Sichern von WLANs mit PEAP und Kennwörtern
Kapitel 3: Vorbereiten der Umgebung
Alle Themen der Sicherheitsanleitung anzeigen Auf dieser SeiteÜbersichtDieses Kapitel unterstützt Sie dabei, Ihre IT-Umgebung für die Bereitstellung der WLAN-Sicherheitsinfrastruktur vorzubereiten. Die Vorbereitung der Umgebung umfasst folgende Hauptaufgaben:
Voraussetzungen für das KapitelBevor Sie mit diesem Kapitel fortfahren, sollten Sie sich mit der Architektur und dem Design dieser Lösung, wie in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, beschrieben, gründlich vertraut machen. Darüber hinaus sollten Sie mit der Installation und Administration von Microsoft Windows® 2000 Server oder Microsoft Windows Server™ 2003 vertraut sein. Entsprechende Kenntnisse in folgenden Bereichen sind ebenfalls hilfreich:
Grundvoraussetzungen und Annahmen für die IT-InfrastrukturDas vorliegende und die übrigen Kapitel dieser Anleitung basieren auf folgenden Annahmen in Bezug auf Ihre IT-Infrastruktur, die allerdings zum Teil mit dieser Lösung implementiert werden. Viele Annahmen sind keine starren Voraussetzungen. Sind gültige alternative Konfigurationen vorhanden, werden diese in der Anleitung erwähnt.
Die Lösung wurde zwar für dieses bestimmte Profil entworfen, der Basisentwurf lässt sich jedoch auch an zahlreiche andere Konfigurationen, wie Zweigstellen mit Domänencontrollern oder Installation in Mehrfachdomänen-Gesamtstrukturen, anpassen. Auf die Möglichkeit alternativer gültiger Konfigurationen wird in dieser Anleitung entsprechend hingewiesen. Vorbereiten auf die ImplementierungErforderliche BerechtigungenUm die in diesem Kapitel angegebenen Schritte auszuführen, müssen Sie ein Konto verwenden, das Mitglied der Administratorengruppe für die Domäne ist, die die Server enthält. Standardmäßig ist das integrierte Administratorkonto der Domäne ein Mitglied der Administratorengruppe. Sie können jedoch jedes beliebige Konto verwenden, das Mitglied dieser Gruppe ist. Hinweis: Diese Anleitung geht von der Annahme aus, dass Sie die Zertifikatdienste und den Internetauthentifizierungsdienst (IAS) auf einem Domänencontroller installieren. Wenn Sie diese Dienste auf Servern installieren, die keine Domänencontroller sind, muss das dazu verwendete Konto nur ein Mitglied der lokalen Administratorengruppe der einzelnen Server sein. Erforderliche ToolsZum Ausführen der in diesem Kapitel angegebenen Schritte benötigen Sie folgende Tools: Tabelle 3.1: Erforderliche Tools
Installieren der LösungstoolsZahlreiche Skripte und Tools sind im Lieferumfang dieser Anleitung enthalten, um die Konfiguration und den Betrieb dieser Lösung zu vereinfachen. Installieren Sie diese Skripte und Tools auf jedem IAS-Server. Einige der Skripte werden auch während des laufenden Betriebs benötigt (wie in Kapitel 8, Verwalten der sicheren WLAN-Lösung, beschrieben). Daher sollten diese Skripte nach erfolgter Installation nicht gelöscht werden. Standardmäßig werden die Skripte im Ordner C:\Programme\Microsoft\Microsoft WLAN-PEAP Tools installiert. So installieren Sie die Skripte und Tools auf jedem Server
Um den Zugriff auf die Skripte zu erleichtern, können Sie eine Verknüpfung erstellen, um eine Befehlsshell in dem Ordner zu öffnen, in dem die Skripte gespeichert sind. So erstellen Sie eine Verknüpfung zu den MSS WLAN-Tools
Arbeiten mit den SkriptenDie Skripte sind in Windows Scripting Host in der VBScript-Sprache geschrieben. Alle Skripte funktionieren auf ähnliche Weise. Führen Sie die Skripte nicht direkt aus, sondern verwenden Sie dazu die beiden Batchdateien MSSSetup.cmd und MSSTools.cmd. Die Batchdateien vereinfachen die Syntax der Skripte. Die meisten Skripte verwenden einen einzelnen Parameter, der die auszuführende Funktion angibt. Einige Skripte verwenden zusätzliche Parameter, die bei Bedarf in der Anleitung erklärt werden. Die Skripte werden von einer Befehlsshell von dem Ordner aus ausgeführt, in dem sie installiert sind, wobei das aktuelle Arbeitsverzeichnis auf den Installationsordner der Tools festgelegt ist. Die Skripte führen zu folgenden unterschiedlichen Ausgaben:
