Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Bevor mit der eigentlichen Konfiguration und Installation von Windows NT in einem Client-Server-Netz begonnen werden kann, müssen zuerst zwei grundlegende Überlegungen angestellt werden:
Zunächst muß geklärt werden, welche Dienstleistung das Betriebssystem erbringen und in welchem Rahmen es diesbezüglich eingesetzt werden soll.
Dies soll anhand einiger Beispiele veranschaulicht werden:
Anschließend müssen diese Überlegungen in eine Sicherheitsstrategie übersetzt werden.
Dabei zeigt sich, daß je nach bereits vorhandener Systemumgebung und Organisationsstruktur sowie der ggf. vorzusehenden Restriktionen an eventuelle Peer-to-Peer-Funktionalitäten ein mehr oder weniger großer Aufwand bei der Entwicklung einer dazu passenden Sicherheitsstrategie notwendig ist.
Es wird nachfolgend eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Da jedoch Windows NT in verschiedenen Konfigurationen eingesetzt werden kann, ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind.
Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz
In der Sicherheitsstrategie muß aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:
1. Definition der Client-Server-Netzstruktur
Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen (siehe M 2.93 Planung des Windows NT Netzes ). Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beinträchtigen können. Sofern sich dies jedoch nicht vermeiden läßt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen (siehe M 2.67 Festlegung einer Sicherheitsstrategie für das Peer-to-Peer-Netz ).
2. Regelung der Verantwortlichkeiten
Ein Client-Server-Netz sollte von einem geschulten Netzadministrators nebst Stellvertreter sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z. B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Datei- und Verzeichnisberechtigungen, Freigabe der von anderen benötigten Verzeichnissen bzw. Anwendungen, den Aufbau von Benutzergruppen und konten sowie die Einstellung der Systemrichtlinien für Benutzer, Zugriffskontrolle und Überwachung vornehmen können.
Die Verantwortlichkeiten der einzelnen Benutzer im Client-Server-Netz sind unter Schritt 11 dargestellt.
3. Festlegung von Namenskonventionen
Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer verwendet werden.
Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden (siehe M 2.67 Festlegung einer Sicherheitsstrategie für das Peer-to-Peer-Netz ). Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine freigegebene Ressource nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von Informationen zwischen zwei Anwendern oder zum Zugriff auf Ressourcen, die nur einzelnen Benutzern bekannt sein sollen, freigegeben werden.
4. Festlegung der Regeln für Benutzerkonten
Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle bzw. für bestimmte dieser Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Paßwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Die festgelegten Regelungen können mit Hilfe der Option " Richtlinien " des Benutzermanagers umgesetzt werden (siehe M 4.48 Paßwortschutz unter Windows NT ).
5. Einrichtung von Gruppen
Zur Vereinfachung der Administration sollten Benutzerkonten, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefaßt werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzerkonten zugeordnet. Die Benutzerkonten erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und berechtigungen an einzelne Benutzer sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist.
6. Festlegung der Benutzerrechte
Rechte gestatten einem Benutzer die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen hat. Wenn sich ein Benutzer bei einem Konto anmeldet, dem die gewünschten Rechte entweder direkt oder über die Gruppenmitgliedschaft erteilt wurden, kann er die entsprechenden Aktionen ausführen. Besitzt ein Benutzer nicht die geeigneten Rechte, so verhindert Windows NT jeden Versuch, die betreffenden Aktionen auszuführen. Wie schon zuvor dargestellt, sollten Benutzerrechte möglichst nur Gruppen und nicht einzelnen Benutzern zugeordnet werden. Windows NT legt bei der Installation Voreinstellungen fest, die in der Regel für einen sicheren und effizienten Betrieb ausreichend sind. Empfehlenswert erscheint jedoch, der Gruppe "Jeder" das Recht "System herunterfahren" und der Gruppe "Jeder" und ggf. der Gruppe "Gäste" das Recht "Lokale Anmeldung" zu entziehen (siehe M 4.50 Strukturierte Systemverwaltung unter Windows NT).
7. Festlegung der Vorgaben für Protokollierung
Windows NT stellt sehr ausführliche Möglichkeiten der Protokollierung sicherheitsrelevanter Ereignisse zur Verfügung, die bei vollständiger Nutzung in der Lage sind, das System weitgehend mit Auditing zu beschäftigen und dabei große Mengen an Plattenplatz zu verbrauchen. Dabei kann ein Spektrum von Ereignisarten aufgezeichnet werden, das sich von systemweiten Ereignissen, wie zum Beispiel dem Anmelden eines Benutzers bis hin zum Versuch eines Benutzers, eine bestimmte Datei zu lesen, erstreckt. Sowohl die erfolgreichen als auch die fehlgeschlagenen Versuche, eine Aktion durchzuführen, lassen sich aufzeichnen. Bei der Konfiguration der Protokollierung ist jedoch zu beachten, daß ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die aufgrund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, daß sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet (siehe M 4.54 Protokollierung unter Windows NT ).
8. Regelungen zur Datenspeicherung
Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). So ist denkbar, daß Benutzerdaten nur auf einem Server abgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. Möglich ist aber auch, bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. Nach welcher Strategie verfahren werden soll, muß an den konketen Umständen des Einzelfalles festgelegt werden. Eine generelle Empfehlung auszusprechen, ist nicht möglich.
9. Einrichtung von Projektverzeichnissen
Um eine saubere Trennung von Benutzer- und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, mit der eine projekt- und benutzerbezogene Dateiablage unterstützt wird. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen dann die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.
10. Vergabe der Zugriffsrechte
Für die Server ist festzulegen, welche Verzeichnisse für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT. Zusätzlich ist bei Nutzung von Peer-to-Peer-Funktionalitäten auf der Ebene der Clients zu entscheiden, welche Verzeichnisse für Netzzugriff freizugeben sind (siehe M 2.94 Freigabe von Verzeichnissen unter Windows NT ).
Das zuvor gesagte gilt analog für die Freigabe von Druckern.
11. Verantwortlichkeiten für Administratoren und Benutzer im Client-Server-Netz
Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für
12. Schulung
Abschließend muß festgelegt werden, welche Benutzer zu welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows NT gründlich zu schulen. Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen.
Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .