Florian Sailer. Payment Card Industry Data Security Standard mit Microsoft Windows Server Verfügbar als Monographie ab November 2009

Transkript

1 Florian Sailer Payment Card Industry Data Security Standard mit Microsoft Windows Server 2008 Verfügbar als Monographie ab November 2009 ISBN

2 Auszug Kurzbeschreibung Die verpflichtende Einhaltung von Normen und Standards ist bei Entwicklung, Umsetzung und Betrieb eines IT Projektes oder Produktes keine Seltenheit mehr. Der Umgang mit regulativen Anforderungen ist dem täglichen Geschäft hinzuzufügen und als fester Bestandteil einer IT Service Strategie zu betrachten. Payment Card Industry (PCI) Data Security Standard (DSS) ist der Standard zur Aufrechterhaltung der Sicherheit bei Verarbeitung und Speicherung von Kreditkarteninformationen. Gültig für alle Organisationen, die am Transaktionsprozess beteiligt sind, werden, je nach Vorgabe des sich im Einsatz befindlichen Kreditkarteninstituts, die getroffenen Maßnahmen zur Umsetzung der Anforderungen durch Selbst-Audits oder unabhängige On- Site-Audits, auf Konformität überprüft. Abweichungen können mit Bußgeldern oder Lizenzentzug geahndet werden. Um Kosten und Aufwand einer PCI DSS-konformen Kreditkartenumgebung minimeren zu können, ist eine Evaluation und Auswahl adäquater Sicherheitstechnologien-, Architekturen und Serverplattformen unabdingbar. Microsoft stellt mit seinem Produkt Windows Server 2008 kosteneffiziente Technologien und Methoden zur Verfügung, die aufgrund ihrer sicherheitstechnischen Merkmale einzelnen PCI DSS Richtlinien entsprechen. Ein detaillierter Vergleich der unterschiedlichen Anforderungen mit angebotenen Produktfeatures und Einstellungen ergibt, dass Windows Server 2008 als Basissystem zur Bereitstellung eines Payment-Service eingesetzt und hinsichtlich PCI DSS optimal erweitert werden kann.

3 Auszug 1. ZUSAMMENFASSUNG Die Analyse, welche Anforderungen der PCI DSS Version 1.2 mit Windows Server 2008 Konfigurationsoptionen im Architektur-, Feature- und Servicebereich umgesetzt werden können, ergibt folgendes Resultat: Es wird keine von zwölf PCI DSS Anforderungen auf erster Ebene mit Windows Server 2008 Enterprise ohne Installation zusätzlicher Software abgedeckt. Durch integrierte Windows Server 2008 Enterprise Konfigurationsoptionen werden in Summe elf von 62 PCI DSS Anforderungen auf zweiter Ebene und 40 von 143 PCI DSS Anforderungen auf dritter Ebene erfüllt. Die einzelnen Requirements werden anhand der definierten Untersuchungsdimensionen Planung, Installation, Konfiguration und Betrieb zugeordnet. Die detaillierten Ergebnisse dazu sind dem Appendix zu entnehmen PLANUNG Im Architekturbereich ist das Restricted-Access-Forest-Design und das Single Domain Model bereits ohne zusätzliche Anpassung PCI DSSkonform. Folgende Eigenschaften werden dabei verwendet: Die zentrale Identitätssteuerung mit AD DS umfasst die Anforderungen 8.1, und Das AD DS Rechteverwaltungssystem und die AD Sicherheitsgruppen erfüllen die rollenbasierte Zugriffssteuerung aus Anforderung

