort, desto schwerer wird also das Knacken. Abbildung 5.13: Die Kennwörter werden in das Knackprogramm geladen
Abbildung 5.14: Durch die Auswahl der passenden Methode verringern Sie die Rechenzeit des Programms
Eine Besondere Abart des Passwort-Knackens wird allgemein mit »Social Engineering« bezeichnet. Hierbei handelt es sich um die mieseste aller Möglichkeiten, denn es wird mit dem Vertrauen der Anwender Missbrauch getrieben. So ruft beispielsweise ein potentieller Angreifer bei einem Anwender an und täuscht vor, der Administrator des Netzwerks zu sein. Er erzählt
89
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
dem Anwender dann etwas von Netzwerkproblemen und dass für die Wiederherstellung aller Funktionen das Passwort des Anwenders erforderlich wäre. Der ahnungslose Anwender nennt leider sehr häufig sein Passwort, wodurch der »Administrator« ohne größere Mühe in den Besitz eines Kontos und Passworts gelangt ist. Es ist daher immer wieder elementar, Anwender darauf hinzuweisen, dass Administratoren oder Techniker NIE nach einem privaten Kennwort fragen werden. Sie benötigen es schlicht nicht! Abbildung 5.15: Das Programm führt den zeitaufwändigen Mustervergleich durch
5.2.4
Mail-Missbrauch
Eine weitere Gefahr besteht im Missbrauch von E-Mail. Dies kann in zweierlei Hinsicht passieren. Einerseits ist es möglich, Ihre Mail auf dem Weg über das Internet umzuleiten und zu lesen. Dies ist sogar verhältnismäßig einfach, da für die Übertragung der Mail uralte Datenübertragungsverfahren verwendet werden, die mit einem simplen Kopieren verglichen werden können. Wenn die Mail also auf dem Weg zum Empfänger auf einem der übertragenden Mailserver zwischengelagert wird, kann man sie unbemerkt kopieren und anschließend lesen. Während das Original dem Empfänger zugestellt wird, kann die Kopie illegal gelesen werden. Zum anderen kann man Mail natürlich auf dem Weg zum Empfänger auch manipulieren. Dies ist umso kritischer, da E-Mail mittlerweile einen dem Brief vergleichbaren Status besitzt und somit auch juristisch Bedeutung bekommt. Nehmen wir an, Sie bestellen per Mail bei einem Computerhändler einen neuen Computer. Auf dem Weg zum Empfänger erlaubt sich ein Spaßvogel einen Scherz und macht aus einem Computer 100 PCs. Es wird Ihnen dann schwer fallen, dem Lieferanten zu erklären, dass Sie nur einen Computer bestellt haben. Ein Ausgang vor Gericht ist kaum sicherzustellen, auch wenn Kaufverträge ohne Unterschrift derzeit noch wenig Chancen haben.
90
Klassische Angriffsmethoden
Gegen beide Gefahren bieten Betriebssysteme wie Windows 2000 und Anwendungsprogramme wie Office XP die umfassende Unterstützung von digitalen Zertifikaten. Diese können Sie einerseits einsetzen, um Mail digital zu signieren. Dies stellt zwar nicht sicher, dass die Mail von keinem anderen gelesen werden kann, gewährleistet aber, dass die Mail nicht manipuliert wurde. Denn nur dann ist die Signatur noch intakt. Andererseits können Sie Zertifikate einsetzen, um Mails zu verschlüsseln. In diesem Fall kann die Mail nur vom Empfänger gelesen werden, sonst bleibt sie unleserlich.
5.2.5
Netzwerk-Missbrauch
Auch das Netzwerk selbst bietet eine ganze Reihe von Möglichkeiten, Daten zu entwenden oder Passwörter zu erlangen. Im Wesentlichen gibt es aber zwei Methoden, die man sich im Netzwerk für illegale Zwecke zunutze machen kann: 왘 Netzwerk-Mitschnitte 왘 Netwerk-Spoofing
Bei den Netzwerk-Mitschnitten macht man sich eine Eigenschaft des Ethernet zunutze, bei der alle Datenpakete im Prinzip an allen Computern vorbei gehen, die nicht adressierten Netzwerkkarten die empfangenen Daten dann aber verwerfen, da sie im Adresskopf des Pakets nicht enthalten sind. Mithilfe spezieller Programme (z.B. Microsofts Netzwerkmonitor oder dem Unix-Klassiker Sniffer) kann man die Netzwerkkarte aber in einen so genannten »promiscous mode« versetzen, in dem die Netzwerkkarte alle Pakete annimmt, selbst wenn sie gar nicht adressiert ist. Dies ermöglicht es einem Anwender, den gesamten Netzwerkverkehr mitzuschneiden. Da bis heute bei einigen Programmen die Passwörter von Anwendern unverschlüsselt übertragen werden (z.B. bei Telnet-Sitzungen), kann man relativ leicht an vertrauliche Informationen gelangen. Prinzipiell ist es über die gleiche Methode auch möglich, übertragene Dateien nachträglich wieder zusammenzusetzen und so in den Besitz vertraulicher Dokumente zu gelangen, auch wenn dies natürlich einen erheblichen Aufwand erfordert. Derartige Aktivitäten können im Netzwerk kaum bemerkt werden, daher ist es sehr wichtig, durch eine geschickte Sicherheitsstruktur das Mitschneiden von Informationen zu verhindern. Mit der Einführung von IPSec hat Microsoft auch hier den Administratoren ein neues Werkzeug an die Hand gegeben, mit dem sich prinzipiell alle Daten verschlüsselt über das Netzwerk übertragen lassen. Eine andere Methode, Netzwerkfunktionen zu missbrauchen, ist das Netzwerk-Spoofing. In diesem Fall nimmt ein Rechner einfach die Identität eines anderen Rechners an bzw. behauptet, dieser Rechner zu sein. Auf diese Weise kann man beispielsweise vom DNS-Server eine Kopie aller im DNS gespeicherten IP-Adressen und Hostnamen beziehen, indem man dem Server einfach vorgaukelt, ein so genannter »sekundärer DNS-Server« zu sein. Alternativ dazu kann man die Identität eines Dateiservers annehmen und
91
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Anwender so dazu bringen, Daten auf dem eingeschleusten Rechner zu speichern. Zu guter Letzt kann man sogar einen veralteten Dateiserver mit LAN-Manager-Authentifizierung vortäuschen. In diesem Fall verhält sich ein modernes Betriebssystem plötzlich wie ein DOS-Client und übergibt das Passwort mehr oder minder unverschlüsselt. Auch wenn diese Art des Missbrauchs eine sehr gute Kenntnis des Netzwerks erfordert, kann der Administrator auch hier durch richtige Sicherheitseinstellungen an den Servern einen Missbauch von Identitäten verhindern.
5.3
Klassische Verlustmethoden
Sicherlich ist es möglich, dass ein Hacker oder Datenspion Ihren Daten ans Leder möchte. Allerdings ist es mindestens ebenso wahrscheinlich, dass Ihre Daten einfach durch Anwenderfehler zerstört werden. Auch hierfür seien verschiedene Denkansätze präsentiert, die sich aber eigentlich mehr mit der Verfügbarkeit von Daten als mit der Sicherheit von Daten befassen und daher eher zum Aufgabengebiet des Verfügbarkeits-Managements als des Sicherheits-Managements gehören.
5.3.1
Datenverlust und Wiederherstellung
Ein Klassiker in der Datenverarbeitung ist in Bezug auf vorhandene Daten der versehentliche Verlust. Nehmen wir also an, ein Anwender arbeitet mit elementaren Excel-Sheets oder verwendet generell spezielle Vorlagen für seine Arbeit. Durch einen dummen Zufall (kein Kommentar) kann es natürlich passieren, dass der Anwender die Taste zum Löschen einer Datei mit anderen Tasten verwechselt – das war’s. Speziell Dateien auf Serverlaufwerken können unter Windows 2000 ohne den Einsatz zusätzlicher Tools nicht einfach wiederhergestellt werden, da sie nicht in einem Papierkorb zwischengelagert, sondern direkt gelöscht werden. Wenn nun diese Datei wirklich so elementar für die Arbeit des Anwenders war, muss man sich natürlich fragen, warum hier kein Sicherheitsmechanismus greift, doch erfährt ein Administrator leider zumeist erst von der Wichtigkeit, wenn es zu spät ist. Es stellt sich also ganz allgemein die Frage, wie heute Dateien unter Windows 2000 vor der Zerstörung bewahrt werden können, die Lösung ist, wie schon häufig, das gute alte Backup. Es gehört zu den Aufgaben eines Netzwerkadministrators, sich über die Sicherung der Daten grundsätzliche Gedanken zu machen. Zuerst einmal gilt es zu analysieren, ob sich die Daten auf lokalen Festplatten der Anwender oder auf zentralen Serverlaufwerken befinden. Lagern die Daten auf den lokalen Festplatten der Computer, sollten Sie schnellstens davon abgehen und zentrale Datenspeicher einführen. Diese Lösung ist die einzig kontrollierbare Lösung, es sei denn, Sie sichern die Daten aller Workstations im Hause, was zumeist neue Netzwerkinfrastrukturen, zusätzliche Hardware und viele Kosten verursacht. Und selbst dann: wann kann sich ein Anwen-
92
Klassische Verlustmethoden
der schon daran erinnern, an welcher Arbeitsstation er das – ach so wichtige – Dokument verfasst hat. Mithilfe der Gruppenrichtlinien von Windows 2000 und dem Feature der so genannten »Ordnerumleitung« gibt Ihnen Windows 2000 alle Mechanismen an die Hand, die Daten auf Servern zu speichern, ohne dass der Anwender davon Notiz nimmt. Sind die Daten auf einem speziellen Dateiserver gespeichert, können Sie sich darauf beschränken, die Festplatten dieses Servers zu sichern. In kleineren Firmen würde es sich dann lohnen, den Server direkt mit einem Bandlaufwerk auszustatten, wodurch das durch die Datensicherung verursachte Datenaufkommen nicht das Netzwerk belastet. Wenn Sie, wie bei größeren Firmennetzen üblich, über mehrere Dateiserver verfügen, sollten Sie hingegen diesen Systemen eine zweite Netzwerkkarte spendieren und so den Netzwerkverkehr für die Datensicherung in ein anderes Netzwerk verbannen. Bitte unterschätzen Sie das Datenaufkommen nicht, in einigen Unternehmen ist es inzwischen sogar schon so weit, dass die Backup-Hardware durch ein zu langsames Netzwerk ausgebremst wird. Abbildung 5.16: Das BackupProgramm von Windows 2000 ist umfassend ausgestattet
Wenn Sie eine passende Backup-Struktur geschaffen haben, müssen Sie natürlich auch eine brauchbare Backup-Software einsetzen. Prinzipiell würde dazu bereits das in Windows 2000 integrierte Backup-Programm ausreichen, das über alle elementaren Features verfügt und zudem eine LightVersion von Veritas Backup Exec ist. Teurere Backup-Programme bieten sich nur dann an, wenn spezielle Techniken erforderlich sind. So erfordert beispielsweise die Sicherung von Datenbankdateien und Postfächern, die im dauerhaften Zugriff durch die Serverapplikationen und die Anwender sind, spezielle Agenten, die die damit verbundenen Zugriffssperren aushebeln.
93
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Oder aber Sie planen eine Sicherung, die auf mehrere Sicherungsserver verteilt wird, auch hierfür sind spezielle Softwareerweiterungen notwendig. Solche Features bieten derzeit allerdings nur Anbieter wie CA oder Veritas, die sich die entsprechende Ausstattung auch teuer bezahlen lassen. Sie müssen also noch vor der Anschaffung einer Backup-Software über den Einsatzbereich nachdenken. Gilt es, nur einfach Dateien zu sichern, ist keine weitere Investition notwendig, da dies mithilfe des Windows-Backup-Programms effektiv bewerkstelligt werden kann. Selbst, wenn es darum geht, Arbeitsstationen zentral zu sichern, bietet das Windows-Backup ausreichend Möglichkeiten. So können Sie beispielsweise auf allen Arbeitsstationen eine Aufgabe definieren, mit der die Daten der Arbeitsstation durch das Backup-Programm in eine Datei auf einem Dateiserver gesichert werden. Die Backup-Datei wiederum kann dann durch einen zentralen Backup-Auftrag auf einem Band gesichert werden.
5.3.2
Datenverlust bei Anwendungsservern
Viel dramatischer als der Verlust einer einfachen Datei kann der Verlust eines ganzen Postfachs oder einer ganzen Datenbank werden. Wenn es auch heute noch häufig unbewusst geschieht, speichern viele Anwender bereits einen großen Teil der Geschäftsvorgänge in E-Mails oder in elektronisch gespeicherten Faxen. Dies ist nur allzu verständlich, da die Alternative nach riesigen Ordnerschränken und stundenlangem Suchen in diesen Schränken schreit. Andererseits ist nichts so flüchtig wie elektronisch gespeicherte Daten. Wenn die Datenbank defekt ist, in der tausende von Mails gespeichert wurden, können auch hunderte von Geschäftsvorgängen nicht mehr vollständig dokumentiert werden, was im schlimmsten Fall bei unklaren Situationen auch finanzielle Folgen haben kann. In vielen großen Unternehmen werden deswegen eigene Sicherungsmechanismen für die Sicherung der Datenbanken von Anwendungsservern, gleichgültig, ob Mailserver, Faxserver oder Datenbankserver, eingesetzt. Aber nicht nur große Unternehmen sollten entsprechende Konsequenzen ziehen, sondern jedes Unternehmen, das einen Anwendungsserver einsetzt. Der Administrator muss hier also ganz genau den Zweck des Servers analysieren und die Bedeutung der dort gespeicherten Daten bewerten. Sind die Daten für Geschäftsabläufe relevant, muss in entsprechende Sicherungsmechanismen investiert werden, daran führt kein Weg vorbei.
5.3.3
Datenverfügbarkeit bei Anwendungsservern
Spätestens seit den großen E-Mail-Viren hat ein anderes Thema im Zusammenhang mit der Datensicherheit an Bedeutung gewonnen, die Datenverfügbarkeit auf Anwendungsservern. Es reicht häufig heute nicht mehr aus, dass Daten gesichert werden, sondern es muss darüber hinaus auch die schnelle Bereitstellung der Daten sichergestellt werden. Wenn Mailserver aufgrund von Viren ausfallen, ist dies übrigens gleichzusetzen mit der Tatsa-
94
Beispielhafte Ist-Analysen
che, dass ein Anwender mehrere Stunden warten muss, bis sein Postfach aus einem Backup regeneriert wurde. Die Datenverfügbarkeit ist bei beiden Situationen nicht mehr gewährleistet. Gerade in der Verfügbarkeit geht man daher inzwischen seine eigenen Wege. So werden Anwendungsserver beispielsweise durch Clustertechnologien und RAID-Systeme abgesichert, so dass der Ausfall von Hardware den Server nicht in seiner Arbeit beeinträchtigt. Bei den Sicherungen von Datenbanken verwendet man mittlerweile keine Bandsicherungen mehr, sondern Sicherungen auf riesige Storage Arrays, die wiederum über verschiedene RAID-Verfahren vor dem Ausfall einer oder mehrerer Festplatten abgesichert sind. Diese Speichergruppen bieten den Vorteil, dass die Daten enorm schnell auch wieder regeneriert werden können. Während ein Anwender bei der Wiederherstellung von Postfächern von Band heute mehrere Stunden warten muss, können die Daten von einem Festplattensystem wesentlich schneller wiederhergestellt werden.
5.4
Beispielhafte Ist-Analysen
In den vorangegangenen Abschnitten haben wir Ihnen bekannte Sicherheitslücken und typische Angreifer- und Verlustmethoden vorgestellt. Der erste Schritt zu einem erfolgreichen Sicherheits-Management ist damit bereits getan, denn Sie kennen nun die bekannten und typischen Gefahren für Ihre IT-Infrastruktur und können somit die Anforderungen, Ziele und Visionen formulieren. Nun wollen wir uns direkt dem zweiten Schritt des Sicherheits-Managements zuwenden und mit der Ist-Analyse der bestehenden Netzwerk-Infrastruktur beginnen. Mithilfe der Ist-Analysen werden die entsprechenden Bereiche Ihres Netzwerkes auf eventuelle Sicherheitslücken hin überprüft: 왘 Sie ermitteln also den aktuellen Ist-Zustand der Netzwerksicherheit. 왘 Sie wissen, nach der erfolgten Analyse, wo Sie stehen.
Bei der Durchführung der Ist-Analyse definieren Sie als Prozessthema den jeweiligen Themenkreis aus der Sicherheitsthematik und spielen diesen Prozess dann mit allen Varianten und Ergebnissen durch. Die Definition solcher Prozesse erfordert ein wenig Übung, da spezielle Entscheidungen immer nur zwei Zustände kennen, Ja oder Nein. Die folgenden Beispielprozesse beschreiben die Fragestellungen für die in diesem Kapitel gezielt angesprochenen Sicherheitslücken. Allerdings existieren je nach Firmenstruktur mit Sicherheit weitere Fragestellungen oder zusätzliche Optionen, die Sie aber nach dem gezeigten Muster angehen können. Die dargestellten Prozesse sind, wie bereits erwähnt, nur Beispiele und erheben keinen Anspruch auf Vollständigkeit. Die Prozesse sollen Ihnen vor allem helfen, eigene Prozesse zu definieren und somit für Ihr Unternehmen erfolgreiche Ist-Analysen zu erstellen.
95
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Wesentlich für die Prozessgestaltung war die Definition von K.o.-Merkmalen. Wenn Sie an irgendeiner Stelle eine Antwort geben müssen, die zum K.o. führt, ist dieser Bereich Ihres Netzwerks oder Datenbestands nicht ausreichend gesichert. Sie haben damit aber zugleich auch einen Ansatzpunkt gefunden, mit dem Sie die Sicherheit weiter vorantreiben können. Erst, wenn Sie bei der Beantwortung aller Fragen jeweils beim OK ankommen, ist dieser Aspekt in Ihrem Netzwerk umfassend berücksichtigt und bedarf keiner weiteren Überarbeitung.
5.4.1
Ist-Analyse Datenzugriffssicherheit
Die Ist-Analyse stellt etliche vermeintlich einfache Fragen und mündet oftmals womöglich überbewertet in einem K.o. Andererseits sollten die die misten der Fragen guten Gewissens mit Ja beantworten können, da nur dann eine wirkliche Sicherheit Ihrer Daten gewährleistet werden kann. Die erste Frage gilt dem verwendeten Netzwerkbetriebssystem. Nur mit Windows NT oder Windows 2000 sind Sie hier auf der richtigen Seite, da nur dort entsprechende Sicherungsmechanismen zur Verfügung stehen. Andere Betriebssysteme (auch die von Microsoft), Windows XP einmal ausgeschlossen, können die Sicherheit im Netzwerk nicht gewährleisten, ja sie schaffen sogar Sicherheitslücken! Wenn Sie im Netzwerk Windows 2000 oder NT einsetzen, sollten Sie die Computer unbedingt als Domäne betreiben. In diesem Fall stehen dem Administrator eine Vielzahl von administrativen Möglichkeiten zur Abwehr eines unautorisierten Datenzugriffs zur Verfügung. Wird das Netzwerk hingegen in einer Arbeitsgruppe betrieben, können viele zentrale Sicherheitsfunktionen, z.B. Gruppenrichtlinien, nicht greifen. Daher auch bei dieser Entscheidung ein K.o., wenn die Frage nicht mit Ja beantwortet werden kann. Damit der Server, auf dem die Daten lagern, die entsprechende Datensicherheit nutzen kann, muss dieser Dateiserver natürlich auch Mitglied der Domäne sein. Nur dann greifen die Sicherheitsmechanismen der Domäne auch für den Server, auf dem die Unternehmensdaten gelagert sind. Es folgt die Frage nach der verwendeten Methode für die Zugriffsberechtigungen. Windows bietet hierbei die Freigabe- und NTFS-Berechtigungen. Beide Methoden finden ihre Daseinsberechtigung, je nachdem, wie Sie sie einsetzen, nimmt dies jedoch ganz massiv Einfluss auf die Sicherheit Ihrer Daten. Wenn Sie ausschließlich Freigabeberechtigungen einsetzen, müssen Sie diese entsprechend restriktiv definieren, so dass kein Anwender eine Verbindung zur Freigabe herstellen kann, der nicht auch das Recht dazu hat. Man sollte aber beachten, dass der Zugriff auf die Dateien nur über die Verbindung mit der Freigabe geregelt wird. Gelangt ein Anwender auf einem anderen Weg an die Dateien, greifen die Mechanismen der Freigabe nicht mehr. Dies gilt beispielsweise auch für den lokalen Zugriff, weswegen es zwingend erforderlich ist, dass Dateiserver, die ausschließlich mit Freigabeberechtigungen betrieben werden, in einem abgeschlossenen Raum untergebracht sind. Ist dies nicht gewährleistet, kann die Sicherheit der Daten nicht
96
Beispielhafte Ist-Analysen
garantiert werden. Zu guter Letzt stellt sich die Frage, ob die Rechtestruktur der Freigabeberechtigungen mit vier Rechten (Lesen, Ändern, Vollzugriff, Kein Zugriff) ausreicht, um die benötigten Unterschiede zwischen verschiedenen Anwendern festzulegen, nur wenn dies mit Ja beantwortet werden kann, ist das System als sicher zu bewerten. Wenn Sie NTFS-Berechtigungen einsetzen, sollten Sie es zwingend vermeiden, diese und speziell eingeschränkte Freigabeberechtigungen zu kombinieren. Dies führt nur zu Unregelmäßigkeiten und Problemen im Datenzugriff. Da der Administrator dann nur selten die Ursache ermitteln kann, wird er die Sicherheit lockern, was als K.o.-Kriterium zu bewerten ist. Gilt die Freigabe lediglich für die Bereitstellung der Netzwerkfreigabe, kann man mit wesentlich feineren Rechten (RWXDPO) den Zugriff steuern, wodurch sich die Restriktionen im Zugriff exakt auf die Bedürfnisse der Anwender zuschneiden lassen. Abbildung 5.17: Der Prozess für die Analyse von Datenzugriffssicherheit
Ist-Analyse Datenzugriffssicherheit Verfügen Sie über ein Windows NT/2000-Netzwerk?
Nein
K.O. Ja
Betreiben Sie Ihr WindowsNetzwerk als Windows-Domäne?
Nein
K.O. Ja
Befinden sich die Daten auf einem Mitgliedsserver der Domäne?
Nein
K.O. Ja
Nein
Mischen Sie Freigabeberechtigungen und NTFS-Berechtigungen?
beides
Verwenden Sie Freigabe- und NTFS-Sicherheit?
nur Freigabe
Setzen Sie Freigabeberechtigungen restriktiv ein?
Nein
K.O.
K.O.
Nein
Ja
Ja
Setzen Sie NTFS-Berechtigungen restriktiv ein?
Befindet sich der Fileserver in einem verschlossenen, gesicherten Raum
Nein
K.O.
K.O.
Ja
Ja
Ja
Reicht die Freigabe aus, um die Zugriffsberechtigungen abzubilden?
Nein
K.O.
OK
97
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
5.4.2
Ist-Analyse Passwortsicherheit
Die Ist-Analyse für die Passwortsicherheit soll Ihnen ebenfalls nur eine Entscheidungshilfe an die Hand geben, zeigt aber exemplarisch recht gut, welche Parameter für die Analyse wichtig sind. Die erste Frage gilt einer Windows 2000-Domäne. Nur wenn Windows 2000 als Domäne betrieben wird und im optimalen Fall auch noch alle für Windows 2000 geltenden Sicherheitseinstellungen verwendet werden, kann die Sicherheit von Kennwörtern tatsächlich gewährleistet werden. Aus diesem Grund halten wir diese Entscheidung für ein K.o.-Kriterium, bei dem selbst Windows NT-Domänen durchfallen. Die nächste Frage gilt der Länge des Kennworts. Um zu vermeiden, dass Anwender zu einfache oder gar leere Passwörter verwenden, sollte eine Mindestlänge von sechs Zeichen eingesetzt werden. Hierbei handelt es sich um einen guten Erfahrungswert, der beiden Seiten, also dem Administrator wie auch den Anwendern, entgegenkommt. Sind die Sicherheitsbedürfnisse sehr hoch, sollte natürlich mit längeren Kennwörtern gearbeitet werden, wenngleich allzu lange Passwörter die Anwender zumeist überfordern und so eher Sicherheitslücken schaffen (der berühmte gelbe Zettel...) als sie zu schließen. Die folgenden Fragen gelten den klassischen Kennwortrichtlinien. Damit Anwender nicht immer wieder das gleiche Kennwort verwenden können, sollten Sie auf den Systemen eine Kennwort-Historie einrichten, die sich die vergangenen Kennwörter merkt. Das System sollte dabei zumindest die letzten drei Kennwörter blocken, bei höheren Sicherheitsanforderungen können Sie auch die letzten 13 Kennwörter einfrieren, z.B. um Monatsnamen zu vermeiden. Darüber hinaus sollte kein Passwortalter gewählt werden, das über den Monat hinaus geht, Zeiträume zwischen 20 und 40 Tagen sind allgemein akzeptabel, so dass der Administrator auch hier nach den jeweiligen Sicherheitsbedürfnissen wählen kann. Zu guter Letzt geht es bei der Analyse auch noch um die Sperrung von Konten, wenn ein Passwort mehrmals falsch eingegeben wurde. Wenn Sie externe Angriffe befürchten oder aber eine Schnittstelle zu einem öffentlichen Netz besitzen (Remote Access, Internet), sollten Sie diese Sicherung einschalten. Die Sperrung sollte aber sinnvollerweise erst nach fünf ungültigen Versuchen erfolgen und zudem von Dauer sein. Ein geringerer Wert für die Anzahl der Versuche ist riskant, da sich erfahrungsgemäß viele Anwender durch fehlerhafte Kennworteingabe aus dem System »schießen«. Dies schafft einen administrativen Aufwand, der kaum noch zu bewältigen ist. Bei der Dauer der Sperrung ist die dauerhafte Sperrung zu bevorzugen, da eine automatisierte Aufhebung eventuell einen neuen softwaretechnischen Ansatz zum Knacken von Passwörtern bieten würde. Bleibt die LAN-Manager-Authentifizierung. Wenn Sie über eine Windows 2000-Domäne verfügen und keine alten Clients (NT, 9x und Me) mehr einsetzen, sollten Sie diese Unterstützung von Downlevel-Clients abschalten. Standardmäßig bemüht sich die Windows 2000-Domäne noch, mit alten Cli-
98
Beispielhafte Ist-Analysen
ents Kennwörter auf eine sehr unsichere Methode auszutauschen, was ein vereinfachtes Knacken der Kennwörter erlauben würde. Durch das Definieren einer entsprechenden Gruppenrichtlinie für die Domänencontroller können Sie NT-LAN-Manager V.2-Authentifizierung erzwingen, was der Kerberos-Authentifizierung gleichzusetzen ist. Abbildung 5.18: Die Ist-Analyse für die Passwortsicherheit
Ist-Analyse Passwortsicherheit Wird eine Windows 2000-Domäne eingesetzt?
Nein
K.O. Ja
Werden Kennworte mit einer Mindestlänge von 6 Buchstaben eingesetzt
Nein
K.O. Ja
Wird eine Kennwort-Historie von wenigstens 3 Kennworten vorgeschrieben?
Nein
K.O. Ja
Ist das Kennwort-Alter auf maximal 30 Tage festgelegt?
Nein
K.O. Ja
Haben Anwender maximal 5 Versuche bis zur Kontensperrung zur Verfügung?
Nein
K.O. Ja
Findet die Kontosperrung für immer oder für eine Dauer statt?
Für eine Dauer
Wurde die Dauer der Sperrung auf wenigstens 1 Stunde eingestellt?
Nein
K.O. Für immer
Wurde die LAN-ManagerAuthentifikation abgeschaltet?
Ja
Ja
OK
99
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
5.4.3
Ist-Analyse RAS-Zugang
Sofern Sie über einen externen Zugang zum Unternehmensnetzwerk verfügen, sollten Sie auch hier eine Sicherheitsanalyse durchführen. Für einen so genannten Remote Access Server (kurz RAS) haben wir deshalb hier eine IstAnalyse vorgeschlagen. Die wichtigste Frage dreht sich um das eingesetzte Produkt. Wenn es sich hierbei um das in Windows 2000 integrierte Routing und RAS handelt, können Sie den vollen Umfang der Sicherheitsfunktionen von Windows 2000 einsetzen. Nutzen Sie hingegen eine Software eines Drittanbieters, sollten Sie das Produkt auf die gebotenen Sicherheitsmechanismen hin überprüfen. Abbildung 5.19: Ein Vorschlag für die Ist-Analyse beim RAS-Zugang
Ist-Analyse RAS-Zugang Wird für Remotezugriffe RRAS oder Drittlösung verwendet?
RRAS
Verwendet der RAS-Server Domänen-Sicherheit?
Nein
Nein
Drittlösung
Unterstützt die Lösung Windows 2000-Sicherheit?
K.O. Ja
Ja
Wird der Zugang ausschließlich über RAS-Richtlinien gesteuert?
Nein
Nein
Unterstützt die Lösung unterschiedliche Zugriffsmuster?
K.O. Ja
Werden unterschiedliche Zugangsmuster berücksichtigt
Nein
K.O. Ja
Wird Rufnummernerkennung eingesetzt?
Nein
K.O. Ja
Wird Rückrufsicherheit eingesetzt?
Nein
K.O. Ja
Wird hohe Verschlüsselung bei der Übertragung von Passwörtern eingesezt?
Nein
K.O. Ja
Ja
OK
100
Werden die Daten verschlüsselt übertragen?
Nein
K.O.
Beispielhafte Ist-Analysen
Wird das Windows-eigene Routing und RAS eingesetzt, sollte der RAS-Server Mitgliedsserver einer Domäne sein, da hier die Sicherheitsfunktionen der Domäne in vollem Umfang genutzt werden können. Die Domänenkonten lassen sich darüber hinaus auch noch in entsprechenden RAS-Richtlinien berücksichtigen, wodurch sich eine Vielzahl von unterschiedlichen Zugriffsmustern auf das lokale Netzwerk abbilden lassen. Neu in Windows 2000 Routing und RAS ist die direkte Unterstützung von Rufnummernerkennung. Sie können so festlegen, welche (ISDN-) Rufnummern das Recht haben, sich bei Ihrem System einzuwählen. Sofern dies machbar ist, halten wir dies für eine Funktion mit hohem Sicherheitswert, da sich Telefonnummern heute selten einfach wechseln oder vorgaukeln lassen. Wenn eine Anruferidentifikation geschaffen wurde, sollte zusätzlich die bewährte Rückrufsicherheit eingesetzt werden, wodurch die Anrufer nur unter einer vom Administrator vordefinierten Rufnummer zurückgerufen werden. Dies spart dem Anrufer Geld, dem Unternehmen bringt dies einen höheren Grad an Zugriffssicherheit. Schließlich gilt auch bei den RAS-Zugängen unsere letzte Sorge der verschlüsselten Datenübertragung. Dabei sollten Sie darauf achten, dass die Kennwörter, die bei der Anmeldung am Einwahlsystem übermittelt werden, möglichst komplex verschlüsselt werden. Da nicht nur die Passwörter, sondern auch die Daten selbst über ein öffentliches Netzwerk laufen und somit abhörbar sind, sollten die Daten möglichst ebenfalls verschlüsselt übertragen werden, auch hierfür stellt Windows 2000 passende Mechanismen zur Verfügung.
5.4.4
Ist-Analyse Internetzugang direkt
Ein wesentliches Sicherheitsrisiko ist heute der Internetzugang. Dabei halten wir nichts davon, Anwendern generell den Zugriff auf das Internet zu verweigern, da es sich um ein elementares Informationsmedium handelt. Wichtig ist, dass eine Zugriffsmethodik gewählt wird, die Schäden durch Angriffe oder Viren vermeidet. Die folgende Analyse bewertet Faktoren, die beim Zugriff durch Systeme über Modem oder ISDN auf das Internet wichtig sind. Die erste wichtige Frage entsteht bei der Kontrollierbarkeit des Zugriffs. Verfügen alle Anwender über eigene private Internetzugänge, kann der Administrator kaum die Art der Zugriffe kontrollieren, das Sicherheitsrisiko wäre immens. Handelt es sich hingegen nur um vereinzelte PCs, lassen sich entsprechende Sicherheitsmechanismen einführen, die das Unternehmensnetzwerk schützen. Zwei grundlegende Schutzmechanismen sollten in diesem Fall Virenscanner und Personal Firewall sein. Ersterer verhindert, dass Anwender über das Internet Viren in das lokale Netzwerk tragen, Letzterer vermeidet, dass externe Angreifer sich die Leitung des Anwenders ins Internet für Angriffe zunutze machen können. Sowohl Virenscanner als auch Firewallsoftware gibt es mittlerweile zu moderaten Preisen, so dass eine entsprechende Ausstattung kein Problem darstellt. Die Beschränkung sollte dann schließlich auch auf die administrativen Konten übertragen werden. Da normale Anwender unter Windows 2000 relativ geringe Rechte haben,
101
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
sollten auch nur solche Anwender für den Zugriff auf das Internet berechtigt werden. Viren und Hacker können so nur geringe Schäden anrichten. Bei administrativen Konten wäre der Schaden größer, daher ist dies per Vorschrift zu vermeiden. Bleibt die Frage nach dem verwendeten Mail-Client. Wenn Sie Microsofts Outlook einsetzen, sollten Sie sich zwingend um entsprechende SicherheitsPatches für das Programm bemühen, z.B. das SP 2 für Office 2000, oder gleich auf die neuste Version Outlook XP umsteigen. Diese Versionen verhindern zumeist das direkte Ausführen von Programmen oder ScriptDateien. Bei anderen Versionen können Viren direkt aus der E-Mail heraus aktiviert werden, was ein ernsthaftes Sicherheitsrisiko darstellt. Bei alternativen Mailprogrammen sollten Sie sich ebenfalls nach entsprechenden Sicherheitsvorkehrungen erkundigen. Abbildung 5.20: Ein Denkansatz für die Analyse eines direkten Internetzugriffs
Ist-Analyse Internetzugang direkt Verfügen vereinzelte PC über Internetzugang?
Nein, alle
K.O. Ja
Befinden sich diese Systeme im lokalen Netzwerk?
Ja
Setzen Sie auf den betreffenden Systemen Virenscanner ein?
Nein
K.O. Ja
Setzen Sie auf den Systemen Personal Firewall-Lösungen ein?
Nein
K.O.
Ja
Lassen Sie den Internetzugang auch für administrative Konten zu?
Ja
Nein
K.O. Nein
Setzen Sie virenanfällige E-MailSoftware ein?
Ja
Setzen Sie das SP 2 für Outlook 2000 oder Outlook XP ein?
Nein
K.O. Ja
OK
102
Nein
Beispielhafte Ist-Analysen
5.4.5
Ist-Analyse Internetzugriff über Router
Wenn Sie für den Zugriff auf das Internet einen Router einsetzen, wird dieser zumeist für das gesamte Netzwerk eingesetzt. Daher gelten die Fragen aus unserer Ist-Analyse auch speziell der Einsatzweise dieses Internet-Routers. Die erste wichtige Frage ist dabei, ob auch die Datenserver selbst den Internet-Router als Standardgateway einsetzen. Ist dies nicht der Fall, können die Server nur auf Anfragen innerhalb ihres eigenen Netzwerkes antworten. Anfragen aus anderen Netzwerken können zwar empfangen, nicht aber beantwortet werden, da netzwerktechnisch für die Antwort keine Route bekannt ist. Sie sollten also klären, ob die Server den Standardgateway benötigen, z.B. weil Daten aus dem Internet bezogen werden sollen.
Ist-Analyse Internetzugang Router Ist der Internet-Router als Standardgateway bei allen PCs eingetragen?
Ja
Können Sie den Router als Standardgateway bei den Servern entfernen?
Abbildung 5.21: Ein Lösungsvorschlag für die IstAnalyse bei einem Internetzugang über einen Router
Nein Nein
K.O. Ja
Ist der Router selbst zugriffsgesichert?
Nein
K.O. Ja
Betreiben Sie IP NAT für das gesamte Netzwerk?
Nein
K.O.
Ja
Verfügt der Router über PortFiltering-Mechanismen?
Nein
K.O. Ja
Beschränken Sie die Ports für den Zugriff aus dem öffentlichen Netz?
Nein
K.O.
Ja
OK
103
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Da der Router das System darstellt, das direkt mit dem Internet kommuniziert, sollte der Router selbst natürlich auch gesichert sein. So können Sie den Zugriff auf den Router mit einem Kennwort verbauen, so dass kein unautorisierter Zugriff auf die Konfiguration des Routers möglich ist. Verwenden Sie möglichst keines der Standardkennwörter oder das Standardkennwort des Routers, da hiervon bereits entsprechende Listen in den Netzen kursieren. Gelingt einem Hacker der Zugriff auf den Router, kann er diesen so umprogrammieren, dass er freien Zugriff auf alle Systeme in Ihrem Netzwerk erhält, nun kann ihn nur noch eine ausgefeilte Datensicherheit vom Zugriff auf Daten abhalten. Das Positive an der alleinigen Präsenz des Routers ist, dass das gesamte lokale Netzwerk im Internet aktiv sein kann, ohne dass dazu jeder PC eine Adresse im öffentlichen Netzwerk benötigt. Der Router selbst ordnet die Anforderungen von Clients Anfragen im Internet zu, die jedoch nur der Router selbst stellt. Diese Technik wird allgemein als Network Address Translation, kurz NAT, bezeichnet. Wird NAT in Verbindung mit Port-Filtering eingesetzt, sind alle wesentlichen Sicherheitsmechanismen definiert, die heute für einen Internetzugang notwendig sind. Durch das Einschränken von Ports, auf denen Verbindungen mit dem Internet hergestellt werden können, lassen sich beispielsweise nur http-Anfragen, also Seitenaufrufe eines Internet-Browsers erlauben, während alle anderen Ports für Dateioperationen gesperrt sind.
5.4.6
Ist-Analyse Internetzugriff über Proxy
Die dritte Variante, die wir Ihnen für den Internetzugriff vorstellen wollen, ist der Zugriff über einen Proxy-Server. Derartige Produkte gibt es beispielsweise von Microsoft mit dem Proxy-Server 2 oder dem neuen ISA-Server, aber auch unter Linux, beispielsweise mit Squid. Die Besonderheit eines Proxy-Servers ist, dass die Anfragen von Clients nie direkt in das Internet gelangen, sondern stets nur vom Proxy-Server an das Internet gestellt und vom Proxy-Server an die Clients beantwortet werden. Der einzige Server, der also dem Internet gegenüber in Erscheinung tritt, ist maximal der Proxy-Server selbst. Eine direkte Verbindung von Clients zum Internet findet nicht statt. Aufgrund dieses Basiskonzepts für den Proxy macht es auch wenig Sinn, den Clients über einen Standardgateway eine alternative Zugriffsmöglichkeit zu eröffnen, hier darf zumindest keine Route ins Internet definiert sein. Für die Sicherheit des Proxy ist es darüber hinaus empfehlenswert, dass der Proxy nicht selbst die Verbindung ins Internet herstellt, da er dann angreifbar wird. Effektiver ist es, den Proxy-Server hinter einen Router zu stellen, der seinerseits NAT betreibt und somit die Anfragen des Proxy maskiert. Ein weiterer Vorteil ist es, wenn der Proxy-Server die Zugriffsberechtigungen für Anwender des lokalen Netzwerks auf Basis von Windows-Domänenkonten durchführen kann. Viele UNIX-basierte Proxy-Server unterstützen lediglich die Berechtigung auf Basis von IP-Adressen. In einem solchen Fall muss ein Anwender aber nur den Rechner wechseln, um Zugriff auf das Internet zu erhalten, die Autorisierung erfolgt also unabhängig von der Person.
104
Beispielhafte Ist-Analysen
Auch beim Proxy-Server können Sie die Nutzung auf bestimmte InternetDienste beschränken. So können Sie beispielsweise die Internet-Browseranfragen zulassen, aber Dienste, die wie FTP Dateioperationen durchführen, blockieren. Derartige Sicherheitseinstellungen sind sehr sinnvoll, zumal diese an guten Proxy-Systemen noch mit Anwenderkonten gekoppelt werden können. Schließlich sollte der Proxy-Server als Schnittstelle noch über einen Echtzeit-Virenscanner verfügen, der die passierenden Daten direkt und noch vor dem Eintreffen beim Anwender auf Viren überprüft. Auf diese Weise können Sie eine Störung Ihres Netzwerkbetriebs proaktiv verhindern, also noch bevor der Virus tatsächlich greifen kann.
Ist-Analyse Internetzugang Proxy Wird neben dem Proxy ein zusätzlicher Standardgateway für den Internetzugang eingesetzt?
Ja
Abbildung 5.22: Eine AnalyseVariante, wenn ein Proxy-Server eingesetzt wird
K.O. Nein
Verwendet der Proxy-Server einen direkten Internetzugang oder wird ein Router genutzt?
Direkt
K.O. Router
Verwendet der Proxy-Server IPoder kontenbasierte Sicherheit?
IP
K.O. Konten
Ist die Nutzung des Proxy auf bestimmte Dienste (http, ftp) beschränkt?
Nein
K.O. Ja
Verfügt der Proxy-Server über einen Echtzeit-Virenscanner?
Nein
K.O. Ja
OK
105
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
5.4.7
Ist-Analyse für einen angebundenen Internetserver
Wenn Ihre Firma einen eigenen Internetserver betreibt, der direkt an das Firmennetz angeschlossen ist, so ist dies sicherlich sehr komfortabel, da die Zugriffe nicht kompliziert über das Internet abgewickelt werden müssen. Auch bei transaktionsbasierten Anwendungen, bei denen Internet-Daten direkt an Datenbankserver übergeben werden sollen, ist eine direkte Verbindung kaum zu vermeiden. In diesem Fall müssen Sie bei der Ist-Analyse der Sicherheit die folgenden Fakten berücksichtigen: Abbildung 5.23: Ein Denkansatz für einen Internetserver, der an das lokale LAN angebunden ist
Ist-Analyse angebundener Internetserver Ist der Internetserver an das lokale Netzwerk angebunden?
Ja
Befindet sich der Internetserver direkt im lokalen Netz?
Ja
K.O. Nein
Nein Ist der Server durch Router vom lokalen Netzwerk getrennt?
Nein
K.O. Ja
Betreiben die Router NAT?
Nein
K.O. Ja
Betreiben die Router Port-Filtering für den Zugriff aus dem Internet?
Nein
K.O. Ja
Sind die Router selbst gesichert?
Nein
K.O. Ja
Handelt es sich bei der Präsenz um eine transaktionsbasierte Internetseite?
Ja
Ja
Verfügt die Anbindung über Erkennungsmechanismen von DoS- oder DDoS-Angriffen?
Nein
OK K.O. Ja
106
Beispielhafte Ist-Analysen
Ist der Server mit dem lokalen Netzwerk verbunden, sollte er sich in keinem Fall direkt im lokalen Netzwerk befinden. Dann nämlich kann jeder, der den Internetserver »knacken« kann, von diesem Server aus auf die Ressourcen von anderen Computern im gleichen Netzwerk zugreifen. Sie sollten den Internetserver also in einem separaten Netzwerksegment platzieren, das über Router mit Ihrem Produktivnetzwerk verbunden ist. In diesem Fall haben Sie eine Vielzahl von Möglichkeiten, um unautorisierte Zugriffe bereits auf der Ebene der Netzwerktechnik zu verhindern. Der Klassiker ist die so genannte DeMilitarized Zone, kurz DMZ, bei der der Internetserver gegenüber dem Internet mit einem Router und gegenüber dem lokalen Netzwerk ebenfalls mit einem Router getrennt ist. Über die Router können Sie dann Firewall-Techniken wie Port-Filtering einsetzen und so genau bestimmen, welche Daten von welchem Netzwerk in welches andere Netzwerk gelangen können. Sie können natürlich neben den Routern auch umfassendere Firewalls einsetzen, die über Fähigkeiten zur Intrusion Detection und etwas Vergleichbares verfügen. Dies ist wiederum besonders dann sinnvoll, wenn es sich bei dem Server um ein transaktionsbasiertes System, z.B. für Bestellungen, handelt. Hier sollten Sie Systeme einsetzen, die Denial of Service oder Distributed Denial of Service-Attacken erkennen und abwehren können. Auf diesem Weg ist Ihr Webserver mit aller erdenklichen Sicherheit ausgestattet, die heute für Webserver zur Verfügung steht.
5.4.8
Ist-Analyse für einen eigenen Mailserver
Setzen Sie einen eigenen Mailserver zur Kommunikation mit dem Internet ein, gelten ähnliche Fragen wie bei den Analysen zum Internetzugang und zum Internetserver. Auch hier müssen Sie berücksichtigen, dass der Mailserver eine direkte Schnittstelle zum Internet darstellt und daher einen besonderen Schutz benötigt. Grundsätzlich unterscheiden wir hierbei zwischen Mailservern, die direkt und dauerhaft mit dem Internet verbunden sind, und solchen, die nur über Umwege auf Internet-Daten zurückgreifen, z.B. indem Sie POP3-Mailboxen aus dem Internet abrufen. Für solche Mailserver gelten aber immer noch die gleichen Sicherheitsrichtlinien wie für einfache Computer, die einen Internetzugang erhalten sollen. Ist der Mailserver direkt an das Internet angebunden, sollten Sie ihn wiederum vom lokalen Netzwerk fernhalten. Spendieren Sie dem Server besser ein eigenes Netzwerksgement, das durch Router vom Produktivnetzwerk abgekoppelt ist. Ganz neu ist die Möglichkeit eines so genannten Frontservers, der die Kommunikation mit dem Internet abwickelt und in einem separaten Netzwerkbereich steht. Dieser Frontserver kommuniziert nun wiederum mit dem eigentlichen Mailserver über einen gesicherten Port (SSL) und leitet die Daten aus dem Internet so an den Mailserver, der dann ungefährdet auch im lokalen Netzwerk stehen kann, weiter. Das so gesicherte Netzwerk sollte zudem auch noch durch einen entsprechenden Echtzeit-Virenscanner angereichert werden, der die eingehende E-Mail auf Viren überprüft, bevor sie beim Empfänger landet. Auf diese Weise lassen sich Mail-Viren schon herausfiltern, bevor sie überhaupt aktiv werden können.
107
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln Abbildung 5.24: Ein Beispiel, wie auch ein eigener Mailserver analysiert werden kann
Ist-Analyse eigener Mailserver Ist der Mailserver direkt an das Internet angebunden?
Ja Nein
Befindet sich der Mailserver im lokalen Netzwerk?
Greifen die Sicherheitsmechanismen der IstAnalyse für d. Internetzugang?
Nein
K.O. Ja Nein
Besitzt der Mailserver einen Frontendserver für die InternetKommunikation?
Nein
Befindet sich der Mailserver in einem durch Router isolierten Bereich?
Nein
K.O. Ja
Ja
Ja
Verfügt der Mailserver über einen Echtzeit-Virenscanner?
Nein
K.O.
Ja
OK
5.4.9
Ist-Analyse für das Datenverlustrisiko
Eine weitere Analyse soll Ihnen als Beispiel für eine Ist-Analyse im Bereich des Desaster Recovery dienen. Hierbei haben wir gezielt Fragen gestellt, die für die Beurteilung der Datenverfügbarkeit wichtig sind, ohne hier einen Anspruch auf Vollständigkeit zu erheben. So interessierte uns natürlich, ob die Richtlinien für die Datenzugriffsicherheit eingehalten werden. Wenn Anwender nur das manipulieren können, was tatsächlich für die Manipulation vorgesehen ist, sind die Daten als zugriffssicher einzustufen. Dazu gehört auch die zentrale Lagerung der Daten, die ebenfalls Bestandteil eines Sicherheitskonzepts sein sollte. Nur
108
Beispielhafte Ist-Analysen
dann ist nämlich überhaupt eine Kontrollierbarkeit der Datenströme zu gewährleisten und nur dann kann ein Datensicherungskonzept bestimmen, welche Daten gesichert werden sollen. Die Sicherung selbst sollte dabei zumindest die zentralen Laufwerke, auf denen die kritischen Unternehmensdaten gespeichert werden, regelmäßig sichern. Ob es sich hierbei um ein tägliches Backup oder einen größeren Zeitraum handelt, muss der Administrator nach Abschätzung der Wichtigkeit der Daten bestimmen. Auch die Art der Sicherung, also auf Band, Festplatte oder ein alternatives Medium, muss nach Datenaufkommen und Wiederherstellbarkeit beurteilt werden.
Ist-Analyse Datenverlustrisiko Wurde die Ist-Analyse Datenzugriffsicherheit berücksichtigt?
Nein
Abbildung 5.25: Ein Vorschlag für eine Ist-Analyse zum Datenverlustrisiko
K.O. Ja
Werden die Daten nur auf zentralen Laufwerken gesichert?
Nein
K.O. Ja
Werden diese zentralen Laufwerke regelmäßig gesichert?
Nein
K.O. Ja
Können die Daten auch nach längeren Zeitabständen wiederhergestellt werden?
Nein
K.O. Ja
Wird ein Mailsystem eingesetzt?
Ja
Werden die E-Mail-Postfächer ebenfalls gesichert?
Nein
K.O. Nein Ja
OK
109
5 Gefahrenquellen erkennen und mittels Ist-Analyse ermitteln
Zwei Punkte sind bei der Sicherung von Daten allerdings allgemein zu berücksichtigen: Einerseits müssen Daten auch nach längerer Zeit wiederhergestellt werden können. Oftmals tritt der Bedarf nach älteren Dateien erst nach Monaten oder Jahren auf, wenn die Daten dann nicht mehr regeneriert werden können, ist der Datenverlust eingetreten, daher muss dies in jedem Datensicherungskonzept berücksichtigt werden. Zum anderen übernehmen die modernen Mailsysteme zunehmend die Aufgabe von Datenspeichern, so dass sie ebenfalls unternehmenskritische Daten enthalten können. Diese Daten müssen dann ebenfalls gesichert und zudem auf längere Frist hinweg archiviert werden, damit auch nach Ablauf längerer Phasen unternehmerische Vorgänge oder vergleichbare Prozesse vollständig rekonstruiert werden können.
5.5
Erhebung, Auswertung und Schritt 3 des SicherheitsManagements
Das vorangegangene Kapitel hat Ihnen eine Reihe beispielhafter Ist-Analysen vorgestellt und Ihnen damit gezeigt, welche Arbeiten im Rahmen des zweiten Schrittes zu einem erfolgreichen Sicherheits-Management zu bewältigen sind. Diese Ist-Analysen können Sie natürlich an Ihre eigenen Bedürfnisse anpassen und dann als eine Art »Checkliste« nutzen, um für die verschiedenen Netzwerkbereiche die Informationen zum aktuellen Sicherheitsstandard zu erheben. Sobald Sie mithilfe der Checklisten die entsprechenden Bereiche Ihres Netzwerkes analysiert haben, wissen Sie genau, wie es um die Sicherheit Ihres Netzwerkes bestellt ist. Wenn Sie sich an unser kleines Schaubild zur Arbeitsweise des Sicherheits-Mangements erinnern, haben Sie Schritt 2 erledigt: 왘 Sie haben den aktuellen Zustand ermittelt 왘 Sie wissen, wo Sie stehen
Stellt sich natürlich die Frage, was man mit dem ermittelten Wissen nun anstellt. Da Sie in der Regel ja im ersten Schritt schon die Ziele, Visionen und Anforderungen der verschiedensten Kollegen, Chefs und Mitarbeiter gesammelt haben. Sollten Sie nun die ermittelten Daten diesen Anforderungen gegenüberstellen. Daraus ergibt sich eine Art »Status quo«, und Sie wissen genau, wie weit Sie in bestimmten Punkten von den Zielen entfernt sind. Im besten Fall haben Sie bereits alles für die Sicherheit Ihres Netzes getan und können nun in einem kleinen Report das Upper-Management informieren. Im schlimmsten Fall nehmen Sie wahrscheinlich erst einmal einen Cognac auf den Schreck bezüglich der nun offensichtlichen Sicherheitslücken in Ihrem Netz. Danach müssen Sie dann aber genauso einen Bericht anfertigen, der diesen »Status quo« festhält. Dieser Bericht muss allen Verantwortlichen und auch den Entscheidern bezüglich des Budgets vorgelegt
110
Erhebung, Auswertung und Schritt 3 des Sicherheits-Managements
werden. Vielleicht nehmen Sie in die Sitzung ein paar Baldriantropfen mit zur Beruhigung der Nerven. Ist diese Sitzung überstanden, beginnt Phase 3 des Sicherheits-Managements. Es stellt sich die Frage, wie Sie vom Ausgangspunkt am effektivsten zu dem von Ihnen gewünschten Ziel gelangen: 왘 Es beginnt die Planungs- Konfigurations- und Testphase 왘 Sie klären, wie Sie am schnellsten dorthin kommen, wo Sie sein möchten
Für diesen Zweck stehen Ihnen die nachfolgenden themenbezogenen Praxiskapitel zur Verfügung, die die notwendigen Werkzeuge unter Windows 2000 vorstellen und die für die verschiedenen sicherheitsrelevanten Themenbereiche entsprechende Konfigurationsmöglichkeiten aufzeigen. Diese Konfigurationsmöglichkeiten können Sie im Rahmen Ihres SicherheitsManagements in einer Testumgebung ausgiebig testen, um festzustellen, ob damit die gewünschten Anforderungen erfüllt werden, bevor Sie sie an das Change- und Release-Management übergeben. Jedes der praxisbezogenen Kapitel verfügt darüber hinaus an erster Stelle über ein Unterkapitel, in dem noch einmal themenbezogen die Anforderungen, Ziele, Wünsche oder Visionen zusammengefasst sind. Dies sind die Anforderungen, die Sie vielleicht auch während Ihrer ersten Phase des Sicherheits-Managements in entsprechenden Meetings gesammelt haben.
111
6
Administrative Tools für das Sicherheits-Management
Es handelt sich bei diesem Buch nicht um eine Windows 2000-Referenz, aber es gibt ein paar Administrations-Werkzeuge, die Ihnen das SicherheitsManagement Ihres Unternehmensnetzwerkes enorm erleichtern. Aus diesem Grund haben wir vor die eigentlichen, sicherheitsrelevanten Themen dieses Übersichtskapitel gestellt, das Ihnen diese wichtigen Tools und vor allem den Umgang mit den Tools noch einmal näher bringt. Vorstellen möchten wir Ihnen in den folgenden Abschnitten: 왘 Die MMC und der Umgang mit der MMC: Die MMC stellt das grundle-
gende Arbeitsmittel für alle administrativen Tätigkeiten unter Windows 2000 dar. Fundierte Kenntnisse im Umgang mit der MMC sind für eine sichere Verwaltung sowie die sichere Delegation bestimmter administrativer Aufgaben unerlässlich. 왘 Den Gruppenrichtlinien-Editor: Die Gruppenrichtlinien sind das Haupt-
hilfsmittel der Administration unter Windows 2000, weil sich darüber die Verwaltung der Konfigurations- aber auch der Sicherheitseinstellungen von Windows 2000 in der Active Directory-Struktur erheblich vereinfachen lässt. Die vorgenommenen Sicherheitseinstellungen können nämlich über Gruppenrichtlinien an alle Computer innerhalb des Active Directories transportiert werden, weswegen die genaue Kenntnis dieses Werkzeugs auch für das Sicherheits-Management unerlässlich ist. 왘 Die Registrierdatenbank oder Registry: Wenn auch die direkte Bearbei-
tung von Werten und Schlüsseln der Registrierdatenbank unter Windows 2000 nur noch in seltenen Fällen notwendig ist, so ist es für die Systemsicherheit doch enorm wichtig, dass Sie ein grundlegendes Verständnis für dieses Tool besitzen. Wir werden auch in verschiedenen Kapiteln immer wieder auf die Registrierdatenbank zu sprechen kommen. Sicherheitseinstellungen, Sicherheitsrichtlinien, Sicherheitsvorlagen und Sicherheitsanalyse und -konfiguration: Für die grundlegenden Sicherheitseinstellungen der einzelnen Windows 2000 basierten Workstations und Server gibt es umfangreiche Sicherheitsvorlagen, die Sie über das gleichnamige Snap-In verwalten und anpassen können. Dieses Werkzeug ist das zentrale Verwaltungselement für Ihre Sicherheitseinstellungen, die Sie dem Computer entweder lokal zuweisen oder in ein Gruppenrichtlinien-Objekt importieren können. Zudem ermöglicht Ihnen das Snap-In Sicherheitskonfiguration und –analyse , die Sicherheitseinstellungen Ihrer Computer zu analysieren und mit vorhandenen Sicherheitsvorlagen zu vergleichen.
113
6 Administrative Tools für das Sicherheits-Management
Klar, werden viele der Leser sagen »was soll das?« gerade die MMC oder die Registry kennen wir alle, und wie man damit umgeht, ist uns auch bekannt. Trotzdem soll hier nicht auf diese Kapitel verzichtet werden. Einmal für diejenigen, die noch nicht ganz so sicher im Umgang mit dem neuen Betriebssystem sind, und auch, um den erfahrenen Benutzern noch ein paar hilfreiche Anregungen geben zu können.
6.1
Die Management-Konsole von Windows 2000 (MMC)
Die MMC oder die »Microsoft Management Console« ist ein Visualisierungswerkzeug für alle administrativen Aufgaben, die beim Betrieb einer Windows-basierten IT-Infrastruktur anfallen. Die Intention, die hinter der Programmierung der MMC stand, war es, die vielen verschiedenartigen administrativen Tools und Programme, wie z.B. den Benutzer- oder Servermanger bzw. den Exchange Administrator, optisch anzugleichen und diese zentral und frei konfigurierbar darzustellen. Die MMC hat nur die Aufgabe der Visualisierung und verfügt darüber hinaus über keine eigene »Intelligenz«, was die Administration angeht. Der große Vorteil der MMC für die Anwendungsentwickler liegt in der einheitlichen Schnittstelle für die Visualisierung der für die Administration des Betriebssystems oder der Backoffice-Produkten notwendigen Elemente.
6.1.1
Einsatzgebiete der MMC
Die MMC ermöglicht Ihnen die Ausführung der folgenden Aufgaben: 왘 Einheitliche Durchführung der meisten Verwaltungsaufgaben 왘 Zentralisierte Remote-Verwaltung von dezentralen Systemen 왘 Erstellen benutzer- und aufgabenspezifischer Konfigurationen 왘 Delegation von Verwaltungsaufgaben
6.1.2
Bestandteile der MMC
Primär besteht die MMC aus der Anwendung MMC.EXE und den so genannten Snap-Ins, die die eigentliche Schnittstelle zu den zu administrierenden Elementen bilden. Wenn Sie über das START-Menü und den dort enthaltenen Befehl Ausführen die Datei MMC.EXE ausführen, bekommen Sie eine leere Konsole auf dem Bildschirm angezeigt, die aus dem MMC-Fenster und einem MMC-Konsolenstammfenster besteht.
114
Die Management-Konsole von Windows 2000 (MMC) Abbildung 6.1: Das MMC-Fenster mit dem Konsolenstammfenster
In dem Fenster der Konsole finden Sie die Menüzeile für die Konsolenadministration. Hier können Sie das Erscheinungsbild und das Verhalten der gesamten Konsole bestimmen, sowie verschiedene vorgenommene Konfigurationen abspeichern. Das Konsolenstammfenster unterteilt sich wiederum in zwei Bereiche: 왘 Focus- bzw. Strukturbereich: In diesem Bereich werden die Snap-Ins mit
den dazugehörigen Containern oder Knotenpunkten, auf die wir später noch zu sprechen kommen, angezeigt. Zusätzlich kann diese Seite auch zur Darstellung der Favoriten genutzt werden. 왘 Detailbereich: In diesem Bereich werden entweder die Inhalte der Con-
tainer bzw. Knotenpunkte angezeigt oder über so genannte Taskpad-Seiten frei konfigurierbare Ansichten dargestellt. Inhaltlich verhält sich der Detailbereich wie der Windows-Explorer. Das bedeutet für Sie, dass Sie in diesem Teil viele Elemente, die Sie vom Windows-Explorer und Internet-Explorer kennen, wieder finden. Die MMC-Umgebung ermöglicht, wie nun bereits mehrfach erwähnt, die Einbindung unterschiedlichster Snap-Ins. Administratoren können so auf einfache Weise eigene Tools erstellen, die unterschiedliche Snap-Ins zusammenfassen und diese für eine spätere Nutzung oder gemeinsame Verwendung mit anderen Administratoren speichern. Damit Sie sich einen exakten Überblick über die unzähligen Möglichkeiten und Arbeitsweisen der MMC verschaffen können, möchten wir Ihnen in den folgenden Abschnitten die wesentlichen Bestandteile und Elemente, auf die Sie beim Umgang mit der MMC zwangsläufig stoßen, vorstellen. Zu diesen Kernkomponenten zählen:
115
6 Administrative Tools für das Sicherheits-Management 왘 Snap-Ins 왘 TaskPad-Ansichten und Favoriten 왘 Konsolen-Optionen 왘 MSC-Dokumente
Jeder dieser Komponenten haben wir im Folgenden einen eigenen, kleinen Abschnitt gegönnt.
6.1.3
Snap-Ins
Jede Konsole besteht aus verschieden kleineren Tools, welche als Snap-Ins bezeichnet werden. Sie stellen die eigentlichen Anwendungen, die für die Verwendung innerhalb des MMC-Gerüstes entwickelt wurden, dar. Ein Snap-In verkörpert somit die Zusammenstellung verschiedenster Verwaltungsfunktionen, die zur Erfüllung eines bestimmten Administrations-Jobs notwendig sind. Installation der Snap-Ins Mit der Installation eines Produktes, z.B. dem MS DNS-Server-Dienst, wird auf dem lokalen Rechner automatisch auch das dazugehörige Snap-in installiert, welches im Anschluss an die Installation des Dienstes in den Konsolenstamm hinzugefügt werden kann. In der Regel werden Sie Ihre Server aber nicht immer nur von der lokalen Konsole aus administrieren. In den meisten Fällen stehen die Server in einem geschützten Serverraum und die Administration erfolgt von einer dedizierten Administrations-Workstation von »remote«. Damit Ihnen aber auch die Snap-Ins von nicht lokal installierten Produkten zur Verfügung stehen, müssen Sie von den Windows 2000Server-CDs die Datei ADMINPAK.MSI auszuführen. Bei den Microsoft-Backoffice-Produkten oder auch anderen Nicht-Windows2000-Produkten müssen Sie im Allgemeinen die Client-Software des entsprechenden Produkts auf der Administrations-Workstation installieren, um auch hier den Zugriff auf die dazugehörigen Snap-Ins zu erhalten. Als Beispiel sei hier der MS SQL Server 2000 genannt. Wenn Sie von einer Maschine, auf der nicht der SQL Server installiert ist, die Administration durchführen wollen, müssen Sie die »MS SQL Server Client Tools« installieren. Mit dieser Installation bekommen Sie dann auch automatisch die dazugehörigen SnapIns auf Ihre Maschine aufgespielt. Die meisten Snap-In-Dateien werden dabei im Verzeichnis %SYSTEMROOT%\SYSTEM32 abgelegt. Automatisches und manuelles Registrieren der Snap-Ins im System Snap-In-Dateien sind so genannte Programmbibliotheken, d.h., sie verfügen über die Dateiendung ».DLL«. Diese Programmbibliotheken müssen durch eine Installation im System »registriert« werden. Aus diesem Grund langt es also nicht, einfach die passende Programmbibliothekdatei in das SYSTEM32-
116
Die Management-Konsole von Windows 2000 (MMC)
Verzeichnis zu kopieren. Wenn Sie aus irgendwelchen Gründen einen SnapIn auf diese Art einbinden müssen, sollten Sie nach dem Kopieren der dazugehörigen Datei an der Eingabeaufforderung den Befehl regsvr32.exe DATEINAME.DLL
eingeben, wobei DATEINAME.DLL für den eigentlichen Namen der Programmbibliothek steht. Die unterschiedlichen Snap-In-Funktionen Snap-In ist jedoch nicht gleich Snap-In, denn diese kleinen Helfer nehmen zum aktuellen Zeitpunkt vier grundlegende Funktionen wahr. Die verschiedenen Snap-In-Funktionen sind in den nachfolgenden Abschnitten für Sie einmal zusammengestellt worden: 1. Verwaltungstools wie z.B. die Computerverwaltung unter Windows 2000 oder der MS SQL Server Enterprise Manager aus der Reihe der Microsoft-Backoffice-Produkte. Vergleichbare Verwaltungstools gibt es im Übrigen für alle Produkte der Backoffice-Reihe, wie z.B. den InternetInformation-Server, den ISA-Server oder den Microsoft Exchange-Server. Abbildung 6.2: Die lokale Computerverwaltung als Beispiel für ein typisches Verwaltungstool
2. Webadressenverknüpfungen wie z.B. einen Link zu http://www.microsoft. com/security. Was aber in diesem Zusammenhang eigentlich viel interessanter ist, ist das Faktum, dass Sie über ein solches Snap-In alle Funktionen, die Ihnen im Explorer zur Verfügung stehen, also z.B. den Zugriff auf ein lokales Laufwerk oder auf ein bestimmtes Verzeichnis, genauso realisieren können wie den Zugriff auf bestimmte Netzwerkressourcen (z.B. einen Netzwerkdrucker). Aus diesem Grund haben wir für Sie in Form von entsprechenden Abbildungen einmal ein paar Einsatzmöglichkeiten aufgeführt. Wenn Sie sich diese Abbildungen ansehen, sollten Sie
117
6 Administrative Tools für das Sicherheits-Management
daran denken, dass Ihnen im rechten Bereich des angezeigten Fensters, also im Detailbereich der Konsole, die gleichen Funktionen wie im Windows-Explorer zur Verfügung stehen. Abbildung 6.3: Webadressenverknüpfung auf http:// www.microsoft.com/ security
Abbildung 6.4: Webadressenverknüpfung auf das lokale Festplattenlaufwerk C:
118
Die Management-Konsole von Windows 2000 (MMC) Abbildung 6.5: Webadressenverknüpfung auf das Systemverzeichnis von Windows
Abbildung 6.6: Webadressenverknüpfung auf ein im Netzwerk freigegebenes Verzeichnis
119
6 Administrative Tools für das Sicherheits-Management Abbildung 6.7: Webadressenverknüpfung auf einen Netzwerkdrucker
3. Ordner: Das Snap-In »Ordner« dient lediglich dazu, eine bessere Übersichtlichkeit der Konsolenstruktur zu gewährleisten. Dies kann insbesondere dann sinnvoll sein, wenn Sie mehrere Snap-Ins in einer Konsole zusammenfassen möchten. Verwechseln Sie diese Ordner bitte nicht mit den Verzeichnisordnern Ihrer Dateistruktur, denn sie haben nichts mit den Dateisystemordnern zu tun. Abbildung 6.8: Durch den Einsatz verschiedener Ordner lässt sich die Konsolenstruktur übersichtlicher gestalten
4. ActiveX-Steuerelemente: Hiermit verfügen Sie über fast unbeschränkte Möglichkeiten, Ihre Konsole mit Funktionen von ActiveX zu erweitern. Zum Beispiel können Sie Tabellenkalkulationsfunktionen in Ihre MMC mit aufnehmen. Bevor Sie aber mit ActiveX-Steuerelemente einsetzen, sollten Sie sich unbedingt mit der grundlegenden Handhabung von ActiveX vertraut machen.
120
Die Management-Konsole von Windows 2000 (MMC) Abbildung 6.9: ActiveX-Kalendersteuerelement 10.0
Arten oder Typen von Snap-Ins Wenn Sie die Snap-Ins in Ihre MMC-Konsole einbinden, gibt es dafür zwei Varianten, die sich auf die unterschiedlichen Arten von Snap-Ins beziehen. Generell wird zwischen dem eigenständigen und dem Erweitungs-Snap-In unterschieden. Die Unterschiede zwischen diesen beiden Snap-In-Typen, lernen Sie in den folgenden Abschnitten kennen. 1. Eigenständige Snap-Ins: Die »eigenständigen Snap-Ins« werden in der Regel auch einfach als »Snap-In« bezeichnet, d.h., dass es sich hier um das typische Standard-Snap-In handelt. Jedes Snap-In bietet den Funktionsumfang, der zur Wahrnehmung der administrativen Aufgabe notwendig ist, bzw. einen Satz miteinander verbundener Funktionen. Abbildung 6.10: Auswahl eines eigenständigen Snap-Ins
121
6 Administrative Tools für das Sicherheits-Management
2. Erweiterungs-Snap-Ins: Erweiterungs-Snap-Ins liefern zusätzliche Verwaltungsfunktionen für ein anderes eigenständiges Snap-In. Erweiterungen können mit einem oder mehreren eigenständigen Snap-Ins basierend auf dessen Funktion verwendet werden. Erweiterungen können nur hinzugefügt werden, wenn diese mit dem eigenständigen Snap-In kompatibel sind. Einige Snap-Ins können sowohl als Snap-In als auch Erweiterung eingesetzt werden. Abbildung 6.11: Die Auswahl eines ErweiterungsSnap-Ins
6.1.4
Taskpadansicht
Mit der Definition einer so genannten Taskpadansicht haben Sie die Möglichkeit, die Gestaltung des Detailbereiches der MMC gänzlich an Ihre eigenen Anforderungen anzupassen. Die Taskpadansicht ist mit einer Web-Seite im Internet vergleichbar. Mithilfe eines Assistenten können Sie eigene Ansichtsseiten erstellen, die alle administrativen Aufgaben, die Sie durchführen möchten, auf einer einzigen Seite über entsprechende Verknüpfungen zusammenführt. Die Taskpadansicht ermöglicht die Vereinfachung administrativer Aufgaben Der große Vorteil der Taskpadansicht besteht darin, dass Sie selbst komplexe Verwaltungsaufgaben sehr einfach darstellen können, um diese definierten Aufgaben anschließend beispielsweise an Vor-Ort-Betreuer, die aufgrund ihres Wissensstandes mit der Bedienung der komplexen Umgebung überfordert wären, zu delegieren. Stellen Sie sich in der Praxis einfach mal einen
122
Die Management-Konsole von Windows 2000 (MMC)
Abteilungsleiter vor, der ansonsten nicht mit administrativen Aufgaben vertraut ist. Diese Person soll in Zukunft die Möglichkeit erhalten, die Kennwörter von seinen Mitarbeitern zurückzusetzen. Mithilfe des Assistenten können Sie für diesen Abteilungsleiter nun eine MSC-Datei erstellen, die eine Taskpadansicht mit genau der definierten Aufgabe enthält. Anschließend stellen Sie dem Abteilungsleiter die MSC-Datei zur Verfügung und statten ihn exakt mit den benötigten administrativen Rechten aus. Wenn Sie die Möglichkeiten der Taskpadansicht und der gezielten Rechtevergabe unter Windows 2000 richtig nutzen, verfügen Sie über unzählige Möglichkeiten, administrative Aufgaben so zu vereinfachen, dass Sie sie an andere Personen delegieren können. Zudem haben Sie die Möglichkeit, die delegierten Aufgaben exakt an den Wissensstand der betreffenden Mitarbeiter anzupassen. Abbildung 6.12: Definition eigener Taskpadansichten
Bestandteile einer Taskpadansicht Prinzipiell besteht jede Taskpadansicht, die Sie mithilfe des entsprechenden Assistenten definieren, aus zwei grundlegenden Bestandteilen: 왘 Der Taskpadanzeige: In der Taskpadanzeige wird das grundlegende
Format, also die Darstellungsform oder das Layout, der verschiedenen anzuzeigenden Elemente festgelegt. Der erste Schritt des Assistenten besteht, wie Ihnen die nachstehende Abbildung zeigt, auch genau in der Definition dieses Layouts. 왘 Den Tasks: Haben Sie die Darstellungsform festgelegt, können Sie die
auszuführenden Tasks oder administrativen Aufgaben hinzufügen. Hier haben Sie fast unbegrenzte Möglichkeiten, Ihre administrativen Aufgaben zu vereinfachen. Prinzipiell lassen sich die administrativen Aufgaben aber in drei Kategorien von Taskarten (Befehlsarten) einordnen: 왘 Menübefehle: Über die Menübefehle haben Sie die Möglichkeit, die
Kontextmenübefehle der jeweiligen Snap-Ins einzufügen. Da die Kontextmenübefehle sich zwischen Strukturelement und Detailelement unterscheiden, müssen Sie vorher die Befehlsquelle angeben. Als Beispiel sei hier das Strukturelement »Benutzer« mit dem Befehl »neuer Benutzer« und das Detailelement »Eisenkolb« mit dem Befehl »umbenennen« genannt.
123
6 Administrative Tools für das Sicherheits-Management Abbildung 6.13: Definition der Taskpadanzeige
Abbildung 6.14: Auswahl der Menübefehle
왘 Shellbefehle: An dieser Stelle fangen nun die unbegrenzten Mög-
lichkeiten der Aufgabenkonfiguration an. Alle Befehle, die Sie an der Eingabeaufforderung (dem Command-Prompt, C:\) absetzen können, lassen sich auch als so genannte Shellbefehle in die Taskpadansicht einbinden. Möchten Sie solche Shellbefehle einbinden, müssen Sie als erste Angabe den Befehl selbst eintragen bzw. auswählen. Im
124
Die Management-Konsole von Windows 2000 (MMC)
Anschluss daran können Sie zusätzliche Parameter zu diesem Befehl hinzufügen und auf diese Weise beispielsweise ein konkretes Verzeichnis zur Ausführung des Befehls angeben bzw. die Fensterform auswählen. Damit Sie einen kleinen Eindruck von der Vielfalt der Möglichkeiten erhalten, möchten wir hier ein paar exemplarische Praxis-Beispiele aufführen: a) Starten der Eingabeaufforderung: Durch das Ausführen der Datei CMD.EXE als Shellbefehl, können Sie beispielsweise aus der MMC heraus ein Fenster mit der Eingabeaufforderung starten. b) Starten der Konfigurationselemente der Systemsteuerung: Standardmäßig lassen sich aus der MMC heraus keine Konfigurationseinstellungen, wie z.B. die Konfiguration der Netzwerk- und DFÜVerbindungen vornehmen. Über einen kleinen Trick lassen sich die verschiedenen in der Systemsteuerung enthaltenen Funktionen aber in die MMC einbinden. Jedes Symbol der Systemsteuerung und die damit verbundenen Konfigurationseinstellungen lassen sich auch separat über eine .CPL-Datei (Control Panel Datei) starten, die Sie standardmäßig im SYSTEM32-Verzeichnis finden. Wenn Sie beispielsweise den Shellbefehl NCPA.CPL in Ihre Taskpadansicht einbinden, können Sie die Netzwerk- und DFÜ-Verbindungen-Funktion aus der Systemsteuerung aufrufen. c) Einbindung von Anwendungen: Auch jede beliebige andere Anwendung können Sie als Shellbefehl ausführen lassen. Sinnvolle Beispiele sind der Servermanager (srvmgr.exe) für die Administration von Windows NT-Domänen oder auch einfachere Anwendungen wie der Taschenrechner (calc.exe). Sehr nützlich für die tägliche Administration ist aber auch die Einbindung der Registrierdatenbank (regedt32.exe). 왘 Navigationsbefehle: Über diese Befehle können Sie die Navigation
innerhalb der MMC vereinfachen. Bevor Sie aber überhaupt in der Lage sind, die Navigationsbefehle einsetzen zu können, müssen Sie entsprechende Favoriten definiert haben. Doch keine Sorge, dieser Vorgang ist sehr simpel. Klicken Sie in der Strukturansicht auf ein Element und wählen Sie in der Menüzeile des Konsolenstammes den Befehl Favoriten/Zu Favoriten hinzufügen aus. Nachdem Sie sich für einen Ablageort entschieden haben, steht Ihnen das Element aus der Strukturansicht unter Favoriten zur Verfügung. Der Vorteil bei der Nutzung von Favoriten liegt in der Möglichkeit, eigene Strukturen zu definieren, die unabhängig von der Snap-In-Struktur ist. Im Anschluss daran können Sie in der Taskpadansicht die Favoriten als entsprechende Navigationsbefehle hinzufügen.
125
6 Administrative Tools für das Sicherheits-Management Abbildung 6.15: Verwendung von Favoriten zur Navigationserleichterung
6.1.5
Die MMC-Optionen
Bisher haben wir Ihnen die Möglichkeiten der MMC und der dazugehörigen Elemente vorgestellt. Aber die MMC selbst verfügt über weitere wichtige Optionen, die wir Ihnen in den folgenden Abschnitten näher zeigen möchten. Diese Optionen sind insbesondere bei der Delegation von administrativen Aufgaben von besonderer Bedeutung, denn damit haben Sie die Möglichkeit, eine Konsole so zu konfigurieren, dass sie nur die Elemente enthält, die der Benutzer für die Ausführung seiner Aufgaben auch tatsächlich benötigt. In diesem Fall geht es jetzt nicht mehr nur um die Vereinfachung der administrativen Aufgaben, wie bei der Taskpadansicht, sondern auch um die Frage der Sicherheit. Gerade wenn Sie in Ihrem Unternehmen administrative Aufgaben delegieren wollen oder müssen, ist die Frage der Sicherheit ein ganz wichtiger Punkt. Ein Administrator, der bestimmte Hilfsaufgaben ausführen soll, aber für seinen Wissensstand über zu große Rechte verfügt, ist für die IT-Infrastruktur ein größeres Sicherheitsrisiko als ein externer Angreifer (oops, da sind wohl alle Benutzerkonten gelöscht worden…ich habe aber nichts gemacht…). Arbeitsmodi der MMC Im Umgang mit der MMC werden grundsätzlich zwei Arbeitsmodi unterschieden, von denen jeder für einen ganz besonderen Einsatzbereich gedacht ist und daher auch einen unterschiedlichen Funktionsumfang bietet: 왘 Autorenmodus: Im Autorenmodus haben Sie uneingeschränkten Zugriff
auf alle Funktionen der MMC, was bedeutet, dass Sie eigenständige Snap-Ins oder Erweiterungs-Snap-Ins hinzufügen und entfernen können, dass Sie die Ansichten beliebig nach Ihren Vorstellungen konfigurieren können und dass Sie vollen Zugriff auf alle MMC-Konsolen-Befehle besitzen. Dieser Modus ist für die Haupt-Administratoren des Unternehmens gedacht, denn es ist der Modus, in dem Sie entsprechende MMCKonsolen definieren und für die Delegation von administrativen Aufgaben vorbereiten.
126
Die Management-Konsole von Windows 2000 (MMC) 왘 Benutzermodus: Der Benutzermodus untergliedert sich noch einmal in
drei verschiedene Modi, die wir Ihnen nachfolgend näher erläutern: a) Benutzermodus-Vollzugriff: Bei diesem Modus ist es Benutzern der Konsole nicht möglich, weitere Snap-Ins selbst hinzuzufügen oder vorhandene Snap-Ins aus der Konsole zu entfernen. Außerdem können die voreingestellten Konsolenoptionen nicht mehr verändert werden. Dieses äußert sich im Übrigen darin, dass nur das Fenster und die Menüs des Konsolenstammes zu sehen sind. Das Fenster und die Menüzeilen der Konsole selbst sind hingegen nicht sichtbar. b) Benutzermodus- beschränkter Zugriff, mehrerer Fenster: zusätzlich zu den Einschränkungen aus dem vorangegangenen Punkt, können bei dieser Variante die Benutzer keine der angezeigten Fenster schließen. c) Benutzermodus- beschränkter Zugriff, Einzelfenster: zusätzlich zu den Einschränkungen aus dem erstgenannten Benutzermodus, können bei dieser Variante die Benutzer auch keine neuen Fenster in der Konsole öffnen. In allen drei genannten Benutzermodi kann der Autor zusätzlich darüber entscheiden, ob: 왘 die Kontextmenüs auf Taskpads aktiviert werden sollen, 왘 Änderungen beim Beenden der Konsole abgespeichert werden sol-
len, 왘 die Benutzer eigene Ansichten definieren oder vorhandene Ansich-
ten bearbeiten dürfen. Wenn Sie anderen Benutzern entsprechende administrative Aufgaben übertragen möchten, sollten Sie auch genau für diese Aufgabe eine entsprechende MMC–Konfiguration vornehmen und im Anschluss daran die Optionen so setzen, dass sie den Sicherheitsanforderungen genügen.
6.1.6
MS Common Console-Dokument
Damit das Einbinden von Snap-Ins und das Konfigurieren der MMC nicht bei jedem Aufruf von neuem durchgeführt werden muss, haben Sie die Möglichkeit, die Konfigurationen in beliebig vielen MS Common Console (MSC)–Dokumenten abzuspeichern.
127
6 Administrative Tools für das Sicherheits-Management Abbildung 6.16: Aus der konfigurierten MMC lässt sich ein MSC-Dokument machen, das in einer eigenen Datei gespeichert werden kann
Was verbirgt sich hinter der MSC-Datei? Ein MSC-Dokument ist eine Ansammlung aus einem oder mehrern Snap-Ins sowie den dazugehörigen Ansichten und den von Ihnen konfigurierten Optionen. MSC-Dokumente werden als Dateien mit der Erweiterung .MSC gespeichert. Jedes MSC-Dokument beinhaltet die Information über die verwendeten Snap-Ins sowie die Konfiguration der MMC, nicht aber die MMC oder die Snap-Ins selbst. Beim Öffnen einer solchen MSC-Datei wird immer die Datei MMC.EXE ausgeführt, die gelisteten Snap-Ins aufgerufen und die von Ihnen definierten Ansichts- und Sicherheitskonfigurationen umgesetzt. Die meisten Objekte, die sich hinter den entsprechenden Einträgen in der Programmgruppe Verwaltung des Start-Menüs verbergen, sind solche MSCDateien. Auch wenn Sie ein neues Produkt installieren, das eine MMCAdministration ermöglicht, wird während dieser Installation eine Verknüpfung zu einer solchen vorkonfigurierten MSC-Datei in das Start-Menü eingefügt. Eigene MSC-Dateien anlegen und konfigurieren Der Nachteil bei diesen einzelnen MSC-Dateien ist, dass oftmals selbst zusammengehörende Tools einzeln aufgerufen werden müssen. Außerdem ist die ellenlange Liste im Start-Menü auch nicht besonders übersichtlich. Sinnvoller ist es daher, für die verschiedenen zusammengehörigen administrativen Aufgaben eigene MSC-Dateien zu erstellen und zu konfigurieren. Das Verfahren zum Erstellen solcher MSC-Dateien ist denkbar einfach: 1. Über den Aufruf von Start/Ausführen, die Eingabe von MMC.EXE in das Öffnen-Feld und das Bestätigen mit OK öffnen Sie eine leere Konsole.
128
Die Management-Konsole von Windows 2000 (MMC)
2. Rufen Sie über das Menü Konsole den Befehl Snap-In hinzufügen/entfernen auf und klicken Sie in dem erscheinenden Dialogfenster auf die Hinzufügen-Schaltfläche. Über das daraufhin erscheinende Dialogfenster können Sie zunächst die eigenständigen Snap-Ins aussuchen. Nach der Wahl des entsprechenden Snap-Ins ist es dann eventuell auch noch möglich, entsprechende Erweiterungen auszuwählen. 3. Haben Sie die Snap-Ins, die Sie zusammenfassen möchten, allesamt ausgewählt und zum Konsolenstamm hinzugefügt, müssen Sie nun die gewünschten Optionen konfigurieren. Nähere Informationen zu den konfigurierbaren Optionen haben Sie bereits in den vorangegangenen Abschnitten dieses Kapitels erhalten. 4. Im Anschluss an diese Arbeit speichern Sie die Konfiguration in einer eigenen MSC-Datei ab. Abbildung 6.17: Beispielhafte Konsolenkonfiguration für die Systemverwaltung, die Sie in einer eigenen MSC-Datei sichern können
6.1.7
Sichern der MMC gegen unberechtigte Benutzung
Die vorangegangenen Abschnitte haben Ihnen die vielfältigen Einsatzmöglichkeiten und Benutzungsvarianten der MMC vor Augen geführt. Der professionelle Umgang mit der MMC erleichtert die Administration einer Windows 2000-basierten IT-Infrastruktur enorm und ermöglicht überhaupt erst die Realisierung einer dezentralen, von Delegation geprägten Administration. Aber ganz wesentlich ist im Rahmen dieses Buches natürlich auch die Frage des Schutzes der MMC vor unberechtigter, nicht autorisierter Benutzung.
129
6 Administrative Tools für das Sicherheits-Management
Unterbinden des Autorenmodus Der erste Schritt zur Absicherung der MMC gegen ungewünschte Benutzung kann das Unterbinden des Autorenmodus sein. Hierfür gibt es in der Registry den folgenden Eintrag: Schlüssel: HKCU\Software\Policies\Microsoft\MMC Wertname: RestrictAuthorMode Datentyp: REG_DWORD Wert: 1 oder 0
Wenn Sie den Wert für diesen Schlüssel auf 1 setzen, hat dies die folgenden Auswirkungen: 왘 Benutzer können von nun an keine neuen, weiteren MMCs erstellen. 왘 Das Ausführen von MMC.EXE über das Start-Menü ist damit ebenfalls
unterbunden. 왘 Alle vorhandenen MSC-Dateien werden von nun an im Benutzermodus
ausgeführt. Diese Einstellung bezüglich des Autorenmodus können Sie entweder mithilfe der Gruppenrichtlinien (siehe nachfolgendes Kapitel) und/oder direkt in der Registry mithilfe von REGEDT32.EXE (siehe eines der nachfolgenden Kapitel) vornehmen. Sicherung einzelner Snap-Ins Da es in vielen Fällen leider nicht immer möglich ist, gänzlich auf den Autorenmodus zu verzichten, gibt es ein anderes Verfahren, das ein wenig aufwändiger ist, Ihnen aber erlaubt, die einzelnen Snap-Ins getrennt voneinander zu sichern. Bei dem Verfahren stehen Ihnen grundsätzlich zwei unterschiedliche Vorgehensweisen zur Verfügung: 왘 Bei der einen Variante erlauben Sie den Benutzern grundsätzlich erst ein-
mal den Zugriff auf alle vorhandenen Snap-Ins und definieren davon ausgehend entsprechende Ausnahmen. Bei den Ausnahmen ist ein Ausführen des Snap-Ins danach nicht mehr möglich. 왘 Bei der anderen Variante gehen Sie genau umgekehrt vor. Der Zugriff auf
die Snap-Ins ist generell verboten und lediglich für einzelne Ausnahmen wird diese Einschränkung aufgehoben. Für die Realisierung einer der beiden Varianten verwenden Sie die nachfolgend aufgeführten Werte der Registrierdatenbank. Den Umgang mit der Registrierdatenbank bzw. dem dazugehörigen Editor, der sich durch das Ausführen von REGEDT32.EXE aufrufen lässt, erläutern wir Ihnen in einem der nachfolgenden Kapitel. Schlüssel: HKCU\Software\Policies\Microsoft\MMC Wertname: RestrictToPermittedSnapins Datentyp: REG_DWORD Wert: 1 oder 0
130
Die Gruppenrichtlinien
Wenn der oben stehende Wert auf »0« gesetzt ist, ermöglichen Sie den Benutzern den Zugriff auf alle Snap-Ins, wenn dieser Wert hingegen auf »1« gesetzt ist, wird der Zugriff für alle Snap-Ins verboten. Im Anschluss an das Setzen dieses Wertes gilt es noch die entsprechenden Ausnahmen von der Regel zu definieren. Für diesen Zweck müssen Sie die so genannte Class-ID des jeweiligen Snap-Ins kennen. Da man in der Regel nicht gerade alle Class-IDs im Kopf hat, haben wir im Anhang dieses Buches eine Liste der Class-IDs der Standard-Snap-Ins zusammengestellt. An dieser Stelle haben wir für Sie aber noch als kleines Beispiel das Snap-In Computerverwaltung ausgesucht, an dem wir das Verfahren zur Sicherung der SnapIns verdeutlichen wollen. Das Snap-In Computerverwaltung hat die Class-ID {58221C67-EA27-11CF-ADCF-00AA00A80033}. Um für dieses Snap-In eine Ausnahme von der zuvor gesetzten Regel zu definieren, müssen Sie in der Regstrierdatenbank den folgenden Eintrag setzen: Schlüssel: HKCU\Software\Policies\Microsoft\MMC\{58221C67-EA27-11CFADCF-00AA00A80033} Wertname: Restrict_Run Datentyp: REG_DWORD Wert: 1 oder 0
Wenn Sie den Wert für diesen Schlüssel auf »1« setzen, erlauben Sie die uneingeschränkte Benutzung dieses Snap-Ins. Dies bedeutet, wenn zusätzlich der Wert für RestrictToPermittedSnapins auf »1« gesetzt ist, kann nur noch dieses eine Snap-In ausgeführt werden. Der Wert »0« verbietet hingegen die Benutzung des betreffenden Snap-Ins und sollte daher immer in Kombination mit dem Wert »0« für RestrictToPermittedSnapins verwendet werden. Diese Kombination bedeutet nämlich, dass alle Snap-Ins mit Ausnahme dieses einen Snap-Ins genutzt werden können.
6.2
Die Gruppenrichtlinien
Gruppenrichtlinien sind unter Windows 2000 die Basis für die benutzerbezogene Verwaltung von Rechten. Sie lösen die Kombination von Kontenund Policy-Richtlinien (Systemrichtlinien) von NT 4 ab und ersetzen sie durch eine gut planbare und strukturierbare Variante. Wichtig ist zudem, dass die Gruppenrichtlinien auch jederzeit nachträglich verändert werden können, ohne dass sich daraus Probleme für die Netzwerkclients ergeben. Die Administration unter Windows 2000 wird also erheblich durch den Einsatz von Gruppenrichtlinien vereinfacht, die bestimmte Konfigurationsund Sicherheitseinstellungen direkt verschiedenen Anwendern und Computern zuweisen. Dabei gibt es allerdings manche Richtlinien, wie z.B. die Kontenrichtlinie oder die Richtlinien für öffentliche Schlüssel, die sich nur auf Domänenebene verwalten lassen, während alle anderen Richtlinien je nach Organisationseinheit (OU) unterschiedlich definiert sein können. Um den Anwendern in einer Domäne, einem Standort oder einer OU bestimmte
131
6 Administrative Tools für das Sicherheits-Management
Berechtigungen zuzuweisen, müssen Sie nur das Gruppenrichtlinien-Objekt (GPO) an den entsprechenden Container im Active Directory binden. Die nachfolgenden Kapitel sollen Ihnen einen grundlegenden Überblick über den Umgang mit Gruppenrichtlinien und die Funktionsweise der Gruppenrichtlinien geben.
6.2.1
Einsatzgebiete der Gruppenrichtlinien
Das Einsatzgebiet der Gruppenrichtlinien ist recht vielfältig, Sie können beispielsweise alle im Folgenden aufgeführten Aufgaben mithilfe von Gruppenrichtlinien bewältigen: 왘 Verwalten der Richtlinien, die auf Registrierungseinträgen beruhen,
über administrative Vorlagen. Bei den Gruppenrichtlinien wird eine Datei mit Registrierungseinstellungen erstellt, die in die Registrierungsdatenbank in den Teil für den Benutzer und/oder den lokalen Computer geschrieben werden. Benutzerprofileinstellungen für Benutzer, die sich an einer bestimmten Arbeitsstation oder einem bestimmten Server anmelden, werden unter HKEY_CURRENT_USER (HKCU) in die Registrierung geschrieben, computerspezifische Einstellungen unter HKEY_LOCAL_MACHINE (HKLM) (mehr zu diesem Thema erfahren Sie in einem der folgenden Kapitel). 왘 Zuweisen von Scripts (beispielsweise für das Hoch- und Herunterfah-
ren des Computers sowie für das An- und Abmelden). 왘 Umleiten von Ordnern aus dem Ordner Dokumente und Einstellungen
(auf dem lokalen Computer) an einen Netzwerkpfad. 왘 Verwalten von Software-Anwendungen (Zuweisen, Veröffentlichen,
Aktualisieren und Reparieren von Anwendungssoftware auf den Workstations). Hierzu verwenden Sie die Erweiterung Softwareinstallation. 왘 Festlegen von Sicherheitsoptionen. Das Einsatzgebiet, das das Sicher-
heits-Management in erster Linie interessiert, ist das Verteilen von Sicherheitseinstellungen mithilfe von Gruppenrichtlinien-Objekten.
6.2.2
Funktionsweise der Gruppenrichtlinien
Nachdem Sie nun die Einsatzgebiete der Gruppenrichtlinien kennen gelernt haben, möchten wir Ihnen eine kurze Einführung in die grundlegende Funktionsweise der Gruppenrichtlinien geben. Am besten können Sie dies, wie die nachfolgenden Schritte zeigen, am Start eines Computers (Workstations) bzw. beim Anmelden eines Anwenders nachvollziehen. 1. Wenn der Computer startet, liest er zunächst die Einstellungen aus dem HKEY_LOCAL_MACHINE der Registrierdatenbank ein. 2. Danach wendet sich der Clientcomputer an den DNS-Server, um nach einem Domänencontroller zu fragen. Dies ist notwendig, damit sich der Clientcomputer an der Domäne anmelden kann.
132
Die Gruppenrichtlinien
3. Ist der Domänencontroller gefunden, wird überprüft, zu welcher Domäne, welchem Standort bzw. welcher Organisationseinheit der Computer gehört. Entsprechend seiner Zugehörigkeit bekommt er daraufhin die Gruppenrichtlinien für den Standort, die Domäne und die OU übertragen. Wichtig zu wissen ist, dass die Gruppenrichtlinien sich auf den Domänencontrollern in den SYSVOL-Ordnern befinden und über den Dateireplikationsdienst (FRS oder File Replication Service) untereinander ausgetauscht werden. Wenn der Clientcomputer also beim Starten keinen Domänencontroller finden kann, bekommt er keine Gruppenrichtlinien übertragen und arbeitet dann mit den lokalen Computerrichtlinien. 4. Nach dem Starten des Clientcomputers meldet sich in der Regel ein Anwender am System an. Nun wiederholen sich die genannten Schritte für den Anwender erneut.
6.2.3
Zuweisungsreihenfolge von Gruppenrichtlinien
Wie Sie im vorangegangenen Abschnitt erfahren haben, werden die vorhandenen Gruppenrichtlinien beim Starten des Computers bzw. beim Anmelden des Benutzers zugewiesen. Haben Sie innerhalb Ihrer Active DirectoryStruktur mehrere Gruppenrichtlinien definiert, werden diese in der nachstehenden Reihenfolge abgearbeitet: 1. Lokales Gruppenrichtlinienobjekt. Auf jedem Windows 2000-Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. 2. Standort. Im nächsten Schritt werden alle Gruppenrichtlinienobjekte verarbeitet, die einem Standort zugeordnet sind. Die Verarbeitung erfolgt synchron in der vom Administrator festgelegten Reihenfolge. 3. Domäne. Die Verarbeitung mehrerer Gruppenrichtlinienobjekte, die einer Domäne zugeordnet sind, erfolgt synchron in der vom Administrator festgelegten Reihenfolge. 4. Organisationseinheiten. Zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie zugeordnet sind, dann die Gruppenrichtlinienobjekte, die der untergeordneten Organisationseinheit dieser Einheit zugeordnet sind usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die der Organisationseinheit zugeordnet sind, in der sich der betreffende Benutzer oder Computer befindet. Den einzelnen Ebenen einer bestimmten Organisationseinheit in der Active Directory-Hierarchie können eine, mehrere oder gar keine Gruppenrichtlinienobjekte zugeordnet sein. Wenn mehrere Objekte einer bestimmten Organisationseinheit zugeordnet sind, erfolgt die Verarbeitung synchron in der vom Administrator festgelegten Reihenfolge. Bei dieser Reihenfolge wird zuerst das lokale Gruppenrichtlinienobjekt verarbeitet. Zuletzt werden die Gruppenrichtlinienobjekte für die Organisationseinheit
133
6 Administrative Tools für das Sicherheits-Management
verarbeitet, zu der der Benutzer oder der Computer als direktes Mitglied gehört. Hierbei werden die bisher angewandten Gruppenrichtlinienobjekte überschrieben Wichtig ist zu bedenken, dass bei Abweichungen in den Richtlinien, die Richtlinien, die zu einem späteren Zeitpunkt angewandt werden, standardmäßig die zuvor angewandten Richtlinien überschreiben. Wenn keine Abweichungen in den Einstellungen auftreten, werden sowohl die zuerst angewandten Richtlinien als auch die späteren Richtlinien berücksichtigt. Sie können, wie bereits erwähnt, die Vererbung von Richtlinien aber deaktivieren, die im Regelfall von einem übergeordneten Standort, einer höheren Domäne oder einer Organisationseinheit übernommen würden. Dies erfolgt entsprechend auf der Ebene der Standorte, der Domänen bzw. der Organisationseinheiten. Umgekehrt ist es natürlich genauso möglich, die Vererbung zu erzwingen (s. eine der späteren Abschnitte).
6.2.4
Gruppenrichtlinien-Typen und Einstellungsmöglichkeiten
Bei den Gruppenrichtlinien, für die Active Directory zwingend installiert sein muss, unterscheidet Windows 2000 zwischen zwei Richtlinientypen, den Computerrichtlinien und den Benutzerrichtlinien. Wie beinahe zu vermuten, lassen sich Erstere unabhängig vom jeweiligen Anwender auf Computer im Netzwerk anwenden, während Letztere computerunabhängig auf Anwender bezogen sind. Dabei ist noch Folgendes zu beachten: 왘 Die Benutzerrichtlinien (Einstellungen unter Benutzerkonfiguration in
den Gruppenrichtlinien) werden beim Anmelden eines Benutzers abgerufen. 왘 Die Einstellungen für die Computerrichtlinien befinden sich unter Compu-
terkonfiguration; diese Richtlinien werden beim Starten des Computers abgerufen. 왘 Wenn Sie sich nun die Gruppenrichtlinien im Gruppenrichtlinien-Snap-In
ansehen, finden Sie auf der obersten Ebene genau diese beiden Knotenpunkte mit der Bezeichnung Computerkonfiguration und Benutzerkonfiguration. Unter diesen Knotenpunkten finden Sie wiederum weitere Knotenpunkte wieder, die sich in weitere Unterknoten aufgliedern lassen und die die verschiedenen Einstellungsmöglichkeiten bereitstellen. An dieser Stelle möchten wir Ihnen nur einen kurzen Überblick über die Knotenstruktur und die Themenbereiche geben, für die der Gruppenrichtlinien-Editor entsprechende Einstellungen für Sie bereithält. Auf die einzelnen Gruppenrichtlinien, soweit sie für das Sicherheits-Management in Ihrer Active Directory-Struktur relevant sind, gehen wir dann in den entsprechenden themenbezogenen Kapiteln detaillierter ein.
134
Die Gruppenrichtlinien Abbildung 6.18: Die Unterordner der Computer- und Benutzerkonfiguration im Gruppenrichtlinien-Editor
Einstellungsmöglichkeiten im Bereich der Computerkonfiguration Mithilfe des Knotens Computerkonfiguration in den Gruppenrichtlinien können die Administratoren Richtlinien für Computer festlegen, die in jedem Fall angewandt werden, unabhängig davon, welcher Benutzer sich an dem betreffenden Computer anmeldet: 왘 Softwareinstallation: Mithilfe dieses Knotens legen Sie fest, wie Soft-
wareanwendungen für Computer verteilt werden. Sie haben im Fall des Computers nur die Möglichkeit, Anwendungen zuzuweisen. 왘 Windows-Einstellungen: Hier befinden sich Windows spezifische Ein-
stellungen, die allen Benutzern, die sich an einem bestimmten Computer anmelden, automatisch zugewiesen werden. Der Knoten verfügt über zwei weitere Unterknoten: 왘 Scripts: Hier können Sie Scripte hinzufügen, die entweder beim Start
oder beim Herunterfahren des Computers ausgeführt werden. 왘 Sicherheitseinstellungen: Dieser Knoten erlaubt es Administratoren
unterschiedliche Sicherheitsstufen für verschiedene Bereiche zu definieren. Dazu gehören unter anderem die Kontorichtlinien, die bei der Benutzerauthentifizierung eine wichtige Rolle spielen. Aber auch die lokalen Computerrichtlinien, über die sich Regeln für die Überwachung, das Zuweisen von Benutzerrechten sowie zahlreiche Sicherheitsoptionen einstellen lassen, finden sich hierunter. Hier werden aber auch die Einstellungen für das Ereignisprotokoll getätigt, sowie
135
6 Administrative Tools für das Sicherheits-Management
die eingeschränkten Gruppen, die Systemdienste, die Registrierdatenbank und das Dateisystem verwaltet. Zudem befinden sich an dieser Stelle die Richtlinien für die öffentlichen Schlüssel sowie die IP-Sicherheitsrichtlinien für den lokalen Computer oder das Active Directory. Dieser Bereich ist sicherlich der wichtigste Bereich für das Sicherheits-Management und wird uns in den verschiedenen themenbezogenen Kapiteln immer wieder begegnen. 왘 Administrative Vorlagen: Dieser Knoten in den Gruppenrichtlinien ent-
hält die Richtlinieninformationen, die auf Registrierungseinträgen beruhen, wobei die Computerkonfigurationen unter dem Schlüssel HKEY_LOCAL_MACHINE (HKLM) in der Registrierdatenbank gespeichert werden. Der Knoten selbst verfügt über weitere Unterknoten, die sich mit zusätzlichen Windows-Komponenten, Systemeinstellungen, Netzwerkeinstellungen oder Druckereinstellungen befassen. Einstellungsmöglichkeiten im Bereich der Benutzerkonfiguration Mithilfe des Knotens Benutzerkonfiguration in den Gruppenrichtlinien legen Sie Richtlinien für Benutzer fest, die in jedem Fall angewandt werden, unabhängig davon, an welchem Computer sich die betreffenden Benutzer anmelden: 왘 Softwareinstallation: Hier legen Sie fest, wie Softwareanwendungen für
Benutzer verteilt werden. Sie haben die Möglichkeit, Anwendungen zuzuweisen oder Anwendungen zu veröffentlichen. 왘 Windows-Einstellungen: Hier befinden sich Windows-spezifische Ein-
stellungen, die einem bestimmten Benutzer bzw. einer Benutzergruppe zugewiesen werden. Der Knoten verfügt über folgende Unterknoten: 왘 Internet Explorer-Wartung: Die Verwaltung der Internet Explorer-
Einstellungen geschieht unter Windows 2000 über diesen Zweig der Gruppenrichtlinien. Auch das IEAK 6.0 ist komplett in diese Gruppenrichtlinien integriert. Nähere Informationen zu diesem Bereich der Gruppenrichtlinien erhalten Sie in dem Kapitel, das sich mit dem Internetzugang beschäftigt. 왘 Scripts: Scripte, die beim An- oder Abmelden eines Benutzers ausge-
führt werden sollen, fügen Sie im Knoten Benutzerkonfiguration hinzu. 왘 Sicherheitseinstellungen: Dieser Knoten erlaubt es Administratoren
unterschiedliche Sicherheitsstufen für verschiedene Bereiche zu definieren, wobei die meisten Einstellungen in diesem Bereich über die Computerkonfiguration vorgenommen werden. Bei der Benutzerkonfiguration gibt es lediglich entsprechende Einstellungen für die Verwendung öffentlicher Schlüssel. Näheres zu diesen Richtlinien finden Sie im Kapitel zu den Zertifikatsdiensten und der PKI.
136
Die Gruppenrichtlinien 왘 Remoteinstallationsdienste: Legt fest, welche Client-Installationsop-
tionen einem Benutzer oder einer Benutzergruppe zur Verfügung stehen. 왘 Ordnerumleitung: Über diese Richtlinie geben Sie an, welche Ord-
ner eines bestimmten Anwenders auf einen von Ihnen festgelegten Server umgeleitet und damit zentral verwaltet werden. 왘 Administrative Vorlagen: Dieser Knoten in den Gruppenrichtlinien
enthält die Richtlinieninformationen, die auf Registrierungseinträgen beruhen, wobei die Benutzerkonfigurationen unter dem Schlüssel HKEY_CURRENT_USER (HKCU) in der Registrierdatenbank gespeichert, werden. Der Knoten selbst verfügt über weitere Unterknoten, die sich mit zusätzlichen Windows-Komponenten, dem Start-Menü und der Taskleiste, dem Windows Desktop des Benutzers, der Systemsteuerung sowie mit Netzwerk- und Systemeinstellungen befassen. Der Namensraum unter dem Knoten Administrative Vorlagen wird mit .adm-Dateien oder einer Erweiterung der Gruppenrichtlinien gefüllt. Windows 2000 umfasst mehrere .adm-Dateien für diesen Zweck. Beim ersten Zugriff auf diesen Knoten werden die .adm-Dateien automatisch installiert. Anmerkung zu den administrativen Vorlagen Da sich die administrativen Vorlagen ein wenig anders verhalten als die übrigen Bestandteile der Gruppenrichtlinien, möchten wir an dieser Stelle noch ein paar Anmerkungen festhalten. Bei den administrativen Vorlagen handelt es sich um ASCII-Dateien, die im Verzeichnis %SYSTEMROOT%\INF liegen und über die Endung .ADM verfügen. Sie können diese ADM-Dateien mit einem ganz normalen Editor öffnen und bearbeiten. Sie können diese ADM-Dateien aber auch über den Kontextmenü-Befehl Vorlagen hinzufügen/entfernen in den Gruppenrichtlinien-Editor laden. Im Lieferumfang von Windows sind bereits mehrere solcher ADM-Dateien enthalten. Durch die Installation weiterer Komponenten, wie z.B. MS Office oder IEAK, werden jedoch noch weitere ADM-Dateien hinzugefügt. Sie können aber auch eigene ADM-Dateien anlegen bzw. den vorhandenen Dateien eigene Einträge hinzufügen. Einen Unterschied müssen Sie bei der Bearbeitung der Einträge unterhalb des Knotens Administrative Vorlagen machen, je nachdem, ob Sie die lokale Systemrichtlinie oder die serverbasierte Gruppenrichtlinie bearbeiten. Während bei der lokalen Systemrichtlinie die Veränderungen direkt beim Bestätigen der gemachten Änderung in die Registrierdatenbank übernommen werden, schlagen sich die Veränderungen an der Gruppenrichtlinie in den Registry.polDateien nieder. Diese Dateien enthalten die über die Gruppenrichtlinien angepassten Registrierungseinstellungen, die auf den computer- oder benutzerspezifischen Teil der Registrierung angewandt werden sollen. Eine der Registry.pol-Dateien enthält die Registrierungseinstellungen für den Registrierungsschlüssel HKEY_LOCAL_MACHINE. Diese Datei befindet sich im Ordner %SYSTEMROOT%\SYSTEM32\GROUPPOLICY\MACHINE. Die zweite
137
6 Administrative Tools für das Sicherheits-Management
Registry.pol-Datei enthält die Registrierungseinstellungen für den Schlüssel HKEY_CURRENT_USER und befindet sich im Unterverzeichnis %SYSTEM ROOT%\SYSTEM32\GROUPPOLICY\USER.
6.2.5
Grundlegende Regeln im Umgang mit Gruppenrichtlinien
Für die Nutzung von Gruppenrichtlinien gelten allerdings einige Regeln, die einerseits von Microsoft vorgegeben werden, andererseits aber auch aus unserer Erfahrung stammen: 왘 Wenden Sie Gruppenrichtlinien auf Organizational Units an. Richt-
linien können generell nur auf das Objekt Domäne (also firma.de) oder auf ein OU-Objekt angewendet werden. Von einer domänenweiten Gruppenrichtlinie sollten Sie aber absehen, wenn es nicht durch bestimmte Gegebenheiten erforderlich ist. 왘 Nutzen Sie die Funktion der Vererbung. Wird einem Objekt eine Grup-
penrichtlinie zugewiesen, wird die Richtlinie automatisch an alle untergeordneten Objekte vererbt, dies erspart dem Administrator eine Menge Arbeit. Um beispielsweise eine Gruppenrichtlinie an alle untergeordneten OUs der Organizational Unit Finanzen weiter zu reichen, definieren Sie die Richtlinie einfach in der OU Finanzen selbst und nutzen die standardmäßige Vererbung. Somit erhält auch die untergeordnete OU Buchhaltung die gleiche Gruppenrichtlinie zugewiesen. 왘 Übertreiben Sie die Vererbung nicht. Wenn zahlreiche Gruppenricht-
linien über eine Organisationsstruktur vererbt werden, reduziert dies die Performance der Domänencontroller, da eine Vielzahl von unnötigen Gruppenrichtlinien durchlaufen wird, bis die korrekte Richtlinie gefunden ist. Wenn Sie Benutzerrichtlinien oder Computerrichtlinien für eine Organizational Unit definieren, müssen die Anwender und Computer, denen die Richtlinien zugewiesen werden sollen, Mitglied dieser OU sein. Ist dies nicht möglich, wenden Sie die Richtlinie auf das übergeordnete Objekt im Active Directory-Tree an, im schlimmsten Fall auf die Domäne selbst. Es reicht nicht, eine Gruppe zu definieren, um Anwender aus einer anderen OU so mit der Richtlinien-OU zu verbinden. 왘 Binden Sie nicht alle Richtlinien an eine Gruppenrichtlinie, sondern
teilen Sie die Richtlinien auf in Softwarerichtlinien, Kontenrichtlinien etc. Auf diese Weise können Sie später viel häufiger bereits definierte Richtlinien erneut einsetzen, weil die Vorgaben der bestehenden Richtlinie in bestimmten Bereichen auch auf eine andere OU passen. Wenn Sie diese Regeln berücksichtigen, sollten Sie bei der Zuweisung von Gruppenrichtlinien nicht auf Probleme treffen. Die beschriebene Performance-Problematik tritt ebenfalls erst ein, wenn eine starke Unterscheidung der einzelnen Anwendergruppen vonnöten ist und quasi für jeden Berufs-
138
Die Gruppenrichtlinien
zweig des Unternehmens eine eigene Richtlinie definiert werden muss. Gegen derartige Vorhaben der Planungsgruppe sollten Sie sich allerdings wehren. Dies gelingt, nicht ganz ernst gemeint, mit dem Hinweis auf den Bedarf eines erhöhten Budgets von wenigsten 2 Millionen Euro und einem erforderlichen Personalbedarf von wenigstens zehn neuen Mitarbeitern. Da Planungsgruppen häufig keine Ahnung von der Technik haben, aber sehr gut rechnen können, ist dies deutlich effektiver, als es auf argumentativem Weg zu versuchen.
6.2.6
Zuweisen von Gruppenrichtlinien an einem praktischen Beispiel
Um Ihnen das Vorgehen bei der Definition von Gruppenrichtlinien ein wenig näher vorzustellen, haben wir ein Beispiel für die automatische Softwareverteilung von Windows 2000 durchgeführt. Ziel der Gruppenrichtlinie soll es also sein, den Anwendern in der Organizational Unit Anwender die Software Office 2000 automatisiert zur Verfügung zu stellen. 1. Im ersten Schritt sind einige Vorbereitungen notwendig. Kopieren Sie zuerst den Inhalt der Office 2000-CD auf ein beliebiges Laufwerk eines Servers. Geben Sie das Verzeichnis, in das Sie Office kopiert haben, anschließend frei, und notieren Sie sich den UNC-Pfad. Dieser UNCPfad besteht aus dem Computernamen und dem Namen der Freigabe. In unserem Beispiel befindet sich die Kopie der Office-CD auf dem Server ADSHUBS in der Freigabe REMINST in einem Unterverzeichnis OFFICE2000. Der UNC-Pfad lautet also \\adshubs\reminst\office2000. Abbildung 6.19: Unser OfficeVerzeichnis in der Freigabe
139
6 Administrative Tools für das Sicherheits-Management
2. Aktivieren Sie nun das Verwaltungstool Active Directory-Benutzer und -Computer. Öffnen Sie die linke Baumansicht, bis die Organizational Unit zu sehen ist, die Sie mit einer Gruppenrichtlinie versehen wollen. Klicken Sie mit der rechten Maustaste auf die OU und wählen Sie im geöffneten Kontextmenü die Funktion Eigenschaften. 3. Wechseln Sie im folgenden Dialogfenster auf die Registerkarte Gruppenrichtlinie, in der Sie derzeit noch eine leere Liste finden. Um eine neue Gruppenrichtlinie zu definieren, klicken Sie auf die Neu-Schaltfläche und vergeben für die Gruppenrichtlinie einen passenden Namen, der die Funktion der Richtlinie ein wenig verdeutlicht. Sobald der Name übernommen ist, klicken Sie auf die Eigenschaften-Schaltfläche. 4. Im folgenden Dialogfenster legen Sie eine Vielzahl von wichtigen Einstellungen fest, die Sie noch vor der eigentlichen Definition der Richtlinie festgelegt haben sollten. Auf der Registerkarte Allgemein können Sie beispielsweise die Performance in der Abarbeitung der Richtlinie erhöhen. Enthält die von Ihnen definierte Richtlinie keine Computerrichtlinien, können Sie diese durch Aktivierung der Option Konfigurationseinstellungen des Computers deaktivieren abschalten. Dieser Teil der Richtlinie wird dann gar nicht erst durchsucht. Analog dazu lässt sich mit der Option Benutzerdefinierte Konfigurationseinstellungen deaktivieren der Zweig der Benutzerrichtlinien abschalten. Aber Achtung: Richtlinien im abgeschalteten Zweig werden nicht zugewiesen, prüfen Sie also, ob Sie einen der beiden Bereiche der Richtlinie abschalten können. Abbildung 6.20: Schalten Sie überflüssige Bereiche der Richtlinie ab
140
Die Gruppenrichtlinien
5. Wechseln Sie dann auf die Registerkarte Sicherheitseinstellungen und entfernen Sie die darin bereits vorgegebene Gruppe Authentifizierte Benutzer. Bei dieser Standardgruppe handelt es sich um jeden Anwender, dessen Anmeldung von einer Windows 2000-Domäne korrekt bestätigt wurde. Würden Sie in einer Produktivumgebung diese Gruppe bereits jetzt belassen, würden womöglich einige Anwender die Einstellungen bereits zugewiesen bekommen. Da diese Einstellungen ja aber erst einmal getestet werden müssen, ist dies kein wünschenswertes Ergebnis. Durch das Löschen der Gruppe verhindern Sie die Zuweisung der Richtlinie für alle Benutzer. Später können Sie die Gruppe wieder aufnehmen. Fügen Sie an Stelle der Standardgruppe einen Testbenutzer ein, dem Sie das gleiche Recht zuweisen wie der Gruppe Authentifizierte Benutzer, wobei Lesen und Gruppenrichtlinie übernehmen zugelassen ist, alles andere bleibt leer. Abbildung 6.21: Ersetzen Sie die Gruppe »Authentifizierte Benutzer« durch einen einzelnen Testuser
6. Bestätigen Sie die Angaben im Dialogfenster mit OK. Zurück im Eigenschaften-Dialogfenster klicken Sie nun noch auf die Schaltfläche Optionen. Hier können Sie bestimmte Vorgaben für die Handhabung der Richtlinie treffen. Die Option Kein Vorrang ist verfälscht übersetzt. Das englische No Override macht klar, dass diese Option verhindert, dass die Einstellungen der Gruppenrichtlinie durch andere, konkurrierende Richtlinien überschrieben werden können. Die Einstellungen werden also dem Benutzer oder dem Computer zwingend zugewiesen. Die Option sollte allerdings immer nur für eine Richtlinie innerhalb einer OU verwendet werden. Wenn Sie Richtlinien per Vererbung übergeben, können Sie in einer unter-
141
6 Administrative Tools für das Sicherheits-Management
geordneten OU einen Teil der vererbten Richtlinien abschalten. Dazu verwenden Sie die Option Deaktiviert. Die Richtlinie wird dann auf den betreffenden Container, sprich die OU, nicht angewendet, ohne dass Sie dazu die Gesamtstruktur und die darin enthaltene Vererbung verändern müssen. Wurde auf eine vererbte Richtlinie die Option Kein Vorrang angewendet, kann man die Richtlinie nicht im untergeordneten Objekt abschalten. Abbildung 6.22: Definieren Sie zusätzliche Optionen für die Handhabung der OU
7. Erst wenn all diese Vorarbeiten durchlaufen sind, sollten Sie sich an die eigentliche Gestaltung der Gruppenrichtlinie machen. Dazu markieren Sie die jeweilige Gruppenrichtlinie und klicken auf Bearbeiten. Es folgt die Managementkonsole Gruppenrichtlinie, in der Sie nun die einzelnen Richtlinien frei definieren können. Die linke Baumansicht teilt sich in den Bereich Computerkonfiguration und Benutzerkonfiguration, unterhalb beider Substrukturen finden Sie die Bereiche Softwareeinstellungen, Windows-Einstellungen und Administrative Vorlagen. Unter Softwareeinstellungen nehmen Sie vorwiegend Einstellungen zur Remote-Installation von Windows-Software vor. Mit diesem Bereich werden wir im Beispiel arbeiten. Der Bereich Windows-Einstellungen enthält alle denkbaren und derzeit verfügbaren Einstellungen für Zugriffssicherheit, Kennwortsicherheit und die Absicherung des Windows-Systems gegenüber Benutzern. Zudem lassen sich auch Netzwerkfunktionalitäten über die Richtlinie an spezielle Computer übergeben. Der Bereich Administrative Vorlagen enthält die Richtlinien, die Sie bereits vom Richtlinien-Manager von NT 4 kennen, nur in erweitertem Umfang. Hier sind genau genommen einzelne Einstellungen der Registry über spezielle externe ADM-Dateien zusammengefasst, was zur gewünschten Funktion führt. Wollen Sie hier eigene Vorlagen hinzufügen, müssen Sie eine entsprechende ADM-Datei anlegen und diese dann hinzuladen. Zu diesem Zweck klicken Sie im jeweiligen Bereich mit der rechten Maustaste auf die Option Administrative Vorlagen und wählen im Kontextmenü die Funktion Vorlagen hinzufügen/entfernen. 8. Da wir unsere Richtlinie auf Benutzer anwenden wollen, ist der Bereich Computerkonfiguration für uns nicht interessant, hier müssten wir arbeiten, wenn wir die Softwareverteilung auf Computer anwenden wollten. Stattdessen navigieren wir im Beispiel in den Bereich Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation und markieren den letztgenannten Eintrag in der Baumansicht.
142
Die Gruppenrichtlinien Abbildung 6.23: Die enthaltenen Richtlinien decken alle Bereiche der Windows-Reglementierung ab
9. Klicken Sie jetzt mit der rechten Maustaste in den rechts angezeigten, leeren Fensterbereich und wählen Sie im Kontextmenü die Funktion Neu/ Paket. Im folgenden Fenster geben Sie im Feld Dateiname den vollen UNC-Pfad für Ihr Softwareprogramm an. Dabei muss die Angabe auf den Ordner verweisen, in dem sich die MSI-Datei für die Software befindet. Mithilfe der MSI-Datei kann der Microsoft Windows Installer (MSI = MicroSoft Installer) die Informationen für die korrekte Einrichtung von Office auf einem Rechner beziehen. Wenn Sie nicht über eine MSI-Datei verfügen, verwenden Sie stattdessen die ZAP-Datei, die Sie ja zur Not auch selbst erstellen können. Handelt es sich, wie in unserem Beispiel, um Office 2000, verwenden Sie bitte die Datei DATA1.MSI. Bestätigen Sie die Auswahl mit einem Klick auf Öffnen.
143
6 Administrative Tools für das Sicherheits-Management Abbildung 6.24: Wählen Sie den Netzwerkpfad für die Installationsdateien
10. Im folgenden Fenster müssen Sie eine Bereitstellungsmethode auswählen. Dabei haben Sie die Wahl zwischen Veröffentlicht und Zugewiesen sowie einem erweiterten Dialogfenster, in dem Sie diese und weitere Optionen individuell einstellen können. Da wir nicht zu sehr in die Softwareverteilung abdriften möchten, wollen wir nur kurz den Unterschied zwischen Veröffentlicht und Zugewiesen erläutern. Wenn Sie erreichen möchten, dass die Anwender selbst entscheiden können, ob sie die Installation nutzen möchten oder nicht, verwenden Sie die Option Veröffentlichen. In diesem Fall findet ein Anwender die Software im Fenster Software der Systemsteuerung und kann sie dann über eine entsprechende Schaltfläche installieren. Möchten Sie diese Wahlmöglichkeit nicht gewähren, nutzen Sie die Option Zugewiesen. In diesem Fall wird die Software automatisch installiert, sobald sich der Anwender das nächste Mal anmeldet. Dabei wird nicht die gesamte Software installiert, sondern es werden nur die Symbole für die Programme und einige Basisdateien übertragen. Erst wenn der Anwender zum ersten Mal auf das Symbol für Microsoft Word klickt oder einen Doppelklick auf eine DOCDatei ausführt, werden die benötigten Programmdateien vom Netzwerk übertragen. Nach kurzer Zeit kann der Anwender dann die gewünschte Software nutzen. 11. Im Anschluss daran finden Sie das Softwarepaket in der Liste der zu installierenden Programme. Sie können nun weitere Produkte hinzufügen, wenn dies für die gegenwärtige Gruppenrichtlinie sinnvoll ist. Schließen Sie danach das Fenster der Gruppenrichtlinie und kehren Sie zurück in das Eigenschaften-Dialogfenster. Schließen Sie auch dieses Fenster über die entsprechende Schaltfläche.
144
Die Gruppenrichtlinien Abbildung 6.25: Entscheiden Sie sich für eine Bereitstellungsmethode
12. Testen Sie im Anschluss die Richtlinie, indem Sie sich unter dem Namen des Textbenutzers anmelden. Nach der Anmeldung und noch bevor der Desktop erscheint, sollten Sie nun kurz die Anzeige Softwareeinstellungen werden übernommen angezeigt bekommen. Wenn Sie danach das StartMenü öffnen, sollten Sie die Symbole von Office 2000 bereits angezeigt bekommen. Ist alles korrekt verlaufen, können Sie zu guter Letzt die Gruppe Authentifizierte Benutzer wieder in die für die Gruppenrichtlinie zulässigen Benutzergruppen aufnehmen und den Testbenutzer löschen. Abbildung 6.26: Die Gruppenrichtlinie wird allen zulässigen Benutzern zugewiesen
Die Gruppenrichtlinie ist somit bereits fertig zugewiesen. Ein Tipp noch für die Installation von Software. Diese klappt bei Computern, die bereits über eine installierte Version der bereitgestellten Software verfügen, nicht sonderlich gut. Dies bleibt manchmal auch so, wenn Sie die Software deinstallieren. Zur Sicherheit sollten Sie daher in den Eigenschaften des Softwarepakets die entsprechenden Optionen zum Überschreiben bestehender Installationen aktivieren. Wenn Sie später eine andere Organizational Unit definieren und dieser die gleiche Gruppenrichtlinie zuweisen möchten, ist dies recht einfach zu bewerkstelligen. Klicken Sie einfach wieder mit der rechten Maustaste auf die neue OU und wählen Sie im Kontextmenü die Funktion Eigenschaften.
145
6 Administrative Tools für das Sicherheits-Management
Wechseln Sie im folgenden Dialogfenster auf die Registerkarte Gruppenrichtlinie und klicken Sie auf die Hinzufügen-Schaltfläche. Im so geöffneten Dialogfenster können Sie durch alle Organisationseinheiten und Objekte der Domäne navigieren. Somit ist es auch möglich, in die OU zu wechseln, der Sie die Gruppenrichtlinie bereits zugewiesen haben. Markieren Sie die benötigte Gruppenrichtlinie und klicken Sie auf OK. Ab sofort wird die gewählte Gruppenrichtlinie mit den zusätzlich definierten Optionen und Gruppeneinstellungen auch auf die neu definierte OU angewendet. Es ist also nicht nötig, eine Gruppenrichtlinie mehrfach zu erzeugen, wenn die Anforderungen identisch sind. Abbildung 6.27: Wählen Sie eine bereits vorher definierte Gruppenrichtlinie aus
6.2.7
Gruppenrichtlinien vererben
Die Vererbung von Rechten und Richtlinien ist sicherlich eine der wertvollsten Neuheiten von Windows 2000. Sie ermöglicht es dem Administrator, allgemeine Einstellungen nur ein einziges Mal zu definieren, sodass nur die speziellen Bedürfnisse von Gruppen, OUs und Anwendern später berücksichtigt werden müssen. Die Vererbung ist also vor allem ein Werkzeug, um Arbeit zu sparen. Microsoft selbst rät beim Einsatz der Vererbung, dass Sie global zu definierende Sicherheitseinstellungen und Richtlinien dem Objekt zuweisen, das in der Hierarchie am höchsten angesiedelt ist, und die Einstellungen danach über die Vererbung in die untergeordneten Objekte übergeben. Dabei können Sie, wenn Sie wollen, direkt im Objekt Domäne beginnen, also beispielsweise eine domänenweite Gruppenrichtlinie zur Kennwortsicherheit bestimmen. Sie sollten allerdings berücksichtigen, dass diese Einstellungen dann an alle untergeordneten Objekte der Domäne vererbt werden, also an alle Organizational Units der Domäne. Subdomains sind von der Vererbung hingegen nicht betroffen, die Vererbung findet nur innerhalb einer Domäne statt.