Einrichten der Netzwerk- und VerzeichnisinfrastrukturKonfigurieren des NetzwerksVerbinden Sie die Komponenten mit dem Netzwerk, wie in der folgenden Abbildung dargestellt bzw. wie den besonderen Anforderungen Ihres Netzwerks entsprechend erforderlich. Die Abbildung zeigt die einfachste Konfiguration, bei der die IAS-Server, die Zugriffspunkte und die übrigen Komponenten des internen Netzwerks mit demselben LAN verbunden sind. In größeren Installationen ist das Netzwerk in der Regel in mehrere virtuelle LANs (VLANs) segmentiert, die über Router oder Schicht-3-Switches verbunden sind. Die genaue Konfiguration hängt sehr stark von den individuellen Anforderungen Ihres Unternehmens ab. Eine ausführliche Erörterung dieses Themas würde den Rahmen dieser Anleitung allerdings sprengen. Weitere Informationen über die Netzwerkkonfiguration für eine WLAN-Infrastruktur finden Sie im Kapitel Deploying Wireless LANs des Windows Server 2003 Deployment Kit (auf Englisch). Konfigurieren des IP-NetzwerksDie Lösung ist weitgehend unabhängig von der Anordnung des VLAN und des Subnetzes. Wie in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, beschrieben, können Sie die Drahtlosclients auf einem anderen VLAN installieren als das übrige Netzwerk. Diese Lösung wurde allerdings nur für den einfachsten Fall getestet, d. h. der Standort ist vorgegeben, die Drahtlosclients werden auf demselben LAN platziert wie das übrige Netzwerk und verwenden das gleiche IP-Subnetz. Wenn die Drahtlosclients auf einem separaten VLAN platziert werden sollen, müssen Sie den Clients ein separates IP-Subnetz zuweisen und das Drahtlos-VLAN über einen Router oder einen Schicht-3-Switch mit dem übrigen Netzwerk verbinden. Bei komplexeren Umgebungen ist es von Vorteil, an jedem physischen Standort separate Subnetze für die WLAN-Clients zu konfigurieren. Vorteile:
DHCPDen WLAN-Clients müssen IP-Adressen und IP-Netzwerkinformationen zugewiesen werden. Diese Lösung verwendet dazu den Windows-DHCP-Dienst. Aus diesem Grund muss den WLAN-Clients ein DHCP-Dienst zur Verfügung stehen. Für jedes Subnetz, in dem Sie Clients bereitstellen, müssen Sie einen separaten DHCP-Bereich zuweisen. Bei zwei separaten Standorten mit einer gerouteten WAN-Verbindung müssen Sie beispielsweise einen DHCP-Bereich für jedes Subnetz erstellen. Wenn Sie dem WLAN und den drahtgebundenen LAN-Clients separate Subnetze zuweisen, müssen Sie für jedes WLAN-Subnetz einen separaten Bereich konfigurieren. Bei gerouteten Verbindungen zwischen den Zugriffspunkten und den DHCP-Servern müssen Sie darüber hinaus DHCP-Relay-Agents auf den Routern konfigurieren oder Windows-DHCP-Relay-Agent auf einem Server im selben Subnetz wie die Zugriffspunkte installieren. Zugunsten einer besseren Verfügbarkeit sollten Sie eine belastbarere DHCP-Konfiguration mit unterteilten Bereichen, DHCP mit Clusterkonfiguration oder Standby-DHCP-Konfigurationen erwägen. Weitere Informationen dazu finden Sie im Kapitel Deploying DHCP des Windows Server 2003 Deployment Kit (auf Englisch). DNSActive Directory hängt von einem ordnungsgemäß funktionierenden DNS-Dienst (Domain Name System) ab. Die vorliegende Lösung basiert auf der Annahme, dass ein solcher Dienst vorhanden und betriebsbereit ist. DNS wurde im Rahmen des Active Directory-Installationsprozesses installiert oder separat konfiguriert. Active DirectoryDiese Lösung wurde mit folgender Active Directory-Konfiguration entworfen und getestet:
