Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Wie dieses Buch aufgebaut ist
1 Die Grundinstallation des Windows Server
2 Die Implementierung des Active Directory
3 Windows Server 2003 R2
4 Die Installation der Exchange-Organisation
5 Client-Zugriffslizenzen für Windows Server und Exchange Server eingeben
6 Den Server und die Clients remote verwalten
7 Die Installation des Remote Installation Service RIS
8 Die RIS-Installation eines Windows-XP-Professional-Clients
9 Alternative zur RIS-Installation des Musterclients
10 Einführung in Gruppenrichtlinien
11 Die Gruppenrichtlinien von Windows XP einsetzen
12 Eigene Vorlagedateien für fehlende Gruppenrichtlinien
13 Microsoft Office im Netzwerk
14 Servergespeicherte Benutzerprofile, Basisordner, Ordnerumleitungen und Dokumentvorlageverzeichnisse
15 Das Anmeldeskript
16 Über das Anmeldeskript Anwendungen und Service Packs verteilen
17 Die Erstellung des Komplettabbildes
18 Strategische Überlegungen und Tipps
19 Namenskonventionen für Active-Directory-Objekte
20 Gruppen und Gruppenverschachtelung
21 Access-based Enumeration ABE
22 Netzwerkdrucker einrichten
23 Betriebsmasterfunktionen und der globale Katalogserver
24 Serverdienste und Ausfallsicherheit
25 Active-Directory-Modelle zur Verteilung der Serverfunktionen
26 Der Ausbau der Exchange Server-Organisation
27 Outlook und öffentliche Exchange-Ordner praxisnah nutzen
28 Exchange-Administrationsaufgaben
29 Hinweise zur Exchange-Installation und –Migration
30 Sicherheit im verteilten Active Directory
31 Einstieg in die Projektierung
32 Informationstechnologie und Recht
Index

Ihre Meinung?
 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Rheinwerk Computing
ISBN 3-89842-847-8
>>Jetzt Buch bestellen!
gp Kapitel 30 Sicherheit im verteilten Active Directory
  gp 30.1 Sicherheitsrisiken
  gp 30.2 Sicherheitskonzepte
  gp 30.3 Sicherheitsmaßnahmen
  gp 30.4 Überwachungsrichtlinien (Auditing)
  gp 30.5 Maßnahmen zur Reduzierung und Auswirkungen von sicherheitsrelevanten Vorfällen
  gp 30.6 Erstellung eines Reaktionsplans für sicherheitsrelevante Zwischenfälle des Systems
  gp 30.7 Tools für die Sicherheitskonfiguration und Sicherheitsüberwachung


Rheinwerk Computing

30.3 Sicherheitsmaßnahmen  toptop

Nachfolgend werden Mindestmaßnahmen für die Sicherheit der Domänencontroller und Dateiserver aufgelistet.

Alle Serverpartitionen mit NTFS formatieren

NTFS-Partitionen bieten durch die Access Control Lists fein abgestufte Möglichkeiten der Berechtigungsvergabe an. Deshalb sollten alle Festplattenpartitionen eines Windows Server mit NTFS partitioniert sein. Mit dem Tool Convert kann eine FAT-Partition nachträglich in eine NTFS-Partition umgewandelt werden.

Administratorkennwörter müssen stark sein

Es sollten mindestens neun Zeichen mit mindestens einem nicht druckbaren Sonderzeichen verwendet werden. Auf jedem Server sollten unterschiedliche Kennwörter gesetzt werden, um bei einem gelungenen Einbruch den möglichen Schaden in Grenzen zu halten.