4 Auszug Mit NTLM und Kerberos werden die Anforderungen 8.2, 8.4 und an Authentifizierungsmaßnahmen abgedeckt. Durch LSASS wird die automatisierte Zugriffskontrolle der Anforderungen und umgesetzt. CNG Suite B ermöglicht den Einsatz starker Kryptographie Algorithmen für Anforderung Durch vordefinierte EventLog-Details werden vollständige Prüfverfahrenseinträge für Anforderung 10.3 implementiert. Der PDC Emulator ist mit der automatischen Systemuhrensynchronisation für Anforderung 10.4 verantwortlich. Multiple Kennwort- und Kontorichtlinien sowie ein einheitliches Ressourcen- und Berechtigungsschema basieren auf anerkannten und standardisierten Technologien und vervollständigen die Lösung in der Konfigurationsphase. Mit Hilfe des MSF kann ein Projektplan zur Implementierung erstellt werden, der die Besonderheiten der Microsoft Technologie berücksichtigt. Zusätzlich werden durch den Infrastructure Planing and Design Guide Referenzarchitekturen von Microsoft für Komplettsysteme vorgestellt, die herangezogen werden können INSTALLATION Durch das neue Rollenkonzept kann die Installation von Funktionen einzelner Server genau angepasst sowie die Steuerung mit Hilfe eines umfangreichen Server-Managers benutzerfreundlich verwaltet werden. Dies wird zur Umsetzung der Anforderung eingesetzt. Eine Härtung der Systeminstallation erfolgt mittels ICT Manager, SCW und veröffentlichten SSLF Vorlagen aus dem Security Compliance Toolkit, die

5 Auszug als GPO zentral konfiguriert und automatisch verteilt und angewendet werden können. Features wie das SSLF Template fungieren als Konfigurationsstandard für Anforderung 2.2 und 2.2.3, SCW dient als Systemhärtungsverfahren für Anforderung Mit der Installationsoption Server Core existiert ein Feature, das die Angriffsfläche auf ein Minimum reduziert und den Fokus auf eine unterbrechungsfreie Ausführung des Serverdienstes legt. Anwendung findet dies bei der Anforderung Zur Bereitstellung einer verschlüsselten Fernwartung mit Zwei-Faktor- Authentifizierung erlaubt AD CS den Aufbau einer vollwertigen internen PKI mit X.509v3 Zertifikatausstellung für Benutzer und Computer. Verbindungen über TS-Gateway oder SSTP unterstützen mit CNG, die in PCI DSS definierte starke Verschlüsselung sowie ein Smartcard-basiertes RBAC zur Durchführung administrativer Aufgaben. Installierte Features und Services wie die Remote-Zugriff-Verschlüsselung bei TS-Gateway und SSTP sind relevant für Anforderung 2.3. Mit Smartcards für zwei-faktor-authentifizierung werden die Anforderungen 8.3 und ermöglicht. Um den Ansprüchen einer individuellen Payment-Lösungs-Applikation hinsichtlich Stabilität, Skalierbarkeit und Ausfallssicherheit gerecht zu werden, steht mit IIS 7.0 ein modular konfigurierbarer Webapplikationsserver bereit, der das.net Framework nativ sowie SSL 3.0 implementiert und der als Cluster installiert werden kann. Mit der einstellbaren Einschränkung auf SSL Version 3.0 oder höher wird Anforderung 4.1 erfolgreich umgesetzt.

6 Auszug 1.3. KONFIGURATION Konfiguration und Parametrierung sind über lokal oder remote installierte Windows Administrationsprogramme möglich und mit einer Benutzeroberfläche ausgestattet. Durch DACL- und SACL-Einträge auf Objekte im NTFS und AD Verzeichnis ist eine granulare Rechtedelegation und Überwachung möglich. Systemweite Audit-Richtlinien vervollständigen die Konfiguration und Aktivierung eines Audit-Trails. In Kombination sind folgende Implementierungen umsetzbar: Das Privilegienmodell mit Lese-, Erstellungs- und Änderungsrechten bietet Konformität mit Anforderung Eine kontinuierliche und systemweite Protokollierung nach Anforderung 10.1 wird mit Audit-Policies erfüllt. Bei Aktivierung der Audit-Policies Audit Account Logon Events, Audit Logon Events, Audit Account Management, Audit Directory Service Access, Audit Change Policy, Audit System Events, Audit Object Access und Directory Service Changes werden die Anforderungen , , , , und abgedeckt. Durch die dedizierte Privilegienvergabe SeSecurityPrivilege erfolgt eine Audit-Log Zugriffsbeschränkung für Benutzer, die in den Anforderungen und vorgeben sind. Kennwort- und Kontorichtlinien können durch Anpassung der folgenden Einstellungen PCI-DSS-konform gestaltet werden: Die Password Properties Option User Must Change Password At Next Logon erfordert eine sofortige Änderung des Passworts nach erster Verwendung und ermöglicht damit Anforderung