In vielen Fällen besteht die Möglichkeit, andere Active Directory-Konfigurationen zu verwenden, beispielsweise mit mehreren Domänen oder Windows 2000-Domänencontrollern. Wenn diese Konfigurationen von Microsoft unterstützt werden, finden sich zusätzliche Anleitungen dazu im Text. Diese alternativen Konfigurationen bilden jedoch nicht den Kern der getesteten Lösung. Voraussetzungen für alle Active Directory-VersionenMit einer Domäne im einheitlichen Modus können Sie universelle, auf Active Directory basierende Sicherheitsgruppen erstellen. Universelle Gruppen erleichtern die Verwaltung von Netzwerkzugriffsrichtlinien für Mehrfachdomänen. Für Bereitstellungen einer einzelnen Domäne ist diese Einstellung allerdings nur Theorie. Die Installationsskripte überprüfen, ob sich die Domäne im einheitlichen Modus befindet. Befindet sich die Domäne im einheitlichen Modus, verwendet das Skript universelle Gruppen. Andernfalls verwendet es nur globale Gruppen. Active Directory muss ein Windows Server 2003-Schema besitzen. Dieses Schema ist für die Unterstützung der Einstellungen der Gruppenrichtlinienobjekte der Drahtlosnetzwerkrichtlinien erforderlich. Für eine bestimmte Funktionsebene für die Active Directory-Gesamtstruktur besteht keine Notwendigkeit. Diese Lösung geht von der Standardfunktionsebene der Windows 2000-Gesamtstruktur aus. Weitere Informationen zu den Begriffen Domänen- und Gesamtstrukturmodus finden Sie in den Quellangaben am Ende dieses Kapitels. Verwenden von Windows 2000-DomänencontrollernBei dieser Lösung werden IAS- und Zertifikatdienste in Windows Server 2003-Systeme installiert. Es wird keine Anleitung zur Verwendung von Windows 2000-Versionen dieser Komponenten gegeben. Wenn Sie Windows 2000-Domänencontroller verwenden und keinen der Controller auf Windows Server 2003 aktualisieren möchten, müssen Sie das Schema auf Windows 2003 aktualisieren. Weitere Informationen zum Aktualisieren Ihres Schemas finden Sie in den Quellangaben am Ende des Kapitels. Soll diese Lösung in einer Domäne oder einer Gesamtstruktur mit Windows 2000-Domänencontrollern verwendet werden, stellen Sie sicher, dass auf den Domänencontrollern Windows 2000 Service Pack 3 (SP3) oder höher installiert ist. Mit dem Service Pack wird gewährleistet, dass die Domänencontroller LDAP-Signierung (Lightweight Directory Access Protocol) unterstützen. LDAP stellt eine Verbesserung der Sicherheit dar, die für CAs mit Windows Server 2003 und Clients mit Windows XP erforderlich ist, die automatische Registrierung von Zertifikaten einsetzen. Überprüfen der Sicherheit der DomänenkontorichtlinienBei dieser Lösung werden Benutzer- und Computerkennwörter zur Authentifizierung von Benutzern und Computern am WLAN verwendet. Daher ist es äußerst wichtig, die Verwendung von unsicheren oder leeren Kennwörtern nicht zuzulassen. Leicht zu erratende Kennwörter machen es einem Angreifer leicht, in Ihr WLAN einzudringen. Wenn für die Authentifizierung von Benutzern oder Computern bei der Domäne dieselben Kennwörter verwendet werden, hat der Angreifer so auch Zugriff auf alle Netzwerkressourcen. Die einfachste Möglichkeit, unsichere Kennwörter auszuschalten, besteht darin, strenge Kennwortrichtlinien im Gruppenrichtlinienobjekt der Standarddomänenrichtlinie festzulegen. Sie sollten außerdem ein regelmäßiges Ablaufen der Kennwörter, ein minimales Kennwortalter und eine Überprüfung der Kennwortchronik erzwingen (um sicherzustellen, dass die Benutzer das gleiche Kennwort nicht mehrfach verwenden). Warnung: Informieren Sie die Benutzer und Administratoren, bevor Sie die Domänenkennwortrichtlinie ändern. Um Ärger und Verwirrung bei den Benutzern zu verhindern, sollten Sie sie rechtzeitig von der neuen Kennwortrichtlinie in Kenntnis setzen und ihnen Anweisungen geben, wie sie sichere Kennwörter auswählen. Empfehlungen zu bewährten Methoden im Hinblick auf die Domänenkennwortrichtlinie finden Sie in der Windows Server 2003 – Sicherheitsanleitung. Die Quellangabe für dieses Dokument finden Sie am Ende dieses Kapitels. Erstellen von SicherheitsgruppenVerwenden Sie zum Erstellen von Sicherheitsgruppen in Active Directory für diese Lösung das später in diesem Abschnitt beschriebene Verfahren. Die erstellten Gruppen sind in der folgenden Tabelle aufgeführt und ihre Mitglieder sind, sofern angezeigt, eingetragen. Standardmäßig werden diese Gruppen im Benutzercontainer angelegt. Tabelle 3.2: Sicherheitsgruppen und Mitgliedschaften
Dient zum Erstellen von Sicherheitsgruppen und Auffüllen von Daten
Vorbereiten der ServerIn diesem Abschnitt wird die serverspezifische Konfiguration behandelt. Die meisten der folgenden Schritte müssen für jeden Server ausgeführt werden, der als IAS-Server installiert werden soll. Die einzige Ausnahme bilden die im Abschnitt "Server-Sicherheitskonfiguration" beschriebenen Schritte. Die Sicherheitseinstellungen müssen für jeden Server vorgenommen werden, die Ausführung der Schritte ist jedoch nur einmal pro Domäne erforderlich. Die Einstellungen werden dann automatisch auf andere Server in der Domäne übertragen. Unterstützte BetriebssystemeDiese Lösung wurde unter Verwendung von Windows Server 2003 Standard Edition für alle Serverkomponenten entwickelt und getestet. Die Anleitungs- und Installationsskripte für Windows Server 2003 Enterprise Edition sind identisch. Lesen Sie den Abschnitt "Verwenden von Windows Server Standard oder Enterprise Edition" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, bevor Sie entscheiden, ob Sie Windows Server 2003 Enterprise Edition verwenden müssen oder nicht. Bei Windows Server 2003 Standard Edition wird die Funktionalität der Zertifikatdienste sowie die Anzahl der WAPs eingeschränkt, die IAS unterstützen kann. Eine dieser Einschränkungen oder beide Einschränkungen sind für Großunternehmen unter Umständen nicht akzeptabel. Diese Lösung unterstützt keine früheren Versionen von Windows Server und wurde mit keiner solchen Version getestet. Die Windows 2000 Server-Versionen von IAS und den Zertifikatdiensten können für einige oder alle Serverrollen dieser Lösung funktionieren, doch eine Anleitung dazu würde den Rahmen dieser Dokumentation sprengen. HardwarerichtlinienAuf dem ersten Server, den Sie installieren, werden die Zertifikatdienste und IAS ausgeführt. Die Zertifikatdienste erfordern in dieser Lösung minimale Ressourcen. Sie sollten jedoch sicherstellen, dass sich die Last, die IAS für den Server darstellt, nicht negativ auf die Leistung der Domänencontrollerfunktionen des Servers auswirkt. Dies ist nur in sehr großen IAS-Implementierungen der Fall. Falls erforderlich, fügen Sie zum Ausgleich einen zusätzlichen Domänencontroller zu derselben Active Directory-Site hinzu. Wenn Sie die RADIUS-Protokollierung aktivieren möchten, weisen Sie eine separate physische Festplatte für die Protokolle zu. Tabelle 3.3: Empfohlene Hardware-Minimumausstattung für IAS-Server
Um weitere Informationen zu diesem Thema zu erhalten, lesen Sie den Abschnitt "IAS-Software- und Hardwareanforderungen" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung. Erhalten und Installieren von unterstützender SoftwareIn diesem Abschnitt ist die zusätzliche Software für die Server aufgeführt. Außerdem wird beschrieben, wie die Software beschafft und installiert wird. Gruppenrichtlinien-VerwaltungskonsoleDie Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) dient zur Verwaltung und Konfiguration der von dieser Lösung verwendeten Gruppenrichtlinienobjekte. Die Gruppenrichtlinien-Verwaltungskonsole muss nur auf dem ersten Server, auf dem IAS installiert ist, installiert werden. Die Installation auf weiteren IAS-Servern ist optional. Hinweis: Durch Installation der Gruppenrichtlinien-Verwaltungskonsole wird die Benutzeroberfläche der Active Directory-Benutzer und -Computer auf dem Server, auf dem die Konsole installiert ist, leicht verändert. Weitere Informationen zur Verwendung und zum Herunterladen der Gruppenrichtlinien-Verwaltungskonsole finden Sie in den Quellangaben am Ende dieses Kapitels. So installieren Sie die Gruppenrichtlinien-Verwaltungskonsole
Windows Server 2003 Support ToolsEinige der Windows Support Tools werden von den Konfigurationsskripte und Vorgängen dieser Lösung verwendet. Installieren Sie diese Tools vom Installationsmedium von Windows Server 2003. Die Tools sind für die CA-Installations- und -Konfigurationsskripte erforderlich. Sie müssen sie daher auf dem Server installieren, auf dem die Zertifikatdienste installiert werden sollen. Auf den anderen Servern sind sie nicht erforderlich. Wenn Sie möchten, können Sie sie jedoch auch hier installieren. So installieren Sie die Windows Server 2003 Support Tools
CAPICOMCAPICOM ist eine skriptfähige Schnittstelle für eine Reihe von Windows-Sicherheitsfunktionen, die als CryptoAPI (CAPI) bezeichnet wird. CAPICOM ist für die Zustandsüberwachungsskripte der Zertifikatdienste und für das Generieren von geheimen RADIUS-Schlüsseln erforderlich, mit denen die WAPs authentifiziert werden. Installieren Sie CAPICOM Version 2.0 oder höher auf allen IAS-Servern Ihres Unternehmens. Die aktuellste Version von CAPICOM 2.0 finden Sie im Microsoft Download Center (weitere Informationen hierzu finden Sie im Abschnitt "Quellen" am Ende dieses Kapitels). Die CAPICOM-Distributionsdatei enthält kein automatisches Setup. Verwenden Sie daher das Batchskript InstCAPICOM.cmd (im Lieferumfang dieser Lösung enthalten). Wenn Sie diese Schritte manuell vornehmen möchten, können Sie die Befehle aus dem Batchskript kopieren. So installieren Sie CAPICOM
Microsoft Baseline Security Analyzer (MBSA)Dieses Tool wird benötigt, um zu überprüfen, ob die Sicherheitsupdates des Betriebssystems aktuell sind, und um mögliche Probleme mit der Sicherheitskonfiguration der Server zu erkennen. Zum Durchsuchen von Windows Server 2003-Systemen ist MBSA Version 1.1.1 oder höher erforderlich. Die aktuellste Version von MBSA finden Sie im Microsoft Download Center. So installieren Sie MBSA
Server-SicherheitskonfigurationIn diesem Abschnitt wird beschrieben, wie Sicherheitsrichtlinien und andere Sicherheitsmaßnahmen auf Windows Server 2003 angewendet werden, bevor IAS und Zertifikatdienste installiert werden. Diese Lösung ist für die Installation auf vorhandene Server entwickelt worden (in der Regel Domänencontroller). Die in diesem Abschnitt verwendeten Sicherheitseinstellungen sind absichtlich konservativ, da die Gefahr eines Konflikts mit den installierten Anwendungen und Diensten, die unter Umständen ebenfalls auf dem Server ausgeführt werden, besteht. Verwenden der Windows Server 2003 – SicherheitsanleitungWindows Server 2003 verfügt über strenge Standardsicherheitseinstellungen. Für die meisten Unternehmen bieten diese Einstellungen in Verbindung mit einem effizienten Aktualisierungswartungsverfahren einen guten Schutz für ihre Systeme (weitere Informationen zur Aktualisierungswartung finden Sie weiter unten in diesem Kapitel im Abschnitt "Serversicherheitsupdates"). Sie sollten allerdings auch die in der Windows Server 2003 – Sicherheitsanleitung gegebenen Empfehlungen beachten. In dieser Anleitung werden die für unterschiedliche Serverrollen geeigneten Sicherheitseinstellungen definiert. Die in dieser Lösung verwendeten Server übernehmen mehrere der in der Sicherheitsanleitung definierten Serverrollen. Für die meisten Server sind dies die Rollen "Domänencontroller" und "RADIUS-Server" und im Fall des ersten Servers kommt noch die Rolle der "Zertifizierungsstelle" hinzu. Für jede Rolle wird im Handbuch eine Sicherheitsvorlage mit allen für die entsprechende Rolle geeigneten Sicherheitseinstellungen definiert. Für einen Server mit mehreren Rollen müssen Sie daher eine Kombination aus mehreren Sicherheitsvorlagen anwenden, die den jeweils unterschiedlichen Rollen des Servers Rechnung tragen. Auf Ihren Servern sind möglicherweise andere Infrastrukturdienste wie DNS, DHC und WINS (Windows Internet Naming Service) installiert. In diesem Fall müssen Sie auch die diesen Rollen entsprechenden Sicherheitsvorlagen berücksichtigen. Anweisungen dazu finden Sie in der Windows Server 2003 – Sicherheitsanleitung. Warnung: Die Vorlagen für die Sicherheitseinstellungen in der Windows Server 2003 – Sicherheitsanleitung deaktivieren explizit eine Reihe von Diensten, die für die definierten Serverrollen nicht erforderlich sind. Wenn Sie weitere Anwendungen oder Dienste auf den Servern ausführen, müssen Sie diese Anwendungen testen, um sicherzustellen, dass durch die Sicherheitsvorlagen keine Dienste deaktiviert oder Sicherheitseinstellungen geändert werden, die für die Anwendungen oder Dienste erforderlich sind. Anweisungen zum Kombinieren von Rollen und Ändern von Einstellungen für andere Anwendungen finden Sie ebenfalls in der Windows Server 2003 – Sicherheitsanleitung. Anwenden von SicherheitseinstellungenIm Gegensatz zu den anderen im Abschnitt "Vorbereiten der Server" dieses Kapitels beschriebenen Verfahren muss dieses Verfahren nicht auf jedem Server ausgeführt werden. Stattdessen werden die Einstellungen in ein Gruppenrichtlinienobjekt in Active Directory importiert und anschließend global auf alle Server angewendet. In dieser Lösung werden nur zwei Arten von Sicherheitseinstellungen angewendet. Mit dem ersten Einstellungstyp werden alle erforderlichen Dienste so konfiguriert, dass sie automatisch starten (für den Fall, dass sie von einer anderen auf den Computer angewendeten Sicherheitsrichtlinie angehalten oder deaktiviert werden). Mit dem zweiten Einstellungstyp wird die Überwachungsrichtlinie geändert, sodass Überwachungsprobleme bei allgemeinen Ereignissen (z. B. Anmeldung) auch im Sicherheitsprotokoll erfasst werden. In der folgenden Tabelle sind die Dienste aufgeführt, die auf automatisches Starten eingestellt sind. Tabelle 3.4: Durch Richtlinie aktivierte Windows-Dienste
In der folgenden Tabelle sind die Überwachungskategorien aufgeführt, bei denen neben der Überwachung erfolgreicher Ereignisse auch die Überwachung fehlgeschlagener Ereignisse aktiviert ist. Tabelle 3.5: Einstellungen für Überwachungsrichtlinien
Durch Aktivieren der in der Tabelle aufgeführten Überwachungseinstellungen werden die Speicheranforderungen für das Sicherheitsprotokoll erhöht. Stellen Sie sicher, dass die Ereignisprotokolle auf den Domänencontrollern auf eine angemessene Größe eingestellt sind. Die Standardgröße des Ereignisprotokolls für Windows Server 2003 sind zwar mehr als ausreichend, die in Windows 2000 verwendeten Standardgrößen waren dagegen für die Praxis viel zu gering (diese Einstellungen sind bei erfolgter Aktualisierung von Windows 2000 unter Umständen nach wie vor wirksam). In Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, erfahren Sie, wie die IAS-Server für die Erfassung aller erfolgreichen und fehlgeschlagenen WLAN-Verbindungen im Windows-Systemprotokoll konfiguriert werden. Stellen Sie sicher, dass die Sicherheits- und Systemprotokolle auf allen Domänencontrollern auf eine angemessene Größe eingestellt sind. Windows Server 2003 verwendet 16 MB für das System- und Anwendungsprotokoll und 128 MB für das Sicherheitsprotokoll. Diese Werte sind für diese Lösung angemessen. Importieren des Gruppenrichtlinienobjekts für SicherheitseinstellungenMit dem folgenden Verfahren werden die im vorhergehenden Abschnitt beschriebenen Einstellungen in die Domäne importiert, jedoch noch nicht auf einen Server angewendet. So installieren Sie das Gruppenrichtlinienobjekt für die Sicherheitseinstellungen in der Domäne
Anwenden der Sicherheitseinstellungen auf alle DomänencontrollerBei diesem Verfahren werden die Sicherheitseinstellungen auf alle Domänencontroller angewendet (mit oder ohne installiertem IAS). Dies sollte keine negative Auswirkung auf die Funktionen der Domänencontroller oder anderer Anwendungen oder Dienste haben, die auf den Domänencontrollern ausgeführt werden, da im Gruppenrichtlinienobjekt keine Einstellungen enthalten sind, durch die Funktionen deaktiviert werden. Wie Sie vorgehen, wenn Sie diese Einstellungen nicht auf alle Domänencontroller anwenden möchten, erfahren Sie im nächsten Abschnitt. Um die Einstellungen auf alle Domänencontroller anzuwenden, verknüpfen Sie das importierte Gruppenrichtlinienobjekt mit der Organisationseinheit der Domänencontroller. Das Gruppenrichtlinienobjekt wird manuell verknüpft, da die Gefahr besteht, bereits in Ihrer Domäne konfigurierte Einstellungen für das Gruppenrichtlinienobjekt zu überschreiben. So wenden Sie die Sicherheitseinstellungen auf alle Domänencontroller an
Anwenden von Sicherheitseinstellungen nur auf IAS-ServerWenn die Sicherheitseinstellungen nicht auf alle Domänencontroller angewendet werden sollen (oder wenn Sie keinen IAS auf den Domänencontrollern installieren möchten), können Sie eine separate Organisationseinheit für IAS-Server erstellen und anschließend das Gruppenrichtlinienobjekt auf diese Organisationseinheit anwenden. Wenn Sie IAS nicht auf den Domänencontrollern installieren, erstellen Sie die Organisationseinheit für die IAS-Server in einem anderen Teil der Domäne. So wenden Sie die Sicherheitseinstellungen nur auf die IAS-Server an
Überprüfen der SicherheitseinstellungenSo überprüfen Sie, ob die Sicherheitseinstellungen angewendet wurden
ServersicherheitsupdatesIm Gegensatz zu den Sicherheitseinstellungen des Gruppenrichtlinienobjekts müssen Sie die Sicherheitsupdates auf jedem Server überprüfen und anwenden. Wenn Sie relativ wenig Server zu verwalten haben, können Sie manuelle Verfahren verwenden. Bei vielen Servern und ohne automatisches Updateverwaltungssystem ist die manuelle Überprüfung und Anwendung der Updates auf allen Servern äußerst mühsam. Stattdessen sollten Sie erwägen, das Anwenden der Sicherheitsupdates mit Hilfe von Microsoft Software Update Service (SUS) oder Microsoft Systems Management Server (SMS) 2003 zu automatisieren. Weitere Informationen darüber, wie Sie diese Programme zur Verwaltung von Sicherheitsupdates verwenden, finden Sie im Microsoft-Handbuch für die Sicherheitspatchverwaltung. Prüfen aktueller SicherheitsupdatesEs gibt im Wesentlichen zwei Möglichkeiten, die Aktualität der Sicherheitsupdates auf dem Server zu überprüfen, nämlich mit Windows Update und MBSA. Darüber hinaus bieten auch andere Hersteller als Microsoft Tools an, die ähnliche Funktionen ausführen. Windows UpdateWindows Update ist ein Onlinedienst, der vor allem für kleine Unternehmen und private Benutzer gedacht ist (es bestehen allerdings keine Einschränkungen im Hinblick darauf, wer diesen Dienst in Anspruch nehmen darf). Da Windows Update eine Standleitung ins Internet erfordert, sollten Sie diesen Dienst nicht verwenden, ohne Ihren Server durch eine Firewall zu schützen. Weitere Informationen über Windows Update finden Sie in den Quellangaben am Ende dieses Kapitels. Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer (MBSA) ist ein Sicherheitsevaluierungstool, das Systeme auf verschiedene Sicherheitsprobleme, wie fehlende Updates, prüft. Weitere Informationen über MBSA finden Sie in den Quellangaben am Ende dieses Kapitels. So prüfen Sie installierte Sicherheitsupdates mit MBSA
Prüfen anderer Sicherheitsaspekte mit MBSAMit MBSA können Sie nicht nur prüfen, ob Sicherheitsupdates aktuell sind, sondern Sie können es auch verwenden, um andere potenzielle Sicherheitsprobleme auf Ihrem Server festzustellen. Führen Sie dazu die grafische Version (vom Menü Start aus) aus, scannen Sie den Server und unternehmen Sie bei Warnungen die notwendigen Schritte. Achten Sie besonders auf Benutzerkonten, für die leere, unsichere oder nicht ablaufende Kennwörter festgestellt werden. Ändern Sie jedoch keine Einstellungen von integrierten Konten wie krbtgt. Sofern Sie die Standardeinstellungen der Sicherheitszonen des Internet Explorers nicht geändert haben, können Sie die MBSA-Warnungen über nicht-standardisierte Einstellungen ignorieren. Die Standardeinstellungen für