146
Die Gruppenrichtlinien
Vererbung von Gruppenrichtlinien an einem Praxisbeispiel Mithilfe eines einfachen Beispiels wollen wir Ihnen auch die Vererbung ein wenig vermitteln. 1. Starten Sie das Verwaltungstool Active Directory-Benutzer und -Computer und klicken Sie mit der rechten Maustaste direkt auf den Haupteintrag der Domäne. Wählen Sie im Kontextmenü die Funktion Eigenschaften und wechseln Sie im nun angezeigten Dialogfenster auf die Registerkarte Gruppenrichtlinie. 2. In der Liste der Gruppenrichtlinien finden Sie dann bereits eine automatisch bei der Installation des ersten Servers angelegte Gruppenrichtlinie mit dem Namen Default Domain Policy. Standardmäßig ist dies eine Gruppenrichtlinie ohne Funktion, da in der Richtlinie keine Einstellungen aktiviert sind. Dies wollen wir nun aber ändern, daher klicken Sie direkt auf die Bearbeiten-Schaltfläche. Abbildung 6.28: Bearbeiten Sie die Standardrichtlinie der Domäne
3. In der Managementkonsole Gruppenrichtlinie navigieren Sie nun wie gewohnt an die Position, in der Sie eine Einschränkung oder ein spezielles Feature aktivieren wollen. Im Beispiel verwenden wir den Teilbereich Benutzerkonfiguration/Administrative Vorlagen/System. Wenn Sie den Eintrag System in der linken Baumansicht markieren, erhalten Sie rechts eine Liste mit möglichen Richtlinien angeboten. Da wir in diesem Beispiel keinen größeren Schaden anrichten wollen, verwenden wir exemplarisch
147
6 Administrative Tools für das Sicherheits-Management
die Option Automatische Wiedergabe deaktivieren, die dafür sorgt, dass CDROMs mit einer automatischen Startvorrichtung nicht mehr automatisch geladen werden. Normalerweise sucht das System ja nach der Datei AUTORUN.INF im Wurzelverzeichnis und führt dann die dort genannten Programme automatisch aus, dies wollen wir per Richtlinie unterbinden. 4. Um die Richtlinie zu aktivieren, klicken Sie doppelt auf die Richtlinie. Wählen Sie dann im geöffneten Dialogfenster auf der Registerkarte Richtlinie die Option Aktiviert und legen Sie über das Feld Automatische Wiedergabe aktivieren auf den Eintrag CD-ROM-Laufwerke fest. Wenn Sie mögen, können Sie sich auf der Registerkarte Erklärung noch zusätzliche Informationen zu dieser Richtlinie anzeigen lassen. Klicken Sie auf OK, um die Richtlinie zu übernehmen. Abbildung 6.29: Aktivieren Sie die Deaktivierung der Richtlinie
5. Damit ist die Gruppenrichtlinie bereits fertig definiert und Sie können die Konsole Gruppenrichtlinie wieder schließen. Schließen Sie nun auch das Eigenschaftenfenster des Objekts Domäne, um die Bearbeitung des Objekts abzuschließen. Sie sollten nun entweder eine runde Viertelstunde warten oder aber eine Replikation anstoßen. Die neu definierte Gruppenrichtlinie muss ja, wie jedes andere Objekt im Active Directory auch, erst auf die anderen Domänencontroller repliziert werden, bevor es domänenweit zur Verfügung steht.
148
Die Gruppenrichtlinien
6. Zurück im Verwaltungstool Active Directory-Benutzer und -Computer klicken Sie nun bitte auf eine Organizational Unit, die Sie vielleicht bereits zu Übungszwecken angelegt haben und in der sich zumindest ein Testanwender befinden sollte. Auf diese Weise vermeiden Sie Beschwerden von Anwendern, wenn sich Ihr System bereits im Produktivbetrieb befindet. Klicken Sie die OU mit der rechten Maustaste an, wählen Sie im Kontextmenü die Funktion Eigenschaften und wechseln Sie im nun angezeigten Dialogfenster auf die Registerkarte Gruppenrichtlinie. 7. In der Liste der Gruppenrichtlinien werden Sie sich nun vielleicht wundern, dass die Default Domain Policy nicht, wie vielleicht vermutet, nun in der Liste der Gruppenrichtlinien zu finden ist. Hat die Vererbung etwa nicht funktioniert? Zugegebenermaßen wirkt dies ein wenig verwirrend, doch die Vererbung hat bereits stattgefunden. Einziges Manko: Sie ist unsichtbar. Sie können in einer OU nicht feststellen, ob es zusätzliche Richtlinien durch übergeordnete Objekte gibt. Eine solche Richtlinie bekommen Sie nur heraus, wenn Sie sich das übergeordnete Objekt ansehen. Hier hat Microsoft sicherlich ein wenig »geschlafen«, denn eine optische Kennzeichnung übergeordneter Gruppenrichtlinien wäre sicherlich programmiertechnisch möglich gewesen. 8. Für die OU spezifizieren wir nun eine eigene Richtlinie, klicken Sie also auf Neu und geben der Richtlinie einen eigenen Namen. Klicken Sie anschließend auf Bearbeiten, um eine neue Richtlinie hinzuzufügen. Abbildung 6.30: Die übergeordnete Richtlinie wird nicht angezeigt, nur die direkt zugeordnete Richtlinie ist zu sehen
149
6 Administrative Tools für das Sicherheits-Management
9. In der Managementkonsole Gruppenrichtlinie navigieren Sie nun wie gewohnt an die Position, in der Sie eine Einschränkung oder ein spezielles Feature aktivieren wollen. Im Beispiel verwenden wir den Teilbereich Benutzerkonfiguration/Administrative Vorlagen/System. Wenn Sie den Eintrag System in der linken Baumansicht markieren, erhalten Sie rechts eine Liste mit möglichen Richtlinien angeboten. Da wir in diesem Beispiel ja keinen größeren Schaden anrichten wollen, verwenden wir exemplarisch die Option Befehlszeilenaufforderung deaktivieren, die dafür sorgt, dass Sie die Eingabeaufforderung von Windows 2000 nicht mehr nutzen können. 10. Um die Richtlinie zu aktivieren, klicken Sie doppelt auf die Richtlinie. Wählen Sie dann im geöffneten Dialogfenster auf der Registerkarte Richtlinie die Option Aktiviert und legen Sie über das Feld Soll die Scriptverarbeitung der Eingabeaufforderung auch deaktiviert werden? den Eintrag Nein fest. Wenn Sie mögen, können Sie sich auf der Registerkarte Erklärung noch zusätzliche Informationen zu dieser Richtlinie anzeigen lassen. Klicken Sie auf OK, um die Richtlinie zu übernehmen. 11. Nun wollen wir es den Mitgliedern der gewählten OU aber ermöglichen, die zuvor in der Domäne deaktivierte Autoplay-Funktion zu nutzen. In diesem Fall müssen wir die Option mithilfe der Gruppenrichtlinie der OU explizit deaktivieren, sonst gelten die Richtlinien der übergeordneten Domäne. Klicken Sie also doppelt auf die Richtlinie Automatische Wiedergabe deaktivieren und schalten Sie die Option Deaktiviert ein. Abbildung 6.31: Schalten Sie Richtlinien ein, oder schalten Sie übergeordnete Richtlinien explizit ab
12. Im nächsten Schritt unserer Übung wollen wir die Vererbung nun auch noch ein wenig einsetzen und überprüfen. Dazu legen Sie unterhalb der Organizational Unit, in der Sie zuvor die neue Gruppenrichtlinie defi-
150
Die Gruppenrichtlinien
niert haben, eine neue Organizational Unit an. Im Beispiel erzeugen wir unterhalb der OU Technik die OU Azubis. Legen Sie außerdem in der neuen OU einen neuen Testbenutzer an, sodass wir die Vererbung überprüfen können. 13. Nun können wir damit beginnen, unsere Einstellungen und die Vererbung zu testen. Melden Sie sich als Erstes einmal als Mitglied einer beliebigen OU an, es darf lediglich nicht die OU sein, der wir eine individuelle Gruppenrichtlinie zugewiesen haben. Legen Sie dann eine CD-ROM mit Autorun-Funktion ein, z.B. die Windows 2000-CD. Sie werden feststellen, dass das Menü der CD nun nicht mehr automatisch angezeigt wird. Da es sich um eine Gruppenrichtlinie des Objekts Domäne handelt, wird sie folglich automatisch an alle untergeordneten Objekte übergeben. 14. Melden Sie sich jetzt als Mitglied der OU an, der wir eine entgegengesetzte Gruppenrichtlinie zugewiesen haben. Legen Sie eine CD mit Autoplay-Funktion ein, und warten Sie einige Sekunden. Die Funktion sollte nun ausgeführt werden, es sollte jetzt ein entsprechendes CD-Menü erscheinen. Bei der Windows 2000-CD erscheint möglicherweise auch ein Dialogfenster, da Sie als einfacher Benutzer nicht über die Berechtigung verfügen, das Betriebssystem zu installieren. Das Beispiel zeigt, dass Sie mit einer Gruppenrichtlinie, die dem Objekt direkt zugewiesen wurde, eine Gruppenrichtlinie eines übergeordneten Objekts aufheben können. 15. Prüfen Sie nun noch, ob die Abschaltung der Eingabeaufforderung funktioniert. Wenn Sie das entsprechende Symbol im Start-Menü wählen, sollte ein Fenster erscheinen, in dem Sie darauf hingewiesen werden, dass der Administrator die Funktionalität abgeschaltet hat. Abbildung 6.32: Der Zugriff auf die Eingabeaufforderung ist nicht mehr erlaubt
16. Zum Abschluss melden Sie sich jetzt noch mit dem Testbenutzer an, den Sie in der untergeordneten OU angelegt haben. Automatisch sollten alle Einstellungen der übergeordneten Organizational Unit an die untergeordnete OU vererbt worden sein. Sie sollten also auch hier eine Fehlermeldung erhalten, wenn Sie versuchen, die Eingabeaufforderung zu öffnen.
151
6 Administrative Tools für das Sicherheits-Management
Das Beispiel zeigt, dass eine gute Planung von Richtlinien das A und O der Vererbung darstellt. Globale Richtlinien lassen sich problemlos sogar der Domäne selbst zuweisen, wenn sie wirklich für alle Benutzer gelten. Wenn eine globale Richtlinie geeignet erscheint, sollten Sie nicht auf die Vererbung verzichten, bloß weil eine der untergeordneten OUs eine andere Einstellung benötigt. Sie haben ja gesehen, dass man Einstellungen der übergeordneten Objekte auch durch direkte Gruppenrichtlinien der OU wieder abschalten kann. Zurücknehmen von bereits vererbten Richtlinien Das Besondere an den neuen Gruppenrichtlinien von Windows 2000 ist aber, dass Sie sie zu jeder Zeit wieder zurücknehmen können. Administratoren werden sich erinnern, dass genau dies unter Windows NT 4 das große Manko in der Nutzung von Richtlinien war. Waren die Richtlinien einmal zugewiesen und in der Registry des Clientcomputers eingetragen, konnte man sie nicht mehr zurücknehmen. Unter Windows 2000 ist dies ein einfaches Unterfangen, das wir Ihnen kurz vorführen wollen. Starten Sie dazu das Verwaltungstool ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und klicken Sie mit der rechten Maustaste direkt auf den Haupteintrag der Domäne. Wählen Sie im Kontextmenü die Funktion Eigenschaften, und wechseln Sie im nun angezeigten Dialogfenster auf die Registerkarte Gruppenrichtlinie. In der Liste der Gruppenrichtlinien markieren Sie die Gruppenrichtlinie Default Domain Policy und klicken direkt auf die Bearbeiten-Schaltfläche. Abbildung 6.33: Machen Sie die Definition der Gruppenrichtlinie rückgängig
In der Managementkonsole Gruppenrichtlinie navigieren Sie nun in den Teilbereich Benutzerkonfiguration/Administrative Vorlagen/System. Wenn Sie den Eintrag System in der linken Baumansicht markieren, erhalten Sie rechts eine
152
Die Gruppenrichtlinien
Liste mit möglichen Richtlinien angeboten. Wählen Sie wieder die Option Automatische Wiedergabe deaktivieren mit einem Doppelklick. Um die Richtlinie zu deaktivieren, wählen Sie im geöffneten Dialogfenster auf der Registerkarte Richtlinie die Option Nicht konfiguriert. Klicken Sie auf OK, um die Richtlinie zu übernehmen. Wenn Sie sich nun unter einem Namen anmelden, auf den zuvor die definierte Gruppenrichtlinie zutraf, wird es jetzt wieder möglich sein, die Autoplay-Funktion des CD-Laufwerks zu nutzen. Allerdings kann es wieder ein paar Minuten dauern, bis die Replikation die Veränderung an alle Domänencontroller übertragen hat. Gruppenrichtlinien lassen sich also zu jeder Zeit auch wieder rückgängig machen. Vererbung von Gruppenrichtlinien abschalten Von Zeit zu Zeit kann es vorkommen, dass Sie für ein Objekt in der Domäne eine neue Gruppenrichtlinie definieren müssen. Sie möchten diese Gruppenrichtlinie allerdings nicht an die untergeordneten Objekte, also z.B. weitere Organizational Units, vererben. Dies geschieht übrigens auch nachträglich, wenn die untergeordneten Elemente bereits bestehen. Vererbung findet also nicht nur statt, wenn untergeordnete Objekte neu erstellt werden, sondern immer wenn eine Richtlinie für ein übergeordnetes Objekt definiert wird. Um die Vererbung an untergeordnete Objekte zu verhindern, müssen Sie die Vererbung beim untergeordneten Objekt abschalten. Nutzen Sie dazu wieder das Verwaltungstool Active Directory-Benutzer und -Computer und klicken Sie mit der rechten Maustaste direkt auf das Objekt, für das Sie die übergeordnete Gruppenrichtlinie abschalten wollen. Noch einmal: Sie schalten die Vererbung nicht beim übergeordneten Objekt mit der Gruppenrichtlinie ab, sondern beim untergeordneten Objekt, das die Richtlinie nicht übernehmen soll. Dies ist vergleichbar mit Erben, die eine Erbschaft angeboten bekommen, diese aber ablehnen. Wählen Sie im Kontextmenü die Funktion Eigenschaften, und wechseln Sie im nun angezeigten Dialogfenster auf die Registerkarte Gruppenrichtlinie. Schalten Sie dort die Option Richtlinienvererbung deaktivieren ein. Damit veranlassen Sie Windows 2000, die in der übergeordneten Hierarchie definierten Richtlinien nicht an das aktuell gewählte Objekt zu übergeben. Die Richtlinie greift also nur bei Anwendern und anderen Elementen, die sich direkt in der betreffenden Organizational Unit befinden, und bei solchen OUs, welche die Erbschaft nicht ablehnen, nicht aber in der bearbeiteten Organizational Unit. In der Regel werden Sie eine solche Variante nur durchführen, wenn Sie einer übergeordneten Ebene zusätzliche Rechte zuweisen, die nicht in die untergeordneten Ebenen übertragen werden sollen. Da das Active Directory ja häufig die Unternehmensorganisation abbildet, sind in den oberen Ebenen ja in der Regel auch die Anwender mit den höheren Rechten angeordnet. Beachten Sie auch, dass die Vererbung auch nachträglich abgeschaltet werden kann. Wenn sich die Anwender der untergeordneten Objekte später wieder anmelden, greifen die zuvor vererbten Gruppenrichtlinien nicht mehr.
153
6 Administrative Tools für das Sicherheits-Management Abbildung 6.34: Verhindern Sie die Vererbung von Gruppenrichtlinien
Zusammenfassung der Vererbungsregeln Für alle Gruppenrichtlinien, die Sie in einer Domäne definieren gilt, dass diese Richtlinien normalerweise von den übergeordneten Organisationseinheiten an die untergeordneten Organisationseinheiten automatisch weitergegeben, sprich vererbt werden. Über die Domänengrenzen hinweg findet stattdessen keine Vererbung der Gruppenrichtlinien statt. In bestimmten Fällen kann es jedoch überhaupt nicht wünschenswert sein, dass eine untergeordnete OU die Gruppenrichtlinie der übergeordneten OU erbt. In einem solchen Fall können Sie die Vererbung blockieren. Vererbung erzwingen Mit der Option Kein Vorrang können Sie die Priorität einer Gruppenrichtlinie erhöhen und somit sicherstellen, dass die Gruppenrichtlinie in jedem Fall zugewiesen und vererbt wird. Selbst wenn eine untergeordnete OU die Vererbung blockiert, wird diese Gruppenrichtlinie zugewiesen. Sollte es zwei Gruppenrichtlinien mit konkurrierenden Einstellungen geben, bei denen diese Option aktiviert ist, wird die Gruppenrichtlinie verwendet, die sich am nächsten am betreffenden Objekt befindet. Fehler vermeiden An dieser Stelle möchten wir noch auf einen beliebten Fehler bei der Definition von Richtlinien hinweisen. Wenn Sie beispielsweise Kontenrichtlinien über die Gruppenrichtlinien vergeben und hier in der Hierarchie Computerkonfiguration/
154
Die Gruppenrichtlinien
Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten die Option Lokal anmelden auswählen und hier nur einige Anwender oder Gruppen angeben, kann dies zur Folge haben, dass sich Anwender nicht mehr an den Computern anmelden können. Wenn Sie die Regel auf die Domäne oder die OU Domain Controllers angewendet haben, können sich selbst die Administratoren nicht mehr anmelden. Beachten Sie, dass Sie beim Einschalten einer solchen anwenderbezogenen Richtlinie alle Anwender angeben müssen, welche die Rechte erhalten sollen. Abbildung 6.35: Achtung bei anwenderbezogenen Gruppenrichtlinien
6.2.8
Zuweisung von Gruppenrichtlinien manuell anstoßen
Standardmäßig dauert es 90 Minuten plus einen Zusatzversatz von 30 Minuten, bis die Gruppenrichtlinien innerhalb der Domäne zugewiesen werden. Möchten Sie die Zuweisung beschleunigen, können Sie diese manuell anstoßen. Wählen Sie dazu Start/Ausführen und geben dann einen der folgenden Befehle ein: secedit /refreshpolicy MACHINE_POLICY, um die Richtlinien im Knoten Computerkonfiguration zu aktualisieren secedit /refreshpolicy USER_POLICY, um die Richtlinien im Knoten Benutzerkonfiguration zu aktualisieren.
155
6 Administrative Tools für das Sicherheits-Management
Klicken Sie anschließend auf OK. Mehr Informationen zum Thema »secedit« erhalten Sie in einem der folgenden Kapitel.
6.2.9
Filterung von Gruppenrichtlinien
Wie bereits erwähnt, gibt es die Möglichkeit, mehrere Gruppenrichtlinien zu definieren, und zudem gibt es eine fest definierte Zuweisungsreihenfolge, die bei der Anwendung von Gruppenrichtlinien befolgt wird. Darüber hinaus haben Sie aber auch noch die Möglichkeit, die Zuweisung der Richtlinie auf bestimmte Anwender zu beschränken, sprich zu filtern. Eine Filterung kann beispielsweise notwendig werden, wenn Sie einer kleinen Anwendergruppe in einer untergeordneten OU bestimmte Rechte einräumen wollen, die allen anderen Anwendern verwehrt werden sollen. Für die Definition einer Gruppenrichtlinien-Filterung gehen Sie in der Praxis wie folgt vor: 1. Sie rufen das Snap-In Active-Directory Benutzer- und Computer auf und klicken mit der rechten Maustaste auf die OU, in der Sie für bestimmte Anwender die Gruppenrichtlinie filtern möchten. 2. Rufen Sie den Befehl Eigenschaften auf und wechseln Sie in dem erscheinenden Dialogfenster auf die Registerkarte Gruppenrichtlinie. 3. Markieren Sie die Gruppenrichtlinie, deren Einstellungen Sie filtern möchten, und klicken Sie auf den Button Eigenschaften. 4. Wechseln Sie in dem daraufhin angezeigten Dialogfenster auf die Registerkarte Sicherheitseinstellungen. Standardmäßig ist für alle dort angezeigten Benutzergruppen die Option Gruppenrichtlinie übernehmen auf Zulassen gestellt. 5. Möchten Sie nun für eine bestimmte Anwendergruppe, deren Benutzerkonten sich in der betreffenden OU befinden, die Zuweisung dieser Gruppenrichtlinie verhindern, dann legen Sie für diese Anwender einfach eine neue Benutzergruppe an und schalten die Option Gruppenrichtlinie übernehmen für diese Benutzergruppe auf Verweigern. Da das Recht des Verweigerns immer höher gewertet wird, als Zulassen, wird der Benutzergruppe die Gruppenrichtlinie, die für den Rest der OU gilt, nicht zugewiesen. 6. Verlassen Sie alle geöffneten Dialogfenster mit entsprechenden Mausklicks auf OK und veranlassen Sie danach, dass ein Anwender der entsprechenden Benutzergruppe sich testhalber einmal neu an seinem System anmeldet. Allerdings sollten Sie diese Filterung nur sehr sparsam anwenden, da ansonsten die Struktur der Gruppenrichtlinien sehr schnell unübersichtlich wird.
156
Die Registrierdatenbank und ihre Bearbeitung
6.3
Die Registrierdatenbank und ihre Bearbeitung
Die Registrierdatenbank ist zurzeit noch die zentrale Datenbank in der Konfigurationsdaten der Hardware, des Betriebssystems, der Anwendungen und der Benutzer gehalten werden. Auch wenn wir heute mit Active-Directory eine »Konkurrenzdatenbank« zur Registrierdatenbank bekommen haben, wird immer noch ein Großteil der sicherheitsrelevanten Konfigurationsinformationen in der Registrierdatenbank abgelegt. Damit eine sichere Arbeitsumgebung geschaffen werden kann, ist das Verständnis für die Arbeitsweise und für den Umgang mit der Registrierdatenbank unumgänglich.
6.3.1
Dateistruktur der Registrierdatenbank
Auch wenn es auf den ersten Blick so aussieht, als würde die Registrierdatenbank ein einzelnes Element darstellen, so setzt sie sich in Wirklichkeit doch aus diversen unterschiedlichen Dateien zusammen. Diese einzelnen Dateien werden während der Systemvorgänge des Hochfahrens des Computers, der Hardwareerkennung und der Benutzeranmeldung am System zusammengestellt und in der Folge dann als eine Einheit weiterverwendet. Abbildung 6.36: Die Dateistruktur der Registrierdatenbank
Registrierdatenbank
Default
NtUser.dat
Systemroot\System32\Config\
Dokumente und Einstellungen\Benutzer
System
Software
Systemroot\System32\Config\
Systemroot\System32\Config\
SAM Security Systemroot\System32\Config\
Die zentralen Dateien, aus denen sich die Registrierdatenbank zusammensetzt, finden Sie in dem Verzeichnis %SYSTEMROOT\SYSTEM32\CONFIG\ auf Ihrer Festplatte. Die Dateien heißen im Einzelnen: 왘 SAM, SAM.LOG und (SAM.SAV) 왘 SECURITY, SECURITY.LOG und (SECURITY.SAV)
157
6 Administrative Tools für das Sicherheits-Management 왘 SOFTWARE, SOFTWARE.LOG, (SOFTWARE.SAV) 왘 SYSTEM, SYSTEM.ALT, SYSTEM.LOG, SYSTEM.SAV 왘 DEFAULT, DEFAULT.LOG, (DEFAULT.SAV) 왘 USERDIFF, USERDIFF.LOG (wird nur bei Updates verwendet)
Außerdem werden aus dem Benutzerverzeichnis \DOKUMENTE UND EINSTELLUNGEN\
folgende Dateien in die Registrierdatenbank eingelesen. NTUSER.DAT, NTUSER.DAT.LOG: In der NTUSER.DAT werden die Informationen des Benutzerprofils gespeichert. Die Dateien, die keine zusätzliche Dateiendung besitzen, sind die vom System benutzten Dateien. Die Dateien mit der Endung .LOG sind hingegen die dazugehörigen Transaktionsdateien, die vom System genutzt werden, um die Konsistenz der Datenbank sicherzustellen. Die Dateien mit der Endung .SAV sind die Differenzdateien. Sie müssen jedoch nicht von allen oben aufgeführten Dateien entsprechende SAV-Dateien in dem Verzeichnis vorfinden, da diese Dateien erst dann angelegt werden, wenn Sie Veränderungen an den Konfigurationseinstellungen vorgenommen haben. Auffällig ist zudem, dass es bei den Dateien mit dem Dateinamen System zusätzlich eine Datei SYSTEM.ALT geben kann. Bei dieser Datei handelt es sich um eine Sicherungskopie der Datei System, die automatisch beim Anmelden eines Benutzers erstellt wird. Wenn Sie während der WindowsSitzung entsprechende Veränderungen an Ihrem System vorgenommen, z.B. einen neuen Grafikkarten-Treiber installiert haben, können diese Veränderungen vor dem nächsten Anmelden eines Benutzers mithilfe der SYSTEM.ALT verworfen werden. Für diesen Zweck steht Ihnen der Eintrag LAST KNOWN GOOD CONFIGURATION während des Bootvorgangs zur Verfügung.
6.3.2
Bearbeiten der Registrierdatenbank mit dem Registrierungs-Editor
Die im vorangegangenen Abschnitt aufgeführten Dateien sind nicht direkt bearbeitbar, denn wenn Sie versuchen, diese Dateien mit der rechten Maustaste anzuklicken und über den Befehl Öffnen mit in einem Editor zu öffnen, erhalten Sie eine Fehlermeldung. Abbildung 6.37: Die Einzeldateien, die die Registrierdatenbank mit Informationen füllen, lassen sich nicht direkt bearbeiten
158
Die Registrierdatenbank und ihre Bearbeitung
Das bedeutet, dass Sie für die Bearbeitung der Registrierdatenbank auf andere Werkzeuge zurückgreifen müssen. Eigentlich machen Sie dies ständig, ohne dass Sie sich dessen immer bewusst sind, dass Sie gerade wieder die Registrierdatenbank verändern. Immer wenn Sie beispielsweise einen neuen Benutzer anlegen, werden in der SAM entsprechende Einträge hinzugefügt. Immer wenn Sie Ihre Anzeigeeinstellungen des Monitors ändern, manipulieren Sie automatisch auch die Einträge in der Registrierdatenbank. Sie sehen also, dass die Konfigurationsveränderungen, die Sie am System vornehmen, in der Regel in der Registrierdatenbank gespeichert werden. Es gibt in diversen Abstufungen Tools zum Bearbeiten der Registrierdatenbank. Die MMC mit dem Gruppenrichtlinien-Snap-In, das Sie im vorangegangenen Kapitel kennen gelernt haben, sei hier als ein Beispiel genannt. Allerdings haben alle Verwaltungs-Tools mit der Ausnahme von REGEDT32.EXE und REGEDIT.EXE nur eine eingeschränkte Sicht auf die Registrierdatenbankeinträge. Den Umgang mit der MMC haben wir Ihnen bereits in einem der vorangegangenen Kapitel gezeigt, und an dieser Stelle möchten wir Ihnen nun den Umgang mit dem Editor der Registrierdatenbank, dem Tool REGEDT32.EXE, vorstellen. Viele von Ihnen werden die Tools REGEDIT und REGEDT32 kennen. Trotzdem möchten wir an dieser Stelle noch zwei Zeilen dem Unterschied zwischen REGEDIT und REGEDT32 widmen. Wenn Sie die Registrierdatenbank von Windows NT Windows 2000 oder Windows XP bearbeiten wollen, sollten Sie diese Arbeiten ausschließlich mit REGEDT32 durchführen. REGEDIT ist der entsprechende Editor für Windows 95, Windows 98 oder Windows Me. Die Suchfunktion von REGEDIT mag verlockend sein, aber REGEDIT kennt leider nicht alle Datentypen von Windows NT, Windows 2000 oder Windows XP. REGEDIT beschränkt sich nur auf die beiden Datentypen Zeichenfolge und Binär. Außerdem gibt es unter REGEDIT keine Möglichkeit, entsprechende Berechtigungen für die unterschiedlichen Registrierdatenbankeinträge vorzunehmen. So bequem also das Heraussuchen bestimmter Einträge in der Registrierdatenbank mit REGEDIT ist, für die Veränderung dieser Einträge sollten Sie unter Windows NT, Windows 2000 oder Windows XP immer REGEDT32 nehmen. Abbildung 6.38: REGEDIT unter Windows 2000
159
6 Administrative Tools für das Sicherheits-Management
Für alle Administratoren, die jetzt ein wenig gequält auf diese Zeilen schauen, gibt es Hoffnung: Unter Windows XP sieht REGEDT32 genauso aus wie REGEDIT, bietet aber den vollen Funktionsumfang der Vorgängerversionen von REGEDT32. Um es also auf den Punkt zu bringen: Unter Windows XP gibt es nur noch REGEDT32, und zwar mit allen Funktionen, die in den Vorgängerversionen auf REGEDIT und REGEDT32 verteilt waren. Schöne neue Welt! Abbildung 6.39: REGEDT32 unter Windows 2000
Abbildung 6.40: REGEDT32 und REGEDIT unter Windows XP
160
Die Registrierdatenbank und ihre Bearbeitung
6.3.3
Logische Struktur der Registrierdatenbank
Was die angezeigten Einträge in REGEDT32 und REGEDIT angeht, gibt es zwischen den beiden Versionen keinerlei Unterschiede, d.h., alle Einträge aus der Registrierdatenbank werden in beiden Editoren angezeigt. Nachdem Sie die Dateistruktur der Registrierdatenbank kennen gelernt haben, möchten wir Ihnen nun die logische Darstellung der Registrierdatenbank näher bringen. Die logische Aufteilung der Registrierdatenbank erfolgt in so genannte HiveKeys (Haupt- bzw. gemeinsamer -Schlüssel) Die HiveKeys verfügen wiederum über Unterschlüssel usw. Die Schlüssel werden im RegistrierungsEditor mit einem Ordnersymbol auf der linken Seite des Fensters der Editoren dargestellt. Die Schlüssel dienen nur zur Ordnung und Widerauffindung der Werte. Die entsprechenden zu den Schlüsseln gehörenden Werteinträge sind auf der rechten Seite des Editorenfensters dargestellt. Ein Wert der Registrierdatenbank besteht immer aus den Einträgen: 왘 Wertname 왘 Wertdatentyp 왘 Wert
Zur besseren Orientierung werden wir Ihnen in den nachfolgenden Abschnitten die einzelnen, logischen Elemente der Registrierdatenbank ein wenig genauer vorstellen. Die verschiedenen HiveKeys der Registrierdatenbank Insgesamt werden in der Registrierdatenbank sechs HiveKeys unterschieden, wobei drei der HiveKeys streng genommen nur Subsets (Untermengen) der beiden HiveKeys HKEY_LOCAL_MACHINE und HKEY_USERS sind. Die nachstehende Grafik verdeutlicht die Abhängigkeiten der HiveKeys und zeigt auch bei welchen HiveKeys es sich um Untermengen des übergeordneten HiveKeys handelt. Abbildung 6.41: Die HiveKeys der Registry und ihre Abhängigkeiten
Inhalte der untergeordneten HiveKeys stellen also einen Bestandteil der übergeordneten HiveKeys dar. Diese Struktur wurde vor allem zur Vereinfachung des Zugriffs auf diese Teilschlüssel gewählt. Die HiveKeys im Einzelnen lauten:
161
6 Administrative Tools für das Sicherheits-Management 왘 HKEY_LOCAL_MACHINE: Dieser Schlüssel enthält Informationen
über den jeweiligen, lokalen Computer inklusive der verwendeten Hardware sowie der Konfiguration des Betriebssystems. Dort finden Sie Informationen zu Bustypen, Hauptspeicher, Gerätetreiber, Daten zum Systemstart etc. 왘 HKEY_CLASSES_ROOT: Dieser Schlüssel verfügt über Verknüpfungen
zwischen den Dateinamenserweiterungen und den dazugehörigen Anwendungen sowie Konfigurationsdaten für die verschiedenen COMObjekte. Dieser Teilbaum entspricht funktional der Registrierung von Windows 3.x. 왘 HKEY_CURRENT_USER: Dieser Teilbaum enthält Informationen zum
Profil des momentan angemeldeten Benutzers inklusive dessen Umgebungsvariablen, persönlicher Programmgruppen, Desktop-Einstellungen, Netzwerk-Verbindungen, Drucker-Einstellungen und dessen Standardvorgaben für bestimmte Anwendungen. Die Informationen von HKEY_CURRENT_USER setzen sich aus einem Teilschlüssel des folgenden HKEY_USERS-Teilbaums und dem Windows-Standardprofil, der NTUSER.DAT, zusammen. 왘 HKEY_USERS: Dieser Schlüssel stellt die Informationen der Profile
sämtlicher Benutzer, die lokal für das System definiert wurden, bereit. Benutzer, die sich an einem entfernten Server anmelden, haben normalerweise kein Profil auf dem Server (die Ausnahme bildet hier die Verwendung des »Roaming-Profiles«), sondern verwenden das Profil, das lokal auf dem Computer, von dem aus die Anmeldung stattfindet, gespeichert ist. 왘 HKEY_CURRENT_CONFIG: Dieser Teilbaum stellt einen so genannten
»Alias« für das aktuelle Hardware-Profil des Computers dar, der auf HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current verweist. Änderungen, die Sie über HKEY_CURRENT_ CONFIG vornehmen, erscheinen automatisch auch in HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Hardware Profiles\Current und umgekehrt. 왘 HKEY_DYN_DATA: Unter diesem Schlüssel finden Sie Daten, die Win-
dows NT beim Systemstart eines Computers jedes Mal neu ermittelt. Gleichzeitig stellt der Schlüssel einen Platzhalter für zukünftige Erweiterungen dar. Dieser Teilbaum wird von den Registrierungseditoren als Artefakt generiert und damit nicht im Editor angezeigt. Veränderungen eventueller anderer Schlüssel und Werte bleiben in der aktuellen Version von Windows wirkungslos. Datentypen Nachfolgend möchten wir Ihnen die verschiedenen Datentypen vorstellen, die Sie zur Wahl haben, wenn Sie eigene Werteinträge der Registrierdatenbank hinzufügen. Während REGEDIT nur die Datentypen REG_BINARY,
162
Die Registrierdatenbank und ihre Bearbeitung
REG_WORD und Zeichenfolge kennt, unterstützt REGEDT32 alle der hier aufgeführten Datentypen, weswegen Sie zum Einfügen und Verändern von Einträgen der Registrierdatenbank immer mit REGEDT32 arbeiten sollten. 왘 REG_BINARY: Hierüber wird die Eingabe binärer Daten ermöglicht. Die
meisten Informationen zu Hardwarekomponenten werden als Binärdaten gespeichert und können im Registrierungseditor im Hexadezimalformat oder in der Windows-Systeminformationen (Aufruf über WINSMD) in einem lesbaren Format angezeigt werden. Ein Beispiel: Komponentendaten : REG_BINARY : 00 00 00... 왘 REG_DWORD: Hierbei handelt es sich um Daten, die durch eine 4 Byte
große Zahl repräsentiert werden. Viele Parameter für Gerätetreiber und Dienste verwenden diesen Datentyp und können im Registrierungseditor als binäre, hexadezimale oder Dezimalzahl angezeigt werden. Einträge, die das Verhalten von Diensten im Fehlerfall steuern, haben zum Beispiel den folgenden Typ: ErrorControl : REG_DWORD : 0x1 왘 REG_EXPAND_SZ: Bei diesem Datentyp handelt es sich um eine erwei-
terbare Folge von Daten in Textform. Der Text enthält eine Variable, die beim Aufruf durch eine Anwendung ersetzt wird. Im folgenden Wert wird zum Beispiel die Zeichenfolge %SystemRoot% durch den Pfad des Verzeichnisses ersetzt, das die Windows NT-Systemdateien enthält: File : REG_EXPAND_SZ : %Systemroot%\file.exe 왘 REG_MULTI_SZ: Dieser Datentyp ist in der Lage, mehrere Zeichenfol-
gen aufzunehmen. Werte mit Listen oder Abfolgen von Werten in normal lesbarem Text verwenden normalerweise diesen Datentyp. Die Einträge werden durch NULL-Zeichen (ASCII 0) voneinander getrennt. Der folgende Werteintrag gibt zum Beispiel die Bindungsregeln für einen Netzwerktransport an: bindable : REG_MULTI_SZ : dlcDriver dlcDriver non non 50 왘 REG_SZ: Bei diesem Datentyp handelt es sich um eine Folge von Zei-
chen mit normal lesbarem Text. Die Beschreibung einer Komponente nutzt in der Regel diesen Datentyp: DisplayName : REG_SZ : Messenger 왘 REG_FULL_RESOURCE_DESCRIPTOR: Bei diesem Datentyp handelt
es sich um eine Folge ineinander verschachtelter Arrays zur Speicherung einer Ressourcenliste für eine Hardwarekomponente oder einen Treiber. Ein Doppelklick auf den Werteintrag ConfigurationData (HKEY_LOCAL_ MACHINE\Hardware\Description\System\MultifunctionAdapter\0\ControllerName\0 bringt in Regedt32 eine solche Eingabemaske hervor.
163
6 Administrative Tools für das Sicherheits-Management
6.3.4
Bearbeitungsmöglichkeiten der Registrierdatenbank
Nachdem Sie nun die Dateien, aus denen die Registrierdatenbank besteht, sowie die logische Struktur und die Datentypen kennen gelernt haben, möchten wir Ihnen an dieser Stelle die verschiedenen Bearbeitungsmöglichkeiten vorstellen. Grundsätzlich können Sie in der Registrierdatenbank folgende Aufgaben durchführen: 왘 Registrierdatenbank auswählen 왘 Einen vorhandenen Werteintrag ändern 왘 Einen neuen Schlüssel hinzufügen 왘 Einen neuen Wert hinzufügen 왘 Einen vorhandenen Wert löschen 왘 Einen vorhandenen Schlüssel löschen 왘 Die Sicherheit der Registrierdatenbank konfigurieren 왘 Daten aus der Registrierdatenbank exportieren oder Daten in die Regist-
rierdatenbank importieren (mehr zu diesem Punkt erfahren Sie im Kapitel »Ressourcenbezogene Sicherheit – Sicherheit der Konfigurationseinstellungen«). Bevor wir Ihnen die hier aufgeführten Aufgaben ein wenig genauer vorstellen, möchten wir Ihnen noch drei ganz wichtige Punkte nennen, die Sie bei der Bearbeitung der Registrierdatenbank immer berücksichtigen müssen. 1. Jede Veränderung, die Sie an der Registrierdatenbank vornehmen, gilt sofort und direkt. 2. Bei der Eingabe, der Veränderung oder dem Hinzufügen von Schlüsseln und Werten findet vom Editor keine Überprüfung auf den Sinn oder Unsinn der eingegebenen Informationen statt. 3. Der Registrierungseditor bietet Ihnen keine Rückgängig-Funktion an. Wenn Sie sich diese drei Punkte ansehen, dann sollte Ihnen klar werden, dass das Editieren der Registrierdatenbank vergleichbar mit einer Operation am offenen Herzen ist. Seien Sie sich also der Gefahren und Risiken einer solchen Bearbeitung bewusst und führen Sie sie nur dann durch, wenn ein Verändern oder Setzen von solchen Einstellungen nicht auch über ein entsprechendes Snap-In der MMC durchgeführt werden kann. Registrierdatenbank auswählen Wenn Sie REGEDT32 beispielsweise über Start/Ausführen/REGEDT32 starten, wird automatisch die lokale Registrierdatenbank, also die Datenbank des Computers, an dem Sie sitzen, geöffnet. In vielen Fällen mag das ja durchaus auch sinnvoll sein, aber REGEDT32 kann auch die Datenbanken
164
Die Registrierdatenbank und ihre Bearbeitung
anderer Computer, also entfernte (Remote) Registrierdatenbanken öffnen. Unter REGEDT32 mit Windows 2000 befindet sich im Menü Registrierung der Menüeintrag Computer auswählen, mit dessen Hilfe Sie eine Verbindung zu einem anderen Netzwerkcomputer herstellen können. Mit REGEDT32 unter Windows XP lautet dieser Befehl dann Datei/Mit Netzwerkregistrierung verbinden. Ansonsten verhalten sich die beiden Versionen aber gleich. Abbildung 6.42: Sie können in REGEDT32 sowohl die Einstellungen eines lokalen als auch eines RemoteComputers bearbeiten
Im vorhergehenden Abschnitt haben Sie erfahren, dass der HKEY_USERS die Konfigurationsinformationen von allen Benutzern bereithält. Wenn Sie REGEDT32 starten, werden automatisch sowohl die NTUSER.DAT-Datei des Standardanwenders (\DOKUMENTE UND EINSTELLUNGEN\DEFAULT USER\) als auch die NTUSER.DAT des aktuell angemeldeten Anwenders (also Ihre eigene NTUSER.DAT) geladen. Wenn Sie nun aber die Einstellungen eines anderen Anwenders bearbeiten möchten, müssen Sie diese vorher noch laden. Dazu steht Ihnen in dem Menü Datei bzw. Registrierung der Befehlseintrag Struktur laden… bzw. Teilstruktur laden… zur Verfügung. Wichtig! Sie können diese Einträge in den Menüs nur dann sehen, wenn Sie zuvor das Fenster des HKEY_USERS im Registrierungseditor durch einen Klick der linken Maustaste selektiert haben. Anschließend können Sie eine beliebige NTUSER.DAT-Datei auswählen und einen Darstellungsnamen, am besten den Namen des dazugehörigen Benutzerkontos, vergeben. Nach diesem Vorgang steht Ihnen die Möglichkeit offen, auch für diesen Anwender die Einträge entsprechend zu bearbeiten. Eines sollten Sie dabei aber auf keinen Fall vergessen: Sie müssen nach der Bearbeitung die hinzugefügte Struktur auch wieder entfernen.
165
6 Administrative Tools für das Sicherheits-Management
Wenn Sie nämlich die Struktur nicht entfernen, kann sich der Benutzer, dessen NTUSER.DAT Sie in Bearbeitung haben, nur mit der NTUSER.DAT des Standardanwenders und nicht mit seiner eigenen am Computer anmelden. Abbildung 6.43: Durch das Laden einer zusätzlichen Struktur können Sie auch direkt die NTUSER.DAT eines beliebigen Anwenders bearbeiten
Einen vorhandenen Wert der Registrierdatenbank verändern Das Verändern eines vorhandenen Wertes der Registrierdatenbank ist denkbar einfach. Das Schwierigste daran dürfte die Suche des Wertes selbst sein, aber wenn Sie erst einmal wissen, an welcher Stelle der Wert innerhalb der Registrierdatenbank steht, dann müssen Sie nur noch auf der rechten Seite des Dialogfensters des Registrierungs-Editors einen Doppelklick auf diesen Wert ausführen. Im Anschluss daran öffnet REGEDT32 Ihnen direkt das passende Editorenfeld (in der Regel ein kleines Dialogfenster) für den entsprechenden Wertdatentyp. In diesem Dialogfenster können Sie den Wert dann einfach durch eine Tastatureingabe editieren. Abbildung 6.44: Das Dialogfenster des ZeichenfolgenEditors in REGEDT32
166
Die Registrierdatenbank und ihre Bearbeitung Abbildung 6.45: Das Dialogfenster zum Bearbeiten von Binärwerten
Abbildung 6.46: Das Dialogfenster des Full-ResourceLocator-Editors
Einen Schlüssel hinzufügen Sie können bei Bedarf eigene bzw. neue, von Ihnen benötigte Schlüssel in die Registrierdatenbank einfügen. Zu diesem Zweck aktivieren Sie zunächst das Fenster des HKEYs, dem Sie einen neuen Schlüssel hinzufügen möchten. Gegebenenfalls müssen Sie innerhalb der Struktur auch noch einen gewünschten Teilschlüssel auswählen. Sobald Sie an der Stelle der Baumstruktur sind, an
167
6 Administrative Tools für das Sicherheits-Management Abbildung 6.47: Das Dialogfenster des Multi-SZEditors
der Sie den Schlüssel einfügen möchten, wählen Sie in dem Menü Bearbeiten den Befehl Schlüssel hinzufügen… aus und vergeben in dem daraufhin erscheinenden Dialogfenster einen entsprechenden Schlüsselnamen. Jeder Schlüssel muss innerhalb der eigenen Struktur einen eindeutigen Namen haben. Schlüsselnamen lassen sich nachträglich nicht umbenennen, wenn Sie sich verschrieben haben, müssen Sie den Schlüssel löschen und neu anlegen. Einen Wert hinzufügen Leider sind viele Standardwerte in der Registrierdatenbank nicht eingetragen, so dass es sehr häufig notwendig ist, entsprechende Werteinträge hinzuzufügen. Spätestens, wenn Sie bestimmte Probleme haben und in der Microsoft Knowledge-Base nachsehen, stoßen Sie auf Artikel, die Sie darauf hinweisen, dass Sie einen neuen Wert in die Registrierdatenbank eintragen müssen. Einen neuen Werteintrag erstellen Sie im Prinzip genauso, wie Sie neue Schlüssel erstellen. Allerdings müssen Sie zuvor in der Registrierdatenbank zunächst das Fenster des betreffenden HKEYs öffnen und in dessen Baumstruktur zum dem Schlüssel wechseln, zum dem Sie den Wert hinzufügen möchten. Ist der entsprechende Schlüssel markiert, wählen Sie im Bearbeiten-Menü den Eintrag Wert hinzufügen aus. Daraufhin erscheint ein kleines Dialogfenster, in das Sie den Namen des Werteintrags einfügen und den Wertdatentyp aus dem vorhandenen Listenfeld auswählen müssen. Bei den Wertnamen wird im Übrigen zwischen Groß- und Kleinschreibung nicht unterschieden. Im Gegensatz zu Schlüsselnamen können Sie Wertnamen auch nachträglich ändern, aber die Wertdatentypangabe lässt sich nachträglich nicht mehr verändern. Mit einem Mausklick auf OK verlassen Sie das Dialogfenster, und es erscheint direkt das Fenster des dazugehörigen Wert-Editors, wie Sie es im Abschnitt »Einen vorhandenen Wert verändern« kennen gelernt haben. Einen Wert oder einen Schlüssel löschen Das Löschen von vorhandenen Schlüsseln oder Werten ist wirklich die einfachste Übung. Das Löschen geht nämlich so vonstatten, wie Sie es aus anderen Anwendungen gewöhnt sind, mit einer kleinen Einschränkung: Es gibt kein Zurück! Wenn Sie einen Schlüssel löschen, werden automatisch auch
168
Die Registrierdatenbank und ihre Bearbeitung
alle Unterschlüssel und alle Werteinträge darunter gelöscht. Um einen Schlüssel oder einen Wert zu löschen, müssen Sie diesen also nur markieren und dann die (Entf)-Taste drücken. Daten exportieren und importieren Mit REGEDT32 haben Sie zudem die Möglichkeit, vorhandene Registrierdatenbank-Schlüssel zu exportieren bzw. bereits exportierte Datenbankschlüssel zu einem späteren Zeitpunkt auch wieder zu importieren. Das Exportieren sollten Sie dann nutzen, wenn Sie größere Veränderungen an der Registrierbank oder einzelnen Schlüsseln der Datenbank vorhaben, weil Sie auf diese Art und Weise eine Art »Sicherheitskopie« des Urzustandes erzeugen, die Sie im Rahmen einer Desaster-/Recovery-Strategie im Notfall wieder einspielen könnten. Beim Exportieren stehen Ihnen im Übrigen zwei verschiedenen Arten zur Verfügung. 1. Über den Befehl Registrierung/Schlüssel speichern erzeugen Sie eine Binärdatei, die mit REGEDT32 »wiederhergestellt« werden kann. Bedenken Sie aber, dass es sich bei dieser Form der Wiederherstellung um ein komplettes Wiederherstellen des gesamten Schlüssels (HKEY) handelt, d.h. unter Umständen werden Einträge gelöscht und/oder überschrieben. Mit Schlüssel speichern haben Sie aber somit ein gutes Werkzeug, um schief gegangene Veränderungen wieder rückgängig zu machen, vorausgesetzt, Sie haben vor dem Verändern die entsprechenden Schlüssel gespeichert. 2. Über Registrierung/Teilstruktur speichern unter.. erzeugen Sie eine ASCIDatei, die auch mit einem einfachen Texteditor, wie z.B. Notepad, gelesen und bearbeitet werden kann. Ein direktes Wiedereinlesen dieser Datei in REGEDT32 kann nicht erfolgen. Diese Variante ist also nicht geeignet, wenn Sie mehrere Veränderungen vornehmen wollen, sondern nur für Dokumentationszwecke und bei kleinen Veränderungen sinnvoll. Wenn Sie einen einzelnen Wert verändern, können Sie damit vorher die Originaleinstellung festhalten. Ein einzelner Wert ist auch schnell wieder von Hand zurückgesetzt, wenn man nur noch weiß, wie eigentlich der richtige Wert war. Wenn Sie einen kompletten Schlüssel über den Befehl Registrierung/Schlüssel speichern erzeugt haben, können Sie diese Daten zu einem späteren Zeitpunkt auch wieder in die Registrierdatenbank importieren und auf diese Weise entsprechende Veränderungen, die nicht den erwünschten Effekt hatten, rückgängig machen. Wenn Sie den als Binärdatei gespeicherten Schlüssel wieder importieren möchten, aktivieren Sie im REGEDT32 zunächst das Fenster des Schlüssels, dessen Daten Sie durch einen Import überschreiben möchten, und rufen dann im Registrierungs-Menü den Befehl Wiederherstellen auf. Anschließend wählen Sie über das danach angezeigte Dateiauswahl-
169
6 Administrative Tools für das Sicherheits-Management
fenster die entsprechende zuvor exportierte Datei aus. Alle vor dem Import vorgenommenen Veränderungen an der kompletten Struktur dieses Schlüssels werden überschrieben. Abbildung 6.48: Eine exportierte Teilstruktur lässt sich in Notepad ansehen
6.4
Sicherheitskonfiguration unter Windows 2000
Windows 2000 bietet Ihnen umfangreiche Sicherheitseinstellungen, mit denen Sie Ihre Workstations und Server in Bezug auf die Systemsicherheit konfigurieren können. Daher ist immer dann, wenn der Begriff Sicherheitseinstellungen im Raum steht, auch von der Sicherheitskonfiguration die Rede, denn diese beiden Begriffe werden häufig synonym verwendet. Für die Realisierung dieser Sicherheitskonfiguration bietet Ihnen Windows 2000 drei unterschiedliche Tools an, die im englischsprachigen Bereich unter dem Begriff des Security Configuration Manager zusammengefasst werden. Wir möchten uns an diesen Begriff anlehnen und diese Tools unter dem Begriff des Sicherheitskonfigurations-Managers zusammenfassen. Bei den drei Tools, mit deren Handhabung wir uns in diesem Kapitel eingehend befassen möchten, handelt es sich um:
170
Sicherheitskonfiguration unter Windows 2000 왘 Das Snap-In Sicherheitsvorlagen, 왘 das Snap-In Sicherheitskonfiguration und –analyse 왘 und das Befehlszeilenwerkzeug SECEDIT.EXE.
Abbildung 6.49: Die beiden Snap-Ins, die zum SicherheitskonfigurationsManager gehören
6.4.1
Einsatzgebiete und Aufgabenbereiche des Sicherheitskonfigurations-Managers
Die Idee des Sicherheitskonfigurations-Managers ist kein wirklich neues Feature von Windows 2000 oder Windows XP, sondern existiert schon seit dem Servicepack 4 unter Windows NT4. Außerdem werden Sie bei der nachfolgenden Vorstellung der Aufgaben, die der SicherheitskonfigurationsManager erledigen kann, feststellen, dass sich all die genannten administrativen Aufgaben auch über andere Werkzeuge von Windows 2000 realisieren lassen. Aus diesem Grund haben wir uns im ersten Kapitel auch noch einmal mit den verschiedenen Möglichkeiten befasst, die Sie unter Windows 2000 oder Windows XP für die Umsetzung von Sicherheitseinstellungen besitzen. Sie können die Gesamtheit des Sicherheitskonfigurations-Managers mit einer Art »Makro« vergleichen, das Ihnen sich wiederholende Aufgaben im Bereich der Sicherheitskonfiguration und Sicherheitskontrolle abnimmt. Der Sicherheitskonfigurations-Manager kann im Einzelnen die folgenden Aufgaben erfüllen: 왘 Analyse einer bestehenden Sicherheitskonfiguration. 왘 Vergleichen der aktuellen Konfiguration eines Computers mit einer Stan-
dard- oder benutzerdefinierten Sicherheitsvorlage. 왘 Berichtserstellung über die Sicherheitsaspekte. 왘 Definieren von neuen Sicherheitsvorlagen. 왘 Anwenden von Sicherheitsvorlagen auf den Computer.
Die hier genannten Einzelaufgaben lassen sich wiederum auf verschiedene Sicherheitsaspekte von Windows anwenden. Die einzelnen Konfigurationsbereiche haben wir an dieser Stelle noch einmal für Sie aufgelistet:
171
6 Administrative Tools für das Sicherheits-Management 왘 Kontorichtlinien 왘 Kenwortrichtlinien 왘 Kontosperrungsrichtlinien 왘 Kerberos-Richtlinien 왘 Lokale Richtlinien 왘 Überwachungsrichtlinien 왘 Benutzerrechte 왘 Sicherheitsoptionen 왘 Ereignisprotokoll 왘 Einstellungen für Sicherheitsprotokolle 왘 Eingeschränkte Gruppen 왘 Systemdienste 왘 Registrierungsberechtigungen 왘 Dateisystemberechtigungen
Die Kenntnis der oben genannten Tools ist für das Sicherheits-Management unter Windows 2000 unerlässlich.
6.4.2
Abgrenzung des SicherheitskonfigurationsManagers zu anderen Werkzeugen
Wenn Sie sich die Aufgaben und die Konfigurationsbereiche des Sicherheitskonfigurations-Managers näher angesehen haben, werden Sie wahrscheinlich sagen, das kann ich doch auch über die Gruppenrichtlinien oder die lokalen Sicherheitseinstellungen des Computers machen. Stimmt genau! Aus diesem Grund möchten wir an dieser Stelle auch noch ein paar Worte zu den Unterschieden zwischen Gruppenrichtlinien, lokalen Sicherheitseinstellungen und der Sicherheitskonfiguration verlieren. Gruppenrichtlinien, Sicherheitsrichtlinien und lokale Sicherheitsrichtlinie In einem der vorangegangenen Kapitel haben Sie bereits die Gruppenrichtlinien als das zentrale Tool für die Administration unter Windows 2000 kennen gelernt. Ein bestimmter Satz dieser Gruppenrichtlinien beschäftigt sich mit der Konfiguration von Sicherheitseinstellungen und wird daher auch als Sicherheitsrichtlinien bezeichnet. Zu den Sicherheitsrichtlinien zählen die Kontenrichtlinien, die lokale Computerrichtlinie, die Zugriffssteuerung für Dateien, Registrierdatenbank und Netzwerkdienste, die Einstellungen, die das Ereignisprotokoll betreffen, die IPSec-Richtlinie sowie die Richtlinien für öffentliche Schlüssel. Diese Einstellungen können Sie, sofern Sie über ein
172
Sicherheitskonfiguration unter Windows 2000
Active Directory verfügen, einerseits als Gruppenrichtlinien für alle Computer einer Domäne oder einer Organisationseinheit definieren. Andererseits werden Sie auch das Tool Lokale Sicherheitsrichtlinie im Verwaltungs-Menü kennen, über das die meisten der genannten Sicherheitsrichtlinien ebenfalls festgelegt werden können. Der große Unterschied zwischen den Gruppen- und Sicherheitsrichtlinien und dieser lokalen Sicherheitsrichtlinie besteht darin, dass die lokale Sicherheitsrichtlinie nur für den lokalen Rechner, die Kontenrichtlinien, also beispielsweise nur für die lokale Anmeldung, gelten, während die Gruppenrichtlinien innerhalb der Domäne oder der OU, der der Rechner angehört, die Konfiguration bestimmen. Zudem verändern die Einstellungen der lokalen Sicherheitsrichtlinie direkt die Einträge in der Registrierdatenbank, während die Gruppenrichtlinie die Einträge in der Registrierdatenbank nur »maskiert« und damit für die aktuelle Anwendersitzung, bei der eine Anmeldung an der Domäne erfolgt, eventuell ersetzt. Die Gruppenrichtlinie selbst überschreibt aber keinesfalls die vorhandenen Einträge der lokalen Registrierdatenbank. Unterschiede zwischen Sicherheitskonfiguration und Sicherheitsrichtlinien Die Sicherheitsrichtlinien lassen sich also einerseits über die Gruppenrichtlinien oder die lokale Sicherheitsrichtlinie bestimmen. Während die Gruppenrichtlinien nur in einer Active Directory-Struktur eingesetzt werden können, lassen sich die lokalen Sicherheitsrichtlinien an jedem einzelnen Computer bestimmen. Allerdings hieße das für Sie, dass Sie jeden Computer einzeln konfigurieren müssten. Nun ist aber gerade die Aufgabe eines Sicherheits-Administrators nicht als »Einmalaufgabe« zu betrachten, sondern eine so genannte »Daueraufgabe«, die fortwährend durchgeführt werden muss. Da sich wiederholende Daueraufgaben durch das Gefühl der Routine aber häufig zu Unachtsamkeiten und damit zu Inkonsistenzen in den Konfigurationseinstellungen führen, stellt der Sicherheitskonfigurations-Manager einen großen Vorteil gegenüber den lokalen Sicherheitsrichtlinien dar. Denn durch das Snap-In Sicherheitsvorlagen bietet Windows 2000 und Windows XP eine benutzerfreundliche Möglichkeit, vorhandene Standardvorlage-Dateien zu nutzen und an eigene Sicherheitsansprüche anzupassen. Bei den Sicherheitsvorlagen handelt es sich nämlich um physische Dateien, die einen bestimmten Satz an Sicherheitseinstellungen inklusive entsprechender Konfigurationseinstellungen für diese Optionen beinhalten und somit eine bestimmte Standard-Sicherheitskonfiguration bieten. Der Satz an Sicherheitseinstellungen entspricht im Prinzip den Einträgen der Gruppenrichtlinien und lokalen Sicherheitseinstellungen. Der Vorteil liegt lediglich darin, dass die Einstellungen in einer Datei gespeichert sind, die Sie an die Computer Ihrer Domäne verteilen können. Statt jeden Computer einzeln zu bearbeiten, müssen Sie also nur noch eine Vorlagendatei modifizieren und diese verteilen, um einen einheitlichen Sicherheitsstandard in Ihrer Domäne zu gewährleisten.
173
6 Administrative Tools für das Sicherheits-Management
Mit dem Snap-In Sicherheitskonfiguration und –analyse können Sie darüber hinaus die aktuellen Computereinstellungen mit selbst erstellten oder den mitgelieferten Sicherheitsvorlagen abgleichen und so auf schnelle Art und Weise kontrollieren, ob alle Computer dem gewünschten Sicherheitsstandard entsprechen. Interne oder externe Prüfungen bezüglich der Einhaltung von Sicherheitsstandards können Sie auf diese Weise leicht vorweg nehmen.
6.4.3
Das Snap-In »Sicherheitsvorlagen«
Wie bereits in den vorangegangenen Abschnitten erwähnt, können Sie mit dem Snap-In »Sicherheitsvorlagen« entweder komplett neue, eigene Vorlagen erstellen oder aber auch auf bestehende Vorlagen zurückgreifen, diese einsehen und/oder an Ihre Sicherheitsbedürfnisse anpassen. Die mitgelieferten Sicherheitsvorlagen von Windows Windows bietet so genannte Sicherheitsvorlagen, die einen bestimmten Satz von Sicherheitseinstellungen in einer INF-Datei zusammenfassen. Eine solche Sicherheitsvorlage kann einem lokalen Computer entweder zugewiesen werden oder Sie können die INF-Datei als Gruppenrichtlinie in das Active Directory importieren. Standard-Sicherheitsvorlagen
Wenn Sie auf einem neuen Computer auf einer NTFS-Partition eine saubere Windows 2000-Installation durchführen, wird in Abhängigkeit von der Rolle des Computers automatisch eine der drei vorhandenen Standard-Sicherheitsvorlagen 왘 DEFLTWK.INF für Workstations 왘 DEFLTSV.INF für Server 왘 DEFLTDC.INF für Domänencontroller
angewendet. Sie finden eine Kopie dieser Dateien im Verzeichnis %SYSTEMROOT%\INF, während die aktuell verwendete Vorlage unter %SYSTEMROOT%\SECURITY\TEMPLATES unter dem Namen SETUPSECURITY.INF abgelegt ist. Basis-Sicherheitsvorlagen
Wenn Sie einen Computer von Windows NT auf Windows 2000 oder Windows XP aktualisieren, werden die oben genannten Standard-Sicherheitsvorlagen nicht angewendet. Aber auch bei dieser Aktualisierung werden im Verzeichnis %SYSTEMROOT%\SECURITY\TEMPLATES Dateien mit der Endung .INF installiert. Diese Dateien sind wie die Standard-Sicherheitsvorlagen ASCII-Dateien, die Sie auch mit einem einfachen Texteditor bearbeiten könnten. Es handelt sich um die so genannten Basis-Sicherheitsvorlagen mit den folgenden Dateinamen:
174
Sicherheitskonfiguration unter Windows 2000 왘 Basicwk.inf bildet die Grundlage für Windows 2000 Professional 왘 Basicsv.inf bildet die Grundlage für Windows 2000 Server 왘 Basicdc.inf bildet die Grundlage für Domänencontroller unter Windows
2000 Server Die Vorlagen enthalten mit Ausnahme der Anwenderberechtigungen und -gruppen dieselben Einstellungen wie die Windows 2000 Standard-Sicherheitsvorlagen. Zusätzliche Sicherheitsvorlagen
Windows 2000 verfügt im Verzeichnis %SYSTEMROOT%\SECURITY\ TEMPLATES neben den bereits erwähnten Standard- und Basis-Sicherheitsvorlagen aber noch über zusätzliche Sicherheitsvorlagen, mit deren Hilfe Sie für ganz bestimmte Zwecke noch spezielle Sicherheitseinstellungen für Dateien, Dienste oder Registrierungsschlüssel vornehmen können. Sie können wählen zwischen: 왘 COMPATWS.INF: Um Anwendern die Nutzung alter, nicht für Win-
dows 2000 zertifizierter Anwendungen zu erlauben, ohne den Anwender in die Hauptbenutzer-Gruppe aufnehmen zu müssen, können Sie die Datei COMPATWS.INF verwenden. Dadurch werden die Sicherheitseinstellungen für die von den Programmen genutzten Verzeichnisse und Registrierungsschlüssel herabgesetzt. Diese Vorlage ist einsetzbar für Windows Professional oder Windows 2000-Server. Bei dieser Vorlage steht die Kompatibilität zu älteren Applikationen in gemischten Umgebungen und nicht die Sicherheit im Mittelpunkt der Betrachtung. 왘 NOTSSID.INF: Diese Vorlage entfernt die Terminalserver-SID von allen
Dateiobjekten und Registrierungsschlüssel, was zur Folge hat, dass die Rechte der Terminalserver-Anwender in Zukunft nur über die Mitgliedschaft in der Benutzer- oder Hauptbenutzer-Gruppe zugewiesen werden. 왘 DCSECURITY.INF: Sorgt auf dem DC für die Erhaltung aller ursprüng-
lich zugewiesenen Datei- und Registrierbankeinstellungen. 왘 SECUREWS.INF und SECUREDC.INF: Erhöht auf Workstations und
Domänencontrollern die Sicherheitseinstellungen durch Anpassungen der Kennwort- und Überwachungsrichtlinien und Regstrierbankeinträge. Zudem entfernt sie alle Mitglieder der Hauptbenutzer-Gruppe, berücksichtigt allerdings nicht die Frage der Dateisicherheit. Diese Vorlage ist einsetzbar für Windows Professional oder Windows 2000-Server. 왘 HISECWS.INF und HISECDC.INF: Diese Sicherheitsvorlage konfigu-
riert die Kontensicherheit und Überwachungseinstellungen sowie die Registrierdatenbank und die Dateisicherheit. Diese Sicherheitsvorlage ist für eine Hochsicherheits-Konfiguration für Computer, die ausschließlich im nativen Modus von Windows 2000 operieren. In dieser Konfiguration müssen alle Netzwerkverbindungen digital signiert und verschlüsselt sein. Wenn die Verbindungspartner (andere Computer) im Netzwerk
175
6 Administrative Tools für das Sicherheits-Management
dieses nicht leisten können, ist ein Verbindungsaufbau und eine Kommunikation untereinander nicht möglich. Die Vorlage setzt also viele Betriebssystemeinstellungen auf maximale Sicherheit, ohne dabei jedoch auf Performance Rücksicht zu nehmen. 왘 OCFILESW.INF und OCFILES.INF: Erhöht die Sicherheit für eventuell
auf Servern oder Workstation zusätzlich installierte Komponenten durch Konfiguration der Dateisystemsicherheitseinstellungen der Dateien optionaler Komponenten. Selbst definierte, eigene Sicherheitsvorlagen
Sicherheitsvorlagen können sowohl von Ihnen, wie auch von anderen Herstellern erstellt und verteilt werden, so dass die Anzahl und der Umfang der Sicherheitsvorlagen, die sich im Verzeichnis %SYSTEMROOT%\SECURITY\TEMPLATES befinden, durchaus variieren kann. Bevor wir uns nun näher mit dem Snap-In Sicherheitsvorlagen beschäftigen, sollten Sie noch mal einen Blick in eine solche INF-Datei werfen. In der Datei finden Sie Informationen über Herkunft, Version und Datum, die Sie sich ansehen sollten, bevor Sie sich an die Arbeit mit den vordefinierten Vorlagendateien machen. Abbildung 6.50: Informationen aus der HISECWS.INFDatei
In der letzten Zeile der INF-Datei sehen Sie auch eine kurze Textbeschreibung. Diese Informationen können Sie jedoch auch in der MMC ansehen, wenn Sie das Kontextmenü der entsprechenden Sicherheitsvorlage aktivieren und dort Beschreibung festlegen… aufrufen, erscheint folgendes Dialogfenster, das Ihnen den Inhalt der letzten Zeile der INF-Datei anzeigt.
176
Sicherheitskonfiguration unter Windows 2000 Abbildung 6.51: Gibt die Beschreibung, die Sie am Ende einer INF-Datei finden, wieder
Anzeigen und Anpassen von vorhandenen Sicherheitsvorlagen Über das Snap-In Sicherheitsvorlagen der MMC können Sie sich die einzelnen Sicherheitsvorlagen von Windows 2000 anzeigen lassen und natürlich die vorhandenen Einstellungen auch entsprechend modifizieren. Wenn Sie in der MMC das Snap-In Sicherheitsvorlagen öffnen, werden zunächst alle Vorlagendateien aus dem lokalen Verzeichnis %SYSTEMROOT%\SECURITY\ TEMPLATES des Computers, an dem Sie angemeldet sind, angezeigt. Wenn Sie Ihre selbst definierten Sicherheitsvorlagen an einem anderen Ort abgelegt haben (z.B. auf einen gemeinsamen Netzwerk-Server), müssen Sie im Kontextmenü des Sicherheitsvorlagen-Snap-Ins über Neuer Vorlagensuchpfad das Verzeichnis angeben, in dem die gewünschten Sicherheitsvorlagen abgelegt wurden. Abbildung 6.52: Die Oberfläche des Snap-Ins »Sicherheitsvorlagen«
177
6 Administrative Tools für das Sicherheits-Management
Aufgaben, die sich mit dem Snap-In durchführen lassen
Nachdem die Sicherheitsvorlagen geladen wurden, lassen sich mit dem Snap-In folgende Aufgaben ausführen: 왘 Anzeige der Sicherheitsvorlagen-Einträge in einer grafischen Oberfläche. 왘 Bearbeiten der vorhandenen Standardvorlagen. 왘 Erstellen und Sichern eigener, neuer Sicherheitsvorlagen.
Möchten Sie für Ihr Unternehmen eine eigene Standard-Sicherheitsvorlage definieren, ist es sinnvoll, sich die vorhandenen Sicherheitsvorlagen einmal genauer anzusehen und dann die Vorlage auszuwählen, die an die eigenen Vorstellungen am nächsten herankommt. Sie sparen sich dadurch in der Regel nämlich viel Konfigurationsaufwand. Anpassen von Einträgen
Jede Richtlinieneinstellung der Sicherheitsvorlage kann zwei Zustände annehmen. Der eine Zustand wird als »definiert« bezeichnet, was bedeutet, dass diese Einstellung aktiviert wurde und beim Speichern der Vorlagendatei in die INF-Datei übertragen wird. Der andere Zustand wird als »nichtdefiniert« bezeichnet, was bedeutet, dass dieser Eintrag, völlig unabhängig davon, welche Einstellungen er beschreibt, beim Sichern der Vorlagendatei nicht in die INF-Datei übernommen wird. Abbildung 6.53: Wenn sich eine Einstellung im »definierten« Zustand befindet, ist sie aktiviert
Abbildung 6.54: Befindet sich eine Einstellung im »nicht-definierten« Zustand, ist sie nicht aktiviert und wird nicht in der Vorlagendatei gesichert
178
Sicherheitskonfiguration unter Windows 2000
WICHTIG: Für Sie bedeutet dies, dass alle Einstellungen, die Sie in der Vorlagendatei sichern wollen, um Sie auf die Sicherheitskonfiguration anwenden zu können, in einem »definierten« Zustand sein müssen!!! Die Kategorien von Sicherheitseinstellungen Dabei lassen sich die verschiedenen Einstellungen, die Sie in den Sicherheitsvorlagen vornehmen können, in verschiedene Kategorien unterteilen, die wir Ihnen in den nachfolgenden Abschnitten näher vorstellen möchten. Allerdings werden Sie beim Betrachten der Einstellungen erkennen, dass es sich hierbei um Einstellungen handelt, die Sie auch über die Gruppenrichtlinien oder die lokale Sicherheitsrichtlinie definieren könnten. Noch einmal: der Vorteil der Vorlagendatei besteht nur darin, dass Sie die Einstellungen nur ein einziges Mal festlegen und dann als Standard im Unternehmen verteilen! Kontorichtlinien
Ermöglicht eine Anpassung der Einstellungen zum Kennwort, zur Kontensperrung und den Kerberos-Optionen. Wie Sie diese Optionen gezielt einsetzen können, erfahren Sie in dem Kapitel, das sich mit der benutzerspezifischen Sicherheit befasst. Lokale Richtlinien 왘 Ermöglicht eine Anpassung der Überwachungsrichtlinie, der Zuwei-
sung von Benutzerrechten und der Sicherheitsoptionen für den lokalen Computer. Die Einstellungen werden in der lokalen ComputerkontoDatenbank gesichert. Wie Sie diese Optionen gezielt einsetzen können, erfahren Sie zum großen Teil in dem Kapitel, das sich mit der benutzerspezifischen Sicherheit befasst, aber auch andere themenbezogene Kapitel nehmen immer wieder auf diese Einstellungen Bezug. Abbildung 6.55: Einstellungen zu den Kontorichtlinien und den lokalen Richtlinien
179
6 Administrative Tools für das Sicherheits-Management
Ereignisprotokoll
Definiert die Einstellungen wie z.B. die Aufbewahrungszeit oder die Zugriffsrechte für das System-, das Anwendungs- und das Sicherheitsprotokoll. Es handelt sich also um Einstellungen, die Sie ansonsten über die Eigenschaften des Ereignisprotokoll-Snap-Ins vornehmen können. Abbildung 6.56: Einstellungsmöglichkeiten für das Ereignisprotokoll
Bemerkenswert ist hier die Sicherheitsrichtlinie System beim Erreichen der max. Sicherheitsprotokollgröße herunterfahren. Dieser Eintrag bewirkt, dass in dem Moment, in dem keine weiteren sicherheitsrelevanten Einträge mehr protokolliert werden können, auch keine Veränderungen im System mehr angenommen werden. In diesem Fall wird nämlich der Rechner heruntergefahren. Dass ein Server wegen einer Protokolldatei heruntergefahren wird, hört sich zunächst dramatisch an. Aber wenn Sie es genau bedenken, ist es natürlich viel schlimmer, wenn Sicherheitsereignisse nicht mehr erfasst werden können, da dies für potentielle Angreifer bedeutet, dass sie nur entsprechend viel Ereignisse erzeugen müssen, um das Sicherheitsprotokoll bis zum Anschlag zu füllen. Danach könnten Sie das eigentliche Vorhaben durchführen, ohne dass es protokolliert werden kann. Aus diesem Grund ist diese Sicherheitsrichtlinie für alle Systeme, die nach C2 konfiguriert werden sollen, Pflicht! Eingeschränkte Gruppen
Eine der interessantesten Einstellungen ist die Möglichkeit, Gruppenzugehörigkeiten auf einem System durch Eingeschränkte Gruppen zu überschreiben. Unabhängig davon, wie der Computer, auf den Sie diese Vorlage anwenden, Benutzergruppenzugehörigkeiten definiert, gelten die Einstellungen, die Sie hier vornehmen. Typisches Einsatzgebiet ist die Gruppe Administratoren. Wenn Sie hier die Gruppenzugehörigkeit Domänen-Admi-
180
Sicherheitskonfiguration unter Windows 2000
nistratoren ist Mitglied von Administratoren vornehmen, dann können Sie sich auch darauf verlassen, dass keine weiteren Gruppen- oder Benutzerkonten als Mitglieder der Gruppe Administratoren auftauchen, auch wenn auf dem Computer andere Gruppen als Mitglieder eingetragen sein sollten. Wenn Sie für diesen Bereich keine Einträge vornehmen, finden Eingeschränkte Gruppen auch keine Anwendung. Wenn Sie eigene Einträge in Eingeschränkte Gruppen hinzufügen möchten, dann gehen Sie wie folgt vor: 1. Im ersten Schritt müssen Sie bestimmen, welche systeminternen Gruppen überhaupt beschränkt werden sollen. Dazu klicken Sie den Container Eingeschränkte Gruppen mit der rechten Maustaste an und rufen Gruppen hinzufügen auf. Über das nachfolgende Fenster wählen Sie eine lokale Gruppe aus und fügen diese in den Detailbereich der MMC ein. Abbildung 6.57: Sie können nur lokale Gruppen einschränken
2. Anschließend aktivieren Sie im Kontextmenü der ausgewählten Gruppe die Sicherheitseinstellungen und bestimmen über das dazugehörige Dialogfenster die Mitglieder, die die Gruppe besitzen darf. Abbildung 6.58: Wählen Sie die Mitglieder der Gruppe
181
6 Administrative Tools für das Sicherheits-Management
Bedenken Sie beim Konfigurieren der eingeschränkten Gruppen die folgende Punkte: 왘 Die Eingeschränkte Gruppe wird immer ohne Domänen- oder Computer-
zugehörigkeit angegeben. Ansonsten würde die definierte Vorlage ja nur auf dem aktuellen Computer funktionieren. 왘 Die Gruppen-Mitgliedschaft und -Zugehörigkeit wird hingegen immer
»absolut« d.h. mit Domänenname oder Computernamen, angegeben. 왘 Die Gruppe ist Mitglied von-Einträge sind natürlich nur in einer Active
Directory-Struktur möglich. Systemdienste
Definiert Startmethode, Rechte und Überwachung der Systemdienste. Mehr darüber, in welcher Form einzelne Dienste abgesichert werden, erfahren Sie im Kapitel, das sich mit der ressourcenbezogenen Sicherheit beschäftigt. Abbildung 6.59: Mit dem Kontextmenü lassen sich die Schlüssel der Registrierdatenbank auswählen oder definieren
Registrierung
Über diese Rubrik können Sie die Berechtigungen, die Überwachung und die Besitzereinstellungen für bestimmte Schlüssel der Registrierdatenbank festlegen. Bei Erstellung eigener Sicherheitsvorlagen ist der Bereich standardmäßig leer, Sie können über das Kontextmenü Schlüssel hinzufügen aber
182
Sicherheitskonfiguration unter Windows 2000
auf die einzelnen Schlüssel der lokalen Registrierdatenbank zugreifen und einen beliebigen Schlüssel auswählen oder einen eigenen beliebigen Schlüsselnamen eingeben. Für den gewählten Schlüssel lässt sich anschließend die Konfiguration angeben und die Anwendung der Konfiguration festlegen. Zusätzlich lässt sich nach dem Festlegen des Schlüssels auch noch definieren, in welcher Form die vorgegebenen Einstellungen an die dem gewählten Schlüssel untergeordneten Schlüssel vererbt werden sollen bzw., ob es ob es in Zukunft den Anwendern oder Programmen noch möglich sein soll, diesen Schlüssel der Registrierdatenbank zu verändern. Dateisystem
Der spannendste Bereich der Sicherheitsvorlagen ist diese Rubrik, da Sie Ihnen eine einheitliche Definition der Zugriffsberechtigungen für das Systemverzeichnis oder Ordner und Dateien ermöglicht, die sich auf allen Systemen Ihrer IT-Infrastruktur wiederfinden. Bei Erstellung eigener Sicherheitsvorlagen ist der Bereich standardmäßig leer, Sie können über das Kontextmenü Datei hinzufügen aber auf die einzelnen Verzeichnisse und Dateien Ihres lokalen Laufwerkes zugreifen und dort einen beliebigen Ordner auswählen oder einen eigenen beliebigen Pfad eingeben. Dabei lässt sich für die Festplatte, auf der das Betriebssystem installiert wurde, der Platzhalter %SYSTEMDRIVE%\ verwenden, während der Platzhalter für das Windows-Verzeichnis %SYSTEMROOT%\ lautet. Für den ausgewählten oder eingetragenen Pfad lassen sich anschließend die Zugriffsberechtigungen und die Anwendung der Zugriffsberechtigungen bestimmen. Zusätzlich lässt sich an dieser Stelle auch noch festlegen, in welcher Form die vorgegebenen Einstellungen an die untergeordneten Verzeichnisse bzw. Ordner und Dateien vererbt werden sollen bzw., ob es ob es in Zukunft den Anwendern oder Programmen noch möglich sein soll, diese Zugriffsberechtigungen zu verändern. Anlegen neuer Sicherheitsvorlagen oder Speichern veränderter Sicherheitsvorlagen Möchten Sie eigene neue Sicherheitsvorlagen anlegen, aktivieren Sie einfach das Kontextmenü des Containers, der den Pfad zu den Sicherheitsvorlagen wiedergibt. Dort finden Sie einen Eintrag Neue Vorlage. Anschließend brauchen Sie nur noch einen Namen und eine Beschreibung zu vergeben, schon erscheint die neue Vorlage in der Liste der Sicherheitsvorlagen und kann bearbeitet werden. Sobald Sie eine Vorlage bearbeitet haben, können Sie diese über deren Kontextmenü und den dort aktivierten Befehl Speichern unter demselben Namen sichern und damit frühere Einstellungen überschreiben. Haben Sie eine in Windows mitgelieferte Sicherheitsvorlage verändert, sollten Sie sie besser mithilfe des Befehls Speichern unter unter einem anderen Namen sichern und auf diese Weise eine neue Vorlagendatei erzeugen.
183
6 Administrative Tools für das Sicherheits-Management
6.4.4
Sicherheitskonfiguration und -analyse
Mit dem Snap_In Sicherheitskonfiguration und –analyse können Sie eine Analyse Ihrer aktuellen Computerkonfiguration mit einer der im Lieferumfang von Windows enthaltenen oder einer selbst definierten Sicherheitsvorlage vergleichen. Das Ergebnis dieses Vergleiches wird in einer Datenbankdatei abgespeichert. Diese Datenbankdatei kann auch später für weitere Kontrollzwecke oder auch Reportingfunktionen wieder aufgerufen werden. Wer in einem größeren Netzwerk schon mal eine Sicherheitsüberprüfung mitgemacht hat, wird dieses Tool lieben lernen, denn vor dem Prüfer können Sie mithilfe einer Sicherheitsvorlage, die allen Prüfungsanforderungen entspricht, bereits die aktuelle Konfiguration Ihrer Computer durchchecken, ohne mühsam selbst Einstellung für Einstellung prüfen zu müssen. Abbildung 6.60: Grafische Darstellung der Sicherheitsanalyse
Analyse vorbereiten und durchführen Bei einer solchen Analyse der Sicherheitskonfiguration werden die Einstellungen des lokalen Computers mit den Einstellungen einer gewählten Sicherheitsvorlage verglichen und das Ergebnis der Analyse wird in Form einer Datenbank präsentiert. Dabei müssen Sie für eine eigene Analyse die folgenden Schritte ausführen: 1. Nach dem Öffnen des Snap-Ins Sicherheitskonfiguration und -analyse müssen Sie als Erstes eine neue Datenbank anlegen. 2. Dazu klicken Sie mit der rechten Maustaste auf den Eintrag Sicherheitskonfiguration und -analyse und wählen den Befehl Datenbank öffnen aus.
184
Sicherheitskonfiguration unter Windows 2000
3. In dem erscheinenden Dialogfenster müssen Sie nun einen neuen Dateinamen für die Datenbank vergeben. 4. Im nächsten Schritt wählen Sie die Sicherheitsvorlage aus, mit der Sie die lokalen Einstellungen des Computers vergleichen möchten. Es kann sich dabei um eine der in Windows enthaltenen Sicherheitsvorlagen oder eine selbst definierte Sicherheitsvorlage handeln. 5. Nun aktivieren Sie erneut das Kontextmenü des Containers Sicherheitskonfiguration und -analyse und wählen diesmal den Eintrag Computer jetzt analysieren. 6. Abschließend werden Sie noch gebeten, den Standardpfad für das Fehlerprotokoll zu bestätigen. Dort werden Fehler, die während der Analyse auftreten können, nicht aber Fehler in den Sicherheitseinstellungen oder der Systemkonfiguration, des analysierten Computers festgehalten. 7. Danach startet die Analyse, an deren Ende die Inhalte der Sicherheitsvorlage (Datenbankeinstellung) den lokalen Einstellungen des Computers (Computereinstellung) optisch gegenübergestellt werden. Abbildung 6.61: Das Ergebnis der lokalen Sicherheitsanalyse
Die gespeicherte Datenbankdatei kann sowohl für Überprüfungszwecke als auch Archivierungszwecke jederzeit nachträglich eingesehen werden. Datenbankeinstellungen ansehen und verändern Über das Kontextmenü der einzelnen Sicherheitsrichtlinien gelangen Sie im Übrigen zu den Detailinformationen, in denen Sie erfahren, von wann die Computereinstellungen stammen, und zudem die Möglichkeit haben, die Datenbankeinstellungen zu verändern. Sie verändern damit noch nicht die Einstellungen des Computers, haben aber somit auch die Chance, bestimmte Vorlageneinträge noch einmal zu modifizieren.
185
6 Administrative Tools für das Sicherheits-Management Abbildung 6.62: Für jede Einstellung können Sie Detailinformationen abfragen und Datenbankwerte ändern
Anpassung der lokalen Sicherheitskonfiguration Bei der zuvor geschilderten Durchführung einer Sicherheitsanalyse kann es passieren, dass Sie Differenzen zwischen der Sicherheitsvorlage und den aktuellen Computereinstellungen feststellen. Der schnellste Weg, die lokalen Einstellungen nun an die Vorgaben der Sicherheitsvorlage anzupassen, führt über das Kontextmenü des Containers Sicherheitskonfiguration und –analyse sowie den darin enthaltenen Befehl System jetzt konfigurieren. Auch hier erscheint noch einmal die Bestätigung für den Pfad des Fehlerprotokolls, danach startet die Systemkonfiguration. Nach Abschluss der Konfiguration entsprechen die Sicherheitseinstellungen exakt den Einstellungen der anfangs gewählten oder eventuell noch modifizierten Sicherheitsvorlage (sprich den Einstellungen der Spalte Datenbankeinstellung, die Sie im Detailfenster des Snap-Ins sehen).
6.4.5
Das Befehlszeilentool SECEDIT
Bisher haben wir Ihnen vorgeführt, wie Sie lokale Computereinstellungen bezüglich der Sicherheitskonfiguration analysieren und mithilfe von Sicherheitsvorlagen an entsprechende Sicherheitsvorgaben anpassen. Bei einem Netzwerk mit hundert oder mehr Clientcomputern, wollen Sie nun aber sicherlich nicht unbedingt von Computer zu Computer wandern, um diese Arbeiten vor Ort mit dem Snap-In Sicherheitsanalyse und -konfiguration jedes Mal zu wiederholen. Für diesen Zweck steht Ihnen das Befehlszeilenprogramm SECEDIT.EXE zur Verfügung. Es handelt sich hierbei um das Pendant des Tools Sicherheitskonfiguration und -analyse. Dies bedeutet für Sie, dass Sie mit SECEDIT folgende Aufgaben lösen können:
186
Sicherheitskonfiguration unter Windows 2000
Durchführen einer Sicherheitsanalyse des Systems Möchten Sie auf Befehlszeilenebene eine Sicherheitsanalyse starten, dann wechseln Sie über Start/Ausführen zur Eingabeaufforderung und geben dort ein: Secedit /analyze
In diesem Fall stehen Ihnen die nachfolgend aufgelisteten zusätzlichen Parameter zur Verfügung: 왘 /DB für den Pfad und Namen der Datenbankdatei 왘 /CFG für den Pfad und Namen der Sicherheitsvorlage 왘 /LOG für den Pfad und Namen der Fehlerprotokolldatei
Exportieren der Sicherheitsvorlageneinstellungen aus der Datenbank Möchten Sie auf Befehlszeilenebene die Einstellungen der Sicherheitsvorlage aus der Datenbank exportieren, dann wechseln Sie über Start/Ausführen zur Eingabeaufforderung und geben dort ein: Secedit /export
In diesem Fall stehen Ihnen die nachfolgend aufgelisteten zusätzlichen Parameter zur Verfügung: 왘 /areas legt fest, welche Einstellungsbereiche der Sicherheitsvorlage Sie
exportieren möchten. Zur Auswahl stehen SECURITYPOLICY (Kontenund Überwachungsrichtlinien), GROUP_MGMT (Eingeschränkte Gruppen), USER_RIGHTS (Administrative Berechtigungen), REGKEYS (Registrierungsschlüssel), FILESTORE (Dateisystem) und Services (Dienste). Geben Sie diese Option nicht mit an, wird die gesamte Sicherheitsvorlage exportiert. 왘 /DB mit dem Pfad und Namen der Datenbankdatei, die die Sicherheits-
vorlage enthält. 왘 /MergedPolicy verbindet die lokalen Computereinstellungen, mit denen
der Sicherheitsvorlage zu einer neuen, eigenständigen Sicherheitsvorlage. 왘 /CFG legt den Pfad und den Dateinamen für die neue Sicherheitsvorlage
an. 왘 /LOG für den Pfad und Namen der Fehlerprotokolldatei.
Anwenden von Sicherheitsvorlagen Möchten Sie auf Befehlszeilenebene eine Sicherheitsvorlage auf die aktuelle Computerkonfiguration anwenden, dann wechseln Sie über Start/Ausführen zur Eingabeaufforderung und geben dort ein: Secedit / configure
187
6 Administrative Tools für das Sicherheits-Management
In diesem Fall stehen Ihnen die nachfolgend aufgelisteten zusätzlichen Parameter zur Verfügung: 왘 /areas legt fest, welche Einstellungsbereiche der Sicherheitsvorlage Sie
anwenden möchten. Zur Auswahl stehen SECURITYPOLICY (Kontenund Überwachungsrichtlinien), GROUP_MGMT (Eingeschränkte Gruppen), USER_RIGHTS (Administrative Berechtigungen), REGKEYS (Registrierungsschlüssel), FILESTORE (Dateisystem) und Services (Dienste). Geben Sie diese Option nicht mit an, wird die gesamte Sicherheitsvorlage angewendet. 왘 /DB mit dem Pfad und Namen der Datenbankdatei, die die Sicherheits-
vorlage enthält. 왘 /CFG legt den Pfad und den Dateinamen für die anzuwendende Sicher-
heitsvorlage an. 왘 /LOG für den Pfad und Namen der Fehlerprotokolldatei. 왘 /overwrite legt fest, ob die Einstellungen der Datenbank durch die Ein-
träge der angewendeten Sicherheitsvorlage ergänzt oder ersetzt werden.
6.4.6
Verteilung von definierten Sicherheitsvorlagen
Um eine fertig gestellte Sicherheitsvorlage in Ihrer Domäne, Ihrem Standort oder einer bestimmten Organisationseinheit zu verteilen, stehen Ihnen vier verschiedene Möglichkeiten zur Verfügung: 1. Zuweisen der Sicherheitseinstellungen über die lokalen Sicherheitseinstellungen: Diesen Weg müssen Sie nutzen, wenn sich die Windows 2000-Computer in einer Arbeitsgruppe oder einem Netzwerk ohne Active Directory befinden. In diesem Fall müssen Sie die Einstellungen manuell in jeder lokalen Sicherheitsvorlage definieren. 2. Zuweisen der Sicherheitseinstellungen über die Gruppenrichtlinie: In einer Windows 2000-basierten Domäne ist die Verteilung der Sicherheitseinstellungen über die Gruppenrichtlinie ein viel bequemerer und vor allem zentralisierter Weg. Sie können für diesen Zweck die Sicherheitsvorlage in die Gruppenrichtlinie importieren oder mithilfe des Befehlszeilentools SecEdit ein Script erzeugen, das als Startscript per Gruppenrichtlinie verteilt wird und diese Gruppenrichtlinie dann der Domäne, dem Standort oder einer OU zuweisen. Solche Einstellungen werden an DCs alle 5 Minuten und an Workstations alle 90 Minuten verteilt. Über AUSFÜHREN und die Eingabe von SECEDIT / REFRESHPOLICY MACHINE-POLICY / ENFORCE können Sie die Zuweisung auch sofort erzwingen. 3. Kombination aus lokalen Sicherheitseinstellungen und Gruppenrichtlinie: Da jeder Computer vor dem Abarbeiten der verschiedenen Gruppenrichtlinien auch seine lokalen Einstellungen prüft, bestehen seine Sicherheitseinstellungen in Wirklichkeit aus einer Kombination von beiden Einstellungen.
188
Sicherheitskonfiguration unter Windows 2000
4. Alternative Verteilung von Sicherheitsscripts: Der Vorteil des im vorangegangenen Abschnitts vorgestellten Befehlszeilentools SECEDIT liegt darin, dass Sie eigene Scripte erstellen können, die Sie auch über alternative Wege, also z.B. per System-Management-Server, per Taskplaner usw., an alle Computer Ihrer IT-Infrastruktur verteilen und automatisch anwenden können. Auf die oben gezeigten Wege wird eine einheitliche und anpassbare Sicherheitskonfiguration innerhalb des Unternehmens gewährleistet. Dem Einschleichen von Konfigurationsfehlern oder Inkonsistenzen bei sich ständig wiederholenden Sicherheitskonfigurationen ist somit ein Riegel vorgeschoben.
189
7
Benutzerbezogene Sicherheit
Damit Sie unter Windows 2000 und XP die elementare Sicherheit einführen können, sollten Sie die grundlegenden Mechanismen verstehen und gezielt einzusetzen wissen. Dazu zählt zuerst einmal die Personalisierung eines Anwenders am jeweiligen Computer, dann aber auch die genaue Definition dessen, was der Anwender während seiner Arbeit am Computer und im Netzwerk darf und was nicht.
7.1
Anforderungen an die benutzerbezogene Sicherheit
Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetzwerk im Rahmen des Sicherheits-Managements sich auch um die benutzerbezogene Sicherheit kümmern müssen, oder ob Sie bereits alles Notwendige getan haben, stellen wir Ihnen zu Beginn des Kapitels noch einmal typische Anforderungen, Ziele oder Visionen vor. In puncto benutzerbezogene Sicherheit werden häufig folgende Anforderungen gestellt: 왘 Damit ein Anwender überhaupt Zugriff auf die IT-Infrastruktur und
deren Ressourcen bekommt, muss er dies im Rahmen eines Benutzerantrages fordern. Die Benutzeranträge sind für fünf Jahre zu archivieren. 왘 Für jeden Anwender muss eine eindeutige Kennung (Benutzerkonto)
erzeugt werden, die gemäß seiner Funktion entsprechende Zugriffsberechtigungen auf das System einräumt und ihn am System authentifiziert. Die Zugriffsberechtigungen erhält der Anwender ausschließlich über die Zugehörigkeit in entsprechenden Benutzergruppen. Entsprechende Rechte sollten keinesfalls den Benutzerkonten direkt zugewiesen werden. 왘 Für die Anmeldung am System dürfen nur komplexe Benutzerkennwör-
ter zugelassen werden. Bei der ersten Anmeldung muss das Startpasswort zwingend durch den Anwender geändert werden. Für die neuen Passwörter dürfen die Anwender nur komplexe Passwörter verwenden. 왘 Die minimale Passwortlänge muss auf sechs Zeichen gesetzt werden,
und ein Passwortwechsel muss alle 30 Tage erfolgen, wobei die zuletzt genutzten Passwörter nicht mehr verwendet werden dürfen. 왘 Bei der Anmeldung am System darf der Anwender keine Hilfen durch
zusätzliche Informationsfenster erhalten, und auch der Namenseintrag des zuletzt angemeldeten Anwenders darf nicht mehr sichtbar sein.
191
7 Benutzerbezogene Sicherheit 왘 Die normalen Anwender sollen sich ausschließlich an der Domäne
anmelden dürfen. Für den normalen Anwender soll es auf den Clientcomputern kein zusätzliches lokales Benutzerkonto geben. Als lokale Accounts dürfen nur Benutzerkonten für die Administration oder den Support vorhanden sein, und auch die Mitglieder von lokalen Gruppen auf den Workstations sollen innerhalb der Domäne einheitlich gehalten sein. 왘 Wenn die Anmeldung eines Anwenders öfter als fünfmal fehlschlägt,
muss das dazugehörige Benutzerkonto gesperrt werden und nur der Administrator bzw. die Support-Mitarbeiter dürfen dazu in der Lage sein, das Benutzerkonto wieder freizuschalten. 왘 Wenn ein Anwender seine Workstation verlässt, sollte er sie automatisch
sperren. Da dies in vielen Fällen vergessen wird, sollte nach maximal 15 Minuten ein Bildschirmschoner mit Passwortschutz automatisch aktiviert werden. Nur durch die Eingabe der Benutzerkennung darf sich der Bildschirm entsperren lassen. 왘 Die erfolgreichen und fehlgeschlagenen Anmeldungen am System müs-
sen in einem Protokoll aufgezeichnet werden und für mindestens 100 Tage aufbewahrt werden. 왘 Verlässt ein Anwender das Unternehmen, so ist dies der IT-Abteilung
unverzüglich zu melden, diese muss den Benutzeraccount umgehend sperren und nach drei Monaten komplett aus dem System löschen. Bedenken Sie, dass wir Ihnen an dieser Stelle nur einige, typische Anforderungen an die benutzerbezogene Sicherheit zusammenstellen konnten, da die Forderungen der verschiedenen Unternehmen in diesem Bereich je nach dem Sicherheitsbedürfnis sehr stark variieren.
7.2
Authentifizierung unter Windows
Wenn Sie einen mit Windows 2000 oder XP ausgestatteten Rechner einschalten, wird dieser nach dem Laden des Betriebssystems automatisch eine Anmeldemaske anzeigen und Sie somit zur Anmeldung am Computersystem auffordern. Die Installation von Windows XP Professional geht sogar noch einen Schritt weiter und ermöglicht bereits während der Installation die Definition mehrerer Benutzerkonten für einen Clientcomputer. Daran erkennt man, dass die Erkennung eines Anwenders für das Betriebssystem sehr wichtig ist. Die Gründe hierfür liegen auf der Hand und sind im Wesentlichen historisch gewachsen. Seit jeher werden beispielsweise alle Berechtigungen für den Zugriff auf Dateien und Verzeichnisse mit dem Anwendernamen bzw. genauer gesagt mit der Anwender-ID in Verbindung gebracht. So kennt das Ur-Betriebssystem UNIX grundsätzlich nur die Unterscheidung zwischen Besitzer, Besitzergruppe und dem Rest der Welt.
192
Authentifizierung unter Windows
Für jede dieser Instanzen wurde festgelegt, ob ein Anwender die Datei lesen oder manipulieren konnte. Mit Windows NT kamen dann die so genannten Access Control Lists, kurz ACL, auf, bei denen es möglich war, mehreren Gruppen unterschiedliche Rechte für den Zugriff zuzuteilen. Durch die ACLs wurde die Sicherheit im Zugriff auf Daten zwar verbessert, zugleich wurde aber der Verwaltungsaufwand drastisch erhöht, da jede ACL prinzipiell für hunderte von Gruppen unterschiedliche Berechtigungen enthalten konnte. Da nun wiederum ein Anwender in mehreren Gruppen Mitglied sein kann, kommt es zu kaum kontrollierbaren Überschneidungen in der Berechtigungsstruktur. Nichtsdestotrotz ist die Kopplung von Zugriffsrechten an die Anwender-ID bis heute das A und O für die effektive Nutzung von Sicherheit im Unternehmensnetzwerk. Unter Windows 2000 ist die Authentifizierung der Anwender noch einmal neu geschrieben worden, ein neuer Standard für die Kontrolle von Konto und Passwort hält Einzug – Kerberos. Damit verbunden existiert eine ganze Reihe von speziellen Einstellungen, sowohl beim Client als auch in den Gruppenrichtlinien einer Domäne, die die Sicherheit der Authentifizierung beeinflussen. Diese Parameter sollen die folgenden Abschnitte näher vorstellen. Zuerst einmal wollen wir Ihnen aber noch einmal einen Überblick über die Mechanismen der Anwenderauthentifizierung geben, ohne die die Anmeldung gar nicht möglich wäre.
7.2.1
Authentifizierung über NTLM
Der Klassiker unter den Authentifizierungsprotokollen ist seit Windows NT im Einsatz. Die NT-Lan-Manager-Authentifikation basiert dabei zuerst einmal auf einem Kennwort, das in der Security Account Datenbank des Systems oder des Domänencontrollers gespeichert wird. Aus Kompatibilitätsgründen wird für jeden Anwender das Passwort gleich zweimal abgelegt, einmal für die Unterstützung alter LAN-Manager-Authentifikationen und einmal für die Windows NT-Variante des Kennworts. Dabei ist die LANManager-Authentifizierung der unsicherere Faktor der Passwortspeicherung. Hier wird auf Basis des DES-Algorithmus ein Hash errechnet, der eine unumkehrbare Verschlüsselung des maximal 14 Buchstaben langen Klartextpassworts darstellt. Zur Verwirrung potentieller Angreifer wird das bereits verschlüsselte Kennwort anschließend noch einmal über eine spezielle Anwenderkennung (für Profis: die RID) verschlüsselt, wodurch sich das Kennwort nicht mehr direkt einem Anwender zuordnen lässt. Um letztere Verschlüsselung zu entschlüsseln, benötigt man also im Wesentlichen entsprechende administrative Rechte auf das Kennwort und darüber hinaus Zugriff auf den Verschlüsselungsalgorithmus selbst. Es handelt sich also nicht um eine echte Verschlüsselung, sondern eher um eine zusätzliche Sicherheitsvorkehrung vor unbefugten Anwendern.
193
7 Benutzerbezogene Sicherheit
Hash-Verschlüsselung Prinzipiell kann man zu diesem Thema ganze Abhandlungen schreiben, wir wollen den Begriff an dieser Stelle nur kurz erläutern. Unter einem Hash versteht man eine Zeichenkette, die durch das Verschlüsseln eines Textes mithilfe einer speziellen mathematischen Funktion entsteht. Das Besondere an dieser Zeichenkette ist prinzipiell, dass sie eine fixierte Länge besitzt, gleichgültig, wie lang der eingegebene Ausgangstext ist. Durch die Art der Berechnung kann ein einmal erstellter Hash nicht mehr rückwärts gerechnet, sprich entschlüsselt werden, er ist unumkehrbar. Das Betriebssystem selbst verwendet bei der Eingabe eines Kennworts lediglich den gleichen Algorithmus erneut und vergleicht dann das Ergebnis der neuen Berechnung mit der in der Security-Datenbank gespeicherten Version. Stimmen beide Hashes überein, wurde das Kennwort richtig eingegeben, stimmen sie nicht überein, wurde ein fehlerhaftes Kennwort eingetragen. Zusätzlich zum LAN-Manager-Kennwort wird das Windows-Kennwort gespeichert. Hierbei handelt es sich um ein deutlich besser verschlüsseltes Kennwort, das eine höhere Kennwortsicherheit gewährleistet und daher auch automatisch von allen Windows NT-basierten Systemen für die Authentifizierung benutzt wird. Auch hier wird das Kennwort aus designtechnischen Gründen auf eine Länge von 14 Buchstaben begrenzt, obwohl theoretisch bis zu 128 Zeichen unterstützt werden. Der Text wird dann mithilfe des RSA-MD4-Algorithmus verschlüsselt, der eine deutlich höhere Verschlüsselungstiefe als der DES-Algorithmus bietet und daher weniger leicht »geknackt« werden kann. Nichtsdestotrotz handelt es sich auch bei dieser Variante wieder um einen unumkehrbaren Hash, den das System später über Mustervergleiche prüft. Die Funktionalität der NTLM-Authentifizierung basiert dabei auf einer Unterteilung der lokalen Sicherheit bzw. der LSA (Local System Authority) in zwei Teile. Der erste Teil der Authentifizierung findet auf dem Computer statt, an dem sich der Anwender anmeldet, der zweite Teil findet hingegen auf dem Computer statt, auf dem das Anwenderkonto abgelegt ist. Diese Unterteilung ist bedeutungslos, wenn sich der Anwender an einer Arbeitsstation anmeldet, an der auch das Benutzerkonto gespeichert ist, also einer allein stehenden NTWorkstation. Wenn sich der Computer, an dem sich der Anwender anmeldet, hingegen in einer Domäne befindet, bekommt diese Einteilung eine andere Bedeutung. In diesem Fall muss der zweite Teil der Authentifizierung auf einem Domänencontroller stattfinden. Zu diesem Zweck übergibt die Arbeitsstation die Authentifizierungsdaten an den Anmeldedienst, der die Weiterverarbeitung am Domänencontroller gewährleistet. Für den reinen Anmeldevorgang ist dieser Prozess prinzipiell völlig unproblematisch. Bei einem komplexen Netzwerk mit einer Vielzahl von Ressourcen auf unterschiedlichen Servern sorgt diese Art der Authentifizierung allerdings für eine verstärkte Netzwerklast. Da die Anmeldung bei einem Zugriff
194
Authentifizierung unter Windows
über das Netzwerk ja z.B. an einem Dateiserver erfolgt, der als Mitgliedsserver in die Domäne integriert ist, verfügt die lokale Security-Datenbank dieses Servers nicht über das Konto des Anwenders. Folglich muss erneut eine Authentifizierung über den Domänencontroller durchgeführt werden. Stellt man sich vor, dass also in einem größeren Netzwerk mehrere solcher Dateiserver existieren und eine Vielzahl von Anwendern auf diese zugreifen, kann man sich die rein durch den Authentifizierungsverkehr entstehende Netzwerklast vorstellen. Zudem verliert die Authentifizierung unter Umständen nach Ablauf einer bestimmten Zeit ihre Gültigkeit (z.B. bei Leerlauf), so dass die Verhandlung noch einmal neu angestoßen werden muss. Abbildung 7.1: Bei jedem Zugriff auf eine Ressource muss unter NTLM der gleiche Authentifikationsweg eingehalten werden
7.2.2
Kerberos-Authentifikation
Mit wachsenden Netzen gelangt die NTLM-Authentifizierung also durchaus an ihre Grenzen, weswegen eine effizientere Methode für die Authentifikation gesucht wurde. Microsoft wurde dabei im UNIX-Segment fündig. Netterweise wird dort der Quellcode für die Kerberos-Authentifizierungsprotokolle und –mechanismen als kostenloser Open Source Code offeriert. Warum also nicht einen weit verbreiteten Standard einarbeiten, der zudem nichts kostet? Und so kam es, dass Windows 2000 ein neues Hauptauthentifizierungsprotokoll spendiert bekam, das zudem Microsoft keinen Pfennig gekostet hat (woran die UNIX-Programmierer bis heute grimmig nagen). Kerberos löst also NTLM als Standard-Authentifizierungsmechanismus unter Windows 2000 ab, doch was konkret ist das Besondere bei diesem neuen Verfahren. Da ist natürlich zuerst einmal die politische Bedeutung. Prinzipiell können Sie dank Kerberos die Authentifikation von Anwendern in einer Windows-Domäne einem UNIX-Rechner überlassen oder aber umgekehrt auch die Konten der UNIX-Anwender unter Windows 2000 verwalten, was aufgrund der effektiven Verwaltung wahrscheinlicher sein
195
7 Benutzerbezogene Sicherheit
dürfte. Windows 2000 lässt also eine Verteilung der Sicherheitsaufgaben in heterogenen Netzwerken zu. Für den Einsatz von Kerberos spricht allerdings noch eine Reihe von anderen Gründen. So ist die von Kerberos verwendete Verschlüsselung deutlich sicherer als beispielsweise die Verschlüsselung von NTLM. Kerberos verschlüsselt die übergebenen Kennwortdaten je nach verwendetem Algorithmus mit 56 oder 128 Bit. Für die Freaks nennt die folgende Tabelle die unterstützten Algorithmen und die Schlüssellänge. Tabelle 7.1: KerberosVerschlüsselungsalgorithmen und ihre Schlüssellänge
Algorithmus
Schlüssellänge für Authentifizierung
RC4-HMAC
128 Bit
DES-CBC-CRC
56 Bit
DES-CBC-MD5
56 Bit
Das wesentlich Wichtigere an Kerberos ist jedoch der Mechanismus, mit dem die Authentifizierung von Konten und Berechtigungen durchgeführt wird. Die entsprechenden Verfahrenweisen und Methoden sind dabei im RFC 1510 beschrieben und standardisiert, so dass der Mechanismus prinzipiell auf allen Kerberossystemen identisch ablaufen sollte. Kurz umschrieben teilt Kerberos die Authentifikation auf drei Systeme auf, den Client, den Server und das Key Distribution Center, kurz KDC. Für den Zugriff auf Ressourcen des Servers löst der Client bei dem KDC ein Ticket und präsentiert dieses Ticket dem Server. Durch das Verteilen von Tickets lässt sich der Zugriff auf Ressourcen effektiver und ressourcensparender gestalten, zudem findet die Authentifizierung eben über deutlich sicherere Kanäle statt. Im Detail ist die Art der Kerberos-Authentifizierung deutlich komplexer. Die erste Besonderheit ist dabei die Tatsache, dass unter Windows 2000 jeder Domänencontroller zugleich auch die Rolle des Key Distribution Centers übernimmt. Jeder Domänencontroller ist also in der Lage, einem Client ein entsprechendes Ticket für den Zugriff auf Serverressourcen auszustellen. In der Kerberos-Terminologie ist darüber hinaus von dem Zuständigkeitsbereich eines Key Distribution Centers die Rede, innerhalb dessen die ausgestellten Tickets Gültigkeit haben. Unter Windows 2000 ist dieser Bereich durch die Domäne wiedergegeben. Die Vorgänge bei der Nutzung von Ressourcen im Netzwerk mithilfe von Kerberos wollen wir Ihnen im Folgenden einmal schrittweise vorstellen. 1. Im ersten Schritt meldet sich ein Anwender an einem Windows 2000-Computer in der Domäne an. Dabei findet eine Authentifizierung am Key Distribution Center statt, das unter Windows 2000 mit dem Domänencontroller gleichzusetzen ist. Der Domänencontroller stellt dabei dem Anwender ein so genanntes Ticket Granting Ticket, kurz TGT, aus, das in der Folge für die weitere Kommunikation mit dem KDC erforderlich ist.
196
Authentifizierung unter Windows
Kerberos-Authentifizierung und DNS Bitte beachten Sie, dass für eine erfolgreiche Kerberos-Authentifizierung ein Client auch wissen muss, an welchen Computer er sich wenden muss. Diesem Verfahren wird unter Windows XP und 2000 über entsprechende SRV-Einträge im DNS-Server der Domäne bzw. der Gesamtstruktur Rechnung getragen. Die Dienstidentifizierungseinträge nennen dem anfragenden Client einen Namen für einen Kerberos ausführenden Rechner. Dieser Name seinerseits wird natürlich ebenfalls durch den DNS-Server aufgelöst. Fällt der DNS-Server aus irgendeinem Grund aus, ist folglich keine Anmeldung unter Verwendung des Kerberos-Verfahrens mehr möglich. Unter Windows 2000/XP ist dann noch eine Anmeldung mithilfe des NT4-NTLM-Verfahrens möglich, das allerdings die Nutzung von NetBIOS erfordert. Haben Sie NetBIOS in Ihrem Netzwerk abgeschaltet, ist diese Form der Anmeldung nicht mehr möglich. Sie sollten folglich mindestens zwei DNS-Server betreiben, um den Ausfall eines DNS-Servers zu kompensieren. Abbildung 7.2: Die SRV-Einträge im DNS-Server ermöglichen dem Client eine Kontaktierung eines KDC
2. Möchte der Anwender nun eine Netzwerkressource nutzen, also z.B. auf eine Freigabe zugreifen oder auf einem Netzwerkdrucker ausdrucken, legt der Clientcomputer dem Domänencontroller ein Ticket Granting Ticket vor und fordert für den Zugriff ein Dienstticket an. Das TGT wird also dazu verwendet, die Authentifizierung eines Anwenders zu erleichtern. Er muss während der Dauer seiner Arbeitssitzung dem Domänencontroller lediglich dieses Ticket vorlegen, eine weitere Authentifizie-
197
7 Benutzerbezogene Sicherheit
rung ist nicht notwendig. Das vom Domänencontroller auf Anfrage ausgestellte Dienstticket ermächtigt den Anwender dann von seinem Computer aus auf die Ressource zuzugreifen. 3. Um Zugriff auf die Ressource zu erhalten, legt der Clientcomputer, an dem der Anwender arbeitet, dem Server, der die Ressource bereithält, das Dienstticket vor. Dieses Ticket enthält eine Bestätigung des Domänencontrollers, dass der Anwender authentifiziert wurde, und beschreibt zudem die Zugriffsberechtigungen für den Anwender. 4. Greift der Anwender später noch einmal auf die Ressource zu, ist keine Kontaktierung des Domänencontrollers mehr notwendig, da das Dienstticket während der Arbeitssitzung Gültigkeit behält und nun direkt dem Ressourcenserver vorgelegt werden kann. Der Vorteil dieser Methode ist, dass der Anwender das Dienstticket einmal erwirbt und anschließend ohne weitere Authentifizierungen beliebig oft auf eine Ressource zugreifen kann. Dies reduziert die durch Authentifizierung verursachte Netzwerklast drastisch, wodurch für andere Netzwerkanwendungen mehr Bandbreite zur Verfügung steht. Abbildung 7.3: Die Authentifizierung mit Kerberos arbeitet mit wieder verwendbaren Tickets
Die technische Umsetzung des Verfahrens arbeitet mit einigen weiteren Instanzen. Wie bereits erwähnt, wird einem Anwender bei der Anmeldung ein so genanntes Ticket Granting Ticket zugewiesen. Dieses Ticket wird auf der Arbeitsstation, an der sich der Anwender angemeldet hat, in einem Ticketzwischenspeicher abgelegt. Wenn nun ein Anwender auf eine Netzwerkressource zugreift, schaut Windows zuerst im Ticketzwischenspeicher nach, ob für die betreffende Ressource bereits ein Dienstticket (oftmals auch als
198
Authentifizierung unter Windows
Sitzungsticket oder Session Ticket bezeichnet) vorliegt. Nur wenn dies nicht der Fall ist, kontaktiert der Client den Domänencontroller unter Verwendung des TGT, um ein neues Dienstticket anzufordern. Allerdings kann es auch passieren, dass ein Dienstticket noch während der Arbeitssitzung eines Anwenders abläuft. Die »Haltbarkeitsdauer« eines Diensttickets wird dabei durch eine entsprechende lokale Sicherheitsrichtlinie auf dem Ressourcenserver oder (besser) durch eine entsprechende Gruppenrichtlinie der Domäne bestimmt. Ist das Ticket abgelaufen, meldet der Ressourcenserver einen Fehler an den Client zurück. Dieser nimmt dann erneut Verbindung mit dem Domänencontroller auf, um ein neues Dienstticket zu erhalten. Abbildung 7.4: Die für den domänenübergreifenden Zugriff notwendigen Vertrauensstellungen werden über simple Verwaltungstools realisiert
Wenn ein Anwender einer Domäne auf einen Server einer anderen Domäne zugreift, kann der Domänencontroller der einen Domäne nicht einfach ein Dienstticket für eine Ressource in einer anderen Domäne ausstellen. Dieses Ticket würde vom Ressourcenserver als ungültig angesehen, eine Verbindung würde nicht zustande kommen. Wenn mit Kerberos eine Verbindung zu den Ressourcen anderer Bereiche (Domänen) hergestellt werden soll, muss dazu zuvor eine Vertrauensstellung zwischen den Bereichen hergestellt werden. Unter Windows XP und 2000 können Sie dazu das Tool Active Directory-Domänen und –Vertrauensstellungen einsetzen. Hier können Sie neue einseitige oder auch beidseitige Vertrauensstellungen einrichten. Beachten Sie, dass die Domänen in einer Gesamtstruktur von Windows 2000
199
7 Benutzerbezogene Sicherheit
automatisch über eine beidseitige und transitive Vertrauensstellung miteinander verbunden sind. Hier ist es nicht mehr notwendig, explizit eine weitere Vertrauensstellung herzustellen. Um Kerberos-Mechanismen auch bei bereichsübergreifenden Zugriffen zu ermöglichen, verhält sich Kerberos hier ein wenig anders. Wenn der Anwender unter Vorlage seines Ticket Granting Tickets ein Dienstticket für den Zugriff auf die Ressource einer anderen Domäne erfragt, kann der Domänencontroller dieses Dienstticket nicht ausstellen. Stattdessen stellt er dem Client ein zweites Ticket Granting Ticket für den Domänencontroller der vertrauten Domäne aus. Da der Domänencontroller durch die Vertrauensstellung dazu ermächtigt wurde, kann der Client nun seinerseits dieses neue TGT für die Anfrage an den Domänencontroller der vertrauenden Domäne verwenden. Dieser Domänencontroller akzeptiert das Ticket Granting Ticket und stellt ein gültiges Dienstticket für den Zugriff auf den Ressourcenserver aus. Der Client kann nun bis zum Ablauf des Diensttickets die Ressourcen des Servers in der fremden Domäne nutzen. Abbildung 7.5: Bei der domänenübergreifenden Authentifikation werden mehrere Ticket Granting Tickets ausgestellt
200
Authentifizierung unter Windows
Zeitsynchronisation bei Kerberos Die Kerberos-Technologie basiert im Wesentlichen auf einer ganzen Reihe von Tickets, die zeitlich begrenzt sind. Aus diesem Grund ist Kerberos sehr empfindlich gegenüber Zeitabweichungen zwischen Kerberos-Server und Kerberos-Client. Um die Zeitabweichungen zu vermeiden, verwenden alle Windows 2000 und XP-Clients den bzw. die Domänencontroller als Zeitserver für das Simple Network Time Protocol (SNTP). Für den Domänencontroller selbst müssen Sie dann entweder dafür sorgen, dass er einen möglichst exakten Zeitgeber besitzt (z.B. eine Funkuhr) oder sich seinerseits an einen Zeitserver im Internet wendet. Möchten Sie einen Zeitserver im Internet verwenden, bringen Sie bitte aktuelle Adressen solcher Server in Erfahrung. Zum Zeitpunkt der Entstehung dieses Buchs gab es beispielsweise diese beiden Zeitserver des US Naval Observatory: ntp2.usno.navy.mil (192.5.41.209) tock.usno.navy.mil (192.5.41.41)
Der Aufruf für die Aktualisierung des Zeitservers erfolgt unter Windows 2000 über den folgenden Befehl: net time /setsntp:Servername
oder net time /setsntp:IPAdresse
Beachten Sie, dass eine zu große Differenz zwischen Clients und Servern dazu führen kann dass ein Anwender sich nicht mehr an dem betreffenden Client anmelden kann oder ein Zugriff auf den entsprechenden Server nicht mehr möglich ist.
7.2.3
Authentifizierung über Smartcards
Die dritte Variante zur Authentifizierung von Personen sind die so genannten Smartcards. Diese Methode verfolgt einen völlig neuen Gedanken in Bezug auf die Anmeldung an einem Computer. Anstelle an einem Computer den Anmeldenamen und das geheime Kennwort zu präsentieren, legt der Anwender eine Smartcard in einen dafür vorgesehenen Schacht des Computers. Derartige Schnittstellen sind entweder direkt im Computergehäuse integriert oder können auch über externe Boxen bzw. erweiterte Tastaturen zur Verfügung gestellt werden. Die Smartcard selbst sieht in der Regel wie eine Telefonkarte aus und verfügt über einen kleinen Speicher. Auf diesem Speicher wird mithilfe eines Schreib-Lese-Geräts das Zertifikat des Anwenders gespeichert. Da Windows 2000 und XP nun auch die Authentifizierung
201
7 Benutzerbezogene Sicherheit
über X.509-kompatible Zertifikate unterstützen, reicht es für den Anwender aus, die Smartcard anstelle der Anmeldung einzulegen, eine PIN-Nummer einzutippen, und schon kann die Arbeit beginnen. Abbildung 7.6: Bietet rund 64 KByte Speicher für Zertifikate – die Smartcard
An dieser Stelle könnten wir uns nun über rund 500 Seiten völlig in Sicherheitsprotokollen und Zertifikatsdiensten verlieren, was vermutlich jeden Leser in einen tieferen Schlaf versetzen würde, als es Dornröschen jemals erlebte. Darum seien die Grundlagen zur Smartcard nur sehr kurz beschrieben. Die Basis von Smartcards ist ein Zertifikat, das durch eine Zertifizierungsstelle bezogen werden kann. Dieses Zertifikat wird dann von dem EAP/TLS-Protokoll (in Langform Extensible Authentication Protocol/Transport Layer Security) verwendet, wenn eine Authentifikation gegenüber einer Netzwerkressource notwendig wird. Ursprünglich kommt das TLS-Protokoll aus dem Bereich der Remote-Verbindungen, es wurde genutzt, um auf Basis von Zertifikaten Netzwerkverbindungen zu gesicherten Servern aufzubauen. Auch im RAS-Bereich ist die EAP/TLS-Technologie im Einsatz. Das Besondere ist nun, dass Windows 2000 und XP neben der klassischen Anmeldung auch die Smartcard-Funktionalität nutzen, um einem Anwender Zugriff auf eine Arbeitsstation einer Domäne zu gewähren. Dazu verwendet man bei Smartcards ein Zertifikat, das auf Basis des X.509-Standards erstellt wurde und mit anderen Authentifizierungsdiensten, z.B. Kerberos, zusammenarbeitet. Nachdem ein Anwender seine SmartCard eingelegt hat, wird er am Anmeldebildschirm aufgefordert, im GINA-Fenster (Graphical Identification and Authentication) die PIN-Nummer einzugeben. Die LSA (Local Security Authority) des Clients überprüft nun die Richtigkeit der PIN-Nummer, nach drei falschen Versuchen wird die Smartcard gesperrt. Bei korrekter PIN liest die LSA anschließend das Zertifikat von der Smartcard ein, das mithilfe des Kerberos-Clients an einen Domänencontroller der Domäne übergeben wird.
202
Authentifizierung unter Windows
Im Anschluss daran findet eine Verifizierung des privaten Schlüssels an den Konten der Domäne statt. Wird im Active Directory ein zum Zertifikat passendes Konto gefunden, erhält der Anwender vom Kerberos-System ein Ticket Granting Ticket . Aus Sicherheitsgründen wird dieses Ticket mit dem öffentlichen Schlüssel des übergebenen Zertifikats verschlüsselt, so dass nur das System mit der Smartcard, das auch den für die Entschlüsselung benötigten privaten Schlüssel besitzt, das TGT lesen kann. Bei erfolgreicher Dekodierung erfolgt die Anmeldung am System, und der Anwender kann anschließend von der Arbeitsstation aus auf die Ressourcen des Netzwerks zugreifen. Abbildung 7.7: Der Vorgang der Smartcard-Authentifizierung im Detail
Damit eine Smartcard im Windows-Netzwerk funktionieren kann, benötigen Sie zwei zwingende Vorbereitungen: 왘 Eine Windows 2000- oder XP-Domäne, da nur bei einem existierenden
Active Directory eine entsprechende Authentifizierung durchgeführt werden kann. 왘 Eine Zertifizierungsstelle, die Benutzerzertifikate, Enrollment-Agent-Zer-
tifikate und Smartcard-Zertifikate ausstellen kann. Dabei kann es sich um eine Organisationszertifizierungsstelle oder aber auch um eine untergeordnete Zertifizierungsstelle dieser Instanz handeln. Eine allein stehende Zertifizierungsstelle reicht in diesem Fall nicht aus. Bei komplexeren Zertifizierungsszenarien mit öffentlichen, vertrauten Zertifizierungsstellen benötigen Sie in jedem Fall immer eine Instanz, die Benutzerzertifikate vergeben kann.
