Datenschutz bei Windows 2000

Transkript

1 Datenschutz bei Windows 2000

2 Herausgegeben vom Hamburgischen Datenschutzbeauftragten Baumwall Hamburg Tel Fax Autoren: Ulrich Kühn, Dr. Sebastian Wirth 1. Auflage 2002: Exemplare Druck: Lütcke & Wulff, Hamburg

3 INHALTSVERZEICHNIS Seite Einleitung und Überblick Anforderungen an Betriebssysteme Active Directory Ansatz Domänen-Modell von Windows Abbildung von Organisationsstrukturen Gruppenrichtlinien Benutzergruppen Berechtigungen Empfehlungen Sichere Authentisierung durch Kerberos Funktionsprinzipien Besonderheiten der Kerberos-Implementation in Windows Konfiguration Empfehlungen Verschlüsselte Datenspeicherung mit EFS Funktionsweise Wiederherstellung Datensicherung Umgehungsmöglichkeiten Empfehlungen Gesicherte Datenübertragung mit IPSec Sicherstellung der Authentizität Sicherstellung der Integrität Sicherstellung der Vertraulichkeit Sicherheitsrichtlinien Empfehlungen Geschützter Zugriff auf interne Netzwerke Remote Access Service (RAS) Radius Empfehlungen... 25

4 7 Terminal-Dienste Einsatzmöglichkeiten Anmeldung an einem Terminal-Server Client-Server-Verbindung Remoteüberwachung Empfehlungen Administration Delegation administrativer Aufgaben Installation Kontenrichtlinien Systemprotokolle MMC und andere Administrationswerkzeuge Ausgewählte Einstellungen in den Gruppenrichtlinien Defragmentierung Windows XP Quellen... 34

5 Einleitung und Überblick Mit Windows 2000 hat Microsoft ein neues Betriebssystem für die Zielgruppe der Unternehmensanwendungen auf den Markt gebracht. Es ist damit Nachfolger für das weit verbreitete Betriebssystem Windows NT. Gleichzeitig bildet NT auch die technische Basis, auf der Windows 2000 aufsetzt. Windows 2000 steht sowohl für Server (Windows 2000 Server, Advanced Server und Datacenter Server) als auch für Clients (Windows 2000 Professional) zur Verfügung. Datenschutzrelevante Aspekte von Windows 2000 stehen in dieser Broschüre im Mittelpunkt der Betrachtung. In diesem Zusammenhang werden zentrale Fachbegriffe erläutert. Dies kann jedoch eine intensive Einarbeitung in das Betriebssystem nicht ersetzen, wenn das System eingeführt werden soll. Der Hamburgische Datenschutzbeauftragte befasst sich zum zweiten Mal mit einem Betriebssystem vom Microsoft. Grundlegende Aspekte von Betriebssystemen insgesamt und zu Windows NT wurden bereits in der Broschüre Datenschutz bei Windows NT behandelt. Aus diesem Grund wird häufig auf Windows NT Bezug genommen und auf Neuerungen gegenüber Windows NT hingewiesen. Die vorliegende Broschüre zeigt die zentralen sicherheitsrelevanten Aspekte des Betriebssystems sowohl für Administratoren als auch für IT-Verantwortliche auf. Dazu werden die wesentlichen Sicherheitsaspekte des Betriebssystems unter Einbindung technischer Details dargestellt, um eine intensive Befassung mit den jeweiligen Komponenten zu erleichtern und eine sicherheitsgerechte Konfiguration zu ermöglichen. Die jeweiligen Kapitel enden mit Empfehlungen aus Sicht des Datenschutzes in zusammengefasster Form. Im Kapitel 1 werden Anforderungen an Betriebssysteme, die Problematik komplexer Systeme sowie die Abgrenzung zu Open Source Software formuliert. Im Kapitel 2 wird das Active Directory vorgestellt, das alle Informationen z.b. über Domänen, Computer und Benutzer zusammenfasst. Dieses führt gerade für die Administration von größeren Netzwerken zu gravierenden Veränderungen. Dazu trägt auch das neue hierarchische Domänenkonzept von Windows 2000 bei. Es ist damit möglich, eine komplexe Organisationsstruktur durch Domänenbäume und durch eine Untergliederung innerhalb der Domänen über die Einrichtung von sog. Organisationseinheiten abzubilden. Bezogen auf die Sicherheit gibt es in Windows 2000 einige wesentliche funktionale Erweiterungen. Über Gruppenrichtlinien im Active Directory lassen sich Sicherheitsanforderungen für unterschiedliche Ebenen und Elemente im Netzwerk definieren. Die Authentisierung der Benutzer erfolgt in Windows 2000-Netzen durch das Protokoll Kerberos. Das Abhören und Entschlüsseln von Kennworten über das Netz ist dadurch wesentlich erschwert (s. Kap. 3). Im Bereich des Speichermanagements wurde die Möglichkeit einer benutzerbezogenen Verschlüsselung integriert (s. Kap. 4). 1

