Laut Microsoft ist Windows Server 2003 das sicherste Betriebssystem, das man je in Redmond compiliert hat. Diese Aussage lässt sich nicht ganz von der Hand weisen, denn die Basis-Sicherheit eines mit Standardeinstellungen installierten Servers wurde im Vergleich zu Windows 2000 deutlich erhöht. Aber auch die Angriffe auf Windows-Server, sei es aus dem Internet oder aus dem eigenen Unternehmensnetz heraus, nehmen ständig zu. Deshalb ist es auch bei Windows 2003 wichtig, bereits auf Betriebssystemebene ein möglichst hohes Maß an Sicherheit zu erreichen.
Das ist gar nicht so einfach, denn bei den zahlreichen sicherheitsrelevanten Konfigurationsoptionen fällt es auch erfahrenen Windows-Administratoren schwer, den Überblick zu behalten. Die Zahl der möglichen Sicherheitseinstellungen hat Microsoft beim Windows Server 2003 nochmals deutlich gesteigert. Allein bei den Gruppenrichtlinien sind über 150 neue Parameter hinzugekommen. Damit Administratoren bei der Security-Konfiguration nicht auf Verdacht handeln müssen, hat Microsoft zwei umfangreiche Dokumente veröffentlicht, die Ihnen einen Security-Leitfaden an die Hand geben.
Orientierung mit Security-Guides
Der "Windows Server 2003 Security Guide" liefert auf rund 300 Seiten konkrete Empfehlungen für die Konfiguration der Windows-2003-Sicherheitseinstellungen. Er behandelt sowohl die Systemdienste als auch die Richtlinien und kritische Registry-Settings. Als Ergänzung dient der "Threats and Countermeasures Guide", der zwar keine Ratschläge gibt, dafür aber die verschiedenen Optionen sehr ausführlich beschreibt. Die Download-Links zu beiden Guides finden Sie in den "Links zum Beitrag".
Im Security-Guide gibt Microsoft eine Basiskonfiguration für unterschiedliche Servertypen und Netzwerkumgebungen vor. Dabei werden drei Sicherheitsstufen zugrunde gelegt, für die bei vielen Optionen unterschiedliche Einstellungen gelten:
Die Empfehlungen für Legacy Clients ("Umgebung Kompatibel") stellen sicher, dass auch Windows-98- und NT-4.0-Systeme alle Server-Funktionen nutzen können.
Das Enterprise-Client-Szenario ("Umgebung Unternehmenssicherheit") geht davon aus, dass auf den im Netzwerk vorhandenen Rechnern mindestens Windows 2000 installiert ist.
Wenn Sie für Ihr Unternehmen die High-Security-Vorgaben ("Umgebung Hochsicher") wählen, sollten Sie beachten, dass damit zahlreiche Funktionen nur eingeschränkt oder gar nicht zur Verfügung stehen.
Domänenweite Vorgaben
In allen drei Umgebungen ist den Domänen-Controllern (DC) besondere Aufmerksamkeit zu widmen. Deshalb beschreibt der Security-Guide gleich zu Beginn die wichtigsten Einstellungen, die auf DC-Ebene vorgenommen werden sollten. Die Domain-Policy stellt sicher, dass die hier konfigurierten Settings für alle Server in der jeweiligen Domäne gelten.
Microsoft empfiehlt, dass Sie die folgenden Richtlinien-Bereiche domänenweit vorgeben:
Kontorichtlinien (Account Policies)
Kennwortrichtlinien (Password Policy)
Kontosperrungsrichtlinien (Account Lockout Policy)
Kerberos-Richtlinie (Kerberos Policy)
Der Guide nennt für alle Bereiche die Einstellungen, die Sie für jedes der drei Security-Levels vornehmen sollten.
Die Sicherheitsoptionen (Security Options) der Windows-2003-Richtlinien umfassen die Policies für die verschiedenen Server-Typen. Diese gelten nicht domänenweit, sondern nur für die jeweiligen Server. Sie enthalten aber zwei Richtlinien, die Sie für die gesamte Domäne konfigurieren sollten. Es handelt sich dabei um:
Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird (Microsoft network server: Disconnect clients when logon hours expire). Dieser Parameter sollte aktiviert sein.
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen (Network Access: Allow anonymous SID/NAME translation). Dieser Parameter sollte deaktiviert sein.
Wenn Sie diese beiden Einstellungen über die Domain Policy vorgeben, stellen Sie sicher, dass sie auf allen Servern korrekt konfiguriert sind.