203
7 Benutzerbezogene Sicherheit
Auf Deutsch bedeutet dies in der Praxis, dass Sie einerseits eine Windows 2000- oder XP-Domäne einrichten müssen, was zumeist bereits geschehen ist. Zum anderen müssen Sie auf einem Domänencontroller die Zertifikatsdienste installieren und diesen so zu einer Certification Authority (CA) machen. Genauere Informationen zum Aufbau von Zertifikatsstellen und Vertrauenspfaden finden Sie in einem der folgenden Kapitel. Installation einer Zertifikatsstelle Wir wollen an dieser Stelle lediglich eine Quick & Dirty-Anleitung geben, wie Sie eine Zertifikatsstelle für die Smartcard-Nutzung unter Windows 2000 installieren. Die Installation kann auf jedem beliebigen Domänencontroller stattfinden, es sollte aber ein Domänencontroller sein, da wir den Zugriff auf die Daten des Active Directory benötigen. Zulässig sind also an dieser Stelle die folgenden Typen einer Zertifikatsstelle: 왘 Stammzertifizierungsstelle der Organisation 왘 Untergeordnete Zertifizierungsstelle der Organisation
Wählen Sie also wie bei jeder Installation von Windows 2000-Diensten das Software-Symbol der Systemsteuerung und wählen Sie die Option WindowsKomponenten hinzufügen/entfernen. Im folgenden Dialogfenster aktivieren Sie dann die Option Zertifikatsdienste. Abbildung 7.8: Fügen Sie die Zertifikatsdienste auf einem Domänencontroller hinzu
Den folgenden Warnhinweis beantworten Sie mit Ja und beginnen dann die Installation. In der Abfrage nach dem Typ der Zertifizierungsstelle verwenden Sie einen der beiden oben genannten Typen, die eigenständigen Varian-
204
Authentifizierung unter Windows
ten können keine Benutzer-Zertifikate vergeben. In den folgenden Bildschirmen machen Sie dann nähere Angaben zur Zertifikatsstelle, die wir an dieser Stelle nicht weiter beschreiben wollen. Eine ausführliche Anleitung zur Installation von Zertifikatsstellen finden Sie, wie bereits erwähnt, in einem eigenen Kapitel dieses Buchs. Abbildung 7.9: Wählen Sie den Typ der Zertifikatsstelle
Für die Durchführung der Installation benötigt Windows die Server-CD, von der die Zertifikatsdienste in der Regel nachinstalliert werden müssen. Damit ist die Vorbereitung der Zertifikatsstelle prinzipiell bereits beendet. Damit Sie aber in Ihrer Organisation nun auch Smartcard-Funktionalität einrichten können, müssen Sie noch ein paar Veränderungen in der aktuellen Konfiguration der Zertifikatsstelle vornehmen. Der Hintergrund ist, dass die von Windows installierte Zertifizierungsstelle derzeit die von uns benötigten Funktionalitäten für die Smartcard noch nicht kennt. Für die Smartcard benötigen wir zwei spezielle Zertifikate von der Zertifizierungstelle: 왘 Enrollment-Station-Zertifikat 왘 Smartcard-Zertifikat
Um diese Zertifikate bereitzustellen, müssen Sie als Administrator der Zertifikatsstelle zuerst einmal unter Start/Programme/Verwaltung die Konsole Zertifizierungsstelle laden und dort in der linken Baumansicht unterhalb der gewählten Zertifikatsstelle die Option Richtlinieneinstellungen auswählen. Hier finden Sie alle derzeit von der Zertifikatsstelle bereitgestellten Zertifi-
205
7 Benutzerbezogene Sicherheit
katstypen, die oben genannten Varianten fehlen noch. Um die benötigten Vorlagen hinzuzufügen, klicken Sie mit der rechten Maustaste auf Richtlinieneinstellungen und wählen im so angezeigten Kontextmenü die Funktion Neu/Auszustellendes Zertifikat. Im folgenden Dialogfenster können Sie für das Smartcard-Zertifikat zwei Versionen wählen: 왘 Smartcard-Benutzer. Diese Variante gibt dem Anwender neben der Smart-
card-Anmeldung auch die Fähigkeit, mit seinem auf der Smartcard gespeicherten Zertifikat entsprechende E-Mails zu verschlüsseln. 왘 Smartcard-Anmeldung: Dieses Zertifikat beschränkt sich auf die Anmelde-
funktion der Smartcard. Eine E-Mail-Verschlüsselung ist mit diesem Zertifikat nicht möglich. Abbildung 7.10: Wählen Sie die benötigten Zertifikatsvorlagen
Abbildung 7.11: Die fertig vorbereiteten Zertifikatsvorlagen
206
Authentifizierung unter Windows
Für die Enrollment-Station wählen Sie bitte die Vorlage Registrierungs-Agent. Der Hintergrund ist, dass wir einerseits die Befähigung brauchen, Zertifikate auf einer Smartcard zu speichern und andererseits natürlich auch den speziellen Zertifikatstyp Smartcard unterstützen müssen. Wenn Sie möchten, können Sie auch beide Typen der Smartcard-Zertifikate installieren, dann haben Sie bei der Anfertigung die Wahl zwischen den unterstützten Varianten. Wenn Sie in Ihrer Organisation auch verschlüsselte E-Mail unterstützen wollen, wäre das vielleicht keine schlechte Idee. Die Vorarbeiten an der Zertifizierungsstelle sind somit bereits abgeschlossen. Sie können sich am Domänencontroller abmelden. Alle übrigen Schritte werden nun auf einem Client mit Smartcard-Ausstattung durchgeführt. Installation des Smartcard-Lesers Damit Sie Smartcards überhaupt an Ihrem System nutzen können, müssen Sie zumeist erst einmal einen speziellen Treiber für das Lesegerät installieren. Die dazu notwendigen Schritte haben wir in der folgenden Schritt-fürSchritt-Anleitung zusammengefasst. 1. Im ersten Schritt sollten Sie sich, sofern Windows 2000 oder XP das Gerät nicht automatisch erkennt, einen passenden Treiber vom Hersteller des Geräts beschaffen. Sofern für Windows XP noch kein Treiber vorliegt, können Sie problemlos auf einen Treiber für Windows 2000 ausweichen. Wechseln Sie dann in die Systemsteuerung und wählen Sie das System-Symbol. Sofern Sie unter der neuen Oberfläche von Windows XP arbeiten, sollten Sie hier die klassische Ansicht über die Schaltfläche Zur klassischen Ansicht wechseln einschalten. 2. Im Dialogfenster Systemeigenschaften wechseln Sie auf die Registerkarte Hardware und wählen hier die Schaltfläche Geräte-Manager. Mithilfe dieser Auswahl gelangen Sie in das Tool zur eigentlichen Gerätekonfiguration. 3. Zumeist werden Sie hier feststellen, dass der Smartcard-Leser als unbekanntes Gerät eingetragen ist. Dies liegt einfach daran, dass Windows die Hardware zwar erkannt hat, jedoch keinen passenden Treiber zur Unterstützung der Hardware besitzt. Damit die folgende Treiberinstallation gelingt, sollten Sie aber stets den beschriebenen Weg gehen. Verwenden Sie nicht die vom Hersteller geforderten Schritte, sofern diese von unseren Anweisungen abweichen. Speziell unter Windows XP können alternative Installationsverfahren für Hardware scheitern und so zu einer dauerhaften Falschinstallation führen. Um den Treiber nachzuinstallieren, klicken Sie bitte einfach doppelt auf den Hardwareeintrag im Geräte-Manager. 4. Auf der Registerkarte Allgemein klicken Sie im Anschluss auf die Schaltfläche Treiber erneut installieren, damit Sie den korrekten Treiber einrichten können. Sie starten auf diese Art und Weise einen Assistenten, der Sie durch die einzelnen Schritte der Installation führt. Dabei sollten Sie, wenn Sie den Treiber beispielsweise aus dem Internet heruntergeladen haben, die Installationsvariante wählen, bei der Sie einen eigenen Pfad zum Treiber angeben können, da Windows sonst nur Standardpfade bzw. eine eingelegte CD durchsucht.
207
7 Benutzerbezogene Sicherheit Abbildung 7.12: Wählen Sie den Geräte-Manager in den »Systemeigenschaften«
Abbildung 7.13: Wählen Sie den Eintrag des Smartcard-Lesers aus
5. Sofern Sie für den Smartcard-Leser einen passenden Treiber angeben, sollte das System die Hardware nun automatisch erkennen und die notwendigen Dateien in die Systemverzeichnisse kopieren.
208
Authentifizierung unter Windows Abbildung 7.14: Installieren Sie einen passenden Treiber nach
6. Beenden Sie den Assistenten durch einen Klick auf Fertig stellen. Die Installation der Hardwareunterstützung ist damit durchgeführt, nun muss die Installation der Zertifikate folgen. Abbildung 7.15: Die fertig installierte Hardware wird nun korrekt im Geräte-Manager gelistet
209
7 Benutzerbezogene Sicherheit
Erzeugen eines Benutzerzertifikats Eine Vorarbeit muss der Anwender durchführen, der später eine Smartcard erhalten soll. Damit Windows dem Anwender später ein Smartcard-Zertifikat zuordnen kann, muss der Anwender zuvor ein Benutzerzertifikat beantragt haben. Nur wenn ein solches Zertifikat vom Anwender beantragt und dieses auch installiert wurde, kennt die Zertifikatsstelle den Benutzer und kann so auch ein Smartcard-Zertifikat ausstellen. Das erhaltene Zertifikat ist übrigens auch für die Bereiche der Daten- und Mail-Verschlüsselung erforderlich, mehr dazu aber später in einem eigenen Kapitel. Die folgenden Schritte zeigen, wie der Anwender zum Erhalt des Zertifikats vorgehen muss. 1. Im ersten Schritt verbinden Sie sich mit dem Webserver-Frontend Ihres Zertifikatsservers. Die browserbasierte Methode ist hier aus Sicht der Autoren zu bevorzugen, da sie speziell für normale Anwender leichter zu handhaben ist, als die vergleichbare Methode über das Snap-In der Eigenen Zertifikate. Verbinden Sie sich durch den Aufruf der folgenden Internetseite, wobei Servername für den Computernamen der Zertifikatsstelle steht: http://servername/certsrv
2. Auf der Startseite der Verbindung wählt man nun die Option Ein Zertifikat anfordern, damit ein Benutzerzertifikat für den jeweils angemeldeten Benutzer erstellt werden kann. Abbildung 7.16: Die Startseite des Zertifikatsservers
210
Authentifizierung unter Windows
3. Klicken Sie auf Weiter, um zum nächsten Bildschirm zu gelangen. Hier aktivieren Sie die Option Benutzerzertifikatsanforderung und wählen im angezeigten Fenster den Eintrag Benutzerzertifikat. 4. Nach einem Klick auf Weiter stellt das System automatisch alle Daten über den aktuell angemeldeten Benutzer zusammen. Sie können diese Informationen jetzt noch über den Hyperlink Weitere Optionen ergänzen. Prinzipiell reichen aber die Standardoptionen bereits aus, um ein vollwertiges Zertifikat anzulegen. Klicken Sie auf Einsenden, um das Zertifikat für den aktuellen Benutzer zu beantragen. Abbildung 7.17: Die Benutzerinformationen wurden zusammengestellt
5. Da die Authentifikation innerhalb einer Windows 2000/XP-Domäne ja bereits durch das Benutzerkonto gewährleistet wird, ist für die Ausstellung des Zertifikats keine weitere Prüfung durch die Zertifikatsstelle erforderlich. Daher bietet Ihnen die Webseite nun direkt an, das Zertifikat auf dem lokalen Computer zu installieren. Führen Sie auch diese Aktivität durch einen Klick auf den Hyperlink Dieses Zertifikat installieren durch, wenn der lokale Computer die Zertifikatsdaten speichern soll, z.B. um eine spätere Mail-Signatur zu ermöglichen. 6. Die erfolgreiche Installation wird Ihnen im Browser durch die Meldung Das neue Zertifikat wurde installiert bestätigt. Wenn Sie die Installation des Zertifikats überprüfen wollen, wählen Sie im Internet Explorer den Befehl Extras/Internetoptionen und wechseln dort auf die Registerkarte Inhalte. Klicken Sie hier auf die Schaltfläche Zertifikate. Auf der Registerkarte Eigene Zertifikate des folgenden Dialogfensters sollte das neue Zertifikat bereits angezeigt werden.
211
7 Benutzerbezogene Sicherheit Abbildung 7.18: Das Zertifikat für den Anwender ist installiert
Einrichten eines Enrollment-Agents In den folgenden Schritten ist der Administrator wieder dran. Er muss nun einerseits ein Zertifikat für die Ausstellung einer Smartcard und andererseits auch das eigentliche Smartcard-Zertifikat beantragen. Zuerst aber muss das System, an dem der Smartcard-Leser angeschlossen bzw. eingebaut ist, als Arbeitsstation für die Vergabe von Smartcard-Zertifikaten berechtigt werden. Dazu müssen sie sich als Administrator der Domäne an diesem Computer anmelden und die folgenden Schritte durchführen. 1. Verbinden Sie sich im ersten Schritt mit dem Webserver-Frontend des Zertifikatsservers. Dazu rufen Sie die folgende Webseite auf: http://servername/certsrv
2. Auf der Startseite des Zertifizierungsservers wählen Sie die Option Ein Zertifikat anfordern, um ein neues Zertifikat zu erstellen. Klicken Sie auf Weiter, um zum nächsten Bildschirm zu gelangen. 3. Im folgenden Bildschirm können Sie nun prinzipiell ein neues Benutzerzertifikat für sich selbst anfordern, aber dies ist diesmal nicht die Aufgabe. Wählen Sie also stattdessen die Option Erweiterte Anforderung, um ein spezifisches Zertifikat anzufordern.
212
Authentifizierung unter Windows Abbildung 7.19: Über die Option »Erweiterte Anforderung« gelangen Sie zu den speziellen Zertifikaten
4. Im folgenden Bildschirm müssen Sie nun bestimmen, um welchen Typ von Zertifikat es sich handelt. Wählen Sie hier noch nicht die Anforderung eines Smartcard-Zertifikats, da noch kein Registrierungs-Agent eingerichtet wurde. Aktivieren Sie stattdessen die Option Senden Sie ein Zertifikatsanforderungsformular an diese Zertifizierungsstelle und klicken Sie auf Weiter. 5. Im folgenden Bildschirm müssen Sie nun genaue Angaben zum Typ des auszustellenden Zertifikats machen. Im Bereich Zertifikatsvorlage wählen Sie dazu zuerst den Eintrag Registrierungs-Agent. Wird dieser Eintrag nicht angeboten, kontrollieren Sie bitte auf dem Zertifikatsserver noch einmal, ob die Vorlage Registrierungs-Agent (und nicht RegistrierungsAgent Computer) installiert wurde. 6. Im Bereich Schlüsseloptionen können Sie nun noch nähere Angaben zur Art und zur Sicherheit des Zertifikats machen. Sofern Sie keine speziellen Anforderungen an das Zertifikat haben oder eine neue Version des Zertifikats erstellen, können Sie die vorgeschlagenen Standardoptionen in diesem Bereich übernehmen. Das Gleiche gilt auch für den Bereich der zusätzlichen Optionen, in denen Sie beispielsweise einen Hash-Algorithmus für die gesicherte Übertragung der Zertifikatsanforderung auswählen können. Klicken Sie abschließend auf Einsenden, um das Zertifikat anzufordern.
213
7 Benutzerbezogene Sicherheit Abbildung 7.20: Wählen Sie das Zertifikatsanforderungsformular
Abbildung 7.21: Die Einstellungsseite für die Optionen des RegistrierungsAssistenten
214
Authentifizierung unter Windows
7. Sofern die Ausstellung des Zertifikats erfolgreich verläuft und der angemeldete Anwender auch tatsächlich über administrative Rechte verfügt (Mitglied in der Gruppe der Domänen-Administratoren), sollte Ihnen nun die Option Dieses Zertifikat installieren angeboten werden. Klicken Sie auf den Hyperlink, um den Registrierungs-Agenten auf dem SmartcardRechner einzurichten. 8. Wird die erfolgreiche Installation des Zertifikats gemeldet, können Sie die korrekte Installation direkt kontrollieren. Wählen Sie dazu im Internet Explorer den Befehl Extras/Internetoptionen und wechseln dort auf die Registerkarte Inhalte. Klicken Sie hier auf die Schaltfläche Zertifikate. Auf der Registerkarte Eigene Zertifikate des folgenden Dialogfensters sollte das neue Zertifikat bereits angezeigt werden. Abbildung 7.22: Das fertig installierte Zertifikat des RegistrierungsAssistenten
Einrichten eines Smartcard-Logons Im letzten Schritt richten Sie jetzt nach all den Vorbereitungen endlich auch das eigentliche Smartcard-Zertifikat ein, mit dem einem Anwender die Anmeldung über die Chipkarte ermöglicht wird. Die dazu notwendigen Schritte zeigen wir Ihnen wieder Step-by-Step. 1. Melden Sie sich an der Arbeitsstation, die mit dem Smartcard-Leser ausgestattet ist, als derjenige Anwender an, der über ein Zertifikat als Registrierungs-Agent verfügt. Im Beispiel hatten Sie dieses Zertifikat als Anwender/Administrator bezogen, also melden wir uns im Beispiel als dieser User an.
215
7 Benutzerbezogene Sicherheit
2. Rufen Sie im Internet Explorer wieder die Webseiten Ihres Zertifikatsservers unter der folgenden Adresse auf: http://servername/certsrv
3. Wählen Sie im Startbildschirm wieder die Option Ein Zertifikat anfordern und klicken Sie auf Weiter. Auf der nun angezeigten Seite aktivieren Sie wieder die Option Erweiterte Anforderung, da Sie kein einfaches Benutzerzertifikat, sondern ein spezielles Zertifikat erstellen wollen. Klicken Sie auch hier wieder auf Weiter. 4. Im nächsten Fenster wählen Sie diesmal die Option Fordern Sie ein Smartcardzertifikat für einen anderen Benutzer mithilfe der Smartcard-Registrierungsstelle an. Auf diese Weise stoßen Sie den Prozess zur Generierung eines speziellen Smartcard-Zertifikats an. Klicken Sie auf Weiter. Abbildung 7.23: Senden Sie eine Anfrage nach einem SmartcardZertifikat
5. Damit Ihre Arbeitsstation das Zertifkat auch korrekt auf die Smartcard schreiben kann, muss zuerst ein ActiveX-Applet auf dem Rechner installiert werden, das die entsprechenden Funktionen bereitstellt. Sie erhalten bei entsprechenden Sicherheitseinstellungen Ihres Browsers die Anfrage, ob Sie das Applet Microsoft Smartcard Enrollment Station Control installieren wollen. Klicken Sie hier bitte auf Ja. 6. Sobald das Applet auf Ihrem Rechner installiert ist, wird eine neue Webseite angezeigt, mit der Sie nun genau die Sicherheit der Smartcard und den betreffenden Benutzer bestimmen. Im Listenfeld Zertifikatsvorlage wählen Sie zuerst einmal eine passende Vorlage aus. Hier können Sie, je nachdem, welche Vorlagen Sie installiert haben, die Vorlage Smartcard-
216
Authentifizierung unter Windows
Benutzer oder Smartcard-Anmeldung auswählen. Die Zertifizierungsstelle sollten Sie auf dem vorgegebenen Rechner belassen, für den Kryptografiedienstanbieter sollten Sie ebenfalls die Vorgabe übernehmen. Abbildung 7.24: Installieren Sie das ActiveX-Applet
7. Sofern es notwendig ist, sollten Sie unter Administratorsignaturzertifikat den Anwender auswählen, dessen Registrierungs-Agent-Zertifikat auf dem Rechner installiert wurde. In der Regel wird hier aber bereits der richtige Anwender eingetragen. 8. Zu guter Letzt müssen Sie im Bereich Einzuschreibender Benutzer den Anwender angeben, der ein Smartcard-Zertifikat erhalten soll. Klicken Sie dazu auf Benutzer auswählen. Über die Suchfunktionen des Active Directory können Sie dann den gewünschten Anwender auswählen. Nach erfolgter Auswahl wird im Benutzerfeld in der Regel der Full Qualified Domain Name des Anwenders angezeigt (der Namen mit dem @). 9. Legen Sie nun die Smartcard ein. Klicken Sie auf Einschreiben, um die Daten auf die Smartcard zu übertragen. Sie werden anschließend noch aufgefordert, eine PIN-Nummer für den Anwender einzugeben. Diese PIN sollte später vom Anwender geändert werden, um etwaige Sicherheitslücken zu vermeiden. Im Anschluss an die Datenübertragung erhalten Sie eine Erfolgsmeldung, der Vorgang ist abgeschlossen. Wenn Sie möchten, können Sie weitere Smartcards für andere Benutzer anlegen. Die fertige Smartcard kann jederzeit vom Anwender genutzt werden. Dazu muss er die Smartcard beim Start des Rechners oder auch später in das Lesegerät einlegen. Wurde eine Smartcard eingelegt, bietet das System automatisch zwei Typen von Authentifizierung an. Wenn Sie die SmartcardAuthentifizierung wählen, werden Sie aufgefordert, die PIN einzugeben. Wurde diese korrekt eingegeben, findet eine Anmeldung am System statt und Sie können die Arbeitsstation nutzen.
217
7 Benutzerbezogene Sicherheit Abbildung 7.25: Sind alle Einträge eingegeben, kann die Smartcard beschrieben werden
Abbildung 7.26: Die Smartcard wird für die Authentifizierung in das Lesegerät eingelegt
218
Sicherheitsoptionen für die Anmeldesicherheit
7.3
Sicherheitsoptionen für die Anmeldesicherheit
Für die gezielte Steuerung der Sicherheit in Bezug auf die Anmeldesicherheit bieten sich eine ganze Reihe von Gruppenrichtlinien an, die wir Ihnen in diesem Abschnitt näher vorstellen wollen. Dabei wollen wir uns aber darauf beschränken, die jeweils wichtigen Gruppenrichtlinien und den Pfad zu diesen Einstellungen zu beschreiben. Einen generellen Hinweis zum Umgang mit Gruppenrichtlinien erhalten Sie in Kapitel 6.
7.3.1
Kontenrichtlinien festlegen
Eine Gruppenrichtlinie, die einerseits für die Netzwerksicherheit und andererseits für die Benutzerverwaltung ganz besonders wichtig ist, ist die Kontenrichtlinie. Es handelt sich dabei um eine Richtlinie, die auf Domänenebene die Sicherheitseinstellungen für die Benutzerkonten regelt. Werden unterschiedliche Kontenrichtlinien benötigt, müssen Sie mehrere Domänen in Ihr Active Directory einbinden. Einstellungen zu den Kontenrichtlinien sollten Sie also nur mit dem Tool Active Directory-Benutzer und –Computer ausführen und dort die direkt an der Domäne angebrachte Gruppenrichtlinie Default Domain Policy verwenden. Nur hier zeigen die getroffenen Einstellungen Wirkung. Wenn Sie die Gruppenrichtlinie geöffnet haben, klicken Sie sich in der linken Ordnerleiste durch den folgenden Pfad: Computerkonfiguration/ Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien. Abbildung 7.27: Die Kontorichtlinien der Gruppenrichtlinie
219
7 Benutzerbezogene Sicherheit
Die Kontenrichtlinie ist ihrerseits dann aber wieder in drei verschiedene Aspekte unterteilt, die sich auf die Handhabung von Konten, die gesicherte Übertragung von Authentifizierungsdaten und spezielle Rechte von Anwendern konzentrieren: 왘 Die Kennwortrichtlinien: Diese Richtlinien definieren die passwort-
spezifischen Optionen, wie z.B. die Passwortlänge, die Passworthistorie oder die Passwort-Komplexität. Im Einzelnen können Sie hier folgende Einstellungen vornehmen: 왘 Kennwortchronik erzwingen verhindert, dass ein Benutzer immer wie-
der das gleiche Kennwort verwenden kann. Sie können festlegen, wie viele Kennwörter gespeichert werden. Wenn Sie also beispielsweise fünf Passwörter speichern, kann der Anwender erst beim sechsten Mal wieder sein Passwort verwenden, das er als erstes genutzt hatte. 왘 Kennwörter müssen den Komplexitätsanforderungen entsprechen legt fest,
dass die Kennwörter folgenden Kriterien genügen müssen: Das Kennwort darf keine Teile des Benutzernamens enthalten, es muss mindestens sechs Zeichen lang sein und muss mindestens drei Zeichen enthalten, die einer der folgenden Kategorien entsprechen: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Diese Einstellung sollte, wenn möglich, aktiviert werden. 왘 Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung
speichern dient dazu, Kennwörter unverschlüsselt zu speichern. Diese Richtlinie sollten Sie nur aktivieren, wenn Sie Anwendungen verwenden, die keine verschlüsselten Kennwörter verarbeiten können. Sie schafft allerdings eine massive Sicherheitslücke, daher sollte der Einsatz wohlüberlegt sein. 왘 Maximales Kennwortalter gibt an, nach Ablauf welcher Frist ein Kenn-
wort spätestens geändert werden muss. Hier sollte ein Zeitraum von 30 Tagen gewählt werden, um einen monatlichen Wechsel der Kennwörter zu erzwingen. 왘 Minimale Kennwortlänge dient zum Festlegen der Mindestlänge eines
Kennwortes. Eine Kennwortlänge von sechs Buchstaben ist mittlerweile Standardvorgabe, darunter sollte man auch keine Kennwörter akzeptieren. Längere Kennwörter schaffen zwar automatisch auch mehr Sicherheit, sollten aber mit Bedacht gewählt werden, da die Anwender sonst beginnen, die Kennwörter auf den berühmten gelben Zetteln am Monitor zu sammeln. 왘 Minimales Kennwortalter gibt an, nach Ablauf welcher Frist ein Kenn-
wort frühestens geändert werden kann. Diese Einstellung sollte auf einen Tag gestellt werden. Dadurch sollten in heterogenen Netzwerken auch Synchronisationsprobleme zwischen unterschiedlichen
220
Sicherheitsoptionen für die Anmeldesicherheit
Kennwortdatenbanken berücksichtigt sein. Längere Fristen bringen natürlich auch wieder Sicherheitslücken mit sich, da ein Anwender sein Kennwort nicht ändern kann, selbst wenn er es möchte. Abbildung 7.28: Legen Sie die Kennwortrichtlinien fest
왘 Die Kontosperrungsrichtlinien: Mithilfe dieser Richtlinien wird festge-
legt, wann und für wie lange ein Benutzerkonto gesperrt wird. Im Einzelnen stehen Ihnen die folgenden Punkte zur Verfügung: 왘 Kontensperrungsschwelle: Dieser Wert definiert die Anzahl der fehlge-
schlagenen Anmeldeversuche, bevor ein Konto gesperrt wird. Der Eintrag 0 bedeutet, dass das Konto nie gesperrt wird. Eine Sperrung nach fünf fehlgeschlagenen Versuchen ist heute als Standard anzusehen. 왘 Kontosperrdauer gibt die Dauer (in Minuten) an, für die ein Konto
gesperrt bleibt. Ein Wert von 0 bedeutet, dass das Konto gesperrt bleibt, bis ein Administrator die Sperre manuell aufhebt. Letzteres schafft zwar dem Administrator mehr Arbeit, bedeutet aber die maximale Sicherheit für Konten. 왘 Kontosperrungszähler zurücksetzen nach: Hier kann die Zeit angegeben
werden, nach der der Zähler für fehlgeschlagene Anmeldeversuche auf 0 gesetzt wird. Dieser Wert muss kleiner oder gleich der Kontosperrdauer sein.
221
7 Benutzerbezogene Sicherheit Abbildung 7.29: Die Kontosperrungsrichtlinien schützen bei Missbrauch von Konten
왘 Die Kerberos-Richtlinie: Diese Richtlinie definiert die Kerberos-spezifi-
schen Optionen, wie z.B. die Lebensdauer eines Tickets oder Anmeldebeschränkungen für Anwender. Diese Richtlinie ist allerdings nur innerhalb der Domäne verfügbar. Sie verfügen dann über die folgenden Einstellungsmöglichkeiten: 왘 Benutzeranmeldeeinschränkungen erzwingen: Hier können Sie festlegen,
ob das Kerberos Key Distribution Center (KDC) jede Anfrage nach einem Dienstticket mit der Benutzerrichtlinie auf dem lokalen Computer vergleicht. 왘 Max. Gültigkeitsdauer des Benutzertickets in Stunden. Hierbei handelt
es sich um die Gültigkeitsdauer eines Ticket Granting Tickets, das ein Domänencontroller für einen Anwender der Domäne bei der Anmeldung ausstellt. Der Standardwert ist auf 10 Stunden vorgegeben, nach Ablauf dieser Zeit muss das Ticket erneuert werden. Alle Tickets, die auf dem TGT basieren, müssen dann ebenfalls erneuert werden. Je kürzer der festgelegte Zeitraum, desto sicherer ist der Zugriff, da das Ticket nach Ablauf nicht mehr benutzt werden kann. Die Sicherheit führt aber zu mehr Netzwerklast, da die Tickets häufiger bezogen werden müssen. 왘 Max. Gültigkeitsdauer des Diensttickets in Minuten. Dieser Wert muss
größer als 10 Minuten sein und kleiner oder gleich der Gültigkeitsdauer des Benutzerticktes (TGT). Die Diensttickets müssen also immer vor dem Ticket Granting Ticket ablaufen, um Inkonsistenzen bei den Berechtigungen zu vermeiden.
222
Sicherheitsoptionen für die Anmeldesicherheit 왘 Max. Toleranz für die Synchronisation des Computertakts gibt die maxi-
male Zeitdifferenz in Minuten an, die zwischen der Uhr des Clients und des Servers bestehen darf. Ist die Toleranzschwelle überschritten, kann der Client sich nicht mehr am Domänencontroller anmelden bzw. keine Netzwerkressourcen mehr nutzen. 왘 Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann in Tagen.
Damit während einer längeren Arbeitssitzung ein Benutzerticket nicht vollständig neu verhandelt werden muss, wird das Ticket normalerweise nur verlängert, das Ticket bleibt aber gleich. Dies kann zu einem Sicherheitsrisiko führen, weil das Ticket auf diese Weise möglicherweise missbraucht werden kann. Wer Wert auf Sicherheit legt, sollte die Standarddauer von 7 Tagen reduzieren, dies geschieht aber zu Lasten eines erhöhten Netzwerkverkehrs, da die Clients nun häufiger mit dem Domänencontroller wegen neuer Tickets verhandeln. Abbildung 7.30: Die KerberosRichtlinien
7.3.2
Verwendung von Gruppenrichtlinien für die Zuweisung von Benutzerrechten und Sicherheitsoptionen
Im Bereich der lokalen Richtlinien bietet eine Gruppenrichtlinie eine Unmenge an Einstellungen, die für die Sicherheit relevant sein können. Alle Einstellungen zu listen, wäre allerdings ein endloses Unterfangen, weswegen wir uns darauf beschränkt haben, die wichtigsten und sicherheitsrele-
223
7 Benutzerbezogene Sicherheit
vanten Richtlinien genauer vorzustellen. Die lokalen Richtlinien können Sie dabei im Gegensatz zu den Kontorichtlinien an jeder beliebigen Organisationseinheit festmachen, auch eine Bearbeitung der Domäne selbst wäre möglich. Damit können Sie über das Active Directory unterschiedliche Sicherheitsvorgaben für unterschiedliche Rechnertypen definieren, z.B. sehr restriktive Einstellungen für Domänencontroller, sehr einfache Vorgaben für Clientcomputer. Sie finden die Einstellungen im Gruppenrichtlinienfenster unter: Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/ Lokale Richtlinien. Hier gruppieren sich die Benutzerrechte in zwei Bereiche, die durch entsprechende Ordnerstrukturen abgebildet sind: 왘 Zuweisen von Benutzerrechten 왘 Sicherheitsoptionen
Die Benutzerrechte konzentrieren sich auf spezielle Benutzerrechte, die man Gruppen und einzelnen Anwendern zusätzlich zu den klassischen Berechtigungen gewähren kann. Es handelt sich dabei aber im Wesentlichen um administrative Berechtigungen, wie beispielsweise das Recht, sich an einem Computer lokal anzumelden. Die wichtigsten Einstellungen haben wir in der folgenden Tabelle zusammengefasst. Tabelle 7.2: Die wichtigsten Benutzerrrechte
Richtlinie
Funktion
Als Dienst anmelden
Ermöglicht es speziellen Konten, die zumeist für Serversoftware eingesetzt werden, einen Dienst zu starten.
Auf diesen Computer vom Netzwerk aus zugreifen
Die hier genannten Anwendergruppen können auf den Computer vom Netzwerk aus zugreifen. Alle anderen Anwender nicht.
Erstellen von dauerhaft freige- Ermöglicht es den angegebenen Anwendergebenen Objekten gruppen, Freigaben auf den PCs durchzuführen, auf die die Gruppenrichtlinie angewendet wird.
224
Erzwingen des Herunterfahrens von einem Remotesystem aus
Hier legen Sie fest, welche Anwendergruppen die Möglichkeit besitzen, das System von einer anderen Arbeitsstation aus herunterzufahren.
Herunterfahren des Systems
Hier legen Sie fest, welche Anwender das Recht besitzen, den Computer über die lokale Konsole herunterzufahren. Bei Workstations sollte dies die Gruppe Jeder sein, bei Servern oder Domänencontrollern sollten dies nur ausgewählte administrative Gruppen sein.
Sicherheitsoptionen für die Anmeldesicherheit
Richtlinie
Funktion
Hinzufügen von Arbeitsstatio- Falls kein Computerkonto existiert, wenn ein nen zur Domäne Rechner zur Domäne hinzugefügt wird, fragt Windows beim Beitreten zur Domäne nach einem Konto, mit dem ein solches neues Konto erstellt werden kann. Üblicherweise sind die Administratoren-Konten hierzu berechtigt. Bei komplexen Infrastrukturen muss dieses Recht allerdings zeitweilig delegiert werden, dann müssen die Gruppen hier angegeben werden. Laden und Entfernen von Gerätetreibern
Wenn Sie neben den Administratoren auch anderen Anwendern erlauben wollen, Gerätetreiber (z.B. Druckertreiber) zu installieren, können Sie diese Anwendergruppen hier berechtigen.
Lokal anmelden
Hiermit spezifizieren Sie, wer sich lokal an der Konsole des Rechners anmelden darf. Bei Arbeitsstationen ist dies zumeist die Gruppe Jeder, bei den Servern sollte die Berechtigung stärker gefiltert werden, z.B. auf die Administratoren oder Server-Operatoren.
Lokale Anmeldung verweigern
Wenn Sie explizit einzelnen Anwendern oder Anwendergruppen die Anmeldung an der Konsole verweigern wollen, sollten Sie diese Anwender hier eintragen. Die hier angegebenen Sperren überschreiben etwaige Einstellungen aus der Richtlinie Lokal anmelden.
Sichern von Dateien und Verzeichnissen
Die angegebenen Anwender und Gruppen haben die Berechtigung, Dateien und Verzeichnisse mithilfe des Backup-Programms von Windows auf ein Band oder einen Datenträger zu sichern. Sie haben nicht das Recht, die Daten wiederherzustellen.
Übernehmen des Besitzes von Dateien und Objekten
Soll ein Anwender in der Lage sein, den Besitz an Dateien und Objekten zu übernehmen, selbst wenn er keinen Vollzugriff auf ein Objekt besitzt, können Sie ihn hier für den betreffenden Computer gesondert berechtigen. Standardmäßig ist dazu nur der Administrator berechtigt.
Tabelle 7.2: Die wichtigsten Benutzerrrechte (Forts.)
225
7 Benutzerbezogene Sicherheit Tabelle 7.2: Die wichtigsten Benutzerrrechte (Forts.)
Richtlinie
Funktion
Wiederherstellen von Dateien und Verzeichnissen
Gibt den entsprechenden Anwendern oder Gruppen das Recht, Dateien und Ordner von einer Sicherung auf Band oder Datenträger zurückzusichern. Das Recht zum Sichern muss über die bereits erwähnte Richtlinie separat gewährt werden.
Zugriff vom Netzwerk auf die- Sollen bestimmte Anwender oder Anwensen Computer verweigern dergruppen nicht über das Netzwerk auf einen Rechner zugreifen, können Sie diese hier angeben. Die hier getroffenen Einträge überschreiben die Erlaubnis aus der Richtlinie Auf diesen Computer vom Netzwerk aus zugreifen. Abbildung 7.31: Die Benutzerrechte spezifizieren einzelne Systemberechtigungen
Die Sicherheitsoptionen hingegen bieten die Möglichkeit einer Vielzahl von sicherheitsspezifischen Einstellungen in Bezug auf das Behandeln von Konten, die Authentifizierung und die Kennwortsicherheit. Die wichtigsten Sicherheitsoptionen möchten wir Ihnen an dieser Stelle ebenfalls tabellarisch vorstellen.
226
Sicherheitsoptionen für die Anmeldesicherheit
Sicherheitsoption
Funktion
Administrator umbenennen
Mithilfe dieser Sicherheitsoption können Sie den lokalen Administrator auf allen Computern, für die die Richtlinie angewendet wird, auf einen bestimmten Namen umbenennen. Wenn der Computer in eine andere Organisationseinheit wechselt, wird entweder der Originalname wiederhergestellt oder aber die Vorschrift der neuen OU übernommen.
Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern
Bei dieser Sicherheitsoption können Sie festlegen, wie viele Tage vor Ablauf des Kennworts die Anwender zum Wechseln des Kennworts aufgefordert werden sollen.
Tabelle 7.3: Die wichtigsten Sicherheitsoptionen der Gruppenrichtlinien
Anwendern das Instal- Wenn Sie Anwendern das generelle Installieren von lieren von Druckertrei- Treibern erlauben, nicht hingegen das Installieren bern nicht erlauben von Druckertreibern zulassen möchten, können Sie die Installation hier durch Aktivieren für alle Computer des betreffenden Containers blocken. Anzahl zwischenzuspeichernder vorheriger Anmeldungen
Wenn ein Windows 2000- oder XP-Client eine Anmeldung durchführt, speichert er Informationen über diese Anmeldung zwischen. Dies ermöglicht einem Client auch dann eine Anmeldung an der Domäne, wenn kein Domänencontroller verfügbar ist. Da in diesem Fall jedoch die aktuellen Gruppenrichtlinien nicht zugewiesen können, handelt es sich prinzipiell um eine Sicherheitslücke. Um die Anmeldung ohne Domänencontroller zu verhindern, setzen Sie die zwischenzuspeichernden Anmeldungen auf Null. Bei anderen Werten reduzieren Sie die Anzahl der zwischengespeicherten Anmeldungen.
Gastkonto umbenennen
Mithilfe dieser Sicherheitsoption können Sie das lokale Gastkonto auf allen Computern, für die die Richtlinie angewendet wird, in einen bestimmten Namen umbenennen. Wenn der Computer in eine andere Organisationseinheit wechselt, wird entweder der Originalname wiederhergestellt oder aber die Vorschrift der neuen OU übernommen.
Herunterfahren des Systems ohne Anmeldung zulassen
Diese Option ist für die meisten Arbeitsstationen aktiv und ermöglicht einem Anwender das Herunterfahren, ohne dass er sich zuvor anmelden muss. Bei Servern oder Domänencontrollern sollte dies hingegen unbedingt deaktiviert werden, damit diese Systeme nur durch autorisiertes Personal heruntergefahren oder neu gestartet werden können.
227
7 Benutzerbezogene Sicherheit Tabelle 7.3: Die wichtigsten Sicherheitsoptionen der Gruppenrichtlinien (Forts.)
228
Sicherheitsoption
Funktion
LAN-ManagerAuthentifizierungsebene
Wenn Sie diese Option aktivieren, können Sie bestimmen, welche Kommunikationsvarianten für die Authentifizierung von Benutzeranmeldungen in Ihrer Organisationseinheit zulässig sind. Die Varianten im Einzelnen: 왘 LM- und NTLM-Antworten senden. Bei dieser Variante können auch Authentifizierungsanfragen von alten LAN-Manager-Clients beantwortet werden, Kerberos-Authentifizierung wird von den betreffenden Servern und Domänencontrollern nicht durchgeführt. Das LAN-Manager-Passwort ist aber leicht zu entschlüsseln, daher ist diese Einstellung sicherheitskritisch, wenn auch sehr kompatibel. 왘 Nur NTLM-Antworten senden. In diesem Fall ist die Authentifizierung über das NTLM-Protokoll für alle aktuellen Windows-Clients möglich. Allerdings werden keine älteren LAN-Manager-Clients unterstützt und auch keine Kerberos-Authentifizierungen zugelassen. 왘 Nur NTLMv2-Antworten senden. Dies ist die sicherste Einstellung für Windows 2000 oder XP, da Authentifizierung nur noch über das KerberosProtokoll zugelassen wird. Dazu müssen jedoch alle älteren Clients zumindest über den aktuellen Client für die Directory Services verfügen, den Microsoft auf der Webseite zum Download bietet. Computer unter Windows 2000 und XP können die Authentifikation direkt und ohne Zusätze durchführen. 왘 Nur NTLMv2-Antworten senden\LM verweigern. Hiermit erreichen Sie die gleiche Sicherheit wie mit der vorangegangenen Option, schalten aber die Nutzung von LAN-Manager-Kennwörtern explizit ab. 왘 Nur NTLMv2-Antworten senden\LM & NTLM verweigern. Auch hiermit erreichen Sie die gleiche Sicherheit wie mit der vorangegangenen Option, schalten aber zusätzlich auch die Nutzung von NTLM-Kennwörtern explizit ab. Diese Variante ist aus sicherheitstechnischer Sicht die optimale Einstellung, kann jedoch zu Problemen mit älterer Serversoftware und ähnlichen Vorkommnissen führen. Sie sollten die Option also vor dem Einsatz erst einmal testen.
Sicherheitsoptionen für die Anmeldesicherheit
Sicherheitsoption
Funktion
Letzten Benutzernamen nicht im Anmeldedialog anzeigen
Blendet den Namen des zuletzt angemeldeten Anwenders im Anmeldebildschirm aus, so dass der folgende Anwender den Namen nicht mehr sieht.
System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht kontrolliert werden können
Wenn die Systemprotokolle voll sind und die vorhandenen Einträge nicht überschrieben werden dürfen, fährt das System automatisch herunter. Nur ein Administrator kann das System dann noch in abgesicherten Modus starten und die Protokolldateien leeren.
Unverschlüsseltes Kennwort senden, um Verbindung mit SMBServern von Drittanbietern herzustellen
Wenn Sie mit speziellen Dateiservern arbeiten, die die Übergabe von unverschlüsselten Kennwörtern ordern, können Sie diese Option einschalten. In diesem Fall wird das Kennwort in Klartext über das Netzwerk übertragen (Sie können es auch gleich ans schwarze Brett hängen). Bitte beachten Sie, dass selbst neuere SMB-Systeme wie beispielsweise das kostenlose SAMBA für Linux und andere Unix-Derivate die von Windows durchgeführte Verschlüsselung verarbeiten können. Ein Update wäre also ratsamer als eine Sicherheitslücke.
Verhalten bei der Installation von nichtsignierten Treibern
Hier können Sie festlegen, dass Treiber, die nicht über eine gültige Signatur verfügen, also nicht auf Windows 2000- oder XP-Kompatibilität getestet wurden, nicht installiert werden können, selbst wenn Anwender das Recht zur Treiberinstallation besitzen.
Verhalten beim Entfernen von Smartcards
Mit der Option legen Sie fest, ob beim Entfernen die Sitzung weiterhin aktiv bleibt oder ein Ende der Sitzung herbeigeführt wird. Soll die Sitzung beim Entfernen beendet werden, können Sie wählen, ob tatsächlich eine Abmeldung stattfindet oder aber nur eine Sperrung der Arbeitsstation ausgeführt wird.
Tabelle 7.3: Die wichtigsten Sicherheitsoptionen der Gruppenrichtlinien (Forts.)
Weitere Einschränkun- Standardmäßig dürfen anonyme Anwender im Netzgen für anonyme werk, also Anwender, die sich nicht an einem DomäVerbindungen nencontroller authentifiziert haben, nur wenig. Wenn Ihnen dies immer noch zuviel ist, können Sie hier generell festlegen, dass allen anonymen Konten der Zugriff auf Freigaben verweigert wird bzw. dass er nur bei Freigaben möglicht ist, bei denen anonymen Konten explizit der Zugriff gewährt wird.
229
7 Benutzerbezogene Sicherheit Abbildung 7.32: Die Sicherheitsoptionen ermöglichen die Steuerung von Konten und Authentifizierung
7.3.3
Zusätzliche Sicherung der Passwörter
Durch die Verwendung von SYSKEY (aufzurufen über die Eingabe von SYSKEY.EXE an der Eingabeaufforderung) kann die Verschlüsselung der Passwörter im Active Directory auf die Verschlüsselung mit dem 128-BitSchlüssel umgestellt werden. Das Tool erzeugt einen Systemschlüssel, der beim Starten des Domänencontrollers verwendet wird, um den Passwortschlüssel zu verschlüsseln. Der Passwortschlüssel ist für die eigentliche Verschlüsselung der Passwörter im AD zuständig. Der Systemschlüssel kann entweder auf der lokalen Festplatte oder einer Diskette gesichert werden. Wählen Sie die Diskette, kann der Domänencontroller nicht mehr ohne diese Diskette gestartet werden. Alternativ können Sie den Systemschlüssel mit einem Passwort verknüpfen, das dann beim Systemstart abgefragt wird. Abbildung 7.33: SYSKEY schützt Ihre Kennwortdatenbank durch eine zusätzliche Verschlüsselung
230
Sicherheitsgruppen unter Windows
7.4
Sicherheitsgruppen unter Windows
Bereits unter Windows NT konnten Sie Gruppen für das effektive Management von Anwendern nutzen. Dabei wurden Anwender, die beim Zugriff auf Ressourcen gleiche Rechte besitzen sollen, in Gruppen zusammengefasst. Folglich musste man bei der Rechtevergabe die Berechtigungen nur noch einmal und nicht mehrmals festlegen. Ein weiterer Vorteil von Gruppen ist, dass ein Anwender die Berechtigungen erlangt, indem man sein Konto zur Gruppe hinzufügt und sie verliert, wenn das Konto aus der Gruppe entfernt wird. Unter Windows NT waren Gruppen jedoch zusätzlich mit einer Vielzahl von Funktionen überfrachtet, z.B. mit Policies oder anderen Aufgaben. Dies führte zumeist zu einer völlig chaotischen Gruppenstruktur, die kaum noch zu überblicken war. So existierten kurz vor der Einführung von Windows 2000 bei einem nicht unbekannten deutschen Mittelstandsunternehmen rund 500 Gruppen. Pikant war, dass das Unternehmen nur rund 500 Mitarbeiter hatte... Mit der Einführung von Active Directory wurden die Gruppen von der Aufgabe befreit, Unternehmensstrukturen abzubilden, sie dienen nunmehr wieder dem eigentlichen Zweck – der Zugriffssteuerung. Grundsätzlich gilt es beim Anlegen von Gruppen unter Windows, erst einmal zwischen einer Sicherheitsgruppe und einer Verteilergruppe zu unterscheiden. Die Sicherheitsgruppe verfolgt den bereits vorgestellten Zweck, also die Zugriffssteuerung. Die Verteilergruppe ist hingegen ein Instrument für den Messaging-Bereich. Wenn Sie eine Mail an diesen Verteiler richten, wird diese Mail beispielsweise an alle Mitglieder der Verteilergruppe verschickt. Aufgaben aus sicherheitstechnischer Sicht hat diese Gruppe nicht. Alle anderen Unterscheidungen hängen von einer Besonderheit ab, die durch die Abwärtskompatibilität von Windows 2000 und XP hervorgerufen wird. Unter beiden Betriebssystemen gibt es die Unterscheidung zwischen dem Betrieb mit alten Windows NT4-BDCs und einem homogenen Betrieb ausschließlich mit Windows 2000- und XP-Domänencontrollern. Werden noch alte NT-Backup-Domänencontroller eingesetzt, muss in der Domäne eine Struktur gefahren werden, die auch von den alten Betriebssystemen verstanden wird. Dies beeinträchtigt natürlich auch die Möglichkeiten, die Ihnen bei den Gruppen zur Verfügung stehen.
7.4.1
Gruppenstruktur im gemischten Modus
Im gemischten Modus, also dem Modus, der noch Windows NT4-BDCs unterstützt, nutzen Sie Gruppen wie unter Windows NT. Es gilt also das allseits bekannte AGLP-Modell, das wir hier noch einmal vorstellen wollen: 왘 A ccounts get placed into… 왘 G lobal groups, which get placed into…
231
7 Benutzerbezogene Sicherheit 왘 L ocal goups, which are assigned… 왘 P ermissions
Zuerst einmal platzieren Sie Benutzerkonten also in globalen Gruppen. Der Grund hierfür ist, dass globale Gruppen der einzige Container sind, die Konten über Domänengrenzen hinweg transportieren können. Soll ein Anwender also auf eine Ressource zugreifen, die in einer anderen, vertrauten Domäne steht, benötigen Sie hierzu eine globale Gruppe. Abbildung 7.34: Die Gruppe der Domänen-Benutzer ist eine klassische globale Gruppe
Im nächsten Schritt sollten Sie nun den lokalen Zugriff steuern. Dies ist sinnvoll, da Sie hier zuerst einer lokalen Gruppe ein Recht zuweisen können und dann erst Benutzer mit dieser bis dahin leeren Gruppe verbinden. Legen Sie also auf einem entsprechenden Ressourcenserver zuerst eine leere lokale Gruppe an. Dazu verwenden Sie das Verwaltungstool Computerverwaltung, in dem Sie den Bereich Lokale Benutzer und Gruppen öffnen. Klicken Sie im Programmfenster mit der rechten Maustaste auf den Ordner Gruppen und wählen Sie im Kontextmenü die Funktion Neue Gruppe. Geben Sie im folgenden Dialogfenster einen Namen für die Gruppe ein und fügen Sie bei Bedarf eine Beschreibung hinzu. Zu diesem Zeitpunkt fügen Sie noch keine Gruppenmitglieder hinzu. Im nächsten Schritt erstellen Sie eine Freigabe und definieren für die Freigabe die entsprechenden Berechtigungen. Dabei nehmen Sie beispielsweise die Gruppe Jeder aus der Liste der berechtigten Gruppen heraus und tragen stattdessen die zuvor erzeugten lokalen Gruppen des Servers ein. Eine noch bessere Lösung ist es, die Gruppe Jeder in den Freigabeberechtigungen durch die Gruppe Authentifizierte Benutzer zu ersetzen und die eigentlichen
232
Sicherheitsgruppen unter Windows
Zugriffsrechte mithilfe der NTFS-Berechtigungen festzulegen. Näheres zu diesen Zugriffsberechtigungen finden Sie in Kapitel 8. Bitte beachten Sie, dass man Berechtigungen NIE direkt einzelnen Anwendern zuweisen sollte. Die so entstehende Inkonsistenz ist später kaum noch nachvollziehbar und gewährt Anwendern möglicherweise Rechte, die über die eigentlich erforderlichen Rechte hinausgehen. Da dies eine Sicherheitslücke ist, sollten Sie diesen Fehler unbedingt vermeiden. Abbildung 7.35: Fügen Sie auf dem Ressourcenserver neue lokale Gruppen hinzu
Abbildung 7.36: Weisen Sie den neuen Gruppen Berechtigungen auf die Ressource zu
233
7 Benutzerbezogene Sicherheit
Weisen Sie über die Hinzufügen-Schaltfläche des jeweiligen Dialogfensters den hinzugefügten Gruppen die benötigten Berechtigungen zu. Dabei können Sie für jede Gruppe eigene Berechtigungsstufen vergeben. Wichtig ist, dass Sie für jede dieser lokalen Gruppen auch eine globale Gruppe als Pendant benötigen, da es keinen Sinn macht, eine globale Gruppe in mehrere lokale Gruppen für die gleiche Ressource aufzunehmen. Im letzten Schritt fügen Sie dann wieder in der lokalen Computerverwaltung der Ressource die globalen Gruppen der Domäne den entsprechenden lokalen Gruppen hinzu. Beachten Sie, dass Sie als Suchpfad für die hinzuzufügenden Konten und Gruppen nun die Kontendatenbank der Domäne angeben müssen. Wählen Sie dann die angebotenen Gruppen aus. Sie können an dieser Stelle übrigens gleich mehrere Gruppen aus unterschiedlichen Domänen aufnehmen, Sie müssen in diesem Fall nur den Suchpfad auf die jeweilige Domäne wechseln. Abbildung 7.37: Nehmen Sie die globale Gruppe in die lokale Gruppe auf
Durch diesen Schritt wird die Kette geschlossen, erst jetzt sind Anwender auch in der Lage, auf die Freigabe zuzugreifen. Der Zugriff geschieht dabei mit den von Ihnen vergebenen Berechtigungen.
234
Sicherheitsgruppen unter Windows
7.4.2
Wechsel in den einheitlichen Modus
Die Gruppenstruktur, die von Windows NT angeboten wird, ist im Grunde genommen durchaus funktional und wirksam. Allerdings ist die Zuordnung von lokalen Gruppen zu einzelnen Servern aus heutiger Sicht nicht mehr zeitgemäß, da ein zentrales Management auch eine zentrale Steuerung von Gruppen verlangt. Wenn Sie dies gewährleisten wollen und darüber hinaus keinen Windows NT4-BDC mehr in Ihrer Domäne haben, sollten Sie in den einheitlichen Modus wechseln. Dieser Modus bietet in Bezug auf Gruppensicherheit einige sehr interessante Features. Beachten Sie, dass der Wechsel in den einheitlichen Modus pro Domäne vollzogen wird. Es ist weder möglich, nur bestimmte Domänencontroller in diesen Modus zu versetzen, noch können Sie die Umstellung für eine Gesamtstruktur durchführen. Jede Domäne einer Gesamtstruktur muss separat in den einheitlichen Modus wechseln. Abbildung 7.38: Schalten Sie die Domäne in den einheitlichen Modus
Zum Aufruf des einheitlichen Modus verbinden Sie sich mit einem Domänencontroller Ihrer Domäne. Da die neuen Einstellungen automatisch auf alle anderen Domänencontroller repliziert werden, ist ein erneuter Aufruf auf anderen Domänencontrollern nicht notwendig. Starten Sie das Tool Active Directory-Benutzer und –Computer. Klicken Sie mit der rechten Maustaste auf die Domäne selbst und wählen Sie im angezeigten Kontextmenü die Option Eigenschaften. Im folgenden Dialogfenster finden Sie auf der Registerkarte Allgemein den Bereich Domänenmodus. Um in den einheitlichen
235
7 Benutzerbezogene Sicherheit
Modus zu wechseln, klicken Sie in dem Bereich auf die Schaltfläche Modus wechseln. Bestätigen Sie die Sicherheitsabfrage mit Ja, wird die Domäne in den einheitlichen Modus geschaltet. Weitere Handgriffe sind nicht mehr notwendig. Beachten Sie aber, dass dieser Schritt nicht rückgängig gemacht werden kann. Der einzige Weg, eine Domäne zurück in den gemischten Modus zu versetzen, ist die Auflösung der gesamten Domäne.
7.4.3
Gruppen im einheitlichen Modus
Sobald Sie in den einheitlichen Modus von Windows 2000 wechseln, werden aus den Gruppen von NT 4 völlig neu definierte Gruppentypen. Auch die AGLP-Regel wird nun als AGDLP-Regel ausgelegt. Die lokale Gruppe wird so zur domänenlokalen Gruppe (das DL) und erhält einen Geltungsbereich für die gesamte Domäne, nicht jedoch für die Gesamtstruktur. Inhalte einer domänenlokalen Gruppe stehen also in der gesamten Subdomain zur Verfügung. Die folgende Tabelle zeigt die neuen Aufgaben und den Geltungsbereich der jeweiligen Gruppen. Aufgrund der neuen Funktionalität können Sie prinzipiell jeder Gruppe Berechtigungen zuweisen. Somit können Sie andere Faktoren, beispielsweise die Bandbreite oder den Verwaltungsaufwand bei der Definition von Gruppen, besser berücksichtigen. Tabelle 7.4: Gruppen im einheitlichen Modus von Windows 2000
Gruppentyp
Kann enthalten
Kann enthalten sein in
Geltungsbereich
Domänenlokal
Benutzerkonten und globale Gruppen aus allen Domänen
Benutzerkonten, globale Gruppen und universelle Gruppen, außerdem andere domänenlokale Gruppen der gleichen Domäne
Domäne
Global
Benutzerkonten und andere globale Gruppen der gleichen Domäne
Universelle und domänenlokale Gruppen aus der Gesamtstruktur, globale Gruppen der gleichen Domäne
Gesamtstruktur
Universell
Benutzerkonten, glo- Domänenlokale und universale Gruppen bale Gruppen und universelle Gruppen der Gesamtstruktur aus der Gesamtstruktur
Gesamtstruktur
Eine zweite Besonderheit sind die so genannten universellen Gruppen. Bei diesen Gruppen handelt es sich um einen Typ, der noch oberhalb der globalen Gruppen angeordnet ist. Eine universelle Gruppe kann globale Gruppen
236
Sicherheitsgruppen unter Windows
aufnehmen, aber natürlich auch einzelne Benutzer. Dabei muss in der Gruppe nicht auf die Domänenstruktur Rücksicht genommen werden, die universelle Gruppe kann sowohl Mitglieder aus der Root-Domäne als auch aus beliebigen Subdomains enthalten. Auch die Integration von Benutzern aus vertrauten Domänen ist möglich. Da die universellen Gruppen in der Gesamtstruktur, also über die Grenzen von Domänen hinweg, zur Verfügung stehen, bieten sie sich geradezu an, wenn Berechtigungen in mehreren untergeordneten Subdomains zugleich möglichst einfach definiert werden sollen. In einem solchen Fall fassen Sie die betreffenden Anwender einfach zu einer universellen Gruppe zusammen und weisen der Gruppe die Berechtigungen in der jeweiligen Domäne zu. Die Inhalte einer universellen Gruppe werden allerdings im globalen Katalog gespeichert. Dies hat nun wiederum zur Folge, dass der globale Katalog bei umfassendem Einsatz der universellen Gruppen aufgebläht wird, was die Replikation des Katalogs zwischen verschiedenen Standorten erschweren kann. Wenn Sie über schwache WAN-Verbindungen verfügen, sollten Sie die universellen Gruppen daher nur in einzelnen Fällen einsetzen. Prinzipiell empfiehlt sich aus Sicht der Autoren folgende Regelung: 왘 Wenn Anwender aus mehreren Domänen auf eine einzelne Ressource
zugreifen sollen, verwendet man eine universelle Gruppe. 왘 Wenn Anwender aus mehreren Domänen auf unterschiedliche Ressour-
cen in unterschiedlichen Domänen zugreifen sollen, ist das AGDLP-Verfahren effektiver. Abbildung 7.39: Fügen Sie der Gruppe Mitglieder hinzu
237
7 Benutzerbezogene Sicherheit
Beachten Sie, dass auch hier die Möglichkeit besteht, die Daten der Gruppe nachträglich zu ergänzen, dazu klicken Sie mit der rechten Maustaste auf das Gruppenkonto und wählen die Option Eigenschaften des Kontextmenüs. Im folgenden Dialogfenster können Sie dann den Gruppentyp ändern, der Gruppe eine Sammel-Mailadresse zuweisen und, das Wichtigste, Mitglieder der Gruppe festlegen. Auf der Registerkarte Mitglieder können Sie die entsprechenden Einträge vornehmen, dabei müssen die Mitglieder der Gruppe nicht zwingend aus der OU stammen, in der die Gruppe angelegt wurde. Beachten Sie aber, dass Gruppenrichtlinien nicht auf eine Gruppe angewendet werden können, wenn die Mitglieder nicht aus der gleichen OU stammen.
7.5
Überwachungsrichtlinien für die Benutzerüberwachung
Während die Gruppenrichtlinien den Computern oder Anwendern bestimmte Rechte oder Konfigurationseinstellungen zuweisen, ermöglicht Ihnen die Überwachungs-Richtlinie die Definition von Vorgaben für die Systemüberwachung. Sie weisen damit einem bestimmten Objekt eine SACL (System Access Control List) zu und haben darüber die Möglichkeit, bestimmte Ereignisse wie z.B. den erfolgreichen oder nicht-erfolgreichen Zugriff auf das Objekt im Sicherheits-Protokoll aufzuzeichnen. Die SACL listet dabei die SIDs der Anwender und Anwendergruppen, die überwacht werden sollen, und jeder ACE (Access Control Entry) dieser Liste definiert zusätzlich, welche Aktionen überhaupt überwacht werden sollen.
7.5.1
Übersicht über die möglichen Überwachungsrichtlinien für die Benutzerüberwachung
Windows bietet für die Überwachung in den Gruppenrichtlinien eine ganze Reihe von Einstellungen. Zur Auswahl stehen Ihnen dabei neun verschiedene Kategorien von Überwachungsrichtlinien: 왘 Active Directory Zugriff überwachen 왘 Anmeldeereignisse überwachen 왘 Anmeldeversuche überwachen 왘 Kontenverwaltung überwachen 왘 Rechteverwendung überwachen 왘 Richtlinienänderung überwachen
Dabei ist wichtig, dass die Überwachung über Gruppenrichtlinien an unterschiedlichen Containern festgemacht werden kann. Auf diese Weise können Sie die Überwachung von Anwenderzugriffen auf beliebige Art und Weise
238
Überwachungsrichtlinien für die Benutzerüberwachung
strukturieren. So wäre beispielsweise eine Trennung von Domänencontrollern, Servern und Clientcomputern denkbar. Für jeden Systemtyp lassen sich andere Überwachungsrichtlinien definieren. Die über eine Gruppenrichtlinie in der Domäne festgelegten Einstellungen überschreiben dabei die lokalen Einstellungen eines Computers, Gruppenrichtlinien haben also Vorrang. Für die Überwachung von benutzerbezogenen Ereignissen sind jedoch nicht alle der genannten Überwachungsmethoden geeignet, da sich einige der Methoden auf den Zugriff auf spezielle Objekte wie Dateien oder Objekte des Active Directories beziehen. Um eine entsprechende Überwachung einzuschalten, navigieren Sie im Snap-In der Gruppenrichtlinien unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Überwachungsrichtlinien. Über die hier angebotenen Einträge können Sie die Überwachung für alle Computer der Organisationseinheit und der darunter befindlichen Container konfigurieren. Abbildung 7.40: Legen Sie die Überwachungsrichtlinien in einer Gruppenrichtlinie fest
Die aus Sicht der benutzerbezogenen Sicherheit zu kontrollierenden Ereignisse stellt die folgende Tabelle genauer dar. Dabei war uns wichtig, an dieser Stelle nur die Ereignisse zu nennen, die auch tatsächlich mit der Anmeldung von Benutzern, Gruppen und der Verwaltung von solchen Konten verbunden sind. Alle übrigen Ereignisse haben wir ausgelassen, da diese in anderen Kapiteln themenbezogen vorgestellt werden. Eine genauere Erläuterung der Objektüberwachung finden Sie beispielsweise in Kapitel 8, das sich um die Sicherheit des Datenzugriffs kümmert.
239
7 Benutzerbezogene Sicherheit Tabelle 7.5: Die Ereignisse für die Kontrolle der benutzerbezogenen Sicherheit
Name
Funktion
Anmeldeereignisse überwachen
Diese Richtlinie überwacht alle Anmeldeereignisse an einem Computer. Dabei handelt es sich nicht allein um die lokale Anmeldung, sondern auch um die Anmeldeereignisse, die bei einem Zugriff über das Netzwerk auftreten, oder um Anmeldungen von Diensten bzw. Dienstkonten.
Anmeldeversuche überwachen
Hiermit überwachen Sie die Anmeldeversuche eines Anwenders an einem Computer. Die Überwachung hält dabei alle erfolgreichen und/oder vergeblichen Anmeldeversuche fest.
Kontenverwaltung überwachen
Ist diese Richtlinie aktiv, wird die Kontenverwaltung von Anwenderkonten und Gruppenkonten überwacht. Aufgezeichnet werden also alle Aktionen zum Erstellen, Manipulieren und Löschen von Anwender- und Gruppenkonten.
7.5.2
Überwachungsstrategien für die Benutzerüberwachung
Die Überwachungsrichtlinien bieten Ihnen immer die Möglichkeit, erfolgreiche oder fehlgeschlagene Versuche aufzuzeichnen. Folglich stellt sich natürlich die Frage, was überhaupt überwacht werden soll. Dabei sollten Sie eine Faustregel immer im Hinterkopf behalten: Zeichnen Sie nur so viel Informationen wie nötig in den Sicherheitsprotokollen auf, denn Sie müssen diese Protokolle auch noch auswerten können. Für die Überwachung von erfolgreichen und fehlgeschlagenen Informationen gilt generell Folgendes: 왘 Fehlgeschlagene Versuche: Über das Aufzeichnen von fehlgeschlagenen
Versuchen können Sie feststellen, ob es unberechtigte Zugriffsversuche auf Ihr Netzwerk oder bestimmte Objekte gibt. Durch die ständige Kontrolle von fehlgeschlagenen Ereignissen lässt sich dann beispielsweise ein bestimmtes Angriffsmuster erkennen. 왘 Erfolgreiche Versuche: Das Aufzeichnen von erfolgreichen Versuchen
gibt Ihnen Aufschluss darüber, wer zu einem bestimmten Zeitpunkt auf das Netzwerk oder ein bestimmtes Objekt zugegriffen hat. Prinzipiell müssen Sie diese Ereignisse erst dann kontrollieren, wenn ein unberechtigter Zugriff erfolgt ist, um auf diese Weise die Identität des Benutzers herauszubekommen. Für unsere drei zu überwachenden Ereignisse bedeutet dies, dass verschiedene Konstellationen möglich sind. Die Konstellationen ergeben sich dabei aus den unterschiedlichen Aufgaben, die die Computer ausführen. Die Überwachungseinstellungen für einen Client sehen anders aus als die für einen Server. Beachten Sie, dass die Gruppenrichtlinie eine Einstellung widerspiegeln kann. Sollen unterschiedliche Überwachungseinstellungen
240
Überwachungsrichtlinien für die Benutzerüberwachung
realisiert werden, müssen Sie die Computer in unterschiedliche Organisationseinheiten aufteilen und dort jeweils eine passende Gruppenrichtlinie festmachen. Die folgende Tabelle zeigt Ihnen einen Vorschlag für die jeweilige Sicherheitskonfiguration. Computertyp
Empfohlene Einstellungen
Arbeitsstation
Die Aufzeichnung von Anmeldeereignissen auf einem Clientcomputer ist an sich nicht notwendig, da Clients üblicherweise keine Ressourcen, also Freigaben oder Drucker, bereitstellen. Die Überwachung von Anmeldeversuchen ist hingegen sehr wichtig, um fehlerhafte Anmeldungen festzuhalten. Um einen potentiellen Hacker zu identifizieren, macht es Sinn, die Überwachung von Fehlschlägen einzuschalten. Auf diese Weise lassen sich Angriffe auf spezielle Konten, die mit einer Vielzahl vergeblicher Anmeldeversuche verbunden sind, schnell identifizieren. Zudem kann man auf diese Weise auch alle Anwender, die Probleme mit dem Anmeldevorgang haben, herausfiltern und diese explizit noch einmal instruieren. Da die Kontenverwaltung nicht auf der Arbeitsstation stattfindet, können Sie diese Ereignisse hingegen wieder ignorieren.
Mitgliedsserver
Bei einem Mitgliedsserver sollten Sie die Überwachung deutlich komplexer einschalten, als auf einem Client. Die Kontrolle von erfolgreichen Anmeldeereignissen ist in der Regel nicht sinnvoll, da dies nur das Ereignisprotokoll belastet. Die Überwachung von fehlgeschlagenen Anmeldeereignissen ist hingegen sinnvoll, da sich so Probleme bei der Authentifizierung von Anwendern herausfinden lassen. Probleme bei der Kerberos-Authentifizierung wie auch bei der generellen Erkennung gültiger Benutzerkonten lassen sich so festhalten. Die Daten helfen dann bei der Behebung von KerberosProblemen, aber auch beim Ausfindigmachen von illegalen Zugriffen. Die lokale Anmeldung ist hingegen nur von geringem Interesse, da der Server zumeist in einem abgeschlossenen Serverraum steht und dort nur eine kleine Gruppe von Personen Zugriff hat. Nur, wenn diese Bedingung nicht gegeben ist, wäre eine Überwachung der Anmeldefehlschläge sinnvoll, um unautorisierte Anwenderanmeldungen aufzuzeichnen. Wird in Ihrer Domäne das AGLP-Verfahren eingesetzt, in dem auf dem Mitgliedsserver noch lokale Gruppenkonten erstellt und verwaltet werden, sollten Sie die erfolgreiche Kontenverwaltung überwachen. Fehlschläge sind an dieser Stelle hingegen nicht interessant. Arbeiten Sie mit Ihrer Domäne im einheitlichen Modus, sollten Sie die domänenlokalen Gruppen einsetzen, die auf dem Domänencontroller verwaltet werden. In diesem Fall ist eine Überwachung der lokalen Kontenverwaltung nicht mehr notwendig.
Tabelle 7.6: Empfohlene Überwachungseinstellungen für unterschiedliche Computertypen
241
7 Benutzerbezogene Sicherheit Tabelle 7.6: Empfohlene Überwachungseinstellungen für unterschiedliche Computertypen (Forts.)
Computertyp
Empfohlene Einstellungen
Domänencontroller
Auf dem Domänencontroller ist üblicherweise nur eine geringe Überwachung von Anmeldeereignissen oder Anmeldeversuchen notwendig. Die einzig interessante Überwachung wäre die Überwachung von fehlgeschlagenen Anmeldeereignissen, um Probleme bei der Kerberos-Authentifikation (z.B. bei fehlerhaften oder abgelaufenen Ticket Granting Tickets) zu ermöglichen. Wichtig ist hingegen die Überwachung aller Vorgänge bei der Kontenverwaltung. Da besonders im einheitlichen Modus auch alle Gruppenaktivitäten auf dem Domänencontroller verwaltet werden, sollten Sie hier Erfolg und Fehlschlag überwachen. Die Überwachung von erfolgreichen Kontenmanipulationen dient zur Überwachung der Administratoren selbst, sodass später der Verursacher eines Problems eindeutig identifiziert werden kann. Die Kontrolle der Fehlschläge dient zum Ausfindigmachen von Anwendern, die versuchen, die aktuellen Einstellungen zu Konten und Gruppen zu manipulieren.
Die vorgeschlagenen Einstellungen stellen Richtwerte dar. Natürlich können Sie die Überwachung auch umfangreicher einstellen. Sie sollten aber bedenken, dass jede eingeschaltete Überwachung auf einem Computer gewisse Systemressourcen bindet, die nicht mehr für andere Anwendungen zur Verfügung stehen. Überflüssige Überwachungen bremsen aber nicht nur Ihren Computer aus, sondern schreiben auch eine Vielzahl sinnloser Einträge in das Ereignisprotokoll, wodurch das Auffinden wichtiger Ereignisse kaum noch möglich wird. Abbildung 7.41: Stellen Sie passende Ereignisse für den jeweiligen Rechnertyp ein
242
Überwachungsrichtlinien für die Benutzerüberwachung
Beachten Sie auch, dass die Ereignisse immer im lokalen Ereignisprotokoll des jeweiligen Rechners abgelegt werden. Wenn Sie also beispielsweise die Kontenveraltung auf einem Mitgliedsserver überwachen, werden alle Informationen im Ereignisprotokoll des Mitgliedsservers abgelegt und nicht etwa auf dem Domänencontroller.
243
8
Ressourcenbezogene Sicherheit
Digitale Dokumente, in Dateien abgelegte Informationen, digitale Faxe, digitale Bilder oder ähnliche Ressourcen bilden heute die Grundlage für die meisten Geschäftsprozesse eines Unternehmens, d.h., wenn diese Ressourcen beschädigt werden oder in falsche Hände geraten, muss das Unternehmen, je nach betroffenen Ressourcen, mit einem entsprechend großen finanziellen Schaden rechnen. Daher müssen in einem Unternehmensnetzwerk die Ressourcen vor dem unberechtigten Zugriff gesichert werden. Aber nicht nur die digitalen Dateien gelten als Ressourcen, die in einem Unternehmen schützenswert sind. Sondern es gibt auch noch eine Reihe anderer Ressourcen, die für den Betrieb einer IT-Infrastruktur unter Windows 2000 relevant sind und entsprechend geschützt werden müssen. Dazu zählen einerseits die Konfigurationseinstellungen von Computern oder Servern, die in der Registrierdatenbank gesichert werden, deren unberechtigte und unsachgemäße Veränderung zu einem Totalausfall des Systems führen kann. Andererseits gehören auch die Netzwerkdienste und die Drucker zu wichtigen Ressourcen, die über entsprechende Zugriffs- und Administrationsberechtigungen vor nicht sachgemäßer Behandlung zu schützen sind. Und last but not least zählen die Active Directory-Objekte zu den schützenswerten Ressourcen. Gerade bei diesem Punkt ist auch die Frage der Administrationsberechtigungen zu beachten. Wie Sie all diese verschiedenen Unternehmensressourcen vor unberechtigtem Zugriff, aber auch vor versehentlicher nicht gewünschter Veränderung schützen können, erklären Ihnen die Abschnitte dieses Kapitels.
8.1
Anforderungen an die ressourcenbezogene Sicherheit
Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetzwerk im Rahmen des Sicherheits-Managements sich auch um die ressourcenbezogene Sicherheit kümmern müssen, oder ob Sie bereits alles Notwendige getan haben, stellen wir Ihnen zu Beginn des Kapitels noch einmal typische Anforderungen, Ziele oder Visionen vor. In punkto ressourcenbezogene Sicherheit werden von Seiten des Managements oder der Anwender häufig folgende Anforderungen gestellt: 왘 Alle digital abgelegten Informationen und Softwareanwendungen wer-
den als eigenständige Objekte oder Bestandteile bezeichnet. In weltweit operierenden Unternehmen verwendet man in diesem Zusammenhang den Begriff »Information Asset«. Jedes Objekt sollte über einen Besitzer verfügen, der sich für dieses Objekt verwantwortlich zeigt und der das Objekt gemäß einer unternehmensweiten Sicherheitsrichtlinie in eine der
245
8 Ressourcenbezogene Sicherheit
gültigen Informationskategorien einordnet. Die Forderung, die dahinter steht, lautet, dass jedes Informationsobjekt im Netzwerk über einen für das Objekt verantwortlichen Besitzer verfügen und die IT gemäß der Informationskategorie entsprechende Sicherheitsmaßnahmen für das Informationsobjekt treffen muss. 왘 Alle Dateien, die auf einem lokalen Computer oder einem Netzwerkser-
ver abgelegt werden, müssen über die Vergabe von entsprechenden Zugriffsberechtigungen vor dem nicht-autorisierten lokalen Zugriff durch nicht berechtigte Personen geschützt werden. 왘 Nicht nur der lokale Zugriff auf die Informationsobjekte des Unterneh-
mens muss durch entsprechende Zugriffsberechtigungen gesichert sein, sondern auch der Zugriff über das Netzwerk. 왘 Die Zugriffe auf die einzelnen Netzwerkressourcen müssen entspre-
chend der verwendeten Informationskategorien überwacht werden. 왘 Die eingerichteten Zugriffsberechtigungen müssen einerseits dokumen-
tiert werden und andererseits in regelmäßigen Intervallen überprüft werden. 왘 Für den Fall eines Systemausfalls müssen entsprechende Datensiche-
rungs- und Wiederherstellungsverfahren existieren, die eine möglichst zeitnahe Wiederinbetriebnahme des Systems erlauben. 왘 Alle Dateiressourcen sind durch das Einrichten eines angemessenen
Schutzes vor Virenbefall zu bewahren. 왘 Die Konfigurationseinstellungen von Computern und Servern sowie die
notwendigen Netzwerkdienste und –ressourcen müssen vor unberechtigtem und versehentlichem Zugriff entsprechend geschützt werden. 왘 Alle im Active Directory enthaltenen Objekte müssen vor unberechtig-
tem Zugriff und Veränderung geschützt werden. Auch der administrative Zugriff muss auf die notwendigen Berechtigungen beschränkt werden. Der administrative Zugriff ist darüber hinaus auch entsprechend zu überwachen.
8.2
Sicherheit von Dateien
Heute werden die meisten Informationen in digitaler Form auf Computern, Laptops oder Servern abgelegt. Die Speicherung erfolgt als Word-Dokument, Excel-Tabelle, Datenbankdatei, PowerPoint-Präsentation, Grafikdatei oder Organigramm. Dies bedeutet, dass auch eine ganze Reihe von Dokumenten erzeugt werden, die vertrauliche oder gar geheime Informationen enthalten. Solche Informationen bedürfen eines ganz besonderen Schutzes. Doch bevor Sie mit der eigentlichen Einführung von entsprechenden Sicherheitsmaßnahmen überhaupt anfangen können, müssen Sie sich darüber im Klaren sein, welche Informationsobjekte in Ihrer IT-Infrastruktur vorhanden
246
Sicherheit von Dateien
sind, welchen Datenbestand diese Objekte beinhalten und wo sie abgelegt sind. Je nach Datenbestand und Ablageort ergreifen Sie dann wahrscheinlich ganz unterschiedliche Schutzmaßnahmen. Die folgenden Abschnitte zeigen Ihnen die verschiedenen Schritte, die zur Sicherung Ihrer Datenbestände notwendig sind:
8.2.1
Klassifizierung der Datenbestände
Bevor Sie für Ihr Netz entsprechende Sicherheitsstrategien planen können, müssen Sie erst einmal feststellen, über welche Datenbestände Sie innerhalb Ihres Netzwerkes verfügen, welche Inhalte in diesen Datenbeständen enthalten sind und welche Risiken daraus für die einzelnen Datenbestände resultieren. Eine unternehmensweite Regelung, eine so genannte »Information Assets Classification Policy« klassifiziert die Daten in der Regel nach verschiedenen Kategorien und legt zugleich fest, welche Daten und Informationen in welche der definierten Kategorien einzuordnen sind. Zudem legen die meisten Firmen im Rahmen dieser »Information Assets Classification« für ihre Datenbestände einen entsprechenden »Besitzer« fest, der sich für die ihnen anvertrauten Informationen verantwortlich zeigt. Eine ganz wichtige Aufgabe des Besitzers von Informationen besteht darin, die in Word-Dokumenten, Excel-Tabellen oder sonstigen Dateien enthaltenen Informationen gemäß der Unternehmensrichtlinie zu klassifizieren und damit in die bestehenden Kategorien einzuordnen. Die Informationskategorien Standardmäßig erfolgt die Einteilung in vier Klassen; für jede dieser Klassen sind unterschiedliche Sicherheitsmaßnahmen zu treffen: 왘 Öffentliche Daten: Solche Informationen sind für jedermann innerhalb
und außerhalb des Unternehmens zugänglich. Die besten Beispiele für öffentliche Unternehmensinformationen sind die auf einer Unternehmensseite im Internet vorhandenen Daten oder die Informationen, die vom Marketing in Form von Broschüren, Meldungen oder Statements an die Presse und Öffentlichkeit weitergegeben werden. Bei solchen Daten spielt die Datensicherheit in Form der Datenverlässlichkeit die vorrangige Rolle, denn es wäre äußerst peinlich, wenn Daten in die Öffentlichkeit gelangen, die von nicht-autorisierten Personen, z.B. Hackern, verändert wurden. 왘 Interne Daten: Als interne Daten werden Informationen bezeichnet, die
für das Unternehmen selbst und den Ablauf der betrieblichen Prozesse relevant sind, dazu gehören Unternehmensrichtlinien, Memos, InhouseBroschüren, projektbezogene Informationen für die Mitarbeiter, etc. Diese Daten stehen in der Regel allen oder einem großen Teil der Unternehmensmitarbeiter zur Verfügung, müssen aber vor dem Zugriff externer Dritter geschützt werden. Wichtig ist bei solchen Informationen, die für eine breite Mitarbeiterschicht gelten, auch, dass diese Daten nicht durch einzelne, nicht dazu berechtigte Mitarbeiter modifiziert werden.
247
8 Ressourcenbezogene Sicherheit 왘 Vertrauliche Daten: Vertrauliche Daten sind auch im Unternehmen
immer nur ausgewählten Anwendern oder Anwendergruppen zugänglich und müssen vor dem Zugriff entsprechend unberechtigter Mitarbeiter gut geschützt werden. Typisches Beispiel für vertrauliche Informationen sind die Informationen der Personalabteilung, Gehaltslisten, etc. Geraten sie in falsche Hände, kann dies zu Missgunst oder Unternehmensstörungen führen. 왘 Geheime Daten: Für »geheime« Daten ist der höchstmögliche Schutz zu
verwenden, denn darunter fallen oft Produktentwicklungen, Forschungsergebnisse, Produktideen, Produktdesigns, etc. Diese Informationen sind im Unternehmen nur ganz ausgewählten Anwendern zugänglich, und der Missbrauch solcher Informationen hat in der Regel gravierende Auswirkungen auf die weitere Entwicklung des Unternehmens. Solche Daten müssen extrem sicher aufbewahrt werden. Die möglichen Schutzmaßnahmen Die Aufgabe der IT ist es nun, dem Besitzer der Informationen mit entsprechenden technischen Verfahren zur Seite zu stehen und ihm somit bei der Umsetzung der in der Unternehmensrichtlinie enthaltenen Regelung zu helfen. Zu den klassischen Schutzmaßnahmen gehören: 왘 Sicherung der Datenträger durch Formatierung mit dem Dateisystem
NTFS 5.0. 왘 Abbildung der kategorisierten Datenbestände in einer sinnvollen Datei-
ablagestruktur auf einem Dateiserver. 왘 Definition und Anlegen entsprechender Benutzergruppen, denen im
Anschluss die entsprechenden Zugriffsberechtigungen zugewiesen werden. Die Aufgaben und die damit verbundenen Rechte müssen darüber hinaus für alle leicht nachvollziehbar dokumentiert werden. 왘 Zuweisen der Verzeichnis- und Dateizugriffsberechtigungen (NTFS-
Berechtigungen) über die DACLs, um den lokalen Zugriff zu sichern. 왘 Einrichten von Netzwerkfreigaben und Konfiguration der Freigabe-
berechtigungen, um den Zugriff auf Ressourcen über das Netzwerk zu sichern. 왘 Verschlüsselung besonders sensitiver Daten mithilfe von EFS. 왘 Definieren und Einrichten von unterschiedlichen Überwachungsricht-
linien, die die Klassifikation der Daten entsprechend berücksichtigen. Die nachfolgenden Abschnitte werden sich exakt mit diesen Schutzmaßnahmen beschäftigen und Ihnen en Detail zeigen, wie Sie die Sicherung Ihrer Datenbestände durchführen. Die einzige Ausnahme bildet das Thema »Dateiverschlüsselung mit EFS«. Da es sich hierbei um ein neues Feature unter Windows 2000 und Windows XP handelt, haben wir diesem Punkt ein eigenes Hauptkapitel im Anschluss an dieses Kapitel gewidmet.
248
Sicherheit von Dateien
8.2.2
Sicherung des lokalen Dateizugriffs per NTFSBerechtigungen
Wenn Benutzer an einem Computer arbeiten, brauchen Sie das Anmelderecht für diesen Computer. Was ist aber nun mit den darauf befindlichen Dateien? Soll der Benutzer alle Dateien verändern d.h. auch löschen dürfen? Sind vielleicht sogar geheime Daten auf dem Computer, die nicht jedem Benutzer zugänglich sein sollen? Wenn Sie eine dieser Fragen mit Ja beantworten, müssen Sie sich automatisch Gedanken über die lokale Sicherheit der Datenbestände machen. Wenn Sie sich mit der Sicherheit der lokalen Dateiressourcen befassen, bedeutet dies, dass Sie den Zugriff auf lokale Daten, d.h. die Berechtigungen auf die Daten, die sich auf dem Computer, an dem der Benutzer sitzt und interaktiv angemeldet ist, konfigurieren. Voraussetzungen für NTFS Diese lokale Sicherheit bietet Windows 2000, allerdings nur, wenn Sie über einen Datenträger oder eine Partition mit dem NTFS-Dateisystem verfügen. Verwenden Sie das FAT/FAT32-Dateisystem, steht Ihnen keine lokale Sicherheit zur Verfügung. Die NTFS-Berechtigungen können bei einem entsprechend formatierten Datenträger auf alle gültigen Objekte, also sowohl auf Dateien als auch auf Ordner angewendet werden. Sie können aber zu jeder Zeit und ohne Datenverlust eine vorhandene FAToder FAT32-Partition zu einer NTFS-Partition konvertieren. Dazu verwenden Sie das Hilfsprogramm CONVERT.EXE, das Sie über die Eingabeaufforderung starten. Der Start erfolgt dabei mit den folgenden Parametern: CONVERT : /FS:NTFS /V
Der Parameter /FS muss mit angegeben werden, auch wenn eine andere Konvertierung mithilfe dieses Tools gar nicht möglich ist. Der Parameter /V ist optional, da Sie hiermit lediglich die umfassende Ausgabe von Informationen zum Konvertierungsvorgang einschalten. Sofern sich auf der gewählten Partition das Windows-System befindet oder sich andere Dateien im stetigen Zugriff durch Anwendungen befinden, kann die Konvertierung nicht direkt durchgeführt werden. Sie haben allerdings die Möglichkeit, einen Neustart anzustoßen. In diesem Fall wird die Konvertierung beim nächsten Neustart des Systems durchgeführt. NTFS-Berechtigungen zuweisen Das Vergeben von solchen NTFS-Berechtigungen ist im Prinzip ganz einfach. Sie gehen wie folgt vor. Um eine NTFS-Berechtigung zuzuweisen, öffnen Sie den Arbeitsplatz oder verwenden den Windows 2000-Explorer. 1. Wechseln Sie zu dem Verzeichnis oder zu der Datei, die Sie über NTFSBerechtigungen schützen wollen. 2. Klicken Sie anschließend mit der rechten Maustaste auf den gewünschten Ordner oder die entsprechende Datei.
249
8 Ressourcenbezogene Sicherheit
3. Wählen Sie im zugehörigen Popup-Menü die Funktion Eigenschaften und wechseln Sie im geöffneten Dialogfenster direkt auf die Registerkarte Sicherheitseinstellungen. Abbildung 8.1: Die Registerkarte »Sicherheitseinstellungen«
4. Auf dieser Registerkarte sehen Sie bereits die NTFS-Berechtigungen, die dem Besitzer der Datei, dem System und den Administratoren automatisch zugewiesen wurden. Standardmäßig verfügen diese drei Gruppen über Vollzugriff, was Sie im unteren Bereich der Registerkarte anhand der aktivierten Einzeloptionen erkennen können. 5. Wenn Sie in diesem Fenster nun einer weiteren Benutzergruppe entsprechende Zugriffsberechtigungen erteilen möchten, drücken Sie auf den Hinzufügen-Button. Sie gelangen dadurch zur bestehenden Liste der berechtigten Benutzer und Gruppen. Durch einfaches Markieren der Gruppe und einen Klick auf Hinzufügen wählen Sie die entsprechenden Gruppen aus. Haben Sie alle Gruppen ausgewählt, schließen Sie das Dialogfenster wieder mit einem Klick auf OK. 6. Automatisch kehren Sie auf die Registerkarte Sicherheitseinstellungen zurück, und es werden alle ausgewählten Gruppen in der Liste angezeigt. Markieren Sie die jeweilige Gruppe und weisen Sie ihr unter Berechtigung die NTFS-Berechtigung zu. Haben Sie alle Gruppen aufgenommen,
250
Sicherheit von Dateien
sollten Sie die Gruppe Jeder entfernen, um eine unter Umständen unbeabsichtigte Zugriffsmöglichkeit zu unterbinden. Weisen Sie auf diese Weise der Gruppe Authentifizierte Benutzer beispielsweise das Recht LESEN auf das zuvor gewählte Verzeichnis zu, wird dieses Recht in Form eines ACEs (Access Control Entry) in einer so genannten DACL (Discretionary Access Control List) gesichert. Abbildung 8.2: Das Dialogfenster, in dem Sie die Benutzer und Gruppen auswählen können
Vererbung von NTFS-Berechtigungen Wichtig bei der Vergabe von NTFS Zugriffsberechtigungen ist, dass Sie daran denken, dass die zugewiesenen NTFS-Berechtigungen von einem übergeordneten Verzeichnis an die ihm untergeordneten Verzeichnisse vererbt werden. Falls die Berechtigungen nicht vererbt werden sollen, aktivieren Sie bei der Vergabe von neuen NTFS-Berechtigungen die Option Nur diesen Ordner unter Übernehmen für. Wenn Sie lediglich bestimmte Dateien oder untergeordnete Ordner von der Vererbung der Berechtigungen ausnehmen möchten, klicken Sie mit der rechten Maustaste auf die betreffende Datei oder den untergeordneten Ordner. Klicken Sie dort auf Eigenschaften, wechseln Sie zur Registerkarte Sicherheitseinstellungen und deaktivieren Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen übernehmen. Somit haben Sie die Möglichkeit, sowohl die Vererbung von Berechtigungen sowie das Erben von Berechtigungen zu steuern.
251
8 Ressourcenbezogene Sicherheit
Wenn die Kontrollkästchen schattiert angezeigt werden, hat die Datei oder der Ordner bereits die Berechtigungen vom übergeordneten Ordner geerbt. Änderungen an den bereits geerbten Berechtigungen können auf drei verschiedene Arten vorgenommen werden: 왘 Nehmen Sie Änderungen am übergeordneten Ordner vor. Die Datei oder
der Ordner erbt dann automatisch die angegebenen Berechtigungen. 왘 Wählen Sie die gegensätzliche Berechtigung (Zulassen oder Verweigern)
aus, um die geerbte Berechtigung zu überschreiben. 왘 Deaktivieren Sie das Kontrollkästchen Vererbbare übergeordnete Berechti-
gungen übernehmen. Das System fragt Sie dann, ob Sie die geerbten Berechtigungen entfernen oder kopieren wollen. Wenn Sie Kopieren wählen, bleiben die vererbten Berechtigungen erhalten, können aber nachträglich angepasst werden. In beiden Fällen können Sie Änderungen an den Berechtigungen vornehmen oder den Benutzer bzw. die Gruppe aus der Berechtigungsliste entfernen. Die Datei oder der Ordner erbt nun allerdings keine Änderungen mehr, die Sie an den Berechtigungen für den übergeordneten Ordner vornehmen. Wenn für eine Berechtigung weder Zulassen noch Verweigern ausgewählt ist, hat die Gruppe oder der Benutzer die Berechtigung möglicherweise über eine Gruppenmitgliedschaft erhalten. Falls die Gruppe oder der Benutzer die Berechtigung nicht aufgrund der Mitgliedschaft in einer anderen Gruppe besitzt, wird der Zugriff für diese Gruppe bzw. diesen Benutzer implizit verweigert. Aktivieren Sie das entsprechende Kontrollkästchen, um die Berechtigung ausdrücklich zuzulassen oder zu verweigern. Anmerkung: Sie sollten die Vererbung allerdings nur in zwingenden Fällen blockieren, da dadurch die Verwaltbarkeit von umfangreichen Dateistrukturen unübersichtlich wird und es zu Sicherheitslücken kommen kann. Die einzelnen NTFS-Berechtigungen Wenn man sich die NTFS-Berechtigungen etwas näher ansieht, muss man zunächst einmal zwischen den Ordner-Berechtigungen und den Datei-Berechtigungen unterscheiden. Diese beiden Berechtigungsformen, möchten wir Ihnen hier einmal näher vorstellen, wobei man beachten sollte, dass die Standard-NTFS-Berechtigungen wiederum aus einzelnen beschränkenden NTFS-Rechten bestehen, die wir Ihnen im Anschluss an die beiden Berechtigungsformen auch noch einmal im Einzelnen vorstellen möchten: Berechtigungen für Ordner
Wenn Sie für Verzeichnisse, so genannte Ordner, entsprechende NTFSBerechtigungen vergeben möchten, stehen Ihnen die folgenden Berechtigungen zur Verfügung: Vollzugriff, Ändern, Lesen & Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben. Die einzelnen Berechtigungen umfassen jeweils eine logische Gruppe von beschränkten Berechtigungen. Die folgende Tabelle zeigt die Ordner-Berechtigungen und die jeweils zugehörigen beschränkten Berechtigungen.
252
Sicherheit von Dateien
Beschränkte Berechtigungen
Vollzugriff
Ändern
Lesen & Ausführen
Ordnerinhalt auflisten Lesen
Ordner durchsuchen/Datei ausführen
x
x
x
x
Ordner auflisten/Daten lesen
x
x
x
x
Schreiben
x
Attribute lesen
x
x
x
x
x
Erweiterte Attribute lesen
x
x
x
x
x
Dateien erstellen/Daten schreiben
x
x
x
Ordner erstellen/Daten anhängen
x
x
x
Attribute schreiben
x
x
x
Erweiterte Attribute schreiben
x
x
x
Untergeordnete Ordner und Dateien löschen
x
Löschen
x
x
Berechtigungen lesen
x
x
x
x
x
x
x
x
x
x
x
Berechtigungen ändern
x
Besitz übernehmen
x
Synchronisieren
x
Tabelle 8.1: Die verschiedenen Ordner-Berechtigungen und die dazugehörigen beschränkten Rechte
Anmerkung: Die Optionen Ordnerinhalt auflisten und Lesen & Ausführen weisen scheinbar dieselben beschränkten Berechtigungen auf. Diese Berechtigungen werden jedoch auf unterschiedliche Weise übernommen. Die Berechtigungen für Ordnerinhalt auflisten werden nur von Ordnern übernommen, nicht jedoch von Dateien. Diese Option sollte nur dann auftreten, wenn Sie Berechtigungen für Ordner anzeigen. Bei Lesen & Ausführen dagegen werden die Berechtigungen sowohl von den Dateien als auch von den Ordnern übernommen. Diese Option ist immer verfügbar, wenn Sie Berechtigungen für Dateien oder Ordner anzeigen. Berechtigungen für Dateien
Wenn Sie für eine oder mehrere einzelne Dateien entsprechende NTFSBerechtigungen vergeben möchten, stehen Ihnen die folgenden DateiBerechtigungen stehen zur Verfügung: Vollzugriff, Ändern, Lesen & Ausführen, Lesen und Schreiben. Die einzelnen Berechtigungen umfassen jeweils eine logische Gruppe von einschränkenden Berechtigungen. In der nachstehenden Tabelle werden die Dateiberechtigungen und die jeweils zugehörigen beschränkten Berechtigungen aufgeführt.
253
8 Ressourcenbezogene Sicherheit
Beschränkte Berechtigungen
Vollzugriff
Ändern
Lesen & Ausführen
Ordner durchsuchen/Datei ausführen
x
x
x
Ordner auflisten/Daten lesen
x
x
x
x
Attribute lesen
x
x
x
x
x
x
Erweiterte Attribute lesen
x
x
Dateien erstellen/Daten schreiben
x
x
Lesen
Schreiben
x
Ordner erstellen/Daten anhängen
x
x
x
Attribute schreiben
x
x
x
Erweiterte Attribute schreiben
x
x
x
Untergeordnete Ordner und Dateien löschen
x
Löschen
x
x
Berechtigungen lesen
x
x
x
x
x
x
x
x
x
Berechtigungen ändern
x
Besitzrechte übernehmen
x
Synchronisieren
x
Tabelle 8.2: Die einzelnen Datei-Berechtigungen und die jeweils damit verbundenen einschränkenden Berechtigungen
Anmerkung: Gruppen und Benutzer, die über das Recht Vollzugriff verfügen, können alle Dateien in dem Ordner löschen, unabhängig von den Berechtigungen für die einzelnen Dateien. Beschränkte Berechtigungen für Dateien und Ordner
Eine kurze Beschreibung der einzelnen beschränkten Rechte soll Ihnen helfen, diese Berechtigungen besser zu verstehen: 왘 Ordner durchsuchen: Mit Ordner durchsuchen legen Sie fest, ob ein Wech-
sel durch die Ordner zulässig ist, um auf andere Dateien oder Ordner zuzugreifen, selbst wenn keine Berechtigung für die »durchquerten« Ordner vorliegt (nur bei Ordnern). Wenn Sie die Berechtigung Ordner durchsuchen für einen Ordner festlegen, wird automatisch auch die Berechtigung Datei ausführen für die Dateien in dem betreffenden Ordner eingerichtet. Hierbei handelt es sich um das klassische Execute-Recht, wie es auch von anderen Betriebssystemen, z.B. UNIX, bekannt ist. 왘 Datei ausführen: Mit Datei ausführen legen Sie fest, ob Programmdateien
ausgeführt werden dürfen (nur bei Dateien). 왘 Ordner auflisten/Daten lesen: Mit Ordner auflisten bestimmen Sie, ob die
Namen von Dateien und untergeordneten Ordnern in einem bestimmten Ordner aufgelistet werden dürfen (nur bei Ordnern). Mit Daten lesen geben Sie hingegen an, ob die Daten in den Dateien angezeigt werden können (nur bei Dateien). Diese Berechtigung spiegelt das Read-Recht wieder, wie es bereits unter Windows NT und anderen Betriebssystemen verwendet wurde.
254
Sicherheit von Dateien 왘 Attribute lesen: Hiermit legen Sie fest, ob die Attribute einer Datei oder
eines Ordners angezeigt werden dürfen, also beispielsweise Merkmale wie Schreibgeschützt oder Verborgen in den Dateieigenschaften oder im Explorer sichtbar sind. Die Attribute werden durch NTFS definiert. 왘 Erweiterte Attribute lesen: Hiermit legen Sie fest, ob die erweiterten
Attribute einer Datei oder eines Ordners angezeigt werden dürfen. Gemeint sind die Attribute eines Ordners oder einer Datei, die Sie in den Eigenschaften auf der Registerkarte Allgemein durch einen Klick auf die Erweitert-Schaltfläche anzeigen. Über die erweiterten Attribute steuern Sie die Kompression und Verschlüsselung sowie die Indizierung und Archivierung von Dateien und Ordnern. 왘 Dateien erstellen / Daten schreiben: Mit Dateien erstellen legen Sie fest,
ob Dateien in dem betreffenden Ordner erstellt werden dürfen (nur bei Ordnern). Mit Daten schreiben geben Sie an, ob Änderungen an der Datei durchgeführt werden dürfen und ob der vorhandene Inhalt überschrieben werden darf (nur bei Dateien). 왘 Ordner erstellen / Daten anhängen: Mit Ordner erstellen legen Sie fest, ob
Ordner in dem betreffenden Ordner erstellt werden dürfen (nur bei Ordnern). Mit Daten anhängen geben Sie an, ob Änderungen am Dateiende vorgenommen werden dürfen (nur bei Dateien). Diese Berechtigung umfasst nicht das Recht zum Ändern, Löschen oder Überschreiben von vorhandenen Daten. 왘 Attribute schreiben: Hiermit legen Sie fest, ob die Attribute einer Datei
oder eines Ordners (beispielsweise Schreibgeschützt oder Verborgen) geändert werden dürfen. Die Attribute werden durch NTFS definiert. 왘 Erweiterte Attribute schreiben: Hiermit legen Sie fest, ob die erweiter-
ten Attribute einer Datei oder eines Ordners geändert werden dürfen. Gemeint sind hier auch die Attribute eines Ordners oder einer Datei, die Sie in den Eigenschaften auf der Registerkarte Allgemein durch einen Klick auf die Erweitert-Schaltfläche anzeigen. Über die erweiterten Attribute steuern Sie die Kompression und Verschlüsselung sowie die Indizierung und Archivierung von Dateien und Ordnern. Wollen Sie Anwendern beispielsweise die Verschlüsselung von existierenden Dateien in einem Ordner untersagen, können Sie ihnen einfach das Recht auf die erweiterten Attribute entziehen. 왘 Untergeordnete Ordner und Dateien löschen: Hiermit legen Sie fest, ob
untergeordnete Ordner und Dateien auch dann gelöscht werden dürfen, wenn die Berechtigung zum Löschen nicht vorliegt. 왘 Löschen: Hiermit legen Sie fest, ob der Inhalt einer Datei oder eines Ord-
ners gelöscht werden darf. Wenn Sie nicht über die Berechtigung zum Löschen einer Datei oder eines Ordners verfügen, können Sie das betreffende Element dennoch löschen, wenn Sie das Recht Untergeordnete Ordner und Dateien löschen für den übergeordneten Ordner besitzen.
255
8 Ressourcenbezogene Sicherheit 왘 Berechtigungen lesen: Hiermit legen Sie die Leseberechtigungen für die
Datei oder den Ordner fest (beispielsweise Vollzugriff, Lesen oder Schreiben). Ein Anwender mit diesem Recht kann die aktuellen NTFS-Berechtigungen einer Datei bzw. eines Ordners anzeigen, diese aber nicht verändern. 왘 Berechtigungen ändern: Hiermit legen Sie die Änderungsberechtigun-
gen für die Datei oder den Ordner fest (beispielsweise Vollzugriff, Lesen oder Schreiben). Verfügt ein Anwender über das Recht, kann er die Berechtigungen für den Zugriff auf Dateien oder Ordner manipulieren. 왘 Besitzrechte übernehmen: Hiermit legen Sie fest, ob eine Besitzüber-
nahme der Datei oder des Ordners möglich ist. Der Besitzer einer Datei oder eines Ordners kann jederzeit die zugehörigen Berechtigungen ändern, unabhängig von anderen Berechtigungen, mit denen die Datei oder der Ordner geschützt ist. 왘 Synchronisieren: Hiermit legen Sie fest, ob mehrere Threads auf die
Zugriffsnummer für die Datei oder den Ordner warten und mit einem anderen Thread (durch den die Zugriffsnummer signalisiert wird) synchronisiert werden dürfen. Diese Berechtigung gilt nur bei MultithreadProgrammen, bei denen mehrere Prozesse gleichzeitig ausgeführt werden. Exkurs zum Thema »Besitzer« Bei NTFS gibt es noch eine Sonderrolle, nämlich die Rolle des Besitzers. Als »Besitzer« gilt standardmäßig der Anwender, der ein Dokument, eine Datei oder ein Verzeichnis erstellt. Der Besitzer verfügt für dieses Objekt automatisch über das Recht »Vollzugriff« und damit über das höchste NTFS-Recht. Der »Besitzer« kann das Objekt einsehen, es bearbeiten oder löschen, ja, er ist sogar in der Lage, die Berechtigungen für dieses Objekt zu ändern. Wer der aktuelle Besitzer eines Ordners oder einer Datei ist, erfahren Sie, wenn Sie die Eigenschaften des Objektes aufrufen und in dem angezeigten Dialogfenster auf die Registerkarte Sicherheitseinstellungen wechseln. Dort klicken Sie auf Erweitert und wechseln in dem daraufhin angezeigten Dialogfenster auf die Registerkarte Besitzer. Gerade wenn Anwender ein Unternehmen verlassen, kann es notwendig sein, dass für bestimmte Dateien dieses Anwenders eine andere Person den Besitz und damit die Besitzerrechte übernimmt. Administratoren bzw. Anwender, die über Vollzugriff für das entsprechende Objekt bzw. das Einzelrecht Besitzrechte übernehmen verfügen, sind dazu in der Lage. Auf der Registerkarte Besitzer bekommen Sie immer den aktuellen Besitzer angezeigt und können dies dort aber auch abändern und mit Ihrem eigenen Account den Besitz übernehmen.
256
Sicherheit von Dateien
Die Kumulation der einzelnen NTFS-Berechtigungen Wenn Sie mit NTFS-Berechtigungen arbeiten, können Sie diese entweder einem einzelnen Benutzer oder aber bestimmten Benutzergruppen zuweisen. In größeren Netzwerken oder auch beim Zuweisen von NTFS-Berechtigungen auf einem Dateiserver, auf den das gesamte Unternehmen zugreift, ist es aber nicht ratsam, die Rechte an einzelne Benutzer zu binden. Sie sollten sich als Faustregel also immer merken, dass Sie die NTFS-Berechtigungen am besten immer den domänenlokalen Benutzergruppen zuweisen. Wenn Sie nun die Berechtigungen aber einzelnen Benutzergruppen zuweisen, kann es natürlich passieren, dass sich ein bestimmter Anwender in verschiedenen Benutzergruppen befindet, denen Sie unterschiedliche NTFSZugriffsberechtigungen zugewiesen haben. Dabei kann es dann zu unliebsamen Effekten kommen, die wir Ihnen am Beispiel eines Anwenders namens Helge verdeutlichen möchten: Ein Anwender erhält durch seine Anmeldung am Betriebssystem, wie wir bereits im vorangegangenen Kapitel gezeigt haben, mehrere so genannte »Dienst-Tickets« für den Zugriff auf Dateiressourcen. Neben dem Ticket für das eigene Benutzerkonto erhält der Anwender aber auch noch ein Ticket für die Gruppe Benutzer, zu der standardmäßig alle Benutzerkonten gehören. Das Gleiche gilt auch noch für die Gruppe Jeder, so dass jeder Anwender automatisch drei solcher Tickets erhält. Wenn ein Benutzer noch zu weiteren Gruppen gehört, kommen natürlich auch diese Tickets zur Geltung. Bei den NTFS-Rechten gilt dann das kumulative Verfahren. Wenn wir das kumulative Verfahren in mathematischen Begriffen ausdrücken wollen, gilt, dass jede Berechtigung, die an einem der Tickets hängt, die dem Anwender zugewiesen werden, mit einem logischen ODER addiert werden. Wenn also eine NTFS-Berechtigung irgendeinem Ticket des Benutzers auf Zugelassen steht, dann verfügt der Benutzer effektiv über diese Berechtigung. Mit anderen Worten: es wird geprüft, ob die Berechtigung bei einem Ticket des Benutzers auf Zugelassen steht und nicht einem Ticket Verweigert wurde. Eine Berechtigung Verweigern sollte nur ganz selten und nur in Ausnahmefällen eingesetzt werden. Wenn Sie nicht wollen, dass ein Benutzer eine bestimmte Berechtigung erhält, dann weisen Sie diesem Benutzer die Berechtigung nicht zu. Erfahrungsgemäß tritt Verweigern nur in schlecht geplanten Umgebungen auf. Das folgende Beispiel soll Ihnen helfen, diesen Vorgang zu verstehen. Wir gehen davon aus, dass der Anwender HELGE zur Gruppe Jeder (automatisch) und zur Gruppe Benutzer gehört. Bitte beachten Sie, dass dies nur ein Beispiel für die Rechtekumulation ist. In der Praxis raten wir dringend davon ab, einem Benutzerkonto und/oder der Gruppe Jeder entsprechende Rechte zuzuweisen. In der Praxis definiert man für die verschiedenen Benutzerrechte entsprechende domänenlokale Benutzergruppen und weist diesen dann die passenden NTFS-Berechtigungen zu.
257
8 Ressourcenbezogene Sicherheit Abbildung 8.3: Die Berechtigungen, die der Anwender durch die Gruppenzugehörigkeit in verschiedenen Anwendergruppen erhält, kumulieren sich
Berechtigungen = Nicht Zugelassen und nicht Verweigert Z= Zugelassen V= Verweigert
Benutzerkonto Gruppe Peter Benutzer
Ordner durchsuchen / Datei ausführen Ordner auflisten/ Daten lesen
Z Z
Attribute lesen Erweiterte Attribute lesen
Effektive Gruppe Zugelassen Jeder
Z
Z
Effektives NTFS-Recht Und nicht für die AnmelVerweigert dung Peter
Z
Z
Z
Z
Z
Z
Z
V
Z
V
V
Dateien erstellen / Daten schreiben
Z
Z
Z
Ordner erstellen / Daten anhängen
Z
Z
Z
Attribute schreiben
Z
Z
Z
Erweiterte Attribute schreiben
Z
Z
Z
Untergeordnete Ordner und Dateien löschen Löschen
V
Z
Berechtigungen lesen
Z
Z
Z Z
V
Z
V Z
Berechtigungen ändern Besitzrechte übernehmen
V
Synchronisieren
Z
V Z
Z
Tabelle 8.3: Ein Beispiel für kumulierende NTFS-Berechtigungen
258
Z
V Z
Sicherheit von Dateien
Es gibt ein paar Rechtekombinationen von Zugelassen und Verweigert, die keinen Sinn ergeben würden. Die grafische Benutzeroberfläche von Windows 2000 lässt diese Kombinationen daher auch gar nicht zu.
8.2.3
Sicherung des Zugriffs über Netzwerk per Netzwerkfreigaben und NTFS
Wenn Sie im Netzwerk eine Ressource für andere zugänglich machen wollen, müssen Sie diese Ressource freigeben. Erst danach können Anwender über das Netzwerk auf den betreffenden Computer, in der Regel handelt es sich dabei um einen Dateiserver, zugreifen. Voraussetzung für den Zugriff ist jedoch, dass diese Anwender über ein gültiges Benutzerkonto auf dem Ressourcen-Computer verfügen. Diese so genannten Freigabeberechtigungen für den Zugriff werden also an der Ressource verwaltet, hier müssen gültige Konten oder Gruppen definiert sein, sonst kann die Ressource über das Netzwerk nicht genutzt werden. Neben den bereits im vorangegangenen Kapitel behandelten NTFS-Berechtigungen zur lokalen Sicherung von Dateiressourcen, gibt es also auch noch die so genannten Freigabeberechtigungen. Wenn Sie sich das folgende Schaubild einmal näher betrachten, wird Ihnen auffallen, dass diese Freigabesicherheit die Zugriffe über das Netzwerk steuert, während für die lokale Sicherheit eine solche Freigabe völlig wertlos ist. Wenn sich also ein Anwender, dem Sie beispielsweise über die Definition einer Netzwerkfreigabe für den Netzwerkzugriff das Recht Kein Zugriff zugewiesen haben, sich lokal an dem Ressourcen-Computer anmeldet, hat der Anwender trotzdem alle Rechte für den Zugriff auf Dateien und Verzeichnisse des freigegebenen Ordners. Abbildung 8.4: Das Zusammenspiel von NTFSund Freigabeberechtigungen
259
8 Ressourcenbezogene Sicherheit
Aus diesem Grund verwendet man in einem Netzwerk die Freigabe- und NTFS-Berechtigungen grundsätzlich auch immer in Kombination. Während die NTFS-Berechtigungen für die lokale Sicherheit sorgen (vgl. vorangegangenes Kapitel), lassen sich auf Netzwerk-Servern die Freigabeberechtigungen für die Vereinfachung des Anwenderzugriffs auf gezielte Verzeichnisse nutzen. Wie Sie die Freigabe- und NTFS-Berechtigungen optimal für den Schutz Ihrer Dateiressourcen kombinieren, zeigen Ihnen die nachfolgenden Abschnitte: Freigabeberechtigungen einrichten Das Setzen von Freigabeberechtigungen für ein bestimmtes Ressourcenverzeichnis ist im Grunde genommen eine äußerst einfache Aktion. Normalerweise sollte ein Systemadministrator allerdings bei der Erstellung von Freigaben einige Sicherheitsaspekte berücksichtigen, die für die Nutzung der Ressource wichtig sind: 1. Bevor Sie eine Ressource freigeben, sollten Sie auf dem betreffenden Datenträger unbedingt vorher über die Vergabe von NTFS-Berechtigungen festgelegt haben, welche Anwender über welche Rechte beim Datenzugriff verfügen. Erst nach dem Definieren der lokalen Sicherheit, sollten Sie sich an das Vergeben von Netzwerkfreigaben machen. 2. Wollen Sie ein Verzeichnis auf einem Computer für die Nutzung über das Netzwerk zur Verfügung stellen, müssen Sie das Verzeichnis freigeben. Dazu melden Sie sich mit administrativen Rechten an und öffnen den Arbeitsplatz oder alternativ hierzu den Windows-Explorer. 3. Wechseln Sie auf das Laufwerk, in dem sich das Verzeichnis befindet, und klicken Sie mit der rechten Maustaste auf den Ordner, den Sie freigeben möchten. 4. Wählen Sie im so angezeigten Popup-Menü die Option Freigabe. Es folgt ein Dialogfenster, in dem Sie sich automatisch auf der Registerkarte Freigabe befinden. 5. Aktivieren Sie hier die Option Freigeben als und vergeben Sie im Feld Freigabename einen passenden Namen für die Freigabe. Dieser Name sollte so gewählt werden, dass Anwender, die über das Netz zugreifen, den Inhalt des Verzeichnisses vom Freigabenamen ableiten können, z. B. »Buchhaltung«. Standardmäßig nutzt Windows beim Aktivieren der Freigabe bereits den Ordnernamen des Verzeichnisses, den Sie aber jederzeit an Ihre Vorstellungen anpassen können. Achten Sie aber darauf, dass jeder Freigabename pro Computer nur ein einziges Mal vergeben werden kann. 6. Die Vergabe eines Kommentars ist optional, Sie können beispielsweise eintragen, wer die Freigabe erstellt hat. Über das Feld Benutzerbegrenzung können Sie den Zugriff auf eine bestimmte Anzahl von gleichzeitigen Verbindungen beschränken. Eine solche Beschränkung macht aber nur Sinn, wenn die Performance (Schnelligkeit) eines Rechners unter der hohen Anzahl von Netzwerkzugriffen leidet. Grundsätzlich lassen sich unter
260
Sicherheit von Dateien
Windows 2000 Professional nicht mehr als zehn gleichzeitige Verbindungen herstellen. Bei der Definition von Freigaben auf einem Dateiserver unter Windows 2000-Server entfällt diese Begrenzung natürlich. Abbildung 8.5: Auf der Registerkarte »Freigabe« können Sie alle notwendigen Informationen für Ihre Netzwerkfreigabe festlegen
7. Wenn Sie auf OK klicken, ist die Freigabe prinzipiell voll funktionsfähig angelegt und alle Anwender können über das Netz auf die Freigabe zugreifen, sofern Sie auf dem Rechner, der die Freigabe bereitstellt, über ein gültiges Benutzer- oder Gruppenkonto verfügen. Der damit erreichte Sicherheitslevel ist jedoch nur wenig befriedigend und sollte daher auch unter Umständen korrigiert werden. Um Anpassungen an der Zugriffsicherheit einer Freigabe vorzunehmen, können Sie zu jeder Zeit auf den Berechtigungen-Button auf der Registerkarte Freigabe im EigenschaftenDialogfenster klicken. 8. Im so aufgerufenen Dialogfenster können Sie für vorhandene Gruppen die Zugriffsart definieren oder aber über einen Klick auf Hinzufügen neue Anwender bzw. Gruppen aufnehmen. Nach dem Klick auf Hinzufügen bekommen Sie in einem weiteren Dialogfenster alle Konten angezeigt, so dass Sie die gewünschten Gruppen nur auswählen und in das vorhergehende Fenster zurückkehren müssen. Stellen Sie anschließend noch eine Zugriffsberechtigung für die Gruppe ein und klicken Sie dann auf OK. Sie können auch mehrere Gruppen und Benutzer in einem Arbeitsgang hinzufügen. Die dazugehörigen Zugriffsarten lassen sich anschließend im Dialogfenster Berechtigungen für Freigabename nachträglich angeben.
261
8 Ressourcenbezogene Sicherheit Abbildung 8.6: Über das Berechtigungen-Dialogfenster legen Sie die Zugriffsberechtigungen für den Netzwerkzugriff für die verschiedenen Anwendergruppen fest
9. Sofern notwendig, passen Sie für alle benötigten Gruppen die Zugriffsberechtigungen an. Haben Sie alle Gruppen hinzugefügt, sollten Sie die Gruppe Jeder, die den Standardzugriff definiert, markieren und durch einen Klick auf Entfernen entfernen. Nur so gewährleisten Sie, dass nur die Anwender auf die Ressource zugreifen können, die einer der aufgenommenen Gruppen angehören. 10. Nach dem Freigeben eines Ordners erscheint im Windows-Explorer unter dem Ordner-Symbol des freigegebenen Ordners eine kleine Hand, das Kennzeichnen für eine Verzeichnisfreigabe. Anmerkung: Wenn Sie die eingerichteten Freigaben nachträglich zentral für Ihr Netzwerk bearbeiten, entfernen, verwalten oder auch dokumentieren möchten, dann sollten Sie sich mit dem MMC-Snap-In Computerverwaltung befassen, auf das wir auch weiter hinten in diesem Kapitel noch genauer eingehen. Die einzelnen Freigabeberechtigungen Für die Vergabe entsprechender Freigabeberechtigungen stehen Ihnen insgesamt drei verschiedene Rechte bzw. sechs Attribute zur Verfügung, die Sie einzelnen Gruppen oder Benutzern über die Option Zulassen gewähren oder über die Option Verweigern entziehen können. Diese Rechte lauten im Einzelnen:
262
Sicherheit von Dateien 왘 Lesen: Es handelt sich beim Recht Lesen (Read and Execute oder RX) um
das geringste Recht eines Anwenders. Dieses Recht lässt nur das Lesen von Dateien und das Öffnen von Ordnern zu, nicht jedoch das Speichern von Dateien oder das Anlegen von neuen Unterverzeichnissen. Anwender mit Leserecht haben also keinerlei Schreibzugriff auf die freigegebene Ressource. 왘 Ändern: Anwender mit dem Recht Lesen haben also keinerlei Schreibzu-
griff auf die freigegebene Ressource. Soll auch das Schreibrecht gewährt werden, müssen Sie das Recht Ändern (Read, Execute, Write, Delete oder RWXD) definieren, dann können Benutzer sowohl Daten von der Ressource öffnen als auch Daten dorthin speichern. 왘 Vollzugriff: Das Recht Vollzugriff (Read, Execute, Write, Delete, Owner,
Permission oder RXWD/OP) sollten Sie ausschließlich Administratoren oder Server-Operatoren zugestehen. Dieses Recht beinhaltet alle Rechte von Ändern, es erlaubt den betreffenden Gruppen aber auch, den Besitz an freigegebenen Ordnern zu übernehmen und zudem die Berechtigungen für die Freigabe neu zu definieren. Dabei handelt es sich um Rechte, die man einfachen Anwendern nicht zugestehen sollte. 왘 Verweigern: Das Recht Verweigern schließlich wird von Windows 2000
als das höchste Recht behandelt. Wenn ein Anwender keinen Zugriff auf eine Freigabe besitzt, darf er die Freigabe weder öffnen, noch darf er Daten von der Freigabe laden oder Daten dort speichern. Windows 2000 geht also davon aus, dass eine gewollte Absicht vorliegt, wenn Anwendern explizit eine Berechtigung verweigert wird. Kumulation der einzelnen Freigabeberechtigungen Was aber, wenn ein Anwender Mitglied in mehreren Gruppen ist, denen unterschiedliche Rechte zugestanden werden sollen? In diesem Fall kumuliert Windows 2000 die Berechtigungen des Anwenders und er erhält die höchste Berechtigung, die ihm direkt oder über Gruppenmitgliedschaften zugewiesen wurde. Ist ein Anwender also beispielsweise Mitglied in den Benutzgruppen Kurs und Schulung, denen einmal das Recht Lesen und einmal das Recht Ändern zugewiesen wurde, besitzt der Anwender das Recht Ändern. Mit anderen Worten, vergleichbar wie bei der Kumulation der NTFS-Berechtigungen, werden auch bei den Freigabeberechtigungen die einzelnen zugewiesenen Attribute mit dem logischen ODER verbunden. Auch an dieser Stelle möchten wir Ihnen zur Verdeutlichung der Freigabeberechtigungen ein Beispiel vorführen. Wir gehen davon aus, dass HELGE zur Gruppe Jeder (automatisch) und zur Gruppe Benutzer gehört. Bitte beachten Sie, dass diese nur ein Beispiel für die Rechtekumulation ist. In der Praxis ist dringend davon abzuraten, einem Benutzerkonto und/oder der Benutzergruppe Jeder entsprechende Freigabeberechtigungen zuzuweisen. Wie Sie die Freigabeberechtigungen am besten definieren, stellen wir Ihnen im folgenden Abschnitt vor, in dem wir uns auch mit der Frage befassen, wie sich NTFS- und Freigabeberechtigungen am besten kombinieren lassen.
263
8 Ressourcenbezogene Sicherheit
Damit das Beispiel besser verstanden werden kann, ist hier die Tabelle der NTFS- Berechtigungen übernommen worden. Beachten Sie die Rechte ohne Attribute bitte nicht.
Berechtigungen = Nicht Zugelassen und nicht Verweigert Z= Zugelassen V= Verweigert Attribute
Benutzerkonto Peter Lesen RX
Gruppe Benutzer Vollzugriff RXWDOP
Gruppe Jeder Effektive Ändern ZugelasRXWD sen
Effektive Freigabeber echtigung Und nicht für die Anmeldung VerweiPeter gert
Ordner durchsuchen / Datei ausführen
X
Z
Z
Z
Z
Ordner auflisten / Daten lesen
R
Z
Z
Z
Z
Attribute lesen Erweiterte Attribute lesen Dateien erstellen / Daten schreiben
W
Z
Z
Z
Ordner erstellen / Daten anhängen
W(D)
Z
Z
Z
Untergeordnete Ordner und Dateien löschen
D
Z
Z
Z
Attribute schreiben Erweiterte Attribute schreiben
Löschen
D
Z
Z
Z
Berechtigungen lesen
P
Z
Z
Z
Berechtigungen ändern
P
Z
Z
Z
Besitzrechte übernehmen O
Z
Z
Z
Synchronisieren
Tabelle 8.4: Beispiel für die effektive Wirkung von Freigabeberechtigungen
Die Kombination von Freigabe- und NTFS-Berechtigungen Wenn Sie einen Ordner freigeben, der mit einer zusätzlichen NTFS- Sicherheit versehen ist, werden Freigabe- und NTFS- Sicherheit miteinander kombiniert und erst die Kombination aus beiden Sicherheitsfaktoren ergibt die eigentliche Berechtigung für den Anwender, der über das Netzwerk auf diese Ressource zugreift. Restriktives Verfahren bei der Kombination von NTFS- und Freigabeberechtigungen
Dabei gilt nicht, wie bei den vorangegangenen Varianten, das kumulative Verfahren, sondern das restriktive Verfahren, d. h., die effektiven Freigabe-Attribute und die effektiven NTFS- Attribute werden mit einem logischen UND verknüpft.
264
Sicherheit von Dateien
Dabei ergeben sich die tatsächlichen Berechtigungen, über die der Anwender verfügt, wie folgt: 왘 Zuerst werden die Freigaberechte kumuliert. Die effektiv zugelassenen
Berechtigungen für die Freigabe werden also herangezogen. 왘 Anschließend werden auch die NTFS-zugelassenen Berechtigungen
kumuliert, auch hier werden die effektiv zugelassenen Berechtigungen herangezogen. 왘 Nun werden die beiden Rechte miteinander verglichen. Nur wenn
sowohl Freigabeberechtigung als auch NTFS-Berechtigung zugelassen ist, erhält der Benutzer die entsprechende Zugriffsberechtigung für den Zugriff auf die Ressource über Netzwerk. Auch an dieser Stelle möchten wir Ihnen die Kombination dieser Berechtigungen noch einmal an einem Beispiel demonstrieren. Wie Sie der nachstehenden Tabelle entnehmen können, verfügt HELGE über die Freigabe die Berechtigung Ändern, aber effektiv hat HELGE nur die Berechtigung Lesen und Hinzufügen.
Attribute
Effektive Freigabeberechtigung für die Anmeldung Peter
Effektives NTFS- Recht für die Anmeldung Peter
Effektives Recht für den Zugriff über das Netzwerk für die Anmeldung Peter
Ordner durchsuchen / Datei ausführen
X
Z
Z
Z
Ordner auflisten / Daten lesen
R
Z
Z
Z
Berechtigungen = Nicht Zugelassen und nicht Verweigert Z= Zugelassen V= Verweigert
Attribute lesen
Z
Erweiterte Attribute lesen
V
Dateien erstellen / Daten schreiben
W
Z
Z
Z
Ordner erstellen / Daten anhängen
W(D)
Z
Z
Z
Attribute schreiben
Z
Erweiterte Attribute schreiben
Z
Untergeordnete Ordner und Dateien löschen
D
Z
Löschen
D
Z
V
Berechtigungen lesen
P
V
Z
Berechtigungen ändern
P
V
Besitzrechte übernehmen
O
V
Synchronisieren
V Z
Tabelle 8.5: Durch die Kombination von Freigaberecht und NTFS- Berechtigung ergibt sich das eigentliche Recht
265
8 Ressourcenbezogene Sicherheit
Einsatz von NTFS- und Freigabeberechtigungen in der Praxis
Für den Einsatz in Ihrem Unternehmensnetzwerk sollten Sie die Vergabe von Freigabe- und NTFS-Berechtigungen sinnvoll planen und dokumentieren, denn durch eine wilde Kombination der verschiedenen Berechtigungen können Sie mehr Probleme heraufbeschwören, als Ihnen lieb ist. Zudem sollte es eine bindende Richtlinie geben, wie Freigabe- und NTFS-Berechtigungen einzusetzen sind, an die alle Administratoren des Unternehmens gebunden sind, da bei unterschiedlicher Handhabung die Verwirrung ebenfalls sehr groß werden kann. Folgende Varianten haben sich in der Praxis bewährt: 왘 Belassen Sie die Freigabeberechtigungen für die Gruppe Jeder auf Vollzu-
griff und regeln Sie den konkreten Zugriff auf die unter der Freigabe befindlichen Verzeichnisse durch den Einsatz der entsprechenden NTFSBerechtigungen (Vollzugriff, Ändern, Lesen & Ausführen, Lesen, Schreiben). Dies ist die einfachste Variante, weil Sie in diesem Fall an den Freigabeberechtigungen überhaupt keine Veränderung vornehmen müssen, sondern die Standardeinstellungen von Windows 2000 nutzen. 왘 Es gibt aber auch eine Reihe von Unternehmen, in deren unternehmens-
weiten Sicherheitsrichtlinien gefordert ist, dass die Freigabeberechtigungen für die Gruppe Authentifizierte Benutzer auf Ändern gesetzt wird, was bedeutet, dass nur Anwender, die sich im Active Directory an irgendeiner Stelle erfolgreich authentifiziert haben, auf die Netzwerkfreigabe zugreifen, die Freigabeberechtigungen aber nicht verändern dürfen. Die konkreten Verzeichnis- und Dateizugriffsrechte werden aber auch in diesem Fall über die NTFS-Berechtigungen vergeben. Sie sollten sich unbedingt für eine der oben genannten Varianten entscheiden, da in Problemfällen beim Ressourcen-Zugriff nur die Vergabe der NTFS-Berechtigungen geprüft werden muss, die potentiellen Fehlerquellen minimiert werden. Administrative und versteckte Freigaben nutzen Standardmäßig ist eine Freigabe, die Sie auf einem Computer erstellen, für die Anwender immer im Windows-Explorer oder in der Netzwerkumgebung sichtbar. Allerdings gibt es zwei Ausnahmen von dieser Regel. Windows 2000 kennt, wie seine Vorgänger auch, die so genannten »versteckten Freigaben« und die »administrativen Freigaben«, die wir Ihnen an dieser Stelle einmal näher vorstellen möchten: 왘 Versteckte Freigaben: Eine versteckte Freigabe erzeugen Sie ganz ein-
fach, indem Sie hinter den Freigabenamen ein Dollarzeichen setzen, also z.B. »Marketing$« beim Erstellen der Freigabe in das Eingabefeld Freigabenamen eintragen. In Ihrem eigenen Windows-Explorer oder auch in der Computerverwaltung, der wir uns im nächsten Abschnitt widmen, können Sie solche Freigaben sehen, die anderen Anwender sehen diese Freigabe jedoch nicht. Und wir alle kennen doch das gute alte Sprichwort
266
Sicherheit von Dateien
»Was ich nicht weiß, das macht mich nicht heiß«. Versteckte Freigaben verhindern, dass das Interesse von unbefugten Anwendern überhaupt erst geweckt wird, da sie die Freigabe nicht sehen. Versteckte Freigaben werden in der Regel bei den Heimatverzeichnissen der Anwender eingesetzt. Das Heimatverzeichnis wird über das Anwenderprofil für den entsprechenden Anwender gemappt, aber die anderen Anwender können diese Freigabe nicht sehen. 왘 Administrative Freigaben: Auch Windows 2000 selbst arbeitet mit sol-
chen versteckten Freigaben, die für systemspezifische Verwaltungszwecke benötigt werden und daher auch als administrative Freigaben bezeichnet werden. Zu diesen Freigaben, deren Freigabeberechtigungen Sie nicht ändern können, gehören: 왘 Laufwerkbuchstabe$: Über die Eingabe von C$ oder D$ kann sich ein
Administrator über das Netzwerk mit dem Laufwerk bzw. mit dem Root-Verzeichnis des Laufwerks auf einem beliebigen Computer oder Server verbinden. Neben den Administratoren können bei Workstations noch die Sicherheitsoperatoren auf diese Freigabe zugreifen, während bei Servern zusätzlich auch noch die Serveroperatoren über entsprechende Rechte verfügen. 왘 Admin$: Diese Freigabe verweist immer auf das Stammverzeichnis
des Betriebssystems Windows NT, Windows 2000 oder Windows XP und ermöglicht somit den Administratoren ein schnelles Verbinden mit dem Systemverzeichnis. 왘 IPC$: Darüber werden die Named Pipes freigegeben, die für die Kom-
munikation der verschiedenen Programme untereinander unterlässlich sind. 왘 Print$: Diese Freigabe wird verwendet, um Drucker von einem
Remote-Standort aus zu administrieren. 왘 Netlogon: Diese Freigabe finden Sie nur auf Domänencontrollern,
denn der Windows-Anmeldedienst verwendet die Freigabe, um entsprechende Anmeldeanforderungen aus der Domäne zu bearbeiten. Verwalten von Freigaben Windows 2000 bietet Ihnen für die Verwaltung von Netzwerkfreigaben ein Tool an, das Sie über Start/Programme/Verwaltung/Computerverwaltung aufrufen können. In diesem Tool finden Sie einen Container mit der Bezeichnung Freigegebene Ordner und einem darin enthaltenen Ordner mit dem Namen Freigaben. Unter Freigaben finden Sie standardmäßig alle auf Ihrem lokalen Computer vorhandenen Freigaben. Wenn Sie jedoch den Eintrag Computerverwaltung (Lokal) markieren, können Sie über Vorgang/Verbindung zu anderem Computer herstellen sich aber auch die Daten von jedem anderen Computer der Domäne anzeigen lassen. Damit stellt die Computerverwaltung das Tool für die zentrale Verwaltung der Freigaben dar.
