Professor Windows - Februar 2003

Sie können bei der Konfiguration Ihres Domänencontrollers mehr Sicherheit erzielen, wenn Sie Sicherheitsvorlagen verwenden. Dabei handelt es sich um Dateien, die relativ eingeschränkte Konfigurations- und Gruppenrichtlinieneinstellungen enthalten. Diese Vorlagen dienen als nützliche Ausgangsbasis, bieten jedoch in manchen Fällen keine angemessene Sicherheit. Sie sollten diese Vorlagen vor der Anwendung auf Produktionsservern testen, um zu verhindern, dass durch die Konfiguration des Domänencontrollers die Funktionalität beeinträchtigt wird. Im Handbuch für den sicheren Betrieb von Microsoft Windows 2000 Server (Windows 2000 Security Operations Guide) finden Sie Beispielsicherheitsvorlagen. Die Sicherheitsvorlageneinstellungen werden im Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations (englischsprachig) ausführlich behandelt.

Seit Windows 2000 Service Pack (SP) 3, Windows XP SP1 und Windows Server 2003 RC1 wird der gesamte LDAP-Verkehr (Light Weight Directory Access Protocol) an AD signiert und versiegelt, auch wenn Sie täglich mit Ihren Active Directory-MMC-Snap-Ins arbeiten. Dieser Vorgang wird bei der Aktualisierung von Windows 2000-Servern auf SP3 oder der Verwendung von Windows Server 2003-Domänencontrollern automatisch aktiviert. Die Aktualisierung von Windows 2000/XP-Computern auf das jeweilige Service Pack wird empfohlen, damit der gesamte LDAP-Verkehr signiert und versiegelt werden kann.

Kennwörter bieten nur eine relativ geringe Sicherheit von Informationsdaten. Um Ihre Kennworthashes besser zu schützen, können Sie das relativ schwache LM-Hash (LanMan) aus Active Directory und den Sicherheitskonten-Manager (Security Account Manager oder SAM) durch Einstellung des Registrierungsschlüssels auf den Domänencontrollern entfernen. Sie können das LM-Hash deaktivieren, indem Sie

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash

auf 1 (Aktiviert) festlegen. (P.S.: Windows Server 2003 implementiert diese Einstellungen als Gruppenrichtlinie.) Achten Sie darauf, dass das LM-Hash für ein Benutzerkonto erst entfernt wird, wenn der Benutzer sein Kennwort das nächste Mal ändert. Diese Schlüsseleinstellung muss mit einer Kennwortänderung für alle Benutzer einhergehen. Stellen Sie sicher, dass alle Benutzer ihre Kennwörter geändert haben. Im TechNet Script Center finden Sie ein Skript, mit dem Sie die Benutzerkennwörter in einem Schritt zurücksetzen können.

Nachdem die oben angegebenen Einstellungen (NoLMHash) vorgenommen wurden, versuchen Windows 9x-Clients weiterhin, LM- und NTLM-Antworten zu senden - unabhängig von der auf dem Server angegebenen Einstellung. Sie können auf Clientseite verhindern, dass die LM-Antwort über das Netzwerk gesendet wird. Installieren Sie den DS-Client für Windows 9x, und legen Sie den folgenden Schlüssel fest:

HKLM/SYSTEM/CurrentControlSet/Control/Lsa/LMCompatibilityLevel

Die Werte für diesen Registrierungsschlüssel lauten wie folgt:

Damit nur NTLMv2 verwendet wird, müssen Sie den Wert für diesen Registrierungsschlüssel auf 5 festlegen.

Windows 2000/XP-Arbeitsstationen können Kerberos-basierte Authentifizierungen für Active Directory durchführen. Kompatible Clients verwenden für die Aushandlung standardmäßig NTLM. Sie können für die früheren Versionen von Clients die Authentifizierung mit NTLMv2 erzwingen (Windows 95/98/NT), damit der Sitzungsschlüssel verschlüsselt wird und bei der Authentifizierung eine höhere Sicherheit gewährleistet ist als mit NTLM. Weitere Informationen hierzu finden Sie unter 239869: Aktivieren der NTLM 2-Authentifizierung für Windows 95/98/2000 und NT.

Stellen Sie sicher, dass auf den Computern die jeweils erforderlichen neuesten Sicherheitsfixes installiert sind. Die Verteilung von Patches und Updates kann mit Hilfe von Microsoft Systems Management Server (SMS) bzw. Microsoft Systems Management Server (SMS) (englischsprachig) und anderen Tools erfolgen. Sie können auch Microsoft Software Update Services (SUS) (englischsprachig) verwenden, um die Verteilung wichtiger Sicherheitsupdates an Domänenmitglieder zu automatisieren.

Verwenden Sie die Option "Für Delegierungszwecke vertraut" mit Bedacht. Bei dieser Konfiguration kann ein Computer eine delegierte Authentifizierung durchführen und auf einem anderen Computer in der Domäne jeden beliebigen Dienst ausführen.

Für eine höhere Sicherheit sollten Sie in jedem Fall eine Smartcardanmeldung für Administratoren erzwingen.

Durch eine vereinfachte Kontoverwaltung können Sie eine optimale Abstimmung zwischen Internet Security and Acceleration (ISA) Server bzw. Internet Security and Acceleration (ISA) Server (englischsprachig) und Active Directory erzielen und die Firewall/VPN-Benutzer mit den Domänenkonten zusammenführen. Active Directory wurde auch für die Check Point-VPN- und Firewall-Integration zertifiziert. Weitere Informationen finden Sie unter http://www.checkpoint.de/ bzw. http://www.opsec.com/ (englischsprachig).

Stellen Sie sicher, dass Ihre Kontorichtlinien eine hohe Sicherheit gewährleisten: Vermeiden Sie nach Möglichkeit anonyme Anmeldungen, erzwingen Sie sichere und komplexe Kennwörter mit einer Mindestanzahl an Zeichen usw. Diese Einstellungen werden in der Anleitung Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations (englischsprachig) ausführlich beschrieben.

Bei der Replikation von Domänencontrollern mit Hilfe von Remoteprozeduraufrufen (Remote Procedure Calls oder RPCs) möchten Sie möglicherweise die Anzahl der für diesen Vorgang verwendeten Ports begrenzen, insbesondere hinter Firewalls bei einer WAN-Konfiguration. Die RPC-Replikation wird für die RPC-Endpunktzuordnung (Port 135), die einen hohen Port zwischen 1024 und 65535 auswählt, dynamisch ausgeführt. Sie können die Anzahl der Ports, die geöffnet werden müssen, deutlich verringern, indem Sie den Domänencontroller auf die Verwendung eines speziellen Ports für Active Directory-RPC-Universal Unique Identifier (UUID) festlegen. Hierfür können Sie unter dem folgenden Registrierungsschlüssel einen DWORD-Wert namens TCP/IP Port hinzufügen:

HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\NTDS\Parameters

Bei dem Wert dieses neuen DWORD-Schlüssels sollte es sich um die spezielle Portnummer handeln, die Sie für die Active Directory-RPC-Replikation verwenden möchten. Sie haben auch die Möglichkeit, mit Hilfe von IP-Sicherheit (IP Security oder IPSec) alle (oder bestimmte) Ports und den Verkehr zwischen Domänencontrollern zu verschlüsseln. Weitere Informationen zu den Optionen bei Verwendung von Active Directory und segmentierten, durch Firewalls getrennten Netzwerken finden Sie unter http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/adsegment.asp (englischsprachig).

Schränken die Anzahl der Mitglieder in Active Directory-Gruppen ein, für die eine hohe Sicherheitsstufe erforderlich ist, wie z.B. für die Gruppen Organisations-Admins oder Schema-Admins.

Auch wenn Active Directory DNS-Dienste unterschiedlicher DNS-Servertypen verwenden kann, die SRV-Einträge unterstützen, sollten Sie mit Windows 2000-DNS-Servern arbeiten, die Active Directory-integrierte Zonen verwenden. Beim Einsatz von AD-integrierten Zonen werden DNS-Informationen in Active Directory gespeichert, anstatt in Textdateien. So werden sichere dynamische Updates ermöglicht, und Sie können steuern, wer eine DNS-Registrierung ausführen kann.

Active Directory bietet fein abgestimmte Berechtigungen, die pro Objekt bis hin zur Eigenschaftsebene angewendet werden können. Mit Hilfe dieser Optionen können Sie die Delegierung der Active Directory-Verwaltung planen.

Mit den Einstellungen für Anmeldezeiten können Sie für Benutzer eine begrenzte Nutzungszeit festlegen. Sie können für Benutzer auch die Anmeldung nur an bestimmten Arbeitsstationen zulassen. Diese Optionen können bei der Bearbeitung der Benutzereigenschaften mit Hilfe des MMC-Snap-Ins für Active Directory-Benutzer und -Computer oder mit Hilfe von Skripts festgelegt werden. (Einige nützliche Skripts für die Änderung von Benutzer- und Gruppeninformationen finden Sie im TechNet Script Center (englischsprachig)).

Mit dem Verbindungs-Manager-Verwaltungskit können Sie benutzerdefinierte DFÜ-Verbindungseinstellungen für RAS-Benutzer (Remote Access Services) erstellen und RAS-Richtlinien in Active Directory z.B. zur Überprüfung der Anruferkennung einsetzen.

Die Überwachung der Kontoverwaltung und der Anmeldungen ist zwar wichtig, noch wichtiger ist jedoch die Überprüfung der Überwachungsprotokolle, um auf bestimmte Ergebnisse proaktiv reagieren zu können. Sie haben mehrere Möglichkeiten, in der Ereignisanzeige nach relevanten Ereignissen zu suchen, Produkte wie Microsoft Operations Manager (MOM) bzw. Microsoft Operations Manager (MOM) (englischsprachig) und andere vereinfachen diese Aufgabe jedoch erheblich. Mit diesen Tools werden die Ereignisse aller Domänencontroller und/oder andere Server in einem "Unternehmensprotokoll" gesammelt und als Reaktion auf die Ereignisse benutzerdefinierte Aktionen ausgeführt.