Server-Security: Baseline und Spezialtypen
Nachdem Sie die domänenweit gültigen Richtlinien aktiviert haben, geht es daran, die für alle Server gültige "Member Server Baseline" einzurichten. Sie wird per Group Policy auf die Server verteilt und bildet die Basis für die darauf aufsetzenden typspezifischen Sicherheitseinstellungen. Der Security Guide beschreibt für folgende Servertypen die jeweils am besten geeigneten Settings:
Domain Controller
Infrastrukturserver
Fileserver
Printserver
IIS-Server
IAS-Server
Certificate Server
Bastion Host
Welche Einschränkungen Sie hinnehmen müssen, wenn Sie einen Windows-2003-Server für höchste Sicherheit konfigurieren, sehen Sie an den strengen Vorgaben für Bastion Hosts. Unter anderem lassen sie sich nicht mehr aus der Ferne verwalten.
Bei Bastion Hosts handelt es sich meist um öffentlich zugängliche Webserver. Aufgrund ihrer exponierten Stellung sollten diese Systeme nicht Mitglied einer Windows-Domäne sein, sondern als Standalone-Server arbeiten. Deshalb ist es nicht möglich, die vom Security Guide empfohlenen Sicherheitseinstellungen per Group Policy vom Domänen-Controller aus zu verteilen. Stattdessen müssen Sie die Settings per Security-Template auf jedem Server lokal einspielen.
Wenn Sie einen Server als Bastion Host konfigurieren möchten, sollten Sie auf jeden Fall zuerst ein Backup durchführen. Denn ist das System erst einmal abgeschottet, gibt es nur schwer einen Weg zurück.
Arbeitshilfen: Excel-Sheets und Templates
Als Ergänzung zum Security Guide liefert Microsoft unter anderem die Security Templates für alle darin definierten Server-Rollen. Wählen Sie einfach die Vorlage, die Ihren Sicherheitsanforderungen am besten entspricht, und verbinden Sie diese mit dem Group Policy Object für die Domäne beziehungsweise die jeweilige Server-OU (Organizational Unit). Am einfachsten lassen sich die Security-Settings verwalten, wenn Sie für jeden Server-Typ im Active Directory eine eigene OU erstellen.
Darüber hinaus umfasst der Guide auch Testskripts, die unter anderem mithilfe des Kommandozeilen-Tools Netsh verschiedene IPSec-Paketfilter einrichten können. Um die Vorgaben des Security Guide an die eigenen Anforderungen anzupassen und gleichzeitig zu dokumentieren, liefert Microsoft eine Excel-Vorlage mit. Sie listet alle sicherheitsrelevanten Optionen, die sich mit den Security-Snap-Ins von Windows verwalten lassen, sowie Vorschläge für die Konfiguration der Windows-Dienste. Auch hier bestehen viele Verbesserungsmöglichkeiten.
Dienstekonfiguration optimieren
Das Setup von Windows Server 2003 richtet die Dienste zunächst mit den Standardeinstellungen ein. Im Vergleich zu Windows 2000 hat Microsoft die Sicherheit deutlich erhöht, indem besonders kritische Komponenten wie der Internet Information Server oder der WWW-Publishing-Dienst bei der Basisinstallation erst gar nicht eingerichtet werden. Zudem sind viele Dienste zunächst deaktiviert und müssen explizit freigeschaltet werden.
Trotzdem lohnt es sich bei Windows 2003 nach wie vor, einen genaueren Blick auf die Dienstekonfiguration zu werfen: Viele Services sind nur für spezielle Funktionen erforderlich. Wenn Sie die nicht benötigten Dienste deaktivieren, schlagen Sie zwei Fliegen mit einer Klappe: Zum einen erhöhen Sie die Sicherheit Ihres Systems, indem Sie die potenziellen Angriffspunkte reduzieren. Zum anderen profitieren Sie von einer besseren Performance, da jeder aktive Dienst Systemressourcen verbraucht.
So belegt zum Beispiel der DFS-Service für das Distributed File System schnell 3 MByte Ihres Arbeitsspeichers, auch wenn Sie diese Funktion gar nicht nutzen. Der Druckwarteschlange-Dienst von Microsoft verschlingt sogar rund 5 MByte, ohne dass Druckaufträge abgearbeitet werden. Wenn Sie an einem Server keinen Drucker angeschlossen haben, können Sie Ihren Arbeitsspeicher optimieren, indem Sie diesen Dienst deaktivieren. Je nach den benötigten Funktionen lassen sich auf diese Weise viele Megabyte RAM freischaufeln.
Der Windows Server 2003 Security Guide liefert zu allen Services, die standardmäßig installiert werden, eine kurze Beschreibung und erklärt, für welche Aufgaben sie zuständig sind. Gleichzeitig sagt der Guide Ihnen, welche Einstellungen Sie für die Legacy-Client-, Enterprise-Client-, oder High-Security-Umgebung vornehmen sollten, um die Sicherheit Ihres Servers zu erhöhen.