267
8 Ressourcenbezogene Sicherheit
Wenn Sie sich nun in den Ordner Freigaben bewegen, bekommen Sie im Detailfenster die aktuell vorhandenen Freigaben inklusive der administrativen und versteckten Freigaben angezeigt. Mithilfe der Computerverwaltung lassen sich nun die folgenden Verwaltungsaufgaben durchführen: 왘 Aufheben oder Löschen vorhandener Freigaben 왘 Bearbeiten der Freigabe-Berchtigungen einer vorhandenen Freigabe 왘 Bearbeiten der NTFS-Berechtigungen des freigegebenen Verzeichnisses 왘 Erstellen von neuen Freigaben 왘 Dokumentieren vorhandener Freigaben
Abbildung 8.7: In der Computerverwaltung lassen sich alle vorhandenen Freigaben verwalten
Verwaltungsarbeiten durchführen
Um die Verwaltungsaufgaben auszuführen, müssen Sie entweder mit der rechten Maustaste auf die zu bearbeitende Freigabe oder in den leeren Bereich des Detailfensters klicken, wenn Sie eine neue Freigabe einrichten möchten. In beiden Fällen erscheint ein kleines Popup-Menü, aus dem Sie die entsprechenden Aufgaben abrufen können. Beim Einrichten einer neuen Freigabe steht Ihnen hier ein kleiner Assistent zur Verfügung, der dieselben Aufgaben ausführt, wie wir sie beim Einrichten einer Freigabe beschrieben haben.
268
Sicherheit von Dateien Abbildung 8.8: Schritt 1 auf dem Weg zur neuen Freigabe gibt das Verzeichnis und den Freigabenamen an
Abbildung 8.9: Schritt 2 ermöglicht die Definition der entsprechenden Freigabeberechtigungen
Dokumentieren von Freigaben
In vielen Unternehmen wird gefordert, dass die eingerichteten Netzwerkfreigaben entsprechend dokumentiert werden, damit man genau weiß, an welchen Stellen im Netz sie sich befinden. Bisher war eine solche Dokumentation nur mithilfe von Tools aus dem Ressource-Kit oder mittels Tools von Drittanbietern möglich. Aber mit der Computerverwaltung von Windows 2000 oder Windows XP können Sie solche Dokumentationen auch direkt erstellen. Verbinden Sie sich über die Computerverwaltung beispielsweise mit dem Dateiserver und lassen Sie sich die Freigaben anzeigen. Aus dem Kontextmenü des Containers Freigaben wählen Sie dann einfach den Befehl Liste exportieren, und schon wird der Freigabename, der Freigabepfad sowie einige Zusatzinformationen in eine ASCII-Datei exportiert. Diese Datei können Sie dann in jedem beliebigen Textverarbeitungsprogramm nachbearbeiten.
269
8 Ressourcenbezogene Sicherheit Abbildung 8.10: Das Ergebnis des Exports der Freigabenliste
8.2.4
Überwachungsstrategien für Dateizugriffe
Haben Sie die Datenbestände Ihre Unternehmens mithilfe der Besitzer kategorisiert, diese Daten dann auf einem Dateiserver in entsprechenden Verzeichnissen organisiert und mithilfe von passenden Benutzergruppen den Zugriff auf die Dateien definiert, dann könnten Sie eigentlich schon sagen, jetzt ist alles getan. Naja, fast haben Sie es jetzt auch schon geschafft, aber in puncto Ressourcen-Sicherheit verliert ein gutes, altes, deutsches Sprichwort seine Gültigkeit garantiert nicht: »Vertrauen ist gut, Kontrolle ist besser«. Aus diesem Grund sollten Sie sich über eine entsprechende Überwachungsstrategie, die die Zugriffsversuche auf die verschiedenen Datei-Ressourcen kontrolliert, Ihre Gedanken machen. Windows 2000 bietet Ihnen für diese Zwecke im Rahmen der so genannten Überwachungsrichtlinien zwei Richtlinien, die sich mit den Objektzugriffen befassen. Die eine Richtlinie trägt den Namen Objektzugriffsversuche überwachen und dient der Kontrolle von Objektzugriffen auf Mitgliedsservern der Domäne, zu denen die Dateiserver in der Regel gehören. Die andere Überwachungsrichtlinie trägt den Namen Active Directory-Zugriff überwachen und dient der Kontrolle von Objektzugriffen auf Domänencontrollern. Mit letztgenannter Überwachungsrichtlinie befassen wir uns in einem der späteren Kapitel, für die Überwachung der klassischen Datei-Ressourcen auf entsprechenden Dateiservern müssen Sie sich mit der erstgenannten Überwachungsrichtlinie befassen, denn diese gibt den Administratoren die Möglichkeit, die Anwenderzugriffe auf Verzeichnisse oder Dateien aufzuzeichnen. Aktivierung der Überwachungsrichtlinie für Objektzugriffe Wenn Sie die Objektzugriffsversuche in Ihrer Domäne überwachen wollen, dann müssen Sie einmal die Überwachungsrichtlinie für die entsprechenden Server scharfschalten und andererseits auf Ressourcenebene bestimmen, welche Verzeichnisse oder Dateien für welche Benutzergruppen und in Bezug auf welche Benutzeraktionen überwacht werden sollen. Wenn Sie diese Aktionen durchführen, gehen Sie wie folgt vor: 1. In der Regel werden Sie die Mitgliedsserver Ihrer Domäne und damit auch die Dateiserver in einer eigenen Organisationseinheit zusammenfassen. Für diese Organisationseinheit (OU) aktivieren Sie nun mithilfe einer Gruppenrichtlinie die Überwachungsrichtlinien. Klicken Sie zu diesem Zweck in dem Verwaltungstool Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die betreffende OU und aktivie-
270
Sicherheit von Dateien
ren Sie deren Eigenschaften. In dem erscheinenden Dialogfenster wechseln Sie auf die Registerkarte Gruppenrichtlinie und legen dort entweder eine neue Gruppenrichtlinie an oder bearbeiten eine vorhandene. Abbildung 8.11: Bearbeiten der Gruppenrichtlinie der OU mit den Mitgliedsservern
2. Wechseln Sie in der Computerkonfiguration in den Container Windows-Einstellungen/Lokale Richtlinien/Sicherheitseinstellungen/Überwachungsrichtlinien und aktivieren Sie dann im Detailbereich die Option Objektzugriffsversuche überwachen. Dabei müssen Sie entscheiden, ob die Überwachung sowohl erfolgreich ausgeführte Objektzugriffe als auch gescheiterte Objektzugriffe protokollieren soll. 3. Haben Sie die Option aktiviert, können Sie die entsprechenden Fenster wieder verlassen und das Werkzeug schließen. 4. Nun müssen Sie am besten mithilfe des Explorers auf den Dateiserver wechseln und sich dort die einzelnen Verzeichnisse, die Sie überwachen möchten, vornehmen. Aktivieren Sie die Eigenschaften der zu überwachenden Verzeichnisse oder Ordner und wechseln Sie auf die Registerkarte Sicherheitseinstellungen. Klicken Sie dort auf den Erweitert-Button und wechseln Sie in dem daraufhin angezeigten Fenster auf die Registerkarte Überwachung. 5. Klicken Sie auf dieser Registerkarte auf Hinzufügen und wählen Sie in dem daraufhin erscheinenden Dialogfenster die Benutzergruppe aus, deren Aktionen Sie für die betreffende Ressource überwachen möchten. Sobald Sie dies mit OK bestätigen, erscheint ein weiteres Dialogfenster.
271
8 Ressourcenbezogene Sicherheit Abbildung 8.12: Aktivierung der Objektzugriffsversuche
Abbildung 8.13: Mithilfe dieser Registerkarte lässt sich die Dateiüberwachung an der Ressource aktivieren
272
Sicherheit von Dateien Abbildung 8.14: Festlegen, welche Benutzeraktionen konkret überwacht werden sollen
6. In diesem Dialogfenster definieren Sie dann, welche Benutzeraktionen konkret für die entsprechende Datei überwacht werden sollen. Dabei werden Sie die dort aufgelisteten Aktionen wieder erkennen, denn es handelt sich um die einzelnen NTFS-Berechtigungen, die Sie zum Schutz der Ressourcen eingesetzt haben. Haben Sie die gewünschten Aktionen bzw. deren erfolgreiche Durchführung oder Fehlschlagen aktiviert, können Sie die ganzen geöffneten Dialogfenster über entsprechendes Bestätigen wieder schließen. Gerade die zuletzt gezeigten Schritte müssen Sie nun an jedem Verzeichnis bzw. jeder Datei-Ressource, die Sie überwachen wollen, wiederholen. Allerdings sollten Sie sich am besten noch den nachfolgenden Abschnitt durchlesen, da er einige Tipps bezüglich einer sinnvollen Überwachung gibt. Welche Daten sollten wie überwacht werden? Wie bereits mehrfach erwähnt, ist es nun nicht sinnvoll, für alle Daten sowohl die erfolgreichen als auch die fehlgeschlagenen Zugriffsversuche zu protokollieren. Wenn Sie Ihre Daten gemäß dem gängigen Klassifizierungsschema kategorisiert haben, können Sie den folgenden Empfehlungen von Microsoft folgen und je nach Datenklasse die folgenden Ereignisse überwachen: 왘 Öffentliche Daten: Bei den öffentlichen Daten, die ohnehin auch in der
Öffentlichkeit bekannt sein dürfen, erfolgt in der Regel keine Überwachung.
273
8 Ressourcenbezogene Sicherheit 왘 Interne Daten: Da die internen Daten in der Regel zwar zumeist von
allen Mitarbeitern des Unternehmens eingesehen, aber nur von einigen wenigen Mitarbeitern geändert werden dürfen, erfolgt bei solchen Daten eine Überwachung von fehlgeschlagenen Veränderungsversuchen. 왘 Vertrauliche Daten: Da als vertraulich eingestufte Daten nur für wenige
Anwender zugreifbar und veränderbar sein sollen, erfolgt hier eine Überwachung von fehlgeschlagenen Lese- und Veränderungsversuchen. 왘 Geheime Daten: Als »geheim« werden in der Regel nur ganz wenige
Daten eingestuft. Solche Daten bedürfen aber eines ganz besonderen Schutzes und deswegen wird hier sowohl überwacht, wer unberechtigt versucht hat, darauf zuzugreifen, als auch, wer erfolgreich in der Lage war, diese Daten zu lesen oder zu bearbeiten. In der Regel erfolgt eine Überwachung von erfolgreichen und fehlgeschlagenen Lese- und Veränderungsversuchen sowie die Überwachung von erfolgreichen und fehlgeschlagenen Besitzübernahmen. Grundlage für das Einrichten entsprechender Überwachungsregeln ist natürlich, dass Sie den Datenbestand, wie wir es in einem der vorangegangenen Abschnitte gezeigt haben, zuvor in entsprechende Datenkategorien einstufen und am besten auch in einer dazu passenden Dateiablagestruktur ordnen. Die Überwachung sollten Sie, wenn irgend möglich, immer an einzelnen Verzeichnissen und nicht an Einzeldateien festmachen. Aufzeichnen der Daten im Sicherheitsprotokoll Sobald nun ein Ereignis eintritt, das durch die Überwachungsrichtlinien für die Aufzeichnung bestimmt ist, wird im Sicherheitsprotokoll des betreffenden Rechners ein Protokolleintrag erzeugt. Über Start/Programme/Verwaltung/Ereignisanzeige können Sie sich diese Protokolleinträge ansehen. Zeichnen Sie Ereignisse auf, die eine erfolgreiche Aktion überwachen, werden diese Ereignisse mit einem kleinen Schlüssel gekennzeichnet. Fehlgeschlagene Ereignisse sind hingegen durch ein Schlosssymbol gekennzeichnet. In den meisten Fällen genügt es, die Ereignisse mit dem Schlosssymbol eingehender zu untersuchen, weil sich dahinter eventuell Angreifer verbergen können. Wer darf überhaupt auf die Protokolle zugreifen? Was die Zugriffsberechtigungen auf die Protokolle der Ereignisanzeige betrifft, hat sich gegenüber Windows NT nichts verändert, die Benutzerund Jeder-Gruppe verfügt standardmäßig über Anzeige- und Leseberechtigungen, während die Administratoren über die vollen Zugriffsberechtigungen verfügen. Eine Ausnahme bildet das Sicherheitsprotokoll, auf das nur die Administratoren und nicht die normalen Anwender zugreifen dürfen.
274
Sicherheit von Dateien Abbildung 8.15: Das Sicherheitsprotokoll in der Ereignisanzeige
Detailanzeige der Ereignisse
In der Protokollübersicht sehen Sie eine Liste mit Datum, Uhrzeit, Ereigniskategorie und Ereigniskennnummer sowie Angabe des Benutzers, der das Ereignis ausgelöst hat. Über das Kontextmenü eines solchen Protokolleintrags können Sie sich aber die Detailinformationen ansehen. Darüber erhalten Sie in der Regel ausführlichere Informationen zum Ereignis und können auf diese Weise besser ableiten, was der Anwender genau gemacht hat. Eigenschaften des Sicherheitsprotokolls konfigurieren
Mit der Aktivierung der Überwachungsrichtlinien sorgen Sie dafür, dass mit einem Mal recht viele Informationen in das Sicherheitsprotokoll geschrieben werden. Die Standardeinstellungen für die Protokolldateien sind recht schwach, so dass Sie diese Einstellungen unbedingt noch überarbeiten müssen, wenn Sie die zu überwachenden Ereignisse entsprechend dauerhaft protokollieren wollen. Ansonsten würden beispielsweise alle Ereignisse bereits nach sieben Tagen wieder überschrieben bzw. die Größe der Protokolldatei ist auf 512 KB begrenzt. Um die Eigenschaften des Sicherheitsprotokolls zu bearbeiten, können Sie in der Ereignisanzeige über das Kontextmenü des Sicherheitsprotokolls die Eigenschaften aufrufen. Wenn Sie diese Einstellungen nicht nur für einen einzelnen Computer definieren, sondern unternehmensweit für Server und Clients vornehmen müssen, empfiehlt sich allerdings die Nutzung von Gruppenrichtlinien oder Sicherheitsvorlagen, wie weiter vorne in den Kapiteln beschrieben.
275
8 Ressourcenbezogene Sicherheit Abbildung 8.16: Die Detailanzeige der Einträge im Sicherheitsprotokoll
Abbildung 8.17: Die Eigenschaften des Sicherheitsprotokolls
276
Sicherheit von Dateien
In dem sich öffnenden Fenster können Sie verschiedene Angaben machen. Dazu gehören: 왘 Festlegen der Protokollgröße: Standardmäßig wird eine Protokollgröße
von 512 KB vorgegeben, die keinesfalls ausreicht. In der Praxis hat es sich in den meisten Fällen als ausreichend erwiesen, wenn die Protokolldateien auf Servern eine Größe von bis zu 10 MByte und auf den Workstations eine Größe von bis zu 5MByte erreichen dürfen. Abbildung 8.18: Wenn das Sicherheitsprotokoll manuell gelöscht wird, erzeugt Windows automatisch einen Eintrag, der festhält, wer die Löschung durchgeführt hat
왘 Regelung der Reaktion, wenn maximale Protokollgröße erreicht ist:
Hier haben Sie drei Möglichkeiten. Sie können einerseits angeben, dass beim Erreichen der maximalen Größe alle Ereignisse überschrieben werden sollen, die älter als sieben Tage sind, was aber nicht ratsam wäre. Die meisten Unternehmen verwenden bei Protokollgrößen von 5 MByte und 10 MByte die Option Ereignisse überschreiben, die älter als 31 Tage sind, damit sie einen Monat in der Datei protokolliert haben. Alternativ könnte man natürlich auch die Option Bei Bedarf überschreiben aktivieren, was natürlich die Gefahr birgt, dass Ereignisse überschrieben werden, die Sie dann nicht mitbekommen. Wenn Sie hingegen die Option Ereignisse nie überschreiben aktivieren, werden zwar mit Sicherheit keine Ereignisse überschrieben. Läuft die Datei jedoch voll, würden keine neuen Ereignisse mehr mit protokolliert. Allerdings können Sie in diesem Fall über die Gruppenrichtlinien oder Sicherheitsvorlagen die Sicherheit auf den C2-Standard erhöhen, in dem Sie dort einstellen, dass der Server beim Volllaufen der Protokolldateien das System herunterfahren soll. Das garantiert Ihnen auf jeden Fall, dass Ihnen kein Ereignis verloren geht und kein Angreifer über das Vorausschicken von massenhaften
277
8 Ressourcenbezogene Sicherheit
Ereignissen das Protokoll voll schreibt, um das eigentliche Ereignis unbeobachtet ausführen zu können. Für die meisten Fälle reicht aber bei einer ausreichenden Protokolldateigröße und regelmäßigen Kontrollen die Nutzung der Option Bei Bedarf überschreiben aus. 왘 Möglichkeit, ein Protokoll manuell zu löschen: Sie haben auch die
Möglichkeit, das Protokoll manuell über die Schaltfläche Protokoll löschen oder über den Eintrag Alle Ereignisse löschen im Kontextmenü des Sicherheitsprotokolls zu entfernen. Dies stellt jedoch keine Sicherheitslücke dar, denn derjenige, der die Ereignisse löscht, wird automatisch in einem neuen Protokolleintrag festgehalten, so dass jeder andere nachvollziehen kann, wer zu welchem Zeitpunkt das Protokoll gelöscht hat. Kontrolle und Archivierung
Sie sollten sich unbedingt angewöhnen, das Sicherheitsprotokoll in regelmäßigen Abständen zu kontrollieren. Es gibt je nach Unternehmen unterschiedliche Anforderungen. Bei den meisten Unternehmen wird gefordert, dass das Sicherheitsprotokoll zumindestens einmal im Monat ausgewertet wird. Zeitgleich sollen auch die darin enthaltenen Daten in einer Textdatei gesichert und archiviert werden, was Sie bequem über das Kontextmenü des Sicherheitsprotokolls und den darin enthaltenen Befehl Protokolldatei speichern unter erledigen können. Manche Unternehmen löschen an diesem Tag auch die Protokolldatei, andere belassen die Datei, da sie ohnehin eingestellt haben, dass Einträge, die älter als 31 Tage sind, überschrieben werden sollen. Von Drittanbietern gibt es inzwischen sogar entsprechende Tools, die dafür notwendigen Rechte vorausgesetzt, die Protokolle automatisch in bestimmten Intervallen in eine Archivdatei schreiben und die Protokolle leeren.
8.3
Sicherheit der Konfigurationseinstellungen
Auch wenn man davon ausgehen kann, dass die Registry in den kommenden Jahren zunehmend an Bedeutung verlieren wird, so stellt sie gegenwärtig noch einen elementaren Faktor in der Konfiguration eines einzelnen Computers dar. Durch Registry-Einstellungen wird die Art, wie der Computer arbeitet und funktioniert, genauer bestimmt. Aus diesem Grund ist es für viele Unternehmen ein wesentlicher Sicherheitsfaktor, den Zugriff auf die Registry auf einen kleinen Kreis von Personen, also beispielsweise auf die Administratoren, zu beschränken. Prinzipiell sind die wichtigsten Schlüssel der Registry bereits vor dem Zugriff durch den »normalen« Anwender geschützt, so haben Anwender üblicherweise in den meisten Bereichen des HKLM nur Leserecht. In anderen Schlüsseln ist dies jedoch nicht derart abgesichert, sodass Anwender durchaus in der Lage sind, lokale oder über das Netzwerk Registry-Einträge zu manipulieren.
278
Sicherheit der Konfigurationseinstellungen
Auch hier ist er größte Feind wieder im Netzwerk zu suchen. Der Anwender X hat in irgendeinem PC-Magazin mal wieder tausend Tipps zum Ärgern von Mitarbeitern gelesen und möchte diese sofort in die Tat umsetzen. Dummerweise gehen die Einträge schief, sie kollidieren nämlich mit Einträgen, die über andere Methoden zugewiesen wurden und an die die Redakteure nicht gedacht haben. Ergebnis: der Rechner fährt nicht mehr vernünftig hoch. Bis das Problem gelöst ist, vergehen mehrere Stunden, in denen die Arbeitskraft eines Administrators gebunden ist und ein Anwender seine Arbeit nicht machen kann. Ziemlich hohe Kosten für einen primitiven Scherz. Es gibt also Gründe, die Registry vor dem Zugriff durch Anwender zu schützen. Die Frage ist nur, wie? Grundsätzlich existieren dazu zwei Möglichkeiten, eine Variante geht direkt an die Registry und ist am ehesten für Arbeitsgruppen bzw. eine kleinere Anzahl von betroffenen Rechnern geeignet. Die zweite Methode versucht, Lösungsansätze mit Gruppenrichtlinien zu entwickeln, die sich unternehmensweit einsetzen lassen.
8.3.1
Registry direkt absichern
Mit dem Hilfsprogramm Regedt32 haben Sie die Möglichkeit, die Sicherheitsoptionen für den Zugriff auf ale Bereiche der Registry zu setzen. Die Möglichkeiten ähneln denen des NTFS Dateisystems. Allerdings können Sie Sicherheitsoptionen nur auf einzelne Teilschlüssel konfigurieren. Dazu markieren Sie zuerst im Fenster des jeweiligen Teilschlüssels den Eintrag, den Sie sichern wollen. Danach wählen Sie im Programmfenster des Tools im Menü Sicherheit die Funktion Berechtigungen. Das System zeigt Ihnen dann die aktuellen Berechtigungen für diesen Teilschlüssel an. Um die Registry zu sichern, sollten Sie den HiveKey direkt markieren und für diesen Hive die Berechtigungen abfragen und bei Bedarf neu konfigurieren. Sie sollten aber beachten, dass grundsätzlich eigentlich kein Grund zur Manipulation der Registry besteht, wie die folgenden Standardeinstellungen zeigen: Schlüssel
Berechtigungen
Hive_Key_Local_Machine
왘 왘 왘 왘
Hive_Key_Users – Default
Administratoren – Vollzugriff Eingeschränkter Zugriff – Lesen Jeder – Lesen System – Vollzugriff
Tabelle 8.6: Beispielhafte Standardeinstellungen der HiveKeys
Im Teilschlüssel Default sind die folgenden Berechtigungen vergeben: 왘 Administratoren – Vollzugriff 왘 Benutzer – Lesen 왘 Ersteller-Besitzer – Vollzugriff auf neue Unterschlüssel 왘 Hauptbenutzer – Lesen 왘 System – Vollzugriff
279
8 Ressourcenbezogene Sicherheit Tabelle 8.6: Beispielhafte Standardeinstellungen der HiveKeys (Forts.)
Schlüssel
Berechtigungen
Hive_Key_Users – SID
Im Teilschlüssel mit der SID des Anwenders werden die benutzerspezifischen Einstellungen gespeichert. 왘 Administratoren – Vollzugriff 왘 Eingeschränkter Zugriff – Lesen 왘 Anwender SID – Vollzugriff 왘 System – Vollzugriff
Hive_Key_Current_User
Die Sicherheitseinstellungen entsprechen den Einträgen des vorangegangenen Schlüssels, da die Schlüssel an sich identisch sind.
Hive_Key_Current_Config
왘 왘 왘 왘 왘
Hive_Key_Classes_Root
왘 왘 왘 왘 왘 왘
Administratoren – Vollzugriff Benutzer – Lesen Ersteller-Besitzer – Vollzugriff auf neue Unterschlüssel Hauptbenutzer – Lesen System - Vollzugriff Administratoren – Vollzugriff Benutzer – Lesen Ersteller-Besitzer – Vollzugriff auf neue Unterschlüssel Hauptbenutzer – Lesen Jeder – Lesen System – Vollzugriff
Sie sehen, dass in der Regel keine Manipulationen notwendig sind, um den Zugriff auf die Registry zu verhindern. Überall haben die »normalen« Anwender nur Leseberechtigungen. Um die Lauffähigkeit von Windows und der darauf aufsetzenden Programme zu gewährleisten, sollten Sie diese Leseberechtigung auch auf keinen Fall entfernen. Der einzige Problembereich ist der Hive_Key_Current_User. In diesem Teilschlüssel hat der Anwender Vollzugriff. Dies wird vom System gewährt, um dem Anwender grundsätzlich das Verändern von allgemeinen Systemeinstellungen zu ermöglichen. Dazu zählt beispielsweise die Einstellung der Bildschirmauflösung, die Auswahl eines Standarddruckers, die Einstellung eines Hintergrundbilds etc. Wenn Sie diese Einstellung verändern wollen, ist dies jedoch für jeden Anwender notwendig, da dieser Teil der Registry für jeden Anwender neu erstellt und dann im lokalen Profil gespeichert wird. Möchten Sie eine gewählte Berechtigungsstruktur in alle Unterschlüssel verteilen, Klicken Sie im Dialogfenster Berechtigungen auf die Erweitert-Schaltfläche. Im so geöffneten Dialogfenster aktivieren Sie auf der Registerkarte Berechtigungen die Option Berechtigungen in allen untergeordneten Objekten zurücksetzen und die Vererbung vererbbarer Berechtigungen aktivieren. In diesem Fall werden alle existierenden Berechtigungseinstellungen durch die von Ihnen gewählten Vorgaben ersetzt. Beachten Sie, dass es in diesem Fall kein Zurück mehr gibt. Sie sollten also die zu treffenden Einstellungen zuvor auf einem Testgerät geprüft haben.
280
Sicherheit der Konfigurationseinstellungen Abbildung 8.19: Legen Sie Zugriffsberechtigungen für Anwendergruppen fest
Abbildung 8.20: Aktivieren Sie die Verteilung der Einstellungen in alle Unterschlüssel
281
8 Ressourcenbezogene Sicherheit
Neben den Einstellungen zur Berechtigung können Sie in den erweiterten Einstellungen auch noch eine Überwachung für bestimmte Schlüssel oder Teilschlüssel zuschalten. In diesem Fall wird bei eingeschalteter Überwachung des Objektszugriffs auch der Zugriff auf die Registry im Ereignisprotokoll festgehalten. Schließlich können Sie auch den Besitzer eines Schlüssels ändern, sofern Sie das Recht dazu besitzen und dies in irgendeiner Form Sinn machen sollte.
8.3.2
Registry-Zugriff über Gruppenrichtlinien absichern
Es existieren eine ganze Reihe von Gruppenrichtlinien-Optionen, die Ihnen die Absicherung der Registry mithilfe einer zentralen Richtlinie erlauben. Wenn Sie eine größere Anzahl von Systemen konfigurieren müssen, ist dieser Weg zu bevorzugen. Er nimmt dabei keine Veränderungen an der Registry vor, sondern verweigert den Anwendern den Zugriff auf die Registry bzw. die Registry-Einstellungen. Alles, was Sie hierzu benötigen, ist eine Gruppenrichtlinie, in der Sie die in der folgenden Tabelle beschriebenen Einstellungen setzen. Tabelle 8.7: GruppenrichtlinienEinstellungen für die Sicherung der Registry
282
Richtlinienpfad
Funktion
Benutzerkonfiguration/Administrative Vorlagen/Windows Komponenen/ Windows Installer/Immer mit erhöhten Rechten installieren
Ermöglicht dem Windows Installer, Software auf einem Rechner zu installieren, selbst wenn dazu die Registry-Rechte eines Anwenders nicht ausreichen. Die Installation läuft so mit den Rechten eines Administrators ab, ohne dass dazu dem Anwender mehr Rechte gewährt werden müssen. Allerdings kann der Anwender dann auch andere Programme für den Windows Installer mit den gleichen Berechtigungen installieren.
Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste/Menüeintrag ausführen aus dem Startmenü entfernen
Über diese Beschränkung können Anwender keine Tools für die Registry-Bearbeitung mehr aufrufen.
Benutzerkonfiguration/Administrative Vorlagen/System/Befehlszeilenaufforderung deaktivieren
Über diese Beschränkung können Anwender keine Tools für die Registry-Bearbeitung mehr aufrufen.
Benutzerkonfiguration/Administrative Vorlagen/System/Programme zur Bearbeitung der Registrierung deaktivieren
Hiermit werden die Programme REGEDT32.EXE und REGEDIT.EXE auf den betroffenen Computern abgeschaltet
Sicherheit von Systemdiensten
Richtlinienpfad
Funktion
Benutzerkonfiguration/Administrative Vorlagen/Desktop/Einstellungen nicht beim Beenden speichern
Diese sehr effektive Option setzt alle Einstellungen, die der Anwender während der Sitzung verstellt hat, wieder auf die Ausgangseinstellung zurück.
Benutzerkonfiguration/Administrative Vorlagen/Systemsteuerung/Systemsteuerung deaktivieren
Mit dieser Einstellung wird die Systemsteuerung vollständig deaktiviert. Die Anwender können die Standardeinstellungen nicht mehr verändern
Tabelle 8.7: GruppenrichtlinienEinstellungen für die Sicherung der Registry (Forts.)
Mithilfe der oben gezeigten Kombination ist es Ihnen möglich, die Manipulation der Registry fast vollständig zu verhindern. Lediglich dann, wenn Sie Software installieren, die über eine Gruppenrichtlinie verteilt wird, werden noch Registry-Schlüssel geschrieben. Dies ist aber in der Regel erwünscht und unproblematisch. Abbildung 8.21: Erstellen Sie eine Gruppenrichtlinie zum Schutz der Registry
8.4
Sicherheit von Systemdiensten
Auch ein Netzwerkdienst ist im weiteren Sinne ein Objekt des Computers. Die Funktion und Lauffähigkeit von Diensten gewährleistet die Kommunikation im Netzwerk und die Verfügbarkeit von Anwendungssoftware. Über die in den Sicherheitsvorlagen und auch in den Gruppenrichtlinien angebo-
283
8 Ressourcenbezogene Sicherheit
tene Dienstesicherheit können Sie die Verfügbarkeit von Diensten und die Berechtigung auf diese Dienste zentral konfigurieren. In den Gruppenrichtlinien finden Sie die Dienstesicherheit unter dem Pfad Computerkonfiguration/ Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste in der Sicherheitsvorlage im entsprechend abgekürzten Pfad. Wollen Sie die Sicherheit für einen Dienst konfigurieren, klicken Sie doppelt auf den Diensteintrag und aktivieren im ersten Schritt die Option Diese Richtlinieneinstellung definieren. Es erscheint daraufhin ein Dialogfenster, in dem Sie zuerst einmal die Berechtigungen für diesen Dienst bestimmen können. Dabei ist es möglich, Berechtigungen einzustellen, die von der normalen Handhabung von Diensten im System abweichen. Üblicherweise können nur das System und die Administratoren Dienste beenden, anhalten oder starten. Durch die Angabe von Gruppen und passenden Berechtigungen können Sie bei der Dienstesicherheit dieses Recht auch an andere Anwender delegieren. Dies sollte allerdings nur in den Fällen eingestellt werden, wenn ganz spezielle Situationen (z.B. Datenschutzrechtliche Gesichtspunkte) dies erfordern. Abbildung 8.22: Zuerst legen Sie die Berechtigungen für den Dienst fest
Im Anschluss an die Berechtigungen für verschiedene Anwendergruppen legen Sie fest, wie der Dienst behandelt werden soll. Sie haben hier die Möglichkeit, den Dienst automatisch zu starten, den manuellen Start zuzulassen oder aber den Start zu unterbinden. Für Ersteres wählen Sie die Option Automatisch. Auf diese Weise stellen Sie sicher, dass der gewählte Dienst vom Betriebssystem in jedem Fall gestartet wird, gleichgültig, welche loka-
284
Sicherheit von Systemdiensten
len Einstellungen auf dem System vorliegen. Wenn Sie hingegen erzwingen wollen, dass ein Dienst nicht gestartet wird, wählen Sie die Option Deaktiviert. Ein so abgeschalteter Dienst kann lokal nicht mehr gestartet werden. Speziell bei sicherheitssensitiven Systemen sollte man die zentrale Verwaltung von Kommunikationsdiensten in Erwägung ziehen. Abbildung 8.23: Legen Sie die Startart für den jeweiligen Dienst fest
Bei der Sicherheitsvorlage Systemdienste können Sie Eigenschaften für die Standarddienste konfigurieren. Folgende Eigenschaften sind hier definierbar: 왘 Vorkonfiguriert sind alle Standarddienste. 왘 Wenn Sie darüber hinaus andere Dienste verwalten wollen, und diese
auch konfigurieren möchten, so können/müssen Sie die Sicherheitsvorlagen verwenden. Hier müssen Sie die zu dieser Vorlage gehörende INFDatei bearbeiten. Der Eintrag ist relativ einfach, denn Sie müssen nur den entsprechenden Dienstnamen unter der Rubrik [Service General Setting] einfügen. Wenn der Dienst allerdings nicht mit Vorgaben eingerichtet wird, entfernt das System den Eintrag auch automatisch wieder aus der INF-Datei. Abbildung 8.24: Durch die Manipulation der Sicherheitsvorlage fügen Sie eigene Dienste hinzu
285
8 Ressourcenbezogene Sicherheit
8.5
Druckersicherheit
Nun mag man ja prinzipiell nicht glauben, dass der Schutz von Druckern tatsächlich eine Sicherheitsanforderung in einem Unternehmen sein kann. Dennoch gibt es eine ganze Reihe von Gründen, die für eine Zugriffssteuerung beim Drucken sprechen. Beispielsweise sollen nur wenige Anwender auf dem unglaublich teuren Farblaserdrucker ausdrucken können, leider wird er ständig für die neuste Version von Glückwunschkarten-Software missbraucht. Ein weiterer Grund ist, dass einige Drucker auch nur bestimmten Personenkreisen zur Verfügung stehen sollen, damit die Druckaufträge dieser Personen nicht durch Aufträge anderer Anwender stundenlang blockiert werden. Mit inverser Logik gedacht, ist es zudem sinnvoll, Anwender auf die Nutzung weniger Drucker zu beschränken, damit die neusten Gehaltslisten nicht in einem öffentlichen Raum ausgedruckt werden. Sie sehen, dass es doch eine ganze Menge guter Gründe für die Druckersicherheit gibt.
8.5.1
Zugriffssicherheit steuern
Um den Zugriff auf einen Drucker zu beschränken, muss auf dem jeweiligen System natürlich erst einmal ein Drucker installiert sein. Da es sich bei der dazu notwendigen Vorgehensweise um Windows-Grundlagen handelt, möchten wir nicht weiter auf die Installation eines Druckers eingehen. Stattdessen möchten wir bei der Definition der Sicherheitseinstellungen beginnen. Um die Sicherheitseinstellungen für einen Drucker zu definieren, klicken Sie im Drucker-Fenster von Windows mit der rechten Maustaste auf den installierten lokalen Drucker. Wählen Sie im angezeigten Kontextmenü die Option Eigenschaften, um eine Übersicht über die aktuellen Einstellungen zu erhalten. Wechseln Sie im geöffneten Dialogfenster anschließend auf die Registerkarte Sicherheit (Windows XP) bzw. Sicherheitseinstellungen (Windows 2000). Hier bekommen Sie die aktuellen Berechtigungen für den Zugriff auf den Drucker angezeigt und können diese Berechtigungen natürlich auch verändern. Insgesamt gibt es für den Drucker nur drei konkrete Berechtigungen, die wir kurz vorstellen wollen: 왘 Drucken: Bei dieser Berechtigung kann ein Anwender, der zu einer
berechtigten Gruppe gehört, Dokumente auf dem Drucker ausgeben. Verfügt er nur über dieses Recht, kann er die Dokumente jedoch nicht wieder aus der Warteschlange entfernen oder den Ausdruck abbrechen. 왘 Drucker verwalten: Dieses Recht haben in der Regel allenfalls die Domä-
nen-Administratoren oder spezielle berechtigte Gruppen wie die Drucker-Operatoren oder die Hauptbenutzer auf Arbeitsstationen. Verfügt ein Anwender über dieses Recht, kann er die aktuellen Berechtigungen für den Zugriff auf den Drucker anpassen. Er ist also in der Lage, Anwendern die Druckberechtigung zu entziehen bzw. zu gewähren.
286
Druckersicherheit Abbildung 8.25: Legen Sie die Druckerberechtigungen fest
왘 Dokumente verwalten: Dieses Recht berechtigt einen Anwender, die Doku-
mente, die sich in der Warteschlange des Druckers befinden, zu löschen oder auch neu anzuordnen. Ein Drucker-Administrator hat so die Möglichkeit, einen Druckauftrag nachträglich vor einem anderen Druckauftrag zu platzieren oder aber überflüssige Druckaufträge zu entfernen. Eine Besonderheit ist die Instanz ERSTELLER-BESITZER. Auch diese Instanz besitzt das Recht zur Verwaltung von Dokumenten. Ist die Instanz in den Sicherheitseinstellungen Ihres Druckers berücksichtigt, kann ein Anwender seine eigenen Druckaufträge (für die er Besitzer ist) verwalten. Er hat jedoch nicht das Recht, Druckaufträge anderer Anwender zu manipulieren. Prinzipiell haben Sie als Administrator nun auch noch die Möglichkeit, auf die Schaltfläche Erweitert zu klicken und dort die Berechtigungen noch detaillierter festzulegen. Die dort angebotenen Berechtigungen unterscheiden sich allerdings nicht von den direkt vergebenen Berechtigungen. Zudem findet bei einem Druckerobjekt auch keine Vererbung statt, sodass das Standardfenster für die Vergabe von Berechtigungen durchaus ausreicht. Andere Gründe machen einen Klick auf Erweitert dann aber doch wieder interessant. Sie können im so aufgerufenen Dialogfenster auf der Registerkarte Überwachung eine Überwachung für Druckaufträge einschalten. Diese Überwachung ist dann sinnvoll, wenn man die Nutzung des Druckers nachvollziehen will, oder aber die Administration des Druckers kontrollieren möchte. Durch einen Klick auf Hinzufügen wählen Sie die Gruppen aus, die
287
8 Ressourcenbezogene Sicherheit
Sie überwachen wollen, und legen danach fest, welche Aktivitäten später im Ereignisprotokoll des Druckerservers gespeichert werden sollen. Möchten Sie beispielsweise alle erfolgreich gedruckten Druckaufträge festhalten, aktivieren Sie die Überwachung aller erfolgreichen Druckvorgänge für die Gruppe Jeder. Darüber hinaus können Sie noch festlegen, ob die Überwachung für den Drucker und/oder die ausgedruckten Dokumente durchgeführt werden soll. Im genannten Beispiel würde die Auswahl der Option Nur Dokumente im Listenfeld Übernehmen für ausreichen. Abbildung 8.26: Schalten Sie bei Bedarf eine Überwachung der Druckprozesse ein
Auf die gezeigte Art und Weise können Sie für jeden Drucker die Zugriffsberechtigungen individuell konfigurieren und so optimal auf Ihre Sicherheitsanforderungen ausrichten.
8.5.2
Richtlinien zur Druckersicherheit
Neben den Zugriffsberechtigungen existieren aber für die Handhabung von Druckern noch eine ganze Reihe von Druckerrichtlinien, mit denen Sie die Verfügbarkeit von Druckern in Ihrer Domäne beliebig steuern können. Die entsprechenden Einstellungen nehmen Sie dabei wieder mit einer Gruppenrichtlinie vor, die Sie an der Organisationseinheit festmachen, in der sich die Druckerserver befinden. In der Gruppenrichtlinie finden Sie die druckerspezifischen Einstellungen unter dem Pfad Computerkonfiguration/Administrative Vorlagen/Drucker. Die einzelnen Richtlinien stellt die folgende Tabelle näher vor.
288
Druckersicherheit
Richtlinie
Funktion
Druckerveröffentlichung zulassen
Bestimmt, ob Drucker eines entsprechenden Computers im Active Directory veröffentlicht werden dürfen. Dies ist nur bei der Freigabe von Druckern möglich.
Neue Drucker automatisch im Active Directory veröffentlichen
Bestimmt, ob der Drucker-Assistent den Drucker bei der Auswahl einer automatischen Freigabe auch automatisch im Active Directory veröffentlicht. Ist die Option deaktiviert, kann immer noch eine manuelle Veröffentlichung erfolgen.
Löschen von öffentlichen Druckern zulassen
Die Option bestimmt, ob ein Löschen von Druckern, die im Active Directory veröffentlicht wurden, möglich ist.
Nach Druckern suchen
Wenn Sie noch NetBIOS in Ihrer Domäne einsetzen, bestimmt diese Option, ob die freigegebenen Drucker dem Suchdienst der Domäne bekannt gegeben werden, die Anwender die Drucker also über die Netzwerkumgebung sehen können.
Nicht wieder veröffentlichende Drucker löschen
Mithilfe dieser Richtlinie legen Sie fest, ob Drucker, die im Active Directory veröffentlicht wurden, dort gelöscht werden, wenn der Druckerserver nicht mehr verfügbar ist.
Veröffentlichungsstatus überprüfen
Standardmäßig überprüft ein Druckerserver nur beim Systemstart, ob die Drucker im Active Directory eingetragen sind. Wenn Sie die Verfügbarkeit eines Druckers häufiger überprüfen wollen, können Sie hier das Intervall festlegen.
Webbasiertes Drucken
Diese Richtlinie bestimmt, ob der Druckerserver das Drucken über Internet-Ports unterstützt. Ist auf dem Druckerserver ein IIS 5 oder höher installiert und diese Richtlinie aktiviert, können Clients über den von http verwendeten Port 80 auf dem Server ausdrucken und die Druckaufträge über ein Webfrontend (http://servername/printer) verwalten. Für das webbasierte Drucken existieren allerdings einige bekannte Sicherheitslücken, die nur durch die Installation von Windows 2000 Service Pack 2 oder späteren Versionen behoben werden können.
Tabelle 8.8: Sicherheitsrelevante Gruppenrichtlinien für Drucker
289
8 Ressourcenbezogene Sicherheit Abbildung 8.27: Die Druckerrichtlinien
8.6
Sicherheit der Active Directory Objekte
Die Objekte, die im Active Directory gespeichert werden, sind natürlich ebenfalls Objekte, die durch Sicherheitseinstellungen vor missbräuchlichem Zugriff geschützt werden können. Üblicherweise kommen Sie jedoch mit diesen Zugriffsberechtigungen nur in Kontakt, wenn Sie Verwaltungsaufgaben an untergeordnete Administratoren in einzelnen Organisationseinheiten vergeben wollen. Es gibt jedoch noch eine Reihe anderer Anwendungsbereiche, in denen die Sicherheit der Objekte von Bedeutung ist, beispielsweise bei dem Leserecht für die Eigenschaften eines Anwenders, z.B. der privaten Telefonnummer des Geschäftsführers.
8.6.1
Delegierung von administrativen Aufgaben
Bei der Verwaltung Ihres Netzwerkes müssen Sie sich für ein administratives Modell entscheiden, das festlegt, in welcher Form die Administration erfolgt. Dabei haben Sie die Wahl zwischen drei gängigen Modell-Varianten: 왘 Zentralisierte Verwaltung: Dieses Modell eignet sich vor allem für
kleine Unternehmensnetze oder Netzwerke, die nur eine Domäne oder einen Standort umfassen bzw. deren wenige Standorte über Hochge-
290
Sicherheit der Active Directory Objekte
schwindigkeitsleitungen verbunden sind. Allerdings gibt es auch Netzwerke, in denen aus Sicherheitsgründen die Anzahl der Administratoren-Accounts gering gehalten werden muss. 왘 Dezentrale Verwaltung: Umfasst das Unternehmensnetzwerk viele
Standorte oder gar verschiedene geografische Regionen und unterschiedliche Zeitzonen, muss die Administration auf verschiedene Stellen aufgeteilt und die Aufgaben delegiert werden. Bei der Dezentralisierung kann eine Aufteilung in verschiedene Domänen und Organisationseinheiten erfolgen. Während die Domänengrenzen echte Sicherheitsbarrieren sind, die es auch ermöglichen, unterschiedliche Sicherheitsrichtlinien zu nutzen, werden die OUs eher zu Verwaltungszwecken und aus organisatorischen Gründen eingesetzt. 왘 Gemischte Verwaltung: Hierbei handelt es sich um eine Kombination
aus zentralisierter und dezentraler Verwaltung. So können Sie beispielsweise die Administration der lokalen Ressourcen, wie z.B. Datei-, Anwendungs- und Druckserver, an lokale Administratoren delegieren, während Sie die Benutzerverwaltung sowie die Bereitstellung bestimmter Netzwerkdienste in der Zentrale behalten. Wie auch immer Sie sich entscheiden, die Lösung Ihrer administrativen Problematik wird durch die Delegation von Aufgaben und Berechtigungen an Active Directory-Objekten erreicht. Dabei übergeben Sie einen bestimmten Satz von Aufgaben an einen »Bereichsadministrator« also einen Anwender, der Aufgaben wie das Zurücksetzen von Kennwörtern oder das Anlegen von Benutzerkonten für seine Organisationseinheit übernimmt. Unter Windows 2000 können Sie beliebig viele Rechte und Funktionen an Anwender oder Gruppen delegieren. Diese Delegation erfolgt aber wieder einmal objektbezogen, kann also nur auf das Objekt Domäne oder auf untergeordnete Organizational Units angewendet werden. In der Praxis bedeutet dies, dass Sie in jeder OU einem Anwender oder einer Gruppe von Anwendern das Recht erteilen können, die Objekte innerhalb dieser Einheit zu verwalten. Dieses Recht erstreckt sich dann auf die OU und untergeordnete OU’s, nicht aber auf andere Objekte in der Gesamtstruktur. Anhand eines Beispiels möchten wir Ihnen den Einsatz einer solchen Delegation einmal vorführen. Wir wollen dabei die Verwaltung der Organizational Unit Anwender auf eine Anwenderin dieser OU übertragen. Es ist dabei übrigens nicht zwingend notwendig, dass der oder die gewählten Benutzer Mitglied der Organizational Unit sind, es macht aber Sinn, solche Anwender auszuwählen. Andererseits ist es auch vorstellbar, eine spezielle OU mit untergeordneten Administratoren aufzubauen und diese mit den Verwaltungsrechten für die besagte OU zu betrauen. Welche Variante Sie dabei wählen, sollten Sie anhand der vorhandenen Benutzer und deren Qualifikation entscheiden, nicht zuletzt sollten Sie die Entscheidung aber auch anhand der tatsächlich zu delegierenden Aufgaben treffen.
291
8 Ressourcenbezogene Sicherheit
1. Starten Sie das Verwaltungstool Active Directory-Benutzer und -Computer und klicken Sie mit der rechten Maustaste auf die Organizational Unit, deren Verwaltung Sie delegieren wollen. Wählen Sie im Kontextmenü die Funktion Objektverwaltung zuweisen. 2. Nach dem Willkommensbildschirm des Assistenten folgt die Auswahl der Benutzer und/oder Gruppen, denen Sie das Verwaltungsrecht zugestehen wollen. Prinzipiell können Sie mithilfe des Auswahlbildschirms hier sogar Computerkonten auswählen, was aber natürlich keinen tieferen Sinn macht. Wählen Sie einen Anwender aus der OU selbst oder verwenden Sie eine Gruppe von Anwendern der OU, da aus unserer Sicht diese Anwender zumeist auch Ansprechpartner für die Mitarbeiter in der Organisationseinheit sind. Von der Struktur her macht es also immer Sinn, Anwender aus einer Abteilung zu den OU-Administratoren zu machen, weil sich die anderen Anwender dann nicht ständig an externe oder zumindest aber entferntere IT-Abteilungen wenden müssen. Dies erzeugt andererseits natürlich ein schwer steuerbares Eigenleben einer OU, das man aber durchaus in Kauf nehmen kann, wenn die Administratoren vor Ort entsprechend ausgebildet sind. Abbildung 8.28: Wählen Sie einzelne Anwender oder Gruppen aus
3. Im folgenden Bildschirm können Sie entscheiden, welche Arbeiten durch die gewählten Anwender erledigt werden sollen. Im einfachsten Fall aktivieren Sie hier die Option Folgende allgemeine Aufgaben zuweisen und markieren die Aufgaben, die tatsächlich durchgeführt werden sollen. Mit den einzelnen Optionen entscheiden Sie zugleich aber auch über den Grad der Delegation. Die Rechte lassen sich dabei in drei Stufen gliedern. Über die Optionen Setzt Kennwörter von Benutzerkonten zurück und Liest
292
Sicherheit der Active Directory Objekte
alle Benutzerinformationen machen Sie einen Anwender lediglich zu einem Hilfssheriff vor Ort, der Ihnen einfache Aufgaben abnimmt. Beachten Sie aber, dass der Anwender sich mit diesen Rechten bereits Zugriff auf andere Konten verschaffen kann, indem er das Kennwort ändert. Wenn Sie zusätzlich die Optionen Erstellt, entfernt und verwaltet Benutzerkonten und Erstellt, löscht und verwaltet Gruppen zugestehen, wird aus dem Hilfssheriff ein vollwertiger Sheriff, der die vollständige Benutzerverwaltung innerhalb seiner OU ausführen kann. Wenn Sie schließlich sogar die Optionen Ändert die Mitgliedschaft in einer Gruppe und Verwaltet Gruppenrichtlinien-Verknüpfungen einschalten, wird aus dem Sheriff ein Marshall, der sogar die von Ihnen selbst definierten Gruppenrichtlinien zumindest temporär außer Kraft setzen kann. Ob Sie das Recht zur Manipulation von Gruppenrichtlinien wirklich delegieren wollen, sollten Sie gründlich überlegen. Abbildung 8.29: Weisen Sie Standardrechte zu
4. Anstelle dieser allgemeinen Aufgaben können Sie die zu vergebenen Rechte aber auch feiner definieren. In diesem Fall aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen. Im folgenden Dialogfenster können sie dann entscheiden, ob Sie die Verwaltung für alle Objekte in der gewählten OU und allen untergeordneten OU’s delegieren möchten oder ob sich die Verwaltung nur auf bestimmte Objekte beziehen soll. Für Letzteres verwenden Sie die Option Nur den folgenden Objekten im Ordner und legen die Objekte fest. So können Sie bestimmen, dass durch den Anwender beispielsweise nur Computer oder Druckerobjekte verwaltet werden dürfen, nicht aber Benutzer oder Gruppen. Diese feingliedrige Aufteilung macht nur selten Sinn, nur bei extremen Sicherheitsvorkehrungen lohnt sich eine individuelle Selektion der
293
8 Ressourcenbezogene Sicherheit
Objekte. In der Regel werden Sie die Option Diesem Ordner, bestehenden Objekten in diesem Ordner und dem Erstellen neuer Objekte in diesem Ordner aktivieren und zum nächsten Bildschirm wechseln. Abbildung 8.30: Sie können sogar einzelne Objekte für die Verwaltung auswählen
5. Im letzten Fenster der Rechtevergabe definieren Sie nun ganz konkret die Rechte, die Sie einem Anwender für die OU erteilen wollen. Der einfachste Weg ist dabei die Nutzung der Option Allgemein. Mit den hier angebotenen Rechten können Sie alle Objekte der OU verwalten lassen. Sie können hier bestimmen, ob der Anwender nur Leserechte besitzt oder auch Schreibrechte zugewiesen bekommt. Letztere braucht er, um Objekte, also beispielsweise Kennwörter oder Benutzerdaten, ändern zu können. Soll der Anwender auch untergeordnete OU’s oder Benutzer erstellen bzw. löschen können, weisen Sie ihm die Optionen Alle untergeordneten Objekte erstellen bzw. Alle untergeordneten Objekte löschen zu. Soll ein Anwender einfach alles innerhalb einer OU dürfen, wählen Sie einfach die Option Vollzugriff, alles andere ergibt sich dann von selbst. Möchten Sie die Rechte der OU-Administratoren hingegen noch feiner definieren, aktivieren Sie zusätzlich die Optionen Eigenschaftenspezifisch und Erstellen/Löschen der Berechtigungen von bestimmten untergeordneten Objekten. Ersteres ermöglicht Ihnen die Beschränkung der Administratortätigkeit auf bestimmte Attribute von Objekten. So können Sie einem Anwender beispielsweise über die Rechte postalAddress lesen, postalAddress schreiben, postalCode lesen und postalCode schreiben das Recht erteilen, die Adressdaten von Anwendern innerhalb der OU zu verändern. Letztgenannte Option ermöglicht es Ihnen hingegen, die Verwaltung noch einmal auf bestimmte Objekte, z.B. auf Benutzerobjekte, zu be-
294
Sicherheit der Active Directory Objekte
schränken. Wollen Sie schnell und einfach alle administrativen Aufgaben delegieren, aktivieren Sie, wie bereits erwähnt, einfach die Option Vollzugriff. Abbildung 8.31: Bestimmen Sie die Aufgaben, Attribute und Objekte, die verwaltet werden sollen
6. Zum Abschluss klicken Sie nun auf Fertigstellen, dann weist der Assistent die Delegation zu. Sobald sich die als OU-Administratoren ausgewählten Anwender nun neu anmelden, verfügen Sie über das Recht, die OU selbst zu verwalten. Bitte beachten Sie, dass es für die Delegation keine Rückgängig-Funktion gibt. Ist die Aufgabe erst einmal an einen Anwender delegiert, kann er sie ausüben, bis Sie den Benutzeraccount löschen. Im Verwaltungstool Active Directory-Benutzer und –Computer haben Sie zuerst einmal keine Möglichkeit, die Rechte zurückzunehmen. Dies ändert sich, wenn Sie im Ansicht-Menü die Option Erweiterte Funktionen aktivieren. In diesem Fall werden nun nicht nur mehr Elemente im Fenster angezeigt, sondern auch zusätzliche Befehle für die Bearbeitung von Objekten angeboten. Um delegierte Verwaltungsrechte wieder zu entziehen oder auch andere Rechte zu gewähren, klicken Sie mit der rechten Maustaste auf die Organisationseinheit und wählen im Kontexmenü die Funktion Eigenschaften. Wechseln Sie danach im Dialogfenster auf die Registerkarte Sicherheitseinstellungen und löschen Sie den dort aufgelisteten Benutzer, dem Sie zuvor administrative Rechte verliehen hatten. Auf diese Weise haben Sie wieder den Zustand vor der Delegation hergestellt.
295
8 Ressourcenbezogene Sicherheit
8.6.2
Explizite und vererbte Berechtigungen
Bei der Rücknahme von Verwaltungsberechtigungen im vorangegangenen Abschnitt hatten Sie bereits gesehen, dass die Arbeiten, die der Assistent für die Delegation von Verwaltungsberechtungen vornimmt, im Grunde nur Sicherheitseinstellungen für spezifische Objekte sind. Jedes Objekt, das im Active Directory gespeichert wird, verfügt über eine eigene DACL (Discretionary Access Control List), über die bestimmt wird, wer welche Rechte im Umgang mit dem Objekt besitzt. Hinzu kommt, dass die Berechtigungen im Active Directory hierarchisch angeordnet sind. Zuerst greifen die Rechte, die an der Domäne selbst definiert wurden, dann folgen die Rechte der untergeordneten OUs und schließlich folgen die Rechte der einzelnen Objekte. Da über den gesamten Pfad, in dem die Objekte und die Objektsicherheit angebracht ist, vererbt wird, sind die Berechtigungen die auf ein Objekt vergeben sind, immer eine Summe aus allen übergeordneten Elementen plus der direkt am Objekt definierten Einstellungen. Einige Beispiele, um dies zu verdeutlichen. Ein Administrator klagte uns einmal sein Problem, dass Gruppenrichtlinien, die er einzelnen Organisationseinheiten zugewiesen hatte, nicht greifen, die Anwender wurden nicht, wie gewünscht, eingeschränkt. Die Analyse brachte zutage, dass er den Anwender as Leserecht an einer übergeordneten OU entzogen hatte. Da die Anwender damit aber auch die Lesefähigkeit für alle untergeordneten OUs verloren hatten, konnten Sie auch die Gruppenrichtlinien an diesen OUs nicht mehr lesen. Ein weiterer Administrator berichtete uns, dass die Verwaltung von Kennwörtern an einen Anwender in einer Organisationseinheit delegiert wurde. Dieser Anwender konnte alle Anwender zurücksetzen, nur bei einem Konto gelang dies nicht. Nach einigen Tests stellte sich heraus, dass das Benutzerobjekt dieses Anwenders die Erbschaft von übergeordneten Einstellungen abgeschaltet hatte. Die DACL des Objekts selbst ließ also die neuen Verwaltungsberechtigungen des Anwenders nicht zu. Nachdem wir die Vererbung wieder eingeschaltet hatten, funktioniert die Verwaltung. Sie sehen, dass die Objekte im Active Directory durch spezifische Sicherheitseinstellungen verwaltet werden. Wenn Sie sich entschließen, diese individuell festzulegen, sollten Sie mit großer Vorsicht vorgehen, denn jeder unüberlegte Schritt kann dazu führen, dass eine Vielzahl von Funktionen unter Windows 2000 und XP nicht mehr korrekt funktionieren. Es ist also angebracht, die vorgenommenen Manipulationen zuerst einmal in einem Testnetzwerk zu überprüfen, bevor die Einstellungen tatsächlich im Produktivnetzwerk getätigt werden. Um die Sicherheitseinstellungen für ein Objekt festzulegen, aktivieren Sie die Eigenschaften des jeweiligen Objekts, was wir Ihnen in der Folge einmal anhand einer Organisationseinheit vorstellen möchten. Im Beispiel klicken wir also mit der rechten Maustaste auf eine Organisationseinheit und wählen im Kontextmenü die Funktion Eigenschaften. Im nun angezeigten Dialog-
296
Sicherheit der Active Directory Objekte
fenster wechseln Sie auf die Registerkarte Sicherheitseinstellungen. Wird diese Registerkarte nicht angezeigt, müssen Sie zuvor noch im Ansicht-Menü die Option Erweiterte Funktionen aktivieren. Abbildung 8.32: Die Sicherheitseinstellungen des Objekts
Auf der Registerkarte sehen Sie im oberen Bereich die derzeit berechtigten Anwendergruppen und im unteren Bereich die aktuell zugewiesenen Berechtigungen für das gewählte Objekt. Werden Berechtigungen grau unterlegt dargestellt, so handelt es sich um Berechtigungen, die von einem übergeordneten Objekt, also einer OU oder einer Domäne erhalten wurden. Diese Berechtigungen können nicht verändert werden, es sei denn, Sie deaktivieren die Option Vererbbare übergeordnete Berechtigungen übernehmen. In diesem Fall lehnt der Erbe die Erbschaft ab und kann selbst bestimmen, welche Berechtigungen vergeben werden sollen. Alternativ kann die geerbte Berechtigung deaktiviert werden, indem man die Berechtigung explizit über die entsprechende Spalte deaktiviert. Die Standardberechtigungen selbst sind nicht sonderlich aussagekräftig, sie behandeln die zu vergebenden Rechte nur sehr global und dienen eher allgemeinen Einstellungen. So sollten Administratoren entweder über uneingeschränkten Zugriff oder aber zumindest über das Recht, Objekte zu erstellen und Änderungen zu speichern, verfügen. Dies wird über die Standardrechte Lesen, Schreiben und Alle untergeordneten Objekte erstellen gewährleistet. Normale Anwender, wie beispielsweise die Gruppe Authentifizierte Benutzer, sollten hingegen lediglich über das Leserecht verfügen. Dieses ist notwendig, damit ein Anwender das
297
8 Ressourcenbezogene Sicherheit
betreffende Objekt auch sehen kann, um beispielsweise die Ressourcen innerhalb einer OU abrufen zu können. Würden Sie das Leserecht entfernen, würden die Standardanwender die OU nicht mehr sehen, sie wäre verborgen. Um Ihnen die feinere Definition der DACLs vorstellen zu können, fügen wir eine neue Anwendergruppe hinzu. Wir definieren dabei jedoch keine weiteren Berechtigungen, sondern klicken nach dem Einfügen der Gruppe auf die Erweitert-Schaltfläche. Ähnlich wie bei den NTFS-Berechtigungen erhalten Sie auf der Registerkarte Berechtigungen eine Übersicht über die aktuell erteilten Berechtigungen. Auf der Registerkarte Überwachung werden die Zugriffe auf das Active Directory-Objekt überwacht. Standardmäßig werden alle Schreibvorgänge auf alle Attribute eines Objekts überwacht, Lesevorgänge hingegen nicht. Wollen Sie dies ändern, können Sie zusätzliche Anwendergruppen überwachen oder aber weitere Zugriffstypen zur Überwachung hinzufügen. Abbildung 8.33: Die Überwachung der Zugriffe auf das Active DirectoryObjekt ist standardmäßig eingeschaltet
Die Registerkarte Besitzer ermöglicht Ihnen schließlich, den Besitzer eines Active Directory-Objekts zu verändern, sofern dies erforderlich ist. Der Administrator der Domänen hat dabei die Berechtigung, den Besitz an solchen Objekten zu übernehmen, wenn dies erforderlich ist. Wir wechseln aber wieder zur Registerkarte Berechtigungen zurück, da wir hier nun tiefer in die Berechtigungsstruktur einsteigen wollen. Markieren Sie auf der Regis-
298
Sicherheit der Active Directory Objekte
terkarte zuerst eine Gruppe, deren Berechtigungen Sie sich genauer ansehen wollen, und klicken Sie dann auf die Schaltfläche Anzeigen/Bearbeiten. Das nun folgende Dialogfenster bedarf zuerst einmal einer umfassenden Erklärung. Sie sehen zwei Registerkarten, Objekt und Eigenschaften. Auf der Registerkarte Objekt bestimmen Sie zunächst, auf welches Objekt Sie die Berechtigungen anwenden wollen. Sie haben hier die Auswahl zwischen allen im Active Directory angelegten Objekten und einigen speziellen Objektgruppen. Wenn Sie die Berechtigungen für ein einzelnes Objekt, z.B. das Objekt User, vergeben, definieren Sie ausschließlich Rechte für das Objekt User, also beispielsweise das Recht Kennwort erneut festlegen. In diesem Fall können Sie keine weiteren ergänzenden Berechtigungen für andere Objekte definieren, da die Berechtigungen auf die Verwaltung und Handhabung von Benutzerkonten fixiert sind. Sie können also keine weiteren Berechtigungen für Gruppen oder Kontakte vergeben. Abbildung 8.34: Legen Sie die Berechtigungen für ein einzelnes Objekt fest
Wenn Sie auf der Registerkarte Objekt einen einzelnen Objekttyp ausgewählt haben, können Sie für den Objekttyp auf der Registerkarte Eigenschaften die Berechtigungen für die einzelnen Attribute des gewählten Objekts vergeben. Sie sehen, dass im Listenfeld Übernehmen für automatisch der Eintrag Nur dieses Objekt angezeigt wird. Haben Sie als Objekt beispielsweise das Benutzerkonto ausgewählt, können Sie auf der Registerkarte Eigenschaften bestim-
299
8 Ressourcenbezogene Sicherheit
men, ob die ausgewählte Gruppe Leserechte auf bestimmte Attribute erhält oder ob sie vielleicht sogar einzelne Attribute verändern kann. Sie könnten so eine Gruppe berechtigen, die Adressdaten eines Anwenders in einer Organisationseinheit zu verändern. Abbildung 8.35: Die Berechtigungen auf einzelne Attribute werden separat vergeben
Leider ist das Handling des Dialogfensters nicht so einfach, wie bisher beschrieben. Wenn Sie die Einstellungen ausschließlich so vornehmen, wie bislang dargestellt, verfügen Sie zwar über zulässige Berechtigungen, doch sollten Sie allgemein über Vererbung und Berechtigungsbreite nachdenken. Eine Vererbung kommt beispielsweise nur zustande, wenn Sie auf der Registerkarte Objekt im Listenfeld Übernehmen für die Option eines einzelnen Objekts oder die Option Dieses und alle untergeordneten Objekte auswählen. Nur dann erstreckt sich die Berechtigung nicht nur auf die Organisationseinheit, sondern auch auf alle darunter angebrachten Organisationseinheiten. Prinzipiell könnten Sie auch Nur untergeordnete Objekte auswählen, dann würden die Berechtigungen ausschließlich untergeordnete Organisationseinheiten betreffen und nicht die gewählte Organisationseinheit selbst. Wählen Sie hingegen die Option Nur dieses Objekt, werden die Einstellungen nicht an untergeordnete Organisationseinheiten weitergegeben.
300
Sicherheit der Active Directory Objekte
Soll eine Anwendergruppe nicht nur die Berechtigung für ein einzelnes Objekt erhalten, sondern gleich mehrere administrative Tätigkeiten wahrnehmen, verwenden Sie die Option Dieses und alle untergeordneten Objekte im Listenfeld Übernehmen für. Mit der Auswahl verändern sich nun aber auch die angebotenen Optionen für die Objekte, sie werden globaler, da nun ja mehrere Objekttypen betroffen sind. Aus diesem Grund können Sie jetzt beispielsweise nicht mehr die Kennwortberechtigungen steuern, sondern können für ein User-Objekt nur noch bestimmen, dass die Anwendergruppe die Berechtigung besitzt, User-Objekte zu erstellen und/oder sie zu löschen. Sie haben jetzt aber zugleich die Möglichkeit, die gleichen Berechtigungen auch für Gruppen oder Kontakte zu vergeben, was zuvor nicht möglich war. Die hier definierten Berechtigungen werden automatisch an alle untergeordneten Organisationseinheiten vererbt. Wollen Sie die Reichweite hingegen auf die aktuell bearbeitete Organisationseinheit beschränken, aktivieren Sie unten im Dialogfenster zusätzlich die Option Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen. In diesem Fall werden die Berechtigungen nicht weitervererbt. Abbildung 8.36: Die Objekte können nun nur noch global administriert werden
Wenn Sie nun auf die Registerkarte Eigenschaften zurückkehren, können Sie für einzelne Objekte zusätzliche Berechtigungen definieren. Wenn Sie einer Anwendergruppe das Recht gegeben haben, Gruppen und Benutzer anzulegen, verfügen die Gruppenmitglieder an sich über ein Schreibrecht auf alle
301
8 Ressourcenbezogene Sicherheit
Attribute dieser Objekttypen. Eine zusätzliche Definition von Attributsberechtigungen macht also nur Sinn, wenn die Berechtigung für einige Attribute eines Objekts explizit wieder entzogen werden soll. So können Sie beispielsweise der betreffenden Gruppe über die Verweigern-Spalte das Recht entziehen, die private Telefonnummer in das entsprechende Feld einzutragen. Beachten Sie aber, dass Sie die Berechtigungen nur allgemein für ein spezifisches Objekt definieren können, eine Auswahl mehrerer Objekte ist nicht möglich. Ausnahme: Sie wählen auch auf der Registerkarte Eigenschaften im Feld Übernehmen für die Option Dieses und alle untergeordneten Objekte. Auch hier werden dann automatisch nur einige globale Attributsberechtigungen angezeigt, die für alle Objekte zutreffen. Dies würde aber ausreichen, um der Gruppe das generelle Recht zum Schreiben von Attributen zu entziehen. Dummerweise würde dann das Anlegen eines Benutzerkontos scheitern.... Die generelle Vergabe solcher Berechtigungen macht nur in seltenen Fällen und nur bei größeren Unternehmen bzw. Organisationen wirklich Sinn. Ein klassisches Beispiel für die Vergabe einzelner Berechtigungen ist, dass die Personalabteilung eines Unternehmens mit der Pflege von Adressdaten der Anwender betraut wird, weil die Informationen hier am ehesten vorliegen. Damit die Anwender der Personalabteilung keine administrativen Rechte bekommen, würde man für die Organisationseinheiten in den Sicherheitseinstellungen nur die Rechte für das Ändern von Adressdaten und Telefonnummern definieren. Ein Mitarbeiter der Personalabteilung könnte dann nur die Felder eines Benutzerkontos anpassen, für die ihm explizit die Berechtigungen erteilt wurden. Die Pflege von Adressdaten, die ja im globalen Katalog für Suchanfragen gespeichert werden, wäre so an einen zentralen Punkt delegiert, ohne weiter Berechtigungen vergeben zu müssen.
8.6.3
Objektsicherheit gegenüber dem globalen Katalog
Eine Besonderheit in Bezug auf den globalen Katalog ist die Problematik, dass einige Attribute von Objekten möglicherweise nicht in den globalen Katalog repliziert werden sollen. Die einfachste Lösung ist es dann, bei den Eigenschaften des Kontenobjekts die Erbschaft von übergeordneten Sicherheitseinstellungen abzulehnen und außer den Instanzen SELBST (der Anwender) und SYSTEM keine anderen Gruppen zuzulassen. Wenn ein Anwender nun nach dem betreffenden Konto über die Suchfunktion von Windows 2000 sucht, wird im globalen Katalog kein Eintrag gefunden. Diese Lösung ist jedoch sehr radikal, da der Anwender möglicherweise bestimmte Informationen durchaus für die Suche bereitstellen möchte. Nehmen wir an, es handelt sich um den Geschäftsführer einer Firma, so will dieser womöglich seinen Namen und seine Mail-Adresse durchaus für alle Mitarbeiter im globalen Katalog bereitstellen. An einer breiten Veröffentlichung seiner privaten Telefonnummer ist er hingegen nicht interessiert, gleichwohl
302
Sicherheit der Active Directory Objekte
einige Mitarbeiter auch diese Information abrufen sollen. Eine solche komplexe Variante lässt sich nicht mit einfachen Berechtigungen lösen, sondern bedarf spezieller Einstellungen. Die Lösung ist erneut die Nutzung von verfeinerten Objekt- und Eigenschafts-Berechtigungen. Klicken Sie also das Benutzerkonto mit der rechten Maustaste an und wählen Sie im zugehörigen Kontextmenü die Funktion Eigenschaften. Wechseln Sie im folgenden Dialogfenster auf die Registerkarte Sicherheitseinstellungen und markieren Sie die Gruppe Authentifizierte Benutzer. Diese Gruppe repräsentiert alle gültigen Anwender einer Domäne. Sollte Ihnen bei den Sicherheitseinstellungen auch die Gruppe Jeder angeboten werden, löschen Sie diese Gruppe, sie wird nicht benötigt. Standardmäßig haben die Mitglieder der Gruppe Authentifizierte Benutzer nur das Recht Lesen, das Sie aber bitte deaktivieren, denn dieses Recht beinhaltet bereits zu viele Rechte. Klicken Sie dann auf die Erweitert-Schaltfläche. Im so aufgerufenen Dialogfenster wählen Sie einen der Einträge für Authentifizierte Benutzer und klicken auf Anzeigen/Bearbeiten. Abbildung 8.37: Die radikale Lösung entfernt alle Anwender aus der Berechtigungsliste
Auf der Registerkarte Objekt des neuen Dialogfensters bekommen Sie automatisch im Listenfeld Übernehmen für die Option Nur dieses Objekt angeboten, da es sich nicht um einen Container handelt, sondern um ein einzelnes Benutzerobjekt. Prinzipiell können Sie bei der Option Alle Eigenschaften lesen
303
8 Ressourcenbezogene Sicherheit
das Recht verweigern, doch hätte dies ähnliche Auswirkungen, wie die zu Beginn beschriebene radikale Methode. Sie müssen also stattdessen Berechtigungen für einzelne Attribute festlegen, daher wechseln Sie auf die Registerkarte Eigenschaften. Auch hier wird automatisch die Option Nur dieses Objekt angezeigt, die Berechtigungen beziehen sich automatisch nur auf das gewählte Benutzer-Objekt. Standardmäßig kann die Gruppe der Authentifizierten Benutzer hier eine ganze Reihe von Attributen lesen. Entfernen Sie nun einfach die Leseberechtigung für alle Informationen, die nicht öffentlich lesbar sein sollen. In diesem Fall werden später sowohl bei der Auswahl über eine Suche im globalen Katalog also auch über den direkten Abruf der Daten im Active Directory nur die Daten angezeigt, die die Anwendergruppe auch wirklich sehen soll. Wiederholen Sie den Vorgang anschließend mit anderen Sicherheitsgruppen, um diesen Gruppen das Lesen der Attribute explizit zu erlauben. Abbildung 8.38: Die feinere Methode definiert die Berechtigungen für einzelne Attribute
304
9
Datenverschlüsselung unter Windows
Während das Datei-System NTFS unzählige Möglichkeiten bietet, den Zugriff auf Dateien und Dokumente über die Vergabe entsprechender Zugriffsrechte zu regeln, bedarf es zum Schutz der Daten vor dem illegalen Zugriff anderer Technologien. Daten, die beispielsweise auf einem gestohlenen oder verlorenen Notebook enthalten sind, können trotz der Formatierung der Festplatte mit NTFS von unbefugten Dritten eingesehen und ausgelesen werden. Sollen sensible Daten also vor dem unbefugten Zugriff anderer Personen geschützt werden, müssen Sie mit einem entsprechenden Datenverschlüsselungsverfahren arbeiten. Das vorliegende Kapitel wird Ihnen zunächst eine kurze, allgemeine Einführung in das Thema Datenverschlüsselung geben und im Anschluss daran das in Windows 2000 integrierte Verfahren zur Datenverschlüsselung (EFS = Encryption File System) in allen Einzelheiten vorstellen.
9.1
Anforderungen, die zum Einsatz von EFS führen
Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetzwerk im Rahmen des Sicherheits-Managements sich auch mit dem Einsatz von EFS befassen müssen, oder ob dies nicht notwendig ist, stellen wir Ihnen zu Beginn des Kapitels noch einmal typische Anforderungen, Ziele oder Visionen vor: 왘 Als »geheim« eingestufte Daten müssen vor dem unberechtigten Zugriff
nicht-autorisierter Personen geschützt werden. 왘 Geschäftsdaten, die auf Notebooks abgelegt sind, müssen so geschützt
sein, dass sie auch im Falle des Verlustes des Notebooks nicht von Unbefugten ausgelesen werden können. 왘 Sensitive Daten, die auf Workstations abgelegt werden, müssen so
geschützt sein, dass sie auch im Falle eines Festplattendiebstahls nicht von Unbefugten ausgelesen werden können.
9.2
Verfahren zur Datenverschlüsselung und Sicherung der Datenverlässlichkeit
Datensicherheit vor unbefugtem Zugriff und Datenverlässlichkeit sind zwei eng miteinander verwobene Themen, die sich kaum voneinander trennen lassen. An dieser Stelle möchten wir Ihnen daher drei Verfahren mit ihren
305
9 Datenverschlüsselung unter Windows
Vor- und Nachteilen vorstellen, die es Ihnen unter Windows 2000 einerseits erlauben, Daten zu verschlüsseln und Ihnen andererseits die Möglichkeit geben, die Datenverlässlichkeit zu gewährleisten. Diese Verschlüsselungsverfahren werden im Übrigen nicht nur von dem in diesem Kapitel behandelten EFS verwendet, sondern auch von anderen Protokollen und Applikationen wie IPSec, SSL und TLS, die wir in einem der späteren Kapitel behandeln wollen. In den folgenden Abschnitten sollen jetzt aber erst einmal die grundlegenden Verfahren vorgestellt werden.
9.2.1
Die symmetrische Verschlüsselung
Die symmetrische Verschlüsselung nutzt sowohl zur Verschlüsselung der Daten als auch zur späteren Entschlüsselung der Daten ein- und denselben Schlüssel. Wenn also bei der symmetrischen Verschlüsselung der Anwender A eine Datei verschlüsselt und Anwender B später dieselbe Datei entschlüsseln will, müssen beide Anwender mit einem gemeinsamen Schlüssel arbeiten, den sie sich teilen. Diese Teilung eines gemeinsamen, geheimen Schlüssels trifft aber nicht nur für Anwender, sondern auch für Client- und Servercomputer im Netzwerk zu, auch sie arbeiten mit ein und demselben Schlüssel. Der Prozess, der bei der Nutzung der symmetrischen Verschlüsselung abläuft, sieht im Wesentlichen wie folgt aus: 1. Anwender A verwendet den symmetrischen Schlüssel zum Verschlüsseln einer Datei. 2. Anwender B nutzt den Schlüssel, den Anwender A verwendet hat, um die Datei zu entschlüsseln. Vorteil des Verfahrens: Die Arbeit mit einem Schlüssel hat den Vorteil, dass bei der Ver- und Entschlüsselung keine besonders große Prozessorlast entsteht, das Verfahren also bestens geeignet ist, große Datenmengen in kurzer Zeit zu verschlüsseln. Nachteil des Verfahrens: Das Faktum, dass ein und derselbe Schlüssel für die Ver- und Entschlüsselung verwendet wird, bedeutet aber auch, dass diese Technologie im Vergleich zur asymmetrischen Verschlüsselung eine niedrigere Sicherheitsstufe bietet. Würde der beim symmetrischen Verfahren verwendete Schlüssel »geknackt«, käme man automatisch auch an die damit verschlüsselten Daten heran.
9.2.2
Die asymmetrische Verschlüsselung
Bei der asymmetrischen Verschlüsselung wird im Gegensatz zur symmetrischen Verschlüsselung mit einem Schlüsselpaar gearbeitet. Dieses Schlüsselpaar wird von einer übergeordneten Stelle im Netzwerk zur Verfügung gestellt, wobei einer der beiden Schlüssel allen Anwendern des Netzwerks zur Verfügung steht, während der andere Schlüssel nur für seinen »Besitzer« verfügbar ist. Daher teilt sich das Schlüsselpaar auch in einen so genannten »öffentlichen« Schlüssel, der zum Verschlüsseln der Daten dient, und einen
306
Verfahren zur Datenverschlüsselung und Sicherung der Datenverlässlichkeit
»privaten« Schlüssel, der zum Entschlüsseln der Daten gedacht ist, auf. Der Prozess, der bei der Nutzung der asymmetrischen Verschlüsselung abläuft, sieht im Wesentlichen wie folgt aus: 1. Anwender A verwendet den öffentlichen Schlüssel von Anwender B zum Verschlüsseln einer Datei. 2. Anwender B, für den die verschlüsselte Datei vorgesehen ist, nutzt seinen privaten Schlüssel, um die Datei zu entschlüsseln. Vorteil des Verfahrens: Aufgrund der Verwendung eines Schlüsselpaares und der Aufteilung der Schlüsselfunktionen, erzielt die asymmetrische Verschlüsselung einen höheren Grad an Sicherheit als die symmetrische Verschlüsselung. Die Daten, die mit einem öffentlichen Schlüssel eines bestimmten Anwenders verschlüsselt wurden, können nur mit dem dazugehörigen privaten Schlüssel dieses Anwenders entschlüsselt werden. Also selbst wenn der öffentliche Schlüssel »geknackt« würde oder in falsche Hände geriete, könnten damit die verschlüsselten Daten noch nicht entschlüsselt werden. Nachteil des Verfahrens: Die Verwendung der beiden Schlüssel bringt allerdings auch den Nachteil mit sich, dass der Algorithmus aufwändiger wird und damit eine enorme Prozessorlast erzeugt. Aus diesem Grund ist dieses Verfahren nicht dazu geeignet, große Datenmengen zu verschlüsseln.
9.2.3
Digitale Signaturen
Im Gegensatz zu den beiden zuvor vorgestellten Verfahren, dient diese Technologie nicht nur der Datenverschlüsselung, sondern primär der Datenauthentifizierung bzw. der Gewährleistung der Datenverlässlichkeit. Aber die digitalen Signaturen sind Bestandteil der Zertifikate und basieren damit ganz ähnlich wie das asymmetrische Verschlüsselungsverfahren, auf einer aus Schlüsselpaaren bestehenden Public Key Infrastructure (PKI). Bei den digitalen Signaturen wird einer der beiden Schlüssel dazu verwendet, die Daten zu signieren und damit zu authentifizieren, während der andere Schlüssel dazu dient, die Signatur zu überprüfen und zu verifizieren. Den Prozess, der bei der Nutzung von digitalen Signaturen abläuft, möchten wir Ihnen am Beispiel des Versendens einer E-Mail-Nachricht vorstellen: 1. Anwender A schreibt seine E-Mail in Outlook, das so konfiguriert ist, dass beim Senden der Nachricht automatisch eine Signatur mit gesendet wird. 2. Beim Senden der Nachricht wird im Hintergrund über einen mathematischen Algorithmus ein Auszug aus dem Originaltext der Nachricht erzeugt, der zusätzlich mit dem privaten Schlüssel des Anwenders verschlüsselt wird. 3. Die originale Textnachricht sowie der verschlüsselte Auszug werden nun gemeinsam an den Empfänger übermittelt.
307
9 Datenverschlüsselung unter Windows
4. Der Empfänger, also Anwender B, muss bereits über den öffentlichen Schlüssel von Anwender A verfügen, um den verschlüsselten Auszug entschlüsseln zu können. 5. Neben der Entschlüsselung wird nun aber mithilfe des öffentlichen Schlüssels ein zweiter mathematischer Auszug der originalen Textnachricht erzeugt. Dieser zweite Auszug wird anschließend mit dem mit gesendeten Auszug verglichen und nur wenn beide Auszüge identisch sind, ist die Integrität und Authentizität der Daten gewährleistet. Digitale Signaturen werden aber nicht nur beim Versenden von Dokumenten verwendet, sondern beispielsweise auch bei Webseiten, die Dateien zum Download anbieten. Auf diese Weise kann sich die Webseite als »vertrauenswürdige Site« ausweisen. Mehr zum Thema »Digitale Signaturen« erfahren Sie im nachfolgenden Kapitel.
9.3
EFS (Encryption File System) – Verschlüsselung von Dateien und Verzeichnissen
EFS, in der Langform Encryption File System, ist ein in Windows 2000 integriertes Verfahren, das es Anwendern ermöglicht, eine Verschlüsselung von Dateien und ganzen Verzeichnissen durchzuführen. Nach dieser Verschlüsselung ist nur der Anwender selbst oder ein so genannter Wiederherstellungsagent, dessen Aufgabe der nachstehende Exkurs-Kasten genauer erklärt, in der Lage, auf die verschlüsselten Objekte wieder zuzugreifen. Verschlüsselte Dateien und Ordner können in der gleichen Weise bearbeitet werden wie herkömmliche, nicht verschlüsselte Dateien und Ordner. Die Verschlüsselung ist transparent und wird im Hintergrund ausgeführt. Wenn der Benutzer, der eine Datei oder einen Ordner zu einem früheren Zeitpunkt verschlüsselt hat, auf die entsprechenden Daten zugreift, werden diese vom System automatisch wieder entschlüsselt. EFS nutzt folglich die Vorteile der vorgestellten Verschlüsselungsverfahren und arbeitet mit einer Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Die beiden nachfolgenden Abschnitte zeigen Ihnen, welche Schritte beim Prozess der Verschlüsselung und beim Prozess der Entschlüsselung mithilfe von EFS ablaufen: Schritte des Verschlüsselungsprozesses
Im Prinzip sind es drei einfache Schritte, aus denen der Verschlüsselungsprozess besteht. Im Einzelnen handelt es sich um: 1. Die zu schützenden Daten werden mithilfe der symmetrischen Verschlüsselung gesichert, da sich so in kurzer Zeit auch große Datenmengen verschlüsseln lassen. Den Schlüssel, der dabei erzeugt wird, bezeichnet man auch als Dateischlüssel.
308
EFS (Encryption File System) – Verschlüsselung von Dateien und Verzeichnissen
2. Um den optimalen Schutz zu gewährleisten, wird der so erzeugte Dateischlüssel anschließend mithilfe des öffentlichen Schlüssels des Anwenders (stammt aus dem Zertifikat des Anwenders) verschlüsselt, der den Vorgang der Dateiverschlüsselung gestartet hat. Die dabei erzeugten Informationen werden im Datei-Header der verschlüsselten Datei in den Data Decryption Fields (DDFs) gesichert. Dieser Schritt hat zur Folge, dass die Dateien später auch nur von dem Anwender geöffnet werden können, der die Daten ursprünglich verschlüsselt hat. Ein Zugriff durch andere Anwender ist hingegen nicht möglich. 3. Zusätzlich wird der Dateischlüssel auch noch mit dem öffentlichen Schlüssel des Wiederherstellungsagenten verschlüsselt, was gewährleistet, dass die Datei im Notfall durch einen Administrator wiederhergestellt werden kann. Mehr Informationen zu dem Wiederherstellungsagenten erfahren Sie im Exkurs-Kasten. Wiederherstellung verschlüsselter Daten Für verschlüsselte Dateien muss auch eine Wiederherstellungsfunktion in das Betriebssystem integriert sein, was allerdings nicht so sehr wegen der Vergesslichkeit von Anwendern, sondern vor allem aus juristischen Gründen geschieht, da Daten im Fall von polizeilichen Ermittlungen beispielsweise zur Verfügung gestellt werden müssen. Dies geschieht unter Windows 2000 über den so genannten Wiederherstellungsagenten, eine spezielle administrative Rolle, die nur durch lokale Administratoren oder durch Domänenadministratoren wahrgenommen werden kann. Damit der Wiederherstellungsagent aber überhaupt in der Lage ist, eine per EFS verschlüsselte Datei zu entschlüsseln, werden bereits bei der Verschlüsselung die Informationen aus dem öffentlichen Schlüssel des Wiederherstellungsagenten in den Header der zu verschlüsselnden Datei geschrieben. Diese Daten werden in die speziell dafür vorgesehenen Data Recovery Fields (DRFs) eingetragen. Mehr zu Thema Wiederherstellungsagent erfahren Sie in den folgenden Kapiteln. Schritte des Entschlüsselungsprozesses
Möchte der Anwender, der seine Daten durch EFS-Verschlüsselung gesichert hat, zu einem späteren Zeitpunkt auf die Daten wieder zugreifen, was beispielsweise beim Öffnen einer Datei geschieht, müssen die Daten entschlüsselt werden. Genau dasselbe gilt auch für den Wiederherstellungsagenten; auch wenn er versucht, auf eine verschlüsselte Datei zuzugreifen, müssen die Daten zuerst entschlüsselt werden. In beiden Fällen laufen die folgenden Schritte ab: 1. Der Anwender oder der Wiederherstellungsagent versuchen auf die verschlüsselten Daten zuzugreifen. 2. Das System prüft, ob der private Schlüssel, den der Anwender oder der Wiederherstellungsagent beim Zugriff auf die Datei präsentiert, berech-
309
9 Datenverschlüsselung unter Windows
tigt ist, die Daten, die in den Data Decryption Fields (im Falle des Anwenders) bzw. in den Data Recovery Fields (im Falle des Wiederherstellungsagenten) zu entschlüsseln. 3. Ist die Berechtigung vorhanden, wird zunächst mithilfe dieser Informationen der Dateischlüssel entschlüsselt. 4. Im folgenden Schritt werden dann mithilfe des Dateischlüssels die in der Datei gesicherten Informationen entschlüsselt. Nach dieser Entschlüsselung stehen dann dem Anwender bzw. dem Wiederherstellungsagenten die Daten zur Verfügung. Anmerkung: Private Schlüssel werden im Übrigen in einem geschützten Schlüsselspeicher auf dem lokalen Computer (Computer, auf dem die Datei verschlüsselt wurde) abgelegt, und nicht in der Sicherheitskontenverwaltung (SAM) oder einem getrennten Verzeichnis gespeichert.
9.4
Vorbereitung des Einsatzes von EFS
EFS oder Encryption File System ist, wie bereits erwähnt, ein Verfahren, das es den Anwendern ermöglicht, vertrauliche oder sensible Daten auf seinem Datenträger zu verschlüsseln und somit vor dem unbefugten Zugriff durch Dritte zu sichern. Da EFS eine in das Dateisystem integrierte Komponente ist, treten bei der Verwaltung von EFS keine größeren Probleme auf und der Einsatz erfordert aufgrund der transparenten Ausführung keine zusätzliche Kontrolle durch die Benutzer. Ein unbefugter Zugriff auf die Daten wird jedoch durch diese Integration sehr erschwert. Durch diese Merkmale eignet es sich besonders für eine Datensicherung auf Computern, bei denen die Möglichkeit eines Diebstahls besteht (beispielsweise bei tragbaren Computern). Bevor Sie den Einsatz von EFS in Ihrem Unternehmen einführen, sollten Sie sich jedoch mit den beiden folgenden Punkten näher vertraut machen: 1. Voraussetzungen für den Einsatz von EFS 2. Festlegung der zu verschlüsselnden Daten Die beiden nachstehenden Abschnitte bieten Ihnen entsprechende Orientierungshilfen zu diesen Punkten.
9.4.1
Systemvoraussetzungen für den Einsatz von EFS
Die Voraussetzungen für den Einsatz von EFS sind nicht besonders kompliziert, denn im Wesentlichen sind nur drei einfache Punkte zu beachten: 1. EFS steht nur unter den Betriebssystemen Windows 2000 oder Windows XP zur Verfügung. Auf Rechnern, die noch mit Windows NT 4.0 oder Windows 98 betrieben werden, kann kein EFS eingesetzt werden, denn die Nutzung und Verschlüsselung der Daten selbst wird durch die neue Version des NTFS-Dateisystems gewährleistet, das mit Windows 2000
310
Vorbereitung des Einsatzes von EFS
eingeführt wurde. 2. Aus dem ersten Punkt ergibt sich auch direkt die zweite Voraussetzung, die besagt, dass die Verschlüsselung nur unter NTFS-formatierten Datenträgern zur Verfügung steht. Daten, die auf FAT-formatierten Datenträgern (Festplatten oder Disketten) abgelegt sind, lassen sich nicht durch EFS schützen. Verschlüsseln können Sie die Daten auf NTFS-Datenträgern mit einem insgesamt bis zu 128 Bit langen Verschlüsselungscode, der ein »Knacken« der gesicherten Daten fast unmöglich macht, zumindest aber eine ganze Großrechnerbatterie erfordert. 3. Die dritte Bedingung ist, dass die NTFS-Datenträger, deren Daten Sie mit EFS verschlüsseln wollen, nicht mit der in Windows 2000 integrierten Kompressionsmethode komprimiert sein dürfen. Mit EFS lassen sich keine Daten verschlüsseln, die zuvor mit der Windows 2000-Kompression komprimiert wurden. Umgekehrt lassen sich mit der Windows 2000-Kompression auch keine Daten komprimieren, die Sie bereits verschlüsselt haben. Diese beiden Optionen sind inkompatibel zueinander und können nicht gemeinsam angewendet werden. 4. Darüber hinaus wurde EFS ausschließlich für das geschützte Speichern von Daten auf lokalen Computern entwickelt. Daher wird die Freigabe verschlüsselter Daten nicht unterstützt. Wenn Sie diese vier Punkte vor dem Einsatz von EFS beherzigen, dann haben Sie in puncto Systemvoraussetzungen bereits alle Bedingungen erfüllt.
9.4.2
Festlegung der zu verschlüsselnden Daten
Ein ganz wichtiger Planungsschritt beim Einsatz von EFS ist die Festlegung, welche Daten überhaupt verschlüsselt werden sollen. Bei dieser Entscheidung sind zwei wesentliche Punkte zu beachten: 1. Wie sind die Daten klassifiziert? 2. Wo werden die Daten abgelegt? Klassifizierung der Daten Wie bereits an anderer Stelle erwähnt, verfügen alle Daten und Informationen normalerweise über einen Besitzer, der sich für diese Informationen verantwortlich zeigt. Eine ganz wichtige Aufgabe des Besitzers von Informationen besteht eben darin, die in Word-Dokumenten, Excel-Tabellen oder sonstigen Dateien enthaltenen Informationen zu klassifizieren. In der Regel lassen sich die Daten und Informationen eines Unternehmens in vier Kategorien gliedern. Unterschieden wird bei einer solchen Einteilung zwischen:
311
9 Datenverschlüsselung unter Windows
1. Öffentlichen Daten: Solche Informationen sind für jedermann innerhalb und außerhalb des Unternehmens zugänglich. Die besten Beispiele für öffentliche Unternehmensinformationen sind die auf einer Unternehmensseite im Internet vorhandenen Daten oder die Informationen, die vom Marketing in Form von Broschüren, Meldungen oder Statements an die Presse und Öffentlichkeit weitergegeben werden. Bei solchen Daten spielt die Datensicherheit in Form der Datenintegrität und Datenauthentizität eine wichtige Rolle. 2. Internen Daten: Als interne Daten werden Informationen bezeichnet, die für das Unternehmen selbst und den Ablauf der betrieblichen Prozesse relevant sind. Diese Daten stehen in der Regel allen oder einem großen Teil der Unternehmensmitarbeitern zur Verfügung, müssen aber vor dem Zugriff externer Dritter geschützt werden. Wichtig ist bei solchen Informationen, die für eine breite Mitarbeiterschicht gelten, auch, dass diese Daten nicht durch einzelne, nicht dazu berechtigte Mitarbeiter modifiziert werden. 3. Vertraulichen Daten: Vertrauliche Daten sind auch im Unternehmen immer nur ausgewählten Anwendern oder Anwendergruppen zugänglich und müssen vor dem Zugriff entsprechend unberechtigter Mitarbeiter gut geschützt werden. Typisches Beispiel für vertrauliche Informationen sind die Informationen der Personalabteilung, Gehaltslisten, etc. 4. Geheimen Daten: Für »geheime« Daten ist der höchstmögliche Schutz zu verwenden, denn darunter fallen oft Produktentwicklungen, Forschungsergebnisse, Produktideen, Produktdesigns, etc. Diese Informationen sind im Unternehmen nur ganz ausgewählten Anwendern zugänglich und der Missbrauch solcher Informationen hat in der Regel gravierende Auswirkungen auf die weitere Entwicklung des Unternehmens. Gerade für die als »geheim« eingestuften Informationen fordert die Unternehmensrichtlinie in der Regel eine Verschlüsselung der Daten, die im Rahmen von Windows 2000 durch EFS bereitgestellt werden kann. Ablageort der Informationen Neben der Klassifikation der Informationen ist es auch von sehr hoher Bedeutung, an welchem physischen Ort die Daten, Dokumente und Informationen abgelegt werden. Daten können in einem Unternehmen auf folgenden Datenträgern abgelegt werden: 1. Netzwerklaufwerk auf einem zentralen Server 2. Lokaler Datenträger auf dem stationären Arbeitscomputer 3. Festplatte des Laptops für den mobilen Einsatz 4. Mobile Datenträger wie z.B. Diskette, CD-R, Tapes, etc.
312
Die Aspekte der Dateiverschlüsselung
Sofern es sich bei den unter den Punkten 1 bis 3 genannten Datenträgern um NTFS-formatierte Datenträger handelt, können dort sensible Dateien oder Verzeichnisse mittels EFS gesichert werden. Am wichtigsten dürfte eine solche Verschlüsselung bei einem Notebook sein, da dieses für den Einsatz unterwegs genutzt wird und somit wesentlich mehr gefährdet ist, als die zentralen Server eines Unternehmens, die in der Regel in einem elektronisch gesicherten Serverraum stehen. Für mobile Datenträger wie Disketten, CD-Rs oder Bänder kann EFS nicht verwendet werden, da es sich hierbei nicht um Datenträger handelt, die NTFS unterstützen.
9.5
Die Aspekte der Dateiverschlüsselung
Nachdem die vorangegangenen Kapitel Ihnen nun verschiedene grundlegende Informationen zum Thema »EFS« geliefert haben, möchten wir Ihnen in diesem Kapitel den praktischen Einsatz von EFS einmal näher vorstellen. Dieses Kapitel betrachtet dabei die Sichtweise des Anwenders, während das folgende Kapitel auf die Aspekte eingeht, die vor allem für die Administratoren relevant im Umgang mit EFS sind.
9.5.1
Dateien und Ordner verschlüsseln
Den Anwender interessiert in der Regel weniger das Verschlüsselungsverfahren und die Algorithmen bzw. die Aspekte, die man auf der infrastrukturellen Seite beim Einsatz von EFS beachten muss, er möchte das neue Feature der integrierten Datenverschlüsselung unter Windows 2000 nutzen. Eine einzelne Datei auf dem lokalen Rechner verschlüsseln Die einfachste Form der Verschlüsselung stellt die Sicherung einer einzelnen Datei auf dem lokalen Rechner dar, wobei es keinen Unterschied macht, ob es sich dabei um einen stationären Desktop-PC oder ein Laptop handelt. Genauso wenig macht es für den Anwender einen Unterschied, ob der Computer ein völlig allein stehender Computer, ein Mitglied einer Arbeitsgruppe oder ein Mitglied einer Domäne ist. Der Anwender führt einfach die nachfolgenden Schritte aus: 1. Starten des Explorers und Wechsel in das Verzeichnis, in dem sich die zu verschlüsselnde Datei befindet. 2. Mausklick mit der rechten Maustaste auf die betreffende Datei und Auswahl des Eigenschaften-Befehls aus dem erscheinenden Popup-Menü. 3. Anklicken der Erweitert-Schaltfläche auf der Allgemein-Registerkarte des erscheinenden Dialogfensters.
313
9 Datenverschlüsselung unter Windows Abbildung 9.1: Über die »Erweitert«-Schaltfläche gelangen Sie zu den Verschlüsselungsoptionen
4. Aktivierung der Option Inhalt verschlüsseln, um Daten zu schützen für die ausgewählte Datei. Abbildung 9.2: Über die Option »Inhalt verschlüsseln, um Daten zu schützen« aktivieren Sie den Dateischutz
5. Da Windows in der Regel die Verschlüsselung ganzer Verzeichnisse vorzieht, erscheint beim Mausklick auf den OK-Button eine Warnung, die Sie darauf hinweist, dass Sie eine einzelne Datei in einem unverschlüssel-
314
Die Aspekte der Dateiverschlüsselung
ten Verzeichnis verschlüsseln. Standardmäßig schlägt Windows dem Anwender nun auch vor, automatisch das ganze Verzeichnis und alle darin enthaltenen Dateien zu verschlüsseln, wenn dies jedoch nicht gewünscht ist, können Sie an dieser Stelle einfach die Option Nur die Datei verschlüsseln aktivieren und mit OK bestätigen. Abbildung 9.3: Warnung, die bei der Verschlüsselung einzelner Dateien in einem unverschlüsselten Verzeichnis erscheint
Wenn Sie sich im Explorer die Spalte Attribute anzeigen lassen, können Sie sehen, dass bei der ausgewählten Datei, die verschlüsselt wurde, nun zusätzlich ein »E« angezeigt wird, das für »Encrypted« steht. Was will die Verschlüsselungswarnung sagen? Die Verschlüsselungswarnung hat folgenden Hintergrund: Wenn Sie beispielsweise ein WinWord-Dokument in einem unverschlüsselten Ordner verschlüsseln und später dieses verschlüsselte Dokument öffnen und bearbeiten, legt WinWord in dem gleichen Verzeichnis eine temporäre Datei an, die aber im Gegensatz zur Originaldatei nicht verschlüsselt ist. Wenn Ihr PC also kein allein stehender PC ist, sondern mit dem Netzwerk verbunden und Mitglied einer Domäne ist, kann während der Zeit, in der Sie mit dem verschlüsselten Dokument arbeiten, jemand die unverschlüsselte »temporäre« Kopie des Dokuments aus dem unverschlüsselten Verzeichnis attackieren. Aus diesem Grund sollten Sie sich bei einem Computer, der über eine Netzwerkverbindung verfügt und Mitglied einer Domäne ist, überlegen, ob Sie nicht besser ein zentrales Verzeichnis für sensible Dokumente anlegen und dieses komplett verschlüsseln (siehe nachstehender Absatz). Ein Verzeichnis auf dem lokalen Rechner verschlüsseln Neben der Verschlüsselung einer einfachen Datei, hat der Anwender auch die Möglichkeit, ein ganzes Verzeichnis inklusive aller darin enthaltenen Dateien zu verschlüsseln, wobei es keinen Unterschied macht, ob es sich dabei um einen stationären Desktop-PC oder ein Laptop handelt. Genauso
315
9 Datenverschlüsselung unter Windows
wenig macht es für den Anwender einen Unterschied, ob der Computer ein völlig allein stehender Computer, ein Mitglied einer Arbeitsgruppe oder ein Mitglied einer Domäne ist. Der Anwender führt einfach die nachfolgenden Schritte aus: 1. Starten des Explorers und Wechsel in das Verzeichnis, das verschlüsselt werden soll. 2. Mausklick mit der rechten Maustaste auf das betreffende Verzeichnis und Auswahl des Eigenschaften-Befehls aus dem erscheinenden PopupMenü. 3. Anklicken der Erweitert-Schaltfläche auf der Allgemein-Registerkarte des erscheinenden Dialogfensters. 4. Aktivierung der Option Inhalt verschlüsseln, um Daten zu schützen für die ausgewählte Datei. 5. Bestätigen mit OK. Auch bei Verzeichnissen, die verschlüsselt sind, erscheint nach dem Verschlüsseln im Explorer, sofern Sie sich die Spalte Attribute anzeigen lassen, ein zusätzliches »E«, das für »Encrypted« steht. Der Vorteil bei der Verschlüsselung eines ganzen Verzeichnisses inklusive aller enthaltenen Dateien besteht darin, dass einerseits alle vorhandenen Dateien durch Verschlüsselung gesichert sind und andererseits auch alle Dateien automatisch verschlüsselt werden, die entweder direkt in dem Verzeichnis erstellt oder dort hinein kopiert oder verschoben werden. Vorsicht mit dem TEMP-Verzeichnis Eine Sicherheitslücke, die beim Verschlüsseln von Dateien noch existiert, ist das TEMP-Verzeichnis. Während die Office-Applikationen ihre temporären Dateien, die während der Bearbeitung eines verschlüsselten Dokuments angelegt werden, im selben Verzeichnis speichert, wie die Originaldatei, legen andere Applikationen diese TEMP-Dateien immer noch im TEMP-Verzeichnis von Windows ab. Wenn die Originaldatei aus einem verschlüsselten Verzeichnis stammt, sind im Falle von Office auch die temporären Dateien gesichert, während dies bei anderen Applikationen, die ihre Dateien in das TEMP-Verzeichnis ablegen, nicht der Fall ist. Microsoft rät daher dringend dazu, den Inhalt des TEMP-Verzeichnisses in regelmäßigen Intervallen zu löschen, um so zu vermeiden, dass die sensiblen Inhalte über temporäre Dateien in falsche Hände geraten.
316
Die Aspekte der Dateiverschlüsselung
Gruppenverschlüsselung mit Windows XP Windows XP bietet Ihnen den gleichen Funktionsumfang wie Windows 2000, allerdings wurde in der zweiten Version von EFS die Forderung nach einer Gruppenverschlüsselung berücksichtigt. Durch diesen besonderen Typ der Verschlüsselung werden Anwender in die Lage versetzt, die Datei für eine bestimmte Gruppe von Anwendern unverschlüsselt bereitzustellen. Die Vorgehensweise ist dabei mit der zuvor beschriebenen Methode identisch. Allerdings finden Sie neben der Option für die Verschlüsselung der Daten eine weitere Schaltfläche. Wenn Sie auf die Schaltfläche Details klicken, bekommen Sie angezeigt, welche Anwender die Datei bzw. den Ordner entschlüsseln können. Standardmäßig sind dies der Anwender selbst und der Wiederherstellungsagent. Durch einen Klick auf Hinzufügen können Sie weitere Benutzer der Domäne hinzufügen. Für diese Benutzer muss allerdings ein entsprechendes Zertifikat vorliegen, sonst ist eine Einbeziehung der Anwender nicht möglich. Dieses Zertifikat wiederum kann entweder auf der lokalen Arbeitsstation installiert sein oder aber aus dem Active Directory bezogen werden. Abbildung 9.4: Die EFS-Verschlüsselung unter XP ermöglicht die Integration mehrerer Personen
Vom Verfahren her arbeitet Windows XP bei den hinzugefügten Anwendern wie beim Wiederherstellungsagenten. Der Wiederherstellungsschlüssel des hinzugefügten Anwenders wird einfach der verschlüsselten Datei hinzugefügt, wodurch der Anwender die Möglichkeit erhält, auf den Schlüssel für die Entschlüsselung zuzugreifen. Mehr dazu finden Sie in den vorangegangenen Abschnitten.
317
9 Datenverschlüsselung unter Windows
Eine Datei oder ein Verzeichnis auf einem zentralen File-Server verschlüsseln Die beiden vorangegangenen Abschnitte haben Ihnen detailliert gezeigt, wie Anwender eigene Dateien oder Verzeichnisse auf dem lokalen Rechner verschlüsseln. Die Schritte der Remote-Verschlüsselung
In diesem Abschnitt möchten wir Ihnen das Verschlüsseln von Dateien auf dem Remote-Server vorführen. 1. Um eine Verbindung zum Remote-Computer herzustellen, auf dem sich die zu verschlüsselnde Datei bzw. der Ordner befindet, klicken Sie im Windows-Explorer im Menü Extras auf Netzlaufwerk verbinden und folgen dann den Anweisungen im Dialogfeld Netzlaufwerk verbinden. 2. Haben Sie die Verbindung zu dem Netzlaufwerk hergestellt, klicken Sie mit der rechten Maustaste auf die zu verschlüsselnde Datei bzw. auf den Ordner und anschließend auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert. 4. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen. Was bei der Remote-Verschlüsselung zu beachten ist:
Die Schritte für das Verschlüsseln sind mit denen einer lokalen Verschlüsselung identisch. Wenn Benutzer in einer Windows 2000-Computerumgebung verschlüsselte Dateien nicht nur auf ihren lokalen Rechnern, sondern auch auf Remoteservern (z.B. einem Dateiserver) speichern möchten, sollten Sie als Administrator aber noch die folgenden Aspekte beachten: 왘 Windows 2000 unterstützt das Speichern verschlüsselter Dateien auf
Remoteservern. Dieses Feature beinhaltet jedoch nicht die Remotefreigabe verschlüsselter Dateien für mehrere Benutzer. 왘 Verschlüsselte Daten werden während der Übertragung im Netzwerk
standardmäßig entschlüsselt. Eine Ausnahme hiervon besteht, wenn auf Ihrem System IPSec (Internet Protocol Security) installiert wurde (mehr zu diesem Thema erfahren Sie in einem der folgenden Kapitel). 왘 Macintosh-Clients können grundsätzlich nicht auf die mit EFS verschlüs-
selten Dateien zugreifen. 왘 In Domänen ist die Remote-Verschlüsselung standardmäßig deaktiviert.
Bevor Daten, die sich auf einem Remoteserver befinden, der nicht zugleich Domänencontroller ist, von Benutzern verschlüsselt werden können, müssen Sie den Remoteserver über das Tool Active DirectoryBenutzer und -Computer von einem Administrator als Vertrauenswürdig für die Delegierung einstufen lassen. Diese Maßnahme gewährleistet, dass
318
Die Aspekte der Dateiverschlüsselung
sämtliche Benutzer, die Dateien auf dem Server verschlüsseln können, und Sie haben die Möglichkeit, mit einem einzigen, domänenweit geltenden Wiederherstellungsagenten die entsprechenden verschlüsselten Dateien im Notfall wiederherzustellen. Was beim Verschlüsseln von Daten zu beachten ist An dieser Stelle haben wir für Sie noch einmal die wichtigsten Punkte, die Sie beim Verschlüsseln von Daten beachten sollten, zusammengefasst: 왘 Wenn Sie auf den Datenträger über komprimierte Dateien oder Ordner
verfügen, so können Sie diese Daten nicht verschlüsseln. Wenn die Daten unbedingt verschlüsselt werden sollen, dann müssen Sie zuvor die in Windows 2000 oder Windows XP integrierte Datenkomprimierung abschalten. 왘 Die Windows-Systemdateien lassen sich prinzipiell nicht verschlüsseln. 왘 Prüfen Sie nach dem Verschlüsseln von Daten auf dem lokalen PC oder
einem Remote-Computer, ob der Ordner oder die Datei auch tatsächlich verschlüsselt ist. Am besten können Sie dies, wenn Sie sich im Explorer die Dateiattribute anzeigen lassen. Dort muss das »E« für »Encrypted« zu sehen sein. 왘 Beim Verschlüsseln eines Ordners werden Sie gefragt, ob auch alle
Dateien und untergeordneten Ordner innerhalb des Ordners verschlüsselt werden sollen. Wenn Sie sich dazu entschließen, werden alle derzeit im Ordner enthaltenen Dateien und untergeordneten Ordner verschlüsselt. Dies gilt auch für alle Dateien und untergeordneten Ordner, die dem Ordner künftig hinzugefügt werden. 왘 Wenn Sie eine einzelne Datei verschlüsseln, werden Sie gefragt, ob auch
der Ordner, in dem die Datei gespeichert ist, verschlüsselt werden soll. Falls Sie sich dazu entschließen, werden alle Dateien und untergeordnete Ordner direkt mit verschlüsselt. 왘 Das Verschlüsseln von Dateien schützt Sie nicht davor, dass andere
Anwender Ihre Dateien löschen. Es schützt wirklich nur vor dem unberechtigten Zugriff. Wenn Sie verhindern wollen, dass Anwender auf einem Server die Dateien anderer Anwender löschen können, müssen Sie mit entsprechenden NTFS-Berechtigungen arbeiten. Die bessere Verschlüsselungsstrategie Wie Ihnen die vorangegangenen Abschnitte gezeigt haben, lassen sich mit EFS sowohl einzelne oder mehrere Dateien als auch ganze Verzeichnisse inklusive der darin enthaltenen Dateien verschlüsseln. Stellt sich also die Frage, was ist besser?
319
9 Datenverschlüsselung unter Windows
Nach unserer Meinung ist die Arbeit mit einem zentralen Verzeichnis für sensible Daten, das komplett verschlüsselt ist, nicht nur sinnvoller, sondern auch sicherer. Gerade wenn der PC über einen Netzwerkanschluss verfügt, gibt es eigentlich keine Alternative dazu (siehe oben stehenden Exkurs zur Verschlüsselungswarnung). Zudem wird durch die Sammlung aller sensiblen Dokumente in einem zentralen, verschlüsselten Verzeichnis das Dokumenten-Management vereinfacht.
9.5.2
Zugriff auf verschlüsselte Dateien und Ordner
Zum Zugriff auf verschlüsselte Dateien gibt es nicht viel zu sagen, denn die Entschlüsselung passiert im Hintergrund und ist für den Anwender völlig transparent. Das bedeutet, der Anwender, der eine Datei verschlüsselt hat, kann diese über seine Applikationen ganz normal öffnen oder auch einfach über den Explorer aufrufen. Für andere Anwender gilt jedoch, dass beim Versuch, eine verschlüsselte Datei zu öffnen, eine Fehlermeldung erscheint und der Zugriff verweigert wird. Es wird zwar ein Dateifenster geöffnet, doch bevor der Inhalt angezeigt werden kann, erscheint die Fehlermeldung. Abbildung 9.5: Die Fehlermeldung erscheint bei Anwendern, die auf die verschlüsselte Datei eines anderen Anwenders zugreifen
320
Die Aspekte der Dateiverschlüsselung
9.5.3
Verschlüsselte Daten kopieren oder verschieben
Nachdem Sie nun kennen gelernt haben, wie Sie Dateien verschlüsseln und wieder auf sie zugreifen, möchten wir Ihnen in den folgenden Abschnitten noch zeigen, welche Aspekte beim Kopieren und Verschieben verschlüsselter Dateien zu beachten sind. Kopieren von verschlüsselten Dateien und Ordnern 1. Klicken Sie im Windows-Explorer auf die verschlüsselte Datei oder den Ordner, die oder der kopiert werden soll. 2. Klicken Sie im Menü Bearbeiten auf Kopieren oder wählen Sie den Kopieren-Befehl aus dem Kontextmenü. 3. Wechseln Sie anschließend in den Ordner oder auf das Laufwerk, in bzw. auf dem Sie die Kopie speichern möchten. 4. Wählen Sie dort im Menü Bearbeiten oder im Kontextmenü den Befehl Einfügen. Anmerkung: Wenn Sie eine verschlüsselte Datei oder einen verschlüsselten Ordner auf einen Datenträger kopieren, der kein NTFS-Dateisystem (z.B. eine Diskette) enthält, wird die Datei oder der Ordner automatisch entschlüsselt. Werden verschlüsselte Dateien und Ordner auf einen anderen Computer kopiert, muss sichergestellt werden, dass das erforderliche Verschlüsselungszertifikat sowie der private Schlüssel des betreffenden Anwenders auch auf diesem Computer zur Verfügung stehen. Andernfalls können die kopierten Dateien oder Ordner weder geöffnet noch entschlüsselt werden. Falls Sie über ein servergespeichertes Profil verfügen und somit Zugriff auf den zweiten Computer haben, müssen Sie Ihr Dateiverschlüsselungszertifikat und den privaten Schlüssel nicht exportieren und wieder importieren, da die Daten automatisch auf jedem Computer verfügbar sind, an dem Sie sich anmelden. Wenn Sie nicht über ein servergespeichertes Benutzerprofil auf den zweiten Computer zugreifen können, können Sie Ihr Verschlüsselungszertifikat und den privaten Schlüssel vom ersten Computer im PFX-Dateiformat auf eine Diskette exportieren (mehr zu diesem Thema bei der Wiederherstellung der verschlüsselten Daten). Verschieben von verschlüsselten Dateien und Ordnern 1. Klicken Sie im Windows-Explorer auf die verschlüsselte Datei oder den Ordner, die oder der verschoben werden soll. 2. Klicken Sie im Menü Bearbeiten auf In Ordner verschieben oder wählen Sie den Ausschneiden-Befehl aus dem Kontextmenü.
321
9 Datenverschlüsselung unter Windows
3. Wechseln Sie anschließend entweder über das nach dem Befehlsaufruf erscheinende Dialogfenster oder über den Explorer in den Ordner oder auf das Laufwerk, in bzw. auf dem Sie die Datei in Zukunft speichern möchten. 4. Bestätigen Sie die Auswahl entweder über das Dialogfenster oder wählen Sie im Kontextmenü den Befehl Einfügen. Anmerkung: Wenn Sie eine verschlüsselte Datei oder einen verschlüsselten Ordner auf einen Datenträger verschieben, der kein NTFS-Dateisystem (z.B. eine Diskette) enthält, wird die Datei oder der Ordner automatisch entschlüsselt. Werden verschlüsselte Dateien und Ordner auf einen anderen Computer verschoben, muss sichergestellt werden, dass das erforderliche Verschlüsselungszertifikat sowie der private Schlüssel des betreffenden Anwenders auch auf diesem Computer zur Verfügung stehen. Andernfalls können die verschobenen Dateien oder Ordner weder geöffnet noch entschlüsselt werden. Falls Sie über ein servergespeichertes Profil verfügen und somit Zugriff auf den zweiten Computer haben, müssen Sie Ihr Dateiverschlüsselungszertifikat und den privaten Schlüssel nicht exportieren und wieder importieren, da die Daten automatisch auf jedem Computer verfügbar sind, an dem Sie sich anmelden. Wenn Sie nicht über ein servergespeichertes Benutzerprofil auf den zweiten Computer zugreifen können, können Sie Ihr Verschlüsselungszertifikat und den privaten Schlüssel vom ersten Computer im PFX-Dateiformat auf eine Diskette exportieren (mehr zu diesem Thema bei der Wiederherstellung verschlüsselter Daten).
9.6
Sicherung & Wiederherstellung verschlüsselter Dateien
Zu den Hauptaufgaben, die die Administratoren bei der Verwaltung im Zusammenhang mit EFS (Encrypting File System) durchzuführen haben, gehören das Sichern und Wiederherstellen verschlüsselter Dateien, das Konfigurieren von Wiederherstellungsrichtlinien sowie das Wiederherstellen verschlüsselter Daten. Auf diese administrativen Tätigkeiten möchten wir in den folgenden Abschnitten daher auch einmal näher eingehen.
9.6.1
Sicherung von verschlüsselten Daten
Wenn Ihre Anwender ihre Daten auf den lokalen Computern oder einem Remote-Server verschlüsseln, so können Sie diese Daten dennoch ganz normal mit einem Backup-Programm, wie z.B. dem in das Windows-Betriebssystem integrierten Backupprogramm sichern. Die Daten werden in verschlüsselter Form auf das Backup-Tape gesichert, und auch bei dem Restore,
322
Sicherung & Wiederherstellung verschlüsselter Dateien
der Wiederherstellung solcher Dateien liegen die Dateien nach der Wiederherstellung in verschlüsselter Form vor. Für den Zugriff auf die Dateien wird entweder der private Schlüssel des Anwenders, der die Daten verschlüsselt hat, benötigt oder das Zertifikat des zuständigen Wiederherstellungsagenten (mehr zum Thema der Wiederherstellung erfahren Sie in den folgenden Abschnitten).
9.6.2
Der Wiederherstellungsagent
Unter Windows 2000 ist EFS so ausgelegt, dass nur der Anwender, der die Daten verschlüsselt hat, mithilfe seines privaten Schlüssels auch wieder auf die Daten zugreifen und diese entschlüsseln kann. Allein schon von Gesetzes wegen, aber auch für Notfälle, müssen Sie sich als Administrator über Wiederherstellungsmethoden und -wege entsprechende Gedanken machen. Die Datenwiederherstellung und ihre Einsatzpunkte Man spricht in diesem Zusammenhang von einer Datenwiederherstellung, wobei man damit den Vorgang bezeichnet, bei dem eine Datei ohne den privaten Schlüssel des Benutzers entschlüsselt werden muss, der die Datei vorhergehend verschlüsselt hat. Eine solche Datenwiederherstellung kann in den folgenden Fällen notwendig sein: 왘 Ein Benutzer verlässt die Firma und hat seine Daten vorher nicht ent-
schlüsselt (der Benutzeraccount wurde aber bereits gelöscht). 왘 Der private Schlüssel eines Benutzers ist verloren gegangen. 왘 Es liegt eine Anfrage einer Polizei- oder Gerichtsbehörde vor.
Der Wiederherstellungsagent und seine Vorgehensweise Wie bereits an anderer Stelle erwähnt, steht Ihnen im Rahmen von EFS ein so genannter Wiederherstellungsagent zur Verfügung, der ein eigenes Schlüsselpaar besitzt und dessen öffentlicher Schlüssel bei jeder Dateiverschlüsselung mit EFS automatisch neben den Informationen des Anwenderschlüssels im Datei-Header der verschlüsselten Datei gesichert wird. Ohne diesen Wiederherstellungsagenten ist die Nutzung von EFS überhaupt nicht möglich. Jeder Computer, auf dem Sie mit EFS entsprechende Daten verschlüsseln wollen, muss über mindestens einen Wiederherstellungsagenten verfügen. Beim Wiederherstellen einer Datei führt der Wiederherstellungsagent folgende Schritte durch: 1. Als Allererstes erzeugt der Wiederherstellungsagent von den wiederherzustellenden verschlüsselten Dateien eine Sicherheitskopie. 2. Die gerade erzeugten Sicherungskopien werden anschließend auf ein gesichertes System verschoben.
323
9 Datenverschlüsselung unter Windows
3. Das benötigte Wiederherstellungszertifikat wird auf den Computer, den Sie zur Datenwiederherstellung nutzen, importiert. 4. Die Sicherungsdateien werden mithilfe des Wiederherstellungsagenten wiederhergestellt und anschließend mithilfe des Windows-Explorers oder des Befehls cipher entschlüsselt.
9.6.3
Konfigurieren der Sicherheitsrichtlinien
Beim Wiederherstellungsagenten handelt es sich im Prinzip um einen ausgewählten Anwender oder eine Anwendergruppe, dem bzw. der das Recht gewährt wird, verschlüsselte Dateien zu entschlüsseln. Wer zu den Wiederherstellungsagenten gehört, wird über die Sicherheitsrichtlinien festgelegt. Standard-Wiederherstellungsagenten Standardmäßig sind folgende Wiederherstellungsagenten definiert: 왘 In Ihrer einer Windows 2000- oder Windows XP-Domäne ist der Admi-
nistratoren-Account für die Domäne der Standard-Wiederherstellungsagent. 왘 Bei einem allein stehenden Computer übernimmt der lokale Administra-
tor die Aufgabe des Wiederherstellungsagenten. Verwendung von Sicherheitsrichtlinien Wem das Recht für die Wiederherstellung verschlüsselter Dateien zugewiesen wird, definieren Sie über die Sicherheitsrichtlinien, wobei der Geltungsbereich der Sicherheitsrichtlinie für die gesamte Domain, den Standort oder die Organisationseinheit gelten kann. Der Computer, der Domänenmitglied ist und auf dem die Dateien verschlüsselt werden, bedient sich dabei immer der Sicherheitsrichtlinie, die für ihn am nächsten zutrifft. Für allein stehende Computer gelten die Einstellungen, die in der lokalen Sicherheitsrichtlinie des Computers angegeben sind. Mithilfe des Snap-Ins Gruppenrichtlinie können Sie für Mitgliedsserver der Domäne oder für allein stehende Arbeitsgruppenserver oder Workstations eine Richtlinie für die Datenwiederherstellung festlegen. Sie können ein Wiederherstellungszertifikat anfordern und eigene Wiederherstellungszertifikate exportieren bzw. importieren. Die Verwaltung einer Datenwiederherstellungsrichtlinie kann an einen bestimmten Administrator übertragen werden. Obwohl die Zahl der zur Wiederherstellung verschlüsselter Daten berechtigten Personen möglichst klein gehalten werden sollte, verfügen Sie durch die Angabe mehrerer Administratoren als Wiederherstellungsagenten über Ausweichmöglichkeiten, wenn eine Datenwiederherstellung erforderlich wird.