In komplexen Active-Directory-Strukturen einer Root-Domäne und mit mehreren Sub-Domänen kann das Kennwort des Administrators, der Mitglied der Gruppen Organisations-Admins und Schema-Admins ist, aus Sicherheitsgründen nach dem Vier-Augen-Prinzip aus zwei Teilen bestehen, wobei die beiden Teile separaten Administratoren bekannt sind. Beide Kennworthälften sollten in separaten und versiegelten Umschlägen im Safe aufbewahrt werden. Der Zugriff auf die Domänenstruktur oder auf das Active-Directory-Schema ist dann nur möglich, wenn beide Administratoren in gemeinsamer Verantwortung handeln. Ist einer der Administratoren z.B. in Urlaub, so kann in dringenden Fällen der versiegelte Umschlag mit dem Teilpasswort in Anwesenheit eines Vertreters oder des IT-Sicherheitsbeauftragten geöffnet werden.

Keine LAN-Manager-Hashwerte für nächste Kennwortänderung speichern

Kennwörter sind Schwachstellen. Um die Kennwort-Verschlüsselung stärker zu schützen, kann der relativ schwache LanMan-(LM-)Verschlüsselungsalgorithmus des Active Directory und besonders im Mischbetrieb mit NT-4.0-Domänen von der SAM (Security-Account-Manager-Datenbank) entfernt werden, indem der Registrierdatenbankschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nolmhash auf »1« gesetzt wird. Unter Windows Server gibt es dazu unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Lokale Richtlinien · Sicherheitsoptionen die Gruppenrichtlinie Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern.

Eingebautes Brennprogramm deaktivieren

Unter Windows XP können Dateien oder ganze Verzeichnisse im Windows Explorer über die rechte Maustaste und den Menüpunkt Senden an auf eine CD gebrannt werden, wenn ein CD- oder DVD-Brenner eingebaut ist. Für bestimmte Benutzer oder Sicherheitsgruppen kann diese Funktion aus Datenschutzgründen ausgeblendet werden, indem über Benutzerkonfiguration · Administrative Vorlagen · Windows-Komponenten · Windows Explorer die Gruppenrichtlinie CD-Brennfunktionen entfernen aktiviert wird. Sie bewirkt, dass unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer der DWORD-Eintrag NoCDBurning eingefügt und mit dem Wert 1 belegt wird.

Nutzung externer Datenträger über USB und Firewire einschränken

Es sollte unterbunden werden, dass beliebige Benutzer einen externen Datenträger wie einen USB-Stick oder eine externe Festplatte über USB- oder Firewire anschließen und Firmendaten abziehen können. Wenn die Nutzung dieser Schnittstellen über das BIOS abgeschaltet werden kann, muss ein Kennwort für das BIOS gesetzt werden. Unter www.gruppenrichtlinien.de finden Sie den Artikel »USB STICKS per Richtlinie deaktivieren«. Mit der Software GFI EndPointSecurity sollen Administratoren gruppenbasiert verwalten können, welche Anwender Zugriff auf USB-Sticks, MP3-Player, PDAs und andere mobile Speichermedien erhalten (www.gfisoftware.de).

Nicht benötigte Dienste deaktivieren, nur benötigte Anwendungen installieren

Unter Windows 2000 Server sollten diejenigen Dienste deaktiviert werden, die für die Funktionen des Servers nicht benötigt werden. Speziell der standardmäßig installierte IIS-Dienst sollte auf Datei- und Druckservern – wann immer möglich – deaktiviert werden. Auf einem Server sollten keine Anwendungen und Tools installiert werden, die nicht für die Funktion des Servers erforderlich sind.

Sicherheitskonfigurations-Assistent unter Windows Server 2003

Unter Windows Server 2003 sind viele Dienste standardmäßig nicht mehr aktiviert, und Serverrollen müssen nach der Grundinstallation über einen Assistenten explizit zugewiesen werden. Außerdem gibt es aber im Service Pack 1 den Sicherheitskonfigurations-Assistenten (C:\Windows\Help\scwhelp). Er bestimmt die für die Rollen eines Servers erforderliche Mindestfunktionalität und deaktiviert nicht erforderliche Rollen (siehe auch die Verzeichnisse Sicherheitskonfigurations-Assistent Windows Server 2003, Sicherheitshandbuch für Windows Server 2003 und Best Practice Guide for Securing Active Directory Installations im Verzeichnis Sicherheit auf der Buch-DVD).