6 Für die Sicherung des Netzverkehrs durch Authentisierung der beteiligten Systeme und durch Verschlüsselung des Datenstroms bietet Windows 2000 durch die Integration des Protokolls IPSec bereits ohne Zusatzprodukte wesentlich bessere Möglichkeiten als NT (s. Kap 5). Im Kapitel 6 werden die Möglichkeiten zum Schutz eines Zugriffs dargestellt, der von außerhalb eines geschützten Netzwerkes erfolgt, z.b. bei Telearbeit. Der Windows-Terminal-Server ist ein integraler Bestandteil des Betriebssystems. Damit können Benutzersitzungen auf Windows 2000 Servern von anderen PC aus eröffnet werden, so dass auf dem Client die Inhalte nur graphisch angezeigt werden (s. Kap 7). Windows 2000 bietet eine Vielzahl von zentralen Einstellmöglichkeiten. Eine Reihe konkreter administrativer Hinweise sind im Kapitel 8 zusammengefasst. Einen Ausblick auf das Betriebssystem Windows XP bildet den Abschluss. Neben der gedruckten Fassung steht die vorliegende Broschüre auch unter zur Verfügung. Dort sind zudem weiterführende Hinweise und inhaltliche Ergänzungen zu finden. 1 Anforderungen an Betriebssysteme Als Software, die die Grundlage für eine Verarbeitung personenbezogener Daten bildet, sind an Betriebssysteme aus Datenschutzsicht grundlegende Anforderungen zu stellen. Defizite in diesem Bereich wirken sich in der Regel bis in die Anwendungsebene aus und führen daher immer wieder zu Datenschutzproblemen. Betriebssysteme müssen daher sowohl den Anforderungen eines Grundschutzes genügen als auch Möglichkeiten bieten, darüber hinausgehende Schutzmaßnahmen zu treffen, wenn sensible Daten verarbeitet werden. Insgesamt bestehen aus Sicht des Datenschutzes folgende Anforderungen an Betriebssysteme: Sie müssen geeignete Mittel zur Verfügung stellen, die eine sichere Identifizierung der Benutzer bewirken. Sie müssen eine Rechteverwaltung an diese Identifizierung knüpfen, die sowohl flexibel als auch robust gegen Überwindungsversuche ist. Sie müssen Sicherheitsmaßnahmen möglichst weitgehend integrieren, so dass auf Anwendungsebene bzw. durch den Benutzer davon einfach und einheitlich Gebrauch gemacht werden kann. Sie müssen eine abgestufte Administration zulassen, so dass sich eine Trennung verschiedener Aufgabenbereiche auch auf technischer Ebene niederschlägt. Administrative Grenzen insbesondere in Netzwerken müssen deutlich zu Tage treten. Sie müssen die Möglichkeit bieten, kritische Systemtätigkeiten revisionssicher zu protokollieren, um Angriffe, versuchte oder erfolgreiche Rechte- 2

7 überschreitungen feststellen zu können. Protokolle müssen gegen eine missbräuchliche Verwendung schützbar sein. Sie sollten möglichst einfach und transparent in der Bedienung und Verwaltung sein. Die implementierte Sicherheit sollte in einem geregelten Verfahren überprüft worden oder einer Überprüfung zugänglich sein. Windows 2000 bietet in Hinblick auf diese Anforderungen ein differenziertes Bild. Während die Authentisierung und die integrierten Sicherheitsmaßnahmen durch Kerberos und IPSec gegenüber Windows NT deutlich verbessert wurden, hat die Übersichtlichkeit durch die Vielzahl der Einstellmöglichkeiten des Active Directory eher gelitten. Insgesamt handelt es sich bei Windows 2000 um eine sehr mächtige, und daher auch sehr komplexe Software, deren verschiedenen Bestandteile kaum noch von einem einzelnen Administrator vollständig überblickt werden können. Während die Einbeziehung offener Standards in Windows 2000 die Möglichkeit verbessert, dessen Sicherheitsstandard einzuschätzen, stellt die Komplexität auch hierbei ein Hindernis dar. Das Betriebssystem wurde bisher hinsichtlich seiner Sicherheit nicht zertifiziert. Zudem handelt es sich um Software, deren Quellcode nicht bzw. nur sehr eingeschränkt im Rahmen des sog. Shared- Source-Modells offengelegt wird. Dieses Model ermöglicht es ausgewählten Institutionen, z. B. Universitäten, Unternehmen oder auch Behörden, Teile des Programms einzusehen und zu verwenden. Das Modell ist mit dem Open- Source-Ansatz, der eine Offenlegung des gesamten Quellcodes vorsieht, jedoch nicht vergleichbar. 2 Active Directory 2.1 Ansatz Mit dem Active Directory wird ein zentraler, d.h. domänenübergreifender Verzeichnisdienst in das Betriebssystem integriert, in dem umfassend Informationen über alle verwalteten Benutzerkonten und Ressourcen in einer Datenbank gespeichert werden können. Mit dem Verzeichnisdienst können diese Informationen unternehmensweit einheitlich zur Verfügung gestellt werden. Die Objekte müssen nur noch an einer Stelle gepflegt werden. Im Active Directory sind auch wesentliche Sicherheitsfunktionen implementiert und werden dort eingestellt. Mit diesem zentralen Verzeichnisdienst entsteht eine sehr umfangreiche Datenbank, die auch zahlreiche personenbezogene Informationen enthält. Viele von Microsoft vordefinierte Attribute sind optional und deren Nutzung systemseitig nicht zwingend erforderlich. Der Umfang der gespeicherten Attribute ist unter Beachtung des Gebots der Datensparsamkeit zu definieren, das u.a. im 3a des Bundesdatenschutzgesetzes und im 5 Abs. 4 des Hamburgischen Datenschutzgesetzes festgeschrieben ist. Die Zugriffsmöglichkeiten auf diesen Verzeichnisdienst sollten nach dem Erforderlichkeitsprinzip gestaltet werden. Das Active Directory ermöglicht dies in detaillierter Weise. 3

8 Das Active Directory steht auf jedem Domänen-Controller zur Verfügung. Dabei arbeitet der Dienst nach dem Multimaster-Replikationsmodell, wobei jeder Controller über eine Kopie des Active Directory mit Schreib-/Lese-Rechten verfügt. Über interne Replikationsmechanismen wird sichergestellt, dass alle Domänen-Controller über einen einheitlichen Stand des Active Directory verfügen. Der Zugriff auf den Verzeichnisdienst erfolgt auf der Grundlage definierter Protokolle. Es werden zum einen das standardisierte LDAP (Lightweight Directory Access Protocol) unterstützt und somit auch die Replikation mit anderen Verzeichnisdiensten ermöglicht. Zum anderen werden auch proprietäre Protokolle etwa für den Windows 2000 internen Replikationsaustausch genutzt Schema Über das sogenannte Schema des Active Directory werden Objekte mit den dazugehörigen Attributen definiert. Die Objekte legen fest, über welche Dinge etwas gespeichert wird. Die Attribute geben an, welche Eigenschaften gespeichert werden. Somit wird im Schema das Datenmodell des Active Directory niedergelegt. Das Schema gilt einheitlich für das Active Directory und damit für alle eingebundenen Domänen. Dabei ist insbesondere zu berücksichtigen, dass das Schema durchaus erweitert werden kann, eine vollständige Eliminierung von Objekten und Attributen jedoch nicht möglich ist, sondern lediglich eine Deaktivierung. Veränderungen am Schema sollten daher auf einer konzeptionellen Basis nur nach ausführlichen Tests durchgeführt werden. Nur wenige, besonders ausgewählte Personen sollten die Berechtigung dazu haben Betriebsmodus Bei der Einführung von Windows 2000 wird häufig eine Migration von Windows NT durchgeführt werden. Für die Nutzung von Windows 2000 stehen zwei Betriebsmodi zur Verfügung der gemischte und der einheitliche Modus. Beim gemischten Modus kommen sowohl Windows 2000 Domänen-Controller als auch Windows NT-Sicherungs-Domänen-Controller (Backup Domain Controller, BDC) zum Einsatz. Beim einheitlichen Modus werden alle Domänen-Controller mit Windows 2000 betrieben. Beim einheitlichen Modus können jedoch auch Mitgliedsserver (File-Server) mit dem Betriebssystem Windows NT eingesetzt werden. Bei beiden Betriebsmodi können Clients mit unterschiedlichen Betriebssystemen betrieben werden. Der einheitliche Modus bedeutet also nicht, dass alle Server und alle Clients unter Windows 2000 laufen müssen. Für bestimmte Erweiterungen von Windows 2000 ist die Anwendung des einheitlichen Modus notwendig (vgl. 2.5). Verschiedene ergänzende Administrationstools können nur im einheitlichen Modus genutzt werden. Die Auswahl des Betriebsmodus muss nicht bereits beim Installieren einer Domäne erfolgen, sondern kann zu einem späteren Zeitpunkt stattfinden. Der Umstieg ist jedoch irreversibel. 4

9 Windows 2000 stellt verschiedene Standard-Gruppen bereit; dazu gehört auch die Gruppe Prä-Windows 2000 kompatibler Zugriff. Im gemischten Modus enthält diese Gruppe standardmäßig das Mitglied Jeder. Damit hat jeder Nutzer die Rechte der Gruppe. Im Standard wird z.b. das Leserecht auf die Eigenschaften aller Benutzerkonten der Domäne gewährt. Der Eintrag Jeder sollte in der Gruppe entfernt werden. 2.2 Domänen-Modell von Windows Domäne und Domänenbaum Die Domäne ist das grundlegende Strukturelement für das Active Directory. Ressourcen wie Computer und Benutzer werden einer Domäne zugeordnet. Die Anzahl der in einer Domäne verwalteten Objekte ist durch die Software nicht beschränkt. Die Domäne bildet grundsätzlich eine Grenze bezüglich der Sicherheit und Administration. Der jeweilige Domänen-Administrator hat das Recht, auf alle Objekte innerhalb einer Domäne zuzugreifen oder kann sich dieses Recht durch Besitzübernahme verschaffen. Bestimmte Einstellungen gelten domänenweit einheitlich. Dies trifft z.b. die Mindestanforderungen an die Passwörter, die in einzelnen Bereichen innerhalb einer Domäne nicht verändert werden können. Windows 2000 liegt ein hierarchisches Domänenmodell zugrunde. Ausgehend von der Stammdomäne (Root-Domäne) können mit dieser weitere Domänen verbunden werden. Da auch diese Domänen mit weiteren Domänen verbunden Forest (Wald bzw. Gesamtstruktur) Domäne A Domäne 1 Domäne B.A Domäne D.A Domäne 2.1 OU T OU S Externe Domäne Domäne C.B.A OU1.T OU2.T OU3.T Domäne 3.1 zweiseitige, transitive Beziehung einseitige, nicht transitive Beziehung Abb. 1: Domänenbaum 5

10 werden können, entsteht so eine Baumstruktur. Der Domänenbaum (Domänenstruktur) hat einen durchgängigen Namensraum. Es wird mit DNS-Namen (Domain Name System) gearbeitet. Da die Domäne standardmäßig die Grenze für die Administrationsrechte vorgibt, bestehen für den Domänen-Administrator keine Administrationsrechte für hierarchisch untergeordnete Domänen, wenn diese ihm nicht ausdrücklich vom Administrator der untergeordneten Domäne eingerichtet wurden. Die Organisations-Administratoren (siehe 2.3) haben als einzige Gruppe jedoch automatisch Zugriff auf alle Domänen-Controller. Zwischen den hierarchisch angeordneten Domänen bestehen transitive Beziehungen. Über Vertrauensstellungen können Benutzern, die nur in einer Domäne ein Benutzerkonto haben, Zugriffe auf andere Domänen ermöglicht werden. Bei dem Baum in Abb. 1 vertraut die Domäne A der Domäne B.A; die Domäne B.A vertraut der Domäne C.B.A. Aufgrund der Transitivität der Beziehungen vertraut die Domäne A auch der Domäne C.B.A. Dieses hierarchische Domänenkonzept ist eine wesentliche Veränderung gegenüber der flachen Vertrauensstruktur von Windows NT. Informationen, die über die Objekte im Active Directory gespeichert sind, werden auf alle Domänen-Controller eines Domänenbaumes repliziert und können genutzt werden, wenn entsprechende Zugriffsrechte bestehen. Wenn Informationen über die Grenze von Domänen hinweg in einem Domänenbaum ausgetauscht werden sollen,müssen die entsprechenden Attribute in den Globalen Katalog aufgenommen werden. Der Globale Katalog enthält alle Objekte des Schemas, jedoch nur ausgewählte Attribute Organisationseinheit Innerhalb einer Domäne kann eine Strukturierung durch Organisationseinheiten (Organizational Unit, OU) vorgenommen werden. OUs können ihrerseits wiederum untergliedert werden. Sie bilden die Grenzen für delegierte Administrationsrechte, und für OUs können explizit Sicherheitseinstellungen festgelegt werden. Daher können OUs dazu genutzt werden, funktionale oder organisatorische Einheiten von Unternehmen oder Behörden abzubilden Forest Mehrere Domänenbäume können zu einem Forest (Wald bzw. Gesamtstruktur) verbunden werden. Der Forest hat keinen durchgängigen Namensraum, sondern die einzelnen Bäume stehen nebeneinander. Bei der Einbindung einer neuen Domäne wird automatisch eine beidseitige Vertrauensbeziehung eingerichtet; in Abb. 1 z.b. zwischen Domäne A und Domäne 1. Auch in einem Forest bestehen transitive Beziehungen zwischen den Domänen, so dass z.b. die Domäne B.A der Domäne 2.1 vertraut. Innerhalb eines Forest gilt einheitlich ein Schema. Dies gewährleistet, dass Informationen auch zwischen den verschiedenen Domänenbäumen repliziert werden können. Es können auch Vertrauensbeziehungen zu Domänen aufgebaut werden, die nicht Mitglied eines Forest sind. Diese externen Vertrauensbeziehungen sind einseitig und nicht transitiv, d.h. wie von Windows NT bekannt. 6