Angriffspunkte reduzieren
Falls Ihnen die knapp gehaltenen Erläuterungen dieses Guides nicht ausreichen, können Sie zum "Threats and Countermeasures Guide" von Microsoft greifen. Er umfasst ebenfalls rund 300 Seiten und beschreibt relativ ausführlich die Vor- und Nachteile der verschiedenen Services und Sicherheits-Settings sowie die potenziellen Bedrohungen, die damit verbunden sind. Damit verfügen Sie über die wichtigsten Informationen, um potenzielle Angriffsflächen zu reduzieren.
Das Dokument behandelt alle sicherheitsrelevanten Einstellungen, die Sie im MMC-Snap-In "Gruppenrichtlinienobjekt-Editor" von Windows 2003 finden. Der Guide erläutert verschiedene Registry-Einstellungen, um die Netzwerk-Settings zu härten, beschreibt die Konfiguration der Internet Connection Firewall und stellt Maßnahmen vor zur Sicherung von:
NTFS
Benutzerkonten
Netzwerkprotokollen wie NetBIOS, SMB und SNMP
IPSec
Terminal-Service-Ports
Eine intensive Beschäftigung mit diesem Guide lohnt sich insbesondere, wenn Sie für Ihre Server eine möglichst "wasserdichte" Sicherheit anstreben. Mit den darin genannten Gegenmaßnahmen lassen sich Windows-2003-Systeme in allen wichtigen Bereichen besser vor potenziellen Angriffen schützen.
Registry manipulieren
Der "Threats and Countermeasures Guide" nennt auch verschiedene Registry-Schlüssel und -Werte, die nicht in den .adm-Dateien von Windows 2003 enthalten sind. Diese Dateien finden Sie im Verzeichnis %root%\\WINDOWS\\inf. Um die zusätzlichen Registry-Settings auf Ihrem Server zu aktivieren, müssen Sie die Datei sceregvl.inf wie im Guide beschrieben manipulieren. Wenn Sie nun ein Security-Template einspielen, wird die Registry automatisch geändert.
Besonders wichtig ist dabei das Hardening der TCP/IP-Parameter. Sie lassen sich so konfigurieren, dass es Angreifer zumindest deutlich schwerer haben.
Schutz vor Angriffen
Wenn Sie die Datei sceregvl.inf wie beschrieben anpassen, können ICMP-Redirects keinen Schaden mehr anrichten. Zudem werden Abwehrmaßnahmen gegen SYN-Attacken und die standardmäßig abgeschaltete Funktion DeadGWDetect aktiviert. Um die Sicherheit zu erhöhen, schaltet das TCP/IP-Hardening auch die Funktion EnablePMTUDiscovery aus. Damit wäre es möglich, die MTU -Paketgröße automatisch zu erkennen. Die KeepAliveTime wird von zwei Stunden auf fünf Minuten herunter gesetzt, um Denial-of-Service-Attacken den Wind aus den Segeln zu nehmen.
Vor Angriffen per Source-Routing schützen Sie sich, indem Sie den Registry-Wert DisableIPSourceRouting auf "2" setzen. Damit werden alle auf dem Server eintreffenden Source-Routing-Pakete automatisch verworfen. Weitere Hardening-Einstellungen betreffen die Parameter TcpMaxConnectResponseRetransmissions, TcpMaxDataRetransmissions, PerformRouterDiscovery sowie TCPMaxPortsExhausted.
Der "Threats and Countermeasures Guide" enthält viele weitere wertvolle Hinweise. Zum Beispiel reicht es nicht, NetBIOS zu deaktivieren, wenn aus Sicherheitsgründen die SMB-Kommunikation verhindert werden soll. Denn wenn SMB auf keine Standard-NetBIOS-Ports zugreifen kann, verwendet das Protokoll den TCP-Port 445. Dieser wird auch bezeichnet als SMBDirect Host Port oder als Common Internet File System Port (CIFS). Um sowohl NetBIOS als auch SMB zu deaktivieren, müssen Sie die folgenden Ports abschalten:
UDP/137 - NetBIOS Name Service
UDP/138 - NetBIOS Datagram Service
TCP/139 - NetBIOS Session Service
TCP/139 - SMB
TCP/445 - SMB
Sicherheit erhöhen mit IPsec
Mit IPSec steht ein wirksames Instrument zur Verfügung, um den TCP/IP-Traffic zu überwachen und zu kontrollieren. Das Protokoll erkennt Datenpakete anhand ihrer Source- und Destination-IP-Adresse, aufgrund des IP-Protokoll-Typs oder der TCP- und UDP-Ports. Dadurch eignet sich IPSec-Filtering dafür, den Datenverkehr zu überwachen und schädliche IP-Pakete zu blockieren.
Für die Konfiguration von IPSec stellt Windows 2003 ein eigenes MMC-Snap-In zur Verfügung. Zudem können Sie mit dem Befehlszeilen-Tool Netsh IPSec feststellen, welche IPsec-Policy-Filter auf einem Computer wirksam sind. (mha)