Nicht benötigte Kennungen und Gruppen wie z.  B. »Gast« und »Domänen-Gäste« deaktivieren oder löschen

Die Kennung »Gast« ist bereits standardmäßig deaktiviert. Unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Lokale Richtlinien · Sicherheitsoptionen können diese Einstellungen in den Gruppenrichtlinien zentral vorgenommen werden. Kennungen von Benutzern, die gar nicht mehr oder über einen längeren Zeitraum nicht benötigt werden, sollten gelöscht oder zumindest deaktiviert werden.

Die Registrierdatenbank gegen anonyme Zugriffe schützen

Dazu muss der Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers mit dem Wertnamen winreg angelegt werden. Es muss sichergestellt werden, dass nur der Administrator die Berechtigung Full Control über diesen Key hat. Unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Lokale Richtlinien · Sicherheitsoptionen können diese Einstellungen über die Gruppenrichtlinie Weitere Einschränkungen für anonyme Verbindungen zentral vorgenommen werden.

Den Zugriff auf die Local Security Authority (LSA)-Informationen einschränken

Um dies zu erreichen, legen Sie unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA den Schlüssel RestrictAnonymous vom Typ REG_DWORD an und weisen ihm den Wert 1 zu.

Für alle Anwender mit dem Snap-In »Sicherheitsrichtlinien für Domänen« starke Kennwörter setzen

gp  Kennwortchronik erzwingen: 6 gespeicherte Kennwörter
gp  Minimale Kennwortlänge: 8 Zeichen
gp  Maximales Kennwortalter: 42 Tage
gp  Kennwörter müssen den Komplexitätsanforderungen entsprechen.

In einer Active-Directory-Domäne erfolgt die Verwaltung der Kennwortrichtlinie in der Default Domain Policy unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Kontorichtlinien. Jede an einer anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf die lokalen Benutzerkonten der betreffenden Computer in derjenigen OU, auf der diese Richtlinie wirkt, nicht aber auf die Domänenkennungen.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Die Benutzer mit der Verwendung komplexer Kennwörter vertraut machen Gemäß den Komplexitätsregeln dürfen Kennwörter weder einen Teil noch den vollständigen Kontonamen des jeweiligen Benutzers enthalten, müssen mindestens sechs Zeichen lang sein und Zeichen aus drei der vier folgenden Kategorien enthalten:

gp  Großbuchstaben von A bis Z
gp  Kleinbuchstaben von A bis Z
gp  Ziffern der Basis 10 (0 bis 9)
gp  Nichtalphanumerische Zeichen (z.B. !, $, #, %)

Wenn Sie dem Anwender keine Hilfestellung zur Auswahl von komplexen und dennoch leicht merkbaren Kennwörtern geben, werden die Anwender die geforderten komplexen Kennwörter als Schikane missdeuten. Sie werden komplizierte Kennwörter bilden, die sie sich selbst nicht merken können, und die Kennwörter deshalb auf einem Zettel unter der Tastatur oder im Schreibtisch aufschreiben. Klären Sie deshalb die Mitarbeiter über den Sinn komplexer Kennwörter auf und nennen Sie leicht einprägsame Beispiele für komplexe Kennwörter:

Untertasse12, +Verdistrasse23, 8tung!, 4zylinder-, 3malHelau!!!, 7FässerWein##

Die Kontosperrungsrichtlinien verschärfen, um Einbruchversuchen entgegenzuwirken

gp  Kontosperrungsschwelle: höchstens 5 (besser: nur 3) ungültige Anmeldeversuche
gp  Kontosperrdauer: 0 (bedeutet: bis ein Administrator die Sperre aufhebt)
gp  Kontosperrungszähler zurücksetzen nach: 30 Minuten (der Standardwert beträgt 0 Minuten)

Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung
Hier klicken, um das Bild zu Vergrößern