7 Auszug Die Account Properties Optionen Account Expires, Account Is Disabled, Logon Hours und Idle Session Limit erwirken direkte oder zeitlich abhängige Begrenzungen der Anmeldung und erfüllen damit die Anforderungen 8.5.4, 8.5.6, und Die Password Policy Konditionen MaximumPasswordAge, MinimumPasswordLength, PasswordComplexity und PasswordHistorySize implementieren die Anforderungen 8.5.9, , und Mit den Account Lockout Policy Richtlinien LockoutBadCount und LockoutDuration werden die Anforderungen und umgesetzt. Zugriff und Änderungen an systemgeschützten Dateien werden durch WinRP verhindert oder aufgrund von Audit Policies-Einstellungen in den EventLogs vermerkt. Dabei wird die betriebssystemspezifische Dateiintegrität für Anforderung 11.5 abgedeckt. Über HTTPS Event Forwarding erfolgt die Übertragung und Zusammenführung auf einen zentralen Protokollserver, der mittels Windows Server Backup täglich gesichert wird. Dieses Feature erfüllt die Anforderung an eine sofortige Sicherung der Audit-Trail-Daten für Anforderung BETRIEB Das Best-Practice Verwaltungsmodel der Windows Server 2008 Serverumgebung ist eine Fokussierung auf die Möglichkeiten, die zentrale GPOs mit den Computer- und Benutzerrichtlinien anbieten. Mit einer enormen Anzahl an vorgefertigten Einstellungsoptionen und einer uneingeschränkten Erweiterung durch neue Werte für die Registrierungsdatenbank, zusammengefasst in administrativen Vorlagen, sind komplette Konfigurationsschemata auf Server und Clients im AD anwendbar. Angewendet wird

8 Auszug dies bei der Konfiguration des RDP Parameters Device Redirection Clipboard für Anforderung OUs und Gruppen erlauben eine Unterteilung anhand von Funktionen, die nicht nur von sicherheitstechnischer Bedeutung sind, sondern auch den Gültigkeitsbereich von GPOs festlegen. Auch wenn das Privileg der Zuweisung von GPOs an spezielle Personen delegiert werden kann, ist eine Nachvollziehbarkeit aller Änderungen des Inhaltes nur mit formalen Prozessen und schriftlicher Dokumentation aufrecht zu erhalten.

9 Auszug 2. LITERATURVERZEICHNIS FACHLITERATUR Davies, Joseph (2008): Windows Server 2008 TCPIP Protocols and Services. Redmond, Wash.: Microsoft Press. Davies, Joseph; Tony Northrup (2008): Windows Server Networking and Network Access Protection (NAP). Redmond, Wash.: Microsoft Press (Windows Server 2008 Resource Kit / Microsoft, 5). Holme, Dan (2008): Windows Administration Resource Kit. Productivity Solutions for IT Professionals. Redmond, Wash.: Microsoft Press (Windows Server 2008 Resource Kit / Microsoft, 2). Holme, Dan; Nelson Ruest; Danielle Ruest (2008): MCTS Self-Paced Training Kit (Exam ). Configuring Windows Server 2008 Active Directory. Redmond, Wash.: Microsoft. Johansson, Jesper M. (2008): Microsoft Windows Server 2008 Security Resource Kit. Redmond, Wash.: Microsoft Press (Windows Server 2008 Resource Kit / Microsoft, 3). Komar, Brian (2008): Windows Server 2008 PKI and Certificate Security. Redmond, Wash.: Microsoft Press. Mackin, J. C.; Anil Desai (2008): MCTS Self-Paced Training Kit (Exam ). Configuring Windows Server 2008 Applications Infrastructure. Redmond, Wash.: Microsoft Press. Mackin, J. C.; Anthony Northrup (2008): MCTS Self-Paced Training Kit (Exam ). Configuring Windows Server 2008 Network Infrastructure. Redmond, Wash.: Microsoft Press. McLean, Ian; Thomas Orin (2008): MCITP Self-Paced Training Kit (Exam ). Windows Server Administration. Redmond, Wash.: Microsoft Press.