11 2.2.4 Sites Das Domänenmodell wird ergänzt durch die Bildung von Sites (Standorte), die vor allem die räumlichen und netztechnischen Gegebenheiten für den Replikationsverkehr berücksichtigen. Sites werden für einen Forest definiert, wobei es keine Abhängigkeit zwischen Domänen und Sites gibt. Eine Site kann mehrere Domänen enthalten und eine Domäne kann andererseits auf mehrere Sites verteilt sein. Innerhalb einer Site wird die Replikation automatisch konfiguriert, während die standortübergreifende Replikation manuell konfiguriert werden muss. Damit ist die Möglichkeit gegeben, eine Konfiguration entsprechend der Bandbreiten eines LAN bzw. WAN vorzunehmen. Um die Netzlast im WAN zu verringern, erfolgt der standortübergreifende Austausch komprimiert. Bestimmte sicherheitsrelevante Änderungen, wie z.b. das Sperren eines Kontos werden auch dann unmittelbar repliziert, wenn ansonsten größere Zeitabstände vorgegeben sind. 2.3 Abbildung von Organisationsstrukturen Mit den in Windows 2000 zur Verfügung gestellten Strukturelementen Domäne, Domänenbaum, Organisationseinheit und Forest können auf der logischen Ebene komplexe Organisationsstrukturen abgebildet werden. Für die spezifische Planung einer Domänenstruktur sind die organisatorischen, räumlichen und technischen Gegebenheiten heranzuziehen. Dabei gilt es auch die Frage zu klären, ob die unterschiedlichen Organisationsbereiche durch Domänen oder durch Organisationseinheiten im Active Directory abgebildet werden sollen. Hierbei müssen datenschutzrechtliche Anforderungen berücksichtigt werden. Als grundsätzliche Alternativen stehen zur Verfügung: a) Es gibt eine Domäne, die die Gesamtorganisation abbildet. Die unterschiedlichen Ämter und Abteilungen werden OUs und untergeordneten OUs innerhalb dieser Dömäne zugeordnet. b) Die Gesamtorganisation wird durch einen Baum oder einen Forest wiedergegeben. Die unterschiedlichen Ämter und Abteilungen werden durch separate Domänen abgebildet. Ggf. werden OUs zur weiteren Untergliederung genutzt. Vorteile der Gliederung durch OUs in einer Domäne (Alternative a): Sicherheitseinstellungen können innerhalb einer Domäne an die darunter liegenden OUs vererbt werden. Es stehen in allen OUs aufgrund der Replikation des Active Directory alle Informationen zur Verfügung. Der Mindeststandard für bestimmte Einstellungen (z.b. für die Passwortanforderungen) kann zentral und einheitlich implementiert werden. Damit kann dieser Mindeststandard unternehmensweit einfach erzwungen werden. Organisatorische Veränderungen können durch Verlagerung von Objekten auch über die Grenzen von OUs hinaus einfacher durchgeführt werden. Globale Gruppen (s. 2.5) müssen nur einmal pro Domäne definiert werden. 7