Den Administrator-Account konfigurieren

Da die Kennung Administrator ein vorrangiges Ziel von Hackerangriffen ist, jedoch nicht gelöscht werden kann, kann wie folgt vorgegangen werden:

gp  Es sollten so viele Domänenadmin-Kennungen mit unscheinbaren Namen (also nicht (!) admin01 und admin02, sondern z.B. minad01, minad02) angelegt werden, wie es zukünftig Domänenadministratoren geben wird. Durch unterschiedliche Admin-Kennungen kann später nachvollzogen werden, welcher Administrator welche Handlungen vorgenommen hat. Prinzipiell könnte die Admin-Kennung eines Administrators namens Karl Friedrich z.B. kf01 oder auch Benutzer01 heißen. Wenn jedoch ein neuer Administrator die Stelle eines ehemaligen Administrators einnimmt, ist der Verwaltungsaufwand geringer, wenn der neue Administrator mit der alten Kennung weiterarbeiten kann. Das Kennwort muss natürlich sofort durch den neuen Administrator geändert werden. Unscheinbare Admin-Kennungen enthalten keinen Hinweis auf die besonderen Berechtigungen dieser Kennung. Die Kennungen admin01, admin02 und admin03 sind nicht unscheinbar und schnell das Ziel von Hackern.
gp  Die Domänenadministratoren sollten außer ihrer Admin-Kennung eine private Kennung erhalten und nur unter der Admin-Kennung arbeiten, wenn dies zu administrativen Zwecken notwendig ist.
gp  Die Kennung Administrator sollte in eine Kennung umbenannt werden, aus deren Name die besondere Funktion des Administrators nicht mehr hervorgeht. Danach sollte dieser Account gesperrt werden. Unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Lokale Richtlinien · Sicherheitsoptionen kann diese Einstellung über die Domänenrichtlinie Administrator umbenennen zentral vorgenommen werden.
gp  Nach der Umbenennung der Kennung Administrator sollte eine neue Scheinkennung Administrator angelegt werden, damit ein Angreifer auf ein falsches Ziel geführt wird. Dieser Kennung sollten alle Rechte entzogen werden. Sie sollte außerdem aus allen Sicherheitsgruppen entfernt werden. Für diese Scheinkennung sollte ein sehr komplexes Kennwort vergeben werden, und zwar mit der Option, dass der Benutzer das Kennwort nicht ändern kann. Das Scheinkonto Administrator sollte danach gesperrt werden. Mittels Account-Logging sollte überprüft werden, ob und wann versucht wurde, über die neue Scheinkennung Administrator Zugang zur Domäne oder zum lokalen Server zu erhalten.

Alle nicht benötigten Freigaben löschen

Alle Freigaben (z.B. C$, D$), damit sie nicht zum Ziel von Angriffen werden, gelöscht werden.

Berechtigungen auf benötigte Freigaben überprüfen und gegebenenfalls einschränken

Wurden Freigaben wie z.B. Users, Groups, Profiles oder install erstellt, so wird unter Windows Server 2000 standardmäßig die Freigabeberechtigung Full Control mit den Verzeichnisrechten Full Control für die Gruppe Jeder erstellt und auf neu eingerichtete Unterverzeichnisse vererbt. Unter Windows Server 2003 wird der Gruppe Jeder standardmäßig nur das Recht zum Lesen erteilt. Nach Möglichkeit sollte statt der Gruppe Jeder nur die Gruppe Domänen-Benutzer oder eine speziellere Gruppe Zugangsrechte auf Freigaben und Verzeichnisse erhalten. Auf Wurzelverzeichnisse sollte – wann immer möglich – nur das Mindestrecht Lesen vergeben werden.

Access-based Enumeration (ABE) verwenden

Ist Access-based Enumeration installiert und für die Freigaben der Server aktiviert, so werden dem Anwender im Windows-Explorer nur noch diejenigen Verzeichnisse und Dateien aufgelistet, für die er auch Zugriffsrechte besitzt. Alle anderen Ordner und Dateien sind ausgeblendet. Lesen Sie das Kapitel 21, Access-based Enumeration.