10 Auszug Reimer, Stan; Conan Kezema; Mike Mulcare (2008): Windows Server 2008 Active Directory Resource Kit. Redmond, Wash.: Microsoft Press (Windows Server 2008 Resource Kit / Microsoft, 4). Stanek, William R. (2008): Windows Server 2008 Inside Out. Redmond, Wash.: Microsoft Press. Thomas, Orin; John Policelli; Ian McLean (2008): MCITP Self-Paced Training Kit (Exam ). Windows Server Enterprise Administration. Redmond, Wash.: Microsoft Press. Tulloch, Mitch (2003): Microsoft Encyclopedia of Security. Redmond, Wash.: Microsoft Press. Tulloch, Mitch (2007): Introducing Windows Server Redmond, Wash.: Microsoft Press. Tulloch, Mitch (2008): Windows Vista Resource Kit, Second Edition. 2nd ed. Redmond, Wash.: Microsoft Press. Volodarsky, Mike (2008): Internet Information Services 7.0 Resource Kit. Redmond, Wash.: Microsoft Press (Windows Server 2008 Resource Kit / Microsoft, 1). Wilson, Ed (2008): Windows PowerShell Scripting Guide. Redmond, Wash.: Microsoft Press (Windows Server 2008 Resource Kit / Microsoft, 6). INTERNETLINKS Augsten, Stephan (2008): Warum Unternehmen den PCI Data Security Standard einhalten sollten. PCI-DSS-Compliance wird für Kreditkarten- Unternehmen zur Pflicht-Aufgabe. Online verfügbar unter Davies, Joseph (2007): The Cable Guy. The Secure Socket Tunneling Protocol. Online verfügbar unter en-us/magazine/ cableguy.aspx.

11 Auszug Dietrich, Michael W. (2001): Das Microsoft Solutions Framework. Herausgegeben von Microsoft Corporation. Online verfügbar unter Lyon, Gordon (2006): Top 10 Vulnerability Scanners. Online verfügbar unter ICSA Labs (2007): ICSA Labs Certified Anti-Virus Products. Online verfügbar unter pid=b31a$6140dfe3-4a851ebd$eaa4-72b. ISC2 (2008): CSSLP - Certified Secure Software Lifecycle Professional. Online verfügbar unter Johansson, Jesper M. (2008): Microsoft TechNet - TechNet Magazine. Sicherheit auf dem Prüfstand. Verwenden des SCW unter Windows Server Online verfügbar unter de-de/magazine/ securitywatch.aspx. Lukawiecki, Rafal (2007): Microsoft Solutions Framework 4.0 Core and its Families. Herausgegeben von Microsoft Corporation. Online verfügbar unter 1b0d95a3-40be-41ce-a40d-512a5f869938/DEV210_Lukawiecki.pptx. Microsoft Corporation (2005): The Trustworthy Computing Security Development Lifecycle. Online verfügbar unter en-us/library/ms aspx. Microsoft Corporation (2007): Microsoft Knowledge Base: Deaktivieren von PCT 1.0, SSL 2.0, SSL 3.0 oder TLS 1.0 in Internet Information Services. Version: 7.2. Online verfügbar unter Microsoft Corporation (2007): Microsoft Malware Protection Center. Threat Research and Response. Online verfügbar unter Microsoft Corporation (2008): IT Compliance Management Guide. Version 1.0. Online verfügbar unter

12 Auszug Microsoft Corporation (2008): Microsoft TechNet. Online verfügbar unter Microsoft Corporation (2008): Microsoft Operations Framework. Version 4.0. MOF Overview. Online verfügbar unter 27B8-49D1-BACA-B175E8F54C0C&displaylang=en. Microsoft Corporation (2008): Windows Server Potenziale dynamisch realisieren. Online verfügbar unter 9daaf93b3f7a/WS08_EndkBrosch%20SalesGuide.pdf. Microsoft Corporation (2008): Windows Server 2008 Datenblatt. Online verfügbar unter Microsoft Corporation (2008): Windows Server 2008 Security Guide. Security Compliance Management Toolkit. Version 3.0. Online verfügbar unter Microsoft Corporation (2009): Infrastructure Planning and Design Guide Series. Version 1.0. Online verfügbar unter Microsoft Corporation (2009): Microsoft Developer Network. Online verfügbar unter Microsoft Corporation (2009): Microsoft Solution Accelerators. Online verfügbar unter en-us/solutionaccelerators/default.aspx. Microsoft Corporation (2009): Planungshandbuch zur Einhaltung des Payment Card Industry Data Security Standard (PCI DSS). Online verfügbar unter Microsoft Corporation (2009): What's New for Information Protection in Windows Server Online verfügbar unter Microsoft Corporation (2009): What's New for Security in Windows Server Online verfügbar unter de-de/library/cc aspx.