324
Sicherung & Wiederherstellung verschlüsselter Dateien
Änderung der Sicherheitsrichtlinie am lokalen Computer In diesem Abschnitt möchten wir Ihnen in Form einer kleinen Praxisanleitung vorführen, wie Sie die Sicherheitsrichtlinie für die Datenwiederherstellung an einem lokalen Computer verändern: Schritt-für-Schritt die lokale Sicherheitsrichtlinie ändern:
5. Öffnen Sie die MMC und rufen Sie über das Konsole-Menü den Befehl Snap-In hinzufügen/entfernen auf. 6. Klicken Sie in dem daraufhin erscheinenden Dialogfenster auf Hinzufügen und wählen Sie in dem dann angezeigten Dialogfenster das Snap-In Gruppenrichtlinie aus. Sie müssen dann noch einmal auf Hinzufügen klicken. Abbildung 9.6: Bestimmen Sie, dass die Gruppenrichtlinie für den lokalen Computer ausgewählt werden sollen
7. Stellen Sie in dem dann erscheinenden Dialogfenster unter Gruppenrichtlinienobjekt sicher, dass Lokaler Computer angezeigt wird, klicken Sie auf Fertig stellen und schließen Sie auf das andere Dialogfenster über OK. 8. Zurück in der MMC wechseln Sie unter Richtlinien für Lokaler Computer zu dem Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel. 9. Klicken Sie mit der rechten Maustaste auf Agenten für Wiederherstellung von verschlüsselten Daten, und aktivieren Sie danach eine der folgenden Optionen:
325
9 Datenverschlüsselung unter Windows Abbildung 9.7: Wählen Sie den Container »Richtlinien öffentlicher Schlüssel« aus
왘 Durch Hinzufügen können Sie einen Benutzer mithilfe des Assisten-
ten für das Hinzufügen von Wiederherstellungsagenten als zusätzlichen Wiederherstellungsagenten benennen. 왘 Durch Richtlinie löschen wird diese EFS-Richtlinie und alle Wieder-
herstellungsagenten gelöscht. Das Löschen der EFS-Richtlinie und aller Wiederherstellungsagenten hat zur Folge, dass die Benutzer auf diesem Computer keine Dateien verschlüsseln können. Punkte, die Sie beim Ändern der lokalen Sicherheitsrichtlinie beachten sollten
Wenn Sie die oben aufgeführten Schritte durchführen möchten, dann gibt es eine Reihe von Punkten, die Sie beachten sollten: 왘 Sie müssen als Administrator oder Mitglied der Gruppe Administrato-
ren angemeldet sein, um die lokale Sicherheitsrichtlinie verändern zu können. 왘 Wenn der Computer mit einem Netzwerk verbunden ist, verhindern
möglicherweise auch die Richtlinieneinstellungen der Domäne, des Standortes oder der OU die Ausführung der Richtlinienänderung. 왘 Wenn
Sie das Zertifikat des Standard-Wiederherstellungsagenten löschen, ohne dass eine andere Richtlinie existiert, ist die Wiederherstellungsrichtlinie des Computers wirkungslos. Eine wirkungslose Wiederherstellungsrichtlinie bedeutet, dass keine Person als Wiederherstellungsagent eingesetzt wurde. Dies hat zur Folge, dass der EFS-Dienst deaktiviert ist, sodass auf diesem Computer keine Dateiverschlüsselung mehr möglich ist.
326
Sicherung & Wiederherstellung verschlüsselter Dateien 왘 Bevor die Wiederherstellungsrichtlinie geändert wird, sollten die bisher
angelegten Wiederherstellungsschlüssel über einen Export der Zertifikate immer auf Diskette gesichert werden (mehr zu diesem Thema weiter unten in diesem Kapitel). Hinzufügen neuer Wiederherstellungsagenten am lokalen Computer Wie bereits mehrfach erwähnt, wird bei einem allein stehenden Computer oder Server der lokale Administrator standardmäßig als Wiederherstellungsagent eingerichtet. Wenn Sie einen weiteren Wiederherstellungsagenten einrichten wollen, müssen Sie als Administrator oder Mitglied der lokalen Administratorengruppe angemeldet sein. Ist dies der Fall, gehen Sie wie nachstehend beschrieben vor: 1. Klicken Sie auf Start/Ausführen und starten Sie über die Eingabe von MMC und einen bestätigenden Mausklick auf OK die ManagementKonsole. 2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen und drücken Sie in dem daraufhin angezeigten Dialogfenster den HinzufügenButton. Wählen Sie über die nachfolgenden Dialogfenster das Snap-In Gruppenrichtlinie aus und achten Sie darauf, dass Sie als Gruppenrichtlinienobjekt Lokaler Computer auswählen. Schließen Sie dann alle geöffneten Dialogfenster über entsprechende Bestätigungen. 3. Zurück in der MMC wechseln Sie unter Richtlinien für Lokaler Computer zu dem Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel. 4. Klicken Sie im Detailbereich der MMC mit der rechten Maustaste auf Agenten für Wiederherstellung von verschlüsselten Daten und wählen Sie aus dem Kontextmenü den Befehl Hinzufügen, um den Assistenten zum Anlegen eines neuen Wiederherstellungsagenten aufzurufen. 5. Im Begrüßungsbildschirm brauchen Sie nur auf Weiter zu klicken. Im nächsten Schritt werden Sie aufgefordert, für den Benutzer, den Sie als weiteren Wiederherstellungsagenten festlegen möchten, eine Zertifikatsdatei (*.CER) auszuwählen. Wenn Sie in Ihrer Domäne über eine Public Key Infrastructure verfügen und die Zertifikate im Active Directory veröffentlicht haben, können Sie die Daten des Benutzers über die Schaltfläche Verzeichnis durchsuchen auswählen. Ansonsten müssen Sie den Button Ordner durchsuchen wählen und das Verzeichnis aufsuchen, in dem die Zertifikatsdatei (*.CER) abgelegt ist. Wenn Sie eine Zertifikatsdatei aus dem Dateisystem des lokalen Computers auswählen, wird der Benutzer im Assistenten automatisch als USER_UNKNOWN identifiziert (siehe Abbildung 9.9).
327
9 Datenverschlüsselung unter Windows Abbildung 9.8: Der Assistent zum Bestimmen eines weiteren Wiederherstellungsagenten
Abbildung 9.9: Nach der Auswahl einer Zertifikatsdatei erscheint automatisch der Eintrag USER_UNKNOWN im Dialogfenster des Assistenten
6. Im letzten Schritt werden noch einmal die gesammelten Daten angezeigt. Über einen letzten Mausklick auf Fertig stellen übernehmen Sie die Einstellungen und fügen dem Rechner einen weiteren Wiederherstellungsagenten hinzu.
328
Sicherung & Wiederherstellung verschlüsselter Dateien Abbildung 9.10: Abschließend müssen Sie noch einmal die Einstellungen bestätigen
Abbildung 9.11: Die Detailinformationen des Zertifikats des lokalen Wiederherstellungsagenten
329
9 Datenverschlüsselung unter Windows
Am Ende des Vorgangs müssten Sie dann in der MMC unter dem Container Agenten für Wiederherstellung von verschlüsselten Daten im Detailbereich den Eintrag für das Zertifikat des neuen Wiederherstellungsagenten sehen können. Wenn Sie im Kontextmenü dieses Zertifikats den Befehl Öffnen aufrufen, bekommen Sie die Detailinformationen zu dem Zertifikat angezeigt. Das Interessante ist, dass Sie im Rahmen von EFS also auch dann mit Zertifikaten arbeiten, wenn Ihr Netzwerk nicht über eine Public Key Infrastructure verfügt (mehr zum Thema PKI erfahren Sie im folgenden Kapitel). Änderung der Sicherheitsrichtlinie für die Domäne In Domänen wird eine Sicherheitsrichtlinie für die Wiederherstellung von verschlüsselten Dateien für die gesamte Domäne eingerichtet, wenn Sie den ersten Domänencontroller installiert haben. Der Domänenadministrator erhält dann in der Folge das selbst signierte Zertifikat, das ihn als Wiederherstellungsagenten für die Domäne ausweist. Um diese Sicherheitsrichtlinie zur Wiederherstellung verschlüsselter Dateien für eine Domäne zu ändern, müssen Sie sich daher auch zwingend am ersten Domänencontroller Ihrer Domäne als Administrator anmelden. Das Vorgehen zum Ändern der Sicherheitsrichtlinie entspricht dann aber dem gezeigten Vorgehen für das Ändern der lokalen Sicherheitsrichtlinie. Der einzige Unterschied besteht lediglich darin, dass Sie diesmal nicht die lokale Sicherheitseinstellungen, sondern das Gruppenrichtlinienobjekt für die Domäne bearbeiten. Hinzufügen neuer Wiederherstellungsagenten in der Domäne Wie bereits an anderer Stelle erwähnt, übernimmt innerhalb der Domäne der Administratorenaccount, der den ersten Domänencontroller installiert hat, die Rolle des Standard-Wiederherstellungsagenten. Ein Wiederherstellungsagent für die gesamte Domäne ist ein wenig knapp bemessen. Daher sollten Sie unbedingt noch einen weiteren Account für die Datenwiederherstellung berechtigen, um somit einen Ausweichaccount für den Notfall zu besitzen. Schritt-für-Schritt-Anleitung
1. Melden Sie sich als Administrator am ersten Domänencontroller Ihrer Domäne an und rufen Sie über Start/Programme/Verwaltung das Tool Active Directory-Benutzer und –Computer auf. 2. Klicken Sie mit der rechten Maustaste auf den Eintrag der Domäne und rufen Sie über das dazugehörige Kontextmenü den Befehl Eigenschaften auf. In dem sich daraufhin öffnenden Dialogfenster wechseln Sie auf die Registerkarte Gruppenrichtlinie. 3. Markieren Sie in der Liste der Gruppenrichtlinie die gewünschte Richtlinie (i.d.R die Default Domain Policy) und klicken Sie anschließend auf den Button Bearbeiten.
330
Sicherung & Wiederherstellung verschlüsselter Dateien Abbildung 9.12: Bearbeiten Sie die Domänen-Gruppenrichtlinie
4. Wechseln Sie nach dem Öffnen der Gruppenrichtlinie in den Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel /Agenten für die Wiederherstellung von verschlüsselten Daten. Abbildung 9.13: Aktivieren Sie im Detailbereich den Assistenten zum Hinzufügen eines weiteren Wiederherstellungsagenten
331
9 Datenverschlüsselung unter Windows
5. Klicken Sie im Detailbereich dieses Containers mit der rechten Maustaste und wählen Sie aus dem erscheinenden Kontextmenü den Befehl Hinzufügen, um den Assistenten zum Hinzufügen eines weiteren Wiederherstellungsagenten aufzurufen. 6. Im Begrüßungsbildschirm brauchen Sie nur auf Weiter zu klicken. Im nächsten Schritt werden Sie aufgefordert, für den Benutzer, den Sie als weiteren Wiederherstellungsagenten festlegen möchten, eine Zertifikatsdatei (*.CER) auszuwählen. Wenn Sie in Ihrer Domäne über eine Public Key Infrastructure verfügen und die Zertifikate im Active Directory veröffentlicht haben, können Sie die Daten des Benutzers über die Schaltfläche Verzeichnis durchsuchen auswählen. Ansonsten müssen Sie den Button Ordner durchsuchen wählen und das Verzeichnis aufsuchen, in dem die Zertifikatsdatei (*.CER) abgelegt ist. Wenn Sie eine Zertifikatsdatei aus dem Dateisystem des lokalen Computers auswählen, wird der Benutzer im Assistenten automatisch als USER_UNKNOWN identifiziert. 7. Danach werden die Daten noch einmal in einem Abschlussfenster zusammengefasst. Wenn Sie dieses Fenster mit Fertig stellen bestätigen, erscheint in dem Fall, dass Sie nicht über eine PKI verfügen, eine Warnung, dass das Zertifikat nicht bestätigt werden konnte. Danach wird der Benutzer aber trotzdem als Wiederherstellungsagent in den Container der Gruppenrichtlinie eingefügt. Anmerkung zum domänenweiten Wiederherstellungsagent
Wenn Sie nun aber glauben, dass Sie mit einem solchen Wiederherstellungsagenten auf jedem Server die Dateien wiederherstellen können, müssen wir Sie an dieser Stelle leider enttäuschen. Mit diesem Wiederherstellungsagenten können Sie auf Domänencontrollern die Daten wiederherstellen, nicht aber auf Mitgliedsservern oder Workstations. Für jeden Computer, auf dem Sie den Wiederherstellungsagenten, den Sie am Domänencontroller eingerichtet haben, nutzen wollen, müssen Sie über Start/Programme/Verwaltung und das Tool Active Directory-Benutzer und –Computer noch eine kleine Manipulation vornehmen. Wechseln Sie im gestarteten Tool in den Container, in dem sich die betreffenden Mitgliedsserver oder Workstations befinden, und rufen Sie über das Kontextmenü der betreffenden Server den Befehl Eigenschaften auf. Auf der Registerkarte Allgemein aktivieren Sie dann die Option Computer für Delegierungszwecke vertrauen und bestätigen die daraufhin angezeigte Option mit einem Mausklick auf OK. Dann können Sie das Eigenschaftenfenster wieder schließen.
332
Sicherung & Wiederherstellung verschlüsselter Dateien Abbildung 9.14: Aktivieren Sie die Option »Computer für Delegierungszwecke vertrauen«
9.6.4
Sicherung der Zertifikate
In den vorangegangenen Abschnitten wurde nun mehrfach von Zertifikaten gesprochen. Einerseits gibt es das Zertifikat, über das der Anwender verfügt, der seine Daten verschlüsselt, und das übrigens in dem Moment erstellt wird, in dem der Anwender das erste Mal eine Datei verschlüsselt. Andererseits gibt es das Zertifikat des Wiederherstellungsagenten, das einmal den Standardwiederherstellungsagenten oder den von Ihnen ernannten Wiederherstellungsagenten gehört. Ohne die Zertifikate können weder die Anwender noch der Wiederherstellungsagent verschlüsselte Dateien entschlüsseln. Zudem gibt es eine ganz große Gefahr bei der lokalen Nutzung. Verschlüsseln Sie auf Ihrem lokalen Rechner entsprechende Dateien, wird ein Zertifikat im lokalen Zertifkatsspeicher des Rechners abgelegt. Stürzt der Rechner nun ab und Windows muss neu installiert werden, kommen Sie nur an die alten Daten heran, wenn Sie über das Zertifikat verfügen, das Sie vor der Neuinstallation von Windows für die Verschlüsselung genutzt hatten. Gleiches gilt auch, wenn Sie gesicherte Dateien auf einem anderen Computer, beispielsweise von einer Sicherung, wiederherstellen wollen. Auch in diesem Fall benötigen Sie das Originalzertifikat von dem Rechner, auf dem Sie die Daten verschlüsselt hatten.
333
9 Datenverschlüsselung unter Windows
Export des Zertifikats Möchten Sie von einem lokal gespeicherten Zertifikat Ihres Rechners oder Ihres Notebooks eine Sicherung erstellen, dann müssen Sie das Zertifikat exportieren und am besten auf einer Diskette speichern. Die nachstehende Schritt-für-Schritt-Anleitung möchte Ihnen zeigen, wie Sie eine solche Sicherung des Zertifikats anlegen. Dabei ist das Vorgehen sowohl bei der Sicherung des privaten Zertifikats des Anwenders als auch bei der Sicherung des Zertifikats des Wiederherstellungsagenten identisch. Der Unterschied besteht lediglich in der Anmeldung. Meldet sich der Anwender an, kann er standardmäßig nur sein privates Zertifikat (Ausnahme, er wurde auch zum Wiederherstellungsagenten benannt) exportieren. Meldet sich der Administrator an, kann er das Zertifikat des Wiederherstellungsagenten exportieren. 1. Rufen Sie über Start/Ausführen/MMC die Management-Konsole auf und aktivieren Sie im Konsole-Menü den Befehl Snap-In hinzufügen/entfernen. 2. In dem angezeigten Dialogfenster klicken Sie auf Hinzufügen und wählen aus dem dann angezeigten Fenster das Snap-In Zertifikate aus. Es erscheint ein weiteres Fenster, in dem Sie bestätigen, dass Sie die Zertifikate des eigenen Benutzerkontos einsehen möchten. Bestätigen Sie danach auch die weiteren Abfragen, um in die MMC zurückzukehren. Abbildung 9.15: Lassen Sie sich die Zertifikate des eigenen Benutzerkontos anzeigen
3. Wechseln Sie in der MMC in den Container Zertifikate – Aktueller Benutzer/Eigene Zertifikate/Zertifikate. Im Detailbereich bekommen Sie daraufhin alle Zertifikate angezeigt, die Ihrem Benutzerkonto zugeordnet wurden. Markieren Sie das Zertifikat, das in der Spalte Beabsichtigte Zwecke über den Eintrag Verschlüsselndes Dateisystem verfügt. Der Wiederherstellungsagent muss an dieser Stelle den Eintrag mit dem Hinweis Dateiwiederherstellung auswählen, bei allen folgenden Schritten ist der Exportvorgang für Anwender und Wiederherstellungsagent jedoch identisch.
334
Sicherung & Wiederherstellung verschlüsselter Dateien Abbildung 9.16: Markieren Sie das Zertifikat »Verschlüsselndes Dateisystem«
4. Über das Kontextmenü des betreffenden Zertifikats rufen Sie den Befehl Alle Tasks/Exportieren auf, um den Export-Assistenten zu aktivieren. In dessen Begrüßungsfenster klicken Sie dann einfach auf Weiter. 5. Im folgenden Fenster müssen Sie entscheiden, ob Sie nur das Zertifikat oder auch den dazugehörigen privaten Schlüssel exportieren möchten. Hier müssen Sie unbedingt den privaten Schlüssel aktivieren, da dieser für die Entschlüsselung der Dateien unbedingt vonnöten ist. Abbildung 9.17: Aktivieren Sie unbedingt die Option mit dem privaten Schlüssel
335
9 Datenverschlüsselung unter Windows
6. Im folgenden Schritt können Sie entscheiden, ob der private Schlüssel nach dem Export auf dem lokalen System gelöscht oder der gesamte Zertifizierungspfad mit exportiert werden soll. Für die einfache Sicherung können Sie es aber bei der standardmäßig aktivierten Option der verstärkten Sicherheit belassen. Abbildung 9.18: Übernehmen Sie die Standardeinstellungen
Abbildung 9.19: Sichern Sie die exportierte PFXDatei, denn sie enthält Ihr Zertifikat und Ihren privaten Schlüssel
336
Sicherung & Wiederherstellung verschlüsselter Dateien
7. Im folgenden Schritt vergeben Sie dann ein Kennwort, ohne dass sich die exportierte Zertifikatsdatei nicht verwenden lässt. Merken Sie sich das Kennwort, das Sie an dieser Stelle vergeben, also gut. Danach müssen Sie noch einen Pfad für die Exportdatei angeben und als Abschluss die Zusammenfassung der Informationen mit Fertig stellen bestätigen. Nach der Erfolgsmeldung des Exportassistenten finden Sie auf Ihrem Datenträger eine PFX-Datei mit dem gesicherten Zertifikat, die Sie nun entweder auf einer Diskette oder einem sicheren Ort verwahren sollten. Import des eigenen Zertifikats Wenn Sie verschlüsselte Dateien auf einem anderen Computer wiederherstellen wollen, dann müssen Sie dort zuvor das Zertifikat von dem Computer importieren, auf dem Sie die Dateien ursprünglich verschlüsselt hatten. Das setzt voraus, dass Sie, wie unter »Export des Zertifikats« beschrieben, das Zertifikat in eine PFX-Datei exportiert haben und diese Ihnen nun zur Verfügung steht. Melden Sie sich auf dem System, auf dem Sie die Dateien wiederherstellen möchten, entweder mit Ihrem Benutzeraccount oder mit dem Account des Wiederherstellungsagenten an. Die Schritte sind, was den Export betrifft, für beide identisch. 1. Öffnen Sie anschließend eine MMC-Konsole mit dem Snap-In Zertifikate (des eigenen Benutzerkontos) und wechseln Sie in den Container Zertifikate – Aktueller Benutzer/Eigene Zertifikate/Zertifikate. Im Detailbereich bekommen Sie daraufhin alle Zertifikate angezeigt, die Ihrem Benutzerkonto auf diesem Computer bereits zugeordnet wurden. 2. Um den Import nun zu starten, klicken Sie mit der rechten Maustaste an eine leere Stelle des Detailbereichs und wählen aus dem angezeigten Kontextmenü den Eintrag Alle Tasks/Importieren. Abbildung 9.20: Wählen Sie die Datei aus, die Ihr EFSZertifikat enthält
337
9 Datenverschlüsselung unter Windows
3. Bestätigen Sie den Begrüßungsschirm und wählen Sie im nächsten Schritt über den Durchsuchen-Button und das dazugehörige Dateiauswahlfenster die PFX-Datei aus, die Ihr Zertifikat enthält. Sobald der Pfad und der Dateiname im Assistenten angezeigt wird, können Sie zum nächsten Schritt wechseln. 4. Bei Zertifikatsdateien mit der Dateiendung PFX werden Sie daraufhin aufgefordert, das Kennwort anzugeben, das Sie beim Export des Zertifikats verwendet hatten. Aktivieren Sie zudem das Kontrollkästchen, wenn der private Schlüssel exportierbar bleiben soll, und geben Sie an, ob Sie verstärkte Sicherheit aktivieren möchten. Die Aktivierung der letztgenannten Option bedeutet, dass jedes Mal, wenn eine Anwendung den privaten Schlüssel verwendet, Sie das Passwort erneut eingeben müssen. Abbildung 9.21: Geben Sie das Passwort an, das Sie beim Export des Schlüssels verwendet hatten
5. Es erscheint danach noch ein weiteres Dialogfenster, in dem Sie den Zertifikatsspeicher ändern könnten. Wir empfehlen aber die Nutzung der standardmäßig aktivierten Option, die all Ihre Zertifikate im Container Eigene Zertifikate ablegt und damit für Sie zentral verwaltbar macht. 6. Abschließend müssen Sie noch einmal die Zusammenfassung der Daten bestätigen und auf den Fertigstellen-Button klicken. Eine kleine Erfolgsmeldung meldet den Vollzug des Importes und Sie können danach nun entweder direkt auf die Daten wieder zugreifen (wenn Sie der Anwender sind, der die Daten ursprünglich verschlüsselt hatte) oder mit der Datenwiederherstellung (wenn Sie der Wiederherstellungsagent sind) beginnen.
338
Sicherung & Wiederherstellung verschlüsselter Dateien Abbildung 9.22: Übernehmen Sie hier die Voreinstellung
Wie Sie die Datenwiederherstellung durchführen, zeigt Ihnen der folgende Abschnitt.
9.6.5
Wiederherstellen verschlüsselter Dateien
Wenn Sie als Wiederherstellungsagent die verschlüsselten Dateien eines Anwenders auf einem anderen Computersystem aus einem Backup zurückgespielt haben, müssen Sie, wie im vorangegangenen Abschnitt erläutert, das Zertifikat des Wiederherstellungsagenten vom ursprünglichen Computer importieren. Danach können Sie erst mit der Datenwiederherstellung beginnen. Für die Datenwiederherstellung gehen Sie wie folgt vor: 1. Aktivieren Sie den Windows-Explorer und wechseln Sie dort zu der Datei oder zu dem Ordner, den Sie entschlüsseln und damit wiederherstellen möchten. 2. Aktivieren Sie bei der betreffenden Datei oder dem Ordner das Kontextmenü und wählen Sie daraus den Befehl Eigenschaften aus. 3. In dem sich öffnenden Dialogfenster klicken Sie auf der Registerkarte Allgemein auf die Schaltfläche Erweitert. 4. Deaktivieren Sie in dem Dialogfenster die Option Inhalt verschlüsseln, um Daten zu schützen (der Haken muss verschwinden). 5. Die Daten liegen danach wieder im unverschlüsselten Zustand vor und Sie sollten sie nun entweder per E-Mail oder über eine Netzwerkfreigabe dem Anwender bzw. der Stelle zukommen lassen, der die Daten benötigt.
339
9 Datenverschlüsselung unter Windows Abbildung 9.23: Deaktivieren Sie die Option »Inhalt verschlüsseln….«
340
10
Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Windows 2000 und XP bieten einen eigenen Zertifikatsdienst an, der an die Anwender Ihres Unternehmens eigene digitale Zertifikate vergeben kann. Mithilfe des erhaltenen Zertifikats können die Anwender anschließend beispielsweise E-Mails digital signieren oder aber bei entsprechenden Applikationen auch Dokumente abnehmen bzw. Beschlüssen zustimmen. Auch eine Kaufbestätigung mithilfe der digitalen Signatur ist möglich. Die digitale Signatur wird somit zu einem ernst zu nehmenden Ersatz für die Unterschrift eines Anwenders und gewährleistet vor allem die Datenverlässlichkeit. Sie haben bereits im vorangegangenen Kapitel im Rahmen der Datenverschlüsselung erste Informationen zum Thema »Digitale Signaturen« erhalten, da Datensicherheit durch Verschlüsselung und die Datenverlässlichkeit ohnehin zwei eng verwobene Themen sind. In diesem Kapitel möchten wir Ihnen einerseits nähere Informationen zu den Zertifikatsdiensten und der PKI (Public Key Infrastructure) unter Windows 2000 an die Hand geben, andererseits möchten wir Ihnen auch vorstellen, wie Sie in Ihrem Unternehmen praktisch Zertifikate und digitale Signaturen einsetzen können.
10.1 Anforderungen, die zum Einsatz von digitalen Zertifikaten führen Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetz im Rahmen des Sicherheits-Managements sich auch um Einführung von Zertifikaten und den Aufbau einer PKI kümmern müssen, oder ob dies in Ihrem Fall nicht notwendig ist, stellen wir Ihnen zu Beginn des Kapitels noch einmal typische Anforderungen, Ziele oder Visionen vor: 왘 An eine sichere Benutzerauthentifizierungs-Methode werden besonders
hohe Ansprüche gestellt, sodass der Einsatz von Smartcards für die Authentifizierung in Erwägung gezogen wird (vgl. Kapitel zum Thema »Benutzersicherheit«). 왘 Die Kommunikation per E-Mail muss verlässlich sein, d.h., es muss
sicher gewährleistet sein, dass die E-Mails auch von der Person stammen, von der sie zu sein scheinen. Die Inhalte der E-Mails dürfen darüber hinaus nicht veränderbar sein und sollten in bestimmten Fällen sogar verschlüsselbar sein.
341
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation 왘 Auf den Webseiten der Firma sollen für Geschäftspartner bestimmte
Informationen und Programme bereitgestellt werden. Die Datenverlässlichkeit und –integrität muss absolut gewährleistet sein. 왘 Die Datenverschlüsselung via EFS soll unternehmensweit und nicht nur
lokal auf einzelnen Rechnern möglich sein. 왘 Die Kommunikation innerhalb des Netzwerkes und mit Remote-Stand-
orten soll durch IPSec bei der Datenübertragung verschlüsselt werden. 왘 Auf eine besonders sichere Webkommunikation via TLS oder SSL wird
gesonderten Wert gelegt.
10.2 Die Public Key Infrastructure Möchten Sie unter Windows 2000 oder Windows XP die Zertifikatsdienste aus einem der oben aufgeführten Gründe oder einem anderen Grund einsetzen, dann müssen Sie in Ihrem Unternehmensnetzwerk eine so genannte PKI oder Public Key Infrastructure aufbauen. Eine solche PKI besteht aus verschiedenen Grundkomponenten und fordert einerseits von Ihrem Unternehmensnetzwerk bestimmte Voraussetzungen sowie andererseits von Ihnen eine Reihe von Entscheidungen, die Sie zu treffen haben. In diesem Unterkapitel möchten wir Ihnen daher die verschiedenen Aspekte, die Sie beim Aufbau einer PKI beachten müssen, einmal näher vorstellen.
10.2.1
Grundlegende Komponenten der PKI
Windows 2000 unterstützt den Einsatz von Zertifikaten und öffentlichen Schlüsseln. Die Infrastruktur, die dafür zugrunde gelegt werden muss, besteht vor allem aus den folgenden Komponenten: 왘 Zertifikats-Dienst: In Windows 2000 integrierter Dienst, der es möglich
macht, innerhalb des Unternehmens eigene Zertifizierungsstellen zu implementieren und für Computer, Anwender oder Dienste entsprechende eigene Zertifikate auszustellen. 왘 Active Directory: Der Verzeichnisdienst von Windows 2000 ist auch für
die Zertifikate das zentrale Veröffentlichungsmedium. Hier werden Zertifikate sowie die Zertifikatssperrlisten innerhalb der Organisation veröffentlicht. Alternativ lassen sich solche Informationen natürlich auch auf Webseiten publizieren oder auf Disketten oder CDs verteilen. 왘 Netzwerkprotokolle, die Zertifikate unterstützen: Das von NetScape
entwickelte SSL-Protokoll (Secure Sockets Layer) oder auch IPSec nutzen für die Authentifizierung des Clients oder des Servers während einer Kommunikationssitzung diese Technik.
342
Die Public Key Infrastructure 왘 Zertifizierungsstelle (CA oder Certification Authority): Eine Zertifi-
katsstelle ist eine Serviceeinheit, die einerseits digitale Zertifikate herausgibt, andererseits aber auch die Authentizität der herausgegebenen Zertifikate sicherstellt, wobei die Zertifikate für einen Anwender, einen Computer oder eine andere Zertifikatsstelle ausgegeben werden können. Mehr zu den verschiedenen Ausprägungsformen und der Struktur der Zertifizierungsstellen erfahren Sie in einem der folgenden Abschnitte. 왘 Digitales Zertifikat: Bei einem Zertifikat handelt es sich im Prinzip um
ein signiertes Dokument, das den öffentlichen Schlüssel mit zusätzlichen benutzerbezogenen Informationen verbindet. Solche Zertifikate werden von einer Zertifizierungsstelle (Certification Authority – CA) für Benutzer, aber auch Computer oder Dienste ausgegeben und signiert. Die Signatur der Zertifizierungsstelle stellt dabei sicher, dass der öffentliche Schlüssel echt ist und auch wirklich zu der genannten Person oder Organisation gehört. Ein Zertifikat ist also mit einer Urkunde vergleichbar, die für den Besitzer die zur Authentifizierung notwendigen Informationen und Berechtigungen bereitstellt. Die auf dem X.509-Standard basierenden Zertifikate verfügen über die nachfolgenden Informationen: 왘 Identität der Zertifizierungsstelle, die das Zertifikat ausgestellt hat 왘 Digitale Signatur der Zertifizierungsstelle zur Sicherstellung der
Datenintegrität 왘 ID-Nummer des Besitzers, die die Zertifizierungsstelle herausgege-
ben hat 왘 Weitere Informationen, die zur Authentifizierung notwendig sind 왘 Kennung des öffentlichen Schlüssels des Zertifikatsbesitzers 왘 Anfangs- und Enddatum der Gültigkeitsdauer des Zertifikats 왘 Zertifikatsvorlage: Bei der Installation einer Organisations-Zertifizie-
rungsstelle werden auch automatisch so genannte Zertifikatsvorlagen mit installiert, die Sie zur Erstellung von Zertifikaten nutzen können. Dabei unterscheidet man zwischen den Zertifkatsvorlagen, die nur für einen bestimmten Zweck (z.B. Zertifikat für die Smartcard-Authentifizierung) bzw. Zertifikatsvorlagen, die für mehrere Zwecke (z.B. für Verschlüsselung von E-Maildaten via S/MIME und Dateien via EFS) gedacht sind. 왘 CRL (Certificate Revocation List): In manchen Fällen werden Zertifikate
bereits vor ihrem eigentlichen Verfallsdatum zurückgezogen und verlieren damit ihre Gültigkeit. Diese Liste enthält die Daten all der Zertifikate, die zurückgezogen wurden. 왘 Management-Tools: Für die Verwaltung und Überwachung der digita-
len Zertifikate und Zertifizierungsstellen bietet Ihnen Windows 2000 eine Reihe von Werkzeugen, die wir Ihnen in dem Kapitel »Installation der Zertifikatsdienste näher vorstellen werden.
343
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation 왘 Veröffentlichungspunkte: Als Veröffentlichungspunkte werden die Stel-
len im Verzeichnisdienst bezeichnet, an denen die digitalen Zertifikate gespeichert und publiziert werden. 왘 Anwendungen, die öffentliche Schlüssel unterstützen: Um Zertifikate
aus Anwendersicht überhaupt nutzen zu können, benötigt man natürlich entsprechende Anwendungen, die die Zertifikate und damit die Datenverschlüsselung oder Authentifizierung unterstützen. Dazu gehören: MS Outlook und MS Outlook Express, der Internet Explorer sowie der Internet Information Server. Aber auch MS Money und Anwendungen von Dritt-Anbietern.
10.2.2
Hierarchie und Typen der Zertifizierungsstellen
Eine der wichtigsten Entscheidungen, die Sie treffen müssen, ist, wie Sie die Struktur Ihrer PKI gestalten und welchen Typ von Zertifizierungsstelle Sie in Ihrem Unternehmen einsetzen. Die folgenden Abschnitte sollen Ihnen einige Anregungen zur Entscheidungsfindung geben. Private oder kommerzielle Zertifizierungsstelle Die erste Entscheidung besteht darin, festzulegen, ob Sie eine eigene private Zertifizierungsstelle nutzen möchten, oder ob Sie die weltweit anerkannten Zertifikate einer externen, kommerziellen Zertifizierungsstelle nutzen möchten. Dabei gibt es vielfältige Variationsmöglichkeiten, denn die von Windows 2000 angebotenen Zertifizierungsstellen ermöglichen alle vorstellbaren Varianten in der Gültigkeit der ausgestellten Zertifikate. So kann eine unternehmensinterne Windows-Zertifizierungsstelle mühelos als untergeordnete Zertifizierungsstelle einer externen, kommerziellen, im Internet erreichbaren Stammzertifizierungsstelle, z.B. VeriSign, angemeldet werden. Bevor wir aber näher auf den Aufbau der PKI-Struktur und die verschiedenen Typen von Zertifizierungsstellen zu sprechen kommen, möchten wir an dieser Stelle die Vor- und Nachteile von kommerziellen und privaten Zertifizierungsstellen auflisten: Kommerzielle Zertifizierungsstellen 왘 Kommerzielle Zertifizierungsstellen sind landes- oder weltweit aner-
kannte Anbieter, was bedeutet, dass das Vertrauen in die ausgestellten Zertifikate nicht auf die Anwender Ihres Unternehmens beschränkt ist. Gerade, wenn Sie die Zertifikate für das Internet-Business nutzen wollen, werden Sie um die Nutzung einer kommerziellen Zertifizierungsstelle nicht umhin kommen, da das Vertrauen von Kunden in die großen Anbieter wesentlich höher sein dürfte als in Ihre eigenen Zertifikate. 왘 Natürlich ist die Nutzung von kommerziellen Zertifizierungsstellen mit
entsprechenden Kosten verbunden, die in der Regel auf Zertifikatsbasis abgerechnet werden.
344
Die Public Key Infrastructure 왘 Um ständig erfahren zu können, ob bestimmte von der kommerziellen
Zertifizierungsstelle ausgestellte Zertifikate ihre Gültigkeit verloren haben, muss das Unternehmensnetz über eine ständige Anbindung an das Internet verfügen. Private Zertifizierungsstellen 왘 Wenn Sie die Zertifikatsdienste vor allem innerhalb des Unternehmens
oder nur zum Datenaustausch mit einer beschränkten Anzahl an Geschäftspartnern nutzen möchten, dann können Sie auch mit der einer privaten Zertifizierungsstelle arbeiten. 왘 Der Vorteil einer privaten Zertifizierungsstelle liegt natürlich darin, dass
Sie die Sicherheitsrichtlinien selbst verwalten und kontrollieren können und auch wesentlich flexibler auf eventuell notwendige Veränderungen reagieren können. 왘 Der Nachteil liegt in dem eventuell höheren Verwaltungsaufwand und
dem Know-how, über das die Administratoren nun selbst verfügen müssen. Hierarchie der PKI Alle an der Public Key Infrastructure (PKI) teilnehmenden Systeme vertrauen den so genannten Stammzertifizierungsstellen, wobei sie sowohl eine kommerzielle, im Internet vertretene Stammzertifizierungsstelle nutzen als auch eine eigene, private Zertifizierungsstelle als Stammzertifizierungsstelle einrichten können. Alle darunter eingerichteten, als untergeordneten Zertifizierungsstellen bezeichneten Zertifizierungsstellen vertrauen automatisch den übergeordneten Zertifizierungsstellen über einen transitiven Trust. Die Baumstruktur
Die einzelnen Zertifizierungsstellen arbeiten dabei ähnlich wie der DNSDienst mit einer baumartigen Struktur, in der die einzelnen HierarchieStufen über eine Eltern-/Kindbeziehung miteinander verbunden sind. Die oberste Zertifizierungsstelle in dieser Hierarchie wird als ROOT-CA bezeichnet. Jede Zertifizierungsstelle kann jedoch eigene Richtlinien und Attribute für die Zertifikatsvergabe verwenden, und jede Zertifizierungsstelle selbst verfügt über ein eigenes Zertifikat, das sie entweder selbst ausstellt oder von einer vertrauten, übergeordneten Zertifizierungsstelle erhalten hat und mit dem sie die eigene Identität bestätigt. Sie selbst müssen beim Erstkontakt entscheiden, ob Sie diesem Zertifikat und damit den Richtlinien und Prozeduren einer solchen Zertifizierungsstelle vertrauen. Innerhalb der PKI-Struktur gibt es also eine so genannte Stamm-Zertifizierungsstelle, die oftmals auch als Stamm-Autorität bezeichnet wird. Diese Zertifizierungsstelle ist innerhalb der Organisation die höchste Stelle, der folglich auch das stärkste Vertrauen entgegen gebracht wird. Für diese Zertifizierungsstelle gelten die stärksten Sicherheitsmaßnahmen und Richtlinien, denn sie stellt in der Regel die Zertifikate für die untergeordneten Zertifizierungsstellen aus.
345
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Die so genannten untergeordneten Zertifizierungsstellen werden von einer anderen Zertifizierungsstelle zertifiziert und stellen entweder für weitere, wiederum untergeordnete Zertifizierungsstellen oder Endbenutzer bzw. Objekte entsprechende Zertifikate aus. Eine so genannte Zertifizierungs-Vertrauensliste (CTL, Certificate Trust List) definiert dabei die Vertrauensstellungen zwischen den einzelnen Zertifizierungsstellen. Jedes Zertifikat, das von einem Anwender oder Computer verwendet wird, muss in seinen Eigenschaften eine Zertifizierungsstelle aus dieser Vertrauensliste aufführen, damit beispielsweise eine erfolgreiche Authentifizierung möglich ist. Planung der Hierarchie
Wenn Sie die Hierarchie Ihrer PKI planen, dann können Sie die verschiedenen Zertifizierungsstellen nach folgenden Gesichtpunkten strukturieren: 왘 Nach geografischen Gesichtpunkten: Bei einem globalen Unternehmen,
das in verschiedenen Ländern über entsprechende Standorte verfügt, kann es aufgrund unterschiedlicher Gesetzgebung und Exportbeschränkungen notwendig sein, dass Sie die Zertifizierungsstellen nach geografischen Gesichtpunkten anordnen. 왘 Nach organisatoren Gesichtpunkten: Die Hierarchie der Zertifizie-
rungsstellen kann auch die organisatorische Struktur wiedergeben bzw. Sie können für die verschiedenen Geschäftsbeziehungen, wie z.B. Geschäftspartner, Angestellte und externe Mitarbeiter, unterschiedliche Zertifizierungsstellen mit unterschiedlichen Richtlinien einrichten. 왘 Nach gewähltem Einsatzgebiet: Sie können beispielsweise mehrere
untergeordnete Zertifizierungsstellen verwenden und jede dieser untergeordneten Zertifizierungsstellen nimmt eine bestimmte Aufgabe wahr. Eine Zertifizierungsstelle veröffentlicht die Zertifikate für die Benutzerauthentifizierung via Smartcard, während eine andere Stelle die Zertifikate für die sichere E-Mail-Kommunikation veröffentlicht. Zertifizierungsstellen-Typ Die letzte Entscheidung, die die Einrichtung der Zertifikatsdienste unter Windows 2000 oder XP maßgeblich beeinflusst, ist die Entscheidung für den Typ der Zertifizierungsstelle, wobei Sie die Wahl zwischen den beiden folgenden Optionen haben: 왘 Organisations-Zertifizierungsstelle: Dieser Typ wird innerhalb eines
Windows 2000-Netzwerkes verwendet, da er voraussetzt, dass alle Benutzer und Objekte über ein entsprechendes Konto im Active Directory verfügen. Anwender, die über kein entsprechendes Benutzerkonto im Active Directory verfügen, können folglich auch kein Zertifikat anfordern. Innerhalb einer Active Directory-Struktur, also innerhalb des Unternehmensnetzwerkes, stellt diese Variante allerdings die Form der Zertifizierungsstelle dar, die den wenigsten administrativen Aufwand
346
Die Public Key Infrastructure
verursacht, da Zertifikate mithilfe von Zertifikatsvorlagen und mithilfe des Active Directories automatisiert ausgestellt werden können. 왘 Eigenständige Zertifizierungsstelle: Dieser Typ von Zertifizierungs-
stelle erfordert kein Active Directory und kann daher auch außerhalb von Windows 2000-Netzwerken genutzt werden und ist damit ideal, wenn Sie Anwendern, die nicht zu Ihrem Unternehmensnetzwerk gehören, Zertifikate anbieten möchten. Der Anwender, der ein Zertifikat von einer solchen Zertifizierungsstelle anfordert, muss seine persönlichen Daten entsprechend übermitteln. Da eine solche Zertifizierungsstelle die gesendeten Daten aber nicht mit einem zentralen Verzeichnisdienst wie dem Active Directory abgleichen und darüber verifizieren kann, werden Zertifikate hier auch nicht automatisch, sondern nur manuell ausgestellt. Beide Zertifizierungsstellen-Typen können wiederum sowohl als StammZertifizierungsstelle als auch als untergeordnete Zertifizierungsstelle agieren, was bedeutet, dass Sie in der Planung Ihrer PKI-Struktur völlig frei sind.
10.2.3
Voraussetzungen für den Aufbau einer PKI
In einem Windows 2000-Netzwerk werden Sie sich aller Wahrscheinlichkeit nach für die Installation einer Organisations-Zertifizierungsstelle entscheiden, da diese die Vorteile des Active Directories nutzt und darüber die Identität des Zertifikats-Anforderers und dessen Berechtigungen sicherstellt. Für die Installation einer solchen Zertifizierungsstelle sind die folgenden Voraussetzungen zu erfüllen: 왘 Der DNS-Server-Dienst muss installiert und konfiguriert sein, da dies eine
Grundvoraussetzung für das Funktionieren des Active Directories ist. 왘 Das Active Directory muss installiert und konfiguriert sein. 왘 Sie verfügen über Administratorenberechtigungen auf dem DNS-Server,
dem Domänencontroller und dem zukünftigen ZertifizierungsstellenServer und sind Mitglied der Gruppe der Organisations-Administratoren. 왘 Der zukünftige Zertifizierungsstellen-Server ist Mitglied der Gruppe der
Zertifikatsherausgeber, damit er zukünftig entsprechende Zertifikate im Active Directory veröffentlichen kann. Die oben genannten Voraussetzungen gelten für die Installation einer so genannten Stamm-Zertifizierungsstelle innerhalb der Organisation. Installieren Sie eine untergeordnete Zertifizierungsstelle, gelten die folgenden Vorgaben: 왘 Sie sind lokaler Administrator auf dem betreffenden Server. 왘 Sie haben die Daten der übergeordneten internen oder auch externen
Zertifizierungsstelle zur Hand. Erfüllen Sie die genannten Voraussetzungen, dann können Sie mit der Installation der Zertifikatsdienste fortfahren.
347
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
10.3 Installation der Zertifikatsdienste Der Aufbau einer eigenen PKI innerhalb des lokalen Unternehmensnetzes beginnt immer mit der Installation der in Windows 2000 oder Windows XP integrierten Zertifikatsdienste sowie der Einrichtung der ersten Zertifizierungsstelle für Ihr Unternehmen. Die nachfolgenden Abschnitte möchten Ihnen anhand von entsprechenden Schritt-für-Schritt-Anleitungen praxisnah zeigen, wie Sie die Dienste installieren und welche Konfigurationsaufgaben im Anschluss an die Installation auf Sie warten.
10.3.1
Installation der ersten Zertifizierungsstelle im Unternehmen
Melden Sie sich mit einem Benutzerkonto, das über die entsprechenden administrativen Berechtigungen verfügt, an dem Computer an, der als erste Zertifizierungsstelle Ihres Unternehmens eingerichtet werden soll. Die Installation der Zertifikatsdienste starten Sie, wie bei anderen Installationen auch, über das Software-Symbol der Systemsteuerung. Dort aktivieren Sie den Eintrag Windows-Komponenten hinzufügen/entfernen und führen danach die folgenden Schritte aus: 1. Aktivieren Sie in dem Dialogfenster, in dem die verschiedenen Dienste von Windows aufgeführt werden, die Installation der Zertifikatsdienste. Mit dem Setzen des Häkchens erscheint eine Warnung, die Sie darauf hinweist, dass dieser Computer nach der Installation der Zertifikatsdienste nicht mehr umbenannt werden darf und auch nicht mehr aus der Domäne entfernt bzw., sofern dies bis dato nicht geschehen sein sollte, einer Domäne beitreten kann. Bestätigen Sie die Warnung mit JA. 2. Im zweiten Schritt bestimmen Sie den zu installierenden Zertifizierungsstellen-Typ, wobei Sie prinzipiell die Wahl zwischen der OrganisationsZertifizierungsstelle und der eigenständigen Zertifizierungsstelle haben und Ihnen jeweils die Ausprägungen »Stamm-Zertifizierungsstelle« und »untergeordnete Zertifizierungsstelle« zur Verfügung stehen. Möchten Sie eine eigene PKI mit einer privaten Root-CA gründen, dann wählen Sie in diesem Schritt Organisation: Stammzertifizierungstelle. Haben Sie hingegen von einem kommerziellen Anbieter ein weltweit anerkanntes Zertifikat erworben und möchten dieses Zertifikat nun in Ihrem Unternehmen nutzen, um eine PKI aufzubauen, dann wählen Sie an dieser Stelle Organisation: Untergeordnete Zertifizierungsstelle. Möchten Sie hingegen für einen einzelnen Server, z.B. einen Webserver, entsprechende Zugriffszertifikate vergeben, dann könnten Sie, je nachdem, ob Sie mit privaten oder kommerziellen Zertifikaten arbeiten, mit einer der eigenständigen Zertifizierungsstellen-Variante arbeiten. In diesem Beispiel entscheiden wir uns für die Option Organisation: Stammzertifizierungsstelle, die Schritte für die eigenständige Stammzertifizierungsstelle sind aber vergleichbar.
348
Installation der Zertifikatsdienste Abbildung 10.1: Wählen Sie die Zertifikatsdienste
Abbildung 10.2: Wählen Sie den Zertifizierungsstellen-Typ aus
349
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
3. Im folgenden Schritt werden Sie aufgefordert, die Informationen einzutragen, die zur Identifizierung Ihrer Zertifizierungsstelle notwendig sind. Dazu gehört beispielsweise der Name der Zertifizierungsstelle (NetBios-Namen des Computers, auf dem die Zertifikatsdienste installiert werden), der Name der Organisation bzw. der Organisationseinheit sowie Angaben zur Gültigkeitsdauer des Zertifikats. Abbildung 10.3: Angaben, die zur Identifikation der Zertifizierungsstelle notwendig sind
4. Die Zertifizierungsstellen speichern die Informationen zu den einzelnen vergebenen Zertifikaten in einer Datenbank. Daher werden Sie im nächsten Schritt gebeten, den Ort, an dem die Datenbank mit den Zertifikaten sowie die dazugehörigen Protokolldateien der Zertifizierungsstelle gesichert werden sollen, anzugeben. Standardmäßig wird dafür das Verzeichnis %SYSTEMROOT%\SYSTEM32\CERTLOG verwendet und Sie können in der Regel diese Angaben einfach mit einem Mausklick auf Weiter übernehmen. Wenn Sie die Zertifikatsdienste auf einem Domänencontroller installieren, auf dem bereits der Dienst des Internet-Information-Servers läuft, erscheint an dieser Stelle eine Warnung, die Sie darauf hinweist, dass dieser Dienst für die Installation der Zertifikatsdienste nun angehalten werden muss. Bestätigen Sie diese Warnung mit einem Mausklick auf OK. 5. Die Datenübertragung beginnt nun, und Sie werden aufgefordert, die Windows-Server-CD einzulegen. Am Ende der Dateienübertragung bestätigen Sie die Beendigung des Installationsvorgangs mit einem Mausklick auf Fertig stellen.
350
Installation der Zertifikatsdienste
Damit haben Sie nicht nur die Zertifikatsdienste, sondern auch bereits die erste Zertifizierungsstelle in Ihrem Unternehmen eingerichtet. Wenn Sie nun weitere Zertifizierungsstellen einrichten möchten, müssen Sie zum nächsten Server wechseln, sich dort anmelden und nun die untergeordneten Zertifizierungsstellen installieren und konfigurieren.
10.3.2
Installierte Komponenten
Bevor wir uns die Installation weiterer Zertifizierungsstellen ansehen, möchten wir Ihnen die Komponenten vorstellen, die während der Installation der Zertifikatsdienste auf Ihrem Rechner hinzugefügt werden: 왘 Verwaltungskonsole zur Administration der Zertifizierungsstellen:
Nach der Installation finden Sie unter Start/Programme/Verwaltung/Zertifizierungsstelle eine neue Konsole, die es Ihnen ermöglicht, neue Zertifikate auszustellen, vorhandene, nicht mehr gültige Zertifikate zu sperren oder aber auch die vorhandenen Richtlinieneinstellungen zu verändern. Abbildung 10.4: Verwaltungskonsole zur Administration der Zertifizierungsstellen
왘 Snap-In »Zertifikat«: Mit dem neuen Snap-In der MMC können Sie die
für Benutzer, Computer oder Dienste bereits ausgestellten Zertifikate anzeigen lassen, neue Zertifikate anfordern, Zertifikate ausstellen, Zertifikate sperren oder die Zertifikatssperrliste veröffentlichen. Sie greifen damit auf den Zertifikatsspeicher, dem Speicherort für Computer- oder Benutzerzertifikate, zu. Während Computer-Zertifikate auf dem lokalen Computer gesichert werden, sind Benutzerzertifikate im Benutzerprofil gesichert.
351
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation 왘 Webregistrierungunterstützung: Unter der Adresse http://SERVER-
NAME/CERTSRV (SERVERNAME = der Name des Servers, auf dem die Zertifizierungsstelle installiert wurde) werden entsprechende Webseiten zur Verfügung gestellt, die es den Anwendern ermöglichen, Zertifikate anzufordern. Abbildung 10.5: Das webbasierte Werkzeug für die Anforderung von Zertifikaten
Auf die hier erwähnten Werkzeuge werden wir in den nachfolgenden Unterkapiteln noch en Detail zu sprechen kommen. Dort erfahren Sie dann auch anhand entsprechender Schritt-für-Schritt-Anleitungen, wie Sie die Werkzeuge in der Praxis einsetzen.
10.3.3
Einrichten einer untergeordneten Zertifikatsstelle
Wenn Sie über ein Zertifikat eines kommerziellen Anbieters verfügen, dann müssen Sie sich bei der Installation der Zertifikatsdienste für eine »untergeordnete Zertifizierungsstelle« entscheiden. Dasselbe gilt auch, wenn Sie bereits eine Stammzertifizierungsstelle in Ihrem Unternehmen installiert haben und nun weitere untergeordnete Zertifizierungsstellen zu Ihrer PKI hinzufügen wollen. In beiden Fällen müssen Sie der zu installierenden, untergeordneten Zertifizierungsstelle aber eine entsprechende übergeordnete Zertifizierungsstelle zuordnen, die sich entweder in Ihrer Organisation oder auch extern (kommerzieller Anbieter im Internet) befinden kann, und die Identität und Vertraulichkeit der Zertifizierungsstelle sicherstellt. Für die Installation einer solchen untergeordneten Zertifizierungsstelle stehen Ihnen zwei mögliche Varianten zur Verfügung:
352
Installation der Zertifikatsdienste
Installation der untergeordneten Zertifizierungsstelle, wenn übergeordnete Zertifizierungsstelle online ist 1. Auch bei der Installation einer untergeordneten Zertifizierungsstelle starten Sie über das Software-Symbol in der Systemsteuerung die Installation der Zertifikatsdienste. 2. Wenn sich innerhalb Ihres Unternehmens bereits eine installierte Organisations-Stammzertifizierungsstelle befindet, schlägt der Assistent selbst vor, dass Sie eine Zertifizierungsstelle mit der Option Organisation: Untergeordnete Zertifizierungsstelle installieren. Haben Sie hingegen von einem kommerziellen Anbieter ein weltweit anerkanntes Zertifikat erhalten, dann müssen Sie diese Option beim Einrichten der ersten Zertifizierungsstelle in Ihrem Unternehmen selbst aktivieren. Das Einrichten einer eigenständigen, untergeordneten Zertifizierungsstelle verläuft ähnlich. Anmerkung: Wenn Sie Ihre unternehmensinterne Zertifizierungsstelle über ein Zertifikat einer kommerziellen Zertifizierungsstelle auszeichnen wollen, dann müssen Sie in diesem Schritt die Option Erweiterte Optionen aktivieren. Sie blenden darüber ein zusätzliches Fenster des Assistenten ein, mit dessen Hilfe sich die Kryptografie-Einstellungen für die Zertifizierungsstelle modifizieren lassen und Sie vor allem ein für eine Zertifizierungsstelle gedachtes Zertifikat importieren können. Abbildung 10.6: Einrichten einer untergeordneten Zertifizierungsstelle
353
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
3. Ansonsten erfolgt im nächsten Schritt, wie beim Einrichten der StammZertifizierungsstelle, die Eingabe der Identifikationsangaben. Die einzige Angabe, die Sie nicht mehr verändern können, ist die Gültigkeitsdauer des Zertifikats, denn das wird automatisch durch die Gültigkeitsdauer der übergeordneten Zertifikatsstelle bestimmt. Das Zertifikat einer untergeordneten Zertifizierungsstelle kann nicht länger gültig sein, als das Zertifikat der übergeordneten Zertifizierungsstelle. Nach der Eingabe der Identifikationsangaben müssen Sie noch den Speicherort für die Datenbankdateien und die Protokolle bestätigen. 4. Danach folgt ein Schritt, der von der Einrichtung der Stammzertifizierungsstelle abweicht. Sie aktivieren sie auf der Seite Anforderung eines Zertifizierungsstellen-Zertifikats die Option Anforderung direkt an eine im Netzwerk vorhandene Zertifizierungsstelle senden. Über den dazugehörigen Durchsuchen-Button können Sie die Stammzertifizierungsstelle auch per Mausklick auswählen, sodass die notwendigen Angaben automatisch eingetragen werden. Beachten Sie bitte, dass an dieser Stelle des Assistenten im Eingabefeld Computername diesmal nicht der NetBios-Namen, sondern der FQDN der Stammzertifizierungsstelle eingetragen wird. Zusätzlich wird unter Übergeordnete Stelle auch noch einmal der NetBios-Name der Zertifizierungsstelle angegeben. Über Weiter gelangen Sie zum nächsten Schritt. Abbildung 10.7: Machen Sie die notwendigen Angaben zur übergeordneten Zertifizierungsstelle
5. Abschließend erfolgt, wie bei der Einrichtung der Stammzertifizierungsstelle, die Übertragung der Dateien, wobei wiederum der Dienst des Internet Information Server angehalten wird. Über Fertig stellen schließen Sie auch hier die Einrichtung ab.
354
Installation der Zertifikatsdienste
Fehlermeldung beim Einrichten der untergeordneten Zertifizierungsstelle Es kann sein, dass beim Einrichten der untergeordneten Zertifizierungsstelle eine Fehlermeldung auftritt, die besagt, dass der Zertifizierungspfad bis zur Stammzertifizierungsstelle zurückverfolgt wurde und dort aber mit einem Zertifikat endet, dem in der Domäne nicht vertraut wird. Der Fehler kann insbesondere dann auftreten, wenn Sie die untergeordnete Zertifizierungsstelle direkt nach dem Einrichten der Stammzertifizierungsstelle installieren. Da die Informationen im Active Directory gespeichert und darüber repliziert werden müssen, kann es einige Zeit dauern, bis die neue Stammzertifizierungsstelle in der Domäne bekannt ist und die Domäne ihr damit vertraut. Zudem dauert es auch einige Zeit, bis die neue Zertifizierungsstelle für die Domänencontroller entsprechende Computerzertifikate ausgestellt hat. Über das Snap-In Zertifizierungsstelle und den dort vorhandenen Container Ausgestellte Zertifikate können Sie überprüfen, ob bereits für die Domänencontroller entsprechende Zertifikate ausgestellt wurden. Sollten trotz einer Wartezeit von etwa 30 Minuten keine Zertifikate ausgestellt werden und beim Installationsversuch der untergeordneten Zertifizierungsstelle wiederum die oben genannte Fehlermeldung auftreten, können Sie über die Default Domain Policy und den darin enthaltenen Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Einstellungen der automatischen Zertifikatsanforderung einen Eintrag für die Domänencontroller generieren. Aktivieren Sie im genannten Container im Detailbereich das Kontextmenü, wählen Sie den Befehl Neu/Automatische Zertifikatsanforderung und markieren Sie den Eintrag für die Domänencontroller im Assistenten. Abschließend sollten Sie dort die Stammzertifizierungsstelle angezeigt bekommen und die Angaben über Fertig stellen bestätigen können. Es erscheint im oben genannten Container dann ein neuer Eintrag für die Domänencontroller. Nach dieser kleinen Manipulation sollte die Einrichtung der untergeordneten Zertifizierungsstelle dann wirklich kein Problem mehr sein. Installieren einer untergeordneten Zertifizierungsstelle, wenn die übergeordnete Zertifizierungsstelle nicht online ist Wenn Sie in Ihrem Unternehmen eine untergeordnete Zertifizierungsstelle installieren, kann es sein, dass die übergeordnete Stammzertifizierungsstelle während der Installation nicht online verfügbar ist. Einige Unternehmen nehmen die Stammzertifizierungsstellen, die ja nur die Zertifikate für andere Zertifizierungsstellen ausstellen, beispielsweise aus Sicherheitsgründen vom Netz. Wenn die Stammzertifizierungsstelle nicht online verfügbar ist, gehen Sie bei der Installation der untergeordneten Zertifizierungsstelle zunächst genauso vor, wie wir es in der vorangegangenen Schritt-fürSchritt-Anleitung erklärt haben. Der Unterschied bei der Installation erfolgt
355
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
auf der Seite Anforderung eines Zertifizierungsstellen-Zertifikats des Installationsassistenten für die Zertifikatsdienste, ab da gehen Sie wie folgt vor: 1. Im Assistenten aktivieren Sie auf der Seite Anforderung eines Zertifizierungsstellen-Zertifikats die Option Anforderung in einer Datei speichern und geben anschließend den Pfad an, unter dem die Datei gesichert werden soll. 2. Senden Sie diese Datei per E-Mail oder über das Netzwerk an die übergeordnete Zertifizierungsstelle, die ein Zertifikat ausstellt, das Sie nachträglich über Start/Programme/Verwaltung/Zertifizierungsstelle bei der untergeordneten Zertifizierungsstelle installieren müssen.
10.3.4
Sichern und wiederherstellen einer vorhandenen Zertifizierungsstelle
Backup- und Recovery-Strategien sind für die Zertifikatsdienste genauso wichtig wie für die anderen Netzwerkdienste Ihrer Organisation. Wenn nämlich eine Zertifikatsstelle ausfällt und Sie können sie nicht wiederherstellen, müssen Sie alle Zertifikate, die diese Stelle vergeben hat, neu veröffentlichen. Die Anwender, die die Zertifikate bisher genutzt haben, können sich erst wieder anmelden und auf die Ressourcen zugreifen, wenn die Zertifikatsstelle die ausgestellten Zertifikate wieder bestätigen kann. Handelt es sich bei der ausgefallenen Zertifizierungsstelle darüber hinaus noch über eine Stelle, die untergeordnete Zertifizierungsstellen besitzt, müssen auch die Zertifikate der nachgeordneten Stellen neu veröffentlicht werden. Das Wichtigste bei der Sicherung einer Zertifizierungsstelle stellt dabei die Sicherung der Datenbank mit den Zertifikatsinformationen dar. Möglichkeiten, das Fehlerrisiko zu minimieren Wenn Sie Zertifikate für die Authentifizierung und den Zugriff auf Ressourcen verwenden, stellen die Zertifizierungsstellen eine ziemlich wichtige Funktion dar, und Sie können durch den Einsatz der folgenden Techniken das Fehlerrisiko minimieren: 왘 Verwenden Sie für die Speicherung der Datenbank der Zertifizierungs-
stelle ein Festplattenarray mit RAID 5. 왘 Führen Sie regelmäßige Sicherung der Zertifizierungsstelle durch. 왘 Dokumentieren Sie die Konfigurationseinstellungen der Zertifizierungs-
stellen. 왘 Trainieren Sie die Administratoren in regelmäßigen Abständen auf die
Wiederherstellung einer Zertifizierungsstelle.
356
Installation der Zertifikatsdienste
Sicherung der Zertifizierungsstelle Für die Sicherung Ihrer Zertifizierungsstelle gibt es prinzipiell zwei Varianten: 1. Im Rahmen eines kompletten Server-Backups: Wenn Sie den kompletten Server der Zertifizierungsstelle mithilfe des Windows 2000-BackupProgramms sichern, werden die Daten der Zertifizierungsstelle automatisch im Rahmen des Systemstatus mitgesichert. 2. Über das Verwaltungs-Tool »Zertifizierungsstelle«: Alternativ können Sie auch nur die Daten der Zertifizierungsstelle über das gleichnamige Verwaltungs-Tool sichern. Dazu gehen Sie wie folgt vor: a) Melden Sie sich als Sicherungsoperator oder Administrator am Server der Zertifizierungsstelle an und rufen Sie das Verwaltungs-Tool Zertifizierungsstelle auf. b) Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, wählen Sie aus dem erscheinenden Popup-Menü den Befehl Alle Tasks/ Zertifizierungsstelle sichern. c) Der Sicherungs-Assistent startet, und im zweiten Fenster können Sie angeben, welche Daten gesichert und unter welchem Verzeichnispfad die Dateien gesichert werden sollen. Abbildung 10.8: Definieren Sie die zu sichernden Daten und den zu verwendenden Pfad
357
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
d) Im folgenden Schritt müssen Sie dann ein Kennwort festlegen, um den privaten Schlüssel der Zertifizierungsstelle zusätzlich abzusichern. Dann müssen Sie die Einstellungen noch einmal bestätigen, um die Sicherung zu starten. Bei der Sicherung der Zertifizierungsstelle über das gleichnamige Snap-In wird unter dem genannten Sicherungspfad eine Exportdatei des privaten Schlüssels der Zertifizierungsstelle abgelegt (Servername.P12) und zudem ein Unterverzeichnis mit dem Namen DataBase erzeugt. In diesem Unterverzeichnis werden die Datenbank der Zertifizierungsstelle (Servername.EDB) sowie die Transaktionsprotokolle (EDBXXXXX.log) und zwei weitere Dateien mit den Endungen *.DAT und *.PAT abgelegt. Exchange-Administratoren wird diese Art der Datensicherung recht bekannt vorkommen, da der ExchangeServer ganz ähnliche Dateien zur Sicherung seiner Daten verwendet. Beachten Sie aber, dass bei dieser Form der Sicherung nur der Datenbestand der Zertifizierungsstelle, nicht aber die Konfiguration des Betriebssystems oder die Datenbank des IIS gesichert wird. Für eine Wiederherstellung des Komplettsystems ist diese Form der Sicherung nicht geeignet! Abbildung 10.9: Die Sicherungsdateien der Zertifizierungsstelle
Wiederherstellung der Zertifizierungsstelle Der einzige Zweck eines Backups besteht natürlich darin, die Möglichkeit zu haben, die ausgefallene Zertifizierungsstelle mithilfe der zuvor gesicherten Daten wiederherzustellen. Während wir an dieser Stelle nicht auf das Rückspielen eines Komplett-Backups eingehen wollen, möchten wir Ihnen nur
358
Installation der Zertifikatsdienste
zeigen, wie Sie den Datenbestand einer Zertifizierungsstelle aus einer über das Verwaltungs-Tool Zertifizierungsstelle hergestellten Sicherungskopie wiederherstellen. Beachten Sie, dass bei dieser Form der Wiederherstellung davon ausgegangen wird, dass das Betriebssystem inklusive der eingerichteten Zertifikatsdienste bereits funktionsfähig ist, Sie also nur den Datenbestand der Zertifizierungsstelle wiederherstellen müssen. Die Zertifikatsdienste können während der Wiederherstellung der Zertifizierungsstelle allerdings nicht laufen, falls sie aktiv sind, werden sie gestoppt. Gehen Sie zur Wiederherstellung des Datenbestands wie folgt vor: 1. Melden Sie sich als Sicherungsoperator oder Administrator am Server der Zertifizierungsstelle an und rufen Sie das Verwaltungs-Tool Zertifizierungsstelle auf. 2. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, wählen Sie aus dem erscheinenden Popup den Befehl Alle Tasks/Zertifizierungsstelle wiederherstellen. 3. Es öffnet sich der Wiederherstellungs-Assistent, und unter Angabe des Wiederherstellungspfades und Auswahl der Sicherungsdatei sowie Angeben des Kennwortes für den privaten Schlüssel der Zertifizierungsstelle führen Sie die Wiederherstellung durch. Abbildung 10.10: Geben Sie an, welche Daten Sie wiederherstellen möchten und wie der Pfad zu den gesicherten Dateien lautet
Anmerkung: Die Zertifizierungsstelle ist abhängig von der Metadatenbank des Internet Information Servers. Fehlt diese Datenbank oder ist sie beschädigt, kann der IIS nicht gestartet werden. Als Folge dessen lassen sich auch die Zertifikatsdienste auf diesem Server nicht mehr starten. In einem solchen
359
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Fall müssen Sie also zuerst die Metadatenbank des Internet Information Servers wiederherstellen. Aus diesem Grund ist es auch so wichtig, den kompletten Server und nicht allein die Daten der Zertifizierungsstelle regelmäßig zu sichern.
10.4 Prozess der Zertifikatsvergabe Im Englischen wird der Prozess der Zertifikatsvergabe als »Certificate Enrollment« bezeichnet, und in den Unterlagen von Microsoft spricht man in diesem Zusammenhang häufig von der Zertifikats-Registrierung bei der Zertifizierungsstelle. Allerdings erscheint es uns passender, von einem Prozess der Zertifikatsvergabe zu sprechen. Die Vergabe eines Zertifikates erfolgt in der Regel in den folgenden Schritten: 1. Die Zertifizierungsstelle erhält von einem Anwender eine Zertifikatsanforderung, wobei der Anwender entsprechende Informationen über sich übermittelt. 2. Die Zertifizierungsstelle kontrolliert die Daten desjenigen, der das Zertifikat anfordert, und vergleicht diese mit den eigenen Richtlinien. 3. Die Zertifizierungsstelle stellt das Zertifikat für den Anfordernden aus und signiert es mithilfe des eigenen privaten Schlüssels. 4. Das fertig gestellte Zertifikat wird an den Benutzer, der die Anforderung gestellt hat, übermittelt. Diese kurze Darstellung vermittelt nur sehr theoretisch, was beim Anfordern und Ausstellen eines Zertifikats passiert. Die nachfolgenden Abschnitte zeigen Ihnen die konkreten Möglichkeiten der Zertifikatsanforderung und erläutern auch, welche verschiedenen Zertifikate es gibt und wie man eine Zertifikatsanforderung überprüfen kann.
10.4.1
Anfordern von Zertifikaten
Für den Anwender ist natürlich vor allem interessant, wie er ein solches Zertifikat anfordern kann. Unter Windows 2000 stehen ihm dazu zwei unterschiedliche Methoden zur Verfügung: 왘 Anforderung eines Zertifikats über den Zertifikatsanforderungs-Assis-
tenten 왘 Anforderung eines Zertifikats über das Webseiten-Frontend
Die Autoren des Buches bevorzugen eindeutig den zweiten Weg. Der erst genannte Weg ist für den normalen Anwender eigentlich viel zu komplex. Die Nutzung der Webseite ist hingegen denkbar einfach, zumal sich die Webseite prima in das Intranet der Firma integrieren lässt. Der erste Weg stellt eigentlich nur für die Administratoren selbst eine Alternative dar. Wir wollen Ihnen hier beide Möglichkeiten am Beispiel des Benutzerzertifikats einmal genauer vorstellen.
360
Prozess der Zertifikatsvergabe
Anfordern eines Benutzerzertifikats mithilfe des Zertifikatsanforderungs-Assistenten Dieser Weg ist nur bei einer Organisations-Zertifizierungsstelle möglich. In diesem Fall nutzt der Benutzer das Snap-In Zertifikat, das er der MMC hinzufügen muss, um ein Zertifikat anzufordern. Dazu geht er wie folgt vor: 1. Starten Sie die MMC und fügen Sie das Snap-In Zertifikate für das eigene Benutzerkonto hinzu. 2. Wechseln Sie in den Container Zertifikate – Aktueller Benutzer/Eigene Zertifikate/Zertifikate und rufen Sie im Detailbereich aus dem Kontextmenü den Eintrag Alle Tasks/Neues Zertifikat anfordern auf. 3. Es öffnet sich der Assistent zum Anfordern eines neuen Zertifikats, dessen Begrüßungsfenster Sie einfach mit OK bestätigen. Im zweiten Schritt erfolgt die Auswahl einer Zertifikatsvorlage, wobei Ihnen die standardmäßig installierten Zertifikatsvorlagen der Zertifizierungsstelle in dem Dialogfenster angezeigt werden. wir wählen in diesem Beispiel das Benutzerzertifikat und aktivieren die Option Erweiterte Optionen. Abbildung 10.11: Wählen Sie die gewünschte Zertifikatsvorlage aus
4. Haben Sie die erweiterten Optionen bei der Auswahl der Zertifikatsvorlage aktiviert, können Sie an dieser Stelle den Kryptografie-Dienstanbieter (normalerweise wird der als Standard-Kryptografie-Dienstanbieter für die Zertifizierungsstelle gewählte Anbieter verwendet) auswählen und die Aktivierung der verstärkten Sicherheit für den privaten Schlüssel fordern. In diesem Fall werden Sie jedes Mal, wenn eine Anwendung Ihren privaten Schlüssel nutzen möchte, um die Eingabe eines Passwortes gebeten.
361
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
5. Anschließend wählen Sie die Zertifizierungsstelle über den DurchsuchenButton aus, die das Zertifikat für Sie ausstellen soll. Last but not least werden Sie noch gebeten, dem Zertifikat einen Namen und eine Beschreibung zu geben, die lediglich dazu dient, das Zertifikat leichter identifizieren zu können. 6. Mit dem Mausklick auf den Fertig stellen-Button beenden Sie die Zertifikatsanforderung. Da die Organisations-Zertifizierungsstelle nun direkt im Active Directory nachsehen kann, ob Sie über die notwendigen Berechtigungen verfügen, bekommen Sie auch umgehend eine Erfolgsoder Fehlermeldung. Zudem können Sie sich das angeforderte Zertifikat nun ansehen und bekommen direkt angeboten, das angeforderte Zertifikat direkt zu installieren. Abbildung 10.12: Bei einer Organisations-Zertifizierungsstelle erhalten Sie direkt ein Feedback über Erfolg oder Misserfolg der Anforderung
7. Wenn Sie sich über Zertifikat anzeigen die Eigenschaften des gerade angeforderten Benutzerzertifikats ansehen, stellen Sie fest, dass Sie über dieses Zertifikat per EFS auf Ihrem Computer entsprechende Dateien und Ordner verschlüsseln können, dass Ihre E-Mail-Nachrichten verschlüsselt werden können und dass einem Remote-Computer Ihre Identität garantiert wird. Zudem erhalten Sie über ein solches Zertifikat einen privaten Schlüssel. 8. Klicken Sie hingegen auf Zertifikat installieren, wird das angeforderte Zertifikat direkt in den Container Eigene Zertifikate installiert und Sie erhalten eine weitere Erfolgsmeldung, dass die Zertifikatsanforderung erfolgreich war.
362
Prozess der Zertifikatsvergabe
Anmerkung: Anstatt ein Benutzerzertifikat von Hand anzufordern, haben Sie als Administrator auch die Möglichkeit, mithilfe der domänenweit geltenden Gruppenrichtlinien eine automatisierte Zertifikatsanforderung durchzuführen. Das hat zur Folge, dass jeder Anwender bei der nächsten Anmeldung an der Domäne automatisch ein entsprechendes Benutzerzertifikat anfordert. Mehr Informationen zum Thema »PKI und Gruppenrichtlinien« finden Sie am Ende dieses Kapitels. Anfordern eines Benutzerzertifikats über die ZertifikatsdienstWebseiten Bei dieser Alternative, die für eigenständige Zertifizierungsstellen die einzige Möglichkeit der Zertifikatsanforderung darstellt, muss der Benutzer die nachfolgend aufgeführten Schritte nachvollziehen. Aber auch für die Organisations-Zertifizierungsstellen ist dies der einfachere Weg für den Anwender: 1. Rufen Sie in Ihrem Internet Explorer die Web-Adresse http://SERVERNAME/CERTSRV auf, wobei der SERVERNAME für den Namen des Computers steht, auf dem die Zertifizierungsstelle installiert wurde. Abbildung 10.13: Die Willkommensseite der Zertifizierungsstelle
2. Nach der Eingabe der oben genannten Webadresse erscheint die Willkommens-Seite der Zertifizierungsstelle, auf der Sie die Option Ein Zertifikat anfordern aktivieren und auf Weiter klicken.
363
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
3. Auf der folgenden Seite aktivieren Sie nun den gewünschten Zertifikatstyp. Standardmäßig ist bereits das Benutzerzertifikat aktiviert, das wir an dieser Stelle auch übernehmen möchten (mehr Informationen zum Thema »Anfordern anderer Zertifikatstypen« erhalten Sie in einem der folgenden Unterkapitel). Abbildung 10.14: Aktivieren Sie das Benutzerzertifikat und bestätigen Sie mit »Weiter«
4. Während Sie bei einer eigenständigen Zertifizierungsstelle nun aufgefordert werden, entsprechende Identifikationsinformationen einzutragen, ermittelt die Organisations-Zertifizierungsstelle diese Informationen aus dem Active Directory. Sie haben aber in beiden Fällen die Möglichkeit, auf dieser abschließenden Seite über die weiteren Optionen einen bestimmten Kryptografie-Dienstanbieter auszusuchen bzw. den verstärkten Schutz des privaten Schlüssels zu aktivieren. Haben Sie alle Einstellungen Ihren Vorstellungen gemäß vorgenommen, klicken Sie auf den Einsenden-Button. Damit wird Ihre Zertifikatsanforderung an die Zertifizierungsstelle abgesendet. 5. Im Falle der Organisations-Zertifizierungsstelle erfolgt nun eine Überprüfung des Anfordernden im Active Directory; eine Anzeige, die darauf hinweist, dass auf eine Rückmeldung vom Server gewartet wird, ist in dieser Phase zu sehen. Besitzt der Anfordernde die ausreichenden Berechtigungen, wird das Zertifikat auf Basis der im Active Directory vorhandenen Informationen erzeugt und Sie erhalten die Möglichkeit, das Zertifikat nun direkt zu installieren. Bei der eigenständigen Zertifizierungsstelle ist das Zertifikat erst für die Installation verfügbar, wenn die Zertifizierungsstelle das Zertifikat erstellt hat (s. Ausstellen von Zertifikaten).
364
Prozess der Zertifikatsvergabe Abbildung 10.15: Entsprechen alle Einstellungen Ihren Wünschen, klicken Sie auf »Einsenden«
Abbildung 10.16: Stellt die Zertifizierungsstelle das Zertifikat aus, können Sie es über den Hyperlink direkt installieren
365
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Auch hier erhalten Sie am Ende eine Erfolgsmeldung, dass das Zertifikat erfolgreich installiert wurde. Über das Snap-In Zertifikate können Sie die Installation des angeforderten Zertifikats auch noch einmal kontrollieren. Unterschiede zwischen Organisations- und eigenständigen Zertifizierungsstellen Es gibt, wie nun bereits mehrfach erwähnt, einen ganz gravierenden Unterschied zwischen der Anforderung von Zertifikaten bei Organisations- und eigenständigen Zertifizierungsstellen: 왘 Wenn bei der Organisations-Zertifizierungsstelle eine Zertifikatsanfor-
derung eingeht, werden die in der Anforderung enthaltenen Informationen automatisch mit den Benutzerinformationen im Active Directory verglichen, und wenn der Benutzer über die entsprechenden Berechtigungen verfügt, wird ihm automatisch ein Zertifikat ausgestellt. 왘 Wenn bei einer eigenständigen Zertifizierungsstelle eine Zertifikatsan-
forderung eingeht, dann bleibt diese so lange in der Warteschlange, bis ein entsprechend berechtigter Administrator die Anforderung bearbeitet und dem Anwender ein Zertifikat ausstellt oder es ihm verweigert.
10.4.2
Die verschiedenen Zertifikatsvorlagen
Eine Organisations-Zertifizierungsstelle ist in der Lage, einem Benutzer oder einem Computer in Abhängigkeit von dessen Berechtigungen, verschiedene Zertifikatstypen zur Verfügung zu stellen. All diese Zertifikatstypen basieren auf entsprechenden Zertifikatsvorlagen. Diese Vorlagen kann man sich als Sammlung von Konfigurationseinstellungen vorstellen, wobei die Einstellungen den Verwendungszweck des Zertifikats definieren. Jede Zertifikatsvorlage verfügt über die folgenden Einstellungen und Merkmale: 왘 Anzeigenamen, der in den Verwaltungstools angezeigt wird. 왘 Sicherheitsberechtigungen, die festlegen, wer das Zertifikat erhalten
darf. 왘 Erweiterte Schlüsselverwendung, die den eigentlichen Verwendungs-
zweck des Zertifikats bestimmt. 왘 Schlüsselverwendung des öffentlichen Schlüssels. 왘 Basiseinschränkungen 왘 Standard-CSP-Liste, die die verschiedenen Kryptografie-Anbieter ent-
hält. 왘 E-Mail-Name, der es ermöglicht, die E-Mail-Adresse des Principal-
namens des Anwenders, für den das Zertifikat ausgestellt wird, in das Zertifikat aufzunehmen.
366
Prozess der Zertifikatsvergabe 왘 Computerzertifikatsvorlage ist eine Eigenschaft, die festlegt, ob das
zukünftige Zertifikat für eine Person oder einen Computer gedacht ist. Nachfolgend sehen Sie zwei Listen, eine mit den Zertifikatsvorlagen, die für Personen bestimmt sind, und eine mit den Zertifikatsvorlagen, die für Computer bestimmt sind. Personenbezogene Zertifikatsvorlagen Die Liste enthält einmal den Namen der Zertifikatsvorlage und zudem die Einsatzgebiete dieses Vorlagentyps: 왘 Administrator: Diese Vorlage ermöglicht die Nutzung der Code-Signa-
tur, den Einsatz von EFS, die Signatur von E-Mails, Client-Authentifizierung sowie die Signatur von Zertifikats-Vertrauenslisten (CTL). 왘 Authentifizierte Sitzung: Ein Zertifikat, das der Client-Authentifizie-
rung dient. 왘 Basis-EFS: Ein Zertifikat, das es den Anwendern ermöglicht, über EFS
eigene Dateien zu ver- und wieder zu entschlüsseln. 왘 Benutzer: Das Standardzertifikat für Anwender, das die Verschlüsselung
von Dateien, die Signatur von E-Mails sowie die Client-Authentifizierung gegenüber Remote-Computern ermöglicht. 왘 Code-Signatur: Das Zertifikat ermöglicht den Einsatz der Code-
Signatur. 왘 EFS-Wiederherstellungs-Agent: Ein Zertifikat, das es einer Person ermög-
licht, Dateien und Ordner, die mit EFS verschlüsselt wurden, ohne den privaten Schlüssel des entsprechenden Anwenders wiederherzustellen. 왘 Nur Benutzersignatur: Eine Variante der Benutzer-Zertifikatsvorlage, bei
der nur die Client-Authentifizierung und die sichere E-Mail, nicht aber die Nutzung von EFS integriert ist. 왘 Registrierungs-Agent
und Registrierungs-Agent (Offlineanforderung): Zwei Zertifikatsvorlagen für einen Agenten zur Zertifikatsanforderung, wobei die eine Zertifikatsvorlage für den Fall gedacht ist, dass die entsprechende Zertifizierungsstelle nicht online verfügbar ist.
왘 Smartcard-Anmeldung und Smartcard-Benutzer: Zwei Zertifikate, die
Sie dann benötigen, wenn Sie Smartcards zur Benutzerauthentifizierung verwenden möchten. Der Unterschied zwischen den beiden Zertifikaten besteht darin, dass das erstere nur der Clientauthentifizierung dient, während das zweitere auch eine sichere E-Mail-Kommunikation gewährleistet. Mehr zu den beiden Zertifikaten erfahren Sie in dem Kapitel zur benutzerbezogenen Sicherheit. 왘 Vertrauenslistensignatur: Wenn Sie Zertifizierungsstellen anderer Orga-
nisationen vertrauen möchten, dann müssen Sie diese in die Zertifikatsvertrauensliste aufnehmen. Mithilfe dieser Zertifikatsvorlage lässt sich die Liste signieren.
367
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Computerbezogene Zertifikatsvorlagen Die Liste enthält einmal den Namen der Zertifikatsvorlage und zudem die Einsatzgebiete dieses Vorlagentyps: 왘 Domänencontroller: Ein Zertifikat für Domänencontroller in der Active
Directory-Struktur, das zur Client- und Server-Authentifizierung eingesetzt wird. 왘 Computer: Ein Zertifikat, das zur Client- und Server-Authentifizierung
eingesetzt wird. 왘 IPSec und IPSec (Offlineanforderung): Zwei Zertifikatsvorlagen, die
beim Einsatz von IPSec, dem Protokoll zur Verschlüsselung der Datenübertragung im Netz, eine Rolle spielen. Mehr zu diesen Zertifikaten erfahren Sie im Kapitel, das sich mit der Sicherheit der Netzwerkdienste befasst. 왘 Router: Ein Zertifikat zur Client-Authentifizierung für Computer und
Router. 왘 Untergeordnete Zertifizierungsstelle: Ein Zertifikat, das die übergeord-
nete Zertifizierungsstelle der untergeordneten Zertifizierungsstelle ausstellt und auf diese Weise deren Vertrauenswürdigkeit belegt. Dieses Zertifikat kann von der Zertifizierungsstelle dann für alle Zertifikate, die die Stelle ausstellt, genutzt werden, um diese zu signieren. 왘 Webserver: Eine Zertifikatsvorlage, die der Server-Authentifizierung
von Webservern dient. Abbildung 10.17: Standardmäßig sind nicht alle in den Listen aufgeführten Zertifikatsvorlagen verfügbar
368
Prozess der Zertifikatsvergabe
Wenn Sie Ihre Organisations-Zertifizierungsstelle gerade installiert haben und die dort angebotenen Zertifikatsvorlagen im Snap-In Zertifizierungsstelle im Container Richtlinieneinstellungen mit den hier aufgeführten Listen vergleichen, stellen Sie fest, dass nicht alle Zertifikatsvorlagen zur Verfügung stehen. Standardmäßig sind nur die Zertifikatsvorlagen Administrator, Domänencontroller, Computer, Basis-EFS, EFS-Wiederherstellungs-Agent, Benutzer, Webserver und bei untergeordneten Zertifizierungsstellen noch zusätzlich die Vorlage Untergeordnete Zertifizierungsstelle installiert. Zusätzliche Zertifikatsvorlagen einrichten Möchten Sie Ihrer Zertifizierungsstelle weitere Zertifikatsvorlagen hinzufügen, dann melden Sie sich an dem Computer, auf dem die Zertifizierungsstelle installiert ist, als Administrator an und starten Sie das VerwaltungsTool Zertifizierungsstelle. Anschließend gehen Sie wie folgt vor: 1. Wechseln Sie in dem Snap-In Zertifizierungsstelle in den Container Richtlinieneinstellungen. 2. Rufen Sie im Detailbereich des Containers aus dem Kontextmenü den Befehl Neu/Auszustellendes Zertifikat auf. 3. Es öffnet sich ein zusätzliches Dialogfenster, in dem Sie nun per Mausklick die Zertifikatsvorlagen aus der Liste wählen können, die Sie installieren möchten. Abbildung 10.18: Wählen Sie das zu installierende Zertifikat aus
369
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
4. Ein Mausklick auf OK genügt, und schon wird die gewählte Zertifikatsvorlage installiert. Über das Kontextmenü der installierten Zertifikatsvorlage können Sie sich anschließend die Eigenschaften der Vorlage ansehen. Dort finden Sie Angaben zum Einsatzzweck der Vorlage sowie weiterführende Informationen zur Zertifikatsvorlage. Anmerkung: Genauso leicht, wie Sie zusätzliche Zertifikatsvorlagen installieren können, lassen sich auch nicht mehr benötigte Zertifikatsvorlagen wieder entfernen. Klicken Sie im Container Richtlinieneinstellungen des SnapIns Zertifizierungsstelle einfach mit der rechten Maustaste auf die betreffende Zertifikatsvorlage und wählen Sie aus dem Kontextmenü den Befehl Löschen aus. Schon wird die Zertifikatsvorlage ohne weitere Abfragen entfernt. Andere Zertifikatstypen anfordern In den vorangegangenen Abschnitten haben Sie schon gesehen, dass es zwei Möglichkeiten zum Anfordern von Zertifikaten gibt. Ein Weg führt über das Snap-In Zertifikate und den Zertifikats-Anforderungs-Assistenten und der andere Weg über die Zertifikatsdienst-Webseiten. In dem Moment, in dem Sie die zusätzlichen Zertifikatsvorlagen auf der Zertifizierungsstelle installiert haben, stehen Ihren Anwendern auch die weiteren Zertifikatstypen zur Verfügung. Verwenden Sie oder Ihre Anwender das Snap-In Zertifikate und den Zertifikats-Anforderungs-Assistenten, können Sie einfach der Schritt-für-SchrittAnleitung zum Anfordern eines Benutzerzertifikats folgen, denn der einzige Unterschied besteht darin, dass Sie im zweiten Schritt statt des Benutzerzertifikats ein anderes Zertifikat auswählen. In dem angezeigten Dialogfenster des Assistenten werden Ihnen automatisch alle für die Zertifizierungsstelle installierten Vorlagen zur Auswahl angeboten. Nutzen Sie hingegen die Zertifikatsdienst-Webseiten, als die Adresse http://servername/certsrv, dann müssen Sie bei der Anforderung eines anderen Zertifikatstypen ein wenig anders vorgehen. Denn nach dem Begrüßungsfenster wählen Sie statt des Benutzerzertifikats die Option Erweiterte Anforderung und klicken danach auf Weiter. Es erscheint nun eine andere Webseite, als bei der Anforderung des Benutzerzertifikats, auf der Ihnen drei Optionen angeboten werden. Standardmäßig ist die oberste Option, Senden Sie ein Zertifikatsanforderungsformular an diese Zertifizierungsstelle aktiviert, was Sie mit einem Mausklick auf Weiter übernehmen können. Daraufhin erscheint ein weiteres Fenster, in dem Sie nun aus einer Liste aller verfügbaren Zertifikatsvorlagen die Variante auswählen können, die Sie beantragen möchten. Zudem haben Sie auch noch die Möglichkeit, verschiedene Schlüsseloptionen festzulegen, allerdings reichen in den meisten Fällen die Standardvorgaben aus, sodass Sie nur noch auf Einsenden klicken und im Falle einer Organisations-Zertifizierungsstelle die Rückmeldung des Servers abwarten müssen.
370
Prozess der Zertifikatsvergabe Abbildung 10.19: Nach der Installation der zusätzlichen Vorlagen lassen sich diese über den ZertifikatsanforderungsAssistenten installieren
Abbildung 10.20: Wählen Sie auf der Webseite des Zertifizierungsdienstes den gewünschten Zertifikatsdienst aus
371
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
10.4.3
Überprüfung von Zertifikatsanforderungen
Während Sie bei einer Organisations-Zertifizierungsstelle unmittelbar nach der Anforderung des Zertifikats eine Rückmeldung über den Erfolg oder Misserfolg der Anforderung erhalten, ist dies bei eigenständigen Zertifizierungsstellen nicht der Fall. Hat ein Benutzer ein Zertifikat bei einer eigenständigen Zertifizierungsstelle über die Webseiten angefordert, wird das Zertifikat nämlich erst dann ausgestellt, wenn ein entsprechend berechtigter Administrator sich darum kümmert. Im Gegensatz zur Organisations-Zertifizierungsstelle werden bei einer eigenständigen Zertifizierungsstelle die angeforderten Zertifikate also nicht automatisch ausgestellt, da eine eigenständige Zertifizierungsstelle nicht die Möglichkeit besitzt, die vom Anwender gemachten Identifikationsangaben über einen Verzeichnisdienst automatisch zu verifizieren. Aus diesem Grund gibt es bei den Zertifikatsdiensten von Windows auch die Möglichkeit für den Anwender, sich jederzeit den Status seiner Anforderung anzusehen. Dazu muss er lediglich die folgenden Schritte ausführen: 1. Rufen Sie die Webseite http://SERVERNAME/CERTSRV im Internet Explorer auf, wobei der Servername für den Namen des Computers steht, auf dem die Zertifizierungsstelle installiert wurde. 2. Es erscheint eine Willkommensseite, auf der Sie die Option Auf ein ausstehendes Zertifikat prüfen aktivieren und auf Weiter klicken. Abbildung 10.21: Aktivieren Sie die Option zur Überprüfung der Zertifikatsanforderung
372
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
3. Auf der folgenden Seite müssen Sie nun die Zertifikatsanforderung auswählen, die Sie überprüfen möchten, und erneut auf Weiter klicken. Eine Zertifikatsanforderung kann einen der drei im Folgenden aufgeführten Zustände haben: 왘 Ausgestellt: In diesem Fall können Sie auf Dieses Zertifikat installieren
klicken, um das angeforderte Zertifikat auf Ihrem Rechner einzurichten. 왘 Noch ausstehend: In diesem Fall hat der Administrator der Zertifi-
zierungsstelle das angeforderte Zertifikat noch nicht ausgestellt. Sie haben in dieser Situation auch noch die Möglichkeit, die Anforderung über Entfernen zurückzunehmen. 왘 Verweigert: Der Administrator oder die Zertifizierungsstelle haben
die Ausstellung des Zertifikats verweigert. Um nähere Informationen zu den Gründen zu erhalten, wenden Sie sich am besten an Ihren Administrator.
10.5 Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung In den vorangegangenen Abschnitten haben Sie erfahren, wie Sie eine PKI in Ihr Unternehmensnetz integrieren und wie Sie entsprechende Zertifikate anfordern. Betrachten Sie die Zertifikatsdienste von der Seite der Administratoren aus, ergeben sich noch eine Reihe von Aufgaben, die wir Ihnen in den folgenden Abschnitten einmal näher vorstellen möchten.
10.5.1
Manuelles Ausstellen von Zertifikaten bei einer eigenständigen Zertifizierungsstelle
Während bei der Organisations-Zertifizierungsstelle, wie nun bereits mehrfach erwähnt, das Zertifikat automatisch nach der Überprüfung des Anwenders im Active Directory ausgestellt wird, muss bei einer eigenständigen Zertifizierungsstelle der Administrator selbst tätig werden. So lange er dies nicht getan hat, gilt ein angefordertes Zertifikat als Noch ausstehend. Für die manuelle Ausstellung eines Zertifikats geht der Administrator der eigenständigen Zertifizierungsstelle wie folgt vor: 1. Melden Sie sich als Administrator an der eigenständigen Zertifizierungsstelle an und starten Sie das Verwaltungs-Tool Zertifizierungsstelle. Wechseln Sie dort in den Container Ausstehende Anforderungen. 2. Dort finden Sie die seit der letzten Überprüfung dieses Containers eingetroffenen Zertifikatsanforderungen, wobei Sie die Anzeige der Anforderungseigenschaften nach Ihren Wünschen anpassen können. Wenn Sie
373
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
im Detailbereich dieses Containers das Kontextmenü aktivieren, können Sie über Ansicht/Spalten wählen die angezeigten Eigenschaften wählen. Oder aber Sie aktivieren über Ansicht/Filter entsprechende Filterkriterien für die Anzeige der Anforderungen. Abbildung 10.22: Definieren Sie, welche Eigenschaften der Zertifikatsanforderungen Sie sehen möchten
3. Als Administrator müssen Sie nun jede einzelne Zertifikatsanforderung überprüfen und dann von Fall zu Fall entscheiden, ob Sie die Zertifikatsanforderung über das Kontextmenü des Zertifikats und den Befehl Alle Tasks/Verweigern zurückweisen oder über Alle Tasks/Ausstellen dem Anwender das Zertifikat ausstellen.
10.5.2
Erneuern von Zertifikaten
Wenn ein Zertifikat von einer Zertifizierungsstelle ausgestellt wird, besitzt es immer eine begrenzte Gültigkeitsdauer, die in den Eigenschaften des Zertifikats festgehalten ist. Erreicht ein Zertifikat nun das Datum, an dem seine Gültigkeit abläuft, wird es »ungültig« und kann infolgedessen nicht mehr weiter verwendet werden, da es nicht mehr akzeptiert wird. Sie können aber die Gültigkeitsdauer eines Zertifikats, das von einer Organisations-Zertifizierungsstelle ausgestellt wurde, erneuern, wobei Ihnen zwei unterschiedliche Möglichkeiten zur Verfügung stehen: 왘 Sie erneuern das Zertifikat unter Verwendung des vorhandenen Schlüs-
sels. 왘 Sie erneuern das Zertifikat unter Verwendung eines neuen Schlüssels.
374
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
Diese beiden Möglichkeiten möchten wir Ihnen in den nachfolgenden Abschnitten einmal näher vorstellen. Erneuerung des Zertifikats mit einem vorhandenen Schlüssel Möchten Sie das Zertifikat einer Organisations-Zertifizierungsstelle unter der Verwendung desselben Schlüssels erneuern, dann gehen Sie wie folgt vor: 1. Für die Erneuerung der Zertifikate muss sich der Anwender mit seinem eigenen Account anmelden und dann in der MMC das Snap-In Zertifikate für das eigene Benutzerkonto einblenden. 2. Wechseln Sie in den Container Zertifikate – Aktueller Benutzer/Eigene Zertifikate/Zertifikate und rufen Sie aus dem Kontextmenü des zu erneuernden Zertifikats den Befehl Alle Tasks/Zertifikat mit demselben Schlüssel erneuern auf. 3. Im erscheinenden Assistenten bestätigen Sie lediglich den Begrüßungsbildschirm mit Weiter, übernehmen die Standardwerte und klicken abschließend auf Fertig stellen. Falls Sie nicht die Standardwerte übernehmen würden, müssten Sie zusätzlich noch die Zertifizierungsstelle auswählen. Abbildung 10.23: Bei der Erneuerung des Zertifikats können Sie i.d.R. mit den Standardwerten arbeiten
Nach dem Fertig stellen wird das Zertifikat erneuert, und am Ende dieses Prozesses werden Sie aufgefordert, das Zertifikat neu zu installieren.
375
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Erneuerung des Zertifikats mit einem neuen Schlüssel Bei der Erneuerung des Zertifikats können Sie allerdings auch die verwendeten Schlüssel erneuern, was natürlich dann sinnvoll ist, wenn Sie befürchten, dass der alte, bisher verwendete Schlüssel in falsche Hände geraten sein könnte. Auch als Vorbeugung für Hackerangriffe können Sie bei der Zertifikatserneuerung einen neuen Schlüssel verwenden, wobei die Schritte, die Sie durchführen müssen, den Schritten der oben aufgeführten Schritt-fürSchritt-Anleitung entsprechen. Der einzige Unterschied besteht darin, dass Sie aus dem Kontextmenü des zu erneuernden Zertifikats diesmal den Befehl Alle Tasks/Zertifikat mit neuem Schlüssel erneuern aufrufen müssen. Auch hier erscheint wiederum ein Assistent, der dieselben Optionen bietet, wie bei der Erneuerung mit dem vorhandenen Schlüssel. Nach dem Fertig stellen wird das Zertifikat auch in diesem Fall erneuert, und am Ende dieses Prozesses werden Sie aufgefordert, das Zertifikat neu zu installieren. Abbildung 10.24: Aktivieren Sie die Option »Archivierte Zertifikate«
Alte Zertifikate werden archiviert Bei der Erneuerung der Zertifikate werden die alten Zertifikate im Übrigen archiviert. Wenn Sie sich die archivierten Zertifikate Ihres Zertifikatsspeichers ansehen wollen, dann müssen Sie in dem Snap-In Zertifikate den Eintrag des Zertifikatsspeichers (Zertifikate – Aktueller Benutzer) markieren und im Ansicht-Menü den Befehl Optionen aufrufen. Es öffnet sich ein Dialogfenster, in dem Sie die Option Archivierte Zertifikate aktivieren und mit OK bestätigen.
376
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
Wenn Sie anschließend in den Container Eigene Zertifikate/Zertifikate wechseln, sollten Sie nun von dem erneuerten Zertifikat zwei Einträge vorfinden. Wenn Sie sich dann noch die Status-Spalte im Detailbereich einmal näher ansehen, sollten Sie dort bei einem dieser Zertifikate ein »A« sehen, das das archivierte Zertifikat kennzeichnet. Erneuerung der Zertifikate von Zertifizierungsstellen Im Übrigen gilt auch für die Zertifikate, die die Zertifizierungsstellen selbst besitzen, dass sie nur über eine begrenzte Gültigkeitsdauer verfügen. Wenn das Zertifikat einer Zertifizierungsstelle abläuft und damit ungültig wird, kann die Zertifizierungsstelle keine weiteren Zertifikate mehr ausstellen. Es ist auch generell so, dass die ausstellende Zertifizierungsstelle immer sicherstellt, dass die Gültigkeitsdauer des Anwender- oder Computerzertifikats nie länger ist, als die Gültigkeitsdauer des Zertifikats der Zertifizierungsstelle. Überlegungen und Strategien zum Erneuern einer Zertifizierungsstelle
Aus diesem Tatbestand ergeben sich für Sie als Administrator die folgenden Überlegungen: 왘 Läuft die Gültigkeitsdauer des Zertifikats einer Zertifizierungsstelle ab,
kann sie einerseits keine weiteren Zertifikate mehr ausstellen, andererseits verlieren alle von ihr für Anwender oder Computer ausgestellten Zertifikate automatisch ihre Gültigkeit. 왘 Die Gültigkeitsdauer für eine Stammzertifizierungsstelle lässt sich bei
der Installation festlegen. Die Zertifikate für die untergeordneten Zertifizierungsstellen, IPSec, die Domänencontroller und die Registrierungsagenten verfügen über eine maximale Gültigkeitsdauer von zwei Jahren, während alle anderen Zertifikate über eine Gültigkeit von einem Jahr verfügen. 왘 Bedenken Sie bei der Planung, dass die ablaufende Gültigkeitsdauer
einer Zertifizierungsstelle bedeutet, dass auch die Gültigkeitsdauer der ausgestellten Zertifikate immer kürzer wird. 왘 Für die Stammzertifizierungsstelle des Unternehmens empfiehlt es sich,
bei der Installation des Zertifikatsdienstes einen stark verschlüsseltes Schlüsselpaar, z.B. den 4096-Bit-RSA-Schlüssel zu verwenden, um darüber eine lange, gefahrlose Gültigkeitsdauer für das Zertifikat dieser Zertifizierungsstelle nutzen zu können. Microsoft selbst empfiehlt bei Verwendung dieses Schlüssels unter momentanen Gesichtspunkten eine Gültigkeitsdauer von fünf Jahren einzustellen, wobei die Erneuerung immer in Intervallen von vier Jahren erfolgen sollte. 왘 Für eventuell vorhandene Zwischenzertifizierungsstellen (sie stellen nur
Zertifikate für andere untergeordnete Zertifizierungsstellen aus) oder die Zertifizierungsstellen, die für die Benutzer entsprechende Zertifikate
377
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
ausstellen, sollten Sie einen Erneuerungsintervall wählen, der das Zertifikat der Zertifizierungsstelle ein Jahr oder sechs Monate vor Ablauf der Gültigkeitsdauer (beträgt standardmäßig zwei Jahre) erneuert. Die Planung und Terminierung der Erneuerungsintervalle für Anwender-, Computer- und Zertifizierungsstellen-Zertifikate stellt eine der größten Herausforderungen für die Administratoren dar, da in diesem Fall die Sicherheitsfrage immer mit der Frage nach der möglichen Netzwerkbelastung und dem administrativen Aufwand abgeglichen werden muss. Regelmäßige Erneuerungen mindern aber die Gefahr von Hackerattacken und auch den Wert, den eventuell bei solchen Attacken ergatterte Schlüssel besitzen. Erneuerung des Zertifikats einer untergeordneten Zertifizierungsstelle
Die Erneuerung des Zertifikats einer Zertifizierungsstelle geht wie folgt vonstatten: 1. Melden Sie sich an der zu erneuernden Zertifizierungsstelle als Administrator an und rufen Sie das Verwaltungs-Tools Zertifizierungsstelle auf. Wählen Sie dort aus dem Kontextmenü der Zertifizierungsstelle den Befehl Alle Tasks/Zertifizierungsstellenzertifikat erneuern aus. Abbildung 10.25: Wählen Sie aus dem Kontextmenü den Befehl zur Aktualisierung des Zertifikats der Zertifizierungsstelle
2. Es erscheint eine Warnung, die Sie darauf hinweist, dass während der Erneuerung die Zertifikatsdienste angehalten werden müssen, die Sie mit JA bestätigen.
378
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
3. Im Anschluss daran erscheint ein weiteres Dialogfenster, das Sie fragt, ob Sie nun nur das Zertifikat erneuern möchten, oder ob Sie auch den Schlüssel, der von der Zertifizierungsstelle in Zukunft verwendet wird, erneuern wollen. Ist dies der Fall, beantworten Sie dieses Dialogfenster mit der Aktivierung der Option JA und der Bestätigung durch OK. Die Vorteile in der Verwendung eines neuen Schlüssels liegen darin: 왘 Durch die Änderung des Schlüssels senken Sie die Gefahr, dass
Hacker den Schlüssel der Zertifizierungsstelle knacken können. 왘 Durch die Änderung des Schlüssels erreichen Sie, dass die Zertifizie-
rungsstelle eine neue Zertifikatssperrliste erzeugt, die dann nur noch die gesperrten Zertifikate enthält, die mit dem neuen Schlüssel der Zertifizierungsstelle erstellt wurden. Die alte Zertifikatssperrliste wird aber noch so lange weitergeführt, bis auch die alten, gesperrten Zertifikate ihre Gültigkeit verlieren. 왘 Die Änderung des Schlüssels kann auch durch die Einführung einer
Applikation, die ein neues Zertifizierungsstellenzertifikat benötigt, erforderlich werden. Abbildung 10.26: Aktivieren Sie JA, wenn Sie das Schlüsselpaar für die Zertifizierungsstelle erneuern möchten
4. Im folgenden Schritt werden Sie dann gebeten, die Stammzertifizierungsstelle anzugeben. Standardmäßig wird der FQDN der Stammzertifizierungsstelle bereits angegeben. Über das dazugehörige Listenfeld bestätigen Sie diesen Namen noch einmal durch die Auswahl des NetBios-Namens. Mit OK bestätigen Sie die gemachten Angaben.
379
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation Abbildung 10.27: Der FQDN wird bereits im Feld »Computername« vorgegeben, während Sie den NetBIOS-Namen über das Listenfeld auswählen
5. Danach wird das Zertifikat der Zertifizierungsstelle erneuert und die Zertifikatsdienste neu gestartet. Damit ist Ihre untergeordnete Zertifizierungsstelle mit einem neuen Zertifikat ausgestattet und wieder betriebsbereit. Diesen Vorgang sollten Sie im Rahmen des Change-Managements in regelmäßigen Intervallen durchführen. Erneuerung des Zertifikats einer Stammzertifizierungsstelle
Das Erneuern des Zertifizierungsstellenzertifikats einer Stammzertifizierungsstelle läuft im Wesentlichen genauso ab, wie die oben geschilderte Erneuerung des Zertifikats einer untergeordneten Zertifizierungsstelle. Der einzige Unterschied besteht darin, dass Sie bei der Stammzertifizierungsstelle nicht nach einer übergeordneten Zertifizierungsstelle gefragt werden, da die Stammzertifizierungsstelle sich das neue Zertifikat direkt selbst ausstellt.
10.5.3
Sperren von Zertifikaten
Jedes Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird, besitzt, wie im vorangegangen Abschnitt erläutert, für einen fest definierten Zeitraum seine Gültigkeit. Wenn Sie nun aber möchten, dass ein vergebenes Zertifikat sofort seine Gültigkeit verliert, müssen Sie das betreffende Zertifikat sperren. Der Vorgang des Sperrens bewirkt, dass ein Zertifikat bereits vor dem Ablaufen seiner Gültigkeitsdauer für ungültig erklärt wird, was unter verschiedenen Umständen notwendig werden kann:
380
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung 왘 Sinnvoll ist das Sperren von Zertifikaten, wenn die Sicherheit der ausstel-
lenden Zertifizierungsstelle nicht mehr gewährleistet ist. 왘 Einzelne Zertifikate werden üblicherweise aber auch dann gesperrt,
wenn ein Anwender das Unternehmen verlässt bzw. wenn ein Anwender seine Smartcard verloren hat oder der Verdacht besteht, dass Zertifikatsinformationen in falsche Hände geraten sind. 왘 Da Zertifikate auch häufig für die Zusammenarbeit mit anderen Firmen
genutzt werden, kann es auch vorkommen, dass eine solche Zusammenarbeit gelöst wird und infolgedessen die genutzten Zertifikate gesperrt werden müssen. Möchten Sie ein ausgestelltes Zertifikat sperren, dann melden Sie sich an der Zertifizierungsstelle als Administrator an und folgen Sie den hier aufgeführten Schritten: 1. Wechseln Sie in dem Verwaltungs-Tool Zertifizierungsstelle in den Container Ausgestellte Zertifikate, um sich die aktuell ausgestellten Zertifikate anzeigen zu lassen. 2. Klicken Sie mit der rechten Maustaste auf das zu sperrende Zertifikat und rufen Sie über das erscheinende Kontextmenü den Befehl Alle Tasks/ Zertifikat sperren auf. 3. Sie haben im Anschluss daran die Möglichkeit, den Grund für die Sperrung näher zu spezifizieren, müssen es aber nicht tun. Zur Auswahl stehen: Nicht angegeben, Schlüsselkompromiss, Stellenkompromiss, Zuordnung geändert, Abgelöst, Vorgangsende und Zertifikat blockiert. Abbildung 10.28: Wählen Sie den Grund für die Zertifikatssperrung aus
4. Das gesperrte Zertifikat wird daraufhin in den Ordner Gesperrte Zertifikate verschoben und dort mit einer roten Markierung versehen.
381
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Zertifikat vorübergehend sperren Interessant ist die Option Zertifikat blockiert, denn Sie ermöglicht es Ihnen, ein Zertifikat, beim dem Sie sich nicht sicher sind, ob es eventuell missbraucht wird, für die Verwendung zu blockieren. Sie haben aber hier die Möglichkeit, nachträglich die Sperrung wieder aufzuheben oder den Grund für die Sperrung auf eine der anderen Optionen zu ändern. Allerdings müssen Sie die Rücknahme der Zertifikatssperrung über das Befehlszeilen-Utility mit dem Namen CERTUTIL durchführen. Vorher müssen Sie aber im Verwaltungs-Tool Zertifizierungsstelle in den Container Gesperrte Zertifikate wechseln und dort über die Eigenschaften des Zertifikats die Seriennummer des gesperrten Zertifikats ausfindig machen (sie befindet sich auf der Registerkarte Details). Am besten markieren Sie die Seriennummer und kopieren sie in die Zwischenablage. Dann wechseln Sie zur Eingabeaufforderung und geben dort: Certutil –revoke "Seriennummer" unrevoke
ein und drücken danach die (Enter)-Taste, um den Befehl abzusetzen. Das Zertifikat wird entsperrt und damit auch im Verwaltungstool Zertifizierungsstelle aus dem Container Gesperrte Zertifikate wieder in den Container Ausgestellte Zertifikate zurück verschoben. Abbildung 10.29: Heben Sie die Sperrung eines Zertifikats über das Utility CERTUTIL auf
382
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
Das Zertifikat, das Sie gesperrt haben, wird bei der nächsten Veröffentlichung der Zertifikatssperrliste als gesperrt gemeldet. Allerdings beträgt der Standard-Veröffentlichungsintervall eine Woche, d.h., wenn die Zertifikatssperrliste also gerade erst gestern veröffentlicht wurde, dann dauert es fast noch eine ganze Woche, bis alle Computer Ihres Unternehmensnetzwerkes über die von Ihnen durchgeführte Sperrung des Zertifikats informiert werden. Erst dann, wenn die Sperrliste aktualisiert und neu veröffentlicht wurde, kann das gesperrte Zertifikat auch wirklich nicht mehr eingesetzt werden. In wichtigen Fällen kann es also notwendig sein, die Zertifikatssperrliste manuell zu aktualisieren. Wie Sie mit der Zertifikatssperrliste generell umgehen, erfahren Sie in dem folgenden Abschnitt.
10.5.4
Umgang mit der Zertifikatssperrliste
Alle Zertifikate, die gesperrt wurden, sind in einer so genannten ZertifikatsSperrliste (Certificate Revocation List, CRL) aufgeführt, die von der Zertifizierungsstelle in festgelegten Intervallen automatisch veröffentlicht wird. Die Veröffentlichung solcher Zertifikatssperrlisten erfolgt bei den Organisations-Zertifizierungsstellen über das Active Directory. Bei eigenständigen Zertifizierungsstellen, bei denen kein Active Directory zur Verfügung steht, können Sie eigene Verteilungspunkte in Form von http-, FTP- LDAP- oder UNC-Pfaden angeben. Das Standard-Veröffentlichungsintervall beträgt nach der Installation der Zertifizierungsstelle eine Woche, wobei die Gültigkeitsdauer der Zertifikatssperrliste noch einmal rund 10% länger ist (maximal 12 Stunden mehr). Die etwas längere Gültigkeitsdauer liegt darin begründet, dass die Veröffentlichung der Zertifikatssperrliste durch die Replikation des Active Directories gewährleistet wird. Um nun aber zu verhindern, dass die Replikation noch nicht abgeschlossen ist und die aktuelle Zertifikatssperrliste bereits ihre Gültigkeit verloren hat, wird mit diesem Zeitversatz gearbeitet. Darüber hinaus gibt es noch eine Toleranzschwelle von zehn Minuten am Anfang und am Ende des Veröffentlichungszeitraumes, was Zeitabweichungen auf den verschiedenen Computern abfedern soll. Zertifikatssperrliste anzeigen lassen Welche Einstellungen für Ihre Zertifikatssperrliste gerade gelten, können Sie sich anzeigen lassen, wenn Sie im Verwaltungs-Tool Zertifizierungsstelle aus dem Kontextmenü des Containers Gesperrte Zertifikate den EigenschaftenBefehl aufrufen. Dort sehen Sie das eingestellte Veröffentlichungsintervall und den Zeitpunkt der nächsten Aktualisierung. Zudem können Sie sich über das daraufhin erscheinende Dialogfenster die aktuelle Zertifikatssperrliste anzeigen lassen. Dazu müssen Sie nur noch auf die Schaltfläche Sperrliste anzeigen klicken.
383
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Veröffentlichungsintervall der Zertifikatssperrliste ändern Wenn Sie sich, wie im vorangegangenen Abschnitt aufgeführt, die Eigenschaften der Zertifikatssperrliste anzeigen lassen, haben Sie auch die Möglichkeit, das Veröffentlichungsintervall zu verkürzen oder zu verlängern, wobei wir bei unseren Tests festgestellt haben, dass eine Anpassung des Intervalls erst dann zur Berechnung eines neuen Veröffentlichungstermins geführt hat, nachdem wir das Dialogfenster mit OK verlassen und anschließend die Zertifikatssperrliste einmal manuell veröffentlicht haben (siehe nachfolgender Abschnitt). Eine Verkürzung des Intervalls ist insbesondere dann wichtig, wenn Sie beispielsweise aus Sicherheitsgründen eine ganze Reihe von Zertifikaten gesperrt haben und möchten, dass diese Informationen schnell an alle anderen Computer Ihres Unternehmens verteilt werden. Die Verkürzung des Veröffentlichungsintervalls ist nämlich die einzige Möglichkeit, dafür zu sorgen, dass die Zertifikatssperrliste zuverlässig auf allen Systemen aktualisiert wird. Sie können, wie der nachfolgende Abschnitt beschreibt, die Sperrliste zwar auch manuell veröffentlichen, aber die Systeme, die eine zwischengespeicherte Kopie der Zertifikatssperrliste besitzen, verwenden bis zur nächsten automatischen Veröffentlichung der Zertifikatssperrliste noch die alte Variante und nicht die von Ihnen manuell veröffentlichte Liste. Die einzige Ausnahme ist, wenn diese Systeme alle manuell die neueste Sperrliste anfordern (mehr dazu siehe einer der nächsten Abschnitte). Abbildung 10.30: In den Eigenschaften sehen Sie das aktuell eingestellte Veröffentlichungsintervall der Zertifikatssperrliste, das Sie hier auch ändern können
384
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
Manuelle Veröffentlichung der Zertifikatssperrliste Der Administrator hat, wie bereits erwähnt, jederzeit die Möglichkeit, mithilfe eines Assistenten eine Zertifikatssperrliste manuell zu veröffentlichen. Dazu geht er wie folgt vor: 1. Öffnen Sie das Verwaltungs-Tool Zertifizierungsstelle. 2. Klicken Sie mit der rechten Maustaste auf den Ordner Gesperrte Zertifikate und wählen Sie aus dem erscheinenden Popup-Menü den Eintrag Alle Tasks/Veröffentlichen. 3. Es folgt eine Sicherheitsabfrage, ob die veröffentlichte Zertifikatssperrliste damit außer Kraft gesetzt werden soll, die Sie mit JA bestätigen müssen. Abbildung 10.31: Bei der manuellen Aktualisierung der Sperrliste erfolgt eine Sicherheitsabfrage, die Sie mit JA bestätigen müssen
4. Die neue Liste wird, sofern ein Active Directory vorhanden ist, im Active Directory publiziert. Zudem wird sie aber auch in jedem Fall in dem Verzeichnis %SYSTEMROOT%\SYSTEM32\CERTSRV\CERTENROLL abgelegt. Wichtig zu wissen ist auch, dass in dem Fall, in dem die CRL nicht verfügbar ist, die Verifizierung von Zertifikaten nicht möglich ist und damit auch ein entsprechender an Zertifikate gebundener Benutzerzugriff verweigert wird. Anmerkung: Eines sollten Sie beim manuellen Veröffentlichen bedenken. Clients, die über eine zwischengespeicherte Kopie der Zertifikatssperrliste verfügen, arbeiten bis zum Anlaufen der Gültigkeitsdauer dieser Liste mit der zwischengespeicherten Kopie und nicht mit Ihrer manuell erzeugten.
385
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Manuelles Anfordern einer neuen Zertifikatssperrliste Wie bereits mehrfach erwähnt, wird beim manuellen Aktualisieren der Zertifikatssperrliste nicht automatisch auch auf den Clients die dort zwischengespeicherte Sperrliste ersetzt, sondern dies ist erst bei der nächsten automatischen Aktualisierung der Sperrlisten der Fall. Wenn Sie aus Sicherheitsgründen aber auch auf der Clientseite direkt auf die neue Sperrliste umsteigen wollen, aber nicht das Veröffentlichungsintervall verkürzen möchten, dann können Sie die Clients anweisen, sich die neueste Sperrliste auch abzuholen. Die Clients müssen in diesem Fall die folgenden Schritte durchführen: 1. Rufen Sie vom Client über den Internet Explorer die Webseiten der Zertifikatsdienste durch Eingabe von http://servername/certsrv auf, wobei der Servername für den Computernamen der Zertifizierungsstelle steht. 2. Wählen Sie auf der Willkommensseite die Option Das Zertifizierungsstellenzertifikat oder die Zertifikatssperrliste abrufen aus und bestätigen Sie dies mit Weiter. Abbildung 10.32: Aktivieren Sie die Option zum Aktualisieren der Sperrliste
3. Im folgenden Fenster bekommen Sie dann im unteren Bereich die momentan für die Zertifizierungsstelle vorhandenen Zertifikatssperrlisten angezeigt. Markieren Sie den Eintrag der aktuellen Zertifikatssperrliste und klicken Sie danach auf den Hyperlink Download der neuesten Zertifikatssperrliste. In dem daraufhin erscheinenden Dialogfenster aktivieren Sie, sofern noch nicht geschehen, die Option Datei auf Datenträger speichern und wählen über das folgende Dateiauswahlfenster ein passendes Verzeichnis für die Datei CERTCRL.CRL auf Ihrem Datenträger.
386
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung Abbildung 10.33: Starten Sie den Download der neusten Zertifikatssperrliste
Abbildung 10.34: Der InstallationsAssistent wählt automatisch den richtigen Zertifikatsspeicher aus
387
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
4. Nach erfolgtem Download wechseln Sie in das Verzeichnis, in dem Sie die Zertifikatssperrliste abgelegt haben, und klicken dort mit der rechten Maustaste auf die Datei CERTCRL.CRL. Aus dem Kontextmenü wählen Sie den Befehl Zertifikatssperrliste installieren, um den entsprechenden Installations-Assistenten zu starten. 5. Sowohl das Begrüßungsfenster als auch die Abfrage nach dem Zertifikatsspeicher müssen Sie nur mit Weiter bestätigen, da der Assistent den Speicher automatisch anhand des Zertifikatszweckes auswählt. Ein abschließender Mausklick auf Fertig stellen, und schon erfolgt die Installation, an deren Ende ein erfolgreicher Importvorgang vermeldet wird. Nach diesem Installationsvorgang arbeitet der Client nun auch direkt mit der aktualisierten Zertifikatssperrliste. Angeben von Verteilungspunkten für Zertifikatssperrlisten eigenständiger Zertifizierungsstellen Während bei der Organisations-Zertifizierungsstelle die Zertifikatssperrlisten einfach im Active Directory veröffentlicht werden und damit automatisch auf alle Domänencontroller Ihres Unternehmens übertragen werden, müssen Sie sich bei den eigenständigen Zertifizierungsstellen selbst über die Veröffentlichungs- oder Verteilungspunkte der Zertifikatssperrliste entsprechende Gedanken machen. Möchten Sie eigene Verteilungspunkte festlegen, gehen Sie wie folgt vor: 1. Melden Sie sich als Administrator an der eigenständigen Zertifizierungsstelle an und starten Sie das Verwaltungstool Zertifizierungsstelle. 2. Markieren Sie den Eintrag der Zertifizierungsstelle und rufen Sie über das dazugehörige Kontextmenü den Befehl Eigenschaften auf. In dem sich öffnenden Dialogfenster wechseln Sie anschließend auf die Registerkarte Richtlinienmodul. 3. Klicken Sie auf der Registerkarte Richtlinienmodul auf die KonfigurierenSchaltfläche. In dem daraufhin erscheinenden Dialogfenster müssen Sie nun auf die Registerkarte X.509-Erweiterung wechseln, da es sich bei der Möglichkeit, Verteilungspunkte zu definieren, um eine optionale Erweiterung des X.509V3-Zertifikats handelt. Auf der genannten Registerkarte finden Sie im oberen Bereich ein Listenfeld mit den Verteilungspunkten für Zertifikatssperrlisten. Über die Schaltfläche CDP Hinzufügen können Sie einen eigenen Verteilungspunkt hinzufügen, während Sie über die Entfernen-Schaltfläche einen der vorhandenen Einträge entfernen können. Bei den URLs, die Sie dort eintragen, kann es sich um http-, FTP-, LDAPoder UNC-Pfade für den Dateizugriff handeln. 4. Nach der Eingabe des neuen Verteilungspunktes und dem Verlassen der Dialogfenster müssen Sie den Zertifikatsdienst der Zertifizierungsstelle anhalten und anschließend neu starten, damit die gemachten Änderungen auch wirken.
388
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung Abbildung 10.35: Wechseln Sie auf die Registerkarte »Richtlinienmodul«
Abbildung 10.36: Über das obere Listenfeld dieser Registerkarte können Sie weitere Verteilungspunkte hinzufügen
389
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
10.5.5
Import und Export von Zertifikaten
Standardmäßig speichert Windows 2000 die von einem Computer oder Benutzer angeforderten Zertifikate auf dem lokalen Computer bzw. auf dem Gerät, an dem der betreffende Anwender arbeitet. Dafür wird ein speziell geschützter Bereich verwendet, der als Zertifikatsspeicher bezeichnet wird und Zertifikate verschiedener Zertifizierungsstellen sowie auch die Zertifikatssperrlisten und die Zertifikatsvertrauenslisten enthält. Es gibt aber eine Reihe von Situationen, bei denen es notwendig ist, Zertifikate per Export & Import auszutauschen. Dazu gehören beispielsweise: 왘 Die Sicherung des persönlichen Zertifikats bzw. des damit verbundenen
privaten Schlüssels findet über den Export statt, während eine eventuell notwendige Wiederherstellung über den Import des Zertifikats vonstatten geht. 왘 Wenn das Zertifikat auf einem zweiten Computer verwendet werden
soll, stellt der Export und Import die einzige Austauschmöglichkeit dar. 왘 Wenn das Zertifikat von einem Computer entfernt und auf einem ande-
ren Computer eingerichtet werden soll. 왘 Wenn Sie ein Zertifikat von einer kommerziellen Zertifizierungsstelle per
Diskette zugesandt bekommen haben, müssen Sie es über den Import auf dem betreffenden Computer installieren. Diese Funktionalität stellt Ihnen das Tool Zertifikate unter Windows 2000 zur Verfügung. Unterstützte Dateiformate für den Ex- und Import Bevor wir uns aber dem eigentlichen Export- oder Importvorgang widmen, möchten wir Ihnen die beiden zur Auswahl stehenden Zertifikats-Dateiformate vorstellen: 왘 PKCS #12 – Persönlicher Informationsaustausch: Über dieses Format
können Sie das Zertifikat inklusive des privaten Schlüssels von einem Computer auf ein Medium wie z.B. eine Diskette übertragen. Die Datei, die dabei erzeugt wird, trägt standardmäßig die Dateiendung .PFX. Wenn das Zertifikat allerdings unter Windows 2000 erzeugt wurde, gibt es für den Export des privaten Schlüssels eine Einschränkung. Sie können ihn nur exportieren, wenn das Zertifikat für EFS oder die EFS-Wiederherstellung ausgestellt bzw. bei der Anforderung über die Webseite in den erweiterten Optionen die Option »Exportierbar« aktiviert wurde. 왘 PKCS #7 – Syntaxstandard kryptografischer Meldungen: Hierüber lässt
sich das Zertifikat sowie alle in dessen Zertifizierungspfad vorhandenen Zertifikate von einem Computer zu einen anderen übertragen. Die dabei erzeugte Datei trägt standardmäßig die Dateiendung .P7B. Bei diesem Export werden noch zwei weitere Formate angeboten, die die Namen DER Encoded Binary X.509 und Base64 Encoded x.509 tragen und die Dateien mit der Dateiendung .CER erzeugen. Beide Formate gewährleisten vor allem die Kompatibilität zu Nicht-Windows-2000-Systemen.