Antivirus-Software in der neuesten Version installieren

Ein geeigneter Mechanismus muss gefunden werden, so dass diese Antivirensoftware nach Möglichkeit automatisch auf dem neuesten Stand bleibt, jedoch nicht jeder Server zwecks Update unbeschränkt Zugriff auf die Antiviren-Updateseiten des Herstellers erhält.

Service Packs und Hotfixes nach Test einspielen

Die neuesten Service Packs und Hotfixes zum Betriebssystem und auch zu Anwendungen wie dem Exchange Server sollten nach erfolgreichem Test auf allen Servern eingespielt werden.

Nur streng kontrollierten Computern für Delegierungszwecke vertrauen

Über das Snap-In Active Directory-Benutzer und –Computer kann pro Computer über die Eigenschaften festgelegt werden, ob diesem Computer für Delegierungszwecke vertraut wird. Dieses Auswahlfeld ist standardmäßig deaktiviert. Der Zugang zu Computern, denen für Delegierungszwecke vertraut wird, sollte streng kontrolliert werden. Ihre Anzahl muss stark begrenzt bleiben. So kann die Einführung »trojanischer Pferde« (destruktive Viren) verhindert werden.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Delegierte Benutzerkonten und Smartcard-Verwendung

Über die Eigenschaften des Benutzerkontos kann in der Registerkarte Konto und dort über die Kontooptionen festgelegt werden, ob das Konto delegiert werden kann und ob sich der Benutzer nur über eine Smartcard anmelden kann. Bestimmte Benutzerkonten wie z.B. solche, die zu systemtechnischen Zwecken angelegt werden, sollten nicht delegierbar sein.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Anmeldung auf bestimmte Computer beschränken

Über die Schaltfläche Anmelden kann angegeben werden, dass sich bestimmte Benutzer (z.B. externe Mitarbeiter oder auch Domänenadministratoren) nur an bestimmten Computern anmelden können. Es sollte geprüft werden, ob sich Domänenadministratoren nur an den Servern selbst und an ihren Arbeitsplatzcomputern anmelden können, um das Risiko zu vermindern, dass von beliebigen Computern aus illegal versucht wird, domänenadministrative Tätigkeiten durchzuführen.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Kontoablaufdatum festlegen

Für temporär angelegte Benutzerkonten (externe Mitarbeiter) sollte ein Konto-Ablaufdatum eingetragen werden.

Kerberos-Sicherheitsparameter einstellen

Das Kerberos-Protokoll reduziert die Anzahl der für einen Benutzer erforderlichen Kennwörter und damit das Risiko, dass seine Identität abgefangen wird. Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur erweitern den Anwendungsbereich von Kerberos auf eine umfangreiche Gruppe von Netzwerkressourcen. Kerberos ist standardmäßig in einer Windows-2000/2003-Domäne aktiv und muss nicht installiert oder aktiviert werden. Die Kerberos-Sicherheitsparameter können über die Gruppenrichtlinie Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Kontorichtlinien · Kerberos-Richtlinien gesteuert werden.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Anwenden der Zugriffskontrolllisten

Die Zugriffskontrolllisten (ACLs, Access Control Lists) beschreiben die Sicherheitsgruppen und Einzelpersonen, die auf bestimmte Objekte Zugriff besitzen. Jedem Objekt (z.B. einzelnen Dateien, Ordnern, Druckern) kann über die Registerkarte Sicherheit zugewiesen werden, welche Benutzer oder Sicherheitsgruppen lesende, schreibende oder ausführende Rechte für dieses Objekt erhalten sollen. Nur wenigen Personen oder Personengruppen sollte erlaubt werden, in oberster Hierarchie neue Objekte anzulegen und Zugriffsrechte auf diese neuen Objekte zu erteilen. Ebenso sollte nur wenigen Personen oder Personengruppen das Recht Vollzugriff erteilt werden, über das die Zugriffsrechte verändert werden können.