13 Auszug Microsoft Corporation (2009): Windows Server Online verfügbar unter National Computer Emergency Reponse Team of Austria (2008): CERT.at. Online verfügbar unter National Institute of Standards and Technology (2007): Computer Security Division. Computer Security Resource Center. Online verfügbar unter Open Web Application Security Project (2005): OWASP Development Guide 2.0. Online verfügbar unter PCI Security Standards Council LLC (2006): Payment Card Industry (PCI) Data Security Standard. Validation Requirements for Approved Scanning Vendors (ASV). Version 1.1. Online verfügbar unter requirements_for_approved_scanning_vendors_asvs_v1-1.pdf. PCI Security Standards Council LLC (2008): Lifecycle Process for Changes to PCI DSS. Online verfügbar unter PCI Security Standards Council LLC (2008): Payment Card Industry (PCI) - Datensicherheitsstandard PCI-DSS-Navigation. Verständnis der Intention der Anforderungen. Version 1.2. Online verfügbar unter navigating_dss_de.pdf. PCI Security Standards Council LLC (2008): Payment Card Industry (PCI) - Datensicherheitsstandard Selbstbeurteilungs-Fragebogen. Anleitung und Richtlinien. Online verfügbar unter PCI Security Standards Council LLC (2008): Payment Card Industry (PCI) Data Security Standard. Attestion of Compliance for Onsite Assessments - Merchants. Version 1.2. Online verfügbar unter

14 Auszug PCI Security Standards Council LLC (2008): Payment Card Industry (PCI) Data Security Standard. Summary of Changes from PCI DSS Version 1.1 to 1.2. October Online verfügbar unter v1-2.pdf. PCI Security Standards Council LLC (2008): Payment Card Industry (PCI) Data Security Standard Validation Requirements. For Qualified Security Assessors (QSA). Version 1.1a. Online verfügbar unter s_for_qualified_security_assessors_qsas_v1-1.pdf. PCI Security Standards Council LLC (2008): Payment Card Industry (PCI) Datensicherheitsstandard. Anforderungen und Sicherheitsbeurteilungsverfahren. Version 1.2. Online verfügbar unter PCI Security Standards Council LLC (2008): Payment Card Industry (PCI)- Datensicherheitsstandard (DSS) und Payment Application (PA)- Datensicherheitsstandard (PA-DSS). Glossar für Begriffe, Abkürzungen und Akronyme. Online verfügbar unter PCI Security Standards Council LLC (2008): PCI Quick Reference Guide. Understanding the Payment Card Industry Data Security Standard version 1.2. Online verfügbar unter PCI Security Standards Council LLC (2008): Ten Common Myths of PCI DSS. Online verfügbar unter PCI Security Standards Council LLC (2009): The Prioritized Approach to Pursue PCI DSS Compliance. Online verfügbar unter _PCI_DSS_1_2.pdf. SecurityFocus (2008): BugTraq. Online verfügbar unter

15 Auszug Silver, Michael A.; Brian Gammage (2008): Quantifying the Value of Microsoft's Desktop Optimization Pack. Herausgegeben von Gartner. (G ). Online verfügbar unter The SANS Institute (2000): SANS' Information Security Reading Room. Online verfügbar unter The SANS Institute (2000): SANS Internet Storm Center. Online verfügbar unter Visa (2009): Merchants. Compliance validation details for merchants. Online verfügbar unter Zetter, Kim (2009): PIN Crackers Nab Holy Grail of Bank Card Security. Online verfügbar unter