390
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
Export von Zertifikaten Beim Export des Zertifikats wird das Zertifikat aus dem Zertifikatsspeicher in eine Datei übertragen, die sich per Diskette, E-Mail oder Netzwerk auf einen anderen Computer übertragen lässt: 1. Öffnen Sie die MMC mit dem Snap-In Zertifikate und erweitern Sie die Konsolenstruktur Eigene Zertifikate, sodass der Ordner Zertifikate angezeigt wird. 2. Klicken Sie im Detailbereich mit der rechten Maustaste auf das zu exportierende Zertifikat und wählen Sie aus dem erscheinenden Popup-Menü Alle Tasks/Exportieren und bestätigen Sie die Willkommensseite des Assistenten. Im zweiten Schritt müssen Sie dann angeben, ob Sie nur das Zertifikat oder auch den dazugehörigen privaten Schlüssel exportieren möchten. Allerdings können Sie, wie bereits erwähnt, unter Windows 2000 nur bei den EFS-Zertifikaten bzw. bei den Zertifikaten, bei denen während der Anforderung der private Schlüssel als exportierbar gekennzeichnet wurde, den Schlüssel auch mit exportieren. Bei allen anderen Zertifikaten steht Ihnen die Option Ja, privaten Schlüssel exportieren überhaupt nicht zur Verfügung; sie erscheint dann hellgrau und abgeblendet. Abbildung 10.37: Geben Sie im Export-Assistenten an, ob Sie den privaten Schlüssel mit exportieren möchten oder nicht
3. Wenn Sie den privaten Schlüssel mit exportieren, wird automatisch das Format PKCS # 12 verwendet (ansonsten würde automatisch PKCS #7 sowie die verfügbaren Unterformate für den Export angeboten) und Sie werden im folgenden Schritt noch gefragt, ob Sie alle im Zertifizierungspfad enthal-
391
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
tenen Zertifikate mit exportieren möchten, ob Sie die verstärkte Sicherheit aktivieren möchten und ob der Schlüssel nach dem Export auf dem aktuellen Rechner gelöscht werden soll. Aktivieren Sie die benötigten Optionen und vergeben Sie im folgenden Schritt ein Kennwort, das den privaten Schlüssel sichert. Dieses Kennwort wird im Übrigen bei der Nutzung der verstärkten Sicherheitsoption in Zukunft immer abgefragt, wenn eine Anwendung Ihren privaten Schlüssel nutzen möchte. 4. Geben Sie anschließend noch den Namen der zu exportierenden Datei sowie den gewünschten Verzeichnispfad, unter dem die Datei gesichert werden soll, an. Ein abschließender Mausklick auf Fertig stellen, und schon verlassen Sie den Export-Assistenten und haben das Zertifikat bzw. das Zertifikat samt privaten Schlüssel in eine Datei exportiert. Import von Zertifikaten Beim Import wird das Zertifikat aus einer Datei in den Zertifikatsspeicher auf dem lokalen Computer bzw. im Bereich des Benutzerprofils übertragen. Der Import erfolgt gemäß den nachfolgenden Schritten: 1. Öffnen Sie die MMC mit dem Snap-In Zertifikate und erweitern Sie die Konsolenstruktur Eigene Zertifikate, sodass der Ordner Zertifikate angezeigt wird. Abbildung 10.38: Wählen Sie die zu importierende Zertifikatsdatei aus
2. Klicken Sie mit der rechten Maustaste auf den Container Zertifikate und wählen Sie aus dem erscheinenden Popup-Menü Alle Tasks/Importieren. Das Begrüßungsfenster des Import-Assistenten bestätigen Sie einfach
392
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
und geben im folgenden Fenster den Pfad zu der zu importierenden Zertifikatsdatei an, die als PFX-Datei mit privatem Schlüssel, als P7B-Datei oder als CER-Datei vorliegen kann. 3. Wenn Sie eine PFX-Datei mit privatem Schlüssel importieren, werden Sie zusätzlich noch nach dem Kennwort, das den privaten Schlüssel schützt, gefragt sowie gebeten, festzulegen, ob der private Schlüssel auch wieder als exportierbar gekennzeichnet werden soll und ob die erhöhte Sicherheit aktiviert werden soll. Letzteres bewirkt, dass Sie jedes Mal, wenn eine Applikation auf den privaten Schlüssel zugreift, nach dem Passwort gefragt werden. Abbildung 10.39: Geben Sie beim Import einer PFXDatei das Kennwort für den privaten Schlüssel an
4. Nach der Prüfung des Kennwortes haben Sie noch die Möglichkeit, im folgenden Schritt den Zertifikatsspeicher zu ändern, aber in der Regel können Sie die Vorgabe der automatischen Speichererkennung einfach übernehmen. Abschließend müssen Sie den Import nur noch über Fertig stellen starten. Am Ende erscheint das importierte Zertifikat im Snap-In Zertifikate und kann genutzt werden.
10.5.6
Gruppenrichtlinien für die Zertifikate
Wie die meisten Konfigurations- und Sicherheitseinstellungen unter Windows 2000 gibt es auch für den Einsatz von Zertifikaten eine Reihe von Gruppenrichtlinien, die Ihnen die Konfiguration und Verwaltung der Zertifikatsdienste unter Windows 2000 und Windows XP enorm erleichtern. Die
393
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
Gruppenrichtlinien, die Ihnen in der Domain Default Policy in dem Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel angeboten werden, möchten wir Ihnen an dieser Stelle kurz vorstellen: Abbildung 10.40: Unter »Richtlinien öffentlicher Schlüssel« finden Sie die Gruppenrichtlinien für die Konfiguration der domänenweiten Zertifikatsdienste
왘 Agenten für Wiederherstellung von verschlüsselten Daten: Hier legen
Sie fest, welche Benutzer entsprechende Daten oder Dateien, die andere Benutzer verschlüsselt haben, entschlüsseln können. Standardmäßig ist dies der Administrator. Das Einrichten von Wiederherstellungsagenten ist wichtig, wenn zum Beispiel Mitarbeiter das Unternehmen und das Benutzerkonto des Anwenders bereits gelöscht wurde. Mehr Informationen zu diesem Thema erhalten Sie in dem Kapitel, das sich mit der Datenver- und –entschlüsselung via EFS befasst. 왘 Einstellungen der automatischen Zertifikatsanforderung: Mit dieser
Einstellung können Sie bestimmen, welche Zertifikate von Computern automatisch angefordert werden können. Der Vorgang wird als Zertifikatseinschreibung bezeichnet und beinhaltet das automatisierte Anfordern von Zertifikaten, das Ausstellen und das Installieren der Zertifikate, was es Ihnen erspart, dass Sie jeden Computer Ihres Unternehmens manuell mit entsprechenden Zertifikaten ausstatten müssen. Sobald die Richtlinie eingerichtet wurde, fordern die betreffenden Computer bei der nächsten Netzwerkanmeldung das entsprechende Zertifikat bei einer Organisations-Zertifizierungsstelle an. Der Vorgang der automatischen Zertifikatseinschreibung ist wichtig, damit Computer über die Zertifikate
394
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung
verfügen, die innerhalb des Unternehmens für Kryptografievorgänge mit öffentlichen Schlüsseln verwendet werden, wie es beim Einsatz von IPSec oder der Client- und Serverauthentifizierung notwendig ist. 왘 Vertrauenswürdige Stammzertifizierungsstellen: Diese Richtlinienein-
stellung wird benutzt, um Vertrauensstellungen zu Stammzertifizierungsstellen außerhalb des Unternehmens einzurichten. Für Zertifizierungsstellen innerhalb einer Windows 2000-Domäne wird diese Einstellung nicht gebraucht. Weitere Informationen zu diesem Thema erhalten Sie in dem letzten Abschnitt dieses Kapitels, das sich mit der Zusammenarbeit mit anderen Zertifizierungsstellen befasst. 왘 Organisationsvertrauen: Hier können signierte Zertifikatsvertrauenslis-
ten mit Zertifikate von externen Zertifizierungsstellen, die ein Administrator für bestimmte Zwecke als glaubwürdig eingestuft hat erstellt oder importiert und anschließend verteilt werden. Weitere Informationen zu diesem Thema erhalten Sie in dem letzten Abschnitt dieses Kapitels, das sich mit der Zusammenarbeit mit anderen Zertifizierungsstellen befasst. Wie Sie prinzipiell mit Gruppenrichtlinien arbeiten und eigene Gruppenrichtlinien erstellen, haben wir Ihnen bereits im Kapitel zum Thema Gruppenrichtlinien en Detail vorgeführt, weswegen wir hier nicht weiter darauf eingehen wollen.
10.5.7
Zusammenarbeit mit anderen Zertifizierungsstellen
In manchen Unternehmen kann es notwendig sein, externe Benutzer über entsprechende Zertifikate zu authentifizieren, die nicht im LAN des Unternehmens arbeiten. Solche Benutzer verfügen logischerweise nicht über entsprechende Benutzerkonten, mit denen sie sich an der Domäne anmelden, und in den häufigsten Fällen werden sie auch über keine unternehmensinternen Zertifikate verfügen. Aus diesen Gründen müssen für diese Benutzer die folgenden Voraussetzungen erfüllt werden: 왘 Die externen Benutzer müssen ein Zertifikat besitzen, wobei das Zertifikat
von einer vertrauten Zertifizierungsstelle stammen muss. Für diesen Zweck müssen Sie entweder über Active Directory-integrierte Zertifizierungsstellen verfügen oder mithilfe der Gruppenrichtlinie »Vertrauenswürdige Stammzertifizierungsstellen« oder der Gruppenrichtlinie »Organisationsvertrauen« eine Zertifizierungsstellen-Vertrauensstellung einrichten. Die Gruppenrichtlinie »Vertrauenswürdige Stammzertifizierungsstellen« nutzen Sie dann, wenn die Zertifizierungsstellen in Ihrem Unternehmen nicht auf Windows 2000- oder Windows XP-basierten Servern installiert sind und somit nicht das Active Directory zur Veröffentlichung der Zertifikatsinformationen nutzen. In diesem Fall wird das Zertifizierungsstellen-Zertifikat, in den Container »Vertrauenswürdige Stammzertifizierungsstellen« der Gruppenrichtlinien importiert. Die Gruppenrichtlinie »Organisationsvertrauen« nutzen Sie hingegen dann, wenn Ihr Unternehmen überhaupt nicht über
395
10 Zertifikate & digitale Signaturen für eine »vertrauliche« Kommunikation
eine eigene Zertifizierungsstelle verfügt, sondern Sie generell einer externen, kommerziellen Zertifizierungsstelle vertrauen. Dabei definieren Sie in diesem Fall eine neue Zertifikatsvertrauensliste, bei deren Definition Sie den Zweck der genutzten Zertifikate, z.B. sichere E-Mail, angeben und anschließend ein entsprechendes X.509-Zertifikat importieren müssen. 왘 Die externen Benutzer müssen über ein Benutzerkonto im Active Direc-
tory des Unternehmensnetzwerkes verfügen. 왘 Zwischen dem Zertifikat und dem Benutzerkonto muss anschließend
eine Namenszuordnung durchgeführt werden, was Sie über das Tool Active Directory-Benutzer und –Computer ausführen können. Allerdings müssen Sie zuvor im Ansicht-Menü die Erweiterten Funktionen aktivieren. Anschließend steht Ihnen in den Benutzereigenschaften die Registerkarte Veröffentlichte Zertifikate zur Verfügung, die einen Import von in Dateien gespeicherten Zertifikaten erlaubt, zur Verfügung. Dabei haben Sie die Wahl zwischen den zwei folgenden Varianten der Zuordnung: 왘 Eins-zu-Eins-Zuordnung: Bei dieser Variante, die sich nur dann eig-
net, wenn Sie für eine kleine Anzahl von externen Benutzern einen Zugriff auf Ihr Unternehmensnetz bieten müssen, wird zwischen dem Zertifikat eines individuellen Benutzers und dem für ihn angelegten Benutzerkonto im Active Directory eine Verbindung geschaffen; einem Zertifikat eines bestimmten Anwenders steht damit ein Benutzerkonto gegenüber. Auf Basis der Rechte, die dem Benutzerkonto zugeordnet sind, erhält der entsprechende Anwender dann die passenden Zugriffsrechte für das Unternehmensnetzwerk. Abbildung 10.41: Über die Registerkarte »Veröffentlichte Zertifikate« können Sie einem Benutzerkonto auch externe Zertifikate zuweisen
396
Weitere administrative Aufgaben im Rahmen der Zertifikatsverwaltung 왘 N-zu-Eins-Zuordnung: Bei dieser Variante wird zwischen allen Zer-
tifikaten einer bestimmten Zertifizierungsstelle und einem einzigen Benutzerkonto im Active Directory eine Verbindung geschaffen; einer Auswahl von Zertifikaten steht damit ein Benutzerkonto gegenüber. Dies bedeutet, dass Sie jedem Anwender, der von der bestimmten Zertifizierungsstelle ein Zertifikat besitzt, gemäß den Rechten, die Sie dem einen Benutzerkonto zugeordnet haben, Zugriff auf Ihr Unternehmensnetzwerk geben. Diese Variante ist besonders dann sinnvoll, wenn Sie einer großen Anwendergruppe auf eine bestimmte Ressource Ihres Unternehmensnetzwerkes Zugriff erteilen müssen.
397
11
Sicherheit der verschiedenen Netzwerkdienste
Natürlich kann man sich auf den Standpunkt stellen, dass ein Netzwerk, in dem eine Windows-Domäne professionell eingerichtet wurde und in dem effektive Zugriffsrechte definiert wurden, durchaus schon als Schutz gegen Missbrauch geeignet ist. Dies stimmt auch, doch der Datenschutz allein reicht heute nicht mehr aus, um einen stabilen und sicheren Betrieb gewährleisten zu können. Leider werden Virenprogrammierer, Datenspione und Idioten immer einfallsreicher, was speziell die Bereitstellung von Daten betrifft. Was nützt Ihnen also der beste Schutz für Ihre Daten, wenn kein Anwender mehr darauf zugreifen kann. Unter Windows 2000 und XP hängt der Zugriff auf Ressourcen von einer ganzen Reihe von Diensten und Faktoren ab, fällt einer dieser Dienste aus, kann eventuell nicht mehr gearbeitet werden. Damit werden Ihre Daten zwar nicht gefährdet, wohl aber deren Verfügbarkeit. Eine Vielzahl von Viren hat beispielsweise in Bezug auf beschädigte Daten nur geringe Schäden angerichtet, der durch Arbeitsausfall aufgetretene Schaden geht hingegen nach Schätzung amerikanischer Behörden mittlerweile in dreistellige Milliardenbereiche. Durch elementare Absicherung von Diensten im Netzwerk können Sie verhindern, dass Ihre Netzwerkstruktur zuerst durchleuchtet und dann gezielt attackiert werden kann. Durch weitere Sicherungsmechanismen können Sie auch dafür sorgen, dass die Daten, die über ein Netzwerk übertragen werden, nicht lesbar sind und zudem klar definierten Regeln folgen. Wenn gewisse Daten von Diensten nicht in bestimmte Bereiche des Netzwerks übertragen werden sollen, können Sie dies allein durch eine kluge Netzwerkstruktur und das gezielte Filtern von Daten sicherstellen. Auf umfassende Dokumentationen zur Verfügbarkeit wollen wir an dieser Stelle verzichten, da es sich beim vorliegenden Buch ja um ein Buch zum Thema Sicherheit handelt. Es gibt hierzu jedoch (Achtung Werbung) eine ganze Reihe guter Bücher aus dem Addison Wesley-Verlag. Wir wollen uns also auf die Mechanismen konzentrieren, mit denen Sie Netzwerkdienste vor Missbrauch schützen und wie Sie Netzwerkdaten gezielt vor fremdem Zugriff absichern.
11.1 Anforderungen an eine sichere Kommunikation im LAN Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetzwerk im Rahmen des Sicherheits-Managements sich auch um die Sicherheit der Kommunikationskanäle kümmern müssen, oder ob Sie bereits alles Notwendige getan haben, stellen wir Ihnen zu Beginn des Kapitels noch einmal
399
11 Sicherheit der verschiedenen Netzwerkdienste
typische Anforderungen, Ziele oder Visionen vor. In punkto Sicherheit der Kommunikationskanäle werden häufig folgende Anforderungen gestellt: 왘 Der Zugriff auf Netzwerkinformationen darf für unautorisierte Personen
nicht möglich sein. 왘 Veränderungen der Daten während der Übertragung dürfen nicht mög-
lich sein. 왘 Das Abfangen und Anzeigen von Daten während der Übertragung mit-
hilfe von Tools, wie z.B. dem Netzwerk-Monitor, darf nicht möglich sein. 왘 Der Zugriff auf die Daten durch unberechtigte Personen (z.B. mit dem
Hintergrund entsprechende Kennwörter zu knacken) darf nicht erlaubt werden. 왘 Typische Netzangriffe wie z.B. Adressen-Spoofing (Versenden von IP-
Datenpaketen mit scheinbar gültigen Adressen), Man-In-The-Middle (Person, die zwischen zwei Computern den Datenstrom manipuliert) oder Denial-of-Service (Verhindern der normalen Computertätigkeit durch Überschwemmung der Systeme mit Viren oder Ähnlichem) sollen verhindert werden.
11.2 Platzierung der Netzwerkdienste in der Netzwerkinfrastruktur Noch bevor Sie an die Sicherungsmechanismen der einzelnen Server denken, sollten Sie sich einige Tage Zeit nehmen, um ein sinnvolles Platzierungskonzept für die einzelnen Serverdienste zu erarbeiten. Dieses Konzept sollte erstellt werden, weil allein durch eine geschickte Platzierung und eine effektive Handhabung von Serverdiensten ein enormes Maß an Sicherheit geschaffen werden kann. Durch eine geschickte Auslegung des Netzwerks lassen sich Zugriffe von außerhalb beispielsweise fast völlig ausschließen. Zumindest aber kann man seine Netzwerkdienste so gestalten, dass die Chance eines Missbrauchs so gering wie möglich gehalten wird. Für klassische Netzwerkdienste wie DNS und DHCP empfiehlt sich beispielsweise eine Doppelstrategie, wenn diese Dienste auch einem öffentlichen Netzwerk bereitgestellt werden sollen. Ziel der Doppelstrategie ist es, die Abfragen und Daten, die dem öffentlichen Netzwerk zugänglich sind, von den Diensten des privaten Netzwerks zu trennen. Hier gibt es eine Vielzahl von Designvorschlägen, die jedoch prinzipiell immer auf dasselbe hinauslaufen, die Trennung der Serverinformationen des öffentlichen Netzes von denen des privaten. Je nachdem, an welche Firma Sie sich dabei wenden, bekommen Sie Angebote mit 1, 2 oder 478 Firewalls, die Preise variieren zwischen 1000 und 1.000.000 €. An dieser Stelle möchten wir Ihnen nur ein paar grundlegende Hinweise geben, ohne auf das Feintuning näher einzugehen.
400
Platzierung der Netzwerkdienste in der Netzwerkinfrastruktur
Die existentielle Grundlage einer sicheren Netzwerkumgebung ist zuerst einmal die Trennung von privatem und öffentlichem Netzwerk. Diese Trennung wird in der Regel sehr einfach mithilfe eines Routers bewerkstelligt. Der Router wird dann zumeist noch für Network Adress Translation konfiguriert, sodass die IP-Adressen von Rechnern im privaten Netzwerk gar nicht erst an das öffentliche Netzwerk übertragen werden. Näheres zu NAT erfahren Sie später in diesem Kapitel, wenn wir Ihnen Routing und RAS vorstellen. Abbildung 11.1: Die einfachste Form der Sicherheit ist die Trennung der Netzwerke
Abbildung 11.2: Durch die Trennung der öffentlich zugänglichen Server wird das private Netzwerk geschützt
Komplizierter wird es, wenn es im Netzwerk Ressourcen gibt, auf die gleichermaßen vom privaten wie öffentlichen Netzwerk zugegriffen wird. Beispiele hierfür könnten Webserver oder Anwendungsserver sein, deren Dienste allen Anwendern zugleich zur Verfügung stehen sollen. In diesem Fall würde man eine mehrfach geroutete Umgebung erzeugen, bei der die genannten Server in einem eigenen Segment platziert werden. Der Vorteil dieses Designs ist, dass das private Netzwerk durch einen eigenen Router
401
11 Sicherheit der verschiedenen Netzwerkdienste
vor den Zugriffen des öffentlichen Netzwerks geschützt wird. Die öffentlich zugänglichen Server werden vor dem privaten Netzwerk platziert und sind über einen entsprechenden Router mit dem öffentlichen Netzwerk verbunden. Router lassen prinzipiell erst einmal allen IP-basierten Netzwerkverkehr zu. Angreifer aus einem öffentlichen Netzwerk könnten diese Eigenschaft nutzen, um Zugriff auf Server im privaten Netzwerk zu erlangen. Alles, was dazu notwendig wäre, ist der Zugriff auf das Segment, in dem die öffentlichen Server stehen. Ist das private Netzwerk nicht durch Network Adress Translation geschützt, kann ein externer Anwender auch in das private Netzwerk gelangen, wenn er es richtig anstellt. Die Tatsache eines möglichen Angriffs hat Hersteller von Sicherheitssystemen reich gemacht, obwohl die Basisfunktionalität eine äußerst simple ist. Aller IP-basierter Datenverkehr verwendet ein übergeordnetes Steuerungsprotokoll für die geordnete Übertragung der Daten. Unter TCP/IP ist dies entweder TCP oder UDP. Jede Art der Datenübertragung verwendet dann für die Unterscheidung der Datenflusssteuerung einen so genannten Port, über den der Typ der Kommunikation genauer spezifiziert wird. http verwendet beispielsweise den Port 80, FTP, den Port 21 oder SMTP den Port 25. Wenn Sie nun erreichen möchten, dass Anwender des öffentlichen Netzwerks keine Verbindungen zum Öffnen oder Kopieren von Dateien realisieren können, verbieten Sie einfach den dazu notwendigen Port. Genau dieses Verbot wird mit der so genannten Paketfilterung von FirewallSystemen sichergestellt. Diese Systeme sind in der Regel so konfiguriert, dass die Kommunikation über die Firewall nur mit einigen wenigen Port überhaupt erlaubt wird. Anwender des öffentlichen Netzwerks dürfen also beispielsweise eine Webseite über Port 80 abrufen, können aber keine DNSAbfragen auf dem entsprechenden Port durchführen. Eine Firewall verfügt dazu über wenigstens zwei Netzwerkkarten, eine hin zum öffentlichen Netz und eine zum privaten Netz. Auf der öffentlichen Schnittstelle läuft der gesamte Datenverkehr auf, die Firewall-Software steuert aber nun, welche Datenströme auf die private Netzwerkschnittstelle der Firewall weitergeleitet werden. Die Firewall-Technologie ist mittlerweile sehr ausgereift und verfügt über eine Vielzahl zusätzlicher Funktionen. Microsofts ISA-Server beispielsweise lässt beim Verkehr in das private Netzwerk eine Unterscheidung zwischen Benutzergruppen zu und bietet in bestimmten Bereichen sogar eine automatische Erkennung und Warnung bei unautorisierten Zugriffen. Die einzige Überlegung, die man beim Netzwerkdesign noch treffen muss, ist, wie viele Firewall-Systeme man einsetzt. Prinzipiell könnte man bei einem einfachen Netzwerk mit öffentlichen Ressourcen nur eine Firewall verwenden, um den Verkehr auf die öffentlichen Ressourcen auf bestimmte Ports zu beschränken. Da auch das private Netzwerk hinter der Firewall liegt, ist ein Angriff hier kaum noch möglich. Wird eine weitere Firewall eingesetzt, wird es aber möglich, das private Netzwerk noch drastischer zu schützen, indem man beispielsweise überhaupt keinen Verkehr aus dem öffentlichen Netzwerk zulässt.
402
Platzierung der Netzwerkdienste in der Netzwerkinfrastruktur Abbildung 11.3: Die Firewall beschränkt den Zugriff auf bestimmte Typen
Für Dienste wie DNS oder DHCP bedeutet dies, dass Sie prinzipiell zweimal im Netzwerk präsent sind. Bei einem Design, das Zugriffe aus dem öffentlichen Netzwerk berücksichtigt, würde ein DNS-Server im privaten Netzwerk die Namensauflösung für die LAN-Clients und -Server sicherstellen. Ein weiterer DNS-Server würde dann für die Namensauflösung der öffentlichen Server herangezogen. Zwischen den beiden DNS-Servern wird kein Abgleich konfiguriert, die Daten der öffentlichen Server werden daher unter Umständen sogar manuell eingetragen. Auf diese Weise ist sichergestellt, dass Anwender, die aus dem öffentlichen Netzwerk kommen, keinen Zugriff auf Informationen des privaten Netzwerks erhalten können. Abbildung 11.4: Durch die Trennung der Dienste für privates und öffentliches Netzwerk werden die LANDaten gesichert
Besteht Ihr Netzwerk nur aus einem privaten Netzwerk mit einem Internetzugang bzw. aus an das öffentliche Netzwerk angebundenen Ressourcen, können Sie an dieser Stelle bereits mit dem Netzwerkdesign aufhören. Kom-
403
11 Sicherheit der verschiedenen Netzwerkdienste
plizierter wird das Design, wenn von außen bewusst Zugriffe auf das private Netzwerk erfolgen sollen. Dies ist der Fall, wenn externe Mitarbeiter sich in das Unternehmensnetzwerk einwählen sollen, der Zugriff also über ein Remote Access-System erfolgt. Auch hier existieren im Prinzip zwei Techniken, über die der Zugriff erfolgt, die Einwahlsystematik und das VPN. Bei ersterer Lösung wählt sich ein Client direkt in das Unternehmensnetzwerk über eine Telefonleitung ein. Bei der Einwahl findet dabei eine Authentifizierung des Anwenders statt, nur wenn die angegebenen Anmeldeinformationen eine Einwahl zulassen, wird sie erlaubt. Diese Art der Einwahl fordert ebenfalls spezielle Sicherheitsvorkehrungen, beispielsweise die Nutzung von Callback-Funktionalität, bei der das Einwahlsystem den Anwender unter einer speziellen Nummer zurückruft. Seit Windows 2000 unterstützt RAS aber auch Features wie die CSID, bei der die Berechtigung zusätzlich an eine spezielle Telefonnummer des Anrufers gekoppelt wird. Das klassische Remote Access-System ist also als relativ sicher anzusehen, dennoch muss man vom Design her entscheiden, ob der Zugang vor dem privaten Netz oder im privaten Netzwerk erfolgen soll. Erfolgt der Zugang direkt in das private Netzwerk, stehen dem externen Anwender alle Ressourcen des lokalen Netzwerks zur Verfügung. Es gibt dann kaum Möglichkeiten, den Zugriff zu kontrollieren. Viele Unternehmen mit Sicherheitsbedenken platzieren den Einwahlserver deshalb vor einen Router, der das lokale Netzwerk schützt. Durch die Network Adress Translation (NAT) des Routers kann dann genau spezifiziert werden, auf welche Ressourcen der Anwender aus dem vorgelagerten Netzwerk zugreifen kann. NAT ermöglicht hier die Beschränkung auf spezielle IP-Adressen und/oder Ports. Abbildung 11.5: Befindet sich der RAS-Server in einem vorgelagerten Netzwerk, kann man den Zugriff über NAT steuern
404
Platzierung der Netzwerkdienste in der Netzwerkinfrastruktur
Komplizierter wird es, wenn der Zugriff über ein VPN erfolgen soll. In diesem Fall wählt sich der Client über einen beliebigen Internetprovider in das Internet ein und stellt die Verbindung zum privaten Netz über einen Zugangsserver her, der im öffentlichen Netzwerk steht. Da hier eine direkte Schnittstelle zum öffentlichen Netzwerk geschaffen wird, sollte die Verbindung extrem gesichert sein. Das Netzwerkdesign erfordert hier natürlich, dass der Verbindungsserver aus dem Internet erreichbar sein muss. Dies macht das Vorschalten einer Firewall extrem aufwändig, das hier alle Ports erlaubt werden müssen, die für die Authentifizierung und den Datenzugriff möglich sein sollen. Prinzipiell wird dadurch die Firewall im Grunde genommen ausgehebelt. Ein sinnvolles Design führt für den VPN-Zugang daher ein eigenes VPN-Segment ein, das von dem Segment, über das der eigentliche Internetzugriff erfolgt, vollständig getrennt sein sollte. Dieses zweite Segment kann man dann für den VPN-Zugriff konfigurieren und so eine Fehlkonfiguration der Firewall verhindern. Auch in diesem Segment sollte eine Firewall platziert werden, die aber nicht mit Paketfilterung arbeitet, sondern stattdessen ausschließlich authentifizierte Zugriffe zulässt, also nur bekannte Benutzerkonten kommunizieren lässt. Mithilfe der Network Adress Translation kann der Router die zugreifenden Anwender dann zusätzlich steuern und so, wie beim Einwahlserver eine Zugriffskontrolle durchführen. Abbildung 11.6: Ein umfassendes Netzwerk mit unterschiedlichen öffentlichen Schnittstellen wirkt bereits sehr komplex
Die gezeigten Konfigurationslösungen stellen natürlich nur eine mögliche Lösung dar, beliebig viele Variationen sind möglich. Sie sehen allerdings, dass es mit dem einfachen Aufstellen eines RAS-Servers oder VPN-Servers nicht getan ist. Soll das Netzwerk gesichert werden, muss man diesem Anspruch durch ein entsprechendes Netzwerkdesign besonders Rechnung
405
11 Sicherheit der verschiedenen Netzwerkdienste
tragen. Die Sicherheit eines Netzwerks beginnt also im Prinzip bei der Verkabelung. Erst wenn diese sinnvoll geplant und umgesetzt wurde, kann man sich über den Schutz spezieller Dienste und über bestimmte Funktionen nähere Gedanken machen, vorher ist die Mühe umsonst.
11.3 Sicherung des DHCP-Dienstes Der DHCP-Dienst ist eine Funktionalität, die Netzwerkclients automatisch mit IP-Adressen und damit zusammenhängenden Konfigurationsinformationen versorgt. Wenn Sie eine solche Funktion in Ihrem Netzwerk einsetzen, sparen Sie sich eine enorme Menge an administrativer Arbeit, da die Vergabe von IP-Adressen nicht mehr manuell gepflegt wird. Zudem muss kein Administrator die IP-Adresse am Client direkt einstellen. Aus der Nutzung von DHCP entstehen jedoch auch einige Sicherheitsprobleme, mit denen Sie sich näher befassen müssen: 왘 Fällt DHCP aus, können die Netzwerkcomputer unter Umständen nicht
mehr betrieben werden. 왘 Befinden sich mehrere DHCP-Server im Netzwerk, werden eventuell
fehlerhafte IP-Adressen vergeben, was die Netzwerkkommunikation der Clients beeinträchtigt. 왘 DHCP vergibt IP-Adressen auch an Clients, die sich womöglich nicht im
lokalen LAN befinden. 왘 Die DHCP-Datenbank enthält detaillierte Informationen über Rechner-
namen und zugehörige IP-Adressen sowie über Diensteserver im Netzwerk. Mit Ausnahme des ersten Punkts fallen alle anderen Probleme in den Bereich des Sicherheits-Managements. Der Schutz vor einem Ausfall des DHCP gehört hingegen zum Verfügbarkeits-Management, das durch den gezielten Betrieb mehrerer DHCP-Server und die Sicherung der DHCPDatenbanken für eine entsprechende Recovery sorgen muss.
11.3.1
Vermeidung unautorisierter DHCP-Server
Ein Sicherheitsproblem, das auch die Verfügbarkeit beeinträchtigen kann, ist die bewusste oder unbewusste Integration zusätzlicher DHCP-Server im Netzwerk. Unter Windows NT führt dies noch dazu, dass ein Client bei einer IP-Anfrage in das Netzwerk eine Adresse von dem DHCP-Server zugeordnet bekommt, der schneller antwortet. Seit Windows 2000 verfügt DHCP über eine Vielzahl an neuen Features, zu denen auch die Autorisierung von DHCP-Servern gehört. Die Autorisierung funktioniert leider nur, wenn der DHCP-Server Mitglied der Domäne ist und erfordert zudem Windows 2000 oder neuere Server-Versionen als Plattform. Dennoch ist der Grundgedanke sehr effektiv und stellt sicher, dass IP-Adressen nur von bestimmten DHCP-Servern vergeben werden können.
406
Sicherung des DHCP-Dienstes
Ein solches Sicherheitsmerkmal ist nicht so sehr wegen der Auswirkung auf die Clients wertvoll, sondern eher für den Schutz der Server. Durch einen möglicherweise bewusst ins Netzwerk integrierten fehlerhaften DHCP-Server könnten sonst IP-Adressen an Ressourcenserver vergeben werden, die nicht aus dem eigentlichen Netzwerk stammen. Der Server erhält dann möglicherweise eine angreifbare IP-Adresse. Für die Vermeidung von unautorisierten DHCP-Servern nutzt Windows dabei das Active Directory. Nur DHCP-Server, die im Active Directory als autorisiert gespeichert sind, können auch IP-Adressen an andere Clients vergeben. Zu diesem Zweck sendet ein DHCP-Server beim Start des DHCPDiensts ein DHCPINFORM-Signal in das Netzwerk, das durch einen Domänencontroller bestätigt werden muss. Wird die Anfrage dabei negativ beantwortet, stellt der DHCP-Dienst automatisch alle Tätigkeiten ein und vergibt keine IP-Adressen. Wird die Anfrage hingegen vom Domänencontroller bestätigt, kann der DHCP-Server ab sofort IP-Adressen an Clients im Netzwerk vergeben. Die Autorisierung eines DHCP-Servers erfordert dabei nur wenige Schritte, die wir Ihnen an dieser Stelle kurz vorstellen wollen: 1. Im ersten Schritt starten Sie die Management-Console für den DHCPServer. Diese können Sie entweder direkt am DHCP-Server starten oder aber auf einem Client, auf dem die administrativen Tools (ADMINPAK.MSI) installiert wurden. 2. Sofern Sie noch keinen Bereich für die IP-Adressvergabe festgelegt haben, sollten Sie dies im nächsten Schritt durchführen. Dazu klicken Sie mit der rechten Maustaste auf den Namen des Servers selbst und wählen im angezeigten Kontextmenü die Option Neuer Bereich. Folgen Sie dann den Vorgaben des angezeigten Assistenten, um einen Vergabebereich zu erzeugen. 3. Ist der Bereich definiert, sollten Sie den DHCP-Server autorisieren. Dazu klicken Sie mit der rechten Maustaste direkt auf den Eintrag DHCP im linken Fensterbereich der Management-Console. Im so angezeigten Kontextmenü wählen Sie die Option Autorisierte Server verwalten. 4. Es folgt ein Dialogfenster, in dem Sie alle derzeit autorisierten DHCPServer angezeigt bekommen. Standardmäßig sollte hier noch kein DHCP-Server eingetragen sein. Microsoft weist darauf hin, dass DHCPServer, die auf Domänencontrollern betrieben werden, automatisch autorisiert sind. Vertrauen ist gut, Kontrolle besser: nehmen Sie auch alle DHCP-Server auf Domänencontrollern in diese Liste auf, sofern sie nicht bereits eingetragen sind. 5. Klicken Sie auf Autorisieren, um einen DHCP-Server hinzuzufügen. Sie müssen nun die IP-Adresse oder den Namen des Servers angeben. Den Namen können Sie jedoch nur verwenden, wenn der DHCP-Server mit einem entsprechenden Eintrag bereits am DNS-Server angemeldet ist
407
11 Sicherheit der verschiedenen Netzwerkdienste
und somit in eine IP-Adresse aufgelöst werden kann. Sofern Sie einen DNS-Server ab Windows 2000 aufwärts verwenden, sollte der Eintrag dank Dynamic DNS automatisch enthalten sein. 6. Das System bietet Ihnen dann noch einmal eine Übersicht über den Server an, bei dem Namen und IP-Adresse gegenübergestellt werden. Sind Sie mit den Angaben einverstanden, klicken Sie auf OK, um den Server endgültig zu autorisieren. Abbildung 11.7: Bestätigen Sie die Autorisierung des angegebenen DHCP-Servers
7. Zurück in der Übersicht über die autorisierten Server sollte Ihnen der Server nun gelistet werden. Eventuell kann dazu auch noch ein Klick auf die Aktualisieren-Schaltfläche notwendig sein. Beachten Sie, dass für die volle Betriebsfähigkeit nun noch eine vollständige Replikation aller Domänencontroller in der Domäne stattfinden muss. Nur wenn alle Domänencontroller die Information über den neuen DHCP-Server erhalten haben, kann der DHCP-Server in Funktion treten. Sofern Sie keine Standorte in Ihrem Active Directory-Design verwenden, ist die Aktualisierung nach spätestens 15 Minuten abgeschlossen. Abbildung 11.8: Die Liste der autorisierten DHCP-Server
8. Schließen Sie das Fenster für die Autorisierung durch einen Klick auf OK. Es ist eine Eigenschaft der DHCP-Konsole, dass sie den Erfolg der Operation nicht sofort anzeigt. Markieren Sie zur Sicherheit noch einmal den Server in der Management-Console und drücken Sie die Funktionstaste
408
Sicherung des DHCP-Dienstes
(F5). In der so aktualisierten Ansicht sollte der Server auf der linken Seite
nunmehr mit einem grünen nach oben zeigenden Pfeil versehen sein. Ist dies der Fall, ist der DHCP-Server in Betrieb und kann ab sofort IPAdressen vergeben. In manchen Fällen kann es aber auch notwendig sein, die DHCP-Konsole noch einmal neu zu öffnen.. Abbildung 11.9: Der Server ist in Betrieb
11.3.2
Vermeidung der IP-Vergabe an unautorisierte Clients
Ein deutlich komplizierteres Thema in Bezug auf Sicherheit im Netzwerk ist die Vergabe von IP-Adressen an nicht autorisierte Clients. DHCP ist im Grunde genommen ein ziemlich dämlicher Dienst, der mit jedem schwätzt, also auch Clients mit IP-Adressen ausstattet, die eigentlich gar keine erhalten sollen. Die Gefahr ist umso größer, da DHCP ja auch dazu verwendet wird, Konfigurationsinformationen zu übertragen. Ein Client, der eine IPAdresse von einem DHCP-Server erhält, besitzt in der Regel auch die Informationen über den Standard-Gateway, den DNS-Server, den Domänennamen und den WINS-Server (sofern benötigt). Dadurch wird ein großer Teil der Netzwerkinfrastruktur an Clients offen gelegt, die unter Umständen gar nicht zum Unternehmen gehören. Die Frage ist: »Wie kann man einen »dummen« Serverdienst intelligent machen?« Dies gelingt in der aktuellen RFC-konformen Version des DHCPServers nur in zwei Schritten. Im ersten Schritt müssen Sie Ihr Netzwerk segmentieren. Dazu platzieren Sie im besten Fall das Client-Netzwerk in ein Segment, das für unbekannte Computer nicht zugänglich ist. Zusätzlich
409
11 Sicherheit der verschiedenen Netzwerkdienste
definieren Sie ein Netzwerksegment, das für fremde PCs zugänglich ist. Für beide Segmente platzieren Sie jeweils einen DHCP-Server im Segment, der IP-Adressen im Segment vergibt. Den DHCP-Server für die internen Clients können Sie dabei so konfigurieren, wie normalerweise üblich, bei dem DHCP-Server für das öffentliche Netzwerk sind hingegen einige Aktivitäten notwendig, die wir in der folgenden Anleitung beschreiben. Prinzipiell können Sie die beschriebene Lösung auch für ein ganzes Netzwerk praktizieren, sie ist jedoch sehr verwaltungsaufwendig. Für ein Netzwerk mit hohem Sicherheitsaufwand allerdings sollten Sie die vorgeschlagene Lösung durchaus in Betracht ziehen. 1. Legen Sie einen neuen Bereich an, aus dem IP-Adressen vergeben werden. Achten Sie darauf, dass der DHCP-Server nur IP-Adressen aus diesem Bereich vergibt, also nur dieser Bereich auf dem DHCP-Server angelegt wird. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie die Option Neuer Bereich. 2. Im folgenden Assistenten geben Sie zuerst einmal den gesamten Bereich eines Teilnetzes als IP-Bereich frei. Es macht an dieser Stelle keinen Sinn, die zu vergebenden Adressen bereits hier zu beschränken, da dann später bei Veränderungen immer der zu vergebende Bereich betroffen wäre. Abbildung 11.10: Definieren Sie den gesamten Bereich, aus dem IP-Adressen vergeben werden können
3. Nun allerdings folgt ein sehr wichtiger Bereich, denn im folgenden Fenster des Assistenten werden die gesperrten IP-Adressen angegeben. Dabei sollten Sie nur so viele Adressen freigeben, die zum aktuellen Zeitpunkt durch Rechner fest belegt werden können. Wenn das betreffende Netzwerksegment derzeit nur 50 Clients besitzt, sperren sie so viele Adressen, dass nur exakt diese 50 Clients mit IP-Adressen versorgt werden können.
410
Sicherung des DHCP-Dienstes Abbildung 11.11: Schließen Sie den größeren Bereich aus, um nur einen geringen Teil zu vergeben
4. Das nächste Fenster befragt Sie nach der Lease-Dauer für eine IPAdresse. Hiermit legen Sie fest, nach welcher Zeit ein Client neu mit dem DHCP-Server über eine Adresse verhandelt. Je höher die Lease-Dauer, desto seltener wechselt ein Client seine IP-Adresse. Prinzipiell könnte man die Lease-Dauer sehr hoch festlegen, z.B. auf 999 Tage, dann würde kein Client seine IP-Adresse vor Ablauf von etwa eineinhalb Jahren wieder freigeben. Dies löst jedoch unser Problem nicht, daher belassen wir die Einstellungen auf der Standardvorgabe von acht Tagen. 5. Konfigurieren Sie dann die DHCP-Bereichsoptionen, in denen Sie mit der IP-Adresse auch zugleich die Adresse eines Standards-Gateways, eines DNS-Servers und anderer Serverinformationen angeben. Beantworten Sie abschließend die Abfrage nach der automatischen Aktivierung des Bereichs mit Nein, da wir noch weitere Einstellungen für den Bereich vornehmen wollen. Beenden Sie schließlich den Assistenten für den neuen Bereich. 6. In der linken Hälfte der Management-Console bekommen Sie jetzt den neuen Bereich angezeigt. Klicken Sie auf das vorangestellte Pluszeichen, um zu den speziellen Eigenschaften des Bereichs zu gelangen. Im Fenster sollten Sie dann unter anderem den Ordner Reservierungen angezeigt bekommen. Klicken Sie mit der rechten Maustaste auf diesen Ordner und wählen Sie die Funktion Neue Reservierung. 7. Im folgenden Dialogfenster müssen Sie im Feld Reservierungsname einen Namen für den betreffenden Computer angeben, der von uns eine feste IP per DHCP zugewiesen bekommen soll. Dies sollte der Einfachheit halber dem tatsächlichen Computernamen entsprechen. Legen Sie dann im
411
11 Sicherheit der verschiedenen Netzwerkdienste
Feld IP-Adresse die IP-Adresse fest, die vergeben werden soll. Über das Feld MAC-Adresse folgt anschließend die Bindung der IP-Adresse an die physikalische Adresse der jeweiligen Netzwerkkarte. Dies bedeutet, dass nur der Client, der die mit einer hexadezimalen Kennung angegebene Netzwerkkarte besitzt (lässt sich mit IPCONFIG /ALL abrufen), erhält die festgelegte IP-Adresse. Wenn Sie möchten, können Sie die Daten durch eine Beschreibung ergänzen, als Vergabetyp sollten Sie die Vorgabe Beide übernehmen. Klicken Sie auf Hinzufügen, um die Reservierung der Adresse für den Client vorzunehmen. Abbildung 11.12: Beginnen Sie mit der Vergabe von Reservierungen
Abbildung 11.13: Die Reservierung erfolgt durch die Angabe der MAC-Adresse
412
Sicherung des DHCP-Dienstes
8. Wiederholen Sie die Schritte für jede Arbeitsstation, bis die Anzahl der zu reservierenden IP-Adressen exakt der Anzahl der zu vergebenden Adressen entspricht. Auf diese Weise stellen Sie sicher, dass nur für die angemeldeten Computer auch tatsächlich IP-Adressen vergeben werden. Andere Computer können sich nun zwar in das Netzwerksegment integrieren, erhalten aber keine IP-Adresse und setzen sich somit auf die Adresse 0.0.0.0 oder 169.254.x.y zurück. Eine Ausstattung der Computer mit tatsächlichen Daten des Netzwerks wird so vermieden. Wenn Sie die Anzahl der zu vergebenden Adressen nachträglich heraufoder herabsetzen wollen, müssen Sie den ausgeschlossenen Adressbereich nachträglich manipulieren. Dazu deaktivieren Sie zuerst einmal den Bereich, um versehentliche Vergaben zu verhindern. Sie stellen dies sicher, indem Sie mit der rechten Maustaste auf den Bereich klicken und dann im Kontextmenü die Option Deaktivieren auswählen. Die folgende Sicherheitsabfrage beantworten Sie mit Ja. Wechseln Sie danach in den Ordner Adresspool und löschen Sie den bislang definierten Adressausschluss. Klicken Sie danach mit der rechten Maustaste auf den Ordner Adresspool und wählen Sie den Befehl Neuer ausgeschlossener Bereich. Legen Sie im folgenden Dialogfenster den Beginn und das Ende des ausgeschlossenen Bereichs fest. Definieren Sie dann alle Adressen, die hinzugefügt werden sollen. Wollen Sie den gesperrten Bereich vergrößern, sollten Sie noch vor der Anpassung alle überflüssigen Reservierungen entfernt haben. Aktivieren Sie abschließend den Bereich, um die Vergabe wieder zu erlauben. Abbildung 11.14: Durch die Reservierungen verhindern Sie eine freie Vergabe
413
11 Sicherheit der verschiedenen Netzwerkdienste
11.3.3
Schutz der DHCP-Datenbank
Ein weiterer sicherheitskritischer Punkt ist die DHCP-Datenbank selbst. Der DHCP-Server speichert die Informationen zu allen Vergabebereichen und bereits erfolgten Leases im Verzeichnis %SYSTEMROOT%\SYSTEM32\ DHCP. Dort werden die Daten in der Datei DHCP.MDB abgelegt. Diese Datenbank ist vor Zugriffen jeglicher Art geschützt, solange der DHCP-Serverdienst gestartet ist, da der Dienst die Datenbankdatei im exklusiven Zugriff hält. Während einer Systemwartung, in der möglicherweise der DHCP-Dienst beendet wurde, ist die Datei hingegen nicht mehr geschützt, sie kann prinzipiell kopiert werden. Damit nicht durch einen dummen Zufall Anwender in den Besitz der Datei kommen können, sollten Sie in jedem Fall die Freigabe- und NTFS-Berechtigungen für den Zugriff auf das Systemverzeichnis kontrollieren. Die NTFSBerechtigungen sind für das DHCP-Verzeichnis recht lax festgelegt, da Microsoft davon ausgeht, dass sich außer den Administratoren keine Anwender mit den Windows-Systemverzeichnissen verbinden können. Sollte die ab Installation vorgegebene Sicherheit aber irgendwann gelockert worden sein, besteht dieser Anspruch nicht mehr. In einem solchen Fall sollten Sie die NTFSBerechtigungen des DHCP-Verzeichnisses ein wenig anpassen. Abbildung 11.15: Entfernen Sie die Gruppe der authentifizierten Benutzer aus dem Kreis der Zugriffsberechtigten
Standardmäßig besitzt hier nämlich die Gruppe Authentifizierte Benutzer das Leserecht. Dieses Recht würde per se natürlich ausreichen, um eine Kopie anzufertigen. Um dies zu verhindern, sollten Sie die Gruppe Authentifizierte
414
Sicherung des DHCP-Dienstes
Benutzer aus der Liste der zulässigen Gruppen entfernen. Der Schritt hat für die Vergabe von IP-Adressen keinerlei Auswirkung, da diese ja weit vor der Anmeldung von Benutzern direkt an den Computer vergeben werden. Sie verhindern folglich lediglich den Zugriff auf das genannte Verzeichnis, der nun nur noch den Administratoren und Server-Operatoren offen steht.
11.3.4
DHCP-Antworten auf Netzwerksegmente binden
Wenn Sie einen DHCP-Server in einem mehrfach gerouteten Netzwerk betreiben oder aber den DHCP-Server auf einer öffentlichen Schnittstelle betreiben, sollte in keinem Fall die Situation eintreten, dass ein DHCP-Server IP’s an eine öffentliche Schnittstelle vergibt, ohne dass dies durch einen entsprechenden RAS-Mechanismus gesichert wurde. Durch die Bindung des DHCP-Dienstes an einzelne Netzwerkkarten kann dieser Effekt vermieden werden. Abbildung 11.16: Über die Schaltfläche »Bindungen« steuern Sie die Vergabe von IPAdressen an Netzwerksegmente
Möchten Sie die Vergabe der IP-Adressen auf eine spezielle Netzwerkkarte und damit auf ein spezielles Segment beschränken, klicken Sie in der DHCPManagement-Console mit der rechten Maustaste auf den Servernamen im linken Fenster. Wählen Sie im darauf angezeigten Kontextmenü den Befehl Eigenschaften. Im so geöffneten Dialogfenster wechseln Sie jetzt auf die Registerkarte Erweitert und klicken dort auf die Schaltfläche Bindungen. Im
415
11 Sicherheit der verschiedenen Netzwerkdienste
folgenden Dialogfenster bekommen Sie die IP-Adressen aller Netzwerkschnittstellen des DHCP-Servers angezeigt. Wenn Sie die Vergabe auf einzelne Segmente beschränken wollen, stellen Sie sicher, dass nur diesen Schnittstellen ein Haken vorangestellt ist. Die Vergabe von IP-Adressen über den DHCP-Server erfolgt dann ausschließlich auf den so markierten Schnittstellen. Ein Klick auf OK übernimmt die Einstellungen, die ab sofort gelten. Nichtsdestotrotz ist ein Neustart des DHCP-Servers in jedem Fall nach derartigen Konfigurationsänderungen empfehlenswert, da so die neue Vergabe sichergestellt wird.
11.4 Sicherung des DNS-Dienstes Bis zur Einführung von Windows 2000 galt dem DNS-Server in der Windows-Welt nur sehr geringe Aufmerksamkeit. Zwar wurden fast alle großen Netzwerke der Welt mit einer DNS-basierten Namensauflösung betrieben, doch unter Windows sonnte man sich auf der NetBIOS-Insel. Mit der Umsetzung beliebig skalierbarer Netzwerke kam auch die Umorientierung, seit Windows 2000 ist der DNS-Service einer der wichtigsten Dienste für die Funktionalität der gesamten Windows-Domäne. Mit der neuen Bedeutung entstanden aber logischerweise auch eine ganze Reihe von Sicherheitsanforderungen und Sicherheitsproblemen. Nicht, dass die neuen Sicherheitsanforderungen jemals unter NetBIOS hätten umgesetzt werden können, doch mit neuen Systemen wachsen eben auch die Ansprüche. Der Kernpunkt ist, dass DNS im Grunde genommen alle Computer der lokalen Netzwerkstruktur kennt und darüber hinaus auch gleich noch alle Domänencontroller und speziellen Server entsprechend kennzeichnet. Wer Zugriff auf die DNS-Datenbank besitzt, dem liegt auch die Netzwerkinfrastruktur der gesamten Domäne offen. Da die Namen in Rahmen von Benutzersitzungen aufgelöst werden müssen, können Sie nicht verhindern, dass Mitarbeiter Ihrer Firma entsprechende Informationen abfragen, für die breite Abfrage von Datenbankdaten hingegen haben Sie Beschränkungsmöglichkeiten. Das Gleiche gilt für den Zugriff von außen. Für die Absicherung des DNS-Servers gegen einen Missbrauch durch potentielle Angreifer ist breite Vorkehrung getroffen. Ein weiterer wichtiger Punkt des Schutzes ist das Verhindern der Registrierung unautorisierter Server und Clients. Eine beliebte Technik zur Erlangung von Daten ist das so genannte IP-Spoofing. Dabei gibt ein Rechner vor, ein anderer Rechner zu sein, der möglicherweise gerade offline ist. Ahnungslose Anwender übertragen dann unter Umständen Daten auf diesen Server, was unbedingt verhindert werden sollte. Auch in Bezug auf Anmeldeserver gilt ein sehr ähnliches Verhalten. Prinzipiell könnte man einen unautorisierten Anmeldeserver im LAN platzieren und im DNS als Anmeldeserver eintragen. Clients würden dann Benutzerkonten und Kennwörter an diesen Server übertragen, die durch spezielle Verhandlungstechniken relativ ungeschützt übermittelt werden. Gleiches gilt natürlich auch
416
Sicherung des DNS-Dienstes
für Clients. Ein System, das sich automatisch beim DNS-Server registriert und somit Mitglied des Netzwerks ist, wird von anderen Anwendern als offizieller Client oder auch Memberserver angesehen, und stellt so ebenfalls ein Sicherheitsrisiko dar. Als eines von ganz wenigen Systemen stellt Windows-DNS hierfür einen speziellen Mechanismus bereit, der solche unautorisierten Registrierungen von vornherein vermeidet.
11.4.1
DNS-Server absichern
Ein DNS-Server befindet sich üblicherweise in einer skalierten und verteilten Umgebung. Es existiert in einem Netzwerk einer Firma selten nur ein einzelner DNS-Server. In einer verteilten Umgebung mit einer Vielzahl von Standorten würde sonst der gesamte DNS-Abfrageverkehr über WANVerbindungen auf den zentralen DNS-Server laufen. Da unter Windows eine Vielzahl von DNS-Abfragen passieren, wäre die WAN-Verbindung sehr stark belastet, daher wird man die Abfragen lokal abfangen. Um dies jedoch zu ermöglichen, muss der zentrale DNS-Server seine Informationen an andere DNS-Server weitergeben. In der Praxis wird dies durch die Technologie der primären und sekundären Zonen gewährleistet. Die primäre Zone ist die Masterzone, in der alle Veränderungen an einer DNS-Datenbank vorgenommen werden. Die sekundäre Zone ist eine schreibgeschützte Kopie der primären Zone. DNS-Server, die die sekundäre Zone halten, können Anfragen beantworten, aber selbst keine Veränderungen eintragen. Die sekundäre Zone kann jedoch nachträglich in eine primäre Zone umgewandelt werden und bietet somit sogar Redundanz. Die ganze Logik ist dabei kein Voodoo, das Verfahren hat Microsoft beispielsweise bereits unter NT 4 beim Verhältnis PDC zu BDC verwendet. Bei den Zonen handelt es sich um schlichte ASCII-Textdateien, die entweder schreibgeschützt behandelt werden oder nicht. Die primäre Zone wird regelmäßig an alle DNS-Server übertragen, die die sekundäre Zone halten. Je nach DNS-Server werden dabei die gesamte Textdatei oder aber nur die Veränderungen übertragen. Aus der Übertragung heraus entsteht nun aber auch die Sicherheitslücke, die es mit erster Priorität zu schließen gilt. Prinzipiell erlaubt es ein DNS-Server nämlich beliebigen DNS-Servern, eine sekundäre Zone zu halten. Ein potentieller Angreifer müsste also lediglich einen sekundären Server installieren, um an die gesamte Zonendatenbank der Domäne heranzukommen. Da DNS-Server, im Gegensatz zu DHCP, nicht autorisiert werden müssen, geschieht dies zudem, ohne dass groß Aufmerksamkeit erregt wird. Um eine unautorisierte Replikation einer sekundären Zone zu verhindern, gehen Sie wie in den folgenden Schritten beschrieben vor. 1. Klicken Sie in der DNS-Management-Console mit der rechten Maustaste auf die Zone, die Sie gegen unerlaubte Replikation absichern wollen. Wählen Sie im angezeigten Kontextmenü den Befehl Eigenschaften, um die Einstellungen der Zone zu bearbeiten.
417
11 Sicherheit der verschiedenen Netzwerkdienste
2. Wechseln Sie im angezeigten Dialogfenster zuerst auf die Registerkarte Namenserver, um die dort vorliegenden Einträge zu kontrollieren. In der hier angezeigten Liste sollten alle Namensserver eingetragen werden, die zu Ihrem Unternehmen gehören. Einträge, die nicht der aktuellen Infrastruktur entsprechen, sollten hingegen entfernt werden. Durch einen Klick auf Hinzufügen können Sie weitere DNS-Server angeben, ein Klick auf Entfernen löscht hingegen überflüssige Einträge. Abbildung 11.17: Geben Sie alle zulässigen Namensserver an
3. Wechseln Sie dann auf die Registerkarte Zonenübertragungen. An dieser Stelle definieren Sie, an welche Server die primäre Zone weitergegeben wird, wenn diese es anfordern. Standardmäßig ist der Windows-DNSServer hier auf die Option An jeden Server geschaltet. Dies gewährleistet während der Aufbauphase einer Domäne sicherlich den höchsten Komfort, stellt aber gleichermaßen eine Sicherheitslücke dar, da jeder beliebige DNS-Server sich eine Kopie der Zone ziehen kann. 4. Setzen Sie anstelle der Standardvorgabe besser die Option Nur an Server, die in der Registerkarte »Namensserver« aufgeführt sind. Durch diese Einstellung werden die Zonendaten nur an DNS-Server übermittelt, die Sie auf der Registerkarte Namenserver angegeben haben. Anfragen anderer DNSServer werden dann nicht mehr beantwortet.
418
Sicherung des DNS-Dienstes
5. Eine noch effektivere Einstellung ist die Option Nur an folgende Server. Ist die Option aktiviert, müssen Sie die IP-Adressen der Server angeben, an die Sie die Zonendatenbank übermitteln wollen. Dies stellt prinzipiell die sicherste Methode dar, sorgt zugleich aber für den höchsten Verwaltungsaufwand, da Sie jede Veränderung der DNS-Infrastruktur manuell korrigieren müssen. Abbildung 11.18: Definieren Sie die DNS-Server, die sekundäre Zonen beziehen dürfen
6. Bestätigen Sie die getroffenen Einstellungen mit OK. Beachten Sie, dass Sie die Einstellungen für JEDE primäre Zone, also beispielsweise auch die Reverse-Lookupzone, durchführen müssen. Wenn Sie in Ihrer Domäne ausschließlich Windows-basierte DNS-Server einsetzen, steht Ihnen eine zusätzliche Methode zur Unterbindung von unerwünschten Replikationsanfragen zur Verfügung. Da Windows-Server untereinander anders kommunizieren als UNIX-BIND-Server, können Sie den Support für UNIX-BIND-Namensserver auch abschalten. Damit verhindern Sie den Datenaustausch mit UNIX-basierten DNS-Servern. Leider gilt dieser Kniff nur für ältere BIND-Server, ab Version 4.9.4 unterstützen auch die UNIX-DNS-Server die komprimierte Kommunikation der Windows-Server. Wenn Sie die Option einsetzen wollen, klicken Sie in der DNS-Konsole mit der rechten Maustaste direkt auf den Server und wählen im angezeigten Kontextmenü die Option Eigenschaften. Wechseln Sie im angezeigten Dialogfenster auf die Registerkarte Erweitert und deaktivieren Sie die Option
419
11 Sicherheit der verschiedenen Netzwerkdienste
Sekundäre Zonen auf BIND-Servern. Bestätigen Sie die Korrektur mit OK, ab sofort können ältere BIND-Versionen nicht mehr mit dem Windows-DNSServer kommunizieren. Abbildung 11.19: Deaktivieren Sie die Unterstützung älterer BIND-Versionen
11.4.2
DNS-Server gegen unautorisierte Registrierungen absichern
Ein weiteres Problem in Bezug auf die Sicherheit eines DNS-Servers ist die Absicherung gegenüber unautorisierten Registrierungen. Gelingt es einem potentiellen Angreifer, seinen Computer beim DNS-Server des Netzwerks zu registrieren, werden viele Funktionen im Netzwerk automatisch auch für diesen Computer bereitgestellt. Schlimmer noch, ein Angreifer könnte durch gezielte Manipulation des DNS-Servers einen Servercomputer simulieren und so Daten und Authentifizierungsverkehr abfangen. Um derartige Probleme zu verhindern, verfügt der DNS-Server von Windows über einen speziellen Abgleich mit dem Active Directory. Nur wenn ein Computer im Active Directory ein gültiges Computerkonto besitzt, ist eine Registrierung des Computers möglich. Die Bedingungen für diese spezielle Sicherheit liegen auf der Hand, Sie benötigen eine Windows-Domäne mit Active Directory, zudem muss der DNS-Server selbst ein Domänencontroller sein, da die Funktionalität nur bei einer Active Directory-integrierten Zone zur Verfügung steht.
420
Sicherung des DNS-Dienstes
Um die entsprechende Absicherung einzuschalten, gehen Sie vor, wie in den folgenden Schritten beschrieben. 1. Im ersten Schritt sollten Sie die Zonen Ihres DNS-Servers in Active Directory-integrierte Zonen umwandeln, sofern dies noch nicht geschehen ist. Starten Sie zu diesem Zweck die DNS-Management-Console und klicken Sie in der linken Fensterhälfte mit der rechten Maustaste auf den jeweiligen Namen der Zone. Wählen Sie im Kontextmenü die Funktion Eigenschaften, um die Attribute der Zone zu bearbeiten. 2. Im nun geöffneten Dialogfenster wechseln Sie auf die Registerkarte Allgemein. Hier wird Ihnen in der oberen Hälfte der aktuelle Typ der gewählten Zone angezeigt. Finden Sie hier bereits eine Active Directoryintegrierte Zone vor, können Sie die folgenden Schritte übergehen. Ist als Typ hingegen eine primäre Zone angegeben, klicken Sie auf die korrespondierende Ändern-Schaltfläche und erzeugen Sie eine Active Directory-integrierte Zone. Unter Windows 2000 wird Ihnen dieser Typ als eigene Zone angeboten, unter .NET ergänzen Sie die Angabe Primäre Zone um die Option Die Zone im Active Directory speichern. Übernehmen Sie die Einstellung mit OK. Abbildung 11.20: Erzeugen Sie eine Active Directoryintegrierte Zone
3. Zurück auf der Registerkarte Allgemein sollte Ihnen nun die Active Directory-integrierte Zone als Typ angezeigt werden. Um die Sicherheitsfunktion einzuschalten, öffnen Sie auf der gleichen Registerkarte das Listenfeld Dynamische Updates zulassen. Häufig ist diese Option auf Ja gestellt, dies lässt die Registrierung beliebiger Clients ohne vorherige Sicherheitsüberprüfung zu. Würden Sie stattdessen die Option Nein einschalten, würde Dynamic DNS für diese Zone abgeschaltet, dann könnte sich überhaupt kein Client mehr selbstständig in der Zonendatenbank registrieren. Die optimale Einstellung ist folglich die Option Nur gesicherte Aktualisierungen. Ist diese Option eingeschaltet, wird jeder Registrierungsversuch gegen das Active Directory authentifiziert. Nur wenn ein
421
11 Sicherheit der verschiedenen Netzwerkdienste
gültiges Konto vorliegt, kann ein Client seine Hosteinträge hinzufügen. Sobald Sie das Dialogfenster mit OK schließen, wird die Regel angewendet und gilt, bis Sie sie wieder aufheben. Abbildung 11.21: Schalten Sie die Authentifizierung der Hosteinträge ein
Probleme mit Domänencontrollern Wenn Sie Ihre Domäne noch aufbauen und neue Domänen in einer Gesamtstruktur erzeugen, kann es unter Umständen ratsam sein, für die Phase des Aufbaus die Dynamische Aktualisierung für alle Clients zuzulassen. In vielen Fällen konnten sonst Domänencontroller ihre SRV-Statements und die entsprechenden Subdomains nicht in den DNS schreiben, was zumeist zu einer Verzögerung der Inbetriebnahme führte.
11.4.3
Weitere Schutzmechanismen
Neben den beschriebenen Mechanismen gibt es für den DNS-Dienst noch eine Reihe weiterer Mechanismen, die dabei helfen, die DNS-Informationen zu sichern. So können Sie beispielsweise verhindern, dass Anwender die DNS-Datenbank mithilfe des Kommandozeilen-Tools NSLOOKUP auswerten. Prinzipiell können Sie sich die Hostinformationen Ihrer Domäne mithilfe des folgenden Befehlsstrings anzeigen lassen. Zuerst starten Sie NSLOOKUP an der Kommendozeile.
422
Sicherung des DNS-Dienstes
D:\>nslookup Standardserver: ewsrvhubs007.eiwei.de Address: 192.168.11.7 >
Geben Sie anschließend den Befehl zur Auflistung aller DNS-Daten der Domäne ein. Sie erhalten dann eine umfassende Ausgabe aller Daten. > ls -d eiweisecure.de [[192.168.11.100]] eiweisecure.de. SOA whistlehubs.eiweisecure.de hostmaster.eiweisecure.de. (21 900 600 86400 3600) eiweisecure.de. A 192.168.11.100 eiweisecure.de. NS whistlehubs.eiweisecure.de b6eb490a-31e8-4fa0-8fa8-402d11ef28e0._msdcs CNAME whistlehubs.eiweisecure.de _kerberos._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs SRV priority=0, weight=100, port=88, whistlehubs.eiweisecure.de _ldap._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs SRV priority=0, weight=100, port=389, whistlehubs.eiweisecure.de _kerberos._tcp.dc._msdcs SRV priority=0, weight=100, port=88, whistlehubs.eiweisecure.de _ldap._tcp.dc._msdcs SRV priority=0, weight=100, port=389, whistlehubs.eiweisecure.de _ldap._tcp.ae7bc676-ced1-4726-9432-b082bd909d16.domains._msdcs SRV priority=0, weight=100, port=389, whistlehubs.eiweisecure.de gc._msdcs A 192.168.11.100 _ldap._tcp.Standardname-des-ersten-Standorts._sites.gc._msdcs SRV priority=0, weight=100, port=3268, whistlehubs.eiweisecure.de _ldap._tcp.gc._msdcs SRV priority=0, weight=100, port=3268, whistlehubs.eiweisecure.de _ldap._tcp.pdc._msdcs SRV priority=0, weight=100, port=389, whistlehubs.eiweisecure.de _gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, whistlehubs.eiweisecure.de _kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, whistlehubs.eiweisecure.de _ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, whistlehubs.eiweisecure.de _gc._tcp SRV priority=0, weight=100, port=3268, whistlehubs.eiweisecure.de _kerberos._tcp SRV priority=0, weight=100, port=88, whistlehubs.eiweisecure.de _kpasswd._tcp SRV priority=0, weight=100, port=464, whistlehubs.eiweisecure.de
423
11 Sicherheit der verschiedenen Netzwerkdienste
_ldap._tcp SRV port=389, whistlehubs.eiweisecure.de _kerberos._udp SRV port=88, whistlehubs.eiweisecure.de _kpasswd._udp SRV port=464, whistlehubs.eiweisecure.de whistlehubs A eiweisecure.de. SOA hostmaster.eiweisecure.de. (21 900 600 >
priority=0, weight=100, priority=0, weight=100, priority=0, weight=100, 192.168.11.100 whistlehubs.eiweisecure.de 86400 3600)
Verlassen Sie NSLOOKUP durch die Eingabe von EXIT am Prompt des Programms. Sie sehen anhand der Beispieldomäne, wie einfach es ist, mit NSLOOKUP, das speziell für die Fehlersuche ausgelegt ist, Informationen über die DNSDomäne auszuwerten. Leider kann man die Abfragen durch NSLOOKUP nur begrenzt verhindern. Würden Sie beispielsweise den Port von NSLOOKUP sperren, könnte überhaupt keine DNS-Abfrage mehr ausgeführt werden, da NSLOOKUP den gleichen Port verwendet, wie es auch die DNS-Clients tun. Ziel ist es also, NSLOOKUP gezielt zum Schweigen zu bringen. In Ihrer Domäne können Sie dies mithilfe von Gruppenrichtlinien erreichen. Wenn Sie beispielsweise den Zugriff auf die Ausführen-Funktion des Start-Menüs und den Zugriff auf die Kommandozeile sperren, kann das Programm nicht mehr aufgerufen werden. Kniffliger ist das Sperren für Zugriffe von außen, da hier keine Gruppenrichtlinien angewendet werden können. Anstelle NSLOOKUP zu sperren, verhindern wir daher einfacher alle DNS-Anfragen aus einem fremden Netzwerk, indem wir die vorgeschaltete Firewall anweisen, keine DNSAnfragen durchzulassen. Dazu müssen Sie den Zugriff für den TCP-Port 53 sperren, über den DNS-Abfragen eingeleitet werden. Wenn Sie einen DNS-Server zwischen zwei Netzwerken betreiben, er also eine Netzwerkkarte in mehreren Netzwerksegmenten besitzt, können Sie ebenfalls Sicherheitsvorkehrungen vornehmen. Sie müssen den DNS-Server dann anweisen, nur auf Anfragen aus erwünschten Netzwerken zu antworten. Dazu starten Sie die DNS-Management-Console und klicken mit der rechten Maustaste in der linken Fensterhälfte auf den Servernamen. Im geöffneten Kontextmenü wählen Sie die Option Eigenschaften. Wechseln Sie im nun angezeigten Dialogfenster auf die Registerkarte Schnittstellen. Standardmäßig ist hier die Option Alle IP-Adressen aktiv. Diese Option weist den DNS-Server an, alle DNS-Anfragen zu beantworten, gleichgültig, aus welchem Netzwerk sie kommen. Wollen Sie die Antworten des DNS-Servers auf einzelne Netzwerksegmente beschränken, sollten Sie stattdessen die Option Nur folgende Adressen aktivieren und dort die IP-Adressen der Netzwerkkarten angeben, auf denen der DNS-Server antworten soll. Die anderen Netzwerksegmente erhalten dann auf ihre Anfragen keine Antwort mehr.
424
Sicherung der Terminaldienste Abbildung 11.22: Beschränken Sie die Antworten eines Multihomed-DNS auf einzelne Segmente
11.5 Sicherung der Terminaldienste Eine weitere Möglichkeit, externen Anwendern oder Geschäftspartnern Zugriff auf einen Anwendungsserver zu geben, ist die Verwendung von Terminalserver-Clients und einem Terminal-Server. Der Terminalserver verschlüsselt die Daten zwischen Remote-Client und Server bei der Übertragung und bietet zudem die Möglichkeit, den Remote-Client auf die Ausführung bestimmter Anwendungen zu beschränken. Beim Einsatz von Terminal-Servern müssen Sie für die Konfiguration der DMZ folgende Überlegungen in Betracht ziehen: 왘 Der Terminal-Server steht in der DMZ, während der Anwendungsserver
wiederum geschützt hinter der zweiten Firewall im privaten Netzwerk steht. 왘 In der externen Firewall muss bei Verwendung des Microsoft-Terminal-
servers der TCP-Port 3389 freigeschaltet werden, damit das MS-WBTServer-Protokoll durch die Firewall gelangt. Dieses Protokoll überträgt die Bildschirminformationen vom Server zum Client und umgekehrt die Maus- und Tastaturaktionen zum Server. Wird Citrix-Metaframe eingesetzt muss hingegen der TCP-Port 1494 freigeschaltet werden.
425
11 Sicherheit der verschiedenen Netzwerkdienste 왘 Da der Terminalserver sich für die Anwenderauthentifizierung mit dem
Domänencontroller verbinden muss, sollten Sie in der internen Firewall eine Regel einfügen, die dem Terminalserver eine Verbindung zum internen DNS-Server über TCP- und UDP-Port 53 ermöglicht. Außerdem muss er sich mit einem Domänencontroller über jedes Protokoll verbinden können. Nach der Authentifizierung erlauben Sie den RemoteClients den Zugriff auf ausgewählte Netzwerkressourcen auf Basis der IP-Adresse des Terminalservers.
11.5.1
Verschlüsselung der Terminalserver-Daten
Da Sie bei der Verwendung von Terminal-Server keine tatsächlichen Daten übertragen, ist die Nutzung der Dienste von sich aus sehr sicher. Ein Kernfeature des von den Microsoft-Terminaldiensten verwendeten Übertragungsprotokolls Remote Desktop Protocol (RDP) ist, dass es nie den gesamten Inhalt eines angezeigten Fensters überträgt, sondern immer nur die aktuellen Veränderungen am Bildschirm. Dies ist nicht nur für die Übertragung über schwache Leitungen nützlich, sondern auch für die Absicherung der übertragenen Daten vor möglichen Mithörern. Ein potentieller Angreifer müsste für einen erfolgreichen Mitschnitt die gesamte Terminalsitzung mitschneiden und zudem den exakten Start der Sitzung erraten. Hinzu kommt, dass das RDP-Protokoll die übertragenen Daten in verschiedenen Stärken verschlüsseln kann, wodurch die Sicherheit der übertragenen Daten weiter verbessert wird. Um die Verschlüsselung und Sicherheit der Daten sicherzustellen, gehen Sie vor, wie im Folgenden beschrieben. 1. Melden Sie sich direkt auf dem Terminalserver an oder verwenden Sie eine entsprechende Verbindung mit dem Terminalserver-Client. Beachten Sie, dass Sie sich für die folgenden Aktivitäten als Administrator bzw. mit administrativen Berechtigungen anmelden müssen. 2. Wählen Sie im Start-Menü den Menüpunkt Programme/Verwaltung/Terminaldienstekonfiguration. In der folgenden Management-Console können Sie einige wesentliche Einstellungen für den Terminalserver verwalten, die für die Sicherheit der Datenübertragung wesentlich sind. Wählen Sie in der linken Fensterhälfte den Ordner Verbindungen und klicken Sie dann mit der rechten Maustaste auf den rechts angezeigten Eintrag RDPTcp. Wählen Sie im angezeigten Kontextmenü die Option Eigenschaften. 3. Wechseln Sie im angezeigten Dialogfenster auf die Registerkarte Allgemein. Hier finden Sie im Bereich Verschlüsselung das Listenfeld Verschlüsselungsgrad. Im Listenfeld haben Sie die Wahl zwischen den Verschlüsselungsstufen Niedrig, Mittel und Hoch. Alle drei Verschlüsselungsstärken verwenden die RSA-RC4-Verschlüsselungsmethode, der Unterschied liegt in der Länge des erzeugten Schlüssels und dem Schutz der Daten. Niedrig verschlüsselt nur die Daten, die an den Server versendet werden. Dabei wird bei Clients ab Windows 2000 ein 56-Bit-Schlüssel eingesetzt, bei älteren Clients verwendet der Server eine 40-Bit-Verschlüsselung. Die
426
Sicherung der Terminaldienste
Einstellung Mittel verschlüsselt sowohl den Verkehr vom Client zum Server als auch die Daten, die vom Server zum Client übertragen werden. Auch hier verwendet das System 56-Bit bei neueren Clients und 40 Bit bei älteren Windows-Versionen. Die Einstellung Hoch schließlich verwendet bei US-Versionen und bei Versionen mit High Encryption Pack eine Verschlüsselung von 128 Bit, geschützt werden beide Richtungen des Datenverkehrs. Abbildung 11.23: Schalten Sie die optimale Verschlüsselung für Ihre Verbindung ein
Beachten Sie, dass Sie auf sehr schwachen Verbindungen natürlich mit einer starken Verschlüsselung einen größeren Overhead auf der Datenverbindung erzeugen. Da mehr Anteile für die Verschlüsselung benötigt werden, steht für die reine Datenübertragung weniger Leitungsbandbreite zur Verfügung. Wenn Sie bei der Datenübertragung zu schlechte Ergebnisse erzielen, sollten Sie möglicherweise die Verschlüsselungsstärke um eine Stufe herabsetzen.
11.5.2
Sicherheitseinstellungen zur Absicherung von Terminalservern
Terminalserver sind üblicherweise durch die Windows-Authentifikation sehr gut geschützt. Jeder Anwender, der auf den Terminalserver zugreifen will, muss sich an dem Terminalserver selbst oder an der Domäne authentifizieren. Diese Authentifikation ist per se ja recht sicher, dennoch können Sie einige Vorkehrungen zum Schutz des Terminalservers treffen, die den Missbrauch ausschließen.
427
11 Sicherheit der verschiedenen Netzwerkdienste
Ein Schutz ist es, keine Terminalsitzung für den Administrator bzw. für Administratorkonten zu erlauben. Dies ist natürlich nur eine gute Idee, wenn es für den Server eine entsprechende Konsolen-Anmeldung gibt. Alternativ beherrscht Windows ja die so genannte Sekundäranmeldung, bei der ein Anwender nachträglich in einer Arbeitssitzung die Identität des Administrators annehmen kann. Durch die Abschaltung des Administratorkontos für Remote-Verbindungen ist der Server vor Angriffen und Missbrauch besser geschützt, da ja nur administrative Konten ernsthafte Schäden anrichten können. Um den Administrator explizit zu sperren, verwenden Sie das Tool Active Directory-Benutzer und-Computer. Wechseln Sie hier in die Organisationseinheit, in der sich das Administratorkonto befindet, und klicken Sie doppelt auf das angezeigte Konto. In den Eigenschaften des Administratorkontos wechseln Sie dann auf die Registerkarte Terminaldienstprofile und deaktivieren die Option TerminalserverAnmeldung zulassen. Übernehmen Sie die Einstellung mit einem Klick auf OK, ab sofort ist der Terminalserver-Zugriff für den Administrator gesperrt. Abbildung 11.24: Deaktivieren Sie die TerminalserverAnmeldung
Ein weiterer wirksamer Schutz für den Terminalserver ist die Beschränkung der Terminalsitzung auf die Ausführung einer einzelnen Applikation. Diese Lösung realisieren Sie wieder mit dem Verwaltungsprogramm Terminaldienstekonfiguration. Hier markieren Sie wieder den Ordner Verbindungen und klicken mit der rechten Maustaste auf RDP-Tcp. Wechseln Sie dann im aufgerufenen Dialogfenster auf die Registerkarte Umgebung. Aktivieren Sie die Option Einstellungen des Benutzerprofils und Clientverbindungs-Assistenten
428
Sicherung der Terminaldienste
überschreiben. Nun sind Sie in der Lage, unter Programmpfad und Dateiname ein ausführbares Programm anzugeben, das nach der erfolgreichen Anmeldung automatisch gestartet wird. Hierbei kann es sich beispielsweise um eine Office-Applikation oder auch den Internet Explorer handeln. Sofern erforderlich, können Sie den Aufruf des Programms noch durch die Angabe des Startverzeichnisses ergänzen. Bestätigen Sie die Korrektur durch einen Klick auf OK. Abbildung 11.25: Starten Sie direkt beim Verbindungsaufbau ein Programm
Der Vorteil der Lösung ist, dass nach der Anmeldung automatisch das angegebene Programm gestartet wird. Der Anwender bekommt nur die Oberfläche des Programms zu Gesicht, er verfügt nicht über eine Taskleiste oder entsprechende Desktop-Funktionen. Der Start anderer Applikationen ist somit weitgehend ausgeschlossen. Der Anwender hat jedoch über die Dateifunktionen der jeweiligen Anwendung Zugriff auf das Dateisystem, sofern dieses nicht anderweitig geschützt wurde (z.B. über NTFS). Weitere Schutzmechanismen für den Terminalserver bietet die Registerkarte Anmeldeeinstellungen. Hier sollten Sie darauf achten, dass die Option Kennwort immer anfordern immer aktiviert ist, da nur dann die Anwender bei einer Verbindung zur Angabe eines Passworts gezwungen werden. Wenn Sie die Anmeldung nur über ein bestimmtes Konto zulassen wollen, das über einen geringen Umfang an Rechten verfügt, aktivieren Sie die Option Folgende Anmeldeinformationen immer verwenden und geben dort den Kontennamen und das entsprechende Passwort an. Auf diese Weise werden alle Anwender, die sich mit dem Terminalserver verbinden, automatisch unter dem vorgegebe-
429
11 Sicherheit der verschiedenen Netzwerkdienste
nen Konto angemeldet. Durch entsprechende Sicherheitseinstellungen können dann die Rechte dieses Anwenders gezielt gefiltert werden. Die Option Kennwort immer anfordern muss in diesem Fall aber deaktiviert werden. Abbildung 11.26: Melden Sie alle Anwender unter der gleichen sicheren Kennung an
11.6 Sicherung der Kommunikationskanäle über IPSec Bislang haben wir uns nur Gedanken gemacht, wie sich Daten auf Servern oder Daten, die von Clients an Server gesendet werden, schützen lassen. Eine weitere wichtige Überlegung ist die Frage nach der Sicherheit der Daten, während diese über das Netzwerk übertragen werden. Was nützt die höchste Sicherheitsstufe unter NTFS oder bei EFS, wenn die Daten bei der Übertragung über das Netzwerk ungestört kopiert und weiterverwertet werden können. Besonders in Zusammenhang mit den öffentlichen Netzen ist diese Überlegung in den Vordergrund getreten, denn kaum einer vermag heute noch zu sagen, was tatsächlich mit den Daten passiert, die kreuz und quer über das Internet übertragen werden. Die Lösung des Sicherheitsproblems ist ein neuer Standard, der nun auch eine Verschlüsselung der im Netzwerk übertragenen Daten ermöglicht. Hinter dem Kürzel IPSec (Internet Protocol Security) verbirgt sich ein offener Standard, der mithilfe von kryptografischen Sicherheitsdiensten die sichere Kommunikation in TCP/IP-basierten Netzwerk-Umgebungen
430
Sicherung der Kommunikationskanäle über IPSec
sicherstellt. Sowohl das LAN, Intranet oder entsprechende VPN-Verbindungen lassen sich per IPSec sichern, wobei IPSec vor allem die IP-Datenpakete über ein Ende-zu-Ende-Sicherheitsmodell schützt. Der sendende und der empfangende Computer vereinbaren dabei Folgendes: 왘 Die beiden Computer authentifizieren sich vor der Datenübertragung
gegenseitig. 왘 Die beiden Computer (Sender & Empfänger) richten eine Sicherheits-
zuordnung ein. 왘 Die beiden Computer ver- und entschlüsseln die Daten.
11.6.1
Das Netzwerkmodell und die verschiedenen Varianten der Datenverschlüsselung
Umgesetzt auf das Netzwerkmodell des TCP/IP-Protokolls existieren zwei Ebenen, in denen Daten für den sicheren Transfer über das Netzwerk verschlüsselt werden können, die Anwendungsebene und die Übertragungsebene. In der Übertragungsebene ist das Protokoll IP zuhause, dass sich bekanntlich um die Zustellung der einzelnen Netzwerkpakete an entsprechende IP-Adressen kümmert. Verschlüsselung auf Anwendungsebene Wenn Sie die Netzwerk-Kommunikation durch Verschlüsselung sichern wollen, können Sie dies auf zwei unterschiedliche Weisen tun. Die hier vorgestellte Variante sichert die Kommunikation auf Anwendungsebene, wobei unter Windows 2000 gleich mehrere Protokolle für die Sicherung der Datenübertragung auf Anwendungsebene angeboten werden: Signieren von Server Message Blocks: Das SMB-Protokoll wird bei der Kommunikation zwischen Clients und Server verwendet, wobei standardmäßig nur der Client bei Kommunikationsbeginn authentifiziert wird. Bei Verwendung der signierten SMBs erfolgt jedoch die Authentifizierung beider Kommunikationspartner über eine digitale Signatur, die in jedem SMBPaket mit gesendet wird, wodurch sich Man-in-the-middle-Attacken oder Datenveränderungen während der Übertragung verhindern lassen. Diese Variante kann sowohl unter Windows 2000 als auch bei Windows NT 4.0 ab dem ServicePack 3 (nicht aber bei Windows 95 und 98) verwendet werden und wird unter Windows 2000 über eine Gruppenrichtlinie implementiert, die die Server zur Verwendung der signierten SMBs zwingt und Clients auffordert, signierte SMBs zu verwenden, wenn der Server es fordert. SSL-Protokoll: Das von Netscape entwickelte Secure Socket Layer-Protokoll wird von Webbrowsern, News-Readern oder E-Mail-Clients unterstützt und garantiert private Kommunikation, Authentifizierung und durch die Verwendung von öffentlichen Schlüsseln auch Datenintegrität. Diese Variante wird daher auch vor allem bei Webanwendungen eingesetzt, die eine sichere Datenübertragung über http, IMAP4, POP3, LDAP oder NNTP erfordern. Die Verschlüsselung erfolgt mit 40 Bit oder 128 Bit.
431
11 Sicherheit der verschiedenen Netzwerkdienste
TLS-Protokoll: Das Protokoll ist in seinem Funktionsumfang mit dem SSLProtokoll vergleichbar, ist momentan aber nur ein bei der IETF vorgeschlagener Standard. Im Gegensatz zu SSL unterstützt TLS aber verschiedene Verschlüsselungs-Algorithmen und wird langfristig als Ersatz für SSL angesehen. S/MIME-Protokoll: Das Secure Multipurpose Internet Mail ExtensionProtokoll ist eine Erweiterung des MIME-Standards und ermöglicht die Verwendung von Datenverschlüsselung und digitalen Signaturen beim Versenden von Mails zwischen E-Mail-Clients, wobei deren BetriebssystemPlattform völlig belanglos ist. Da die Ver- und Entschlüsselung auf der Client-Seite geschieht, müssen nicht einmal die Mail-Server S/MIME unterstützen, was auch dann eine sichere Kommunikation gewährleistet, wenn die Mails über das Internet versendet werden. S/MIME verhindert somit, dass Unberechtigte den Mailinhalt während der Übertragung lesen oder verändern können. PGP: Pretty Good Privacy ist eine Alternative zu S/MIME, da es auch die Mails verschlüsseln bzw. mit einer digitalen Signatur versehen kann. Verschlüsselung auf IP-Ebene Die zweite Variante zur gesicherten Übertragung von Daten im Netzwerk sichert die Kommunikation auf IP-Ebene, was den großen Vorteil bietet, dass die genutzten Anwendungen von der Verschlüsselung nicht betroffen sind. Unter Windows 2000 geschieht diese Verschlüsselung auf IP-Ebene über IPSec. Allerdings haben Sie auch bei der Implementierung von IPSec die Möglichkeit, zwischen zwei Protokollen zu wählen: AH: Die Authentification Headers übertragen sowohl den IP-Header als auch die Daten als lesbaren Text, aber sie schützen die Daten vor Veränderung während der Übertragung und gewährleisten somit die Authentizität und die Integrität der übertragenen Daten. ESP: Das Encapsulating Security Payloads-Protokoll gewährleistet hingegen durch Verschlüsselung der übertragenen Inhalte die Datenvertraulichkeit. Der Nachteil des Protokolls besteht allerdings darin, dass es den IP-Header der IP-Pakete während der Datenübertragung nicht vor Veränderung schützen kann. IPSec und Firewalls Um dafür Sorge zu tragen, dass die IPSec-Kommunikation auch durch eine Firewall funktioniert, müssen Sie den UPD-Port 500 sowie den Port 51 für AH und den Port 50 für ESP freischalten.
432
Sicherung der Kommunikationskanäle über IPSec Abbildung 11.27: Daten können für die gesicherte Netzwerkübertragung in zwei Ebenen verschlüsselt werden
11.6.2
Einfacher Einsatz von IPSec
Die Nutzung von IPSec ist zugegebenermaßen ein wenig kompliziert. Es existieren zu viele Einstellungsmöglichkeiten für Authentifikation und für Verschlüsselung, daher wird man von den angebotenen Funktionen erst einmal erschlagen. Wir möchten Ihnen daher in diesem Abschnitt zuerst den vereinfachten Einsatz von IPSec vorstellen, so wie er mit wenigen Mausklicks zu bewerkstelligen ist. Windows bietet Ihnen zu diesem Zweck bereits vordefinierte Schablonen, mit denen Sie die wesentliche Sicherheit bereits im Handumdrehen realisieren. Alles, was Sie dazu brauchen, ist ein entsprechendes Tool für den Zugriff auf die lokalen IPSec-Einstellungen eines Clients bzw. Memberservers oder aber den Zugriff auf die Gruppenrichtlinien der Domäne bzw. einer Organisationseinheit. Sofern Sie zur Gruppe der Administratoren gehören, können Sie mithilfe des Snap-Ins IP-Sicherheitsrichtlinien-Verwaltung die Einstellungen von IPSec verwalten, wobei Sie dies sowohl für den lokalen Computer als auch für einen Remote-Computer oder aber die Mitglieder der aktuellen oder einer anderen Domäne realisieren können. Da für das Snap-In standardmäßig keine vorgefertigte MMC angeboten wird, müssen Sie sich eine eigene neue Management-Console zusammenstellen. Alternativ können Sie die Einstellungen auch in den TCP/IP-Eigenschaften eines Computers oder in einer Gruppenrichtlinie der Domäne einrichten. In den Gruppenrichtlinien finden Sie die IPSec-Einstellungen unter dem Pfad Computerkonfiguration/WindowsEinstellungen/Sicherheitseinstellungen/IP-Sicherheitsrichtlinien auf Active Directory.
433
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.28: Die Standardschablonen für die IPSicherheit in den Gruppenrichtlinien
Je nachdem, für welches Verwaltungstool Sie sich entscheiden, stellt Ihnen Windows 2000 immer den gleichen Satz vordefinierter Richtlinien zur Verfügung, die Sie direkt zuweisen oder aber abändern können. Zur Auswahl stehen Ihnen: Client (nur Antwort): Sorgt dafür, dass ein Client in der Lage ist, auf die Anforderung nach IPSec von anderen Computern korrekt zu antworten. Server (Sicherheit anfordern): In diesem Fall versucht der Server, soweit möglich, immer die sichere Kommunikation zu fordern. Kann der Sender IPSec nicht unterstützen, ist bei dieser Richtlinie aber eine unsichere Kommunikation noch möglich. Sicherer Server (Sicherheit erforderlich): Diese Richtlinie sorgt dafür, dass die ausgehende Kommunikation immer sicher ist und dass eingehende Kommunikation, die nicht sicher ist, abgewiesen wird. Sie können eine der angebotenen oder eine veränderte Sicherheitsrichtlinie sehr einfach auswählen und aktivieren. Dazu klicken Sie die jeweilige Vorlage mit der rechten Maustaste an und wählen im angezeigten Kontextmenü die Funktion Zuweisen. Die in der Vorlage spezifizierten Sicherheitseinstellungen sind somit aktiv. Sie müssen aber beachten, dass Sie IPSec nicht nur auf dem Client, sondern auch auf dem korrespondierenden Server einschalten müssen, sonst sind die Sicherheitsvorkehrungen umsonst. In einer Domäne empfiehlt sich daher der Einsatz von Gruppenrichtlinien, da so
434
Sicherung der Kommunikationskanäle über IPSec
mehrere Computer in einem Arbeitsschritt konfiguriert werden können. Sie sollten jedoch darauf achten, dass die IPSec-Einstellungen jeder Organisationseinheit zugewiesen werden müssen, die verschlüsselt kommunizieren soll. Abbildung 11.29: Die zugewiesene Richtlinie in der IPSec-Konsole
11.6.3
Konfiguration benutzerdefinierter IPSec-Richtlinien
Natürlich kann es Gründe für eine Definition von eigenen Richtlinien geben. Mögliche Gründe hierfür sind spezielle Sicherheitsanforderungen in Bezug auf die Nutzung bestimmter IP-basierter Kommunikationsfunktionen. In einem solchen Fall ist jedoch ein sehr gutes Verständnis der von IPSec gebotenen Mechanismen notwendig, selbst ein erfahrener Administrator sollte hierbei die benötigten Einstellungen erst einmal umfangreich in einem Testnetzwerk austesten, bis alle passenden Definitionen gefunden sind. Wir möchten Ihnen an dieser Stelle einen Einstieg in die Materie bieten, wie sie sich aus der praktischen Handhabung ergibt. Zu Beginn definieren Sie dazu eine neue IPSec-Richtlinie mithilfe eines Assistenten und passen diese Richtlinie anschließend detailliert an. Genau diese Methode möchten wir in der folgenden Anleitung nutzen. 1. Um eine neue Richtlinie zu erstellen, können Sie sich wahlweise des Snap-Ins IP-Sicherheitsrichtlinien-Verwaltung oder des Gruppenrichtlinienfensters bedienen. Wollen Sie eine domänenweite Richtlinie definieren, ist letztere Wahl die bessere Methode. Die Vorgehensweise ist jedoch in beiden Fällen identisch.
435
11 Sicherheit der verschiedenen Netzwerkdienste
2. Klicken Sie in der jeweiligen Management-Konsole auf den Ordner IPSicherheitsrichtlinien und wählen Sie im angezeigten Kontextmenü die Funktion IP-Sicherheitsrichtlinie erstellen. Im so gestarteten Assistenten klicken Sie auf Weiter, um die ersten Vorgaben für die neue Richtlinie zu treffen. 3. Im ersten Schritt vergeben Sie einen Namen für die neue Richtlinie und beschreiben kurz die Aufgabe der Richtlinie, um sie besser von anderen Richtlinien trennen zu können. Klicken Sie auf Weiter, um fortzufahren. Sie werden dann gefragt, ob Sie die Standardantwortregel einsetzen möchten. Hierbei geht es um die Frage, wie der Computer verfahren soll, wenn ein anderer Computer IPSec-Sicherheit anfordert. Wenn Sie keine solche Antwortregel definieren, können die betreffenden Computer unter Umständen keine Sicherheit mit dem adressierten Server vereinbaren, wodurch die Verbindung dann nicht zustande kommen kann. Da Sie die Art der Antwort auf Sicherheitsanforderungen zu jeder Zeit auch wieder ändern können, sollten Sie die Option Die Standardantwortregel aktivieren einsetzen und auf Weiter klicken. Abbildung 11.30: Legen Sie ein gemeinsames Geheimnis fest
4. Das folgende Fenster stellt Ihnen nun die Frage, welche Standardantwortregel genutzt werden soll. Zur Auswahl stehen Ihnen dabei drei Typen für die Authentifizierung. Der einfachste Typ ist dabei die Regel des so genannten »Shared Secrets«, die über die Option Diese Zeichenkette zum Schutz des Schlüsselaustauschs verwenden eingeschaltet wird. Hierbei handelt es sich vom Verfahren her um eine simple symmetrische Verschlüsselung des eigentlichen Sitzungsschlüssels, der zwischen zwei Computern aufgebaut wird. Nur die Computer, die den gleichen Text in
436
Sicherung der Kommunikationskanäle über IPSec
der Richtlinie eingetragen haben, können auch miteinander über IPSec kommunizieren. Diese einfache Methode der sicheren Kommunikation sollte verwendet werden, wenn Sie plattformübergreifend IPSec einsetzen möchten und keine Zertifizierungsstelle zur Verfügung haben. 5. Arbeiten Sie in Ihrem Netzwerk mit einer Zertifizierungsstelle, können Sie ein sichereres Verfahren nutzen. Sie benötigen eine Zertifizierungsstelle, die Zertifikate für den sicheren Netzwerkverkehr ausgibt, eine entsprechende CA können Sie mit einem Klick auf die Durchsuchen-Schaltfläche neben der Option Verwenden eines Zertifikats von dieser Zertifizierungsstelle auswählen. Nutzen Sie diese Option, wird die Authentifizierung der Kommunikationspartner mithilfe von Zertifikaten durchgeführt. Da hierfür aber spezielle Zertifikate benötigt werden, ist diese Methode nur in großen Netzwerken mit plattformübergreifenden Anforderungen ideal. 6. Die letzte Alternative ist die unter Windows zu bevorzugende Alternative, denn Sie arbeiten einfach mit der Standardauthentifizierung von Windows, also mit Kerberos. Ist die Option Windows 2000-Standard (Kerberos V5-Protokoll) eingeschaltet, verwenden die Windows-Computer einfach entsprechende Ticket Granting Tickets eines Domänencontrollers, um für die Kommunikation miteinander entsprechende Diensttickets zu vereinbaren. Der Austausch der Verschlüsselungsschlüssel erfolgt dann einfach auf Basis der Kerberos-Tickets. Diese Methode ist für den Einsatz in Windows-Netzwerken ideal, da er keine weiteren Dienste und Funktionen fordert, sondern mit Windows-Standardeinstellungen arbeitet. Er ist jedoch in Kombination mit anderen Betriebssystemen nur bedingt einsetzbar, z.B. wenn diese ebenfalls den Kerberos-Standard unterstützen. Abbildung 11.31: Verwenden Sie das Kerberos-Protokoll in reinen WindowsUmgebungen
437
11 Sicherheit der verschiedenen Netzwerkdienste
7. Nach einem Klick auf Weiter ist der Assistent bereits fertig, mit einem Klick auf Fertig stellen können Sie die neue Richtlinie anlegen. Wenn Sie die Richtlinie weiter bearbeiten wollen, können Sie im Assistenten die Option Eigenschaften bearbeiten anklicken. Sie können aber auch später mit der rechten Maustaste auf die Richtlinie klicken und im Kontextmenü die Option Eigenschaften auswählen, um die Richtlinie näher anzupassen. 8. Wenn Sie eine Sicherheitsrichtlinie frisch erstellt haben finden Sie auf der Registerkarte Regeln standardmäßig nur einen Eintrag für die IP-Sicherheit, der im Wesentlichen durch die Standardantwortregel geprägt ist. Damit Sie sich ein besseres Bild vom Funktionsumfang machen können, sollten Sie nun eine weitere Regel hinzufügen. Dies ist auch notwendig, wenn Sie die Standardantwortregel später außer Kraft setzen wollen, denn mindestens eine Sicherheitsregel muss definiert sein. Da wir nicht mit dem Assistenten arbeiten möchten, deaktivieren Sie die Option Assistent verwenden und klicken dann auf die Hinzufügen-Schaltfläche. 9. Sie gelangen in ein neues, sehr umfangreiches Dialogfenster, in dem Sie nun die Eigenschaften der neuen Sicherheitsregel genauer bestimmen können. Auf der Registerkarte IP-Filterliste legen Sie fest, welche Kommunikationsformen oder Formen der Datenübertragung Sie überhaupt sichern möchten. Die Festlegung treffen Sie mithilfe der HinzufügenSchaltfläche, das folgende Dialogfenster ermöglicht Ihnen die genaue Bestimmung des TCP/IP-Verkehrs, der gesichert werden soll. Im Dialogfenster IP-Filterliste vergeben Sie zuerst einen neuen Namen und eine Beschreibung für die neue Filterliste, dann deaktivieren Sie die Option Assistent verwenden und klicken auf Hinzufügen. Abbildung 11.32: Legen Sie Quelle und Ziel der zu schützenden IPPakete fest
438
Sicherung der Kommunikationskanäle über IPSec
10. Ähnlich wie bei der Filterung von Netzwerkverkehr über RoutingMechanismen können Sie nun genauestens festlegen, welcher Typ von IPVerkehr betroffen ist. Dazu definieren Sie auf der Registerkarte Adressierung zuerst einmal, von wo die zu sichernden IP-Pakete kommen und in welches Zielnetz sie übertragen werden. Aufgrund des IP-Headers eines Pakets kann IPSec später erkennen, dass es sich um ein zu sicherndes Paket handelt, und verschlüsselt es entsprechend. Ist das IP-Paket hingegen an ein anderes Netzwerk adressiert oder trägt es nicht die geforderte Absender-IP, findet keine Verschlüsselung statt. 11. Auf der Registerkarte Protokoll legen Sie fest, welches Protokoll die Übertragung der zu schützenden IP-Pakete steuert. So steuert ICMP beispielsweise alle nicht näher definierten Verbindungsversuche über IP, während TCP oder UDP klassische Protokolle für die Handhabung von spezieller auf Dienste bezogener Kommunikation verwendet werden. Möchten Sie beispielsweise PING-Versuche filtern, verwenden Sie das ICMP-Protokoll, soll der browserbasierte Internet-Verkehr gesichert werden, verwenden Sie beispielsweise den TCP-Port 80 als Quellport. Über die Registerkarte Beschreibung können Sie schließlich eine genauere Definition der Kommunikation festlegen. Dies ist besonders dann nützlich, wenn Sie mehrere Filter auf einmal festlegen wollen. Durch einen Klick auf OK gelangen Sie wieder zurück in das Dialogfenster IP-Filterliste, hier können Sie dann weitere zu filternde Protokolle und Netzwerkadressen angeben. Beachten Sie, dass es sich bei einer Mehrfachangabe um eine OR-Verknüpfung handelt, also nur einer der angegebenen Kommunikationstypen vorliegen muss, damit IP-Sicherheit angewendet wird. Durch einen Klick auf Schließen gelangen Sie wieder in das Dialogfenster zur Definition der neuen IPSec-Regel zurück. Abbildung 11.33: Legen Sie den Port fest, der gefiltert werden soll
439
11 Sicherheit der verschiedenen Netzwerkdienste
Standardvorlagen der Filterliste Wenn Sie eine neue Regel definieren, bietet Ihnen Windows auf der Registerkarte IP-Filterliste bereits zwei Standardvorlagen an. All ICMP-Verkehr filtert alle auf dem Protokoll ICMP basierende Kommunikation im Netzwerk. Ein Beispiel für die ICMP-Kommunikation ist ein PING auf die IPAdresse eines Rechners, der entsprechend antwortet. Wenn Sie eine Vielzahl von Dauerpings auf einen Computer absetzen, ist dieser unter Umständen durch die Antworten so stark belastet, dass er keine anderen Aktivitäten mehr durchführen kann. Aus diesem Grund ist ICMP das bevorzugte Protokoll für Denial of Service-Angriffe. Wenn Sie den ICMPVerkehr mit IPSec filtern und später bei den Filteraktionen nicht authentifizierte Anfragen blocken, kann Dos keinen Erfolg mehr haben, da der geschützte Computer schlicht nicht antwortet. Noch ein wenig weiter geht die Vorlage Gesamter IP-Verkehr. Die eingestellte Filteraktion gilt dann für alle Absender und Zieladressen sowie für alle Ports. Dies bietet den maximalen Schutz für den Datenverkehr, führt aber unter Umständen zu einem sehr großen Sicherheitsoverhead beim Einsatz von IPSec. Abbildung 11.34: Wählen Sie die gewünschte Filteraktion aus
12. Neben der Auswahl des Filters müssen Sie jetzt auch noch bestimmen, was mit der Kommunikation passiert, die dem gesetzten Filter entspricht. Dazu wechseln Sie auf die Registerkarte Filteraktion und wählen eine der drei angebotenen Filteraktionen. Sicherheit anfordern sorgt dafür, dass die beiden betreffenden Computer in eine Verhandlung über den zu verwen-
440
Sicherung der Kommunikationskanäle über IPSec
denden Sicherheitsgrad eintreten. Ist keine IP-Sicherheit möglich, wird ungesichert übertragen. Sicherheit erforderlich sorgt dafür, dass die Datenpakete, die das Protokoll dieses Filters verwenden, nicht beantwortet, sondern vernichtet werden. Zulassen hingegen bestimmt, dass keine IPSicherheit angewendet wird. Wenn Sie wollen, können Sie auch hier noch weitere verfeinerte Filteraktionen definieren, ein Klick auf Hinzufügen zeigt ein entsprechendes Dialogfenster dazu an. Da aber die wesentlichen drei Varianten bereits standardmäßig angeboten werden, soll an dieser Stelle nicht weiter auf die Verfeinerung eingegangen werden. Verschlüsselungsalgorithmen Wenn Sie dennoch eine eigene Filteraktion definieren wollen, müssen Sie unter anderem festlegen, welche Algorithmen Sie für die Verschlüsselung von Authentifizierungsdaten und Dateien verwenden wollen. Für die Authentifizierung stehen Ihnen die folgenden Algorithmen bereit: 왘 SHA: steht für Secure Hash und verwendet einen 160-Bit-Schlüssel,
der dem FIPS-Standard für US-Regierungsdokumente und damit hohen Sicherheitsanforderungen entspricht. 왘 MD5: steht für Message Digest 5 und verwendet einen 128-Bit-Schlüs-
sel, der von den meisten kommerziellen Anwendungen verwendet wird. Er bietet ebenfalls einen hohen Sicherheitsstandard, erfordert aber einen geringeren Leistungsaufwand. Für die Datenverschlüsselung werden andere Methoden verwendet. Bei der Verschlüsselung mit IPSec stehen die folgenden Algorithmen zur Verfügung: 왘 56-Bit DES: verwendet einen 56-Bit-Schlüssel, der für die meisten ex-
portierten Anwendungen und bei niedrigeren Sicherheitsanforderungen eingesetzt wird. 왘 40-Bit DES: 40-Bit-Schlüssel, der für Frankreich verwendet wird. 왘 3DES: In diesem Fall, der sichersten Methode, werden drei 56-Bit-
Schlüssel verwendet, wobei jeder Datenblock dreimal verarbeitet wird. Dies erhöht die Prozessorlast gegenüber den anderen Verschlüsselungsmethoden um den Faktor 2,5. 13. Nun folgt die Entscheidung, ob der Filter nur für die LAN- oder auch die Remote-Kommunikation gilt. Je nachdem, ob IPSec auf allen Netzwerkverbindungen, nur im LAN oder gezielt bei RAS und VPN-Verbindungen angewendet werden soll, wählen Sie auf der Registerkarte Verbindungstyp die entsprechende Option. Beachten Sie, dass die Option Alle Netzwerkverbindungen sich wirklich auf alle Verbindungen im Netzwerk auswirkt, also auch auf Einwahlverbindungen, die über einen RAS-
441
11 Sicherheit der verschiedenen Netzwerkdienste
Server hergestellt werden. Da in diesem Fall die PPP-Daten im Grunde genommen doppelt verschlüsselt werden, einmal durch PPP und einmal durch IPSec, geht hier sehr viel Bandbreite für die gesicherte Übertragung verloren. Wenn Sie Verbindungen über einfache Modems oder über ISDN herstellen, sollten Sie die IPSec-Regeln sicherheitshalber auf das LAN beschränken, damit die Performance der RAS-Leitungen nicht zu sehr gedrosselt wird. 14. Neben dem Typ der Verbindung ist es auch wichtig, die Art der Kommunikation zwischen zwei IPSec-Computern genauer zu beschreiben. Auf der Registerkarte Tunneleinstellungen unterscheiden Sie dazu zwischen dem Standard-Übertragungsmodus und dem Tunnelmodus. Für die Sicherung Ihres lokalen Netzwerkes verwenden Sie den Übertragungsmodus, der beispielsweise dafür sorgt, dass die Kommunikation zwischen einem Client und einem Server gesichert wird. Die Implementierung dieses Modus erfolgt in der Regel über die IP-Sicherheitsrichtlinien. Der Einsatz des Übertragungsmodus erfolgt, wenn zwei Computer in einem privaten Netzwerk miteinander kommunizieren und solange die Kommunikation zwischen zwei Computern nicht über eine Firewall läuft, die NAT ausführt. Wollen Sie den Standard-Übertragungsmodus nutzen, aktivieren Sie die Option Diese Regel spezifiziert keinen IPSec-Tunnel. Abbildung 11.35: Geben Sie die Adresse des Tunnelendpunkts an
442
Sicherung der Kommunikationskanäle über IPSec
15. Beim Tunnelmodus befindet sich zwischen den beiden Computern ein Tunnel, wie es bei VPNs der Fall ist. Wenn beispielsweise ein RemoteStandort über ein VPN mit der Zentrale verbunden ist, werden in diesem Szenario die beiden Computer, die die Firewall bilden, mit IPSec konfiguriert. Auf diese Weise wird die Kommunikation zwischen den beiden Standorten verschlüsselt. IPSec verwendet in diesem Modus ESP, um die Daten, während sie von einem Tunnelendpunkt zum anderen wandern, zu verschlüsseln. Die Daten werden entschlüsselt, sobald sie den nächsten Endpunkt zum Zielcomputer erreichen. Der Tunnelendpunkt kann dabei beispielsweise der VPN-Server sein, der Verbindungen über das Internet akzeptiert. Ab dem Tunnelendpunkt werden die Daten dann unverschlüsselt weiter übertragen. Möchten Sie den Tunnelmodus aktivieren, aktivieren Sie die Option Der Tunnelendpunkt wird durch diese Adresse spezifiziert und geben die IP-Adresse des Rechners ein, der die Entschlüsselung der Daten vornimmt. Noch einmal: Der Tunnelendpunkt ist nicht der Computer, mit dem der Remote-Client tatsächlich kommuniziert, er wird aber für die Entschlüsselung der Daten zwischengeschaltet und leitet die Daten dann unverschlüsselt an das eigentliche Ziel weiter. 16. Zum Abschluss der Definition der Eigenschaften einer IPSec-Regel müssen Sie festlegen, wie die Authentifikation zwischen zwei Computern, die die Regel anwenden, stattfinden soll. Wie bei der Standardantwortregel haben Sie hier die Möglichkeit, zwischen einem gemeinsamen geheimen Text, einem Zertifikat oder der Kerberos-Authentifizierung zu wählen. Sofern Sie in einem Windows-Netzwerk arbeiten, sollten Sie hier auf die Kerberos-Authentifizierung zurückgreifen. Sie können jedoch auf der Registerkarte Authentifizierungsmethoden auch mehrere Authentifizierungsmethoden bestimmen, wenn die Computer über mehrere Authentifizierungen miteinander kommunizieren sollen. Dies bietet die Möglichkeit, unterschiedliche Gegebenheiten von Netzen und Betriebssystemen gleichermaßen zu berücksichtigen. Soll eine weitere Authentifizierung unterstützt werden, klicken Sie auf Hinzufügen und bestimmen dann die neue Authentifizierungsmethode. Sind Sie mit den Einstellungen zufrieden, Klicken Sie auf Übernehmen und anschließend auf Schließen, um die eingestellten Regeln für die neue IPSec-Richtlinie zu übernehmen. 17. Zurück im eigentlichen Regelfenster für die neue IPSec-Richtlinie wird Ihnen die neu generierte Sicherheitsregel zusammen mit der Standardantwortregel angezeigt. Wenn Sie verhindern möchten, dass die Vorgaben der Standardantwortregel genutzt werden können, entfernen Sie den Haken vor der Regel der Standardantwort, sodass nur der Haken vor der neuen Regel gesetzt ist. Da Sie die Standardantwortregel nicht löschen können, stellen Sie auf diese Weise sicher, dass die Filter und Vorgaben dieser Regel nicht verwendet werden. Klicken Sie auf Schließen, um die Einstellungen in die neue Sicherheitsrichtlinie zu übernehmen.
443
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.36: Fügen Sie weitere Authentifizierungsmethoden hinzu
Abbildung 11.37: Die fertig definierte Sicherheitsregel
444
Gesicherte Netzwerkkommunikation durch Routing
Damit ist die Erstellung einer eigenen IPSec-Sicherheitsrichtlinie bereits komplettiert. Sie sehen, dass die Vorgehensweise, wenn sie einigermaßen strukturiert durchgeführt wird, gar nicht so kompliziert ist. Kompliziert wird das Handling nur durch die Vielzahl an Optionen und Funktionen, die bei IPSec integriert sind. Wollen Sie die Sicherheitsrichtlinie aktivieren, klicken Sie mit der rechten Maustaste auf die Sicherheitsrichtlinie und wählen Zuweisen. Beachten Sie, dass Sie nur eine Sicherheitsrichtlinie zuweisen können. War zuvor eine andere Sicherheitsrichtlinie ausgewählt, wird diese deaktiviert und die neu zugewiesene Sicherheitsrichtlinie verwendet.
11.7 Gesicherte Netzwerkkommunikation durch Routing Wenn Sie heute Daten in Ihrem Netzwerk bewegen, ist es vermutlich so, dass es Datenströme gibt, die keinen besonderen Schutz benötigen, und solche, die speziell gesichert werden müssen. Das im vorangegangenen Abschnitt vorgestellte IPSec ist eine gute Lösung für diese Problematik, da eine Filterung der Sicherheit auf der Basis von Netzwerk- und Protokollinformationen stattfindet. Sie können also nur einen Teil des Datenverkehrs verschlüsseln. Dennoch ist der Einsatz von IPSec natürlich recht kompliziert. Zudem bietet IPSec keinen Schutz gegenüber Eindringlingen, die offene Schnittstellen nutzen, um Server im privaten Netzwerk zu attackieren. Es liegt also nahe, die Filterung von Zugriffen mithilfe von »Hardware« und Drähten durchzuführen. Durch eine geschickte Platzierung von Netzwerksegmenten und öffentlich zugänglichen Bereichen lässt sich ein guter Teil von unautorisierten Zugriffen von Beginn an vermeiden. Zu Anfang dieses Kapitels haben wir Ihnen dabei die elementaren Designregeln vorgestellt, die für das Routing bei öffentlichen Schnittstellen zu beachten sind. Gleiches gilt aber auch für den Schutz von Segmenten im LAN. Zwei wesentliche Elemente sind dabei für die Sicherheit des Netzwerkes wichtig: 왘 NAT: Hierbei handelt es sich um die einfachste Möglichkeit, ein ganzes
Netz unter einer einzigen öffentlichen IP-Adresse zu maskieren. 왘 Reverse-NAT: Gemeint ist die umgekehrte Möglichkeit, dass Anwender
über eine öffentliche Schnittstelle nur auf bestimmte Ressourcen des privaten Netzwerks zugreifen dürfen. 왘 Port-Filtering: Windows-Router, aber auch die Router-Hardware ande-
rer Hersteller, ermöglichen das Filtern des ein- und ausgehenden Datenverkehrs auf der Basis von Protokoll-Ports. Durch den gezielten Einsatz dieser Sicherheitsmerkmale können Sie den Zugriff auf Ihr Netzwerk sichern und zudem auch steuern, welche Daten Ihr Netzwerk verlassen. Den Umgang mit allen drei Techniken möchten wir Ihnen daher in den folgenden Abschnitten näher vorstellen.
445
11 Sicherheit der verschiedenen Netzwerkdienste
11.7.1
Network Address Translation einrichten
Wenn Sie über ein Windows-Netzwerk verfügen und eine Lizenz für einen Server übrig haben, können Sie mit einer mittelmäßigen Maschine und einigen Netzwerkkarten bereits einen vollwertigen Router unter Windows aufsetzen. Diese als Routing und RAS bekannte Funktionalität ermöglicht Ihnen die Segmentierung Ihres Netzwerkes, sodass Sie mehrere LAN-Segmente oder auch privates und öffentliches Netzwerk voneinander trennen können. Das Routing selbst können Sie unter Windows sehr komfortabel einrichten, für die Steuerung des Netzwerkverkehrs definieren Sie statische Routen, bei umfangreicheren Netzwerkinfrastrukturen können Sie zudem Routen mit anderen Routern über die Routerprotokolle RIP oder OSPF austauschen. Mehr zu diesem Thema finden Sie am Ende dieses Abschnitts, wenn wir auf die Sicherung von Routeninformationen eingehen. An dieser Stelle gilt unsere Aufmerksamkeit der Network Address Translation, kurz NAT. Nehmen wir ein einfaches Beispiel, bei dem Sie den Zugriff auf das Internet über einen Router steuern wollen. Prinzipiell können Sie auch ohne Router agieren, in diesem Fall müssten Sie aber alle Clients im privaten Netzwerk mit einer zusätzlichen öffentlichen IP-Adresse ausstatten, damit diese Clients Daten aus dem Internet abrufen können. Diese öffentliche Adresse wird entweder direkt in der IP-Konfiguration angegeben oder bei der Einwahl ins Internet dynamisch vergeben. Diese Methode birgt das Risiko, dass alle Clients direkt über das Internet adressierbar sind, potentielle Angreifer folglich jeden Client einzeln attackieren können. Um die Daten im privaten Netzwerk besser zu schützen, setzt man daher einen Router zwischen privates und öffentliches Netzwerk, der NAT betreibt. Abbildung 11.38: Network Address Translation anonymisiert Anfragen aus dem privaten Netzwerk
446
Gesicherte Netzwerkkommunikation durch Routing
NAT arbeitet dabei folgendermaßen. Ein Client stellt eine Anfrage nach einer beliebigen Webseite im Internet. Da sich die IP-Adresse des Webservers nicht im eigenen Netzwerk befindet, sendet der Client die Daten an den so genannten Standard-Gateway, also den Router. Beachten Sie, dass Sie den Router bei der Konfiguration des Clients in der IP-Konfiguration angeben müssen. Ist der Standard-Gateway nicht angegeben, werden Pakete für fremde Netze verworfen. Der Router seinerseits erhält die Anfrage und vereinbart mit dem Client eine spezielle Sitzung für den Datenaustausch. Anstatt nun die Anfrage des Clients direkt ins Internet weiterzuleiten, fragt der NAT-Router selbst nach der angeforderten Seite. Erhält er die Seite vom Webserver, leitet er die Daten anschließend an den Client weiter, der die Webseite dann auf dem Desktop anzeigt. Der Vorteil der Technologie liegt auf der Hand: Nur ein einziger Rechner tritt im öffentlichen Netzwerk wirklich auf – der Router. Sofern dieser Rechner keine weiteren Dienste umsetzt, ist die Gefahr, dass ein Angriff auf den Router Erfolg bringt, somit auch relativ gering, er enthält ja keine schützenswerten Daten. NAT einrichten Das Einschalten von NAT ist unter Windows verhältnismäßig einfach, da Sie dazu einen Assistenten verwenden. Wir wollen Ihnen den Einsatz dieses Assistenten daher zu Beginn vorstellen und im Anschluss auf die einzelnen Einstellungen und Optionen näher eingehen. 1. Im ersten Schritt starten Sie auf einem Windows-Server die Management-Console Routing und RAS. Hier bekommen Sie normalerweise angezeigt, dass der Server noch nicht für Routing und RAS konfiguriert wurde. Um die Konfiguration durchzuführen, klicken Sie in der linken Fensterhälfte mit der rechten Maustaste auf den Servernamen und wählen im angezeigten Kontextmenü die Funktion Routing und RAS konfigurieren und aktivieren. 2. Sie starten so einen Assistenten, der Sie durch die Basiskonfiguration des Routers begleitet. Klicken Sie auf der Empfangsseite auf Weiter, um die Konfigurationsfragen zu beantworten. In unserem Beispiel möchten wir die gängigste Variante einrichten, bei der ein Router für den Internetzugriff eingerichtet werden soll. Daher wählen wir bei der ersten Abfrage nach dem Typ der Konfiguration die Option Internetverbindungsserver. 3. Nach einem Klick auf Weiter werden Sie nach der Art des InternetVerbindungsservers gefragt. Verwenden Sie hier bitte die Option Router mit NAT-Routingprotokoll einrichten, da nur hier tatsächlich ein NAT-Router konfiguriert wird. Verwenden Sie keinesfalls die gemeinsame Nutzung der Internetverbindung, da es sich hier um eine vereinfachte und weniger sichere Variante handelt.
447
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.39: Aktivieren Sie den NAT-Router
Abbildung 11.40: Verwenden Sie ausschließlich einen Router mit NATProtokoll
4. Sie werden dann aufgefordert, die öffentliche Schnittstelle anzugeben. Wenn Sie über eine Netzwerkkarte an das Internet angebunden sind, beispielsweise bei einer direkten Internet-Standleitung oder einer DSL-Anbindung, geben Sie hier die Netzwerkkarte an, die Sie mit dem Router Ihres Providers verbindet. Im Assistentenfenster aktivieren Sie dazu die Option Ausgewählte Internetverbindung verwenden und wählen im darun-
448
Gesicherte Netzwerkkommunikation durch Routing
ter befindlichen Feld die entsprechende Netzwerkkarte aus. Prinzipiell sind Sie nach einem Klick auf Weiter dann bereits fertig und können den Assistenten beenden. Abbildung 11.41: Wählen Sie die an das öffentliche Netzwerk angebundene Schnittstelle
5. Wenn Sie nicht über eine Netzwerkschnittstelle verfügen, sondern über eine im Router enthaltene ISDN-Karte eine Einwahlsystematik aktivieren, verwenden Sie hingegen die Option Neue, bei Bedarf herzustellende Wählverbindung erstellen. In diesem Fall können Sie die benötigte RASVerbindung direkt im Anschluss an die Definition der privaten Netzwerkschnittstelle einrichten und somit den Wählzugang automatisch in das Routing und RAS integrieren. Ein spezieller Assistent hilft Ihnen bei der Einrichtung der Wählverbindung. Beachten Sie, dass das zu verwendende Modem bzw. die ISDN-Karte bereits eingerichtet sein muss, um die Einrichtung der Wählverbindung zu ermöglichen. 6. Wir bleiben bei der zuvor beschriebenen Konfiguration einer Netzwerkkarte für die öffentliche Schnittstelle, da diese Lösung in Anbetracht erstaunlich günstiger DSL-Flatrates vermutlich mehrheitlich umgesetzt werden wird. Sobald Sie den Assistenten beenden, wird der Routingund RAS-Dienst auf dem Computer gestartet und ermöglicht Ihnen den Datenaustausch zwischen der privaten und der öffentlichen Schnittstelle. NAT im Detail Damit wir Ihnen die Zusammenhänge, die bei der Serverkonfiguration für NAT gebraucht werden, besser erklären können, möchten wir die Einträge und Einstellungen, die der Assistent vorgenommen hat, noch einmal manuell nachvollziehen.
449
11 Sicherheit der verschiedenen Netzwerkdienste
Im ersten Schritt geht es um den Typ, der für das Routing eingerichtet wurde. Dabei gilt die Regel, dass man nicht mehr erlauben sollte als wirklich notwendig. Wenn Sie also keine Bedarfswahl einsetzen, sollte sie auch nicht aktiviert sein. Gleiches gilt für die RAS-Funktionalität des Routing- und RAS-Dienstes. Die RAS-Funktionalität muss nur eingerichtet werden, wenn der Router zugleich aus als RAS-Server agieren soll. Ist RAS aktiviert, ohne dass es genutzt wird, stellt dies sogar eine Sicherheitslücke dar, die unbedingt geschlossen werden sollte. Die Festlegung der Arbeitsmethode von Routing und RAS erfolgt, indem Sie in der linken Fensterhälfte der Routingund RAS-Konsole mit der rechten Maustaste auf den Servernamen klicken und im angezeigten Kontextmenü die Option Eigenschaften wählen. Sie gelangen so in ein Dialogfenster, in dem Sie eine Reihe von Basiseinstellungen für den Router festlegen. Aus der NAT-Sicht ist jedoch erst einmal nur die Registerkarte Allgemein interessant. Hier bestimmten Sie den Arbeitsmodus des Routers. Aktivieren Sie die Option Router, wenn der Router als solcher arbeiten und damit auch NAT ermöglichen soll. Das System unterscheidet dabei zwischen dem reinen LAN-Routing und dem Routing mit Bedarfswahl. Die Option LAN und bei Bedarf wählendes Routing sollten Sie aber nur verwenden, wenn der Router selbst eine Wählverbindung in ein öffentliches Netzwerk realisieren soll. Wird das öffentliche Netzwerk über eine Netzwerkkarte angebunden, verwenden Sie die Option Nur LAN-Routing. Soll der Router zusätzlich oder ausschließlich als RAS-Server arbeiten, verwenden Sie die Option RAS-Server, dann erlaubt der Computer über die öffentliche Schnittstelle auch Einwahlverbindungen bzw. VPN-Verbindungen. Soll der Router gar nicht als Zugangsserver verwendet werden, sollten Sie die Option deaktivieren, da sonst eventuell unerwünschte Zugriffe zugelassen werden. Abbildung 11.42: Konfigurieren Sie den Typ des Routing- und RAS-Servers
450
Gesicherte Netzwerkkommunikation durch Routing
Um die Zuordnung der Netzwerkschnittstellen für NAT anzusehen und bei Bedarf auch umzukonfigurieren, öffnen Sie links in der Routing- und RAS-Konsole den Pfad Servername/IP-Routing/Netzwerkadressübersetzung. Sie bekommen dann auf der rechten Seite die derzeit für NAT aktivierten Schnittstellen angezeigt. Die Unterscheidung zwischen privater und öffentlicher Schnittstelle wird dabei über die Eigenschaften der Netzwerkschnittstellen realisiert. Um die Eigenschaften einer NAT-Schnittstelle anzuzeigen, klicken Sie einfach doppelt auf die jeweilige Schnittstelle. Eine Schnittstelle für ein privates Netzwerk sollte im folgenden Dialogfenster die Option An ein privates Netzwerk angeschlossene private Schnittstelle eingeschaltet haben. Dies stellt sicher, dass die Adressen dieses Netzwerksegments nicht an ein öffentliches Segment weitergegeben werden. Die Schnittstelle für das öffentliche Netzwerk hingegen verwendet die Option An das Internet angeschlossene öffentliche Schnittstelle. Damit NAT funktionieren kann, muss der NATRouter darüber hinaus die ursprüngliche Quelladresse in Clientanforderungen durch die öffentliche IP-Adresse des Routers ersetzen. Dies wird über die zusätzliche Option TCP/UDP-Vorspann übersetzen sichergestellt. Wenn Sie weitere Netzwerksegmente an das NAT anbinden wollen, klicken Sie später im Router einfach mit der rechten Maustaste auf Netzwerkadressübersetzung und wählen im angezeigten Kontextmenü die Option Neue Schnittstelle. Fügen Sie dann die neu eingebaute Netzwerkkarte als NATSchnittstelle hinzu und konfigurieren Sie sie ebenfalls mit der Option An ein privates Netzwerk angeschlossene private Schnittstelle. Vorteil: Auch diese neue Schnittstelle wird mitsamt dem dahinter angeschlossenen Netzwerksegment durch NAT maskiert. Abbildung 11.43: An der NATSchnittstelle werden die Header der IP-Pakete angepasst
451
11 Sicherheit der verschiedenen Netzwerkdienste
Die Routingkonfiguration des NAT-Routers ist aber noch nicht fertig gestellt. Derzeit findet noch kein Routing von Anfragen ins Internet statt, da der Router noch nicht weiß, auf welche Schnittstelle er Daten für unbekannte Netzwerkadressen senden soll. Um das Routing einzuschalten, müssen Sie also eine Standardroute definieren. Zu diesem Zweck klicken Sie mit der rechten Maustaste auf den Ordner Servername/IP-Routing/Statische Routen und wählen im Kontextmenü die Option Neue statische Route. Geben Sie im folgenden Dialogfenster die öffentliche Schnittstelle an, also die Schnittstelle, die mit dem öffentlichen Netzwerk verbunden ist. Tragen Sie unter Ziel und unter Netzwerkmaske jeweils 0.0.0.0 ein, um die Standardroute zu kennzeichnen. Alle Pakete, die nicht aus dem eigenen Netzwerksegment stammen und für die keine separate Standardroute definiert wurde, werden anschließend an die unter Gateway angegebene Netzwerkadresse gesendet. Wenn Sie eine Schnittstelle für die Bedarfswahl einsetzen, kann kein Gateway angegeben werden, da dieser der Wählschnittstelle durch den Provider dynamisch zugewiesen wird. Der Gateway ist in jedem Fall der Router, der vor Ihrer öffentlichen Schnittstelle platziert wurde, also zumeist der Router eines Providers, der Ihnen den Zugriff auf das öffentliche Netzwerk ermöglicht. Die Adresse muss sich aber in jedem Fall im gleichen IP-Adresssegment befinden, wie die öffentliche Netzwerkkarte, da sonst kein vernünftiges Routing zustande kommt. Abbildung 11.44: Definieren Sie eine statische Route auf das öffentliche Netzwerk
Die Konfiguration von NAT-Routing ist somit bereits fertig gestellt. Beachten Sie, dass Sie bei Bedarf weitere statische Routen einrichten müssen, wenn mehrere private Netzwerksegmente über den Router miteinander kommunizieren sollen. Die statische Route muss hingegen nur ein einziges Mal angegeben werden. Alle Schnittstellen, die zudem als NAT-Schnittstelle angegeben sind, werden automatisch durch den Router anonymisiert. Ist ein privates Netzwerk nicht als NAT-Schnittstelle angegeben, werden die Daten ohne einen Austausch der Quelladresse durchgeroutet. In diesem Fall ist die private Adresse des Clients weiterhin im IP-Paket enthalten. Da das öffentliche Netzwerk keine privaten Netzwerkadressen auflösen kann, erfolgt keine Antwort.