Zugriffssteuerung über Sicherheitsgruppen

Die Anzahl der Sicherheitsgruppen sollte überschaubar bleiben. Durch hierarchische Gruppenverschachtelung kann erreicht werden, dass auch die Berechtigungsvergabe eindeutig nachvollziehbar bleibt und die Anzahl der Sicherheitsgruppen, in die ein Benutzer zur Erledigung seiner Arbeit einzupflegen ist, überschaubar und eindeutig ist. Ein Beispiel hierzu: Die Sicherheitsgruppe Abteilung 2 – 1 ist Mitglied der Sicherheitsgruppe Abteilung 2. Ein Mitglied von Abteilung 2 – 1 hat automatisch Schreibrechte auf das Gruppenverzeichnis Abteilung 2 – 1 sowie Leserechte auf das Sammelgruppenverzeichnis Abteilung 2.

Zugriffrechte sollen in der Regel keinen Einzelkonten, sondern lokalen Sicherheitsgruppen erteilt werden. Da sich Objektrechte über untergeordnete Hierarchien (Unterverzeichnisse, Sub-OUs) vererben, sollten die vergebenen Rechte restriktiv und nicht großzügig sein. Der Gruppe Jeder sollten nach Möglichkeit die Rechte an oberster Hierarchieebene entzogen werden.

Damit das System der vergebenen Berechtigungen überschaubar bleibt, sollte bei der Anwendung von Gruppenrichtlinien von den Möglichkeiten, die Vererbung zu deaktivieren oder die Überschreibung zu verhindern, nur in Ausnahmefällen Gebrauch gemacht werden.

Daten generell nur auf Dateiservern ablegen

Generell sollen Datenbestände aus Datenschutz- und Sicherheitsgründen nur auf Servern und nicht auf lokalen Festplatten von Workstations oder USB-Sticks gehalten werden, denn nur Server werden regelmäßig gesichert. Ausnahmen bedürfen der Zustimmung durch die IT-Abteilung und/oder des Sicherheitsbeauftragten. Speziell bei Laptop-Benutzern, die regelmäßig offline arbeiten, muss geprüft werden, welche Datenbestände über die Offline-Synchronisation auf lokale Datenträger gelangen und das Firmengelände verlassen dürfen.

Datenverschlüsselung

Unverschlüsselte Daten sind besonders für Unternehmen ein hohes Risiko. Dabei sind es neben Hackerangriffen und gezielter Industriespionage banale Dinge, die vertrauliche Daten in Gefahr bringen:

gp  Ein Mitarbeiter vergisst seinen Laptop oder USB-Stick im Zug.
gp  Arbeitskollegen werfen einen Blick auf Personaldaten, die in einem Ordner auf dem gemeinsam genutzten Server abgelegt sind.
gp  Bei einem Einbruch werden Festplatten gestohlen.
gp  Ausrangierte Computer enthalten Reste vertraulicher Informationen.
gp  Bei einer PC-Reparatur werden sensible Unternehmensdaten kopiert.

Viele Unternehmen haben Bedenken, starke Verschlüsselung einzusetzen. Wie an die Daten kommen, wenn ein Mitarbeiter sein Passwort vergisst oder schlimmer noch verunglückt? Was passiert, wenn ein Mitarbeiter plötzlich das Unternehmen verlässt? Wie bringt man seine Mitarbeiter dazu, sichere, also auch schwieriger zu merkende Passwörter zu verwenden? Wie kann festgelegt werden, wer auf sensible Daten zugreifen darf und wer nicht?