16 Auszug 3. APPENDIX Payment Card Industry Data Security Standard Version 1.2 Systemkomponente Windows Server 2008 Anforderung Anweisung Prüfverfahren Implementierung Kommentar 2.2 Entwickeln von Konfigu- Viele Schwachstellen von 2.2.a Überprüfen Sie die Windows Server 2008 SSLF Template fungiert als rationsstandards für alle Betriebssystemen, Daten- Systemkonfigurationsstan- Security Guide Basis für den Konfigurati- Systemkomponenten. banken und Unterneh- dards des Unternehmens onsstandard Gewährleisten, dass diese mensanwendungen sind für alle Arten von System- Specialized Security Standards alle bekannten bekannt. Doch es existieren komponenten, und prüfen Limited Functionality Tem- Sicherheitslücken adressie- auch Methoden, um diese Sie, ob die Systemkonfigu- plate ren und branchenweit Systeme so zu konfigurie- rationsstandards bran- akzeptierten Standards zur ren, dass Sicherheitslücken chenweit akzeptierten GPOAccelerator Systemstabilisierung ent- geschlossen werden. Um Standards zur Systemstabi- sprechen. Personen zu unterstützen, lisierung entsprechen, wie die keine Sicherheitsexper- z. B. SysAdmin Audit Net- ssg ten sind, haben Sicher- work Security (SANS), heitsunternehmen Empfeh- National Institute of Stan- lungen zur Systemstabilisie- dards Technology (NIST) rung aufgestellt, die eine und Center for Internet Anleitung zur Behebung Security (CIS). dieser Schwachstellen bieten. Werden die 2.2.b Überprüfen Sie, dass Schwachstellen von Syste- Systemkonfigurationsstan- men nicht behoben z. B. dards jedes der unten schwache Dateieinstellun- (unter ) aufge- gen oder Dienst- und Pro- führten Elemente enthalten. tokollstandardeinstellungen (für häufig nicht benötigte 2.2.c Überprüfen Sie, ob Dienste oder Protokolle), Systemkonfigurationsstan- kann ein Angreifer mehrere, dards angewendet werden, bekannte Exploits nutzen, wenn neue Systeme konfi- um anfällige Dienste und guriert werden. Protokolle anzugreifen und so Zugang zu Ihrem Unternehmensnetzwerk zu erhalten. Auf den folgenden drei Websites können Sie sich über die branchenüblichen bewährten Methoden informieren, die Sie bei der Implementierung von Konfigurationsstandards unter-

17 stützen können: Implementieren nur Damit soll sichergestellt Überprüfen Sie für Windows Server 2008 Technische Lösung für den einer primären Funktion pro werden, dass die System- eine Stichprobe von Sys- Roles Systemkonfigurationsstan- Server. konfigurationsstandards temkomponenten, dass nur dard Ihres Unternehmens sowie eine primäre Funktion pro Server Manager damit verbundene Prozesse Server implementiert ist. Serverfunktionen angehen, Webserver, Datenbankser- die über verschiedene ver und DNS sollten bei- Sicherheitsstufen verfügen spielsweise auf separaten müssen oder die Sicher- Servern implementiert sein. heitsschwächen bei anderen Funktionen auf demselben Server verursachen können. Beispiel: 1. Eine Datenbank erfordert starke Sicherheitsmaßnahmen. Würde eine Datenbank einen Server mit einer Webanwendung teilen, die offen und unmittelbar an das Internet angebunden sein muss, wäre die Datenbank einem hohen Risiko ausgesetzt. 2. Wird versäumt, einen Patch für eine scheinbar unwichtige Funktion anzuwenden, könnte dies zu einem Sicherheitsangriff führen, durch den andere, wichtigere Funktionen (z. B. eine Datenbank) auf demselben Server beeinträchtigt würden. Diese Anforderung bezieht sich auf Server (in der Regel Unix-, Linux- oder Windows-basiert) und nicht auf Mainframe- Systeme Deaktivieren aller Wie unter ausgeführt, Überprüfen Sie für Windows Server 2008 Technische Lösung für den unnötigen und unsicheren existieren viele Protokolle, eine Stichprobe von Sys- Security Guide Konfigurationsstandard und Dienste und Protokolle die ein Unternehmen mögli- temkomponenten aktivierte Prozess (nicht direkt für die Ausfüh- cherweise benötigt (oder Systemservices, Daemons Windows Server 2008 rung der spezifischen Gerä- die standardmäßig aktiviert und Protokolle. Überprüfen Attack Surface Refer- tefunktion erforderliche sind), die jedoch häufig von Sie, dass nicht benötigte ence.xlsx Funktionen) böswilligen Personen ge- oder unsichere Services nutzt werden, um auf ein oder Protokolle nicht akti- Security Configuration Netzwerk zuzugreifen. Um viert sind oder dass der Wizard sicherzustellen, dass diese entsprechende Einsatz des Dienste und Protokolle stets Service begründet und

18 deaktiviert sind, wenn neue dokumentiert ist. FTP wird ssg Server eingerichtet werden, z. B. nicht verwendet oder sollte diese Anforderung wird über SSH oder andere Bestandteil der Konfigurati- Technologie verschlüsselt. /de- onsstandards Ihres Unter- de/library/cc aspx nehmens sowie damit verbundener Prozesse sein Konfigurieren von Hierdurch soll sichergestellt a Führen Sie Gesprä- Windows Server 2008 Unterstützt Systemkonfigu- Systemsicherheitsparame- werden, dass die System- che mit Systemadministra- Security Guide rationsstandards & Prozes- tern, um Missbrauch zu konfigurationsstandards toren und/oder Sicherheits- se verhindern. Ihres Unternehmens sowie beauftragten, um zu über- Specialized Security damit verbundene Prozesse prüfen, ob diese die gängi- Limited Functionality Tem- speziell auf Sicherheitsein- gen Sicherheitsparameter- plate stellungen und Parameter einstellungen für System- ausgerichtet sind, für die komponenten kennen. bekannte Sicherheitsprob- ssg leme bestehen b Überprüfen Sie, ob gängige Sicherheitsparametereinstellungen in den Systemkonfigurationsstandards enthalten sind c Überprüfen Sie für eine Stichprobe von Systemkomponenten, dass gängige Sicherheitsparameter entsprechend festgelegt sind Entfernen aller unnö- Die Standards zur Server Überprüfen Sie für Windows Server 2008 Technische Lösung für tigen Funktionen, z. B. stabilisierung müssen eine Stichprobe von Sys- Roles & Features Standards und Prozesse Skripte, Treiber, Features, Prozesse beinhalten, die temkomponenten, dass alle Untersysteme, Dateisyste- auf unnötige Funktionen mit unnötigen Funktionen (z. B. Servermanager me und unnötige Webser- speziellen Sicherheitsprob- Skripte, Treiber, Features, ver. lemen ausgerichtet sind (z. Untersysteme, Dateisyste- Server Core Installation B. Entfernen/Deaktivieren me usw.) entfernt werden. der FTP-Funktion oder der Überprüfen Sie, ob aktivier- Webserver-Funktion, wenn te Funktionen dokumentiert der Server diese Funktio- werden und die sichere nen nicht ausführt). Konfiguration unterstützen und ob in den Geräten, die der Stichprobenkontrolle unterzogen werden, nur dokumentierte Funktionen vorhanden sind. 2.3 Verschlüsseln des Erfolgt die Remote- 2.3 Überprüfen Sie für eine TS Gateway: Kombination mit NPS mög- gesamten Nichtkonsolen- Administration nicht über Stichprobe von System- NLA, CAPs/RAP, TS Set- lich Verwaltungszugriffs. Ver- eine sichere Authentifizie- komponenten, dass der tings wenden von Technologien rung und eine verschlüssel- Nichtkonsolen- /de- wie SSH, VPN oder te Kommunikation, können Verwaltungszugriff durch SSTP de/library/cc aspx SSL/TLS für die webbasier- vertrauliche Verwaltungs- folgende Maßnahmen te Verwaltung und sonsti- oder Betriebsinformationen verschlüsselt ist: Domain / Server Isolation gen Nichtkonsolen- (z. B. Kennwörter des /en- mit IPSEC Administrators) abgefangen Beobachten Sie eine Admi- us/library/cc aspx

19 Verwaltungszugriff. werden. Eine böswillige nistratoranmeldung auf Person könnte diese Infor- jedem System, um zu mationen nutzen, um ins überprüfen, dass eine /en- Netzwerk zu gelangen, starke Verschlüsselungs- us/magazine/ cable Administrator zu werden methode aufgerufen wird, guy.aspx und Daten zu stehlen. bevor das Administratorkennwort angefordert wird; Prüfen von Services und Parameterdateien auf Dateien, um festzulegen, dass Telnet und andere Remote-Anmeldebefehle nicht für die interne Nutzung verfügbar sind; Überprüfen, dass der Administratorzugriff auf die webbasierten Managementschnittstellen mit starker Kryptographie verschlüsselt ist Generierung starker Die Verschlüsselungslö Überprüfen Sie, ob Cryptographic Next Gen- kryptographischer Schlüs- sung muss starke Schlüssel Verfahren zur Schlüssel- eration sel generieren, wie unter star- verwaltung implementiert Suite B ke Kryptographie im PCI- sind, die die Erstellung DSS- und PA-DSS-Glossar starker Schlüssel erfordern. für Begriffe, Abkürzungen /de- und Akronyme definiert. de/library/cc aspx 4.1 Verwenden von starker Vertrauliche Informationen 4.1.a Überprüfen Sie die CNG Settings Kryptographie und Sicher- müssen während der Über- Verwendung von Ver- Computer Configura- heitsprotokollen wie tragung über öffentliche schlüsselung (z. B. tion\administrative Tem- SSL/TLS oder IPSEC, um Netzwerke verschlüsselt SSL/TLS oder IPSEC), plates\network\ssl Confi- vertrauliche Karteninhaber- werden, da eine böswillige wenn Karteninhaberdaten guration Settings daten während der Über- Person Daten in dieser über offene, öffentliche tragung über offene, öffent- Phase einfach und mühelos Netzwerke übertragen oder SSL 3.0 liche Netzwerke zu schüt- abfangen und/oder umleiten empfangen werden. HKLM zen. kann. Secure Sockets SYSTEM\CurrentControlSet Beispiele für offene, öffent- Layer (SSL) verschlüsselt Überprüfen Sie, ob wäh- \Control\SecurityProviders\ liche Netzwerke, die in den Websites und auf ihnen rend der Datenübertragung SCHANNEL Umfang des PCI-DSS eingegebene Daten. Bei der starke Verschlüsselung fallen, sind: Verwendung von durch SSL eingesetzt wird. - Das Internet gesicherten Websites muss - Drahtlose Technologien sichergestellt werden, dass Für SSL- - GSM-Kommunikationen https Bestandteil der URL Implementierungen: (Global System for Mobile) ist. - Überprüfen Sie, ob der und Beachten Sie, dass die Server die neuesten Patch- - General Packet Radio SSL-Vorgängerversionen Versionen unterstützt. Service (GPRS) der Version v3.0 nachge- - Überprüfen Sie, ob wiesene Schwächen auf- HTTPS als Bestandteil der weisen, z. B. Pufferüberläu- Browser-URL (Universal fe, die ein Angreifer nutzen Record Locator) angezeigt kann, um Kontrolle über wird.

20 das betreffende System zu erlangen. - Überprüfen Sie, dass keine Karteninhaberdaten erforderlich sind, wenn HTTPS nicht in der URL angezeigt wird. Wählen Sie eine Stichprobe aus Transaktionen bei deren Eingang aus, und beobachten Sie Transaktionen während der Ausführung, um zu überprüfen, ob Karteninhaberdaten während der Übertragung verschlüsselt werden. Überprüfen Sie, dass nur vertrauenswürdige SSL/TLS-Schlüssel/- Zertifikate akzeptiert werden. Überprüfen Sie, dass für die verwendete Verschlüsselungsmethode die richtige Verschlüsselungsstärke verwendet wird. (Prüfen Sie Anbieterempfehlungen/bewährte Verfahren.) Implementierung Je mehr Personen Zugriff Bestätigen Sie, dass LSASS / Security Token eines automatisierten Zu- auf Karteninhaberdaten Zugriffskontrollen über ein griffskontrollsystems haben, desto größer ist das automatisiertes Zugriffs- DACL / SACL Risiko, dass ein Benutzer- kontrollsystem implemen- konto in böswilliger Absicht tiert werden. Local / Universal / Global / genutzt wird. Durch die Domain-Local Groups Beschränkung des Zugriffs auf Personen, die aus wichtigen Geschäftsgründen einen Zugriff benötigen, kann Ihr Unternehmen den aufgrund von Unerfahrenheit oder in böswilliger Absicht erfolgten falschen Umgang mit Karteninhaberdaten verhindern. Werden die Zugriffsrechte nur für die minimale Menge an Daten und Berechtigungen, die zur Durchführung einer Aufgabe erforderlich sind, erteilt, wird dies als Informationsbedarf bezeichnet. Werden Berechtigungen auf der Grundlage der Tätig-