12 Vorteile der Gliederung durch verschiedene Domänen (Alternative b): Domänen bilden standardmäßig administrative Grenzen, die nur durch Mitwirkung der anderen Domäne durchbrochen werden können. Damit können Domänen fast vollständig voneinander abgegrenzt werden: lediglich Mitglieder der Gruppe Organisations-Administratoren können sich Rechte durch Besitzübernahme verschaffen. Für einzelne Bereiche (Domänen) können unterschiedliche Mindestanforderungen für Passworte vorgegeben werden. Der Datenverkehr über das Netz zwischen den Domänen ist geringer, da nur der Teil der Informationen aus dem Active Directory repliziert wird, der im Globalen Katalog definiert ist. Die jeweiligen Vor- und Nachteile sind auf den Einzelfall bezogen zu bewerten. Eine wichtige Rolle spielt dabei die Bildung abgeschotteter Bereiche. Folgende Gruppen mit administrativen Rechten sind dabei zu unterscheiden: Organisations-Administratoren Diese Gruppe existiert nur in der Stammdomäne, der ersten Domäne, die im Forest installiert wurde. Organisations-Administratoren haben Zugriff auf alle Domänen-Controller des Forest und können Besitz über alle Elemente des Forest übernehmen. Die Gruppe hat auch das Recht, neue Domänen hinzuzufügen. Diese Kennungen sind daher besonders abzusichern. Zum einen sollte die Nutzung einer Kennung mit solchen Rechten auf wenige Personen beschränkt werden. Zum anderen ist dafür ein Vier-Augen-Prinzip vorzusehen, wonach die Rechte nur von zwei Personen gemeinsam genutzt werden können. Dies sollte über ein geteiltes Kennwort abgesichert werden, auch wenn Windows 2000 dies technisch nicht unterstützt. Domänen-Administratoren Diese Gruppe hat das Recht, die jeweilige Domäne zu verwalten. Alle Objekte, die ein einzelner Domänen-Administrator eingerichtet hat, haben als Besitzer die gesamte Gruppe. Die Mitgliedschaft in dieser Gruppe muss daher besonders sorgfältig geplant und den realen Aufgaben angepasst werden. Domänen-Administratoren können sich Rechte zu allen Objekten einer Domäne verschaffen. Wenn eine Domäne in weitere OUs gegliedert ist, können sich die Domänen-Administratoren auch den Zugriff auf alle Objekte der OUs einrichten. Die Gruppe der Domänen-Administratoren ist auf jedem Computer der Domäne standardmäßig Mitglied in der Gruppe der lokalen Administratoren und hat somit z.b. auch administrative Rechte auf einem File-Server. Die damit verbundenen Zugriffsrechte auf gespeicherte Daten sind unter Umständen äußerst problematisch. Administratoren Administratoren haben Vollzugriff auf die Ressourcen, die sie verwalten. Standardmäßig ist die Gruppe der Domänen-Administratoren Mitglied der Gruppe der Administratoren; diese Mitgliedschaft kann jedoch entfernt wer- 8

13 den. Die administrativen Rechte können beispielsweise so delegiert werden, dass eine Gruppe nur die Administration einer OU wahrnehmen kann. Vollständig abgeschottete Bereiche können somit nur durch die Bildung verschiedener Forests bzw. durch Domänen, die nicht in einen Baum eingebunden sind, gebildet werden. Weitestgehend abgeschottete Bereiche können durch die Bildung einer leeren Stammdomäne geschaffen werden, die alleinig die Aufgabe hat, eine Klammer für die darunter liegenden Domänen zu bilden, während die administrativen Aufgaben und Einstellungen in den weiteren Domänen realisiert werden. Aus Sicht des Datenschutzes sind mit beiden Gliederungsprinzipien Vorund Nachteile verbunden, und die spezifischen Nachteile müssen durch flankierende technisch-organisatorische Maßnahmen reduziert werden: Bei einer Gliederung nach OUs innerhalb einer Domäne müssen verbindliche Vorgaben für die Besitzübernahme von OUs durch die Domänen- Administratoren in Form von schriftlichen Anforderungen und eine Überwachung der vorgenommenen administrativen Tätigkeiten gewährleistet werden. Da potenziell Zugriff auf alle Attribute aller Objekte der OUs besteht, müssen datenschutzrechtliche Anforderungen bei den Zugriffsberechtigungen besondere Beachtung finden. Bei der Gliederung durch Domänen müssen unternehmensweit geltende Mindeststandards für Sicherheitseinstellungen organisatorisch festgelegt werden und in jeder Domäne eingestellt sowie überwacht werden. 2.4 Gruppenrichtlinien Gruppenrichtlinien dienen dazu, die System- und Anwendungseinstellungen für Gruppen von Benutzern oder Rechnern aus zu definieren. Die Gruppenrichtlinien ersetzen die von Windows NT bekannten System- und Sicherheitsrichtlinien und erweitern diese um zahlreiche Einstellmöglichkeiten. Gruppenrichtlinien können Sites, Domänen und Organisationseinheiten zugewiesen werden. Über die Zugriffsrechte kann die Anwendung für bestimmte Gruppen und Benutzer weiter differenziert werden. Neben den Gruppenrichtlinien im Active Directory können einzelnen Computern lokale Computerrichtlinien zugewiesen werden. Welcher Wert für ein bestimmtes Element, etwa eine OU, zur Anwendung gelangt, wenn mehrere Gruppenrichtlinien auf unterschiedlichen Ebenen konfiguriert werden, hängt von folgenden Verarbeitungsweisen ab: Kumulation Die Einstellungen in der Gruppenrichtlinien für die jeweilige Site, die Domäne und die Organisationseinheiten wirken sich kumulativ aus, wenn es sich nicht um widersprechende Einstellungen handelt. Die Einstellungen werden also nach unten weiter vererbt. Auf diese Weise können schrittweise weitere Einstellungen z.b. in hierarchisch angeordneten OUs vorgenommen werden. Eine domänenübergreifende Vererbung von Gruppenrichtlinien etwa an eine im Domänenbaum darunter liegende Domäne ist nicht möglich. 9