Einzelne Dateien, ganze Datenverzeichnisse auf den Dateiservern sowie auf den Clients können über das verschlüsselte Dateisystem (EFS) gesichert werden. Mittels EFS verschlüsselte Daten kann nur der Benutzer lesen, der sie angelegt hat, und ein Administrator, der im Besitz eines EFS-Wiederherstellungszertifikates ist. Da der Verschlüsselungsmechanismus in das Dateisystem integriert ist, ist sein Verfahren für den Benutzer transparent: Dateien werden ohne besondere Handlungen »on the fly« ver- und entschlüsselt. Bei sensiblen Datenbeständen wie personenbezogenen muss in Absprache mit den Abteilungsverantwortlichen und dem Datenschutzbeauftragten geprüft werden, ob EFS eingesetzt wird. Dies gilt besonders für Datenbestände, die z.B. für Telearbeitsplätze auf den lokalen Festplatten von Computern und Laptops gehalten werden müssen. Es muss jedoch sichergestellt sein, dass verschlüsselte Daten gesichert und zurückgesichert werden können und autorisierte Personen mit entsprechenden Verfahren oder Tools diese Dateien im Notfall wieder zugänglich machen können, wenn der Besitzer der Datei nicht erreichbar ist und sein Kennwort nicht bekannt ist. Das Tool EFSinfo, das zusammen mit der Komponente Security Tools vom Microsoft Windows Server Resource Kit installiert werden kann, zeigt die Verschlüsselungsinformationen für ein angegebenes Verzeichnis oder eine Datei an und gibt z.B. Auskunft, wer die Verschlüsselung vorgenommen hat.

Auf der Buch-DVD finden Sie im Verzeichnis Sicherheit den Testbericht »Test – Tools zur Festplattenverschlüsselung.pdf«. Getestet wurden die Produkte Utimaco Safe Guard Easy 4.11, Steganos Safe Professional 2006 und Exlade Disk Password Protection 4.5.115 Im Verzeichnis Tools\Steganos Safe Professional der Buch-DVD finden Sie eine Testversion von Steganos Safe Professional. In Steganos Safe Professional 2006 kann der Administrator über Gruppenrichtlinien die Datenverschlüsselung auf Endgeräten verwalten. So kann die Mindestqualität von Passwörtern voreingestellt werden, was sicherstellt, dass alle Anwender Passwörter einer bestimmten Sicherheitsstärke benutzen. Außerdem kann bei der Installation die Emergency Decription Key-Funktionalität aktiviert werden, über die der Administrator auch dann bei Schlüsselverlust wieder Zugriff auf die Daten erhält, wenn der Anwender das Passwort des Safes vergessen hat. Mit dem Add-On Portable Safe lassen sich USB-Sticks verschlüsseln.

IP-Sicherheit und virtuelle private Netzwerke

Der Datenverkehr zwischen einzelnen Computern (z.B. Servern) einer oder mehrerer Domänen kann durch das Sicherheitsprotokoll IPSec zusätzlich gesichert werden. IPSec bietet Sicherheit gegen die Manipulation und das Abfangen von Daten sowie gegen Replay-Angriffe. Auch innerhalb eines Intranets können virtuelle private Netzwerke (VPNs) in Zusammenarbeit mit IPSec den sensiblen Datenverkehr zusätzlich schützen.

Einsetzen sicherer Anwendungen

Das Musterbeispiel einer Anwendung, die Sicherheitsüberlegungen nicht berücksichtigt, ist eine Anwendung, die Kennwörter unverschlüsselt über das Netzwerk überträgt. Eine sichere Umgebung benötigt sichere Anwendungen.

Software, die aus dem Internet heruntergeladen wird, kann nicht autorisierte Programme und Viren enthalten. Im Microsoft Internet Explorer kann festgelegt werden, welche Internetseiten als vertrauenswürdig eingestuft werden und ob nicht signierte ActiveX-Steuerelemente heruntergeladen und ausgeführt werden dürfen. Über Gruppenrichtlinien kann festgelegt werden, wie die Sicherheit des Microsoft Internet Explorers konfiguriert sein soll und welche Manipulationsmöglichkeiten der Anwender an diesen Voreinstellungen haben soll. Ebenso kann über Gruppenrichtlinien die Sicherheit von Outlook beim Empfang von Nachrichten, speziell mit Anhang, eingestellt und verhindert werden, dass der Anwender diese Einstellungen lockern kann.