452
Gesicherte Netzwerkkommunikation durch Routing
NAT ohne Internet Auch wenn es nach der Benutzerführung der Microsoft-Tools so aussieht, ist NAT nicht nur für das Internet geeignet. Vielmehr können Sie NAT immer dann verwenden, wenn ein Netzwerksegment gegenüber einem anderen Netzwerk verborgen werden soll. Dies ist beispielsweise auch in einem großen Unternehmens-LAN oder bei der Kommunikation zwischen zwei Unternehmen denkbar. Die Umsetzung ist hingegen immer die gleiche.
11.7.2
Reverse-NAT einrichten
Zu Beginn noch einmal zur schnöden Theorie. Eine Besonderheit von NAT ist es, dass nicht nur Verbindungen aus dem privaten Netzwerk in ein öffentliches Netzwerk gesteuert werden können, sondern auch Verbindungen aus dem öffentlichen Netzwerk in das private Netz. Dazu sind allerdings einige Vorgaben notwendig. Hinzu kommt, dass ein Client aus dem öffentlichen Netzwerk niemals eine echte Verbindung in das »genatete« Netzwerk erhält. Stattdessen übersetzt der Router die aus dem öffentlichen Netzwerk eingehende Anfrage in eine lokale Anfrage des Routers an den adressierten Server. Die Antwort des Servers im lokalen Netzwerk übersetzt der Router dann wieder in eine Antwort an den Client im öffentlichen Netzwerk. Um die Sicherheit in diesem Bereich noch zu erhöhen, haben Sie neben dem klassischen Routing auch die Möglichkeit, Anfragen auf Ports zu beschränken und nur diese Anfragen gezielt an spezielle private Adressen weiterzuleiten. Abbildung 11.45: Reverse-NAT ermöglicht den Zugriff aus dem Internet auf bestimmte Ressourcen
453
11 Sicherheit der verschiedenen Netzwerkdienste
Einfaches Reverse-NAT-Mapping Unter einfachem Reverse-NAT-Mapping ist zu verstehen, dass ein Client aus dem Internet eine Anfrage nach Daten eines Servers mit einer öffentlichen IP-Adresse stellt. Anstatt nun aber die Datenanfrage direkt an einen Server im Internet zu stellen, gelangt der Client nur zum NAT-Router, der die öffentlichen Adressen stellvertretend für die Server hält. Der NAT-Router leitet nun seinerseits die Anfrage des Clients an die tatsächliche private Schnittstelle des Servers weiter. Dieser Server antwortet und der NAT-Router leitet die Antwort an den Client im Internet weiter. Diese Lösung ist ideal, wenn Clients im Internet einzelne Server, die sich in ihrem privaten Netzwerk befinden, abrufen sollen, ohne dabei eine direkte Verbindung mit Ihrem privaten Netzwerk herstellen zu können. Um ein solches einfaches Mapping von öffentlichen auf private Adressen durchzuführen, benötigen Sie natürlich einen Satz von statischen öffentlichen Adressen, die Sie von Ihrem Provider zugewiesen bekommen. Danach gehen Sie wie folgt vor. 1. Klicken Sie in der Routing- und RAS-Konsole auf den Ordner Servername/IP-Routing/Netzwerkadressübersetzung. Klicken Sie dann mit der rechten Maustaste auf die öffentliche Schnittstelle, also die an das Internet angebundene Schnittstelle, und wählen im angezeigten Kontextmenü die Option Eigenschaften. 2. Wechseln Sie im angezeigten Dialogfenster auf die Registerkarte Adresspool, um die Ihnen zur Verfügung stehenden öffentlichen Adressen einzutragen. Beachten Sie, dass Ihnen diese öffentlichen Adressen explizit von Ihrem Internetprovider zugewiesen werden. Sie können weder eine beliebige Adresse noch eine dynamisch zugewiesene IP einsetzen, sondern benötigen statische Adressen, die nur für Sie reserviert sind. Verfügen Sie über solche öffentlichen Adressen, klicken Sie auf Hinzufügen und tragen die Startadresse des Adresspools ein. Wollen Sie nicht alle öffentlichen Adressen für den NAT-Router verwenden, können Sie an dieser Stelle mit einer beliebigen Adresse Ihres Pools starten. Durch die Angabe der Subnetzmaske unter Maske legen Sie zugleich auch die letzte verfügbare Adresse fest. Prinzipiell können Sie die unter Endadresse angegebene letzte öffentliche Adresse aber ebenfalls noch einmal anpassen. Bestätigen Sie den neuen Adresspool durch einen Klick auf OK. Abbildung 11.46: Definieren Sie einen Pool öffentlicher Adressen
454
Gesicherte Netzwerkkommunikation durch Routing
3. Zurück auf der Registerkarte Adresspool können Sie nun erneut auf Hinzufügen klicken und weitere öffentliche Adressen an den NAT-Router binden. Beachten Sie noch einmal, dass diese Adressen nicht mehr von anderen Servern verwendet werden können. Um nun festzulegen, an welchen Server im privaten Netzwerk eine öffentliche Anfrage weitergeleitet werden soll, klicken Sie auf die Schaltfläche Reservierungen. 4. Im folgenden Dialogfenster erhalten Sie eine Übersicht über die aktuellen Reservierungen. Bei einer Neukonfiguration ist das Fenster verständlicherweise leer. Klicken Sie auf Hinzufügen, um die erste Reservierung zu definieren. Sie werden nun aufgefordert, im Feld Die öffentliche Adresse reservieren die öffentliche Adresse anzugeben, unter der der Server im privaten Netzwerk in Zukunft angesprochen werden kann. Da der Server selbst ja gar keine öffentliche Adresse besitzt, müssen Sie anschließend im Feld Für diesen Computer im privaten Netzwerk die private Netzwerkadresse des Servers eintragen. An diese Adresse leitet der NAT-Router in Zukunft Anfragen von öffentlichen Clients auf die öffentliche Adresse gezielt weiter. Beachten Sie bei der Eingabe der Daten, dass die angegebene öffentliche Adresse Bestandteil des zuvor festgelegten Adresspools sein muss. Abbildung 11.47: Reservieren Sie eine öffentliche Adresse für das Mapping auf eine private Adresse
5. Damit der NAT-Router die Weiterleitung auch tatsächlich durchführt, müssen Sie abschließend noch die Option Eingehende Sitzungen an dieser Adresse zulassen aktivieren. Sonst ist die Zuordnung zwar reserviert, es findet aber keine Weiterleitung statt. Bestätigen Sie Ihre Einstellungen durch einen Klick auf OK. 6. Zurück im Dialogfenster Adressen reservieren klicken Sie nun erneut auf Hinzufügen und geben eine neue zu reservierende Adresse ein. Führen Sie diesen Vorgang für alle Server im privaten Netzwerk durch, die über das öffentliche Netzwerk adressierbar sein sollen. Schließen Sie dann das Dialogfenster durch einen Klick auf OK. 7. Auf der Registerkarte Adresspool klicken Sie nun noch auf OK, um die neuen Einstellungen zu übernehmen. Ab sofort stehen die Einstellungen bereit. Wenn ein Client im Internet eine der reservierten Adressen kontaktiert, stellt der NAT-Router die Verbindung zum angegebenen Server her und ermöglicht so die gesicherte Kommunikation.
455
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.48: Definieren Sie das Reverse-NAT für alle bereitzustellenden Server des privaten Netzwerks
Port-orientiertes Reverse-NAT Der Nachteil der eben beschriebenen Reverse-NAT-Methode ist, dass Sie nicht definieren können, auf welche Serverdienste ein externer Client zugreifen kann. Sofern der Server mit den entsprechenden Diensten ausgestattet ist, antwortet der Server bei einfachem Reverse-NAT auf alle ClientAnfragen, von der Webseite bis hin zu einer Verbindung mit einer Freigabe. Wenn Ihnen dies zu unsicher erscheint, können Sie unter Routing und RAS noch eine weitere Stufe an Sicherheit hinzufügen. Anstelle simple Mappings von Adressen durchzuführen, bilden Sie einzelne Portanfragen auf Server im privaten Netzwerk ab. Diese Lösung hat den Vorteil, dass Sie beispielsweise eine Anfrage auf dem http-Port 80 zulassen können, während alle anderen Anfragen nicht beantwortet werden. Um diese Sicherheitsvariante einzurichten, gehen Sie wie folgt vor: 1. Klicken Sie in der Routing- und RAS-Konsole auf den Ordner Servername/IP-Routing/Netzwerkadressübersetzung. Klicken Sie dann mit der rechten Maustaste auf die öffentliche Schnittstelle, also die an das Internet angebundene Schnittstelle, und wählen im angezeigten Kontextmenü die Option Eigenschaften. 2. Wechseln Sie im angezeigten Dialogfenster auf die Registerkarte Adresspool, um die Ihnen zur Verfügung stehenden öffentlichen Adressen einzutragen. Beachten Sie, dass Ihnen diese öffentlichen Adressen explizit von Ihrem Internetprovider zugewiesen werden. Sie können weder eine beliebige Adresse noch eine dynamisch zugewiesene IP einsetzen, sondern benötigen statische Adressen, die nur für Sie reserviert sind. Verfügen Sie über solche öffentlichen Adressen, klicken Sie auf Hinzufügen
456
Gesicherte Netzwerkkommunikation durch Routing
und tragen die Startadresse des Adresspools ein. Wollen Sie nicht alle öffentlichen Adressen für den NAT-Router verwenden, können Sie an dieser Stelle mit einer beliebigen Adresse Ihres Pools starten. Durch die Angabe der Subnetzmaske unter Maske legen Sie zugleich auch die letzte verfügbare Adresse fest. Prinzipiell können Sie die unter Endadresse angegebene letzte öffentliche Adresse aber ebenfalls noch einmal anpassen. Bestätigen Sie den neuen Adresspool durch einen Klick auf OK. 3. Wechseln Sie nun auf die Registerkarte Spezielle Ports. Hier können Sie festlegen, welche Anfragen auf welche öffentlichen Adressen und Ports wie weitergeleitet werden sollen. Dazu wählen Sie im ersten Schritt im Listenfeld Protokoll das Protokoll, über das der Client mit dem Server kommuniziert. Bei http wäre dies beispielsweise TCP, bei DNS-Anfragen wäre es hingegen UDP. Klicken Sie auf Hinzufügen, um das erste neue Mapping zu definieren. 4. Im geöffneten Dialogfenster legen Sie zuerst einmal fest, auf welcher öffentlichen IP-Adresse die Anfrage eines Clients stattfinden muss, um das Reverse-NAT durchzuführen. Wenn Sie keinen Adresspool definiert haben, steht Ihnen hier nur die Adresse der öffentlichen Routerschnittstelle bereit, was das Mapping auf eine einzige öffentliche IP reduziert. Wenn Sie einen Adresspool vergeben haben, können Sie stattdessen die Option Auf diesem Adresspooleintrag aktivieren und die gewünschte öffentliche Adresse eintragen. Die angegebene Adresse muss sich dabei aber zwingend im vergebenen Adresspool befinden. 5. Im Anschluss daran müssen Sie im Feld Eingehender Port die Portnummer des Dienstes angeben, unter dem ein externer Client den Server im privaten Netzwerk kontaktiert. Bei http wäre dies beispielsweise der Port 80, auf dem der Webserver auf eine Verbindung wartet. Verwendet der Webserver einen anderen Port, beispielsweise 8080, müsste diese Portnummer eingetragen werden. 6. Geben Sie nun die private IP-Adresse des Servers an, an den der NATRouter die Anfrage des öffentlichen Clients weiterleiten soll. Einige IPbasierte Anwendungen verwenden zudem für die Antwort einen anderen Port als für die Anfrage des Clients. Aus diesem Grund müssen Sie den Port, unter dem die Rückantwort des Servers erfolgt, im Feld Ausgehender Port angeben. Bei http würden Sie hier beispielsweise wiederum Port 80 eintragen, die Angaben hängen vom jeweiligen Dienst ab. 7. Bestätigen Sie Ihre Auswahl durch einen Klick auf OK. Zurück auf der Registerkarte Spezielle Ports können Sie nun weitere Ports angeben. So kann man beispielsweise für FTP (Port 21) oder auch POP3 (Port 110) entsprechende Mappings auf Web- oder Mailservern eintragen. Die Verbindung ist dann nur über die angegebenen Ports möglich. Alternative Verbindungen werden vom NAT-Router abgewiesen. Mit einem Klick auf OK übernehmen Sie die Einstellungen, die ab sofort gültig sind.
457
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.49: Definieren Sie einen Port und eine öffentliche Adresse für einen privaten Server
Abbildung 11.50: Definieren Sie für mehrere Ports entsprechende Zuordnungen
11.7.3
Routen-Kommunikation verhindern
Wenn Ihr Router im Unternehmensnetzwerk mit anderen Routern kommunizieren soll, bietet es sich an, die Routen automatisiert zu übertragen. Windows bietet Ihnen für diesen Zweck eine Unterstützung für die gängigen Routerprotokolle RIP und OSPF. Ist ein Router mit diesen Protokollen ausgestattet und sind sie auch aktiviert, offenbaren sich durch die »Geschwätzig-
458
Gesicherte Netzwerkkommunikation durch Routing
keit« der Router neue Sicherheitslücken, denn die Router kommunizieren über die existierenden privaten Netzwerksegmente teils völlig ungeschützt. Aus diesem Grunde soll Sie dieser Abschnitt ein wenig auf diese Thematik sensibilisieren, ohne dabei intensiv auf die Konfiguration von Routeraustauschprotokollen einzugehen. Um RIP oder OSPF zu Ihrem Router hinzuzufügen, klicken Sie in der Routing- und RAS-Konsole mit der rechten Maustaste auf den Ordner Servername/IP-Routing/Allgemein und wählen im folgenden Kontextmenü die Option Neues Routingprotokoll. Über das folgende Dialogfenster kann man die Routingprotokolle RIP und OSPF hinzufügen. Prinzipiell ist es sogar möglich, beide Austauschprotokolle einzubinden, was aber für einen praktischen Einsatz kaum empfehlenswert ist, da zuviel Overhead auf der Netzwerkverbindung für Routerkommunikation anfallen würde. RIP-Sicherheit konfigurieren Im Anschluss an die Auswahl des Protokolls finden Sie eigene Ordnereinträge unterhalb von Servername/IP-Routing, mit denen sich die Router nun genauer für den Austausch konfigurieren lassen. Um RIP näher zu konfigurieren, klicken Sie mit der rechten Maustaste auf den Ordner RIP und wählen dort die Option Neue Schnittstelle. Sie werden dann vom System gefragt, auf welcher Schnittstelle Sie das Protokoll konfigurieren wollen. Wählen Sie hier möglichst keine Schnittstelle zum öffentlichen Netzwerk, da dann die Kommunikation mit Routern aus anderen Netzen von vornherein zugelassen würde. Nutzen Sie also stets nur Schnittstellen zu Ihrem privaten Netzwerk, damit die Routerdaten im Unternehmen verbleiben. Wenn Sie auch auf öffentlichen Schnittstellen ein Routingprotokoll betreiben wollen, sollten Sie die beiden Routerseiten streng voneinander trennen und über entsprechende Filterfunktionen eine Übergabe privater Daten an das öffentliche Netzwerk verhindern. Wenn Sie die Schnittstelle ausgewählt haben, zeigt Ihnen Windows ein Dialogfenster an, in dem Sie den Typ des Datenaustauschs über RIP näher beschreiben müssen. Als Betriebsmodus sollten Sie bei einem relativ dynamischen großen Netzwerk die Option Modus für regelmäßige Updates verwenden, da sich die Routingtabelle des jeweiligen Routers nur temporär aus den Informationen anderer Router speist. Bei einem Neustart des Diensts gehen alle Informationen wieder verloren. Gleichzeitig können die Daten aber auch nach jedem Abgleich wieder anders lauten. Der Modus für autostatische Updates hingegen macht aus den RIP-Daten anderer Router statische Routen, sodass diese Einträge auch später im Router fest eingetragen sind und bei Bedarf von Hand gelöscht werden müssen. Die hier gebotene Auswahl ist nicht sicherheitskritisch. Kritisch ist hingegen die Auswahl des zu verwendenden Kommunikationsprotokolls. Dabei sollten Sie sich bemühen, sowohl unter Protokoll ausgehender Pakete als auch unter Protokoll eingehender Pakete RIP, Version 2 einzusetzen. Dies bietet eine ganze Reihe von Vorteilen, die auch mit der Sicherheit zu tun haben. Nur wenn Sie RIP, Version 2 verwenden, steht Ihnen
459
11 Sicherheit der verschiedenen Netzwerkdienste
die Option Authentifizierung verwenden zur Verfügung. Sie können dann ein Kennwort vorgeben, dass beide kommunizierenden Router kennen müssen, um miteinander die Routen abzugleichen. Beachten Sie, dass Ihnen die Option bei RIP, Version 1 zwar angeboten wird, aber ohne Funktion ist, da RIP, Version 1 keine Authentifizierung beherrscht. Durch das Kennwort stellen Sie sicher, dass keine unautorisierte Kommunikation mit Ihrem Router stattfinden kann. Sie sollten jedoch wissen, dass das Kennwort bei der Kommunikation im Klartext übertragen wird, also ein entsprechendes Monitoroder Sniffer-Tool das Passwort durchaus mitschneiden und dekodieren kann. Ein weiterer Vorteil von RIP, Version 2 ist zudem, dass damit andere Router, die nur RIP, Version 1 unterstützen, von vornherein ausgeschlossen werden. Mit OK übernehmen Sie die Einstellung für die Schnittstelle. Abbildung 11.51: Legen Sie ein Kennwort für die RIPKommunikation fest
Eine weitere Sicherungsfunktion ist die so genannte Peer-Sicherheit. Hiermit können Sie genau festlegen, mit welchen Routern Ihr Router aktuell kommunizieren darf und von welchen Routern er zusätzliche Routen annimmt. Sofern Sie Kenntnis von allen im Netzwerk befindlichen Routern haben, ist dies wohl die effektivste Methode für einen kontrollierten Datenaustausch zwischen Routern. Sie verhindern so sowohl die Gefahr einer korrupten Routerinformation als auch die Gefahr des Eintrags einer illegalen Route. Um die Austauschpartner festzulegen, klicken Sie mit der rechten Maustaste auf den Ordner Servername/IP-Routing/RIP und wählen im angezeigten Kontextmenü die Option Eigenschaften. Im folgenden Dialogfenster wechseln Sie auf die Registerkarte Sicherheit. Standardmäßig ist hier die Option Ankündi-
460
Gesicherte Netzwerkkommunikation durch Routing
gungen von allen Routern akzeptieren aktiv. Der Router akzeptiert also automatisch RIP-Informationen von allen anderen Routern, die ihn erreichen. Um die Sicherheit zu optimieren, verwenden Sie entweder die Option Ankündigungen nur von aufgelisteten Routern akzeptieren oder die Option Ankündigungen von allen aufgelisteten Routern ignorieren. Die erstere Version ist die sicherste, da Sie hiermit nur Routen von bestimmten Routern überhaupt zulassen. Letztere Variante schließt lediglich einige Router aus, ist aber nicht sicher, da nicht angegebene Router weiterhin Daten an Ihren Router replizieren können. Mit OK schließen Sie Ihre Auswahl ab. Abbildung 11.52: Definieren Sie die Peer-Sicherheit für Ihren Router
Zwei weitere Funktionalitäten dienen ebenfalls der Sicherheit und werden bei der Konfiguration der RIP-Schnittstelle eingesetzt, die so genannten Routenfilter und die Nachbar-Funktionalität. Um diese Funktionen einzusetzen, fügen Sie, wie oben beschrieben, eine neue Schnittstelle für RIP hinzu oder klicken nachträglich doppelt auf eine existierende Schnittstelle, um die Eigenschaften anzuzeigen. Im Dialogfenster RIP-Eigenschaften wechseln Sie dann zuerst auf die Registerkarte Sicherheit, um die Routenfilter festzulegen. Im Listenfeld Aktion wählen Sie anschließend im ersten Schritt, ob Sie die Filter zuerst für die eingehenden oder für die ausgehenden Routen festlegen wollen. Die Reihenfolge ist aber prinzipiell egal, da Sie in jedem Fall beide Aktionen konfigurieren sollten. Haben Sie die Option Für eingehende Routen ausgewählt, können Sie über die Option Alle Routen in den aufgeführten Bereichen akzeptieren eine Liste von Adressbereichen vordefinieren, über die der Router Routinginformationen annimmt. Liegt eine von einem
461
11 Sicherheit der verschiedenen Netzwerkdienste
Router erhaltene Segmentinformation in einem anderen Bereich, wird sie vom Router verworfen. Dies setzt zwar eine genaue Kenntnis der eigenen Netzwerksegmente voraus, ist aber die sicherste Einstellung. Alternativ können Sie auch die Option Alle Routen in den aufgeführten Bereiche ignorieren einsetzen und dann alle Bereiche ausschließen außer denen, die in Ihrem Unternehmens-LAN tatsächlich zum Einsatz kommen. Abbildung 11.53: Die Routenfilter verhindern den Austausch von unzulässigen Routen
Die gleichen Angaben müssen Sie anschließend noch einmal bei aktivierter Option Für ausgehende Routen ausführen. Diesmal aktivieren Sie die Option Alle Routen der aufgeführten Bereiche ansagen, um sicherzustellen, dass Ihr Router nur die von Ihnen vorgegebenen Routen an andere Router kommuniziert. Alternativ können Sie auch die Option Keine Routen der aufgeführten Bereiche ansagen einschalten, wenn bestimmten Routinginformationen Ihres Routers in keinem Fall an andere Router kommuniziert werden sollen. Die Nachbarfunktion bietet ebenfalls eine zusätzliche Sicherheitsfunktion. Standardmäßig kommunizieren Router über Broadcasts oder Multicasts miteinander, die Daten werden also nicht gerichtet über das Netzwerk übertragen. Um die Steuerung der Kommunikation effektiver und kontrollierter zu gestalten, können Sie auf der Registerkarte Nachbarn einer RIP-Schnittstelle die Option Nachbarn anstelle von Broadcast bzw. Multicast verwenden einschalten. Die Erkennung von Routern erfolgt dann nicht mehr über Broadoder Multicast, sondern nur auf Basis der angegebenen IP-Adressliste. Andere Routerdaten werden so von vornherein nicht mehr akzeptiert. Tra-
462
Gesicherte Netzwerkkommunikation durch Routing
gen Sie die jeweiligen IP-Adressen der Nachbarrouter ein und klicken sie auf Hinzufügen, um die Liste der erwünschten Router zu bestücken. Klicken Sie schließlich auf OK, um die Einstellung zu übernehmen. Abbildung 11.54: Definieren Sie, welche Routen an andere Router kommuniziert werden sollen
Abbildung 11.55: Die NachbarFunktion bietet eine direkte Kommunikation mit benachbarten Routern
463
11 Sicherheit der verschiedenen Netzwerkdienste
OSPF-Sicherheit konfigurieren An dieser Stelle soll nicht über den Nutzen von OSPF in Unternehmensnetzwerken diskutiert werden. Dennoch ist es fragwürdig, ob, abgesehen von großen multinationalen Konzernen, Unternehmen dieses sehr aufwändige und schwer zu konfigurierende Protokoll einsetzen sollten. OSPF ist ein sehr dynamisches Protokoll, bei dem die Wegwahl sekündlich neu definiert werden kann. Vom Verfahren her muss man sich OSPF ähnlich wie DNS als verteilte Datenbank vorstellen, bei dem bestimmte Router gezielt Informationen für bestimmte größere Bereiche des Netzwerks halten. Wollen Sie dennoch mit OSPF arbeiten, fügen Sie das entsprechende Protokoll unter Routing und RAS hinzu und klicken mit der rechten Maustaste auf den OSPF-Eintrag unter Servername/IP-Routing. Wählen Sie im folgenden Kontextmenü die Option Neue Schnittstelle und anschließend die private Schnittstelle aus, die mit anderen Routern kommunizieren soll. Sie sollten es, sofern möglich, auch hier vermeiden, öffentliche Schnittstellen über OSPF anzusteuern. Insgesamt stehen Ihnen unter OSPF zwei Sicherheitsfunktionen zur Verfügung. Wie bei RIP können Sie vor den Austausch der Routerdaten eine Passwortabfrage setzen. Dazu rufen Sie die Eigenschaften einer bestehenden OSPF-Schnittstelle auf oder fügen eine neue Schnittstelle hinzu und wechseln im zugehörigen Dialogfenster auf die Registerkarte Allgemein. Schalten Sie hier, sofern noch nicht geschehen, die Option OSPF für diese Adresse aktivieren ein und definieren Sie im gleichnamigen Feld ein Kennwort für den Routeraustausch. Standardmäßig gibt das System übrigens bereits das Kennwort 123456768 vor, das aber nach Möglichkeit von Ihnen geändert werden sollte. Durch das Kennwort führt Ihr Router nur einen Datenaustausch mit benachbarten Routern aus, wenn diese über das gleiche Kennwort verfügen. Bestätigen Sie zum Abschluss der Konfiguration Ihre Einstellungen mit OK. Die zweite Sicherheitsfunktion legen Sie fest, indem Sie mit den so genannten autonomen Systemgrenzroutern arbeiten. Prinzipiell arbeitet das OSPFNetzwerk als autonomes Netzwerk, das nur interne Daten verwendet. Durch externe Routen, die über statische Routen oder per RIP in das Netzwerk gelangen, können dennoch korrupte Daten in das OSPF-Netzwerk übertragen werden. Um dies zu verhindern, klicken Sie auf einem Router, der als Grenzrouter arbeiten soll, mit der rechten Maustaste auf den Ordner OSPF und wählen im angezeigten Kontextmenü die Option Eigenschaften. Wechseln Sie im so geöffneten Dialogfenster zuerst auf die Registerkarte Allgemein und aktivieren Sie die Option Autonomen Systemgrenzrouter aktivieren. Der ausgewählte Router wird so zum Grenzrouter, der als einziger im OSPFNetzwerk mit anderen externen Routersystemen kommuniziert. Wechseln Sie danach auf die Registerkarte Externes Routing, über die Sie nun bestimmen, welche Kommunikationstypen der Grenzrouter unterstützen soll. Dabei haben Sie die Wahl zwischen der Option Routen aller Routingquellen, mit Ausnahme der gewählten, akzeptieren und der Option Routen aller Routenquellen, mit Ausnahme der gewählten, ignorieren. Die letztere Option ist sicherer, da Sie hiermit genau vorgeben, welcher Routerverkehr in das autonome OSPF-Netzwerk hinein darf. Die Auswahl richtet sich dabei nach den
464
Gesicherte Netzwerkkommunikation durch Routing
Datentypen, die von benachbarten Routern unterstützt werden und die für das OSPF-Netzwerk von Belang sind. So können Sie beispielsweise die Option RIP, Version 2, für das Internetprotokoll einschalten, wenn Sie von benachbarten Routern Routen über RIP, Version 2 einlesen wollen. Abbildung 11.56: Bestimmen Sie ein Kennwort für den OSPF-Routerabgleich
Abbildung 11.57: Aktivieren Sie den Grenzrouter
465
11 Sicherheit der verschiedenen Netzwerkdienste
Sie haben dann zusätzlich die Möglichkeit, mit Routenfiltern zu arbeiten. Für die ausgewählten Austauschprotokolle können Sie nun noch gültige Bereiche festlegen. Dabei können Sie nach einem Klick auf die Schaltfläche Routefilter bestimmen, ob nur Daten von vorgegebenen Routenbereichen akzeptiert werden oder ob bestimmte Routenbereiche ignoriert werden sollen. Je nach Auswahl geben Sie die gewünschten Bereiche in der Bereichsliste an. Die Vorgaben des Grenzrouters treten anschließend nach einem Klick auf OK in Kraft. Abbildung 11.58: Legen Sie fest, welcher Datenaustausch über den Grenzrouter stattfinden soll
11.8 Remote-Zugänge durch RAS und VPN Wie bereits zu Beginn des Kapitels angesprochen, verfügen heute viele Unternehmen über den Bedarf an externen Zugängen zum Unternehmensnetzwerk. Dabei handelt es sich entweder über Einwahlverfahren oder aber über einen indirekten Zugang über das Internet. Das Dumme ist nur, dass ein Netzwerk in dem Moment verwundbar wird, in dem es sich nach außen hinöffnet. Zugegebenermaßen ist der sicherste Computer immer noch der, der ausgeschaltet ist, aber dennoch muss man sich bei dem Öffnen des Netzwerks zusätzliche Gedanken über die Sicherheit machen. Die folgenden Abschnitte sollen daher einen genaueren Einblick in die Sicherung von RASund VPN-Zugängen geben. Da wir keine Referenz zur Routing- und RAS-
466
Remote-Zugänge durch RAS und VPN
Technologie schreiben, geben die Abschnitte keine Auskunft über die generelle Konfiguration von RAS-Zugängen. Hierfür (Achtung, schon wieder Werbung) gibt es ebenfalls Bücher aus dem Addison Wesley-Verlag.
11.8.1
Anforderungen bei der Anbindung von Remote-Benutzern und Remote-Standorten
Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetz im Rahmen des Sicherheits-Managements sich auch um die Sicherheit von Routing & RAS-Verbindungen kümmern müssen, oder ob Sie bereits alles Notwendige getan haben, stellen wir Ihnen zu Beginn des Kapitels noch einmal typische Anforderungen, Ziele oder Visionen vor. In puncto Sicherheit der Routing & RAS-Verbindungen werden häufig folgende Anforderungen gestellt: 왘 »Knacken« des Passwortes: Wenn ein Hacker einen Anwendernamen
bereits kennt, kann er versuchen, das dazugehörige Passwort herauszufinden. Dazu können inzwischen Programme eingesetzt werden, die über ganze Listen mit gängigen Passwörtern verfügen. Schutz vor solchen Attacken bieten die komplexen Passwörter und das Sperren eines Anwender-Accounts nach einer bestimmten Anzahl von Fehlversuchen. 왘 Mitschneiden von übertragenen Daten beim Remote-Zugriff: Hacker
versuchen oftmals mit Tools wie dem Netzwerk-Monitor oder dem Sniffer, übertragene Daten mitzuschneiden, um an Passwörter oder vertrauliche Firmendaten heranzukommen. Durch das Verwenden einer Authentifizierungsmethode mit starker Verschlüsselung lässt sich das Passwort und durch die Verschlüsselung der übertragenen Daten die Dateninhalte sichern. 왘 Vortäuschen einer falschen Identität: In diesem Fall versucht der
Hacker einen normalen Anwender davon zu überzeugen, ihm Anmeldeinformationen zu geben, damit er sich später selbst nicht autorisierten Zugriff verschaffen kann. Durch den Einsatz von Rückrufverfahren und vordefinierten Rückrufnummern, den Einsatz von Authentifizierungverfahren wie der Smartcard oder die Verwendung von autorisierten IPAdressen kann diese Gefahr gemindert werden.
11.8.2
Sicherheit der RAS-Authentifizierung konfigurieren
Die Sicherheit der Authentifizierung ist der erste wichtige Schritt in der Sicherung eines RAS- oder VPN-Zugangs. Es wäre beispielsweise fatal, bei einem Zugang über Internet die Übertragung eines Kennworts in Klartext zuzulassen. Dann können Sie die Daten für den VPN-Zugang gleich in einem der bekannten schwarzen Bretter im Internet veröffentlichen. Es ist also wichtig, die verschlüsselte Authentifizierung auf das höchstmögliche Maß festzuschreiben.
467
11 Sicherheit der verschiedenen Netzwerkdienste
Authentifizierungsprotokolle Versucht ein Anwender von einem Remote-Standort eine Verbindung aufzubauen, wird er zunächst durch den RAS-Server authentifiziert, bevor er Zugriff auf das Unternehmensnetzwerk erhält. Unter Windows 2000 stehen Ihnen die folgenden Protokolle zur Verfügung: 왘 PAP: Das Password Authentification Protokoll bietet nur einen niedrigen
Sicherheitsfaktor, da es Passwörter unverschlüsselt übermittelt. Stimmt das Passwort, erhält der Client Zugriff. Kann von den meisten Clients verwendet werden. 왘 SPAP: Das Shiva Password Authentification Protokoll verwendet einen
bidirektionalen, reversiblen Verschlüsselungsmechanismus und übersendet Passwörter verschlüsselt. Wird bei Verbindungen zu Shiva LANRover oder von Shiva-Clients verwendet. Mittlere Sicherheit. 왘 CHAP: Das Challenge Authentification Protokoll nutzt das unidirektio-
nale Verschlüsselungsschema MD5, um die Antwort (Benutzername, Kennwort und Sitzungskennung) auf die Anfrage des RAS-Servers in verschlüsselter Form zu senden. Kann auch von Nicht-Microsoft-Clients verwendet werden. Hohe Sicherheit. 왘 MS-CHAP: Das Microsoft Challenge Handshake Authentification Proto-
col funktioniert nach dem Prinzip von CHAP und ermöglicht die Nutzung der Microsoft-Point-to-Point-Encryption (MPPE). Kann nur unter WIN 9x, WINNT 4.0 oder Windows 2000 genutzt werden. 왘 MS-CHAP V2: Die neuere Version bietet eine bidirektionale Authentifi-
zierung. Bei einem reinen Windows 2000-Netzwerk kann dieses Protokoll sowohl für DFÜ- als auch VPN-Verbindungen verwendet werden. Bei Netzen mit WIN 9x und WINNT 4.0 kann das Protokoll nur für VPNVerbindungen genutzt werden. Ältere Clients werden nicht unterstützt. Sicherste Form der Authentifizierung. Neben den bereits behandelten Authentifizierungsprotokollen gibt es ein Extensible Authentification Protocoll (EAP) inklusive einer entsprechenden Anwendungsprogrammierschnittstelle, das eine benutzerdefinierte Authentifizierung am RAS-Server ermöglicht. RAS-Server und -Client verhandeln in diesem Fall die exakte Authentifizierungsmethode. Folgende Protokolle werden von EAP unterstützt: 왘 MD5-CHAP: In diesem Fall wird sowohl die Benutzerkennung als auch
das Passwort nach dem MD5-Algorithmus verschlüsselt. 왘 TLS: TLS steht für Transport Layer Security und wird in der Regel immer
im Zusammenspiel mit so genannten Smartcards verwendet. Bei Smartcards handelt es sich um Karten, die ein Benutzerzertifikat und einen privaten Schlüssel des Anwenders gespeichert haben. Diese Karten werden in ein Lesegerät eingeführt und übernehmen somit die Authentifizierung für den Benutzer.
468
Remote-Zugänge durch RAS und VPN 왘 Weitere Lösungen: Von Drittanbietern gibt es inzwischen noch weitere
Lösungen, wie z.B. die Tokencards, die, ähnlich den Smartcards, die Benutzerauthentifizierung übernehmen. Allerdings übersenden die Tokencards in der Regel einen Code, der sich nach jeder Verwendung verändert. EAP unterstützt aber auch biometrische Authentifizierungsmethoden wie z.B. Fingerabdruckscanner. Anpassen der Authentifizierung Um bei RAS-Verbindungen bestimmte Authentifizierungen zu erzwingen und zu unsichere Mechanismen abzuschalten, müssen Sie die Eigenschaften Ihres RAS- bzw. VPN-Servers anpassen. Zu diesem Zweck klicken Sie in der Routing- und RAS-Konsole mit der rechten Maustaste auf den Servernamen und wählen im angezeigten Kontextmenü die Option Eigenschaften. Wechseln Sie im geöffneten Dialogfenster auf die Registerkarte Sicherheit, in der Ihnen standardmäßig für die Authentifikation die Windows-Authentifizierung und die Windows-Kontoführung angeboten werden. Sofern Sie einen Zugang für ein Windows-Netzwerk einrichten und ausschließlich Windows-Clients einsetzen, ist diese Vorgabe die bestmögliche Einstellung und sollte daher nicht geändert werden. Wenn Sie hingegen nicht mit der Windows-basierten Authentifikation arbeiten wollen, z.B. weil Clients unter anderen Betriebssystemen arbeiten, können Sie hier auch auf das RADIUS-Verfahren zurückgreifen. Auf dieses Verfahren gehen wir in diesem Kapitel in einem späteren Abschnitt ein. Wenn Sie die Windows-Authentifizierung verwenden, können Sie direkt auf die Schaltfläche Authentifizierungsmethoden klicken, um die zulässigen Methoden zur Anmeldung am System festzulegen. Abbildung 11.59: Legen Sie den Authentifizierungstyp in den Server-Eigenschaften fest
469
11 Sicherheit der verschiedenen Netzwerkdienste
Im Dialogfenster Authentifizierungsmethoden haben Sie nun die Wahl zwischen den im vorangegangenen Abschnitt vorgestellten Verschlüsselungsverfahren. Generell sind hierbei die Optionen Unverschlüsseltes Kennwort (PAP) und Shiva-Password-Authentication-Protokoll (SPAP) als unsicher einzustufen, da hier die Kennwörter unverschlüsselt übergeben werden. Sie sollten diese Optionen also unbedingt deaktivieren. Ebenfalls deaktivieren sollten Sie die Option Remotesysteme dürfen Verbindungen ohne Authentifizierung herstellen, da Sie sonst Ihre Unternehmensdaten gleich in der Bildzeitung veröffentlichen können. Das Mindeste, was Sie für Ihre Passwortsicherheit tun können, ist die Nutzung von CHAP. Da es sich hierbei um einen aus der UNIX-Welt kommenden, uralten Authentifizierungsstandard handelt, gibt es heute keinen Grund mehr, nicht wenigstens diese gesicherte Passwortübertragung zu fordern. Empfehlenswert wäre es aber, auch auf dieses, nicht gerade sicher verschlüsselte Protokoll zu verzichten und ausschließlich sicherere Protokolle zu verwenden. Sofern Sie ausschließlich Windows-Clients für den externen Zugang einsetzen, können Sie die Authentifizierung auf die Nutzung der Optionen Microsoft verschlüsselte Authentifizierung (MS-CHAP) und Microsoft verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2) beschränken. Wenn Sie für den externen Zugang ausschließlich Windows-Clients ab Windows 2000 und neuer verwenden, können Sie sogar auf das MS-CHAP-Protokoll verzichten und ausschließlich auf das sichere MS-CHAP v2-Protokoll zurückgreifen. Beachten Sie, dass dieses Protokoll nur eingeschränkt von älteren WindowsVersionen unterstützt wird. Über ein Update des DFÜ-Clients bzw. die eingebaute DFÜ-Funktionalität können Sie Windows 9x, Me und Windows NT 4.0 in die Lage versetzen, MS-CHAP v2 für die Authentifizierung per VPN zu unterstützen. Eine Authentifikation bei einer RAS-Einwahl ist diesen Clients jedoch nicht möglich, wenn ausschließlich MS-CHAP v2 eingesetzt wird. Abbildung 11.60: Legen Sie fest, welche Authentifizierungsmethoden Ihr RAS-Server unterstützt
470
Remote-Zugänge durch RAS und VPN
Neben den klassischen Authentifikationsprotokollen unterstützt RAS auch das EAP-Protokoll für die Authentifizierung über eine Smartcard oder vergleichbare Verfahren. Setzen Sie solche Verfahren bereits ein, aktivieren Sie die Option Extensible-Authentication-Protokoll (EAP). Klicken Sie anschließend auf die Schaltfläche EAP-Methoden, um die Art der unterstützten Authentifikation abzufragen. Zur Verfügung stehen unter einem StandardWindows das MD5-Challenge-Protokoll und die Smartcard. Hersteller von entsprechenden Drittlösungen können jedoch die Liste der unterstützten Verfahren beliebig erweitern. Um Ihre Auswahl zu übernehmen, klicken Sie im Dialogfenster Authentifizierungsmethoden und im Eigenschaften-Dialogfenster selbst jeweils auf OK. Die Einstellungen für die Authentifizierungssicherheit sind ab sofort gültig, betreffen jedoch keine aktiven Verbindungen. Es ist daher ratsam, alle aktiven Verbindungen durch einen Neustart des Routing- und RAS-Diensts in der Dienste-Konsole zu unterbrechen, um so eine korrekte Neuanmeldung zu erzwingen. Alternativ können Sie auch in der Routing- und RAS-Konsole mit der rechten Maustaste auf den Server klicken und dann den Befehl Alle Tasks/Neu starten nutzen.
11.8.3
Sicherheit der Datenübertragung konfigurieren
Die Datenübertragung bei externen Zugriffen ist eine weitere Überlegung, die in Ihr Sicherheitskonzept integriert werden sollte. Prinzipiell ist es möglich, den über eine öffentliche Telefonleitung hergestellten Datenverkehr abzuhören und die gewonnenen Daten auszuwerten. Noch viel wahrscheinlicher ist die Möglichkeit, dass Daten, die über das Internet übertragen werden, von unerwünschten Stellen abgefangen und analysiert werden können. Um diese Sicherheitslücken zu schließen, müssen Sie die Daten selbst verschlüsseln. Windows bietet hier sowohl für die RAS-Anbindung wie auch für die VPN-Anbindung entsprechende Verschlüsselungsfunktionen, die wir Ihnen an dieser Stelle kurz vorstellen wollen. RAS-Verschlüsselung Die Verschlüsselung unter RAS wird mithilfe des Point-to-Point-Protokolls gewährleistet. PPP steuert nicht nur die Übertragung von Netzwerkpaketen über eine öffentliche Telefonleitung, sondern nimmt zeitlich auch eine Verschlüsselung vor. Allerdings basiert diese Verschlüsselung auf einem relativ alten Algorithmus von Microsoft, dem MPPE-Algorithmus. Die MicrosoftPoint-to-Point-Encryption verfügt bei PPP über drei Verschlüsselungsstufen: 왘 40 Bit-Verschlüsselung: Diese Variante stellt die schwächste Verschlüsse-
lung dar und ist im Wesentlichen zur Unterstützung älterer MicrosoftClients, z.B. Windows 95, gedacht.
471
11 Sicherheit der verschiedenen Netzwerkdienste 왘 56 Bit-Verschlüsselung: Diese Variante stellt den Standard für PPP/
MPPE-Verbindungen dar und wird von allen neueren WindowsBetriebssystemen unterstützt. 왘 128 Bit-Verschlüsselung: Die stärkste Verschlüsselung wird nur von Cli-
ents unterstützt, die über Windows 2000 oder eine neuere Version von Windows verfügen. Die Verschlüsselung ist bereits in PPP integriert, daher müssen Sie keine weiteren Schalter setzen, allerdings kommt eine Datenverschlüsselung nur bei einer Anmeldung über die Authentifizierungsprotokolle MS-CHAP oder MS-CHAP v2 bzw. über eine Authentifizierungsmethode nach EAP-TLS zustande. Beachten Sie, dass es dem PPP-Protokoll prinzipiell völlig egal ist, was es über das öffentliche Netzwerk überträgt. Wenn Sie für Ihr Netzwerk eine IPSec-Richtlinie definiert haben, die auch RAS-Verbindungen berücksichtigt, werden die Daten einerseits mit IPSec-Verschlüsselung gesichert zum anderen aber auch durch PPP mit MPPE verschlüsselt. Dies sorgt für einen sehr starken Overhead für Dateiverschlüsselung, der die Bandbreite der RAS-Verbindung stark belastet. Wollen Sie die doppelte Verschlüsselung verhindern, müssen Sie entweder Ihre IPSec-Richtlinie anpassen, sodass nur noch der LAN-Verkehr gesichert wird, oder aber die MPPE-Verschlüsselung von RAS abschalten. VPN-Verschlüsselung Eine VPN-Verbindung ist immer verschlüsselt, weswegen der RAS-Server in diesem Fall auch immer entsprechende Authentifizierungs- und Verschlüsselungsprotokolle für die Kommunikation fordert. Die verwendeten VPNProtokolle kapseln die verschickten Datenpakete in verschlüsselte PPPPakete ein. Für den Verbindungsaufbau verwenden VPNs eines der beiden folgenden Protokolle, die bei der Aktivierung der VPN-Anschlüsse während der Installation von Routing & RAS unter Windows 2000 automatisch aktiviert werden: 왘 PPTP (Point-to-Point-Tunneling-Protocol): 왘 Das Protokoll erfordert ein IP-basiertes Netzwerk. 왘 Das Protokoll arbeitet mit 6 Byte großen Headern und unterstützt
keine Headerkomprimierung. 왘 Das Protokoll unterstützt keine Tunnelauthentifizierung. 왘 Das Protokoll verwendet PPP-Verschlüsselung. 왘 L2TP (Layer-2-Tunneling-Protocol): 왘 Für dieses Protokoll können Sie verschiedene WAN-Verbindungs-
Medien wie z.B. ein IP-basiertes Netz oder aber auch ein Frame Relay-Netz einsetzen, wichtig ist nur, dass das Tunnelmedium eine paketorientierte Punkt-zu-Punkt-Verbindung bereitstellt.
472
Remote-Zugänge durch RAS und VPN 왘 Das Protokoll arbeitet mit 4 Byte großen Headern und unterstützt
Headerkomprimierung. 왘 Das Protokoll unterstützt Tunnelauthentifizierung. 왘 Nur durch die Kombination mit IPSec können übertragene Kenn-
wörter und Daten verschlüsselt werden. Während es bei den Authentifizierungsprotokollen um die sichere Übermittlung der Benutzerdaten geht, sorgen die Verschlüsselungsprotokolle für die sichere Übertragung der Daten zwischen RAS-Client und RAS-Server. Allerdings steht eine Datenverschlüsselung nur dann zur Verfügung, wenn Sie als Authentifizierungsprotokolle MS-CHAP, MS-CHAP V2 oder EAPTLS verwenden. Für die Verschlüsslung stehen Ihnen zwei Methoden zur Auswahl: Die Microsoft-Point-to-Point-Encryption steht Ihnen zur Verfügung, wenn Sie eine PPTP-Verbindung zu einem VPN-Server aufgebaut haben. In diesem Fall stehen Ihnen drei Verschlüsselungsebenen zur Verfügung: 왘 Basisverschlüsselung mit 40 Bit 왘 Starke Verschlüsselung mit 56 Bit 왘 Stärkste Verschlüsselung mit 128 Bit (Nur nach Installation des High
Encryption Packs möglich) Nutzen Sie eine L2TP-Verbindung zu einem VPN-Server, können Sie ebenfalls die übertragenen Daten verschlüsseln, allerdings nur, wenn Sie zusätzlich IPSec aktiviert haben. In diesem Fall stehen Ihnen eigentlich nur zwei Verschlüsselungsebenen zur Verfügung: 왘 Basisverschlüsselung mit 56Bit-DES 왘 Starke Verschlüsselung mit ebenfalls 56Bit-DES 왘 Stärkste Verschlüsselung mit 3DES
Beachten Sie bei L2TP, dass das Protokoll sich prinzipiell auf den reinen Verbindungsaufbau konzentriert und keine Datensicherheit bietet. L2TP ist so konzipiert, dass es mit jeder beliebigen am Markt befindlichen Methode zur Datenverschlüsselung kombiniert werden kann. Wollen Sie L2TP einsetzen und die übertragenen Daten verschlüsseln, müssen Sie auf IPSec-Mechanismen zurückgreifen, die explizit aktiviert werden müssen. Datenverschlüsselung einschalten Um Ihnen den praktischen Umgang mit der Datenverschlüsselung zeigen zu können, müssen wir ein wenig vorgreifen, denn die Verschlüsselungsstärke wird in den so genannten RAS-Richtlinien definiert. Diese Richtlinien stellen wir Ihnen im folgenden Kapitel noch etwas genauer vor, daher arbeiten wir in diesem Beispiel ausschließlich mit der Standardrichtlinie, die bei jedem RAS-Server automatisch konfiguriert ist. Prinzipiell ist es aber über unterschiedliche Richtlinien für unterschiedliche Personenkreise möglich,
473
11 Sicherheit der verschiedenen Netzwerkdienste
differenzierte Verschlüsselungsstärken zu fordern. So können Sie beispielsweise für sich von extern einwählende Geschäftsführer eine höhere Verschlüsselung der Daten fordern, als für einfache Mitarbeiter, die weniger sensitive Daten übertragen. Um die Verschlüsselung für das RAS-Protokoll PPP oder das VPN-Protokoll PPTP zu aktivieren, müssen Sie noch vor der eigentlichen Datenverschlüsselung die Authentifizierung der Anwender festlegen. Dazu müssen Sie bei den Eigenschaften des RAS-Servers auf der Registerkarte Sicherheit auf die Schaltfläche Authentifizierungsmethoden klicken und wenigstens eines der Protokolle MS-CHAP oder MS-CHAP v2 auswählen. Nur dann werden auch die Daten verschlüsselt. Im Anschluss daran klicken Sie in der linken Fensterhälfte der Routing- und RAS-Konsole auf den Ordner RAS-Richtlinien. In der rechten Fensterhälfte bekommen Sie dann alle derzeit definierten RAS-Richtlinien aufgelistet, die üblicherweise die Bedingungen definieren, unter denen sich Anwender einwählen dürfen. Diese Bedingungen gelten sowohl für Einwahlverbindungen als auch für VPN-Verbindungen. Um eine der Richtlinien zu bearbeiten, klicken Sie mit der rechten Maustaste auf die Richtlinie und wählen im angezeigten Kontextmenü die Option Eigenschaften. Alternativ hierzu können Sie natürlich auch mit der rechten Maustaste auf den Ordner RAS-Richtlinien klicken und über das Kontextmenü den Befehl Neue RAS-Richtlinie ausführen. Sie definieren dann eine neue Richtlinie, mit der Sie zugleich entsprechende Verschlüsselungseinstellungen vorgeben können. Abbildung 11.61: Die RAS-Richtlinie definiert die Bedingungen für einen externen Zugriff
474
Remote-Zugänge durch RAS und VPN
Im geöffneten Dialogfenster können Sie für die Richtlinie einzelne Vorgaben definieren, die wir Ihnen im folgenden Abschnitt näher erläutern. Wir möchten uns darauf beschränken, die Verschlüsselungsfunktion zu erläutern. Die Verschlüsselung ist im Profil einer Richtlinie untergebracht, daher klicken Sie auf der Registerkarte Einstellungen der Richtlinie auf die Schaltfläche Profil bearbeiten. Sie sollten allerdings beachten, dass ein Profil für Anwender nur greift, wenn die Richtlinie dazu verwendet wird, einen RAS-Zugang zu gewähren, was durch die Option RAS-Berechtigung erteilen sichergestellt wird. Ist hingegen die Option RAS-Berechtigung verweigern aktiv, findet das Profil keine Anwendung, da die betreffenden Anwender gar keine Einwahlerlaubnis erhalten. Durch den Klick auf die Schaltfläche wird ein weiteres Dialogfenster für das Zugangsprofil geöffnet. Wechseln Sie auf diesem Dialogfenster auf die Registerkarte Authentifizierung, wenn Sie Sicherheitseinstellungen für die Authentifikation definieren möchten, die von den bereits beschriebenen Server-Standardeinstellungen abweichen. Sie sollten jedoch darauf achten, dass für die Datenverschlüsselung eine der Optionen Microsoft verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2) oder Microsoft verschlüsselte Authentifizierung (MS-CHAP) aktiviert ist. Wechseln Sie danach auf die Registerkarte Verschlüsselung, um die Art der Datenverschlüsselung näher zu bestimmen. Wichtig ist, dass die hier geforderte Verschlüsselung vom Client gewährleistet werden muss, da der Server sonst die Verbindung trennt. Einige Clients können beispielsweise die stärkste Verschlüsselung nicht unterstützen, würden Sie auf Ihrem Server ausschließlich die stärkste Verschlüsselung unterstützen, könnte der Client keine Verbindung zum Server aufbauen. Sie müssen also erst einmal Ihre Clientstruktur analysieren und dann festlegen, welche Verschlüsselungsstufen Sie für die Verbindung zulassen. Wenn ein Client sich einwählt, versucht der Server zuerst einmal eine der höheren Sicherheitsstufen anzuwenden. Wenn der Client hier keine Antwort auf die Anforderung gibt, wird die Anforderung auf die nächste Stufe reduziert, bis eine kompatible Verschlüsselung gefunden ist. Die einzelnen Stufen seien kurz erläutert: 왘 Keine Verschlüsselung: Hier findet keinerlei Verschlüsselung der Daten
statt. Wenn Sie diese Option aktivieren, kann ein Client eine Verbindung mit dem RAS-Server aufbauen, selbst wenn die Daten dann unverschlüsselt über das Netzwerk übertragen werden. Diese Form ist die kompatibelste Form, da alle DFÜ- oder VPN-Clients unterstützt werden, sie bietet aber keine Sicherheit für die übermittelten Daten. 왘 Basisverschlüsselung: Wendet die MPPE-Verschlüsselung mit einem 40-
Bit-Schlüssel an. Diese Variante wird von allen Windows-Betriebssystemen ab Windows 95 unterstützt und sollte daher die Mindestanforderung an die Clients darstellen. 왘 Starke Verschlüsselung: Mit »stark« ist eine MPPE-Verschlüsselung mit
56 Bit gemeint, die von allen neueren Windows-Clients unterstützt wird. Prinzipiell sollten Sie versuchen, Ihre Clients zu einer Einwahl mit min-
475
11 Sicherheit der verschiedenen Netzwerkdienste
destens dieser Variante zu zwingen, also die beiden zuvor beschriebenen Varianten zu deaktivieren. Nur wenn die Einwahl nicht zustande kommt, sollten Sie die Sicherheit eine Stufe herabsetzen und auch die Basisverschlüsselung aktivieren. 왘 Stärkste Verschlüsselung: Dieser Typ der Verschlüsselung realisiert eine
MPPE-Verschlüsselung mit 128 Bit, was allerdings nur von Windows 2000 und neueren Windows-Betriebssystemen (z.B. XP, .NET) unterstützt wird. Abbildung 11.62: Definieren Sie, welche Datenverschlüsselungsstufen der RAS-Server fordern soll
Als Vorschlag sollten Sie bei der Definition von Datenverschlüsselung immer zuerst mit der restriktivsten Einstellung beginnen. Diese sieht vor, dass Sie ausschließlich die Option Stärkste Verschlüsselung aktivieren und alle anderen Varianten deaktivieren. Wenn dann kein Client eine Verbindung über PPP oder PPTP herstellen kann, sollten Sie die Sicherheitseinstellungen schrittweise lockern, bis die Clients einen Netzwerkzugang erhalten. Aus Sicht des Sicherheits-Managements sollten Sie von dem Einsatz der Option Keine Verschlüsselung absehen, da die Daten dann ungeschützt über öffentliche Netzwerke übertragen werden. Wenn Sie hingegen IPSec auch für Ihre RAS- oder VPN-Zugänge einsetzen, können Sie auf die Datenverschlüsselung verzichten. In diesem Fall müssten Sie bei der Datenverschlüsselung alle Verschlüsselungsvarianten abschalten und lediglich die unverschlüsselte Übertragung erlauben. Dies würde sicherstellen, dass die Daten ausschließlich über die IPSec-Einstellungen gesichert werden.
476
Remote-Zugänge durch RAS und VPN
11.8.4
Zugriffsicherheit über RAS-Richtlinien definieren
Administratoren müssen den Zugriff der Remote-Anwender und den Umfang des Zugriffs auf das Unternehmensnetzwerk steuern. Ein nützliches Hilfsmittel stellen in diesem Zusammenhang die RAS-Richtlinien dar, die eine Sammlung von Zugriffsbedingungen und Verbindungseinstellung umfassen. Sowohl der Routing & RAS-Dienst als auch der IAS-Dienst (Internet Authentification Service) arbeiten mit diesen RAS-Richtlinien zusammen. Grundlagen der RAS-Richtlinien Obwohl in den meisten Fällen die in Windows 2000 enthaltenen, vordefinierten RAS-Richtlinien für die Unternehmensbedürfnisse ausreichen, sollten Sie folgende Punkte beachten: 왘 Die RAS-Richtlinien werden lokal auf dem entsprechenden RAS-Server
und nicht im Active Directory gespeichert, was bedeutet, dass RASRichtlinien von RAS-Server zu RAS-Server variieren können. Die RASRichtlinien lassen sich aber mithilfe von IAS ( wird in einem der folgenden Abschnitte näher beschrieben) zentralisieren. 왘 Jede RAS-Richtlinie besteht aus drei wesentlichen Bestandteilen: 왘 Bedingung = Liste der Anforderungen, die ein anrufender Client
erfüllen muss. 왘 Berechtigungen = erteilt den Benutzern bestimmte Rechte, die jedoch
nur dann gewährt werden, wenn diese nicht mit den im Active Directory gespeicherten Benutzerberechtigungen kollidieren. 왘 Profil = enthält weitere Einstellungen, wie z.B. Authentifizierungs-
und Verschlüsselungsprotokolle, die dann auf eine bestehende Verbindung angewendet werden. Beim Installieren von Routing & RAS wird eine RAS-Standardrichtlinie erzeugt, deren Einstellung lautet: Zugriff zulassen, wenn Einwählrechte erteilt worden sind. Bedingungen, die sich über die RAS-Richtlinie definieren lassen Über die RAS-Richtlinie lassen sich ganz unterschiedliche Bedingungen für den Remote-Zugriff festlegen. Dabei können Sie durchaus mehrere RASRichtlinien definieren und verschiedenen Remote-Clients zuweisen. Ja, es ist sogar möglich, ein und demselben Remote-Client unterschiedliche Richtlinien zuzuweisen. Über die RAS-Richtlinien können Sie die folgenden Bedingungen definieren: 왘 Festlegen, welchen Anwendern oder Anwendergruppen Remote-Zugriff
gewährt wird. 왘 Sie können unterschiedlichen Anwendergruppen unterschiedliche Tage
und Zeiten für die Einwahlverbindungen zuweisen.
477
11 Sicherheit der verschiedenen Netzwerkdienste 왘 Sie können unterschiedlichen Anwendergruppen auch eine unterschied-
liche Zeitdauer für eine Remote-Sitzung zuweisen. 왘 Sie können für Einwählverbindungen und VPN-Verbindungen unter-
schiedliche Authentifizierungsmethoden festlegen und beim VPN je nach verwendeter PPTP- oder L2TP-Verbindung zwischen verschiedenen Authentifizierungs- und Verschlüsselungsmethoden wählen. Über die Verwendung von IP-Filtern können Sie die Subnetze, auf die ein Remote-Anwender zugreifen kann, beschränken. Zudem können die IPFilter vorgeben, über welche Ports Anwender eine Verbindung aus einem fremden Netzwerk in das private Netzwerk durchführen können. Verschiedene Einsatzmodelle Für die Verwendung der RAS-Richtlinie stehen Ihnen unter Windows 2000 drei unterschiedliche Varianten zur Verfügung: 왘 Zugriff auf Anwenderbasis verwalten (Access by User Administrative
Model): In diesem Fall werden die Berechtigungen jedem einzelnen Anwender zugewiesen. Die Berechtigung der RAS-Richtlinie wird in diesem Fall ignoriert, nicht aber die Bedingungen und die im Profilbereich der RAS-Richtlinie gespeicherten Informationen. 왘 Verwendung der RAS-Richtlinie im einheitlichen Modus: Wenn Ihnen
die Verwaltung der einzelnen Anwender zur aufwändig wird, aktivieren Sie am RAS-Server und bei den Benutzerkonten die Option Zugriff über RAS-Richtlinie steuern. Dann wird für alle Anwender die Einwahl abgelehnt, mit Ausnahme der Anwendergruppen, denen Sie die Einwahl erlaubt haben. 왘 Verwendung der RAS-Richtlinie im gemischten Modus: Die Standard-
RAS-Richtlinie kann hier nicht verwendet werden und sollte durch eine benutzerdefinierte Richtlinie ersetzt werden. Für alle Anwender, die sich einwählen können sollen, muss am Benutzeraccount eine entsprechende Berechtigung erteilt werden. Bei der Einwahl wird dann geprüft, ob der Anrufer die Bedingung der RAS-Richtlinie erfüllt, und wenn dies der Fall ist, darf er sich einwählen. RAS-Server migrieren Bei der Installation von Active Directory werden Sie gefragt, ob die Domäne noch NT 4-Basierte RAS-Server besitzt, und Sie müssen in diesem Fall die dazugehörige Option aktivieren. Das Active Directory unterstützt dann auch Anfragen von Servern, die sich zwar über ein Konto (z.B. RAS$), aber nicht über ein Kennwort authentifizieren. Da dies jedoch prinzipiell eine Sicherheitslücke darstellt, ist es nicht empfehlenswert, ein Update der Server wäre besser. Haben Sie das Update erst später durchgeführt, können Sie die Sicherheit durch das Entfernen der Gruppe Jeder aus der Gruppe Prä-Windows 2000-kompatibler Zugriff nachträglich erhöhen.
478
Remote-Zugänge durch RAS und VPN
Auswertung von RAS-Richtlinien Beim Einsatz von Richtlinien ist es ganz wichtig, dass Sie verstehen, wie Windows 2000 eine Richtlinie auswertet. Die Auswertung der RAS-Richtlinie erfolgt nämlich in drei Schritten: 1. Zuerst prüft der RAS-Server die Bedingungen der RAS-Richtlinie und checkt, ob die eingehende Verbindungsanforderung dieselben Bedingungen besitzt. 2. Ist die Bedingungsprüfung erfolgreich, werden im nächsten Schritt die Einwahlrechte des Benutzerkontos überprüft. Gewähren die Einwahlrechte über Zugriff gestatten die Einwahl, folgt Schritt 3, fordern die Einwahlrechte jedoch den Zugriff über RAS-Richtlinien steuern, werden zunächst noch die Berechtigungen der RAS-Richtlinie für den Benutzer geprüft. 3. Im letzten Schritt werden die Profileinstellungen der RAS-Richtlinie für die eingehende Verbindung geprüft. Anmerkung: Es gibt einen ganz wichtigen Unterschied zwischen einer Windows 2000-Domäne, die sich im gemischten Modus und einer Windows 2000-Domäne, die sich im einheitlichen Modus befindet. Im gemischten Modus wird die RAS-Standardrichtlinie außer Kraft gesetzt, da die Option Zugriff über RAS-Richtlinie steuern bei Routing & RAS nicht zur Verfügung steht. Im einheitlichen Modus weist die RAS-Standardrichtlinie alle eingehenden Verbindungsanforderungen ab, es sei denn, dem Benutzer, einer Benutzergruppe oder allen Benutzern wurden entsprechende Einwahlberechtigungen erteilt. Wichtig für die Konvertierung vom gemischten Modus in den einheitlichen Modus ist auch, dass in diesem Fall für alle Anwender, denen im gemischten Modus die Option Zugriff verweigern zugewiesen wurde, im einheitlichen Modus die Option Zugriff über RAS-Richtlinie steuern erteilt wird. Alle Anwender, die hingegen über das Recht Zugriff gestatten verfügen, werden nicht verändert.
11.8.5
Sicherheit über Richtlinien und Profile definieren
Damit wir Ihnen beim Umgang mit den RAS-Richtlinien noch ein wenig Praxis vermitteln können, wollen wir Ihnen den Einsatz an einem kleinen Beispiel vorführen. Dabei erheben wir keinen Anspruch auf Vollständigkeit, da wir nur auf die wesentlichen sicherheitstechnischen Faktoren eingehen wollen. Im Beispiel gehen wir davon aus, dass Sie über eine Domäne im einheitlichen Modus verfügen und die Einwahl somit über eine entsprechende RAS-Richtlinie gesteuert werden kann. 1. Im ersten Schritt klicken Sie in der Routing- und RAS-Konsole mit der rechten Maustaste auf den Ordner RAS-Richtlinien und wählen die Option Neue RAS-Richtlinie. Es ist grundsätzlich notwendig, eine neue Richtlinie zu erstellen, da Sie die Standardrichtlinie nicht löschen können, ohne dass der RAS-Server seine Arbeit einstellt und alle Einwählversuche abweist.
479
11 Sicherheit der verschiedenen Netzwerkdienste
2. Das System startet dann einen Assistenten, unter dem Sie die neue RASRichtlinie anlegen können. Zu Beginn müssen Sie für die Richtlinie einen passenden Namen vergeben. Ab Windows .NET können Sie an dieser Stelle auch einen weiteren Assistenten starten, der Ihnen die Möglichkeit gibt, vollautomatisch eine Regel für bestimmte Einwahltypologien zu erstellen. Wir wählen jedoch die Option Benutzerdefinierte Richtlinie einrichten, da wir die einzelnen Optionen dann besser erläutern können und zudem die gleichen Abfragen wie unter Windows 2000 nutzen. 3. Im folgenden Fenster müssen Sie jetzt die Richtlinienbedingungen festlegen, nach denen geprüft wird, ob sich ein Anwender einwählen darf oder nicht. Klicken Sie auf Hinzufügen, um einzelne Bedingungen hinzuzufügen. Beachten Sie, dass es sich bei den hier angegebenen Bedingungen um AND-Verknüpfungen handelt. Alle hier angegebenen Bedingungen müssen erfüllt sein, damit die Richtlinie für einen Anwender greift. Üblicherweise werden Sie hier speziell mit den Bedingungen Day-AndTime-Restrictions sowie Windows-Groups arbeiten. Abbildung 11.63: Wählen Sie eine Bedingung für den Zugang
4. Mithilfe der Windows-Groups können Sie die Einwahl von der Mitgliedschaft in bestimmten Gruppen abhängig machen, was im Hinblick auf das Windows-Sicherheitsmodell sicherlich eine der besten Lösungen ist. Die Day-And-Time-Restrictions erlauben Ihnen zudem, die Einwahl auf bestimmte Uhrzeiten, z.B. auf die Geschäftszeiten, zu beschränken. Somit würden unautorisierte Einwählversuche in Zeiten, in denen der Administrator nicht vor Ort ist, von Beginn an vermieden.
480
Remote-Zugänge durch RAS und VPN Abbildung 11.64: RAS erlaubt die Kombination mehrerer Bedingungen
5. Im nächsten Schritt des Assistenten müssen Sie nun noch spezifizieren, welche Rechte mit der angegebenen Richtlinie verbunden werden. Wählen Sie die Option RAS-Berechtigung erteilen, wenn alle Anwender, auf die die Richtlinie zutrifft, Einwählberechtigung erhalten sollen. Verwenden Sie die Option RAS-Berechtigung verweigern, wenn die betreffende Gruppe keinen Zugriff erhalten soll. Klicken Sie dann auf Weiter, um im folgenden Fenster das Profil des Zugriffs näher zu bearbeiten. Grundsätzlich verwendet Windows Standardvorgaben für das Profil der RASAnwender, allerdings kann es aus vielerlei Hinsicht erforderlich sein, dieses Profil anzupassen. Um die Anpassung vorzunehmen, klicken Sie daher auf die Schaltfläche Profil bearbeiten. 6. Im so geöffneten Dialogfenster gibt es eine ganze Reihe von Sicherheitseinstellungen, die für das Sicherheits-Management des RAS- bzw. VPNServers von Bedeutung sind. So definieren Sie auf der Registerkarte Einwähleinschränkungen spezielle Vorschriften für die RAS/VPN-Sitzung. Sicherheitsrelevant ist hier beispielsweise die Option Zugriff nur an folgenden Tagen und Uhrzeiten erteilen, mit der Sie die Einwahl auf bestimmte Tageszeiten beschränken können, sofern Sie dies noch nicht über die Day-And-Time-Restrictions der Richtlinienbedingungen realisiert haben. Wenn Sie Ihren Anwendern eine Einwählsystematik mit mehreren Rufnummern anbieten, können Sie die hier gefilterten Anwender über die Option Nur auf folgende Nummer Zugriff gewähren auf die Nutzung einer speziellen Telefonnummer für die Einwahl zwingen. Es wird so möglich, unterschiedliche Anwendergruppen mit unterschiedlichen Einwählmöglichkeiten auszustatten. Zu guter Letzt können Sie über die Option Zugriff nur mit diesen Medien erteilen sogar vorgeben, über welche Leitungstypen eine Verbindung zulässig ist.
481
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.65: Beschränken Sie die Einwahl auf Zeiten, Telefonnummern und Medien
Abbildung 11.66: Über die IP-Filter steuern Sie die Kommunikation, die den RAS- oder VPNClients erlaubt wird
482
Remote-Zugänge durch RAS und VPN
7. Auf der Registerkarte IP lassen sich neben der Art der Zuordnung einer IP-Adresse auch so genannte IP-Filter festlegen. Sie können so für alle Anwender, auf die die Richtlinie angewendet wird, vorgeben, welche IPAdressen im privaten Netzwerk überhaupt erreicht werden können und welche Verbindungsports für Clients bereitgestellt werden. Sie können so beispielsweise festlegen, dass RAS-Clients nur über den http-Port 80 eine Verbindung zu einem speziellen Webserver in Ihrem Netzwerk herstellen können. Zugleich können Sie über die Ausgabefilter auch steuern, welche Informationen aus dem privaten Netzwerk an die externen Clients zurückgegeben werden und somit eine doppelte Sicherheit für die abgerufenen Daten gewährleisten. 8. Die Einstellungen der Registerkarten Authentifizierung und Verschlüsselung kennen Sie bereits, wir haben sie Ihnen in den vorangegangenen Abschnitten genauer vorgestellt. Nachdem Sie die entsprechenden Vorgaben für die Sicherheit von Kennwörtern und Daten gemacht haben, können Sie die Definition des Profils mit einem Klick auf OK bestätigen. Zurück im Assistent klicken Sie schließlich auf Weiter und beenden den Assistenten dann durch einen Klick auf Fertig stellen. Die Richtlinie wird daraufhin erstellt und zu den bereits definierten Richtlinien hinzugefügt. Durch die Anordnung der Richtlinien oder auch durch das Entfernen von Richtlinien können Sie nun genau steuern, welche Richtlinie auf die Anwender angewendet wird. Dabei sollten Sie beachten, dass der RAS-Server immer die erste Richtlinie nutzt, die für einen sich einwählenden Anwender zutrifft. Somit kann es passieren, dass eine Richtlinie für eine Gruppe, in der ein Anwender Mitglied ist, nicht greift, weil der Anwender über eine andere, vor der Richtlinie stehende Richtlinie behandelt wird. Die Richtlinien müssen also sehr genau geplant werden, um einen korrekten und sicheren Zugriff zu gewährleisten.
11.8.6
Zusätzliche Sicherheitfunktionen für RAS- und VPN-Server
Neben den Standardverfahren, die wir Ihnen in den vorangegangenen Abschnitten vorgestellt haben, gibt es noch eine ganze Reihe von einzelnen Mechanismen, die ebenfalls für eine zusätzliche Sicherheit sorgen. Wir möchten diese Funktionen aus diesem Grund kurz erwähnen. Autorisieren einer Remote-Verbindung Neben der Benutzerauthentifizierung gibt es auch noch die Möglichkeit, die Wählverbindung zum RAS-Server zusätzlich autorisieren zu lassen. Allerdings muss das vom Anrufer verwendete Telefonsystem sowie die eingesetzte Hardware diese Methoden unterstützen. Zur Verfügung stehen:
483
11 Sicherheit der verschiedenen Netzwerkdienste 왘 ANI/CLI: ANI (Automatic Number Identification) oder CLI (Calling
Line Identification) nutzt die Telefonnummer des Anrufers zur Authentifizierung, was bedeutet, dass der Anrufer von einer bestimmten Telefonnummer aus anrufen muss. In anderen Fällen wird die Verbindung abgelehnt. 왘 Rückrufverfahren: Wenn Sie wollen, können Sie bei diesem Verfahren
den RAS-Server eine vordefinierte Telefonnummer zurückrufen lassen, sodass der Anrufer eben auch nur diese Nummer nutzen kann. Allerdings haben Sie auch die Möglichkeit, den Anrufer eine Rückrufnummer angeben zu lassen, die dann allerdings protokolliert wird. Beachten Sie, dass die Rückrufsicherheit in den Eigenschaften des Benutzerkontos auf der Registerkarte Einwählen festgelegt wird, ein zentrales Management hier also nicht möglich ist. 왘 DNIS: Verfügen Sie über mehrere Einwahlleitungen und möchten diesen
Nummern unterschiedliche RAS-Richtlinien zuweisen, können Sie DNIS (=Dialed Number Identification Service) nutzen. Auf diese Weise können Sie den Anwendern, je nachdem, auf welcher Nummer sie angerufen haben, unterschiedliche Berechtigungen zuweisen. 왘 Sicherheitsanwendungen von Drittanbietern: Es gibt von Drittanbie-
tern zusätzliche Geräte, die Sie zwischen Einwahlverbindung und RASServer setzen können. Diese Geräte verlangen von den Anwendern die Verwendung einer Sicherheitskarte (z.B. REMAX-Card), die in bestimmten Zeitintervallen einen neuen Zugangscode generiert. Konfiguration der Clients über CMAK Wer für mehrere RAS-Anwender eine sichere Verbindung konfigurieren muss, der kann sich des Connection Manager Administration Kits (CMAK) bedienen und somit seinen Anwendern ein Paket schnüren, das bereits alle relevanten Sicherheits-Konfigurationseinstellungen beinhaltet. Die Einstellungen umfassen: 왘 Einmalige Anmeldung, um Zugriff auf das Firmennetz und den ISP zu
erhalten. 왘 Automatische VPN-Verbindungen, was dafür sorgt, dass nach dem Star-
ten der Einwahlverbindung auch automatisch die VPN-Verbindung erstellt wird. 왘 Voreingestellte Sicherheitskonfiguration, was bewirkt, dass automatisch
das richtige Authentifizierungs- und Verschlüsselungsprotokoll für die Übertragung gewählt wird. 왘 Optionen zur Verbindungsbeendigung, was ermöglicht, ein Zeitintervall
einzustellen, das den Client nach einer bestimmten Phase der Untätigkeit automatisch trennt. 왘 Telefonbuch mit Telefonnummern, die zur Einwahl in das Unterneh-
mensnetz genutzt werden können.
484
Internetauthentifizierungsdienst (IAS)
Anmerkung: Zudem sollten Sie über eine domänenweite Gruppenrichtlinie dafür sorgen, dass auf allen Workstations, die sich im Unternehmen befinden, per Sicherheitsvorlage die Verwendung von Modems über den DFÜVerbindungs-Manager und das Erstellen von Einwählverbindungen über Routing & RAS untersagt wird. Die RAS-Server selbst können Sie im Übrigen in einer eigenen OU platzieren und dann per Gruppenrichtlinie dort Routing & RAS aktivieren. Sicherung der VPN-Verbindungen über DMZ Für Remote-Anwender oder Geschäftspartner kann es notwendig sein, dass Sie einen erweiterten Zugriff auf die Unternehmens-Ressourcen ermöglichen müssen. Hier stellt die VPN-Verbindung, die Sie mithilfe eines RASServers realisieren können, die beste Variante dar. Dabei können Sie entweder PPTP oder L2TP für den VPN-Tunnel verwenden, wodurch sich unterschiedliche Firewall-Konfigurationen ergeben: 왘 Die RAS- oder VPN-Server stehen in diesem Fall in der DMZ. 왘 Bei PPTP sind die Datenpakete über GRE (Generic Routing Encapsula-
ting) verschlüsselt, während sie über das Internet transportiert werden. Daher müssen Sie in der externen Firewall den TCP-Port 1723 freischalten. Unterstützt die Firewall zudem das Definieren von Filtern auf Basis von IP-Nummern, verwenden Sie einen Filter, der nur dem ProtocolIdentifier 47 erlaubt, die Firewall zu passieren. 왘 Bei L2TP/IPSec (funktioniert nicht bei Firewalls, die NAT verwenden)
muss in der externen Firewall der UDP-Port 500 (Internet Key Exchange), Protokoll ID 50 (Encapsulating Security Payload) und Protokoll-ID 51 (Authentification Header) freigeschaltet sein. L2TP verwendet zwar eigentlich den TCP-Port 1701, aber dieser muss nicht freigeschaltet werden, da die Portinformationen mit ESP verschlüsselt werden. 왘 Erfolgt die Authentifizierung der Anwender über Radius, müssen Sie die
interne Firewall so konfigurieren, dass der Radius-Client (RAS-Server) über den UDP-Port 1812 eine Verbindung zum IAS-Server aufbauen kann. Zusätzliche Regeln können den Netzwerkzugriff auf bestimmte Server beschränken.
11.9 Internetauthentifizierungsdienst (IAS) Es gibt Firmen, die nicht nur über einen RAS-Server für den Remote-Zugriff verfügen, sondern mehrerer solcher Server betreiben. Das Hauptproblem stellt in solch einem Fall die zentrale Administration dieser Server dar. Abhilfe schafft hier IAS, der Internetauthentifizierungsdienst. Er erfüllt die nachstehenden Anforderungen:
485
11 Sicherheit der verschiedenen Netzwerkdienste 왘 Zentrale Authentifizierung der Remote-Benutzer 왘 Zentrale Autorisierung der Remote-Benutzer 왘 Zentrale Überwachung der Einwählverbindungen 왘 Zentrale Kontoführung für die Einwählverbindungen 왘 Zentrale Verwaltung der RAS-Berechtigungen und Verbindungseigen-
schaften Allerdings handelt es sich bei RADIUS um einen offenen Industriestandard, der durch eine Vielzahl von Herstellern adaptiert wurde, die nunmehr Authentifizierungsverfahren nach den RADIUS-Vorschriften anbieten. Leider weicht die Konfiguration von RADIUS stark voneinander ab, je nachdem, welche Herstellerlösung Sie einsetzen. Wir möchten Ihnen daher an dieser Stelle nur stichpunktartig die Arbeitsschritte vorstellen, die für die Installation und Nutzung von IAS notwendig sind, die einzelnen Sicherheitseinstellungen, wie sie beispielsweise über RAS-Richtlinien definiert werden, haben wir ja bereits in den vorangegangenen Kapiteln aufgezeigt. RADIUS bzw. IAS ist also lediglich eine andere Umsetzung der RAS-Technologie mit gleichen Mitteln.
11.9.1
RADIUS & IAS
Für die oben geforderten Ziele der Zentralisierung wird ein spezielles Client-/Server-Protokoll verwendet, das den Namen RADIUS trägt. Dieses Protokoll ermöglicht es, dass RADIUS-Clients entsprechende Authentifizierungs- und Kontoführungsanforderungen an einen RADIUS-Server senden. Während es sich im Fall von Windows 2000 beim RADIUS-Client um einen beliebigen Windows 2000-Server mit Routing & RAS (RAS-Server) handeln kann, ist der RADIUS-Server immer ein Windows 2000-basierter Server mit IAS (Internetauthentifizierungsdienst). Der Internet Authentication Service (IAS) ist also die Microsoft-Umsetzung eines RADIUS-Servers. Der Ablauf eines Zugriffs über RADIUS funktioniert daher wie folgt: 1. Ein Remote-Benutzer stellt wie gewohnt seine Verbindung zum RASServer her. 2. Der RAS-Server übergibt die Authentifizierungsanforderung an einen IAS-Server. 3. Der IAS-Server fragt vom Domänencontroller die Benutzerinformationen ab und vergleicht diese mit den RAS-Authentifizierunginformationen. Dann autorisiert der IAS-Server den Benutzerzugriff und protokolliert die RAS-Verbindung.
486
Internetauthentifizierungsdienst (IAS) Abbildung 11.67: Der IAS bietet eine zentralisierte Verwaltung von RAS-Zugriffen
11.9.2
Einrichten des IAS
Um die Vorteile des IAS-Servers nutzen zu können, müssen Sie diesen erst innerhalb Ihres Netzwerkes einrichten. Dabei sind die folgenden Schritte durchzuführen: 1. Installation des IAS-Dienstes auf einem Windows 2000-Server über das Software-Symbol der Systemsteuerung. 2. Autorisieren des IAS-Servers über die MMC des Internetauthentifizierungsdienstes, um ihm überhaupt die Berechtigungen zu erteilen, auf die Benutzerinformationen im Active Directory zuzugreifen. Durch die Autorisierung wird das Computerkonto in die Sicherheitsgruppe RAS- und IAS-Server aufgenommen. 3. Konfiguration der RADIUS-Clients für die Nutzung des neuen IASServers. Auch für diesen Zweck nutzen Sie die MMC des Internetauthentifizierungsdienstes und fügen die zukünftigen Clients hinzu, wobei Sie die IPAdresse oder den DNS-Namen sowie den Clienthersteller (i.d.R. Microsoft) angeben und zudem eine Authentifizierungsmethode wählen müssen. 4. Konfiguration der RAS-Server für die Verwendung der RADIUSAuthentifizierung und RADIUS-Kontoführung. Nachdem auf der Seite des IAS-Servers alle Einstellungen getroffen wurden, müssen Sie auch auf der Seite der RAS-Server noch einige Vorbereitungen treffen. Dazu nutzen Sie das Verwaltungstool Routing & RAS und aktivieren dort in den Servereigenschaften die RADIUS-Authentifizierung sowie die RADIUS-Kontoführung.
487
11 Sicherheit der verschiedenen Netzwerkdienste Abbildung 11.68: Setzen Sie die Authentifizierung am RAS-Server auf RADIUS
5. Aktivierung der Protokollierung der Kontoführungsinformationen auf dem IAS-Server. Über die MMC des Internetauthentifizierungsdienstes können Sie abschließend auch noch die RAS-Protokollierung aktivieren sowie die zu protokollierenden Ereignisse, den Protokollzeitraum und das Protokollformat festlegen.
488
12
Internet & Sicherheit
Die meisten Firmennetze haben heute einen Zugang zum Internet. Unter Windows 2000 stehen Ihnen gleich mehrere Möglichkeiten und Wege zur Verfügung, wie Sie Ihr Firmen-LAN an das Internet anbinden können: 왘 Permanente Verbindungen oder Verbindungen bei Bedarf. 왘 Verbindung zum Internet über Routing und RAS (s. entsprechende
Informationen im Kapitel »Routing und RAS«). 왘 Verbindung zum Internet mithilfe von NAT (s. entsprechende Informa-
tionen im Kapitel »Routing und RAS«). 왘 Verbindung zum Internet über einen Proxy- bzw. ISA-Server.
Aber nicht nur die Form der Internetanbindung ist wichtig, sondern vielmehr der Schutz des Internetzugangs. In einer Zeit, in der sich die Virenmeldungen und Hackerangriffe sowie die Meldungen über Sicherheitslücken täglich überbieten, fragen sich Unternehmen immer öfter, wie sie ihren Anwendern einen sicheren Internetzugang bieten können. Klar, die einfachste und sicherste Variante ist: Sie koppeln Ihr Firmennetz vom Internet ab. Aber das ist in der heutigen Zeit leider auch nicht mehr möglich, denn das Internet ist auch eine schier unerschöpfliche Informationsquelle, deren Aktualität kaum zu schlagen ist. Daher wollen wir Ihnen in diesem Kapitel ein paar Tipps geben, die es Ihnen sowohl auf der Client- als auch auf der Serverseite ermöglichen, den Internetzugang abzusichern.
12.1 Anforderungen an Internetzugang & Internetpräsenz Damit Sie leichter entscheiden können, ob Sie in Ihrem Unternehmensnetz im Rahmen des Sicherheits-Managements sich auch um die Sicherheit des Internetzugangs kümmern müssen, oder ob Sie bereits alles Notwendige getan haben, stellen wir Ihnen zu Beginn des Kapitels noch einmal typische Anforderungen, Ziele oder Visionen vor. In puncto Sicherheit des Internetzugangs werden häufig folgende Anforderungen gestellt: 왘 Die Anwender sollen den Internetzugang nicht missbrauchen können. 왘 Die Anwender sollen keine pornografischen oder gewaltverherrlichen-
den Internetseiten besuchen können.
489
12 Internet & Sicherheit 왘 Die Gefahr, dass durch den Besuch von Webseiten oder den Download
von Dateien aus dem Internet, Viren, Hoaxes oder Trojaner in das Unternehmensnetzwerk eingeschleppt werden, sollte minimiert werden. 왘 Die Gefahr, dass durch die Nutzung von Cookies, wie es auf den meisten
Internetseiten üblich ist, sensitive Informationen über den Benutzer oder das Unternehmen ausspioniert werden, muss minimiert werden. 왘 Die Benutzer sollen in der Lage sein, für die Daten, die sie über das Inter-
net versenden, die Datenintegrität zu gewährleisten. 왘 Die Benutzer sollen in der Lage sein, die über das Internet per E-Mail ver-
sendeten Daten zu verschlüsseln und zu signieren. 왘 Die Benutzer sollen nicht in der Lage sein, die vom Unternehmen vorge-
gebenen Sicherheitseinstellungen bezüglich der Internetnutzung zu verändern und zu lockern. 왘 Die eigene Internetpräsenz des Unternehmens muss gesichert werden. 왘 Die Integrität der Daten, die über die eigene Internetpräsenz zum Down-
load angeboten werden, muss sichergestellt sein. Die Liste lässt sich noch beliebig verlängern, denn gerade Sicherheit und Internet sind zum aktuellen Zeitpunkt zwei ganz heiß diskutierte Themen.
12.2 Der Internet Explorer 6.0 Zu den am häufigsten für das Browsen im Internet genutzten Anwendungen gehört der Internet Explorer, der inzwischen in der Version 6.0 vorliegt. Es handelt sich dabei also um die clientseitige Anwendung, die der Benutzer für den Besuch der Webseiten im Internet von seinem Computer aus nutzt. Daher gehört es zu den ganz wesentlichen Aufgaben des SicherheitsManagements, sich um die sichere Konfiguration des Internet Explorers Gedanken zu machen, um den Anwender und somit auch das Unternehmen vor entsprechendem Schaden zu schützen. Die wesentlichen Aspekte, die Sie berücksichtigen müssen, wollen wir in diesem Kapitel betrachten.
12.2.1
Definition unterschiedlicher Sicherheitszonen
Mit dem Internet Explorer ist es möglich, das Internet in verschiedene Sicherheitszonen zu unterteilen, was Ihnen beim Browsen im Internet auch immer in der Statuszeile des Internet Explorers angezeigt wird. Für jede dieser Sicherheitszonen lassen sich dann wiederum unterschiedliche Sicherheitseinstellungen festlegen, sodass Sie über die Möglichkeit verfügen, ein abgestuftes Sicherheitskonzept für den Besuch bestimmter Seiten zu definieren.
490
Der Internet Explorer 6.0 Abbildung 12.1: Der Internet Explorer bietet unterschiedliche Sicherheitszonen an
Die Standardsicherheitszonen Möchten Sie im Internet Explorer die Sicherheitszonen einsehen oder bearbeiten, dann rufen Sie in den Internetoptionen einfach die Registerkarte Sicherheit auf. Auf dieser Registerkarte sehen Sie bereits vier vordefinierte Sicherheitszonen, die standardmäßig mit vordefinierten Sicherheitseinstellungen versehen sind. Vordefiniert sind folgende Einstellungen: 왘 Internet mit der Sicherheitseinstellung Mittel. Hierzu gehören alle Inter-
netadressen, die Sie nicht eine der anderen Zonen zugeordnet haben. 왘 Lokales Intranet mit der Sicherheitseinstellung Niedrig. Zu dieser Zone
gehören alle Netzwerkadressen, die sich über UNC-Pfade adressieren lassen, sowie alle Adressen, für die kein Proxy- oder ISA-Server benötigt wird, bzw. die der Administrator als Intranetadressen festgelegt hat. Über die Sites-Schaltfläche haben Sie aber die Möglichkeit, diese Einstellungen an Ihre Vorstellungen anzupassen. 왘 Vertrauenswürdige Sites mit der Sicherheitseinstellung Sehr Niedrig. Zu
dieser Zone gehören alle Adressen, die Sie über die Sites-Schaltfläche als solche definiert haben. Allerdings sollten Sie diese Adressen sehr sorgfältig auswählen, denn bei Sehr Niedrig werden die meisten Inhalte sowie auch sämtliche Cookies ohne weitere Anfragen übernommen.
491
12 Internet & Sicherheit Abbildung 12.2: Die Adresseinstellungen für das lokale Intranet lassen sich anpassen
왘 Eingeschränkte Sites mit der Sicherheitseinstellung Hoch. Zu dieser Zone
gehören alle Adressen, die von Ihnen über die Sites-Schaltfläche als risikoreich eingestuft wurden. Diese Stufe bietet Ihnen zwar mit Abstand die höchste Sicherheit, mindert dafür aber den Komfort des Browsens, da alle als unsicher eingestuften Funktionen deaktiviert sind. Standardeinstellungen der Sicherheitszonen anpassen Prinzipiell sind die vordefinierten Einstellungen der Sicherheitszonen als gut einzustufen, wobei darauf hingewiesen sei, dass die Verwendung der Zone Vertrauenswürdige Sites wirklich mit äußerster Vorsicht zu genießen ist. Gemäß dem Motto, »Vertrauen ist gut, Kontrolle ist besser«, können Sie sich aber nach dem Markieren einer Sicherheitszone über die Schaltfläche Stufe anpassen die Einzeleinstellungen zu einer Zone ansehen und bei Bedarf diese auch verändern. Sie öffnen damit ein weiteres Fenster, in dem eine ganze Reihe von Einzelaktivitäten aufgeführt ist, von denen die meisten über drei Optionen gesteuert werden können. Die Optionen, die Ihnen zur Verfügung stehen, lauten: 왘 Aktivieren: Aktiviert die Aktion bzw. sorgt dafür, dass die Aktionen im
Hintergrund ablaufen. Die Aktivierung der Optionen erhöht in der Regel den Komfort für den Anwender, erhöht zeitgleich aber auch immer das Sicherheitsrisiko. 왘 Deaktivieren: Deaktiviert eine Aktion bzw. sorgt dafür, dass bestimmte
Aktionen überhaupt nicht ausgeführt werden können. Das Deaktivieren der Aktionen erhöht immer auch den Sicherheitsstandard, verringert aber für den Anwender den Komfort und führt unter Umständen auch zu Fehlermeldungen während des Besuchs bestimmter Webseiten. 왘 Eingabeaufforderung: Mit der Option Eingabeaufforderung sorgen Sie
dafür, dass der Anwender entscheiden kann, ob eine bestimmte Aktion ausgeführt werden soll oder nicht. Diese Option ist allerdings nur für erfahrene Anwender geeignet, die das Sicherheitsrisiko auch verantwortungsbewusst abschätzen können.
492
Der Internet Explorer 6.0 Abbildung 12.3: Durch Auswählen der Einzeloptionen können Sie die Sicherheitseinstellungen für jede Stufe individuell verändern
Anhand der vorgestellten Optionen erkennen Sie bereits, dass Sie bei der Entwicklung der Konfigurationsvorgaben grundsätzlich einen Spagat zwischen Komfort und Sicherheit machen müssen. Daher ist es auch wichtig, dass das Sicherheits-Management zusammen mit den Betriebsveranwortlichen die für das Unternehmen optimale Lösung erarbeitet. Darüber hinaus stehen Ihnen bei bestimmten Aktionen noch zusätzliche Optionen zur Verfügung, die über einen beschreibenden Text verfügen. Sie sollten allerdings keine Maßnahmen ergreifen, die die Voreinstellungen herabsetzen und sich auch sehr gut überlegen, welche der Optionen Sie verändern. Viele Anwender und auch Administratoren schaffen auf diese Weise erst Sicherheitslücken, die vorher gar nicht vorhanden waren, und schimpfen anschließend über das schlechte Produkt. Anmerkung: Eine Möglichkeit, diese Definitionen für alle Internet Explorer, die in Ihrem Unternehmen auf den Clientcomputern eingesetzt werden, in standardisierter Form und in einheitlicher Weise festzulegen, bietet Ihnen das IEAK 6.0.
12.2.2
Beeinflussung der Cookie-Verwendung (Datenschutzfunktion)
Ein Gefahrenherd im Internet ist nach wie vor die Übermittlung privater Daten. Viele Websites sammeln oder fordern von den Anwendern private Daten an und speichern diese in einer Datei, die als Cookie bezeichnet wird. Der Cookie wird anschließend als Textdatei auf dem Computer des Anwenders gespeichert, und zwar in dem Verzeichnis \\Dokumente und Einstellun-
493
12 Internet & Sicherheit
gen\Anwendername\Cookies. Besucht der Anwender eine bestimmte Webseite erneut, kann diese Webseite aus den in dem Cookie abgelegten Informationen bestimmte Daten über den Anwender herauslesen. Diese Technik ermöglicht es Ihnen beispielsweise, dass Sie bestimmte Webseiten personalisieren und an Ihre Wünsche anpassen können. Nachteil ist natürlich, dass es bislang wenig Kontrollmöglichkeiten bezüglich der Cookies gab. Sie konnten sie entweder deaktivieren oder aktivieren. Wenn Sie allerdings die Cookies prinzipiell deaktivierten, hatten Sie wenig Spaß beim Surfen, den fast alle Websites arbeiten inzwischen mit Cookies. Aktivierten Sie die Cookies, hatten Sie keinerlei Kontrollmöglichkeiten mehr darüber, welche Daten von Ihnen von den verschiedenen Websites gespeichert wurden. Aus diesem Grund hat das World Wide Web Consortium (W3C) im Jahr 2000 mit den Arbeiten an einem neuen, internationalen Standard begonnen, der heute unter dem Namen Platform for Privacy Preferences (P3P) bekannt ist. P3P gibt dem Anwender neue Kontrollmöglichkeiten bezüglich der Verwendung von privaten Daten auf den diversen Webseiten. Abbildung 12.4: Viele Websites speichern Cookies auf Ihrem Computer
Funktionsweise von P3P Zunächst einmal müssen sich die Webmaster der Internetseiten mit dem P3P-Standard identifizieren und Ihre Seiten mit P3P-Richtlinien ausstatten. Dies sorgt dafür, dass sowohl die Webseite als auch die erzeugten Cookies dem P3P-Standard entsprechen, denn der Internet Explorer 6.0 ermöglicht es dem Anwender, alle Cookies, die sich nicht diesem P3P-Standard unterwerfen, in Zukunft zu blocken. Der Anwender definiert über seinen Internet Explorer entsprechende Richtlinien, mit denen er bestimmt, welche Voraussetzungen erfüllt sein müssen, damit eine Webseite, die er besucht, ein Cookie auf dem Computer des Anwenders speichern darf. Beim Besuch einer P3P-konformen Seite wird dann ein entsprechender Code an den Internet Explorer übermittelt, der es dem Browser ermöglicht, die P3P-Richtli-
494
Der Internet Explorer 6.0
nien der Webseite mit den Richtlinien des Anwenders zu vergleichen. Stimmen die Vorgaben überein, wird der Seite erlaubt, ein Cookie auf dem Computer des Anwenders zu speichern. Die Einstellungen des Internet Explorers Möchten Sie die Datenschutzeinstellungen des Internet Explorers einsehen oder anpassen, dann rufen Sie in den Internetoptionen die Registerkarte Datenschutz auf. Dort finden Sie bereits sechs vordefinierte Stufen, mit denen Sie die Behandlung von Cookies und damit den Umgang mit Ihren persönlichen Daten steuern können. Die Stufen lauten im Einzelnen: 왘 Alle Cookies annehmen: In diesem Fall werden im Verzeichnis \\Doku-
mente und Einstellungen\Anwendername\Cookies alle benötigten Cookies gespeichert und die entsprechenden Webseiten verfügen auch über das entsprechende Recht, die dort abgelegten Informationen beim nächsten Besuch der Webseite auszulesen. Abbildung 12.5: Sie können über den Schieberegler zwischen sechs Stufen wählen
왘 Niedrig: Diese Stufe genehmigt keine Cookies von Drittanbietern, wenn
diese über keine entsprechende Datenschutzerklärung verfügen. 왘 Mittel: Bei dieser Stufe gelten die Regeln der Stufe Niedrig und zusätzlich
wird es den Webseiten nur in eingeschränktem Maße gestattet, Cookies mit persönlichen Daten zu speichern.
495
12 Internet & Sicherheit 왘 Mittelhoch: Bei dieser Stufe gelten die Regeln der Stufe Niedrig und
zusätzlich wird das Speichern von Cookies mit persönlichen Daten grundsätzlich unterbunden. 왘 Hoch: Diese Stufe blockt bereits alle Cookies. 왘 Alle Cookies sperren: Diese Stufe ist noch härter, denn sie blockt nicht
nur die Erstellung neuer Cookies, sondern sie verhindert auch, dass Webseiten auf eventuell bereits auf dem Rechner abgelegte Cookies noch zugreifen können. Benutzerdefinierte Datenschutzeinstellungen
Wenn Ihnen die vorgefertigten Datenschutzstufen nicht gefallen, dann können Sie über die Schaltfläche Erweitert auch ein weiteres Fenster öffnen, über das Sie die Cookie-Verwendung für Cookies von Erst- und Drittanbietern nach Ihren eigenen Wünschen steuern können. Ähnlich den Einstellungen für die Sicherheitszonen können Sie in diesem Fenster zwischen automatischem Annehmen, Annehmen nach Eingabeaufforderung oder automatischem Ablehnen wählen. Sobald Sie dort entsprechende Einstellungen vorgenommen haben und das Fenster schließen, wird Ihnen auf der Datenschutz-Registerkarte der Eintrag Benutzerdefiniert angezeigt. Abbildung 12.6: Über die erweiterten Datenschutzeinstellungen lässt sich die Cookie-Verwendung auch individuell konfigurieren
Als Cookies von Erstanbietern werden Cookies bezeichnet, die von der aktuell besuchten Webseite stammen und die in der Regel entsprechende Informationen zur aktuellen Sitzung, benutzerspezifische Konfigurationseinstellungen, die die Darstellung der Webseite betreffen oder angeforderte persönliche Informationen zu Ihrer Person enthalten. Cookies von Drittanbietern sind hingegen Cookies, die nicht von der aktuell besuchten Webseite stammen, sondern von einer anderen Adresse. Typisches Beispiel für ein Cookie eines Drittanbieters sind Cookies, die zur Werbeseitenverfolgung eingesetzt werden. Darüber hinaus gibt es die Sitzungscookies, die nur für die Dauer des aktuellen Besuchs der Webseite angelegt und nicht auf Ihrem Computer gespeichert werden.
496
Der Internet Explorer 6.0
Ausnahmen von den gewählten Datenschutzeinstellungen
Wählt man die Datenschutzrichtlinien sehr streng, kann es bei der Anzeige bestimmter Internetseiten zu Problemen kommen. Daher haben Sie darüber hinaus auch noch die Möglichkeit, Ausnahmen von den gesetzten Regeln zu definieren. Ausnahmen können dabei bestimmte Websites sein, für die Sie die gesetzten Datenschutzregeln lockern oder noch einmal verschärfen. Zum Definieren von Ausnahmen klicken Sie auf der Datenschutz-Registerkarte auf die Schaltfläche Bearbeiten im Bereich Websites. Darüber gelangen Sie in ein weiteres Dialogfenster, in dem Sie die URLs bestimmter Websites einzeln eintragen können und für jede Adresse getrennt festlegen, ob Cookies dieser Seite prinzipiell zugelassen oder abgelehnt werden sollen. Abbildung 12.7: Über das Dialogfenster »Datenschutzaktionen pro Site« können Sie für einzelne Adressen entsprechende Ausnahmen definieren
Datenschutzberichte einsehen
Wenn Sie die Einstellungen zur Behandlung von Cookies vorgenommen haben, können Sie sich für die gerade besuchte Website auch einen Datenschutzbericht anzeigen lassen. Dazu wählen Sie Ansicht/Datenschutzbericht und markieren in dem daraufhin angezeigten Dialogfenster die URL, deren Einstellungen Sie überprüfen möchten. Mit einem Mausklick auf Zusammenfassung können Sie sich die P3P-Richtlinien der Webseite anzeigen lassen, sofern die Webseite über solche Richtlinien verfügt. Ist dies nicht der Fall, bekommen Sie in dem folgenden Fenster eine Fehlermeldung. Wird ein Datenschutzbericht gefunden, sehen Sie in
497
12 Internet & Sicherheit
dem angezeigten Fenster in der Regel einen Auszug daraus, können von dort aus aber über einen Hyperlink den kompletten Datenschutzbericht der Website einsehen. Inzwischen gibt es auch von der Firma TRUSTe ein Zertifikat, das Webseiten, die sich dem P3P-Standard unterwerfen, beziehen können. TRUSTe hat es sich zur Aufgabe gemacht, die Einhaltung der »Privatsphäre« im Internet zu überwachen, sodass Sie auch die Möglichkeit haben, dort einen Beschwerdebericht einzureichen. Abbildung 12.8: Markieren Sie die URL, deren Einstellungen Sie überprüfen möchten
Abbildung 12.9: Lassen Sie sich den Datenschutzbericht der Website anzeigen
498
Der Internet Explorer 6.0
Zudem haben Sie beim Einsehen, des Datenschutzberichts noch einmal die Möglichkeit, die Cookie-Verwendung festzulegen.
12.2.3
Nutzung der erweiterten Sicherheitseinstellungen
Neben den bereits vorgestellten Möglichkeiten zur Definition von Sicherheitszonen und den Vorgaben zur Behandlung persönlicher Daten bietet Ihnen der Internet Explorer auch noch weitere Möglichkeiten, die Sicherheit beim Browsen zu erhöhen. Die hier erwähnten Einstellungen finden Sie in den Internetoptionen auf der Registerkarte Erweitert. Dort können Sie die folgenden Einstellungen aktivieren bzw. deaktivieren: 왘 Auf zurückgezogene Serverzertifikate überprüfen: Wenn die Option
aktiviert ist, überprüft der IE beim Besuch einer Website, ob das angebotene Zertifikat zwischenzeitlich widerrufen wurde. Nur wenn dies nicht der Fall ist, wird es akzeptiert. Standardmäßig ist sie nicht aktiviert. 왘 Auf zurückgezogene Zertifikate von Herausgebern überprüfen: Wenn
Sie im Internet bestimmte Programme oder Komponenten, wie z.B. Flash 5.0 herunterladen, dann werden Sie in der Regel gefragt, ob Sie dem Softwarehersteller vertrauen. Sie können in der Situation entweder antworten, dass Sie dem Softwarehersteller in diesem Einzelfall oder auch bei allen in Zukunft erfolgenden Downloads vertrauen. Wenn Sie einem Softwarehersteller generell vertrauen, wird er in den Internetoptionen auf der Registerkarte Inhalte im Bereich Zertifikate unter Herausgeber in eine Liste eingetragen. Wenn Sie nun zukünftig von diesem Softwareherausgeber, dem Sie vertrauen, eine Datei herunterladen, wird überprüft, ob das Zertifikat dieses Softwareherausgebers, noch gültig ist, oder ob es inzwischen widerrufen wurde. Standardmäßig ist die Option aktiviert. 왘 Bei ungültigen Sitezertifikaten warnen: Diese Option, die standardmä-
ßig aktiviert ist, sorgt dafür, dass Sie gewarnt werden, falls die URL in einem Zertifikat nicht gültig ist. 왘 Beim Wechsel zwischen sicherem und nicht sicherem Modus warnen:
Sobald Sie zwischen sicheren und unsicheren Seiten, also z.B. zwischen https-Seiten (Secure hhtp) und normalen http-Seiten wechseln, erscheint ein kleines Warnfenster auf Ihrem Bildschirm, sofern diese Option aktiv ist. Standardmäßig ist sie aktiviert. 왘 Integrierte Windows-Authentifizierung aktivieren: Diese Option ist
standardmäßig deaktiviert. Sie können zwar den Komfort durch Aktivieren dieser Option erhöhen, sollten es aber in der Regel nicht tun. Die Option sorgt dafür, dass jedem Webserver, der eine Windows-Authentifizierung anfordert, automatisch Ihre Benutzerdaten übergeben werden. Dies erspart Ihnen zwar das Eintippen von Benutzername und Passwort bei entsprechenden Anfragen, ist aber nicht ohne Risiko.
499
12 Internet & Sicherheit 왘 Leeren des Ordners »Temporary Internet Files« beim Schließen: Wäh-
rend des Surfens werden auf Ihrer Festplatte entsprechende Informationen zu den besuchten Websites abgelegt. Wenn Sie vermeiden wollen, dass diese Informationen auch nach dem Schließen des Internet Explorers auf der Festplatte verbleiben, sollten Sie die Option aktivieren. Standardmäßig ist sie deaktiviert. 왘 Profil-Assistent aktivieren: Im Profil-Assistenten können Sie eine Reihe
persönlicher Informationen, wie z.B. Name, private und geschäftliche Adresse, Geburtstag oder persönliche Signaturen abspeichern. Manche Webseiten sind in der Lage, diese Informationen anzufordern. Ist die Option aktiviert, können Websites diese Informationen anfordern und Sie können dann noch von Fall zu Fall entscheiden, welche Informationen Sie an diese Websites übergeben und ob Sie in Zukunft noch einmal auf das Anfordern der Daten aufmerksam gemacht werden oder nicht. Standardmäßig ist die Option aktiviert. 왘 Signaturen von übertragenen Programmen prüfen: Viele Seiten bieten
heute Informationen an, die Sie nur dann ansehen können, wenn Sie vorher noch bestimmte Komponenten auf Ihren Computer herunterladen oder aber Sie möchten von einer Webseite irgendein Programm herunterladen. In all diesen Fällen überprüft der IE bei aktivierter Option, ob die verwendete Signatur gültig ist oder nicht. Die Option ist standardmäßig deaktiviert; ihre Aktivierung ist aber empfehlenswert. Abbildung 12.10: Die erweiterten Sicherheitseinstellungen des Internet Explorers 6.0
500
Der Internet Explorer 6.0 왘 SSL 2.0 verwenden / SSL 3.0 verwenden: SSL (Secure Socket Layer) ist
ein Übertragungsprotokoll, das sichere Websites verwenden, um die zwischen Server und Client ausgetauschten Daten während der Übertragung zu verschlüsseln. Es gibt zwei momentan im Umlauf befindliche Versionen, SSL 2.0 und SSL 3.0. Der IE unterstützt beide Versionen, weswegen standardmäßig auch beide Optionen aktiviert sind. 왘 TLS 1.0 verwenden: TLS oder Transport Layer Security ist ebenfalls ein
sicheres Übertragungsprotokoll, das die Daten während der Übertragung zwischen Client und Server verschlüsseln kann. Allerdings ist es im Internet bei weitem noch nicht so verbreitet wie SSL, weswegen diese Option standardmäßig deaktiviert ist. 왘 Verschlüsselte Seiten nicht auf Festplatte speichern: Standardmäßig
werden die Informationen von besuchten Websites in dem Verzeichnis Temporary Internet Files gesichert und bleiben dort auch nach dem Beenden der Sitzung im IE vorhanden (s. Option Leeren des Ordners »Temporary Internet Files« beim Schließen). Wenn Sie nun Online-Banking betreiben oder andere gesicherte Websites verwenden, die https nutzen, dann werden auch diese Informationen, wenn auch in verschlüsselter Form, auf der Festplatte abgelegt. Um dies zu verhindern, können Sie diese Option aktivieren. Standardmäßig ist die Option nicht aktiviert. 왘 Warnen, falls Formulardaten umgelenkt werden: Viele Websites bieten
Formulare an, in die Sie Daten eintragen können. Natürlich lassen sich solche Formulare auch missbrauchen, indem man die eingegebenen Informationen an eine ganz andere Adresse im Internet umlenkt. Der IE ist in der Lage, so etwas zu erkennen und Sie davor zu warnen. Daher sollten Sie diese, standardmäßig aktivierte Option auch unbedingt aktiviert belassen. Sie können jede der genannten Option einzeln aktivieren oder deaktivieren. Allerdings ist es nicht ratsam, eine der standardmäßig aktivierten Optionen zu deaktivieren, da Sie damit den Sicherheitsstandard herabsetzen. Das zusätzliche Einschalten der einen oder anderen Option, kann je nach Situation hingegen sehr ratsam sein.
12.2.4
Einsatz von Zertifikaten
Wie bereits in Kapitel zum Thema »Public Key Infrastructure« beschrieben, bieten Zertifikate eine gute Möglichkeit, die Authentizität bzw. die Echtheit und Integrität von Personen, Computern oder Informationen zu bestätigen. Gerade im Internet, in einem Bereich, in dem so viele Informationen angeboten werden, ist eine solche Garantie im zunehmenden Maße notwendig. Auf diese Weise können Softwarehersteller sicherstellen, dass die angebotenen Informationen auf den Websites geschützt sind, und schaffen somit für die Anwender ein höheres Vertrauen. Gerade bei Dateidownloads sollten Sie immer auf gültige Zertifikate achten. Aber auch Sie selbst können über eigene Zertifikate, die Sie von Ihrem Unternehmen (vgl. Kapitel zur PKI) oder exter-
501
12 Internet & Sicherheit
nen, kommerziellen Zertifizierungsstellen im Internet (z.B. Verisign) beziehen können, die Echtheit und die Sicherheit der von Ihnen versandten Informationen (z.B. signierte und verschlüsselte E-Mails) gewährleisten. Aufgrund dieser Vorteile ist die Zertifikatsfunktion auch in den Internet Explorer integriert. In den Internetoptionen finden Sie auf der Registerkarte Inhalte einen Bereich, der Zertifikate lautet. Wenn Sie dort auf die gleichnamige Schaltfläche klicken, gelangen Sie in ein weiteres Dialogfenster, in dem Sie auf der Registerkarte Vertrauenswürdige Stammzertifizierungsstellen eine Liste der weltweit autorisierten Stammzertifizierungsstellen finden. Die bekannteste deutsche Stammzertifizierungsstelle dürfte die Deutsche Telekom sein. Daneben finden Sie noch eine weitere Registerkarte, auf der die als vertrauenswürdig eingestuften Zwischenzertifizierungsstellen aufgeführt sind, denn ähnlich dem DNS-Strukturen, sind auch die Zertifizierungsstellen im Internet als hierarchische Struktur aufgebaut. Die obersten Zertifizierungsstellen sind die Stammzertifizierungsstellen, die wiederum untergeordneten Zertifizierungsstellen und damit auch der Zwischenzertifizierung entsprechende Zertifikate ausstellen. Abbildung 12.11: Listen mit den vertrauenswürdigen Stamm- und Zwischenzertifikatsstellen
Wenn Ihnen im Internet von den Websites also entsprechende Zertifikate zur Authentifizierung angeboten werden, ist der IE anhand dieser Listen in der Lage, zu verifizieren, ob die Zertifikate auch gültig sind. Denn entsprechende Daten, wie z.B. auch die Gültigkeitsdauer und der komplette Zertifizierungspfad, werden als Informationen in einem solchen ZertifizierungsstellenZertifikat abgespeichert. Sie können über das Markieren eines Zertifikats und die Anzeigen-Schaltfläche diese Informationen jederzeit einsehen.
502
Der Internet Explorer 6.0 Abbildung 12.12: Detailinformationen eines Zertifikats
Abbildung 12.13: Auch die eigenen Zertifikate, mit denen Sie sich und Ihre Informationen authentifizieren und sichern können, werden angezeigt
503
12 Internet & Sicherheit
Aber nicht nur die Zertifikate der Zertifizierungsstellen, sondern, sofern vorhanden, auch die eigenen Zertifikate können Sie über das ZertifikateDialogfenster einsehen und verwalten. Dabei greift der Internet Explorer auf denselben lokalen Zertifikatsspeicher Ihres Computers zu wie z.B. auch das Snap-In Zertifikate, das Sie über die MMC aufrufen können. Mehr zum Thema Zertifikate finden Sie im Kapitel, das sich mit der PKI und den Zertifikatsdiensten unter Windows 2000 beschäftigt.
12.3 Gruppenrichtlinien zur Internetnutzung Grundsätzlich kann ein ambitionierter Administrator sich natürlich vornehmen, alle 30000 PCs seines Unternehmens von Hand zu konfigurieren, doch wird er es dann kaum vor der Einführung von Internet Explorer 10 geschafft haben, die Administration zu beenden. Wollen Sie vor einer Zeit fertig werden, in der Autos durch die Lüfte schweben und alle Menschen glücklich geworden sind, müssen Sie einen zentralen Ansatz für Ihr Unternehmen erarbeiten, mit dem zumindest die Sicherheitseinstellungen des Internet Explorers effektiv gemanagt werden können.
12.3.1
Gruppenrichtlinien für die Sicherheitskonfiguration
Mithilfe der Gruppenrichtlinien von Windows können Sie solche Sicherheitseinstellungen zentral verwalten und zudem unterschiedliche Einstellungen an verschiedene Organisationseinheiten binden. Auf diese Weise geben Sie den Anwendern so viel Rechte und Selbstständigkeit, wie aus sicherheitstechnischer Sicht vereinbar ist. Die entscheidenden Gruppenrichtlinien finden Sie in der Gruppenrichtlinien-Management-Console unter dem Pfad Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/ Sicherheit. Sie finden hier lediglich zwei Einträge, einmal den Bereich Sicherheitszonen und Inhaltsfilter und zum anderen die Authenticode-Einstellungen. Durch einen Doppelklick auf einen der beiden Einträge bringen Sie ein Dialogfenster zur Ansicht, dessen Handhabung wir Ihnen jeweils kurz vorstellen wollen. Wenn Sie durch einen Doppelklick auf Sicherheitszonen und Inhaltsfilter die Eigenschaften dieser Einstellungen aufrufen, zeigt Ihnen das Dialogfenster standardmäßig die Optionen Keine Anpassung der Sicherheitszonen und Keine Anpassung der Sicherheitsfilter an. Standardmäßig sind also keine zentralen Steuerungsmechanismen für die Sicherheit aktiviert. Da sich die Sicherheitsfilter mit dem Zugriff auf spezielle Websites mit anstößigem Inhalt konzentrieren, sind sie nicht sicherheitsrelevant und werden hier nicht weiter angesprochen. Damit Sie eine Gruppenrichtlinie für die Sicherheit definieren können, aktivieren Sie im ersten Schritt die Option Importieren der aktuellen
504
Gruppenrichtlinien zur Internetnutzung
Einstellungen für Sicherheitszonen. Würden Sie diese Einstellung jetzt direkt übernehmen, würden die Einstellungen des Computers, an dem Sie aktuell die Manipulation der Gruppenrichtlinie vornehmen, übernommen. Dies ist dann praktisch, wenn Sie die Einstellungen auf einem Referenzclient durchgeführt und erfolgreich getestet haben, wurden die Einstellungen bis dahin nicht durchgeführt, klicken Sie jetzt auf Einstellungen ändern, um die Sicherheitseinstellungen genauestens zu definieren. Abbildung 12.14: Passen Sie die Einstellungen für die Sicherheitszonen an
Sie gelangen daraufhin in das Dialogfenster Sicherheit, das Sie bereits aus den vorangegangenen Abschnitten dieses Kapitels kennen. Über die Auswahl der jeweiligen Zone bestimmen Sie das Verhalten des Internet Explorers gegenüber Internet- und Intranet-Sites. Hinzu kommen die vertrauenswürdigen und eingeschränkten Sites, bei denen Sie die Sicherheitseinstellungen noch einmal unabhängig zur Zugehörigkeit zu Internet oder Intranet für spezielle Sites definieren können. Durch einen Klick auf die Schaltfläche Standardstufe setzen Sie die Einstellungen auf die Standardvoreinstellungen, die Microsoft für die jeweilige Zone vorgesehen hat. Prinzipiell sind die Stufen für eine reguläre Sicherheit völlig ausreichend, allerdings sollten Sie bei den Sicherheitseinstellungen für das Internet einige Korrekturen an der Standardstufe Mittel vornehmen, um eine höhere Sicherheit zu gewährleisten. Um solche Anpassungen durchzuführen, klicken Sie zuerst auf die jeweilige Zone (z.B. Internet) und anschließend auf die Schaltfläche Stufe anpassen. Die besondere Sorge in Bezug auf Sicherheit gilt dabei den ActiveX- und Java-Funktionalitäten des Browsers. Bei beiden unterstützten Technologien handelt es sich um Programme, die durch den Besuch einer Internetseite aufgerufen werden und dann auf Ihrem Rechner ablaufen. Dabei sind die Applikationen prinzipiell in der Lage, Betriebssystemoperationen auszufüh-
505
12 Internet & Sicherheit
ren, da Windows in der Regel die Interaktion mit ActiveX direkt oder mit Java über die Virtual Machine zulässt. Ein ActiveX- oder Java-Applet ist also prinzipiell in der Lage, Dateien auf Ihrem Computer zu löschen oder Dateien zu kopieren. Es ist also ein gewisser Respekt vor diesen Anwendungen angebracht, die leider nicht nur dazu eingesetzt werden können, Internetseiten optisch zu gestalten. Die wichtigsten Einstellungen wollen wir Ihnen daher in der folgenden Tabelle vorstellen. Abbildung 12.15: Legen Sie die Sicherheitsstufe für die ausgewählte Zone fest
Tabelle 12.1: Die wichtigsten Sicherheitseinstellungen für den Internet Explorer
506
Einstellung
Funktion
Empfehlung
ActiveX-Steuerelemente ausführen, die für Scripting sicher sind
Legt fest, ob ein Script in einer Webseite ein bereits auf Ihrem Computer installiertes und zertifiziertes Script ausführen kann.
Wenn alle anderen Sicherheitseinstellungen korrekt gesetzt sind, können Sie hier die Option Aktivieren verwenden, damit Plug-Ins wie Flash genutzt werden können.
ActiveX-Steuerelemente initialisieren und ausführen, die nicht für Scripting sicher sind
Legt fest, ob ein Script in einer Webseite ein bereits auf Ihrem Computer installiertes ausführen kann, das nicht zertifiziert ist.
Unbedingt deaktivieren!
Gruppenrichtlinien zur Internetnutzung
Einstellung
Funktion
Empfehlung
ActiveX-Steuerelemente und PlugIns ausführen
Bestimmt, ob die ActiveXPlug-In-Programme auf Ihrem Rechner ausgeführt werden können.
Damit nützliche Plug-Ins wie Flash oder auch der Microsoft Personal Security Advisor ausgeführt werden können, muss diese Einstellung auf Aktivieren gesetzt werden. Alternativ können Sie auch die Option Vom Administrator genehmigt einschalten (ab Version 6) und so eine Kontrollinstanz vorschalten.
Download von sig- Bestimmt, ob zertifizierte ActiveX-Applets von einer nierten ActiveXSteuerelementen Website heruntergeladen werden können. Diese Applets werden sofort ausgeführt, wenn die entsprechenden Optionen eingeschaltet sind.
Eingabeaufforderung, da sonst andere Plug-Ins wie Flash nicht dynamisch heruntergeladen werden können, andererseits aber eine minimale Sicherheit gewährleistet ist, sofern die Anwender die auf dem Monitor angezeigten Warnungen lesen.
Download von unsignierten ActiveX-Steuerelementen
Legt fest, ob auch ActiveX- Unbedingt deaktivieren! Applets ohne Zertifikat heruntergeladen werden dürfen.
Microsoft VM
Bestimmt das Verhalten der Virtual Machine, durch die Java-Code ausgeführt wird. Über die Sicherheitseinstellungen werden die Berechtigungen der Java-Anwendung auf Betriebssystemfunktionen festgelegt.
Unbedingt Hohe Sicherheit oder Java deaktivieren einsetzen, da Java-Applets sonst Zugriff auf Dateien und Funktionen Ihres Computers haben.
Active Scripting
Definiert die Unterstützung von Visual Basic Script oder Java Script in Webseiten. Ist die Unterstützung aktiviert, können diese Scripts wie Programme auf dem Computer ausgeführt werden.
Bei sicherheitssensitiven Umgebungen sollten Sie die Unterstützung deaktivieren, was allerdings dazu führt, dass eine Vielzahl von Webseiten u. U. nicht mehr richtig angezeigt werden kann.
Tabelle 11.1: Die wichtigsten Sicherheitseinstellungen für den Internet Explorer (Forts.)
507
12 Internet & Sicherheit Tabelle 11.1: Die wichtigsten Sicherheitseinstellungen für den Internet Explorer (Forts.)
Einstellung
Funktion
Empfehlung
Einfügeoperationen über ein Script zulassen
Definiert, ob Visual Basicoder Java-Scripts auf Ihrem System Zugriff auf Applikationen erhalten sollen, um dort Daten einfügen zu können.
Möglichst deaktivieren, da keine gute Webseite solche Aktivitäten durchführt, es sei denn, eine Applikation fordert dies.
Scripting von Java- Gibt vor, ob Java-Applets Applets zulassen durch Scripts in Webseiten gestartet werden können. Die Rechte der gestarteten Java-Anwendung richten sich dann nach den Einstellungen der Virtual Machine.
Möglichst deaktivieren, da Java-Applets sowieso »out« sind und zudem einfach zu unsicher sind. Nur wenn es eine Anwendung explizit fordert, sollte die Option aktiviert sein.
12.3.2
Genehmigte ActiveX-Plug-Ins
Ein neues Feature ab der Version 6 des Internet Explorers ist die Genehmigung von ActiveX-Plug-Ins, die durch einen Administrator durchgeführt werden kann. Wenn Sie diese Möglichkeit nutzen wollen, definieren Sie Ihre Sicherheitseinstellungen so, dass Sie für die Einstellung ActiveX-Steuerelemente und Plug-Ins ausführen die Vorgabe Vom Administrator genehmigt einschalten. Damit ActiveX-Applikationen ausgeführt werden können, müssen sie zuvor durch einen Administrator, der quasi eine Art Kontrollinstanz darstellt, genehmigt werden. Diese Genehmigung erfolgt ebenfalls über Gruppenrichtlinien und erfordert die Integration der entsprechenden angepassten ADM-Dateien für den Internet Explorer 6. Abbildung 12.16: Legen Sie fest, welche Active X-PlugIns zugelassen sind
508
Gruppenrichtlinien zur Internetnutzung
Sie finden die Steuerung in der Gruppenrichtlinien-Management-Console unter dem Pfad Benutzerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Vom Administrator überprüfte Steuerelemente. Dabei bietet Ihnen Windows einen Standardsatz an bekannten Steuerelementen, die Sie entsprechend autorisieren können. Sollen weitere ActiveX-Plug-Ins autorisiert werden, müssen Sie eigene oder vom Hersteller gelieferte ADMDateien integrieren, die die Plug-Ins integrieren. Über die Gruppenrichtlinie können Sie einzelne Plug-Ins genehmigen, andererseits aber auch explizit verbieten, um die Nutzung des Plug-Ins auszuschließen. Ist die Option Nicht konfiguriert gesetzt, gelten die lokalen Einstellungen des Computers.
12.3.3
Authenticode-Einstellungen einrichten
Auch die Einstellungen für das Zertifikatsvertrauen lassen sich über Gruppenrichtlinien bestimmen. Die entscheidenden Gruppenrichtlinien finden Sie in der Gruppenrichtlinien-Management-Console unter dem Pfad Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/Sicherheit. Sie finden hier neben der Option Sicherheitszonen und Inhaltsfilter auch die Option Authenticode-Einstellungen. Durch einen Doppelklick auf den letzteren Eintrag bringen Sie ein Dialogfenster zur Ansicht, dessen Handhabung wir Ihnen kurz vorstellen wollen. Abbildung 12.17: Integrieren Sie die AuthenticodeVorgaben
Wie bei den anderen Sicherheitseinstellungen sind standardmäßig keine Zertifikatsvorgaben in der Gruppenrichtlinie definiert. Wollen Sie Einstellungen für die Zertifikatsvertrauensliste definieren, aktivieren Sie die Option Aktuelle Authenticode-Sicherheitsinformationen importieren. Sofern Sie die Einstellungen auf einen Referenzclient durchgeführt haben und an diesem auch die Gruppenrichtlinie definieren, sind keine weiteren Schritte
509
12 Internet & Sicherheit
nötig, die Daten werden automatisch in die Gruppenrichtlinie übernommen. Sofern Sie die Einstellungen noch tätigen möchten, klicken Sie auf die Schaltfläche Ändern, um die Vertrauensliste nachträglich zu pflegen. Auf der Registerkarte Vertraute Herausgeber können Sie dann die Zertifikate von anderen Zertifizierungsstellen oder aber auch Zertifikate für Software (Codesignatur) manuell integrieren und so domänenweit dafür sorgen, dass alle Clients bestimmten Zertifikatsstellen oder bestimmten Zertifikaten vertrauen. Auf der Registerkarte Vertrauenswürdige Stammzertifizierungsstellen haben Sie dann zusätzlich die Möglichkeit, auch die Liste der Stamm-CAs zu pflegen, was aber an sich nicht üblich ist.
12.4 IEAK Das IEAK (Internet Explorer Administration Kit), das inzwischen in der Version 6.0 vorliegt, bietet Ihnen die Möglichkeit, auf die Clientseite der Internetnutzung Einfluss zu nehmen. Über das IEAK, das aus dem IE-Anpassungsassistenten (Konfiguration von benutzerdefinierten Installationspaketen); dem IEAK Profil-Manager (ermöglicht die automatische Anpassung der Browsereinstellungen nach der Installation) und dem IEAK-Toolkit (dient der Steuerung der Setup-Optionen) besteht, lassen sich die folgenden administrativen Aufgaben lösen: 왘 Definition verschiedener Sicherheitszonen für den Internetzugriff, wobei
Microsoft standardmäßig zwischen vier vordefinierten Zonen (Lokales Intranet, Internet, Vertrauenswürdige Sites, Eingeschränkte Sites) unterscheidet. Jeder dieser Zone können Sie die entsprechenden URL-Adressen zuweisen, um den Internetzugriff entsprechend zu steuern. 왘 Definition verschiedener Sicherheitseinstellungen für die definierten
Zonen, wobei Microsoft bereits vier verschiedene Sicherheitsstufen anbietet. Sie haben die Wahl zwischen Sehr niedrig, niedrig, mittel und hoch. Darüber hinaus können Sie aber auch benutzerdefinierte Sicherheitsstufen verwenden. 왘 Verhindern, dass unsignierte Software aus bestimmten Sicherheitszonen
downgeloadet werden kann. 왘 Kontrolle des Internetinhaltes, auf den über den in den IE 6.0 integrierten
Inhaltsratgeber zugegriffen werden kann. Das Recreational Software Advisory Council (RSACi) bewertet den Internetinhalt anhand von vier Kategorien, die sich auf Sprache, Sex, Gewalt und Nacktaufnahmen beziehen. 왘 Aktivierung der automatischen Konfiguration aller Proxy-Clients über
vordefinierte INS-Dateien und Veränderung des Standard-Proxy-Ports. Nach Meinung der Autoren ist allerdings die im vorangegangenen Unterkapitel beschriebene Verwendung der Gruppenrichtlinien dem Einsatz des IEAK zur Definition von Sicherheitskonfigurationen vorzuziehen, da auf
510
Sicherheit bei Internetpräsenzen
diese Weise die Administration der Interneteinstellungen in die Verwaltung der anderen benutzerspezifischen Optionen mit in das Active Directory integriert ist und kein gesondertes Tool notwendig ist. Das IEAK kann vor allem für die Definition von unternehmensspezifischen Installationspaketen verwendet werden, was aber nicht Thema dieses Buches ist. Daher verzichten wir an dieser Stelle auch auf eine weiterführende Darstellung.
12.5 Sicherheit bei Internetpräsenzen Während der IIS 2.0 – Internet-Information-Server 2.0 unter Windows NT nur auf Anfrage mit installiert wurde bzw. in der Version 4.0 über das Windows NT Option-Pack nach installiert werden konnte, wird der IIS 5.0 bei der Installation des Server-Betriebssystems automatisch mit installiert. Der IIS ist für die Verwaltung einer oder mehrerer Websites gedacht und bietet sowohl einen WWW-Dienst, einen FTP-Dienst, einen NNTP-Dienst als auch einen SMTP-Dienst.
12.5.1
Die Dienste des IIS
Um die Sicherheit des Internet Information Servers besser beurteilen zu können, sollten Sie sich einmal näher mit den einzelnen Diensten und Funktionen des Servers beschäftigen. Natürlich könnte man, wie von einer namhaften Unternehmensberatung gefordert, den IIS einfach deinstallieren, um potentiellen Sicherheitsrisiken vorzubeugen. Gute Idee, Jungs, das entspricht in etwa der Forderung zur Vermeidung von Verkehrsunfällen alle Autos einfach stehen zu lassen. Noch brillanter ist der Vorschlag, IIS auf einem Domänencontroller zu deinstallieren, nun möge das Glück mit Ihnen sein ... Denken wir also einmal praxisorientiert nach, den zugegebenermaßen ist der IIS ein bevorzugter Server für Angriffe von Hackern. Warum? Nun unglücklicherweise steht er in einem öffentlichen Netzwerk oder bietet zumindest für dieses Netzwerk Funktionen an. Jemand, der vor einem Haus steht, wird vermutlich also eher durch Regen nass, als jemand, der gemütlich am Kaminfeuer im Haus sitzt. Um die Sicherheit für den IIS zu konfigurieren, müssen wir also seine Rolle näher definieren, und eben diese Rolle hängt sehr genau mit den Diensten zusammen. WWW-Publishingdienst Der WWW-Dienst stellt für Clientanfragen Daten bereit. Die Clients senden dazu üblicherweise eine GET-Anforderung über den http-Port 80 an den Server, der die angeforderten Daten, also beispielsweise HTML-Seiten oder Bilder, an den Client überträgt. Bei diesem Dienst handelt es sich also um den Dienst, der die heute im Internet angebotenen klassischen Webseiten unterstützt. Da der WWW-Dienst am häufigsten verfügbar ist, wird er auch am häufigsten attackiert, der Viren-Klassiker des Jahres 2001, Code Red, hat die Verwundbarkeit dieses Dienstes aufgezeigt. Ein generelles Problem bei
511
12 Internet & Sicherheit
Webservern liegt in der Behandlung so genannter »malformed request header«. Um bei der Praxis zu bleiben: ein Client sendet üblicherweise an den Webserver die Anforderung »GET index.html«, dann für die Bilder ebenfalls noch einmal Anforderungen wie »GET logo.jpg«. Bei einem fehlerhaften Request würde die Anfrage etwa so aussehen: »GET *%&$)dex.=??%tml«. Es gibt Browser, die stürzen dann einfach ab, es gibt aber auch Browser, die versuchen, den Header trotzdem zu verarbeiten. Code Red nutzte einen solchen Fehler im System des IIS, um durch einen speziellen Request einen Systemfehler zu produzieren, der die Daten des Virus in den Arbeitsspeicher des IIS übertrug. Was kann man gegen solche Angriffe tun? Ehrlich gesagt, nicht viel. Man muss daher bei Systemen, die WWW-Funktionalität anbieten sollen, sehr diszipliniert auf die Sicherheit achten. Ein solcher Webserver sollte also mit einem guten Virenscanner ausgestattet sein, der über heuristische Funktionen verfügt. Solche Funktionen erkennen einen Virus nicht an der Signatur, sondern am Verhalten des Codes. Darüber hinaus sollten die Signaturen auch regelmäßig erneuert werden. Wer hier nur 50 _ bezahlen möchte, sollte die Finger von der Webpräsenz lassen. Zum anderen sollten Sie beständig auf der Microsoft-Website nach Sicherheitsupdates suchen und diese schnellstmöglich einspielen. Auf diese Weise verhindern Sie die Gefahr zwar nicht, aber sie reduzieren sie auf ein Minimum. Eine Lösung ist aber noch als Alternative zu sehen. Wenn der IIS automatisch mitinstalliert wurde, können Sie ihn nicht immer auch wieder deinstallieren, ohne Schaden am System anzurichten. Es geht aber auch einfacher: schalten Sie doch den WWW-Publishingdienst ab. Zwar laufen dann einige Funktionen wie das Drucken über Webports nicht mehr, aber das ist wohl vertretbar. Gehen Sie also einfach in die Dienste-Konsole und beenden Sie den WWW-Dienst auf Systemen, die keine expliziten Webservices anbieten. Setzen Sie die Startart des Diensts auf Manuell oder Deaktiviert, wenn der Dienst auch beim Neustart nicht mehr aktiviert werden soll. Ein WWW-Server, der auf Client-Anfragen nicht antwortet, ist auch nicht gefährdet. FTP-Dienst Dieser Dienst wird nur mitinstalliert, wenn Sie es explizit anfordern, erweitert aber Ihren Webserver um die Fähigkeit, Dateien für den Download anzubieten bzw. einen Upload von Dateien zuzulassen. Dazu wird über die TCP-Ports 21 und 20 eine Verbindung zwischen dem Client und dem FTPServer hergestellt, mit denen die Daten anschließend übertragen werden. Das File Transfer Protocol (kurz FTP) ist ein mittlerweile steinaltes Protokoll, das aus sicherheitstechnischer Sicht heute nicht mehr allen Anforderungen genügt. Die Übertragung von Kennwörtern, die zur Authentifikation am FTP-Server notwendig sind, erfolgt im Klartext, daher sollten Sie auf einen derart gesicherten FTP-Server verzichten. Prinzipiell sollten Sie drei Punkte zur Nutzung des FTP-Servers in Erwägung ziehen:
512
Sicherheit bei Internetpräsenzen 왘 Trennung des FTP-Servers von den anderen Webdiensten, da die anderen
Server so nicht mehr über FTP-Sicherheitslücken angreifbar sind. 왘 Einrichtung einen FTP-Servers für anonymen Zugang, da dann keine
echten Kennwörter übertragen werden müssen. 왘 Ersatz des FTP-Servers durch http-basierte Lösungen, da diese durch
Sicherheitsfunktionen wie https besser geschützt werden können. SMTP-Dienst Dieser Dienst (Simple Mail Transfer Protocol) wird auf allen WindowsDomänencontrollern standardmäßig mitinstalliert, da er vom Active Directory für die Replikation genutzt wird. Ursprünglich diente und dient SMTP, das Daten auf dem Port 25 überträgt, aber zur Übermittlung von E-Mails an andere Mailserver. Mithilfe von SMTP kommunizieren also im Wesentlichen E-Mail-Server wie Exchange 2000, Sendmail oder andere Systeme miteinander, um Daten auszutauschen. Wenn Sie für Mails einen zentralen Server einsetzen oder aber Ihre E-Mail über einen Internetprovider laufen lassen, wird dieser Dienst prinzipiell nicht gebraucht. Außer bei Domänencontrollern können Sie diesen Dienst folglich deinstallieren, ohne dass dadurch Probleme entstehen. NNTP-Dienst Das Network News Transfer Protocol bietet Dienste für die Übertragung und den Download von Newsgroups an. Dieser Dienst ist nur von Interesse, wenn Sie in Ihrem Unternehmen einen Newsgroup-Server für das Intranet platzieren wollen, der Exchange 2000-Server bedient sich beispielsweise seiner Funktionalität. Alternativ können Sie über NNTP auch Internet-Newsgroups downloaden, allerdings ist dazu ein spezieller Abgleich mit anderen Newsgroup-Servern notwendig, den die Betreiber dieser Server erst einrichten müssen. Hinzu kommt, dass Sie bei der Teilnahme an Internet-Newsgroups täglich Gigabytes von Schrott über Ihre Leitung übertragen. In Anbetracht der Tatsache, dass die meisten Internetanbindungen heute nach Volumen abgerechnet werden, ist die Nutzung von Internet-Newsgroups folglich kaum empfehlenswert. Sofern der Dienst also nicht für spezielle Anwendungen im Intranet gefordert wird (eben z.B. vom Exchange 2000), sollte er auf anderen Internet Information Servern gar nicht erst installiert werden. Er bietet nur Angriffsfläche, ohne einen Zweck zu erfüllen.
12.5.2
Die Sicherheitsbarrieren des IIS
Bei keinem anderen Produkt wird momentan so viel über das Thema »Sicherheit« geredet, wie beim Internet-Information-Server. Kaum ein Produkt ist so umstritten; gibt es doch Ratschläge bekannter Unternehmensberatungen, den IIS nicht mehr einzusetzen und ihn auch am besten bei der Verwendung des Active Directories abzuschalten. Nein, keine Sorge, wir wollen Ihnen in diesem Kapitel nun wirklich nicht raten, dass Sie besser das Betriebssystem wechseln und das Konkurrenzprodukt installieren.
513
12 Internet & Sicherheit
Wir möchten Ihnen hier einmal die verschiedenen Sicherheitsmechanismen vorführen, die Ihnen zur Sicherung Ihres Internetservers zur Verfügung stehen und die Sie auch sorgfältig planen sollten. Die Grafik zeigt Ihnen, in welchen Stufen die Sicherheit des IIS abgestuft ist. Ob ein Anwender also Zugriff erhält oder nicht, hängt von ganz verschiedenen Aspekten ab, die in verschiedenen Prüfungen kontrolliert werden und nur, wenn ein Anwender all diese Prüfungen erfolgreich besteht, bekommt er auf die entsprechenden Dateien, Verzeichnisse oder Informationen Zugriff. Die einzelnen Stufen und ihre Funktion beschreiben die nachfolgenden Abschnitte. Abbildung 12.18: Die Sicherheitsstufen des IIS prüfen den Benutzerzugriff in verschiedenen Schritten
Sicherheitsbarrieren des Internet-Information-Servers
Anfrage eines Clients an den IIS
IP-Adresse erlaubt?
NEIN
Zugriff verweigert
NEIN
Zugriff verweigert
NEIN
Zugriff verweigert
NEIN
Zugriff verweigert
JA
Benutzerzugriff gewährt?
JA
Webdatenzugriff möglich?
JA
NTFS-Zugriff gewährt?
JA Zugriff erlaubt
514
Sicherheit bei Internetpräsenzen
Filterung von IP-Adressen Die erste Barriere, die Sie bei Ihrem IIS aufbauen können, besteht auf der Ebene der IP-Adressen. Sie können auf dieser Ebene nämlich einzelnen Computern, Computergruppen oder ganzen Netzwerken oder Domänen den Zugriff auf Ihren IIS verbieten. Wenn Sie diese Option nutzen möchten, rufen Sie die Eigenschaften der jeweiligen Website oder eines virtuellen Verzeichnisses auf und wechseln in dem geöffneten Dialogfenster auf die Registerkarte Verzeichnissicherheit. Abbildung 12.19: Geben Sie über diese Registerkarte an, welche IP-Adressen auf Ihren IIS zugreifen dürfen
Dort klicken Sie im Bereich Beschränkungen für IP-Adressen und Domänennamen auf die Schaltfläche Bearbeiten. Es öffnet sich ein weiteres Dialogfenster, in dem Sie als Erstes bestimmen müssen, ob Sie allen Computern standardmäßig Zugriff auf Ihren Internetserver gewähren oder verweigern wollen. Nutzen Sie Ihren Internetserver nur für den Datenaustausch mit bestimmten Personengruppen, wie z.B. Geschäftspartnern, würden Sie zunächst einmal allen Computern den Zugriff verweigern und dann die Adressen der betreffenden Personen als Ausnahmen eintragen. Bei der klassischen Internetpräsenz hingegen bleibt Ihnen gar nichts anderes übrig, als zunächst einmal allen Computern den Zugriff zu gewähren, da Sie ja Besucher auf Ihrer Website haben möchten. Wenn Sie allerdings bereits von bestimmten Netzwerken oder IP-Adressen aus angegriffen wurden, können Sie hier diese potentiell gefährlichen Adressen ausschließen.
515
12 Internet & Sicherheit
Um die Ausnahmeliste aufzubauen, klicken Sie auf die Hinzufügen-Schaltfläche und wählen, ob der Ausschluss für einen einzelnen Computer, ein Netzwerksegment oder einen DNS-Domänenname gelten soll. Je nach Wahl müssen Sie danach die IP-Adresse des Clients, die Netzwerkadresse oder den FQDN der entsprechenden Domäne in die Felder eintragen. Mit OK übernehmen Sie die gemachten Eintragungen. Ist die Liste fertig gestellt, verlassen Sie das Fenster mit einem weiteren Mausklick auf OK. Abbildung 12.20: Sie können wahlweise einzelne IPAdressen, Netzwerke oder DNSDomänennamen angeben
Alle Adressen, denen Sie über dieses Fenster den Zugriff verweigert haben, werden vom IIS bereits an dieser Stelle abgewiesen. Wenn Sie also bei einem Intranetserver beispielsweise nur private IP-Adressen aus Ihrem Netzwerk zulassen, haben Angreifer aus dem Internet bereits wenige Chancen, auf den Server zu gelangen, da sie selbst dann, wenn sie die private Adresse herausbekommen würden, diese im Internet nicht verwenden könnten. Echte Internetpräsenzen lassen sich durch diese Maßnahmen hingegen nicht sehr gut absichern, da Sie den meisten IP-Adressen logischerweise einen Zugriff gewähren werden, um Besucher auf der Website zu bekommen. Benutzerauthentifizierung beim IIS Zum Schutz der Webinhalte können Sie nun aber auch die Identität des zugreifenden Benutzers überprüfen, wobei der IIS vier verschiedene Authentifizierungsmethoden unterstützt und Sie zudem festlegen können, ob die Authentifizierung auf Website-, Verzeichnis- oder Dateiebene stattfindet. Die zur Verfügung stehenden Methoden sind: 왘 Anonyme Authentifizierung: Hierbei handelt es sich um die bei der
Installation des IIS standardmäßig verwendete Authentifizierungsmethode, die den Benutzerzugriff ohne Eingabe eines Benutzernamens oder Passwortes gewährt und die bei Internetpräsenzen am häufigsten eingesetzte Methode ist. Beim Benutzerzugriff wird automatisch das lokale Benutzerkonto IUSR_Computername, das sich auf dem IIS in der GästeGruppe befindet, verwendet. Bei der Verwendung dieser Authentifizierungsmethode sollten Sie bedenken, dass das Konto IUSR_Computername sich aber auch in der Gruppe Jeder befindet und damit alle Rechte dieser Gruppe erhält.
516
Sicherheit bei Internetpräsenzen 왘 Standardauthentifizierung: Hier erfolgt die Aufforderung zur Eingabe
eines Benutzernamens und eines Kennwortes. Die Daten werden mit den Windows 2000-Benutzerkonten verglichen, wobei ohne das Zuschalten von SSL (Secure-Socket-Layer) die Daten unverschlüsselt vom Client zum IIS übertragen werden, also im Internet von Hackern abgefangen werden könnten. 왘 Digestauthentifizierung: Bei diesem neuen Feature des IIS 5.0 wird der
Benutzername und das Kennwort mittels Hashing in einen eindeutigen Wert konvertiert. Der Server kann so die Kennwortkenntnis des Clients prüfen, ohne dass dieser das Kennwort übertragen muss. (steht nur bei Windows 2000-basierten DCs und Clients und unter IE 5.0 zur Verfügung, zudem müssen die Benutzerkonten mit Kennwort mit reversibler Verschlüsselung speichern im Active Directory konfiguriert sein). 왘 Integrierte Windows-Authentifizierung: Verwendet die Windows-
Anmeldeinformationen des Clientcomputers, funktioniert aber nicht über http-Proxyverbindungen. Zudem wird sie nur von MS WindowsClients unterstützt. Wenn Sie sich die Authentifizierungsmethoden ansehen, kommen Sie recht schnell zu dem Fazit, dass für die Internetpräsenz die anonyme Authentifizierung und eine entsprechende Absicherung des IUSR-Benutzerkontos die beste Variante ist. Für Ihren Intranetserver oder einen Internetserver, den Sie nur für bestimmte Personenkreise zur Verfügung stellen wollen, stellt die integrierte Windows-Authentifizierung die beste Variante dar. Abbildung 12.21: Wählen Sie in diesem Dialogfenster die gewünschte Authentifizierungsmethode
Um die Benutzerauthentifizierung zu konfigurieren, rufen Sie die Eigenschaften der jeweiligen Website oder eines virtuellen Verzeichnisses auf und wechseln in dem geöffneten Dialogfenster auf die Registerkarte Verzeichnis-
517
12 Internet & Sicherheit
sicherheit. Dort klicken Sie im Bereich Steuerung des anonymen Zugriffs und der Authentifizierung auf die Bearbeiten-Schaltfläche. Im so geöffneten Dialogfenster legen Sie die gewünschten Einstellungen für den anonymen oder den authentifizierten Zugriff fest. Zugriffsberechtigungen für Web-Inhalte Die nächste Barriere, die Sie zur Absicherung Ihres IIS verwenden können, ist die Definition von Zugriffsberechtigungen auf das Basisverzeichnis des IIS oder ein virtuelles Verzeichnis. Beim Basisverzeichnis handelt es sich um die Root, in der üblicherweise die DEFAULT.HTM-Datei abgelegt ist. Bei den virtuellen Verzeichnissen handelt es sich um eine Art von Unterverzeichnissen, die sich aber auf anderen Servern im Internet, anderen Netzwerk-Servern oder der Festplatte des IIS befinden können. Als Zugriffsrechte stehen Ihnen die folgenden Rechte zur Verfügung: 왘 Script-Zugriff: Legt fest, ob die Anwender ein Script, das sich in einem
bestimmten Verzeichnis befindet, nur ausführen dürfen oder ob Ihnen auch Zugriff auf den Quellcodes dieses Scripts gewährt wird. 왘 Lesen: Über dieses Recht gewähren Sie den Anwendern, Dateien oder
Verzeichnisse in dem definierten Bereich zu lesen oder auf den eigenen Computer downzuloaden. 왘 Schreiben: Mit diesem Recht gewähren Sie den Anwendern, vorhandene
Dateien und Informationen zu bearbeiten bzw. eigene Dateien in bestehende Verzeichnisse auf den IIS zu laden. 왘 Verzeichnis durchsuchen: Mit diesem Recht gewähren Sie den Anwen-
dern, sich eine Liste der in dem definierten Bereich vorhandenen Dateien und Unterverzeichnisse anzeigen zu lassen. Um die Zugriffsberechtigungen für Webinhalte zu konfigurieren, rufen Sie die Eigenschaften der jeweiligen Website oder eines virtuellen Verzeichnisses auf und wechseln in dem geöffneten Dialogfenster auf die Registerkarte Basisverzeichnis, wenn es sich um das Root-Verzeichnis handelt oder auf die Registerkarte Virtuelles Verzeichnis für alle anderen Verzeichnisse. Dort legen Sie zunächst einmal fest, welches tatsächliche Verzeichnis sich hinter dem virtuellen Verzeichnis verbirgt. Es kann sich dabei um ein lokales auf der Festplatte des IIS vorhandenes Verzeichnis oder aber auch eine Netzwerkfreigabe auf einem anderen Server handeln. Die dritte Variante, die Umleitung auf eine andere URL, ist für die Sicherheitsüberlegungen an dieser Stelle nicht relevant, da dies dann auf dem entsprechenden Internetserver vor Ort bewältigt werden muss. Nachdem das tatsächliche Verzeichnis über das Feld Lokaler Pfad oder Netzwerkverzeichnis festgelegt ist, beginnen Sie mit der Definition der Zugriffsrechte. Sofern Sie mit gescripteten oder kompilierten Anwendungen arbeiten, müssen Sie für diese im Bereich Anwendungseinstellung einen Namen definieren und dann die entsprechenden Ausführberechtigungen vergeben.
518
Sicherheit bei Internetpräsenzen
Die Option Keine untersagt die Ausführung von Scripts oder Anwendungen, die Option Nur Scripts erlaubt den Anwendern die Ausführung von Scripts, während die Option Scripts und ausführbare Dateien die Ausführung aller Dateitypen erlaubt. Abbildung 12.22: Vergeben Sie auf dieser Registerkarte die entsprechenden Zugriffsrechte für die Webinhalte
Anmerkung: Durch die Kombination des Verzeichnisrechts Schreiben und der Ausführberechtigungen für Scripts oder Anwendungen können gefährliche Sicherheitslücken entstehen, da Sie damit den Anwendern erlauben, eigene Dateien auf den Server heraufzuladen und diese anschließend auch noch auszuführen. Upload-Bereiche sollten daher auf Servern immer für die Ausführung von Scripten oder Anwendungen gesperrt sein. NTFS-Berechtigungen Wie jeden anderen Windows-Server können Sie natürlich auch beim IIS die lokalen Ressourcen über NTFS-Berechtigungen absichern. Dies sollten Sie unbedingt tun, da Sie damit eine letzte Sicherheitsbarriere errichten. Vor allem, wenn Sie bedenken, dass bei der anonymen Authentifizierungsvariante das Benutzerkonto IUSR-Computername für den Zugriff genutzt wird, das zur Gruppe Jeder gehört. Wenn Sie auf die einzelnen Verzeichnisse der Gruppe Jeder nämlich Vollzugriff gewähren, haben Sie auf NTFS-Ebene dem Anwender alle Rechte zugewiesen. Dabei bietet Ihnen gerade NTFS unter Windows 2000 und Windows XP eine fein abgestufte Rechtevergabe, mit der Sie die Dateiressourcen optimal sichern können. Mehr zu diesem Thema finden Sie im Kapitel, das sich mit der ressourcenbezogenen Sicherheit befasst.
519
12 Internet & Sicherheit
12.5.3
IIS absichern
Nachdem Sie nun die verschiedenen Sicherheitsstufen des IIS kennen gelernt haben, möchten wir Ihnen an dieser Stelle noch einige nützliche Tools und Methoden vorstellen, die Ihnen bei der Absicherung Ihres IIS helfen. Hotfixes, Patches & Servicepacks Da die Hacker ständig dazulernen, gibt es auch immer wieder neue Gefahren, die durch neuartige Angriffsmethoden, neue Viren etc. für Internetpräsenzen entstehen. Die Angreifer nutzen dabei Sicherheitslücken oder Konfigurationseinstellungen der neuen Produkte aus und programmieren dafür ihre Viren, Trojaner etc. Die Softwarehersteller müssen auf diese neuen Gefahren reagieren und bringen in der Regel kurz nach dem Auftreten von neuen Viren, wie z.B. Nimda oder Code Red, entsprechende Hotfixes, Patches oder Servicepacks auf den Markt. Dabei handelt es sich um Funktionserweiterungen, Updates für vorhandene Programmdateien etc., die das Ziel verfolgen, erkannte Lücken zu schließen und damit die Stabilität und Sicherheit der Produkte zu erhöhen. Gerade beim Produkt IIS ist es ganz besonders wichtig, dass Sie sich als Administrator oder Verantwortlicher des Sicherheits-Managements fortlaufend auf dem aktuellen Stand halten, was die Hotfixes, Patches und Servicepacks anbelangt. Zwei wichtige Adressen für diesen Zweck sind: 1. Die Microsoft-Downloadseite unter der Adresse http://www.microsoft.com/ downloads. Dort können Sie einerseits die Sprachversion angeben, also z.B. Germany auswählen, und sich dann alle aktuellen Downloadangebote für ein bestimmtes Produkt anzeigen lassen. 2. Die Microsoft-Sicherheitsseite unter der Adresse http://www.microsoft.com/ security. Dort können Sie ebenfalls nach dem IIS auf der Hauptseite suchen lassen und erhalten so eine Übersicht über alle aktuellen sicherheitsrelevanten Fragen, die den IIS betreffen. Sicherheitschecklisten Da die Relevanz der Sicherheitsfragen beim IIS sehr brisant ist, bietet Microsoft im Internet über die Webadresse http://www.microsoft/security und den dort angebotenen Menüpunkt Tools & Checklisten auch verschiedene Checklisten an, die sich direkt mit der Absicherung des IIS 4.0 oder IIS 5.0 beschäftigen. Wenn Sie beispielsweise den Hyperlink IIS 5.0 Baseline Security Checklist anklicken, bekommen Sie eine kurze Tabelle mit Hinweisen zur Absicherung des IIS angezeigt. Diese Tabelle können Sie einerseits ausdrucken, um sie beispielsweise bei einer Implementierungskontrolle zu verwenden, Sie können den als Hyperlink formatierten Tabelleneinträgen aber auch folgen und auf diese Weise exaktere Informationen erhalten, wie Sie Ihren IIS sicherer gestalten.
520
Sicherheit bei Internetpräsenzen Abbildung 12.23: Im DownloadCenter können Sie sich alle aktuellen Produktdownloads auflisten lassen
Abbildung 12.24: Über die Suchfunktion können Sie alle sicherheitsrelevanten Themen zu einem bestimmten Produkt abfragen
521
12 Internet & Sicherheit Abbildung 12.25: Microsoft bietet im Internet Checklisten für den Sicherheitscheck des IIS an
Hinter den Hyperlinks verbergen sich beispielsweise exakte Anweisungen, wie Sie ACLs für bestimmte Verzeichnisse definieren sollten, mit welchen Optionen Sie die Protokollierung konfigurieren sollten, etc. Tools, die den IIS sichern Es gibt eine ganze Reihe nützlicher Tools, die Ihnen dabei behilflich sind, die Sicherheitskonfiguration Ihres IIS zu überprüfen und zu verbessern. Einige dieser Werkzeuge möchten wir Ihnen in den folgenden Abschnitten kurz vorstellen. IIS Permissions
Dieses einfache Tool gibt Ihnen eine Möglichkeit zur Bewertung von Authentifizierungen im Umfeld des IIS. Grundsätzlich sollten Sie dabei die möglichst beste Authentifizierung wählen, die für das jeweilige Zugriffsmodell die sicherste Lösung darstellt. Nur unter Ausnahmen sollte eine anonyme Authentifizierung durchgeführt werden. Das Tool zeigt, welche Zugriffe bei welchen Client- und Server-seitigen Gegebenheiten möglich sind. IIS Lockdown Tool
Das IIS Lockdown Tool ist ein kleines Tool, das Microsoft speziell den Betreibern von Websites zur Verfügung stellt, das aber auch für die Berechtigungsdefinition bei Intranetservern genutzt werden kann. Dabei können Sie mithilfe der assistentengestützten Anwendung Ihren IIS so sicher machen, dass er selbst ohne die entsprechenden Hotfixes keinen Befall durch Code Red
522
Sicherheit bei Internetpräsenzen
und andere Viren zugelassen hätte. Das Tool zeigt also, welche Sicherheitsmöglichkeiten für den IIS tatsächlich bestehen. Sie können das Programm von der Microsoft-Website kostenlos herunterladen und dann auf dem zu sichernden Webserver installieren. Sie starten den Assistenten nach der Installation durch einen simplen Doppelklick auf die Datei IISLOCKD.EXE in dem Verzeichnis, in das Sie das Tool installiert haben. Auf der Willkommensseite des Assistenten klicken Sie auf Weiter, um die Konfiguration zu beginnen. Abbildung 12.26: IIS Permissions zeigt Ihnen die passende Authentifizierungsmethode für Ihren Webserver an
Sie werden dann gefragt, ob Sie die Konfiguration mit einem Express Lockdown oder über ein Advanced Lockdown durchführen wollen. Die ExpressVariante ist die schnellere Variante, sperrt aber im Grunde genommen alle dynamischen Funktionen Ihres Webservers, also auch ASP-basierte Anwendungen, wie beispielsweise Datenbankzugriffe. Wollen Sie etwas genauere Einstellungen treffen, um bestimmte Funktionen noch zu erlauben, sollten Sie die Option Advanced Lockdown verwenden. Ist die Option Express Lockdown aktiviert, werden Sie bei einem Klick auf Weiter direkt gefragt, ob die Sicherung des Servers nun durchgeführt werden soll. Ein Klick auf Ja führt die Einschränkungen durch und sichert den Server so, dass prinzipiell nur noch HTML-Seiten angezeigt werden können. Bevor Sie diese Einstellung auf einem Produktivsystem durchführen, sollten Sie daher unbedingt auf einem Testserver prüfen, ob Ihre Internetpräsenz mit den getroffenen Einstellungen überhaupt lauffähig ist.
523
12 Internet & Sicherheit Abbildung 12.27: Wählen Sie die passende Konfigurationsmethode
Haben Sie die Option Advanced Lockdown eingeschaltet, müssen Sie auf der nächsten Seite des Assistenten angeben, welche Funktionalitäten explizit abgeschaltet werden sollen. So können Sie beispielsweise die Unterstützung für ASP-Seiten oder Internet-Druck abschalten. Diese Dienste stehen anschließend auf Ihrem IIS nicht mehr zur Verfügung. Neben den Diensten gibt es noch eine ganze Reihe von Standardkonfigurationen, die einem IIS-Neuling den Einstieg erleichtern sollen, andererseits aber aufgrund der Tatsache, dass jeder diese speziellen Funktionen kennt, eine potentielle Sicherheitslücke darstellen. Deshalb können Sie in der nächsten Stufe der Konfiguration Standardwebsites und spezielle Datenkonnektoren löschen. Darüber hinaus können Sie den Assistenten anweisen, alle sicherheitskritischen Einstellungen in Bezug auf den anonymen Internetanwender zu korrigieren und so das System gegenüber dem anonymen Zugriff absichern. Die eingestellten Beschränkungen werden anschließend in den IIS übernommen und verhindern in Zukunft einen Missbrauch über die hier gesperrten Schnittstellen. Kommandozeilentools
Derzeit bietet Microsoft noch eine zusätzliche Sammlung von kommandozeilenbasierten Tools für die Absicherung des Internet Information Servers. Diese Tools können Sie am besten über die Websicherheitsseiten von Microsoft abrufen. Derzeit finden Sie die Daten unter der URL http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ prodtech/iissec.asp
524
Sicherheit bei Internetpräsenzen
allerdings wird sich diese Adresse vermutlich irgendwann ändern. Schauen Sie einfach bei der jeweils aktuellen Windows-Plattform nach den angebotenen Sicherheitsthemen und klicken Sie sich dann durch die Benutzerfügung der Website. Abbildung 12.28: Legen Sie fest, welche Dienste auf dem Webserver deaktiviert werden sollen
Abbildung 12.29: Entfernen oder korrigieren Sie StandardKonfigurationseinstellungen
525
12 Internet & Sicherheit
Webserver in der DMZ sichern Wenn Sie eine DMZ nutzen, um bestimmte Ressourcen für Internetanwender bereitzustellen, müssen Sie je nach angebotener Ressource unterschiedliche Sicherheitsmaßnahmen treffen. Für einen Webserver sollten Sie folgende Maßnahmen in Betracht ziehen: 왘 Beim Zugriff auf einen Webserver erfolgt die Kommunikation in der
Regel über das http- und das FTP-Protokoll. Also müssen Sie in diesem Fall auf der externen Firewall den Port 80 für http und die Ports 20 (für die Datenübertragung) und 21 (ermöglicht dem Client das Absetzen von Befehlen an den FTP-Server) für FTP freischalten, um die Kommunikation zu ermöglichen. Da es beim FTP viele so genannter »passiver Clients« gibt, müssen Sie nicht nur die eingehenden, sondern auch die ausgehenden Ports für den FTP-Verkehr freischalten. 왘 Sowohl http und FTP unterstützen die Benutzerauthentifizierung, aller-
dings werden die Kennwörter als Klartext übersendet, was sie anfällig für Password-Cracking-Attacken macht. Für das http-Protokoll gibt es daher mit https eine Alternative, die durch die Verschlüsselung der Kommunikation zwischen Client und Server eine höhere Sicherheit bietet. Für https müssen Sie auf der Firewall den Port 443 freischalten. Zusätzlich notwendige Anwendungsserver über DMZ sichern Viele Unternehmen verknüpfen ihre Webseiten mit Datenbanken, um das reichhaltige Informationsangebot überhaupt verwalten zu können. Um solche Datenbanken- oder Anwendungsserver adäquat zu schützen, sollten Sie folgende Maßnahmen in Betracht ziehen: 왘 Für den öffentlichen Zugriff verwenden Sie ausschließlich ein webbasier-
tes Frontend. Während der benötigte Webserver in der DMZ platziert ist, steht der Anwendungsserver hinter der internen Firewall im privaten Netzwerk. Die externe Firewall lässt nur die Kommunikation über http zu, während die interne Firewall so konfiguriert ist, dass der Webserver über die entsprechenden Ports mit dem Anwendungsserver kommuniziert. Bei einem SQL-Server wäre dies der TCP-Port 1433. 왘 Für den Zugriff auf Anwendungsserver für Remote-Anwender oder
Geschäftspartner können Sie auch mit einem VPN-Tunnel oder TerminalSitzungen arbeiten. Sie sehen, die Sicherheitsaspekte beim IIS sind sehr vielfältig und die anzustellenden Überlegungen zum Thema Sicherheit bedürfen einer weitreichenden Planung. Darüber hinaus sollten Sie gerade beim IIS immer darauf achten, dass Sie die neuesten Hotfixes, Patches und Servicepacks einspielen, da Microsoft dort sehr schnell auf neue Gefahren wie z.B. neuartige Viren etc. reagiert. Eine vollständige Sicherheitsgarantie gibt es beim Internet nie, denn auch die Hacker und Virenprogrammierer entwickeln sich immer weiter, aber wenn Sie das Sicherheits-Management als fortwährende Aufgabe betrachten, dann können Sie die drohenden Gefahren minimieren.
526
13
Kontrollphase (Schritt 4 des Sicherheits-Managements)
In den vorangegangenen Kapiteln haben Sie erfahren, mit welchen Werkzeugen und mit welchen Einstellungen oder Konfigurationen Sie den Sicherheitsstandard Ihres Netzwerkes erhöhen und wie Sie Ihre Ressourcen vor unberechtigtem Zugriff schützen können. Abbildung 13.1: Prozess bei der Einführung von Veränderungen
Prozess-Ablauf bei der Einführung von Veränderungen
Change- und ReleaseManagement
Implementierung der „neuen“ Sicherheits-Standards (Veränderung bzw. Change)
RFC
ImplementierungsKontrolle
Zyklische Kontrollen
Betriebsphase
527
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
Die Einführung solcher »neuen« Sicherheitsstandards finden gemäß ITSM oder dem Microsoft MOF-Modell im Rahmen des Change-Managements bzw. innerhalb der Veränderungsphase statt. Nach der Einführung von Veränderungen in die bestehende IT-Infrastruktur folgt eine Kontrollphase, die als »Implementierungskontrolle« bezeichnet wird. Während der Implementierungskontrolle wird überprüft, ob die vorgenommenen Veränderungen auch den gewünschten Effekt erbringen. Erst nach der durchgeführten Implementierungskontrolle beginnt die eigentliche Betriebsphase. Aber auch während des Betriebs sollten in regelmäßigen Abständen erneut Kontrollen erfolgen, um auf diese Weise zu prüfen, ob die eingeführten Sicherheitsstandards immer noch Bestand haben oder ob sich an den Systemkonfigurationen etwas verändert hat. Es kann natürlich auch passieren, dass während der Betriebsphase entsprechende Probleme oder Anforderungen aufkommen, die eine Veränderung der vorhandenen Sicherheitsstandards erforderlich machen. In einem solchen Fall würden die Betriebsverantwortlichen einen so genannten RFC, einen »Request for Change« an das ChangeManagement einreichen, und der gesamte Zyklus von Veränderung, Implementierungskontrolle und Betrieb beginnt von vorne. Die nachstehende Abbildung zeigt schematisch den Ablauf des gesamten Prozesses, beginnend beim Change-Management bis hin zum Betrieb. Ziel dieses Kapitels ist es, Ihnen bei der Umsetzung von eigenen Implementierungskontrollen zu helfen. Denn natürlich kann jeder leicht einsehen, dass man nach einer durchgeführten Systemveränderung eine Kontrolle durchführen sollte, um den Erfolg der gemachten Veränderungen zu überprüfen. Aber die große Frage ist natürlich, wie kontrolliere ich überhaupt, ob die Konfigurationseinstellungen erfolgreich sind oder nicht. Das notwendige »Doing« möchten wir Ihnen in diesem Kapitel vorführen.
13.1 Sicherheitskatalog erstellen In der Regel erstellt ein Unternehmen vor der Implementierung von »Sicherheitsstandards« einen Anforderungs- oder Sicherheitskatalog, der häufig auch als Sicherheitsrichtlinien des Unternehmens bezeichnet wird. In global operierenden Unternehmen werden solche Kataloge oder Sicherheitsrichtlinien auch als »Security Mandates« bezeichnet. In jedem Fall handelt es sich um eine Tabelle oder ein Dokument, in dem die unterschiedlichen Sicherheitsanforderungen, die sich zumeist in die nachfolgend aufgelisteten Themenbereiche eingliedern lassen, aufgeführt werden: 왘 Benutzerauthentifizierung 왘 Datei-Ressourcen 왘 Systemkonfiguration 왘 Systemdienste 왘 Netzwerk und Kommunikationskanäle
528
Sicherheitskatalog erstellen 왘 Public Key Infrastructure 왘 Remote-Zugänge 왘 Internetanbindung
Um den ausführenden Administratoren die Arbeit zu erleichtern, sollten diese Dokumente oder Tabellen aber auch kurze Anweisungen darüber enthalten, mit welchem Werkzeug oder mit welchen Schritten, die Sicherheitsanforderungen umgesetzt werden. Existieren solche Dokumente oder Kataloge, können Sie diese für die Implementierungskontrolle sehr einfach durch die entsprechenden Informationen ergänzen, die definieren, wie die implementierten Einstellungen überprüft werden. Zudem lässt sich im Sicherheitskatalog auch noch festhalten, wie häufig die Kontrollen durchgeführt werden sollen. Müssen Sie einen solchen Sicherheitskatalog erst erstellen, sollten Sie dies am besten mithilfe von Excel durchführen und einfach die folgenden Informationen in einer Tabelle zusammenfassen: 왘 Beschreibung der Sicherheitsanforderung 왘 Verwendetes Implementierungswerkzeug 왘 Kontrollwerkzeug oder Beschreibung der zur Kontrolle notwendigen
Schritte 왘 Häufigkeit der Kontrolle 왘 Die nachstehende Abbildung zeigt eine mögliche Variante eines solchen
Sicherheitskatalogs. Abbildung 13.2: Sicherheitskatalog
Sicherheitskatalog für die Implementierungskontrolle SicherheitsAnforderung
Werkzeug zur Implementierung
Alle Passwörter müssen mehr als 6 Buchstaben haben
Kontenrichtlinien
Jeder Benutzer muss nach 30 Tagen spätestens sein Passwort ändern
Kontenrichtlinien
Alle Laufwerke müssen mit NTFS formatiert sein Für die als „geheim“ eingestuften Daten muss jeder Dateizugriff protokolliert werden.
KontrollWerkzeug Manuelle Tests oder per Skript
Kennwortalter überprüfen
Häufigkeit der Kontrolle 1 * pro Monat
1 * pro Monat
DatenträgerVerwaltung
Manuelle Tests oder per Script
Bei jeder Neuinstallation
ÜberwachungsRichtlinien
Ereignis-Protokoll
Fortlaufend (online)
Weitere Anforderungen…
529
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
Sobald Sie den Sicherheitskatalog fertig gestellt haben, können Sie entsprechende Ausdrucke anfertigen und mit der Durchführung der Implementierungskontrolle beginnen.
13.2 Kontrollwerkzeuge & Testvarianten Wenn Sie, wie im vorangegangenen Kapitel, einen Sicherheitskatalog erstellen, stehen Sie natürlich vor der Frage »Welche Kontrollwerkzeuge gibt es und für welchen Zweck kann sich sie am besten einsetzen?«. Dieses Kapitel möchte Ihnen verschiedene Kontrollwerkzeuge und Testvarianten vorstellen, um Ihnen so das richtige Handwerkszeug für die Implementierungskontrolle an die Hand zu geben.
13.2.1
Manuelle Tests oder Scripts
Alle Einstellungen lassen sich natürlich immer durch »manuelles Testen« verifizieren. So können Sie beispielsweise einen Testbenutzer anlegen und durch Eingabe eines zu kurzen Passwortes testen, ob die Kontenrichtlinie, die eine Passwortlänge von mindestens sechs Buchstaben vorschreibt, funktioniert. Aber gerade in größeren Netzwerken ist das manuelle Testen nicht funktional, da es viel zu aufwändig ist. Abbildung 13.3: Eigenschaften von Scripts
530
Kontrollwerkzeuge & Testvarianten
Eine Alternative dazu stellt das Erstellen eigener Scripts dar, da sich dadurch der Vorgang des manuellen Testens automatisieren und in standardisierter Form an vielen Maschinen wiederholen lässt. Die Scripts enthalten nämlich Abfolgen der notwendigen Befehle, die Sie eigentlich manuell an jeder Maschine ausführen müssten. Sobald Sie die Scripts an den Maschinen, die Sie überprüfen wollen, starten, wird die im Script enthaltene Befehlsfolge abgearbeitet. Unter Windows 2000 ist der Windows Scripting Host (WSH) integriert und wird automatisch mit dem Betriebssystem installiert. Standardmäßig kann der Windows Scripting Host entsprechende Visual Basic Script-Dateien (*.VBS) und JScript-Dateien (*.JS) interpretieren und ausführen. Allerdings können Sie optional auch PERL-Scripts verwenden und durch den Windows Scripting Host interpretieren lassen. Ob der Windows Scripting Host im Hintergrund arbeitet, erkennen Sie, wenn bei Dateien mit der Dateiendung .VBS oder .JS in den Dateieigenschaften eine zusätzliche Registerkarte mit scriptspezifischen Optionen erscheint. Der einzige Nachteil der Scripts besteht darin, dass Sie über die notwendigen Programmierkenntnisse zum Erstellen der Scripts verfügen müssen.
13.2.2
Batch-Jobs
Eine bewährte Alternative zum Programmieren eigener AutomationsScripts besteht in der Erstellung so genannter »Batch-Jobs«. Dabei reichen die Möglichkeiten allerdings auch hier von der einfachen automatisierten Abarbeitung von Befehlen, die Sie ansonsten an der Befehlseingabeaufforderung eingeben würden, bis hin zur komplexen Batchprogrammierung, die beispielsweise die Verwendung von Bedingungen erlaubt. Abbildung 13.4: Batch-Jobs können auf einfachen Befehlen basieren, die Sie an der Eingabeaufforderung eingeben würden
Wir möchten Ihnen an dieser Stelle aber lediglich ein paar einfache Befehle vorstellen, die es Ihnen ermöglichen, bestimmte Systemkonfigurationsinformationen abzufragen und deren Abfrageergebnisse in eine Datei umzuleiten.
531
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
Wenn Sie über Start/Ausführen und die Eingabe CMD zur Eingabeaufforderung wechseln und dort beispielsweise den Befehl net accounts /domain >> C:\Kontenrichtlinienprotokoll.txt
eingeben, werden die Konteneinstellungen für die aktuelle Domäne in die Textdatei mit dem Namen »Kontenrichtlinienprotokoll.txt« geschrieben. Lassen Sie die Option /domain
weg, werden hingegen die lokalen Kontenrichtlinien des Computers, an dem Sie den Befehl absetzen, in eine Datei umgeleitet. Dabei werden, wie in dem oben gezeigten Bild, alle Informationen zum Kennwortalter, Kennwortlänge oder Kennworthistorie ausgegeben. Auf diese Weise lassen sich die vorgegebenen Kontenrichtlinien testen. Verschiedene nützliche NET-Befehle Nachfolgend möchten wir Ihnen nun einige ausgewählte Befehle vorstellen, die bei der Überprüfung von Konfigurationseinstellungen, die die Systemsicherheit betreffen, helfen können: Net User: Der Befehl dient dazu, Benutzerkonten anzulegen oder zu löschen. Sie können ihn aber auch nutzen, um die auf einem Computer vorhandenen Benutzerkonten anzeigen oder in einer Textdatei ausgeben zu lassen. Abbildung 13.5: Mit »net user« lassen sich die angelegten Benutzerkonten auslesen
Net Group und Net Localgroup: Wenn Sie auf einem Domänencontroller auswerten möchten, welche Benutzergruppen dort angelegt wurden, verwenden Sie den Befehl net group, wenn Sie hingegen auf einem Mitgliedsserver oder einer Workstation die dort vorhandenen lokalen Gruppen auswerten möchten, nutzen Sie den Befehl net localgroup.
532
Kontrollwerkzeuge & Testvarianten Abbildung 13.6: Über »net group« oder »net localgroup« lassen sich die Benutzerkonten auslesen
Net Start: Möchten Sie wissen, welche Dienste auf einem Computer zum aktuellen Zeitpunkt gestartet sind, geben Sie diesen Befehl ein. Wie bei allen anderen NET-Befehlen, lässt sich auch das hier angezeigte Ergebnis in eine Textdatei umleiten. Abbildung 13.7: Über »net start« lassen sich die gestarteten Dienste des Computers abfragen
Cacls : Mit diesem Befehl lassen sich die Zugriffsberechtigungen für Dateien oder Verzeichnisse anzeigen und auch verändern. Wenn Sie beispielsweise Cacls C:\Dokumente und Einstellungen\*.*
eingeben, werden Ihnen die Zugriffsrechte aller Dateien, die sich in diesem Verzeichnis befinden, angezeigt. Natürlich lässt sich auch hier die Ausgabe in eine Textdatei umleiten.
533
13 Kontrollphase (Schritt 4 des Sicherheits-Managements) Abbildung 13.8: Mit »CACLS« lassen sich Dateiberechtigungen abfragen
Net Use: Mit diesem Befehl können Sie Netzwerklaufwerke »mappen«, also Ihren Computer mit einem Netzlaufwerk verbinden bzw. solche Verbindungen auch wieder trennen. Die vorhandenen »gemappten« Netzwerklaufwerke lassen sich mit diesem Befehl anzeigen bzw. in eine Textdatei umleiten. Abbildung 13.9: Mit »net use« lassen sich »gemappte« Netzwerklaufwerke abfragen
Abbildung 13.10: Mit net share können Sie vorhandene Netzwerkfreigaben abfragen
534
Kontrollwerkzeuge & Testvarianten
Net Share: Mit diesem Befehl können Sie einerseits auf einem Computer neue Netzwerkfreigaben erstellen bzw. vorhandene Freigaben löschen, Sie können den Befehl aber genauso gut nutzen, um die auf einem Computer vorhandenen Freigaben anzeigen oder in eine Textdatei umleiten zu lassen. WBEMDUMP Bei den oben genannten Befehlen handelt es sich um Befehle, die Sie direkt unter Windows 2000 an der Eingabeaufforderung ausführen können. Alternativ dazu haben Sie aber auch die Möglichkeit, Batch-Jobs zu erstellen, die auf Tools aus dem Windows 2000 Resource Kit zurückgreifen bzw. die Tools nutzen, die Sie auf der Microsoft-Webseite finden können. Ein sehr gutes Beispiel in diesem Zusammenhang ist das Tool WBEMDUMP, das Sie unter http://msdn.microsoft.com finden können. Am besten suchen Sie auf der MSDN-Hauptseite einfach nach WBEMDUMP. Abbildung 13.11: WBEMDump können Sie von der MSDN-Seite im Internet herunterladen
Alle Verwaltungstools, wie z.B. die MMC oder aber auch der SystemManagement-Server (SMS) nutzen den WMI-Dienst, um auf System-, Hardware-, Netzwerk- und Anwendungsinformationen zuzugreifen. WMI steht für »Windows Management Instrumentation« und läuft als Dienst unter dem Namen »Windows-Verwaltungsinstrumentation« auf jedem Windows 2000-basierten System. WBEM steht für Web-basiertes Enterprise Management und ermöglicht eine komplette Darstellung aller Objekte und Objektklassen, die es unter Windows 2000 gibt. Sie können mithilfe von WBEM und der WMI-Schnittstelle sämtliche Systeminformationen auslesen und auswerten, genauso gut aber vorhandene Einstellungen ändern. Für die Implementie-
535
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
rungskontrolle des Sicherheitsstandards bedeutet dies, dass Sie mithilfe dieser Technologie die notwendigen Konfigurationsinformationen aus all Ihren Systemen auslesen können. Das Tool, welches Sie dazu brauchen, heißt WBEMDUMP und Sie können es, wie bereits erwähnt, aus dem MSDN herunterladen. Wenn Sie den Download beendet haben, verfügen Sie über ein selbstentpackendes Archiv, das seine Bestandteile standardmäßig in das Verzeichnis C:\Microsoft Platform SDK\Samples\SysMgmt\WMI\VC\WbemDump
entpackt. Vorausgesetzt, Sie verfügen über das Microsoft WBEM-SDK, können Sie aus den dort befindlichen Dateien die WbemDump.exe generieren. Eine HTML-Hilfedatei gibt Ihnen die dazu notwendigen Anweisungen. Nachdem Sie die WbemDump.Exe generiert haben, können Sie die entsprechenden Objektklassen und Objekte abfragen. Über die Eingabe von WBEMDUMP /?
an der Eingabeaufforderung oder über die Hilfedateien erfahren Sie, mit welchen Optionen und Zusatzbefehlen Sie die einzelnen Informationsabfragen der Objektklassen und Objekte starten. Geben Sie beispielsweise an der Eingabeaufforderung eines Domänencontrollers WBEMDUMP.EXE /m2 root\cimv2 win32_useraccount
ein, erhalten Sie eine Liste aller in der Domäne vorhandenen BenutzerAccounts. Dabei haben die eingegebenen Elemente folgende Bedeutung: 왘 WBEMDUMP.EXE ruft das Befehlszeilen-Tool auf 왘 /m2 ist eine Option, die die Darstellung der Ergebnisse beeinflusst 왘 root\cimv2 definiert die abgefragte Objektklasse 왘 win32_useraccount definiert die abgefragten Objekte
Abbildung 13.12: Die Ergebnisausgabe von WbemDump können Sie ebenfalls in eine Textdatei umleiten
536
Kontrollwerkzeuge & Testvarianten
Zusätzlich zu dem Tool WbemDump gibt es aber auch noch eine Wbem Query Language (WQL), die all jenen, die sich mit SQL-Statements auskennen, sehr bekannt sein dürfte, da sie sehr stark an SQL angelehnt ist. Über WQL lassen sich sehr komplexe Abfragen realisieren, was es Ihnen beispielsweise ermöglicht, bestimmte Objekte herauszufiltern. Abbildung 13.13: Beispiel für eine komplexere WQLAbfrage
Sowohl die Anzahl der zur Verfügung stehenden Objektklassen und Objekte, als auch die Möglichkeiten, die Ihnen WQL bietet, sind so umfangreich, dass Sie mithilfe von WBEM nicht nur Implementierungskontrollen nach der Einführung von neuen Sicherheitsstandards durchführen können, sondern Sie haben darüber auch die Möglichkeit, ein komplettes Konfigurations-Management für Ihre IT-Infrastruktur zu realisieren.
13.2.3
Sicherheitsprotokoll (Ereignisprotokoll)
Bereits in den Kapiteln zur benutzerbezogenen und zur ressourcenbezogenen Sicherheit haben wir Ihnen gezeigt, wie Sie verschiedene Überwachungsrichtlinien einrichten, um beispielsweise die Benutzerauthentifizierung oder den Zugriff auf bestimmte Dateien zu überwachen und zu protokollieren. Die Protokollierung solcher für die Überwachung aktivierten Ereignisse erfolgt in das Sicherheitsprotokoll, das Sie als Administrator jederzeit über Start/Programme/Verwaltung/Ereignisanzeige einsehen können. Allerdings ist das Sicherheitsprotokoll von Natur aus als »passiv« einzustufen. Dies bedeutet, dass Sie in regelmäßigen Abständen das Protokoll einsehen müssen, um feststellen zu können, ob ein sicherheitsrelevantes Ereignis aufgetreten ist oder nicht. Auf den Umgang und die verschiedenen Optionen des Sicherheitsprotokolls sind wir bereits in den Kapiteln zur benutzerbezogenen und zur ressourcenbezogenen Sicherheit eingegangen, weswegen wir Ihnen an dieser Stelle nur noch zwei weitere Features vorstellen wollen, die aus dem »passiven« Ereignisprotokoll eine »aktive« Informationsquelle für Administratoren machen. Allerdings sind beide, im Folgenden vorgestellten Features, nur dann verfügbar, wenn Sie zusätzliche Microsoft Backoffice-Produkte in Ihrer IT-Infrastruktur einsetzen (mehr dazu in den nachfolgenden Abschnitten).
537
13 Kontrollphase (Schritt 4 des Sicherheits-Managements) Abbildung 13.14: Im Sicherheitsprotokoll werden die überwachten Ereignisse protokolliert
NTEvent to SNMP-Trap-Konverter Ein netzwerkbasierendes Management-Protokoll, das in TCP/IP-basierten Netzwerken eingesetzt werden kann, ist SNMP (Simple Network Management Protocol). Die Voraussetzung für den Einsatz von SNMP ist, dass Sie den SNMP-Dienst auf den Servern oder Workstations, die Sie überwachen wollen, installieren und konfigurieren. Dabei werden die zu überwachenden Computer als so genannte SNMP-Clients installiert. Zentral in Ihrem Netzwerk installieren Sie darüber hinaus einen SNMP-Server. Dabei kann der SNMP-Server mit Produkten wie HP Openview, dem Compaq Insight Manager oder auch MS System-Management-Server, arbeiten. Der SNMPServer sendet verschiedene Anfragen, wie z.B. Get, Get next oder Set, an den SNMP-Client. Auf der anderen Seite kann ein Client auch einen so genannten SNMP-Trap auslösen. Über diesen SNMP-Trap können dann Informationen von dem Client an den SNMP-Server gesendet werden. Der SNMPServer kann wiederum auf die gesendeten Traps mit unterschiedlichen Aktionen reagieren. Der Vorteil von den SNMP-Traps ist, dass Sie an einer zentralen Stelle die Informationen aller Systeme sammeln können und die SNMP-Server in der Regel über grafische Oberflächen einen schnellen Funktionsüberblick für Administratoren bieten. Wie bereits im vorangegangenen Abschnitt angesprochen, werden nun aber die verschiedensten Ereignisse, ob system-, anwendungs- oder sicherheitsrelevant unter Windows in das Ereignisprotokoll geschrieben, und Sie müssen aktiv werden, wenn Sie erfahren wollen, ob irgendein sicherheitsrelevantes Ereignis eingetreten ist.
538
Kontrollwerkzeuge & Testvarianten
Wenn Sie nun SMS in Ihrem Netzwerk installiert haben, können Sie auf den SMS-Clients zusätzlich den NTEvent to SNMP-Trap-Translator-Agent installieren und somit dafür sorgen, dass Ihnen bestimmte, ausgewählte Ereignisnachrichten als SNMP-Trap zugesandt werden. Standardmäßig wird weder der Agent installiert noch werden irgendwelche Ereignisse automatisch in Traps konvertiert. Sie müssen also zunächst den Agent auf den Clients installieren und anschließend die Ereigniseinträge aussuchen, die Sie als sicherheitsrelevant einstufen und zugesandt bekommen möchten. Abbildung 13.15: Mit dem NTEvent to SNMP-Translator definieren Sie die Ereignisse, die konvertiert werden sollen
Sobald Sie den NTEvent to SNMP-Trap-Konverter eingerichtet haben, senden die überwachten Server an den SMS-Server entsprechende SNMP-Traps für die von Ihnen vordefinierten Ereignisse, die in der SMS-Datenbank abgelegt werden. Nun brauchen Sie nur noch an einer zentralen Stelle nach sicherheitsrelevanten Ereignissen zu forschen und nicht mehr jedes einzelne Ereignisprotokoll Ihrer Server durch zu forsten. Allerdings liegt es immer noch an Ihnen, nachzusehen, ob sicherheitsrelevante Ereignisse aufgetreten sind oder nicht. Microsoft Operations Management Server Eine wirklich aktive Ereignisüberwachung und Kontrollmöglichkeit bietet ein ganz neues Backoffice-Produkt aus dem Hause Microsoft. Es geht dabei um den Microsoft Operations Manager, kurz MOM-Server. Dabei handelt es sich um ein Produkt, das es Ihnen an einer zentralen Stelle Ihres Netzwerkes
539
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
erlaubt, die Verfügbarkeit, die Performance und die Sicherheit von Windows-basierten Netzwerken zu überwachen und aktiv auf eventuell eintretende Ereignisse zu reagieren. Der Microsoft Operations Management Server zeichnet sich durch die folgenden Merkmale aus: 왘 Überwachung der Systemereignisse 왘 Erweiterte Überwachungsmöglichkeiten 왘 Definition von automatisierten Reaktionen auf bestimmte Ereignisse 왘 Bessere Einhaltung der Sicherheitsrichtlinien 왘 Unterschiedlichste Möglichkeiten der Ereignisdarstellung und Berichts-
formen Dabei nutzt der MOM-Server verschiedenartige Informationsquellen, deren Informationen er einsammelt, in einer zentralen Datenbank ablegt, verwaltet und nach den von Ihnen definierten Vorgaben und Regeln darstellt, auswertet und sogar darauf reagiert. Als Informationsquellen dienen: 왘 Windows 2000-Ereignisprotokoll 왘 Zusätzliche Anwendungsprotokolle 왘 SNMP-Traps 왘 Windows Management Instrumentation (WMI) 왘 Kennzahlen zur Systemperformance
Ganz ähnlich, wie SNMP oder auch der SMS-Server arbeitet auch MOM mit entsprechenden Agents, die Sie auf allen Computern, deren System, Konfiguration, Anwendungen und Anwenderverwaltung Sie überwachen wollen, installieren müssen. Der Agent sammelt auf dem überwachten Computer die notwendigen Daten und sendet sie in gewissen Intervallen über einen verschlüsselten Kommunikationskanal an den MOM-Server. Neben dem Sammeln und Verschicken von Daten ist der Agent aber auch noch in der Lage, weitere Aktionen wie z.B.: 왘 Filterung der gesammelten Ereignisinformationen 왘 Zusammenfassung der Ereignisse zu einem Ereignis 왘 Senden von Alarmmeldungen, wenn gesetzte Grenzwerte überschritten
werden 왘 Senden von Alarmmeldungen, wenn bestimmte definierte Ereignisse
eingetreten sind 왘 Generieren von SNMP-Traps 왘 Ausführen von Batch-Jobs oder ausführbaren Dateien 왘 Ausführen von Scripts
540
Kontrollwerkzeuge & Testvarianten
auszuführen. Welche Aktion der Agent auf dem Computer ausführt, hängt wiederum ganz von den von Ihnen definierten Regeln und Vorgaben ab. Auf diese Art und Weise bietet Ihnen der Microsoft Operations Management Server das entsprechende Handwerkszeug, um ein proaktives SicherheitsManagement aufzubauen und eine fortlaufende Überwachung der einmal definierten Sicherheitsstandards gewährleisten zu können.
13.2.4
Sicherheitskonfiguration und -analyse
Wer nun nicht gleich noch in weitere Backoffice-Produkte investieren möchte, für den gibt es aber auch unter Windows 2000 ein Analyse-Tool, mit dessen Hilfe sich die Implementierungskontrolle der eingeführten Sicherheitsstandards in automatisierter und standardisierter Form wiederholt durchführen lässt. Mit dem Snap-In Sicherheitskonfiguration und -analyse, das wir bereits eingangs des Buches behandelt haben, können Sie eine Analyse Ihrer aktuellen Sicherheitseinstellungen mit einer der im Lieferumfang von Windows enthaltenen oder einer selbst definierten Sicherheitsvorlage vergleichen. Abbildung 13.16: Schematische Darstellung der Implementierungskontrolle
Auf diese Weise lässt sich also eine hervorragende Implementierungskontrolle durchführen, denn die Sicherheitsvorlage, die Sie verwenden, entspricht quasi dem eingangs dieses Kapitels erwähnten Sicherheitskatalog. Das Ergebnis des Vergleiches wird darüber hinaus in einer Datenbankdatei
541
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
abgespeichert. Diese Datenbankdatei kann auch später für wiederholt durchgeführte Kontrollen oder Reportingfunktionen erneut aufgerufen werden. Unter Windows 2000 – ohne weitere Backoffice-Werkzeuge zur Kontrolle von Konfigurationseinstellungen – ist das Snap-In Sicherheitskonfiguration und -analyse das beste Tool zur Durchführung einer Implementierungskontrolle. Bei der Durchführung einer solchen Implementierungskontrolle mithilfe dieses Snap-Ins gehen Sie wie folgt vor: 1. Nach dem Öffnen des Snap-Ins Sicherheitskonfiguration und -analyse in der MMC müssen Sie als Erstes eine neue Datenbank anlegen. 2. Dazu klicken Sie mit der rechten Maustaste auf den Eintrag Sicherheitskonfiguration und -analyse und wählen den Befehl Datenbank öffnen aus. 3. In dem erscheinenden Dialogfenster müssen Sie nun einen neuen Dateinamen für die Datenbank vergeben. 4. Im nächsten Schritt wählen Sie die Sicherheitsvorlage aus, mit der Sie die lokalen Einstellungen des Computers vergleichen möchten. Es kann sich dabei um eine der in Windows enthaltenen Sicherheitsvorlagen oder eine selbst definierte Sicherheitsvorlage handeln, die exakt Ihren Sicherheitsanforderungen entspricht. 5. Nun aktivieren Sie erneut das Kontextmenü des Containers Sicherheitskonfiguration und -analyse und wählen diesmal den Eintrag Computer jetzt analysieren. 6. Abschließend werden Sie noch gebeten, den Standardpfad für das Fehlerprotokoll zu bestätigen. Dort werden Fehler, die während der Analyse auftreten können, nicht aber Fehler in den Sicherheitseinstellungen oder der Systemkonfiguration des analysierten Computers, festgehalten. 7. Danach startet die Analyse, an deren Ende die Inhalte der Sicherheitsvorlage (Datenbankeinstellung) den lokalen Einstellungen des Computers (Computereinstellung) optisch gegenübergestellt werden. Abbildung 13.17: Nach dem Ausführen des Befehles »Computer jetzt analysieren« werden die aktuellen Sicherheitseinstellungen des Computers mit der definierten Sicherheitsvorlage verglichen
542
Kontrollwerkzeuge & Testvarianten
Anmerkung: Wenn Sie die Implementierungskontrollen wiederholt durchführen und immer protokollieren, können Sie auf diese Weise leicht nachweisen, ob nachträglich an den Sicherheitseinstellungen etwas verändert wurde. Bei der Implementierungskontrolle bzw. der mit dem Snap-In durchgeführten Sicherheitsanalyse kann es natürlich auch passieren, dass Sie Differenzen zwischen der Sicherheitsvorlage (den von Ihnen geforderten Sicherheitseinstellungen) und den aktuellen Computereinstellungen feststellen. Der schnellste Weg, die lokalen Einstellungen an die Vorgaben der Sicherheitsvorlage anzupassen, führt über das Kontextmenü des Containers Sicherheitskonfiguration und -analyse sowie den darin enthaltenen Befehl System jetzt konfigurieren. Auch hier erscheint noch einmal die Bestätigung für den Pfad des Fehlerprotokolls, danach startet die Systemkonfiguration. Nach Abschluss der Konfiguration entsprechen die Sicherheitseinstellungen exakt den Einstellungen der gewählten Sicherheitsvorlage (sprich den Einstellungen der Spalte Datenbankeinstellung, die Sie im Detailfenster des Snap-Ins sehen).
13.2.5
HFNetChk
Gerade wer schon länger in der Branche arbeitet, kennt das Problem, kaum ist ein neues Produkt auf dem Markt, stürzen sich Hacker, Journalisten und Experten darauf, um festzustellen, ob nicht irgendwo doch eine Sicherheitslücke zu entdecken ist. Darüber hinaus gibt es aber auch neue Viren oder neue Gefahren, die es immer wieder notwendig machen, vorhandene Produkte durch zusätzliche Ergänzungen dagegen abzusichern. Microsoft liefert aus diesem Grund in regelmäßigen Abständen so genannte »Hotfixes«. Für Administratoren, die viele Systeme verwalten, ist es meist recht schwierig, festzustellen, ob alle verfügbaren Hotfixes bereits eingespielt sind. Microsoft hat nun in Zusammenarbeit mit der Firma Shavlik Technologies LLC (http://www.shavlik.com) ein spezielles Tool entwickelt, mit dessen Hilfe die Administratoren von einer zentralen Stelle des Netzwerkes aus, alle Systeme auf den aktuellen Patch-Status hin überprüfen können. Das Befehlszeilen-Tool mit dem Namen HFNetChk läuft sowohl unter Windows NT 4.0 als auch unter Windows 2000 und vergleicht die auf den Systemen aufgespielten Hotfixes mit einer XML-basierten Datenbank, die fortlaufend von Microsoft aktualisiert wird und die das Tool beim Aufrufen aus dem Internet herunterlädt. Diese Datei enthält Informationen darüber, welche Hotfixes für bestimmte Produkte verfügbar sind, und ist daher in der Lage, die folgenden Produkte zu überprüfen: 왘 Windows NT 4.0 왘 Windows 2000 왘 IIS 4.0 und IIS 5.0 왘 SQL-Server 7.0 und SQL-Server 2000 왘 Internet Explorer 5.01 und höher
543
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
Darüber hinaus verfügt die XML-Datei über Informationen zu den Dateinamen, die in jedem Hotfix enthalten sind, zu den Dateiversionen, zu den Einträgen in der Registrierdatenbank, die bei der Installation des Hotfixes hinzugefügt werden, sowie Informationen zu den Knowledgebase-Artikeln, die sich mit dem Thema beschäftigen. Abbildung 13.18: Die XML-Datei mit den für den Check benötigten Informationen
Wenn Sie das Tool ausprobieren möchten, dann verfahren Sie bitte wie folgt: 1. Surfen Sie zur Webseite http://www.microsoft.com/security und suchen Sie dort über die Suchfunktion nach HFNETCHK. Laden Sie das Tool auf Ihren PC herunter und entpacken Sie die dazugehörigen Dateien in ein neues Verzeichnis. 2. Wechseln Sie dann über Start/Ausführen/CMD an die Eingabeaufforderung und von dort aus in das Verzeichnis, in das Sie die Dateien entpackt haben. 3. Wenn Sie nun von der Eingabeaufforderung HFNETCHK ohne weitere Optionen aufrufen, versucht das Tool, aus dem Internet zunächst die für die Überprüfung notwendige XML-Datei herunterzuladen. Dabei werden Sie auch gebeten, die von Microsoft verwendete Signatur zu bestätigen.
544
Kontrollwerkzeuge & Testvarianten Abbildung 13.19: Beim Download der XML-Datei werden Sie gebeten, die Signatur zu bestätigen
4. Nach dem Download der XML-Datei wird Ihr Computer gescannt. Bei diesem Scan werden das Betriebssystem des lokalen Computers sowie die installierten ServicePacks identifiziert. Diese Informationen werden danach direkt mit der XML-Datei verglichen und abschließend rast auf Ihrem Bildschirm auch noch die Fehlerliste vorbei. Danach schließt sich das DOS-Fenster wieder. HFNETSHK sucht bei diesem Scan in der Registrierdatenbank nach den Schlüsseln, die der Hotfix eintragen würde, und kontrolliert außerdem die Dateiversionen der Dateien, die durch den Hotfix aktualisiert würden. Um absolut sicherzugehen, errechnet er auch noch eine Prüfsumme für die Dateien, die durch ein Hotfix installiert würden. Standardmäßig sucht HFNETSHK zuerst nach den Einträgen in der Registrierdatenbank und wertet einen Hotfix als nicht installiert, wenn diese Einträge fehlen. In seinem Fehlerprotokoll vermerkt er dies und führt gleichzeitig auch noch den Knowledge-Base-Artikel auf, der sich mit diesem Thema beschäftigt. Allerdings ist es recht mühsam, die Informationen auf dem durchlaufenden DOS-Bildschirm zu identifizieren, weswegen wir die Eingabe von Hfnetchk –o tab >protokoll.txt
empfehlen. Dadurch wird die Bildschirmausgabe in eine Textdatei umgelenkt und Sie können die bemängelten Fehler später in Ruhe lesen bzw. über den Drucker ausgeben.
545
13 Kontrollphase (Schritt 4 des Sicherheits-Managements) Abbildung 13.20: In der Textdatei wird das Produkt, die Nummer des Hotfixes, der nicht installiert ist, sowie weiterführende Informationen angegeben
Natürlich bietet Ihnen HFNETCHK weitaus mehr Optionen, denn Sie können nicht nur den lokalen Rechner mit dem Tool überprüfen, sondern auch Remote-Rechner, ganze IP-Segmente oder ganze Domänen. Außerdem können Sie auch dafür sorgen, dass die Bildschirmausgabe nicht an Ihnen vorbeirast, sondern ein Ergebnis am Schluss anzeigt. Wenn Sie z.B. HFNETCHK –a b
eingeben, dann erhalten Sie am Bildschirm eine kurze Auflistung der installierten und der fehlenden Hotfixes ohne weiterführende Informationen. Wenn Sie im Übrigen HFNETCHK /?
an der Eingabeaufforderung eingeben, dann bekommen Sie sämtliche Optionen, die Sie im Zusammenhang mit diesem Tool einsetzen können, angezeigt. Mit HFNETCHK lässt sich also auf schnelle Art und Weise überprüfen, ob alle verfügbaren Sicherheitspatches und Hotfixes auf den Systemen Ihres Netzwerkes installiert sind.
546
Kontrollwerkzeuge & Testvarianten Abbildung 13.21: HFNETCHK bietet Ihnen reichhaltige Optionen
13.2.6
Microsoft Personal Security Advisor (MPSA)
Ein webbasiertes Utility, das es Ihnen ermöglicht, eine Windows NT 4.0Workstation oder einen Windows 2000 Professional-basierten Computer auf einfache Weise auf die optimale Konfiguration der Sicherheitseinstellungen hin zu überprüfen, ist der MPSA. Der MPSA oder Microsoft Personal Security Advisor wurde von Microsoft zusammen mit der Firma Shavlik Technologies LLC entwickelt und steht als frei nutzbares Programm auf der Microsoft-Webseite zur Verfügung. 1. Sie müssen im Internet lediglich die Adresse http://www.microsoft.com/ TechNet/mpsa/start.asp aufrufen und dort auf den Scan Now-Button klicken.
547
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
2. Es erscheinen danach noch zwei Aufforderungen, bei denen Sie bestimmte, signierte Komponenten, wie SecureXML, bestätigen müssen, bevor dann der eigentliche Check Ihres Computers beginnt. Abbildung 13.22: Bestätigen Sie die Signaturanfrage
3. Ihr System wird daraufhin überprüft, wobei die folgenden Sicherheitseinstellungen kontrolliert werden: 왘 Fehlende Sicherheitspatches 왘 Schwache Passwörter 왘 Sicherheitseinstellungen des Internet Explorers und von MS Outlook
Express 왘 Die Einstellungen von MS Office bezüglich des Schutzes vor Makro-
viren 4. Am Ende der Überprüfung erhalten Sie einen Bericht, in dem Ihnen das Werkzeug auch bereits Vorschläge macht, wie Sie die Sicherheitslücken beheben können. Das Schöne an dem Ergebnisbericht ist, dass Sie direkt über die enthaltenen Hyperlinks zu weiteren Seiten geschickt werden, die Ihnen dann erklären, welche Veränderungen Sie vornehmen müssen, um Ihre Workstation sicherer zu machen. Gerade für kleine Arbeitsgruppen oder einzelne Notebooks bzw. Workstations ist diese Sicherheitskontrolle wirklich eine nette Alternative zur Sicherheitsanalyse und -konfiguration.
548
Reaktionen auf die Implementierungskontrolle Abbildung 13.23: Der Ergebnisbericht des MPSA
Anmerkung: Sie sollten allerdings bedenken, dass die Variante, die Sie auf der Microsoft-Webseite finden, nicht dafür gedacht ist, Ihre Server auf Sicherheitseinstellungen hin zu überprüfen, und dass es auch nicht geeignet ist, Webserver-Patches zu kontrollieren. Allerdings bietet die Firma Shavlik Technologies auch noch eine Unternehmensversion, die über weiterführende Features verfügt und die Sie käuflich für Ihr Unternehmensnetzwerk erwerben können.
13.3 Reaktionen auf die Implementierungskontrolle In den vorangegangenen Kapiteln haben wir Ihnen verschiedene Möglichkeiten vorgestellt, wie Sie die implementierten Sicherheitsstandards auf einzelnen Workstations oder in Ihrem Netzwerk kontrollieren können. Damit wissen Sie jetzt, welche Sicherheitsrisiken es gibt, mit welchen Methoden man sie ausschaltet und wie man die Sicherheitskonfiguration überprüft. Was fehlt also noch? Naja, das Einzige, was jetzt noch zu klären wäre, ist: »Was mache ich eigentlich mit dem Ergebnis meiner Implementierungskontrolle?«. Gute Frage … Also prinzipiell gibt es zwei mögliche Ergebnisse: 왘 Bei der Überprüfung stellen Sie fest, dass die vorgenommenen und ein-
geführten Konfigurationseinstellungen die Sicherheitsanforderungen
549
13 Kontrollphase (Schritt 4 des Sicherheits-Managements)
erfüllen. Gratulation, das ist mit Sicherheit der Zeitpunkt, an dem Sie sich ein Gläschen Sekt gönnen dürfen sowie Ihren Chef nach einer Gehaltserhöhung fragen sollten (fragen kann man ja mal …). 왘 Bei der Überprüfung stellen Sie leider fest, dass die eingeführten Konfi-
gurationseinstellungen nicht die Sicherheitsanforderungen erfüllen. Das ist schlecht, am besten bestellen Sie sich eine Pizza und bereiten sich auf eine lange Nacht vor. Abbildung 13.24: Prozessablauf inklusive der möglichen Reaktionen auf die Implementierungskontrolle
Reaktion auf die Ergebnisse der Implementierungskontrolle
RFC
ReleaseManagement JA ImplementierungsFehler
ImplementierungsKontrolle Zyklische Kontrollen NEIN
550
OK?
JA
Reaktionen auf die Implementierungskontrolle
Nein, keine Sorge, ganz so läuft es natürlich nicht. Auch für diesen Fall bietet sowohl ITSM als auch das Microsoft MOF-Modell einen klar definierten Prozess, den wir Ihnen als Abschluss dieses Kapitels vorstellen möchten: 왘 Wenn Sie bei der Implementierungskontrolle ein positives Ergebnis
erzielen, die geprüften Konfigurationseinstellungen also Ihren Sicherheitsanforderungen entsprechen, dann ist die Veränderungsphase abgeschlossen und die Betriebsphase beginnt (vgl. Grafik eingangs des Kapitels). Darüber hinaus schließt sich der Kreis darüber, dass Sie in regelmäßigen Abständen zyklische Kontrollen während der laufenden Betriebsphase durchführen. So gewährleisten Sie, dass die Sicherheitsanforderungen auch fortwährend erfüllt werden, denn Sicherheit ist nicht nur ein Thema, dem sich einmal widmet, sondern welches zu den täglichen Aufgaben der Administration zählt. 왘 Wenn die Implementierungskontrolle hingegen negativ ausfällt, dann ist
im ersten Schritt zu klären, ob es sich um einen Implementierungsfehler handelt, den das Release-Management bei der Einführung der geforderten Sicherheitskonfiguration begangen hat. Ist dies der Fall, müssen Sie das Release-Management informieren und die Verantwortlichen müssen die Implementierung wiederholen, woran sich dann eine erneute Implementierungskontrolle anschließt. Stellt sich hingegen heraus, dass es sich nicht um einen Implementierungsfehler handelt, sind grundsätzliche Überlegungen und Analysen notwendig, die in der Regel in einem neuen Request for Change an das Change- und Release-Management münden.
551
A
Anhang
In diesem Kapitel haben wir für Sie noch eine Reihe nützlicher Zusatzinformationen zum Thema »Sicherheit« zusammengestellt. Es handelt sich um nützliche Internetadressen, Angaben zu RFCs (Requests für Comments), Modellchecklisten, die beim Erstellen eigener Sicherheitsanforderungen helfen, Planungshilfen zur Einführung von Sicherheitsstandards sowie eine Übersicht über die bekannten Ports unter Windows 2000. Allesamt also nützliche Informationen, die sich thematisch allerdings nicht so gut in eines der anderen Kapitel einfügen ließen.
A.1
Die Class-IDs der Standard-SnapIns von Windows 2000
Im Kapitel zum Umgang mit den administrativen Tools haben wir Ihnen die MMC als das zentrale Tool für die Administration von Windows 2000 vorgestellt. Im Rahmen der Beschreibung zum Umgang mit der MMC wurde auch gezeigt, dass sich über das Setzen entsprechender Einträge in der Registrierdatenbank einzelne Snap-Ins vor dem unbefugten Zugriff schützen lassen. Für diesen Zweck müssen Sie aber immer die Class-ID des entsprechenden Snap-Ins angeben. Daher haben wir an dieser Stelle für Sie eine Übersicht über alle Standard-Snap-Ins mit den dazugehörigen Class-IDs zusammengestellt.
A.1.1
Eigenständige Snap-Ins
왘 Active Directory Users and Computers
{E355E538-1C2E-11D0-8C37-00C04FD8FE93} 왘 Active Directory Domains and Trusts
{EBC53A38-A23F-11D0-B09B-00C04FD8DCA6} 왘 Active Directory Sites and Services
{D967F824-9968-11D0-B936-00C04FD8D5B0} 왘 Certificates
{53D6AB1D-2488-11D1-A28C-00C04FB94F17} 왘 Component Services
{C9BC92DF-5B9A-11D1-8F00-00C04FC2C17B}
553
A Anhang 왘 Computer Management
{58221C67-EA27-11CF-ADCF-00AA00A80033} 왘 Device Manager
{90087284-d6d6-11d0-8353-00a0c90640bf} 왘 Disk Management
{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D} 왘 Disk Defragmenter
{43668E21-2636-11D1-A1CE-0080C88593A5} 왘 Distributed File System
{677A2D94-28D9-11D1-A95B-008048918FB1} 왘 Event Viewer
{975797FC-4E2A-11D0-B702-00C04FD8DBF7} 왘 FAX Service
{753EDB4D-2E1B-11D1-9064-00A0C90AB504} 왘 Indexing Service
{95AD72F0-44CE-11D0-AE29-00AA004B9986} 왘 Internet Authentication Service (IAS)
{8F8F8DC0-5713-11D1-9551-0060B0576642} 왘 Internet Information Services
{A841B6C2-7577-11D0-BB1F-00A0C922E79C} 왘 IP Security
{DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD} 왘 Local Users and Groups
{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93} 왘 Performance Logs and Alerts
{7478EF61-8C46-11d1-8D99-00A0C913CAD4} 왘 QoS Admission Control
{FD57D297-4FD9-11D1-854E-00C04FC31FD3} 왘 Removable Storage Management
{3CB6973D-3E6F-11D0-95DB-00A024D77700} 왘 Routing and Remote Access
{1AA7F839-C7F5-11D0-A376-00C04FC9DA04}
554
Die Class-IDs der Standard-Snap-Ins von Windows 2000 왘 Security Configuration and Analysis
{011BE22D-E453-11D1-945A-00C04FB984F9} 왘 Security Templates
{5ADF5BF6-E452-11D1-945A-00C04FB984F9} 왘 Services
{58221C66-EA27-11CF-ADCF-00AA00A80033} 왘 Shared Folders
{58221C65-EA27-11CF-ADCF-00AA00A80033} 왘 System Information
{45ac8c63-23e2-11d1-a696-00c04fd58bc3} 왘 Telephony
{E26D02A0-4C1F-11D1-9AA1-00C04FC3357A} 왘 Terminal Services Configuration
{B91B6008-32D2-11D2-9888-00A0C925F917} 왘 WMI Control
{5C659257-E236-11D2-8899-00104B2AFB46}
A.1.2
Erweiterungs-Snap-Ins
왘 AppleTalk Routing
{1AA7F83C-C7F5-11D0-A376-00C04FC9DA04} 왘 Certification Authority
{3F276EB4-70EE-11D1-8A0F-00C04FB93753} 왘 Connection Sharing (NAT)
{C2FE450B-D6C2-11D0-A37B-00C04FC9DA04} 왘 DCOM Configuration Extension
{9EC88934-C774-11d1-87F4-00C04FC2C17B} 왘 Device Manager
{74246bfc-4c96-11d0-abef-0020af6b0b7a} 왘 DHCP Relay Management
{C2FE4502-D6C2-11D0-A37B-00C04FC9DA04} 왘 Event Viewer
{394C052E-B830-11D0-9A86-00C04FD8DBF7}
555
A Anhang 왘 IAS Logging
{2E19B602-48EB-11d2-83CA-00104BCA42CF} 왘 IGMP Routing
{C2FE4508-D6C2-11D0-A37B-00C04FC9DA04} 왘 IP Routing
{C2FE4500-D6C2-11D0-A37B-00C04FC9DA04} 왘 IPX RIP Routing
{90810502-38F1-11D1-9345-00C04FC9DA04} 왘 - IPX Routing
{90810500-38F1-11D1-9345-00C04FC9DA04} 왘 IPX SAP Routing
{90810504-38F1-11D1-9345-00C04FC9DA04} 왘 Logical and Mapped Drives
{6E8E0081-19CD-11D1-AD91-00AA00B8E05A} 왘 OSPF Routing
{C2FE4506-D6C2-11D0-A37B-00C04FC9DA04} 왘 Public Key Policies
{34AB8E82-C27E-11D1-A6C0-00C04FB94F17} 왘 RAS Dialin - User Node
{B52C1E50-1DD2-11D1-BC43-00C04FC31FD3} 왘 Remote Access
{5880CD5C-8EC0-11d1-9570-0060B0576642} 왘 Removable Storage
{243E20B0-48ED-11D2-97DA-00A024D77700} 왘 RIP Routing
{C2FE4504-D6C2-11D0-A37B-00C04FC9DA04} 왘 Routing
{DAB1A262-4FD7-11D1-842C-00C04FB6C218} 왘 Send Console Message
{B1AFF7D0-0C49-11D1-BB12-00C04FC9A3A3} 왘 Service Dependencies
{BD95BA60-2E26-AAD1-AD99-00AA00B8E05A}
556
Die Class-IDs der Standard-Snap-Ins von Windows 2000 왘 SMTP Protocol
{03f1f940-a0f2-11d0-bb77-00aa00a1eab7} 왘 SNMP
{7AF60DD3-4979-11D1-8A6C-00C04FC33566} 왘 System Properties
{0F3621F1-23C6-11D1-AD97-00AA00B88E5A}
A.1.3
Snap-Ins der Gruppenrichtlinien
왘 Group Policy snap-in
{8FC0B734-A0E1-11D1-A7D3-0000F87571E3} 왘 Group Policy Tab for Active Directory Tools
{D70A2BEA-A63E-11D1-A7D4-0000F87571E3} 왘 Administrative Templates (Computer)
{0F6B957D-509E-11D1-A7CC-0000F87571E3} 왘 Administrative Templates (User)
{0F6B957E-509E-11D1-A7CC-0000F87571E3} 왘 Folder Redirection
{88E729D6-BDC1-11D1-BD2A-00C04FB9603F} 왘 Internet Explorer Maintenance
{FC715823-C5FB-11D1-9EEF-00A0C90347FF} 왘 Remote Installation Services
{3060E8CE-7020-11D2-842D-00C04FA372D4} 왘 Scripts (Logon/Logoff)
{40B66650-4972-11D1-A7CA-0000F87571E3} 왘 Scripts (Startup/Shutdown)
{40B6664F-4972-11D1-A7CA-0000F87571E3} 왘 Security Settings
{803E14A0-B4FB-11D0-A0D0-00A0C90F574B} 왘 Software Installation (Computer)
{942A8E4F-A261-11D1-A760-00C04FB9603F} 왘 Software Installation (User)
{BACF5C8A-A3C7-11D1-A760-00C04FB9603F}
557
A Anhang
A.2
Nützliche Internetadressen
An dieser Stelle möchten wir Ihnen eine Übersicht über einige Internetadressen geben, die recht nützlich sind, wenn man sich näher mit dem Thema »Sicherheit« befasst. 왘 http://www.microsoft.com/security
Unter dieser Adresse finden Sie das Sicherheitsforum der Firma Microsoft, in dem Ihnen verschiedene Links zu weiteren sicherheitsrelevanten Seiten angeboten werden. Sie finden dort Artikel, die sich mit der Umsetzung von Sicherheitsstandards befassen, wie z.B. Checklisten, Werkzeuge, aktuelle Nachrichten, Austauschforen u.v.m. Abbildung A.1: Das zentrale Microsoft-Forum rund um das Thema Sicherheit
왘 http://www.radium.ncsc.mil/tpep/
Unter dieser Adresse finden Sie verschiedene Dokumentation und Informationen des NCSC (National Computer Security Center). Am bekanntesten dürfte der CCITSE sein. Hierbei handelt es sich um einen weltweit akzeptierten Sicherheits-Bewertungsstandard, der 1996 von den USA, Canada, Deutschland, Frankreich, Großbritannien und den Niederlanden gemeinsam verabschiedet wurde und als »Common Criteria for Information Technology Security Evaluation« bezeichnet wird. 왘 http://www.bsi.de
Hinter dieser Adresse verbergen sich die Seiten des Bundesamtes für Sicherheit in der Informationstechnik. Dort finden Sie neben aktuellen
558
Nützliche Internetadressen
Informationen, Hinweise über sicherheitsrelevante Publikationen sowie eine ganze Reihe interessanter Online-Dokumentationen zu Themen wie z.B. Digitaler Signatur, Computerviren, Firewall etc. Abbildung A.2: Die Seiten des BSI
왘 http://www.shavlik.com
Über die Adresse erreichen Sie einen Partner von Microsoft, der mit an der Entwicklung des HFNetChk-Tools und des MPSA beteiligt war und auch Unternehmenslösungen zum Thema Sicherheit anbietet. 왘 http://www.cse-cst.gc.ca
Unter dieser Adresse finden Sie das Communications Security Establishment. Dabei handelt es sich um eine Behörde, die unter dem Namen Canadian Common Criteria Scheme entsprechende Sicherheitsstandards in Canada entwickelt hat. 왘 http://www.iss.net/
Unter dieser Adresse finden Sie einen der führenden Hersteller von Software, die der Überwachung und der Überprüfung von Sicherheitsstandards bzw. Sicherheitslücken dient. 왘 http://www.sicherheit-im-internet.de/home/home.phtml
Unter dieser Adresse finden Sie eine umfassende Seite des Bundesministeriums für Wirtschaft und Technologie sowie des Bundesministeriums des Innern zum Thema »Sicherheit«. Unter anderem lassen sich hier auch die aktuellen Gesetze, wie das Signaturgesetz nachlesen.
559
A Anhang Abbildung A.3: Die Firmenseite von Shavlik Technologies
Abbildung A.4: Die Webseite des Communications Security Establishment
560
Nützliche Internetadressen Abbildung A.5: Die Firmenseite von Internet Security Systems
Abbildung A.6: Sicherheit im Internet
561
A Anhang
A.3
Checklisten zur Überprüfung der Sicherheitskonfiguration
Sowohl in den ersten Kapiteln als auch beim Kapitel zur Kontrollphase haben wir immer wieder von so genannten Sicherheitsanforderungen, Sicherheitskatalogen, unternehmensweiten Sicherheitsrichtlinien etc. gesprochen. Wenn es solche Richtlinien innerhalb Ihres Unternehmens bereits gibt, ist es einfach, aus den Sicherheitsanforderungen entsprechende Konfigurationslösungen abzuleiten. Schwieriger wird es, wenn zunächst die Sicherheitsanforderungen selbst formuliert werden müssen. Auf der Microsoft-Homepage gibt es daher eine Reihe vorgefertigter Checklisten, an denen Sie sich bei der Entwicklung eigener Sicherheitsanforderungen orientieren können. Unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/ tools.asp bietet Microsoft für folgende Produkte bereits vorgefertigte Sicherheits-Checklisten an: 왘 MS Windows 2000 Server 왘 MS Windows 2000 Professional 왘 IIS 4.0 und IIS 5.0 (Basissicherheit und sicherer Webserverbetrieb) 왘 Verschiedene Checklisten zu NT 4.0
Die Checklisten werden auch permanent erneuert und aktualisiert. Abbildung A.7: Hier finden Sie eine Reihe vorgefertigter Checklisten
562
Planungshilfe für die Einführung von Sicherheitsstandards
Wenn Sie eine solche Checkliste aufrufen, sehen Sie eine Tabelle, die Sie auch ausdrucken können. Die einzelnen Checkpunkte sind jedoch als Hyperlink formatiert. Wenn Sie einem solchen Hyperlink folgen, erhalten Sie jeweils detailliertere Informationen zu den einzelnen Punkten. Auf diese Weise können Sie einerseits einen Basis-Sicherheitsstandard für Ihr Unternehmen planen und implementieren, andererseits lassen sich die Checklisten auch hervorragend für die Durchführung einer Implementierungskontrolle verwenden. Abbildung A.8: Eine Beispielcheckliste für die Planung und Kontrolle von unternehmensweiten Sicherheitsstandards
A.4
Planungshilfe für die Einführung von Sicherheitsstandards
Ob Sie nun gerade von Windows NT 4.0 auf Windows 2000 oder Windows XP migrieren und im Rahmen dieser Systemumstellung auch den Sicherheitsstandard Ihrer IT-Infrastruktur überprüfen und optimieren möchten, oder ob Sie ein Einzelprojekt zur Einführung neuer Sicherheitsstandards planen, in jedem Fall werden Sie immer vor dem Problem stehen, dass Sie für das Management einen Projektplan mit Personentagen und Kosten entwickeln müssen. Eine gute Hilfe für einen solchen Projektplan finden Sie in den Vorlagendateien von MS Project 2000. Wenn Sie in MS Project den Befehl Datei/Neu aufrufen und in dem daraufhin erscheinenden Dialogfenster auf die Registerkarte Projektvorlagen wechseln, finden Sie eine Vorlagendatei mit dem Namen Windows 2000-Bereitstellung. Diese Datei enthält bereits einen vorgefertigten Projektplan mit allen notwendigen Arbeitsschritten für die Einführung von Windows 2000.
563
A Anhang Abbildung A.9: Wählen Sie die Vorlagendatei Windows 2000-Bereitstellung
Ein Aspekt, der in dieser Vorlagendatei sehr stark berücksichtigt wird, ist das Thema Sicherheit. Aber auch für die Entwicklung einer PKI-Struktur oder ähnliche sicherheitsrelevante Themen wie z.B. die Einführung von Gruppenrichtlinien finden Sie dort entsprechende Arbeitsschritte und Zeitangaben. Für alljene, die gerade mal eben für das nächste Meeting einen Projektplan erstellen sollen, ist diese Vorlagendatei eine echte Planungshilfe.
A.5
Liste der in diesem Buch verwendeten RFCs
Die Internet Society, die Sie im Internet unter der Adresse http://www.isoc.org erreichen, ist die Dachgesellschaft der verschiedenen Ingenieursvereinigungen. Eine dieser Vereinigungen ist die IETF, die Internet Engineering TaskForce, ein Zusammenschluss von Wissenschaftlern, Netzwerkdesignern, Herstellern etc., die sich der Entwicklung des Internets widmen und entsprechende Internetstandards verabschieden. Seit 1969, dem Geburtsjahr des Internets, werden solche Standards auf der Basis von Dokumenten verabschiedet, die unter dem Namen RFC oder »Request for Comment« von jedem bei der Internet Society oder der IETF als so genannter »Internet Draft« eingereicht werden können. Ein eingereichter RFC wird zunächst in eine Art Warteschlange eingereiht, in der er bereits von den Experten gelesen und kommentiert wird. Hat der RFC diese erste Prüfung überstanden, wird er editiert und veröffentlicht. Für die veröffentlichten RFCs gibt es
564
Liste der in diesem Buch verwendeten RFCs
dann wieder verschiedene Stufen, wie z.B. vorgeschlagener Standard oder Standard, nach denen die RFCs kategorisiert werden. Unter der Internetadresse http://www.rfc-editor.org/overview.html erhalten Sie einen Überblick über alle momentan eingereichten und veröffentlichten RFCs. Sehr schön ist auch die Suchmaschine, die es Ihnen ermöglicht, online nach RFCs zu den verschiedensten Themen, wie z.B. dem Thema Sicherheit, zu suchen. Nach dem Absenden der Suchanfrage erhalten Sie einen tabellarischen Überblick über die RFCs, die Ihrem Suchkriterium entsprechen. Über den zugehörigen Hyperlink gelangen Sie zu dem eigentlichen RFC-Dokument. Abbildung A.10: Allein zum Thema Sicherheit gibt es 162 RFCs
Eine Kurzübersicht über die RFCs, die uns bei der Arbeit an diesem Buch besonders wichtig erschienen, haben wir an dieser Stelle für Sie zusammengestellt: 왘 RFC 1510: Beschreibt die Version 5.0 der Kerberos-Authentifizierung 왘 RFC 1994: Beschreibung der CHAP-Authentifizierungsmethode 왘 RFC 2138:Beschreibt RADIUS-Standard im Allgemeinen 왘 RFC 2139: Beschreibt die Benutzerverwaltung unter RADIUS 왘 RFC 2246: Beschreibung des Transport Layer Security-Protocols in der
Version 1.0 왘 RFC 2284: Beschreibung des EAP-Protokolls
565
A Anhang 왘 RFC 2409: Beschreibung von IKE (Internet Key Exchange) 왘 RFC 2433: Ein Dokument das sich mit den microsoftspezifischen Erwei-
terungen von CHAP in der Version 1 befassen (MS CHAP 1.0) 왘 RFC 2548: Beschreibung der Microsoft-spezifischen RADIUS-Attribute 왘 RFC 2579: Ein Dokument, das sich mit den microsoft-spezifischen Erwei-
terungen von CHAP in der Version 2.0 befasst (MS CHAP 2.0) 왘 RFC 2637: Beschreibung des PPTP-Standards (Point-to-Point-Tunneling-
Protocols) 왘 RFC 2661: Beschreibung des L2TP-Standards (Layer-2-Tunneling-Proto-
cols) 왘 RFC 3078 und 3079: zwei Dokumente, die sich mit dem Thema »MPPE«
beschäftigen (Microsoft-Point-To-Point-Encryption) Weitere Informationen und die Originaldokumente können Sie unter der oben genannten Adresse im Internet einsehen.
A.6
Bekannte Ports unter Windows 2000
An dieser Stelle haben wir Ihnen eine Tabelle zusammengestellt, die die bekannten Ports von Windows 2000 umfasst. Bei den Ports handelt es sich um die Adressen, über die die übergeordneten Protokolle des IP-Netzwerkes, TCP und UDP, die Kommunikation zwischen zwei Punkt-zu-PunktPartnern im Netzwerk steuern. Tabelle A.1: Dienste, Protokolle und ihre Kommunikationsports
566
Dienstname Port/ Protokoll
Beschreibung Zusatzinfos
Echo
7/tcp
Echo
7/udp
Discard
9/tcp
sink null
Discard
9/udp
sink null
Systat
11/tcp
users
#Active users
Systat
11/tcp
users
#Active users
Daytime
13/tcp
Daytime
13/udp
Qotd
17/tcp
quote
#Quote of the day
Qotd
17/udp
quote
#Quote of the day
Bekannte Ports unter Windows 2000
Dienstname Port/ Protokoll
Beschreibung Zusatzinfos
Chargen
19/tcp
ttytst source
#Character generator
Chargen
19/udp
ttytst source
#Character generator
ftp-data
20/tcp
ftp
21/tcp
telnet
23/tcp
smtp
25/tcp
mail
time
37/tcp
timeserver
time
37/udp
timeserver
rlp
39/udp
resource
#Resource Location Protocol
nameserver
42/tcp
name
#Host Name Server
nameserver
42/udp
name
#Host Name Server
nickname
43/tcp
whois
domain
53/tcp
#Domain Name Server
domain
53/udp
#Domain Name Server
bootps
67/udp
dhcps
#Bootstrap Protocol Server
bootpc
68/udp
dhcpc
#Bootstrap Protocol Client
tftp
69/udp
gopher
70/tcp
finger
79/tcp
http
80/tcp
www-http
Kerberos
88/tcp
krb5 kerberos- #Kerberos sec
Kerberos
88/udp
krb5 kerberos- #Kerberos sec
Hostname
101/tcp
hostnames
iso-tsap
102/tcp
#ISO-TSAP Class 0
rtelnet
107/tcp
#Remote Telnet Service
pop2
109/tcp
pop3
110/tcp
sunrpc
111/tcp
Tabelle A.1: Dienste, Protokolle und ihre Kommunikationsports (Forts.)
#FTP, data #FTP. control
#Simple Mail Transfer Protocol
#Trivial File Transfer
postoffice
#World Wide Web
#NIC Host Name Server
#Post Office Protocol-Version 2 #Post Office Protocol-Version 2
rpcbind portmap
#SUN Remote Procedure Call
567
A Anhang Tabelle A.1: Dienste, Protokolle und ihre Kommunikationsports (Forts.)
568
Dienstname Port/ Protokoll
Beschreibung Zusatzinfos
sunrpc
111/udp
rpcbind portmap
#SUN Remote Procedure Call
auth
113/tcp
ident tap
#Identification Protocol
uucp-path
117/tcp
nntp
119/tcp
usenet
#Network News Transfer Protocol
ntp
123/udp
epmap
135/tcp
loc-srv
#DCE endpoint resolution
epmap
135/udp
loc-srv
#DCE endpoint resolution
netbios-ns
137/tcp
nbname
#NETBIOS Name Service
netbios-ns
137/udp
nbname
#NETBIOS Name Service
netbios-dgm 138/udp
nbdatagram
#NETBIOS Datagram Service
netbios-ssn
139/tcp
nbsession
#NETBIOS Session Service
imap
143/tcp
imap4
#Internet Message Access Protocol
pcmail-srv
158/tcp
#PCMail Server
snmp
161/udp
#SNMP
snmptrap
162/udp
print-srv
170/tcp
#Network PostScript
bgp
179/tcp
#Border Gateway Protocol
irc
194/tcp
#Internet Relay Chat Protocol
ipx
213/udp
#IPX over IP
ldap
389/tcp
#Lightweight Directory Access Protocol
https
443/tcp
MCom
https
443/udp
MCom
microsoft-ds
445/tcp
microsoft-ds
445/udp
kpasswd
464/tcp
# Kerberos (v5)
kpasswd
464/udp
# Kerberos (v5)
isakmp
500/udp
exec
512/tcp
#Network Time Protocol
snmp-trap
ike
#SNMP trap
#Internet Key Exchange #Remote Process Execution
Bekannte Ports unter Windows 2000
Dienstname Port/ Protokoll
Beschreibung Zusatzinfos
biff
512/udp
comsat
login
513/tcp
#Remote Login
who
513/udp
whod
cmd
514/tcp
shell
syslog
514/udp
printer
515/tcp
talk
517/udp
ntalk
518/udp
efs
520/tcp
router
520/udp
route routed
timed
525/udp
timeserver
tempo
526/tcp
newdate
courier
530/tcp
rpc
conference
531/tcp
chat
netnews
532/tcp
readnews
netwall
533/udp
uucp
540/tcp
klogin
543/tcp
kshell
544/tcp
krcmd
new-rwho
550/udp
new-who
remotefs
556/tcp
rfs rfs_server
rmonitor
560/udp
rmonitord
monitor
561/udp
ldaps
636/tcp
doom
666/tcp
#Doom Id Software
doom
666/udp
#Doom Id Software
kerberosadm
749/tcp
#Kerberos administration
kerberosadm
749/udp
#Kerberos administration
Tabelle A.1: Dienste, Protokolle und ihre Kommunikationsports (Forts.)
spooler
#Extended File Name Server
#For emergency broadcasts uucpd #Kerberos login
sldap
#Kerberos remote shell
#LDAP over TLS/SSL
569
A Anhang Tabelle A.1: Dienste, Protokolle und ihre Kommunikationsports (Forts.)
570
Dienstname Port/ Protokoll
Beschreibung Zusatzinfos
kerberos-iv
750/udp
#Kerberos version IV
kpop
1109/tcp
#Kerberos POP
phone
1167/udp
#Conference calling
ms-sql-s
1433/tcp
#Microsoft-SQL-Server
ms-sql-s
1433/udp
#Microsoft-SQL-Server
ms-sql-m
1434/tcp
#Microsoft-SQL-Monitor
ms-sql-m
1434/udp
#Microsoft-SQL-Monitor
wins
1512/tcp
#Microsoft Windows Internet Name Service
wins
1512/udp
#Microsoft Windows Internet Name Service
ingreslock
1524/tcp
l2tp
1701/udp
#Layer Two Tunneling Protocol
pptp
1723/tcp
#Point-to-point tunnelling protocol
radius
1812/udp
#RADIUS authentication protocol
radacct
1813/udp
#RADIUS accounting protocol
nfsd
2049/udp
knetd
2053/tcp
#Kerberos de-multiplexor
man
9535/tcp
#Remote Man Server
ingres
nfs
#NFS server
Stichwortverzeichnis
Stichwortverzeichnis A ACL 192 Active Directory Delegation administrativer Aufgaben 290 Explizite Objektberechtigungen 296 Obektsicherheit im globalen Katalog 302 Administrative Tools 113 Gruppenrichtlinien 113, 131 MMC 113–114 Registrierdatenbank 157 Registry 113 Sicherheitskonfiguration und -analyse 113 Sicherheitsvorlagen 113 ADMINPAK.MSI 116 AGDLP 236 AGLP 231 Angriffsmethoden 81 Automatisierte Computerattacken 87 Externer Angriff durch Wettbewerber 82 Gründe 82 Interner Angriff 82 Mail-Missbrauch 90 Netzwerk-Missbrauch 91 Netzwerk-Mitschnitte 91 Netzwerk-Spoofing 91 Nutzung unbeabsichtigter Sicherheitslücken 82 Passwort-Cracking 87, 89 Trojaner 83 Viren 83 Würmer 83 Anhang 553 Anmeldesicherheit 16, 20 Anwendungs-Management 44 Ausfallsicherheit 19, 32 Authentifizierung 192 Kerberos 195
NTLM 193 Smartcards 201
B Benutzergruppen 231 Domänenlokal 236 Global 236 Im einheitlichen Modus 235 Im gemischten Modus 231 Universell 236 Benutzerrechte 224 Benutzer-Sicherheit 191 Anforderungen 191 Anmeldesicherheit 219 Authentifizierung 192 Benutzerrechte 223 Sicherheitsgruppen 231 Sicherheitsoptionen 223 Sicherung der Passwörter 230 Überwachungsrichtlinien 238 Überwachungsstrategien 240 BSI 38 Business Relationsship-Management 45
C Certificate Revocation List 383 Change-Management 43 Cluster 34 Computerverwaltung, Verwalten von Freigaben 267 CRL 383 Customer Relationship-Management 45
D Datei-Sicherheit 246 Datenverschlüsselung 305 Freigabeberechtigungen 259 Klassifikation der Datenbestände 247 NTFS-Berechtigungen 249
Protokollierung der Überwachung 274 Überwachung der Datenbestände 273 Überwachungsrichtlinien 270 Datenredundanz 19, 34 Datensicherheit 15 Datensicherung 15, 18, 31 Datenverfügbarkeit 16 Datenverlässlichkeit 17, 305 Digitale Signatur 307 Datenverschlüsselung 17, 25, 305, 431
Asymmetrische Verschlüsselung 306 EFS 308 Öffentlicher Schlüssel 306 Privater Schlüssel 306 Symmetrische Verschlüsselung 306 Verfahren 305 DHCP 406 Antworten auf Segmente binden 415 Datenbank schützen 414 unautorisierte Clients 409 unautorisierte Server 406 Digitale Signatur 307 digitale Signatur 27 DNS 416 absichern 417 NSLOOKUP 422 unautorisierte Registrierungen 420 weitere Schutzmechanismen 422
Domänenlokale Benutzergruppen 236 Drucker Gruppenrichtlinien für die Druckersicherheit 288 Zugriffssicherheit 286
571
Stichwortverzeichnis
E EAP/TLS-Protokoll 202 EFS 25, 305, 308 Anmerkungen zur Datenverschlüsselung 319 Data Decryption Fields 309 Data Recovery Fields 309 Datei auf lokalem PC verschlüsseln 313 Dateischlüssel 308 Dateisicherungen durchführen 322 Dateiverschlüsselung 313 Daten auf Remote-Server verschlüsseln 318 Datenwiederherstellung 323 Einsatz vorbereiten 310 Entschlüsselungsprozess 309 Export des Zertifikats 334 Import des Zertifikats 337 Klassifizierung von Daten 311 Kopieren von verschlüsselten Dateien 321 Neue Wiederherstellungsagenten am lokalen Computer hinzufügen 327 Neue Wiederherstellungsagenten für Domäne hinzufügen 330 Sicherheitsrichtlinie am lokalen Computer ändern 325 Sicherheitsrichtlinie für Domäne ändern 330 Sicherheitsrichtlinien 324 Sicherung der Zertifikate 333 Standard-Wiederherstellungsagenten 324 Systemvoraussetzungen 310 Verschieben von verschlüsselten Dateien 321 Verschlüsseln 313 Verschlüsselung unter Windows XP 317 Verschlüsselungsprozess 308 Verzeichnis auf dem lokalen PC verschlüsseln 315 Wiederherstellen verschlüsselter Dateien 339 Wiederherstellungsagent 323 Wiederherstellungsagent auf Mitgliedsservern nutzen 332
572
Zugriff auf verschlüsselte Dateien 320 Encryption File System 25 Enterprise Solution Framework 47
Ereignisprotokoll 537 MOM 539 NTEvent to SNMP-TrapKonverter 538 ESF 47
F Finanz-Management für IT-Dienste 43 Freigabeberechtigungen 259 Administrative Freigaben 266 Dokumentieren von Freigaben 269 Einrichten 260 Einzelne Rechte 262 Kombination mit NTFS 264 Kumulation der einzelnen Rechte 263 Versteckte Freigaben 266 Verwalten von Freigaben 267
G Globale Benutzergruppen 236 Grünbuch 38 Gruppenrichtlinie 29, 131 Benutzerrechte 224 Benutzerrichtlinien 134 Berechtigungen 141 Computerrichtlinien 134 Deaktivieren 152 Einsatzgebiete 132 Einstellmöglichkeiten 134 Filterung 156 Funktionsweise 132 Internetnutzung 504 Kontenrichtlinien 219 Richtlinienoptionen 141 Sicherheitsoptionen 226 Softwareverteilung 139 Typen 134 Überwachungsrichtlinie 238 Umgangsregeln 138 Vererben 146 Vererbung abschalten 153 Vererbung erzwingen 154 Zertifikate 393 Zuweisung anstoßen 155
Zuweisungsreihenfolge 133 Gruppenrichtlinien, Festlegen 142
H Hash-Verschlüsselung 194
I IAS 486 einrichten 487 IEAK 510 IIS 511 Absichern 520 Benutzerauthentifizierung 516
Checklisten 520 Dienste 511 DMZ 526 FTP-Dienst 512 Hotfixes 520 IP-Filterung 515 NNTP-Dienst 513 NTFS-Berechtigungen 519 Sicherheitsstufen 513 Sicherheits-Tools 522 SMTP-Dienst 513 WWW-Dienst 511 Zugriffsberechtigungen 518 Implementierung eines Sicherheitsstandards 60 Implementierungskontrolle 527 Incident-Management 43 Internet 489 Client-Sicherheit 490 IEAK 510 Internetpräsenz 511 Sicherheitsanforderungen 489 Steuerung über Gruppenrichtlinien 504 Internet Explorer 490 Datenschutz 493 Erweiterte Einstellungen 499 Sicherheitszonen 490 Zertifikate 501 Internet-Information-Server 511 IPSec 430 benutzerdefinierte Richtlinien 435 einfache Einsatzmöglichkeiten 433 Methoden zur Datenverschlüsselung 431
Stichwortverzeichnis
Verschlüsselung auf Anwendungsebene 431 Verschlüsselung auf IP-Ebene 432
Ist-Analyse 67, 95 Datenverlustrisiko 108 Datenzugriffsicherheit 96 Erhebung und Auswertung 110
Internetserver 106 Internetzugang 101, 103 Mailserver 107 Passwortsicherheit 98 Proxy 104 RAS-Zugang 100 IT Infrastructure Library 47 IT Service Kontinuitäts-Management 43 IT Service Management 41 ITSEC 38 ITSM 41 Anwendungs-Management 44
Business Relationship-Management 45 Change-Management 43 Customer Relationship-Management 45 Enterprise Solution Framework 47 Finanz-Management für ITDienste 43 Incident-Management 43 IT Service Kontinuitäts-Management 43 ITIL 47 Kapazitäts-Management 43 Konfigurations-Management 43 Managementdisziplinen 42, 45
Praktische Umsetzung 47 Problem-Management 44 Projekt-Management 45 Release-Management 43 Service Desk 44 Service Level-Management 42
Sicherheits-Management 44 Verfügbarkeits-Management 43
Weiterführende Literatur 65
K
Autorenmodus 126 Benutzermodus 127 Bestandteile 114 Class-IDs der Standard-SnapIns 553 Detailbereich 115 Einsatzgebiete 114 Focusbereich 115 Konsolenstammfenster 114 MMC-Fenster 114 MS Common Console-Dokument 127 MSC-Dateien 127 Optionen 126 Sicherung einzelner Snap-Ins
Kapazitäts-Management 43 Kennwortrichtlinien 220 Kerberos 20, 195 Die Rolle von DNS 197 Dienstticket 197 KDC 196 Kerberos-Richtlinie 222 TGT 196 Ticketzwischenspeicher 198 Zeitsynchronisation 201 Klassifikation der Datenbestände 247
Konfigurations-Management 43 Kontenrichtlinien 219 Kennwortrichtlinien 220 Kerberos-Richtlinie 222 Kontosperrungsrichtlinien 221
Kontosperrungsrichtlinien 221 Kontrollphase 527 Batch-Jobs 531 HFNetChk 543 Manuelle Tests 530 MPSA 547 NET-Befehle 532 Reaktionsmöglichkeiten 549 Scripts 530 Sicherheitskatalog 528 Sicherheitskonfiguration und -analyse 541 Sicherheitsprotokoll 537 Testvarianten 530 WBEMDUMP 535 Werkzeuge 530
L Lastenverteilung 20, 32
M Managementdisziplinen 42 Abhängigkeiten 45 Vorstellung 42 Microsoft Management-Konsole 114
Microsoft Operations Framework 47–48 Microsoft Readiness Framework 47
Microsoft Solution Framework 47 MMC 114 Arbeitsmodi 126
130
Sicherung gegen unbefugte Benutzung 129 Snap-Ins 116 Taskpadansicht 122 Unterbinden des Autorenmodus 130 MOF 47–48 Abhängigkeiten von MSF 55 Prozessmodell 49 Teammodell 51 Weiterführende Literatur 65 MRF 47 MSC-Dateien 127 Bestandteile 128 Eigene Dateien anlegen 128 MSF 47
N NAT 446, 453 NET-Befehle 532 Netzwerkdienste 399 DHCP 406 DNS 416 IAS 485 Infrastruktur 400 IPSec 430 RADIUS 485 RAS 466 Routing 445 Sicherheitsanforderungen 399 Terminaldienste 425 VPN 466 NSLOOKUP 422 NTFS-Berechtigungen 249 Besitzerfunktion 256 Datei-Berechtigungen 253
573
Stichwortverzeichnis
Einzelne Rechte 252 Kumulation der einzelnen Rechte 257 Ordner-Berechtigungen 252 Vererbung 251 Voraussetzungen 249 Zuweisen 249 NTLM 20, 193
O
Authentifizierung anpassen 469
Authentifizierungsprotokolle 468 CMAK 484 Datenübertragung sichern 471
Datenverschlüsselung 473 Grundlagen RAS-Richtlinien 477
Orange Book 37 OSPF 458
P PKI 26, 342 Certificate Trust List 346 Eigenständige Zertifizierungsstelle 347 Grundlegende Komponenten 342
Hierarchie der Zertifizierungsstellen 344 Organisations-Zertifizierungsstelle 346 Privat oder Kommerziell 344 Stamm-Zertifizierungsstelle 345
Typen der Zertifizierungsstellen 344 Untergeordnete Zertifizierungsstellen 346 Voraussetzungen 347 Zertifikatsdienste installieren 348 Portadressen 566 Problem-Management 44 Projekt-Management 45 Prozesse 51 Aufgaben 52 Besitzer 52 Input 52 Output 52 Regeln 52 Rollen 52 Public Key Infrastructure 26, 342
R RADIUS 486 einrichten 487 RAS 466 Anforderungen 467
574
RAS-Richtlinien 477 RAS-Verschlüsselung 471 Remote-Verbindung autorisieren 483 Richtlinien-Anwendung 479 Richtlinienbedingungen 477 Richtlinien-Modelle 478 Richtlinien-Profile 479 Sicherheit konfigurieren 467 Sicherheitsfunktionen 483 VPN und DMZ 485 VPN-Verschlüsselung 472 RAS-Richtlinien 23 Registrierdatenbank 157 Auswählen der Datenbank 164
Bearbeitungsmöglichkeiten 164
Dateistruktur 157 Daten exportieren 169 Daten importieren 169 Datentypen 162 HiveKeys 161 Logische Struktur 161 REGEDIT.EXE 158 REGEDT32.EXE 158 Registrierungs-Editor 158 Schlüssel hinzufügen 167 Schlüssel löschen 168 Vorhandenen Wert verändern 166
Wert hinzufügen 168 Wert löschen 168 Registry 157 Mit Gruppenrichtlinien sichern 282 sichern 279 Release-Management 43 Reliability of Service 19, 35 Remote-Zugriff 23 Requests for Comments 564 Ressourcen-Sicherheit 245
Anforderungen 245 Datei-Sicherheit 246, 305 Richtlinien öffentlicher Schlüssel 393
RIP 458 Routing 445 einfaches Reverse-NAT 454 NAT 446 NAT einrichten 447 NAT im Detail 449 OSPF-Sicherheit 464 portorientiertes ReverseNAT 456 Reverse-NAT 453 RIP-Sicherheit 459 Routen-Kommunikation 458
S SECEDIT 186 Exportieren der Einstellungen 187 Sicherheitsanalyse durchführen 187 Sicherheitsvorlage anwenden 187
Secedit 170 Service Desk 44 Service Level-Management 42 Sicherheit Active Directory-Objekte 290 Anmeldesicherheit 219 Benutzer 191 Drucker 286 Internetpräsenz sichern 489 Internetzugang sichern 489 Konfigurationsinformationen 278 Ressourcen 245 System-Dienste 283 Sicherheitsbegriffe 15 Sicherheitseinstellungen 170 Sicherheitsgruppen 231 Sicherheitsimplementierung 41 Sicherheitskatalog erstellen 528 Sicherheitskonfiguration und analyse 170, 184 Analyse durchführen 184 Datenbankeinstellungen ändern 185 Lokale Sicherheitskonfiguration modifizieren 186
Stichwortverzeichnis
Sicherheitskonfiguration-Manager 170 Abgrenzung 172 Einsatzgebiete 171 SECEDIT 186 Sicherheitskonfiguration und -analyse 184, 541 Sicherheitsvorlagen 174 Verteilen von Sicherheitsvorlagen 188 Sicherheitskriterien 39 Sicherheitslücken 68 Datenklau 79 Internetserver 72 Internetzugang 68 Mail-Server 78 RAS-Server 75 Sicherheits-Management 41, 44, 55
Administrative Tools 113 Arbeitsweise 55 Aufgaben 61 Auswertung der Ist-Analyse 110
Bekannte Ports 566 Checklisten 562 Einführung 55 Gefahren & Risiken 67 Indirekte Schnittstelle zum Release-Management 59 Ist-Analyse 67, 95 Nützliche Internetadressen 558
Planungshilfe 563 Schnittstelle zum ChangeManagement 57 Schritt 1 57, 67 Schritt 2 57, 95 Schritt 3 57, 110 Schritt 4 57, 527 Sicherung der MMC 129 Sicherheitsoptionen 226 Sicherheitsprotokoll 537 Archivierung 278 Detailbeschreibungen der Ereignisse 275 Eigenschaften konfigurieren 275
Empfehlungen zur Konfiguration 275 Ereignisse aufzeichnen 274 Kontrolle 278 Zugriffsberechtigungen 274
Sicherheitsrichtlinien 170 Sicherheitsstandards 37 Sicherheitsvorlagen 170, 174 Anpassen von Vorlagen-Einträgen 178 Anzeigen mit den Vorlagen 177
Basis-Sicherheitsvorlagen 174 Dateisystem 183 Eigene Sicherheitsvorlagen 176
Eingeschränkte Gruppen 180 Ereignisprotokoll 180 Kategorien von Einstellungen 179 Kontenrichtlinien 179 Lokale Richtlinien 179 Mitgelieferte Sicherheitsvorlagen 174 Registrierung 182 Speichern 183 Standard-Sicherheitsvorlagen 174 Systemdienste 182 Zusätzliche Sicherheitsvorlagen 175 Smartcards 201 EAP/TLS-Protokoll 202 Einrichten eines EnrollmentAgents 212 Einrichten eines SmartcardLogons 215 Enrollment-Agent-Zertifikate 203 Erzeugen eines Benutzer-Zertifikats 210 GINA-Fenster 202 Installation des SmartcardLesers 207 Installation einer Zertifikatsstelle 204 Smartcard-Zertifikate 203 SmartCart-Authentifizierung 22 Snap-Ins 116 ActiveX-Steuerelemente 120 Eigenständige Snap-Ins 121 Erweiterungs-Snap-Ins 122 Funktionen 117 Installation 116 Manuell Registrieren 116 Ordner 120 Typen 121 Verwaltungstools 117
Webadressenverknüpfungen 117
SNTP 201 Softwareverteilung 139 Veröffentlichen 144 Zuweisen 144 SYSKEY 230
T Taskpadansicht 122 Bestandteile 123 Menübefehle 123 Navigationsbefehle 125 Shellbefehle 124 Taskpadanzeige 123 Tasks 123 Vorteile 122 TCSEC 37 Terminaldienste 425 Daten verschlüsseln 426 Server absichern 427
U Überwachungsrichtlinien Active Directory-Zugriff überwachen 270 Aktivieren 270 Anmeldeereignisse überwachen 240 Anmeldeversuche überwachen 240 Benutzerüberwachung 238 Kontenverwaltung überwachen 240 Objektzugriffsversuche überwachen 270 Sicherheitsprotokoll 274 Überwachungssicherheit 18, 29 Universelle Benutzergruppen 236
V Vererbung abschalten 153 Verfügbarkeits-Management 41, 43
Verlustmethoden 92 Anwendungsserver 94 Datenverfügbarkeit 94 Datenverlust 92 Verschlüsselung 25 Verteilergruppen 231 VPN 466 Datenverschlüsselung 473
575
Stichwortverzeichnis
VPN und DMZ 485 VPN-Verschlüsselung 472
Erneuern von Zertifikaten mit demselben Schlüssel 375
W WBEMDUMP 535
Z Zertifikate 26, 341 Administrative Aufgaben 373 Anforderungen 341 Archivierung alter Zertifikate 376
Benutzerzertifikat anfordern 361
Benutzerzertifikat über Webseite anfordern 363 CERTUTIL 382 Digitale Signatur 307 Eigenständige Stammzertifizierungsstelle installieren 348 Einrichten eines EnrollmentAgents 212 Einrichten eines SmartcardLogons 215 Enrollment-Agent-Zertifikate 203 Erneuern von Zertifikaten 374 Erneuern von Zertifikaten der Zertifizierungsstellen 377
576
Erneuern von Zertifikaten mit einem neuen Schlüssel 376 Erste Zertifizierungsstelle installieren 348 Erzeugen eines Benutzer-Zertifikats 210 Gruppenrichtlinien 393 importieren 392 Installation des SmartcardLesers 207 Installation einer Zertifikatsstelle 204 Komponenten des Zertifikatsdienstes 351 Manuelles Ausstellen von Zertifikaten 373 Organisations-Stammzertifizierungsstelle installieren 348 PKCS #12 390 PKCS #7 390 Prozess der Zertifikatsvergabe 360 Public Key Infrastructure 342 Sichern der Zertifizierungsstelle 357 Smartcard-Zertifikate 203 Sperren von Zertifikaten 380 Untergeordnete Zertifikatsstelle einrichten 352
Unterschiede bei der Anforderung 366 Veröffentlichungsintervall der Sperrliste ändern 384 Verteilungspunkte für Zertifikatssperrlisten angeben 388
Vertrauensstellungen 395 Wiederherstellung der Zertifizierungsstelle 358 Zertifikat anfordern 360 Zertifikate exportieren 391 Zertifikatsanforderungen überprüfen 372 Zertifikatsanforderungs-Assistent 361 Zertifikatsdienste installieren 348 Zertifikatsformate 390 Zertifikatsspeicher 390 Zertifikatssperrliste anzeigen 383 Zertifikatssperrliste manuell aktualisieren 385 Zertifikatssperrliste manuell anfordern 386 Zertifikatsvorlagen 366 löschen 370
Zusätzliche Zertifikatstypen anfordern 370 Zusätzliche Zertifikatsvorlagen einrichten 369 Zertifikatssperrung aufheben 382 Zugriffssicherheit 17, 28