14 Reihenfolge der Abarbeitung Bei sich widersprechenden Einstellungen von Gruppenrichtlinien, die zur Anwendung kommen, greift die Einstellung der Richtlinie, die zuletzt angewandt wird. Generell gilt dabei die Abarbeitungsreihenfolge: 1. Lokale Richtlinie des Computers 2. Richtlinie der Site 3. Richtlinie der Domäne 4. Richtlinien der Organisationseinheiten; bei hierarchisch angeordneten OUs wird die Gruppenrichtlinie der untersten OU zum Schluss angewendet und setzt sich bei widersprechenden Einstellungen damit durch. Wenn für ein Element, z.b. eine OU, gleichzeitig mehrere Richtlinien eingestellt sind, kann die Reihenfolge der Abarbeitung vom Administrator festgelegt werden. Durchsetzen einer Gruppenrichtlinie Es besteht die Möglichkeit, eine Gruppenrichtlinie zwingend durchzusetzen, so dass sie von den Einstellungen der später zur Anwendung gelangenden Richtlinie nicht überschrieben werden kann. Dies geschieht unter den Optionen der Gruppenrichtlinie mit der Einstellung Kein Vorrang: andere Gruppenrichtlinienobjekte können die festgelegte Richtlinie nicht überschreiben. Wenn mehrere Gruppenrichtlinien durchgesetzt werden sollen, die sich widersprechende Einstellungen aufweisen, kommt die hierarchisch höher stehende zum Tragen. Domänen-Administratoren können sich damit gegenüber OU-Administratoren durchsetzen. Vererbung ausschalten Die Vererbung kann auf der unteren Ebene explizit deaktiviert werden. Damit entscheidet die untere Ebene, ob von höheren Ebenen geerbt werden soll oder nicht. Dies erschwert die Gewährleistung von Mindeststandards, soweit nicht die oben beschriebene Durchsetzung einer Gruppenrichtlinie aktiviert ist. Durch die Kombination mehrerer Gruppenrichtlinien und durch die Vererbung von Richtlinien können auf der einen Seite spezifische Anforderungen abgebildet werden. Auf der anderen Seite erschweren es die komplexen Konfigurationsmöglichkeiten nachzuvollziehen, welche Einstellung an einem konkreten Arbeitsplatz zum Tragen kommt. Es wird keine Warnung ausgegeben, dass z.b. eine bestimmte Richtlinie nicht überschrieben werden kann. Neben einer genauen Planung der Gruppenrichtlinien sollte deren Zahl möglichst gering gehalten werden. Zusätzlich besteht an den lokalen Arbeitsplätzen die Möglichkeit, zu prüfen, welche Einstellungen wirken. Dazu kann in der lokale Sicherheitsrichtlinie unter Programme Verwaltung die effektive Einstellung eingesehen werden. Weitere Hinweise liefert das Programm Sicherheitskonfiguration und -analyse unter der Management-Console MMC, mit dem die Konfiguration unter Nutzung von Sicherheitsvorlagen, die in einer Datenbank gespeichert sind, analysiert und verändert werden kann. 10

15 2.5 Benutzergruppen Jede Person, die auf Ressourcen einer Domäne zugreifen möchte, benötigt ein Benutzerkonto in der Domäne. Jedes Konto gehört einer oder mehrerer Gruppen an, mit denen gleichartige Benutzer zusammengefasst werden können. Zur Gewährleitung des datenschutzrechtlichen Grundsatzes der Beschränkung des Zugriffs auf die jeweils berechtigten Personen sollte der Administrator Benutzergruppen für solche Benutzer einrichten, die Anwendungsprogramme gemeinsam benutzen, ähnliche Aufgaben ausführen oder dieselben Informationen benötigen. Die Rechte für die einzelnen Benutzer, die Mitglied in der Gruppe sind, müssen dann nur einmal pro Gruppe vergeben und gepflegt werden. Windows 2000 unterscheidet zwischen lokalen, globalen und universellen Gruppen: Gruppe Verwendung Mögliche Mitglieder Anzeige Lokal Zuweisung von Rechten Globale Gruppe jeder Nur innerhalb der Domäne eigenen Domäne Universelle Gruppe Benutzer der eigenen Domäne Benutzer anderer Domänen Global Gruppierung von Nutzern Benutzer der eigenen In der eigenen für die gleiche Domäne und allen vertrauten Anforderungen gelten Domänen Universell Forestweite Benutzer jeder Domäne In allen Bereitstellung einer Globale Gruppen jeder Domänen des Gruppe Domäne Forest Die Mitgliedschaft in einer universellen Gruppe ist Bestandteil des Globalen Katalogs. Es ist zu beachten, dass damit Veränderungen im gesamten Forest repliziert werden. Im einheitlichen Modus von Windows 2000 können die Gruppen ineinander verschachtelt sein. So kann z.b. eine globale Gruppe Mitglied in einer anderen globalen Gruppe sein kann, was unter Windows NT und im gemischten Modus von Windows 2000 nicht möglich ist. Die Strukturierung und anforderungsgerechte Zuordnung der Rechte wird erleichtert. In der Regel wird man so vorgehen, dass ein Benutzerkonto einer globalen Gruppe zugeordnet wird. Diese globale Gruppe wird gegebenenfalls Mitglied in einer weiteren globalen Gruppe. Diese globale Gruppe wird einer lokalen Gruppe zugeordnet, der dann bestimmte Berechtigungen zugewiesen werden. 2.6 Berechtigungen Für Objekte (Benutzer, OU etc.) können im Active Directory Berechtigungen in differenzierter Form zugewiesen werden. 11

16 Abb. 2: Beispiel für Zugriffsberechtigungen Die einzelnen Berechtigungen werden unter Eigenschaften in der Registerkarte Sicherheitseinstellung des jeweiligen Objektes angezeigt und verändert werden. Default-Einstellungen können unter Erweitert differenziert den Anforderungen entsprechend angepasst werden. Berechtigungen können vererbt werden. Dabei werden vererbte Berechtigungen in der Darstellung blasser dargestellt (Abb. 2), so dass sie sich von explizit zugewiesenen Berechtigungen deutlich unterscheiden. Bei der Zusammenfassung von Berechtigungen gilt, dass speziell zugewiesene Verweigerungen immer zum Tragen kommen. Ansonsten gilt die Summe der zugelassenen Rechte. Wenn kein Recht angegeben ist, gilt implizit die Verweigerung. Administrative Berechtigungen können in einer Domäne vererbt werden. Auf diese Weise können Administratorengruppen mit unterschiedlichen Aufgaben betraut werden und nur die für ihre Aufgaben notwendigen spezifischen Rechte erhalten. 12