Optionen der Wiederherstellungskonsole festlegen

Unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Lokale Richtlinien · Sicherheitsoptionen können in den Gruppenrichtlinien folgende Richtlinien für alle Server zentral eingestellt werden:

gp  Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen
gp  Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf Laufwerke und alle Ordner zulassen

Es sollte geprüft werden, ob diese Richtlinien für die Server aktiviert werden, da nur durch die Aktivierung dieser Richtlinien im Notfall alle Möglichkeiten der Wiederherstellungskonsole voll genutzt werden können, um einen defekten Server wieder startfähig zu machen.

Lokale Anmeldung ohne verfügbaren Domänencontroller unterbinden

Über Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Lokale Einstellungen · Sicherheitsoptionen kann die Richtlinie Anzahl zwischenzuspeichernder vorheriger Anmeldungen auf 0 gesetzt werden, so dass eine lokale Anmeldung ohne Verbindung zu einem den Anwender verifizierenden Domänencontroller mittels eines zwischengespeicherten Profils nicht möglich ist. Mögliche Werte für diese Richtlinie liegen zwischen 0 und 50 und bestimmen die Anzahl der Anmeldungen, die ohne Serververbindungen möglich sind. Standardmäßig sind zehn Anmeldungen ohne Serververbindung möglich. Kann jedoch für den Anmeldevorgang kein Kontakt zu einem Domänencontroller hergestellt werden, weil die Domänencontroller ausgefallen oder überlastet sind, so ist ein effektives Arbeiten in der Regel nicht möglich, weil Dateibestände auf den Dateiservern und der E–Mail-Server nicht erreichbar sind, Anwendungsserver wie der SAP-Host nicht kontaktiert und zentrale Serververzeichnisse für Briefformatvorlagen und Netzdrucker nicht zugewiesen werden können. Kann sich der Anwender trotzdem mittels eines zwischengespeicherten Profils anmelden, so ist er anschließend verwirrt, weil seine Netzlaufwerke nicht verfügbar sind und seine Anwendungen sich anders als üblich verhalten. Es besteht die Gefahr, dass er mit Office-Anwendungen Dokumente erstellt und diese dann lokal statt auf dem Dateiserver abspeichert. Durch die lokale Speicherung von Dokumenten werden dann aber nicht nur Vereinbarungen zum Datenschutz unterlaufen, lokal gehaltene Dokumente fließen in der Regel auch nicht in die nächtliche Sicherung ein. Außerdem müssen alle Anwender nach dem Beheben des Fehlers am Domänencontroller informiert werden, dass sie sich neu anmelden, um fehlerfrei weiterarbeiten zu können.

Der Vorteil, dass einzelne Anwender bei Ausfall der Domänencontroller mit großen Einschränkungen temporär lokal weiterarbeiten können, steht in einem negativen Verhältnis zu den Nachteilen. Deshalb sollte die Möglichkeit der lokalen Anmeldung ohne Netzverbindung prinzipiell unterbunden werden.

Verwalten der Administration

Für Nicht-Domänenadministratoren sollten spezielle MMCs erstellt und zugewiesen werden, die genau auf die administrativen Aufgaben dieser Mitarbeiter zugeschnitten sind und verhindern, dass diese Administratoren Bereiche der Domäne sehen oder gar manipulieren, für die sie nicht verantwortlich sind. Über ein Administrationskonzept sollte festgelegt werden, welche Benutzer berechtigt sind, in welchen Organisationseinheiten des Active Directory welche Objekte (Benutzerkonten, Computerkonten, Sicherheitsgruppen, untergeordnete OUs usw.) zu verwalten. Ebenso sollte das Administrationskonzept eindeutig bestimmen, wer Gruppenrichtlinien konfigurieren darf.
 << zurück
  
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchtipps
Zum Rheinwerk-Shop: Windows Server 2012 R2






 Windows Server
 2012 R2
Zum Rheinwerk-Shop: Office 365






 Office 365
Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V
Zum Rheinwerk-Shop: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker
Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren
 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo



Copyright © Rheinwerk Verlag GmbH 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern