Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Bei jeder Installation eines jeden Windows NT Systems wird ein Administratorkonto angelegt. Auf Windows NT Rechnern, die als Workstation oder als Server ohne Domänencontrollerfunktion installiert werden, ist dieses vordefinierte Administratorkonto Mitglied der Gruppe "Administratoren". Auf Servern, die unter dem Betriebssystem Windows NT als Primäre Domänencontroller installiert werden, wird das vordefinierte Administratorkonto bei der Installation Mitglied der Gruppen "Administratoren", Domänen-Admins" und "Domänen-Benutzer". Es ist weiterhin möglich, beliebige auf einem Windows NT Rechner definierte Benutzerkonten den Gruppen" "Administratoren" oder "Domänen-Admins" hinzuzufügen.
Das vordefinierte Administratorkonto und die nach der Installation den Gruppen "Administratoren" bzw. "Domänen-Admins" hinzugefügten Benutzerkonten erhalten die Rechte und Berechtigungen, die der oder den Gruppen erteilt wurden, in denen sie Mitglied sind. Diese Konten werden von den Personen verwendet, welche die Gesamtkonfiguration der Arbeitsstation oder des Servers verwalten. Administratoren besitzen mehr Kontrollmöglichkeiten über den Windows NT Computer als jeder andere Benutzer.
Das vordefinierte Administratorkonto unterscheidet sich aber in wesentlichen Punkten von allen anderen Konten unter Windows NT: Es kann nicht gelöscht werden und es ist von der automatischen Sperre bei wiederholten Anmeldeversuchen mit falschem Paßwort ausgenommen. Außerdem kann es auf Windows NT Workstations und auf Windows NT Servern ohne Domänencontrollerfunktionalität nicht aus der Gruppe "Administratoren" entfernt werden. Auf Windows NT Domänencontrollern ist es nicht möglich, das vordefinierte Administratorkonto sowohl aus der Gruppe "Administratoren" als auch aus der Gruppe "Domänen-Admins" zu entfernen. Die Entfernung aus einer dieser beiden Gruppen ist aber möglich. Damit wird verhindert, daß ein Administrator zeitweise oder vollständig aus dem System ausgesperrt wird. Andererseits führt dieser Mechanismus zu einem erhöhten Einbruchsrisiko. An dieser Stelle muß ausdrücklich darauf hingewiesen werden, daß alle nachträglich angelegten Benutzerkonten, die durch Aufnahme in die Gruppen "Administratoren" bzw. "Domänen-Admins" Administratorrechte erlangt haben, selbstverständlich durch andere Administratoren gesperrt und gelöscht bzw. aus den o.g. Gruppen wieder entfernt werden können. Auch ist die automatische Sperre bei wiederholten Anmeldeversuchen mit falschem Paßwort wirksam, sofern diese in den Kontenrichtlinien definiert wurde.
Auf allen Windows NT Computern sollte das vordefinierte Administratorkonto auf einen nicht leicht erratbaren Namen umbenannt werden. Es sollte bereits bei der Installation mit einem sicheren Paßwort (siehe M 2.11 Regelung des Paßwortgebrauchs) versehen werden. Das Paßwort sollte möglichst die maximale Länge von 14 Zeichen ausnutzen und ist sicher zu hinterlegen. Es ist sinnvoll für die tägliche Administration nicht das vordefinierte Administratorkonto zu benutzen, sondern Benutzerkonten, die der Gruppe "Administratoren" oder "Domänen-Admins" hinzugefügt wurden. Die Paßwortlänge dieser Konten sollte mindestens 8 Zeichen betragen. Das vordefinierte Administratorkonto sollte lediglich für den Fall benutzt werden, daß ein Zugriff über die nachträglich angelegten Konten mit Administratorrechten nicht möglich ist, z. B. weil diese Konten wegen wiederholten Anmeldeversuchen mit falschem Paßwort gesperrt sind.
Auch ist es sinnvoll, danach ein neues Konto mit dem Namen "Administrator" anzulegen, dieses mit einem Paßwort zu versehen, es zu deaktivieren und dieses Konto nur in der Gruppe "Gäste" aufzunehmen. Diesem Konto dürfen keine besonderen Systemrechte zugewiesen werden, da es lediglich dazu dient, einen potentiellen Angreifer auf eine falsche Spur zu führen.
Weiterhin sollte das Sicherheitsprotokoll regelmäßig auf Anmeldeversuche mit Konten, die über Administratorrechte verfügen, überprüft werden (siehe M 4.54 Protokollierung unter Windows NT).
Es existiert eine spezielle Schadsoftware, mit der ein lokal angemeldeter Benutzer der Gruppe "Administratoren" beliebige Benutzerkonten hinzufügen kann. Um dies zu verhindern, sollte auf allen Computern unter dem Betriebssystem Windows NT 4.0 mit dem Service Pack 3 der Hot Fix "getadmin-fix" installiert werden, der durch Microsoft kostenlos zur Verfügung gestellt wird. Nach der Installation des Service Packs 4 ist es nicht mehr erforderlich, den o. g. Hotfix zu installieren.
Um ein Extrahieren des Administratorpaßwortes zu verhindern, sollten außerdem die Rechte auf die Verzeichnisse %Systemroot%\SYSTEM32\Config und %Systemroot%\SYSTEM32\Repair so gesetzt werden, wie dies in M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT vorgeschlagen wird. Auch müssen Notstartdisketten und evtl. vorhandene Bandsicherungen unter Verschluß gehalten werden.
Abhängig vom Schutzbedarf der Daten, die mit Windows NT Workstations verarbeitet werden, ist zu entscheiden, ob für alle lokalen Administratorenkonten das gleiche Paßwort benutzt wird. Eine generelle Empfehlung kann nicht gegeben werden, es sollte jedoch bei einer Entscheidung zugunsten des gleichen Paßwortes für alle Workstations bedacht werden, daß ein Angreifer im Falle der Kompromittierung dieses Paßwortes auf allen betroffenen Workstations Administratorrechte hat.
Bei Windows NT Servern sollten noch folgende weitere Maßnahmen getroffen werden. Es sollten die Administratorenkonten auf den verschiedenen Servern nicht alle mit dem gleichen Paßwort versehen werden. Weiterhin sollte möglichst nicht über das Netz fernadministriert werden. Dies wird erreicht, indem der Gruppe "Administratoren" das Recht "Zugriff auf diesen Computer vom Netz" entzogen wird. Wo auf eine Fernadministration z. B. aufgrund räumlicher Gegebenheiten nicht verzichtet werden kann, sollten die Angriffsmöglichkeiten, die sich dadurch eröffnen, so gering wie möglich gehalten werden. Dazu gehört, daß eine Anmeldung über das Netz für Benutzerkonten mit Administratorrechten nur über in den Kontenrichtlinien festgelegte Rechner, die unter dem Betriebssystem Windows NT betrieben werden, erlaubt wird. Diese Rechner sollten möglichst in gesicherten Bereichen aufgestellt werden. Auf diesen Rechnern sollte zwingend die LAN-Manager-Kompatibilität abgeschaltet werden, um so zu vermeiden, daß Paßwörter von Benutzerkonten mit Administratorrechten bzw. nur schwach verschlüsselt über das Netz gesendet werden. Dazu ist es erforderlich, bei einem Windows NT 4.0 mit Service Pack 3 den Hot Fix "lm-fix" zu installieren. Sofern auf dem System bereits das Service Pack 4 installiert wurde, ist eine Installation des v. g. Hot Fix nicht notwendig. In jedem Fall ist aber in der Registrierung der folgende Schlüssel zu ergänzen: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Lsa um den Eintrag "LMCompatibilityLevel" vom Typ "REG_DWORD" und dem Wert "2".
Ein so modifizierter Windows NT Rechner ist danach nicht mehr in der Lage, auf Ressourcen zuzugreifen, die sich auf Rechnern befinden, die das Windows NT Authentisierungsschema nicht beherrschen. Dies sind u. a. alle Rechner, die unter dem Betriebssystem Windows 95 betrieben werden.
Auf Domänencontrollern reicht es nicht aus, der Gruppe "Administratoren" das Recht "Zugriff auf diesen Computer vom Netz" zu entziehen, weil auf Domänencontrollern das vordefinierte Administratorkonto automatisch Mitglied in den Gruppen "Domänen-Admins" und "Domänen-Benutzer" geworden ist. Das vordefinierte Administratorkonto sollte daher aus der Gruppe der "Domänen-Admins" entfernt werden. Dies ist möglich, solange dieses Konto Mitglied der Gruppe "Administratoren" bleibt. Außerdem sollte das vordefinierte Administratorkonto aus der Gruppe "Domänen-Benutzer" entfernt werden. Dies ist allerdings nicht ohne weiteres möglich, da es die primäre Gruppe dieses Kontos ist. Es muß daher eine beliebige globale Gruppe angelegt werden, die nicht über das Recht "Zugriff auf diesen Computer vom Netz" verfügt. Das vordefinierte Administratorkonto ist dieser Gruppe hinzuzufügen und es ist einzustellen, daß dies nunmehr die primäre Gruppe des Kontos sein soll. Erst danach kann das vordefinierte Administratorkonto aus der Gruppe "Domänen-Benutzer" entfernt werden.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000