17 2.7 Empfehlungen Wenn vollständig abgeschottete Bereiche gebildet werden sollen, müssen getrennte Forests bzw. Domänen eingerichtet werden, die nicht in einen Baum eingebunden sind. Eine Gliederung nach Domänen sollte immer dann vorgenommen werden, wenn dezentrale und selbstständige Einheiten verwaltet und weitgehend voneinander abgeschottete Bereiche gebildet werden sollen. Mit der Bildung von Organisationseinheiten kann die Struktur der Organisation mit ihren Funktionseinheiten und Verwaltungsbereichen abgebildet werden. Die Rechte und Pflichten insbesondere der Organisations- und Domänen- Administratoren sind schriftlich festzulegen und so weit wie möglich technisch zu kontrollieren. Dazu gehören geteilte Passworte. Der administrative Zugriff auf File-Server sollte auf die Administratoren des jeweiligen Bereichs beschränkt werden und nicht standardmäßig allen Domänen-Administratoren erlaubt werden. Die Zahl der Gruppenrichtlinien, die zur Anwendung kommen, sollte möglichst gering sein, da andernfalls die Gefahr besteht, dass aufgrund der Komplexität eine fehlerhafte Konfiguration entsteht. Aus diesem Grund sollte auch das Durchsetzen einer Gruppenrichtlinie und das Ausschalten der Vererbung nur sehr sparsam genutzt werden. Die Festlegung der einzelnen Sicherheitseinstellungen sollte möglichst nur in einer Richtlinie vorgenommen werden und nicht redundant in mehreren, um eine gute Übersichtlichkeit zu erhalten. Da der einheitliche Betriebsmodus u.a. Vorteile für die Gruppenstrukturierung bietet, sollte dieser nach Möglichkeit genutzt werden. Im gemischten Modus sollte der Eintrag Jeder in der voreingestellten Gruppe Prä-Windows 2000 kompatibler Zugriff gelöscht werden. 3 Sichere Authentisierung durch Kerberos Windows 2000 verwendet für die Authentisierung im Netzwerk das Kerberos- Protokoll. Das von Windows NT bekannte Protokoll NTLM (NT LAN-Manager) wird damit weitgehend abgelöst. Dieser Schritt bedeutet einen wesentlichen Sicherheitsgewinn, da NTLM für eine Reihe von Sicherheitsdefiziten bekannt ist. Aus Kompatibilitätsgründen wird NTLM jedoch auch von Windows 2000 unterstützt und in Netzwerken, in denen auch Stationen mit anderen Windows- Betriebssystemen vorhanden sind sowie für die rein lokale Anmeldung verwendet. Bei Kerberos handelt es sich um einen Standard, der nicht von Microsoft selbst, sondern am MIT (Massachusetts Institute of Technology) entwickelt worden ist. Dies garantiert prinzipiell eine Kompatibilität der Authentisierung in Windows 2000 mit anderen Kerberos-basierten Systemen, etwa im UNIX- 13

18 Bereich. Grundlage für die Implementation in Windows 2000 ist Version 5 des Kerberos-Protokolls. 3.1 Funktionsprinzipien Ohne auf die Details des Kerberos-Systems eingehen zu können, soll hier eine kurze Übersicht über die Funktionsweise gegeben werden. Wesentliches Prinzip der Kerberos-Authentisierung ist die Verlagerung der Identitätsprüfung von der zu nutzenden Ressource selbst (z.b. einem Datenserver) auf einen zentralen Dienst. Dieser gibt sogenannte Tickets an die Benutzer aus, mit denen sie sich dann gegenüber den Netzwerkressourcen ausweisen können. Die Tickets können im Rahmen einer festgelegten Gültigkeitsdauer wiederverwendet werden; danach ist eine erneute Anforderung beim Kerberos- Server erforderlich. Mit Hilfe geschützter Zeitstempel wird sichergestellt, dass Tickets nicht durch Dritte wiedereingespielt werden können. Ein wichtiges Leistungsmerkmal ist dabei die Möglichkeit der gegenseitigen Authentisierung, d.h. auch der Client kann sich der korrekten Identität des Servers versichern. Dies ist vor allem in offenen Netzen von Bedeutung, bei denen es nicht ausgeschlossen werden kann, dass ein Server durch einen anderen, manipulierten ersetzt wird. Das Kerberos-Protokoll stellt sicher, dass zu keinem Zeitpunkt Kennwörter, weder offen noch verschlüsselt übertragen werden. Die Authentisierung basiert vielmehr auf dem gegenseitigen Nachweis, ein geteiltes Geheimnis zu kennen. 3.2 Besonderheiten der Kerberos-Implementation in Windows 2000 Obwohl es sich bei Kerberos um einen offenen Standard handelt, sind in der in Windows 2000 implementierten Variante einige Besonderheiten vorhanden: Kerberos unter Windows 2000 basiert auf dem DNS-Dienst (Domain Name System). Auf diesem Weg wird die Information über die IP-Adresse des Kerberos-Servers bereitgestellt. Sollen andere Kerberos-Server eingebunden werden, die nicht über diese DNS-basierte Identifikation verfügen, müssen deren Adressen statisch in die Clients eingetragen werden. Neben der Funktion der Authentisierung wird Windows-2000-Kerberos auch zur Rechteverwaltung eingesetzt. Dazu werden den Tickets SIDs (Security Identifier) aus dem Active Directory mitgegeben, die Auskunft über die Rechte des Clients bzw. Benutzers geben. Diese Daten werden signiert, um eine Manipulation durch einen Benutzer zu verhindern, der auf diese Weise seine Rechte erweitern möchte. Windows 2000 Clients verwenden standardmäßig eine Präauthentisierung gegenüber dem Kerberos-Authentisierungs-Service in Form einer mit dem Client-Schlüssel verschlüsselten Zeitmarke. Auf diese Weise wird sichergestellt, dass nur berechtigte Clients Tickets anfordern können. Dieses Feature kann für ein einzelnes Benutzerkonto abgestellt werden (Benutzereigenschaften Konto Kontooptionen Keine Kerberos-Präauthentifizierung erforderlich). Dies sollte nur erfolgen, wenn es aus Kompatibilitätsgründen mit anderen Kerberos-Versionen erforderlich ist. 14

19 Neben der Passwort-basierten Benutzerauthentisierung erlaubt Windows 2000 auch eine Chipkarten-basierte Lösung auf Basis von X.509-Zertifikaten. Zusätzlich zum UDP-Port 88 wird auch TCP-Port 88 verwendet, um größere Datenmengen in Kerberos-Tickets transportieren zu können. 3.3 Konfiguration In der Sicherheitsrichtlinie für Domänen des Domänen-Controllers können verschiedene operative Parameter des Kerberos-Systems eingestellt werden (siehe Abb. 3). Im Einzelnen: Benutzeranmeldeeinschränkungen erzwingen: Legt fest, dass der Kerberos- Server bereits vor Ausstellen eines Diensttickets (Service-Ticket) überprüft, ob der Client entsprechende Rechte (lokale Anmeldung bzw. Zugriff aus dem Netzwerk) auf dem Zielserver besitzt. Abb. 3: Kerberos-Einstellungen (Default-Werte) Max. Gültigkeitsdauer des Benutzer- bzw. Diensttickets: spätestens nach dieser Zeit verfallen die jeweiligen Tickets (Benutzer- bzw. Session-Ticket), und sie müssen erneuert werden bzw. es müssen neue angefordert werden. Die Werte können auf Null gesetzt werden, um einen Verfall zu verhindern; davon ist jedoch aus Sicherheitsgründen abzuraten. Die Standardeinstellungen (10 Stunden) sind im Allgemeinen sinnvolle Werte; in besonders sensiblen Bereichen bzw. bei Verwendung stark abhörgefährdeter Kanäle sollten die Werte reduziert werden. Max. Toleranz für die Synchronisation des Computertakts: Höchstwert für die Differenz der Systemzeiten von Kerberos-Endgeräten. Gehen die Uhren stärker auseinander, scheitert die Kommunikation. Die Voreinstellung 5 Minuten sollte in den meisten Fällen ausreichen. Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann: spätestens nach dieser Zeit muss ein neues Benutzerticket (Ticket Granting Ticket, TGT) angefordert werden, d.h. ein Erneuern des bestehenden Tickets ist dann nicht mehr möglich. 3.4 Empfehlungen Um die erhöhte Sicherheit des Kerberos-Protokolls gegenüber NTLM vollständig ausnutzen zu können, sollten ausschließlich Windows 2000 Geräte 15

20 zum Einsatz kommen. Zumindest sollten eventuell vorhandene Geräte mit anderen Windows-Versionen nicht zur Anmeldung für kritische Konten (Administratoren, Benutzer mit Zugang zu sensiblen Daten etc.) benutzt werden. Die Windows 2000 Server sollten mit hoher Verschlüsselungsstärke ( High Encryption Pack ) ausgestattet sein, um Kerberos mit Schlüssellängen von 128 Bit betreiben zu können. Der Kerberos-Server sollte so konfiguriert werden, dass die vergebenen Tickets nach angemessener Zeit verfallen und durch neue ersetzt werden müssen. Es sollte beachtet werden, dass sich das Kerberos-System von Windows 2000 auf die Domänenanmeldung sowie einge andere Dienste (z.b. IPSec, Vertrauensstellungen) erstreckt, nicht jedoch auf Programme wie telnet oder ftp. 4 Verschlüsselte Datenspeicherung mit EFS Mit dem Encrypting File System (EFS) verfügt Windows 2000 über die Möglichkeit, Dateien für den Benutzer transparent zu verschlüsseln. Die datenschutzrechtliche Forderung nach Vertraulichkeit von gespeicherten Daten auch bei direktem Zugriff auf die Festplatte (z.b. bei Diebstahl eines Laptops oder im Rahmen der Wartung) kann daher in einem gewissen Umfang ohne Zusatzprodukte umgesetzt werden. Die EFS-Verschlüsselung wirkt nur auf Ebene der Speicherung, nicht jedoch bei der Übertragung im Netz (siehe dazu Kapitel 5). Da sich für den Benutzer die Bedienung des EFS darauf beschränkt, für Ordner oder einzelne Dateien einmalig festzulegen, ob eine Verschlüsselung erfolgen soll, kann die damit verbundene Sicherheit auch von weniger versierten Benutzern genutzt werden. Die Schlüssel werden automatisch mit der Anmeldung unter Windows 2000 zur Verfügung gestellt, so dass die zusätzliche Eingabe eines Kennworts nicht erforderlich ist. 4.1 Funktionsweise Durch das EFS erfolgt eine Verschlüsselung stets auf Dateiebene. Ob eine Verschlüsselung erfolgen soll, kann bei jeder Datei individuell eingestellt werden (Eigenschaften Allgemein Erweitert Inhalt verschlüsseln, um Daten zu schützen). Auch für Dateiordner existiert ein entsprechendes Attribut. Dies führt jedoch nicht dazu, dass die Ordner selbst verschlüsselt werden, sondern gibt lediglich vor, dass neue Dateien in diesem Ordner verschlüsselt werden sollen. Die Möglichkeit, die Verschlüsselung auf Dateiebene einzustellen, bleibt davon unberührt, so dass in verschlüsselten und in unverschlüsselten Ordnern sowohl verschlüsselte als auch unverschlüsselte Dateien existieren können. Als Algorithmus für die Datenverschlüsselung dient DESX (expanded Data Encryption Standard), wobei standardmäßig 56 Bit Schlüssellänge und als Erweiterung ( High Encryption Pack ) 128 Bit verwendet werden. Für jede Datei wird ein entsprechender Dateischlüssel erzeugt; dieser wird mit dem öffentlichen Schlüssel des berechtigten Nutzers verschlüsselt und zusammen mit den verschlüsselten Daten gespeichert. Nur bei Kenntnis des zugehörigen privaten Schlüssels kann das Betriebssystem dann zunächst auf den Datei- 16