Windows Server 2003 sind sicherer als die Sicherheitszoneneinstellungen des Internet Explorers, die MBSA für die Prüfung verwendet. Das in diesem Kapitel beschriebene Verfahren deckt nur das Scannen des lokalen Rechners mit MBSA ab. Eine Beschreibung des Verfahrens zum Scannen von Computern über das Netzwerk mit Hilfe von MBSA würde den Rahmen dieser Anleitung sprengen. Weitere Einzelheiten über MBSA finden Sie in den Quellangaben am Ende des Kapitels. Verwalten und Installieren von Updates auf den ServernEine umfassende Beschreibung der automatischen kontinuierlichen Updateverwaltung geht über den Rahmen dieser Anleitung hinaus. Sie sollten jedoch wissen, dass es im Wesentlichen drei Möglichkeiten gibt, eine kontinuierliche Verwaltung der Systemupdates mit der Microsoft-Technologie vorzunehmen. AutoUpdateAutoUpdate ist ein in Windows-Servern und -Clients integrierter Dienst, mit dem jeder Computer nach wichtigen Sicherheitsupdates suchen und diese herunterladen kann, sobald sie von Microsoft zur Verfügung gestellt werden. Sie haben die Wahl, die Updates automatisch installieren zu lassen. Dies erfordert, dass jeder Computer Internetzugang (HTTP) hat. Die bereits erwähnte Vorsichtsmaßnahme, sicherzustellen, dass für jedes Gerät ein angemessener Schutz durch eine Firewall besteht (siehe Abschnitt "Windows Update"), gilt auch in diesem Fall. Weitere Informationen über AutoUpdate finden Sie in den Quellangaben am Ende dieses Kapitels. Software Update ServiceDer Softwareaktualisierungsdienst Software Update Service (SUS) setzt auf dem AutoUpdate-Dienst auf. Bei diesem Dienst muss nicht mehr jeder Computer mit dem Internet verbunden sein, da die Funktionen der Updateprüfung und des Herunterladens auf einen oder mehrere zentrale Computer konzentriert wird. Der Administrator kann heruntergeladene Updates so auf dem bzw. den SUS-Server(n) akzeptieren oder ablehnen. Alle akzeptierten Updates werden von allen anderen Computern des Unternehmens abgerufen. Diese Computer suchen mit dem AutoUpdate-Dienst statt auf der Website Windows Update nun auf den SUS-Servern nach Updates und laden diese herunter. Anweisungen zum Bereitstellen des Software Update Service (SUS) finden Sie unter Patch Management Using Microsoft Software Update Services (auf Englisch). Den URL zum Herunterladen dieses Dokuments finden Sie am Ende dieses Kapitels. Updateverwaltung mit Microsoft Systems Management ServerMit Microsoft SMS 2003 können Sie die Bereitstellung von Service Packs, Sicherheitsupdates und Softwareupdates vollständig automatisieren. SMS 2000 in Verbindung mit Software Update Services Feature Pack verbindet die Funktionen von SUS mit den umfassenderen Fähigkeiten von SMS. Sowohl SMS 2000 als auch SMS 2003 umfassen die Fähigkeit, MBSA-Scans auf den Computern Ihres Unternehmens zu planen. Weitere Informationen über SMS finden Sie in den folgenden Dokumenten:
URLs zum Herunterladen dieser Dokumente finden Sie am Ende dieses Kapitels. ZusammenfassungDieses Kapitel gibt Anleitungen zur Vorbereitung des Netzwerks, von Active Directory, der Domänencontroller und anderer Elemente der Systemumgebung auf die Installation einer sicheren WLAN-Infrastruktur. Die zum Konfigurieren dieser Lösung verwendeten Skripte wurden zusammen mit einer Reihe von Hilfstools installiert. Von dieser Lösung verwendete Sicherheitsgruppen wurden in der Domäne erstellt, und Sicherheitseinstellungen wurden importiert und auf die Server angewendet. Schließlich wurde die Aktualität der Sicherheitsupdates auf den Servern überprüft und, falls erforderlich, korrigiert. Im nächsten Kapitel wird die Installation von Zertifikatdiensten auf dem ersten installierten Server zur Erstellung der Netzwerkzertifizierungsstelle behandelt. QuellenDieser Abschnitt enthält Quellangaben für wichtige ergänzende Informationen oder anderes Hintergrundmaterial, das für den Inhalt dieses Kapitels relevant ist.
|
In diesem Beitrag
|
