| Beschaffung
Nach Abschluss der konzeptionellen Planungsarbeiten und der Definition der Beschaffungskriterien für einen Server (siehe M 2.317 Beschaffungskriterien für einen Server) sollte in Abhängigkeit der Anzahl der zu beschaffenden Server ein geeignetes Lizenzmodell ausgewählt werden. Die Hilfsmittel zum IT-Grundschutz bieten hierbei Hilfestellung (siehe Auswahl geeigneter Lizenzierungsmethoden für Windows XP/Server 2003 in Hilfsmittel zum Windows Server 2003).
Umsetzung
Nach der Planung von sicherheitsrelevanten Maßnahmen für Windows Server 2003 müssen diese im Rahmen der Umsetzung bzw. Installation und Konfiguration des Windows Server 2003 Systems realisiert werden.
Zur Gewährleistung eines angemessenen Sicherheitsniveaus sollten bei der Umsetzung (und später auch im Betrieb) eines Windows-Server-2003-Systems die folgenden Prämissen beachtet werden:
- Die Funktionalität ist auf die geplante und unbedingt benötigte zu reduzieren (auch im Hinblick auf Clients, die auf den Server zugreifen), um die Angriffsfläche zu minimieren und die Zahl von (potenziellen) Schwachstellen zu verringern (M 4.285 Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003 sowie M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003 und M 4.284 Umgang mit Diensten unter Windows Server 2003).
- Die Konfiguration ist im Hinblick auf Sicherheit und Erfüllung der Aufgabe des Servers zu optimieren (Härten des Servers), so dass nur die tatsächlich notwendige Abwärtskompatibilität und Offenheit des Systems gegeben ist (M 4.282 Sichere Konfiguration der IIS-Basis-Komponente unter Windows Server 2003 sowie M 4.283 Sichere Migration von Windows NT 4 Server und Windows 2000 Server auf Windows Server 2003 und M 4.48 Passwortschutz unter NT-basierten Windows-Systemen).
- Es muss eine aktuelle und angemessene Dokumentation erstellt werden, die den IT-Sicherheitsprozess bestmöglich unterstützt.
Die Maßnahme M 4.237 Sichere Grundkonfiguration eines IT-Systems wird durch M 4.280 Sichere Basiskonfiguration von Windows Server 2003 konkretisiert. Hier sind eine Reihe von kleineren Funktionen sowie grundsätzliche Vorgehensweisen bei der Umsetzung erläutert, mit denen die oben genannten Prämissen erfüllt werden können.
Zur Installation und Konfiguration sollten Hilfsprogramme, sogenannte Assistenten, bevorzugt werden. Manuelle Einstellungen sollten nur wenn unbedingt notwendig vorgenommen werden. So wird einerseits Fehlkonfigurationen vorgebeugt und andererseits die Dokumentation vereinfacht (z. B.: "Assistent mit Standardeinstellungen sowie folgenden drei abweichenden Einstellungen konfiguriert..."). Administrative Hilfsmittel wie Vorlagen und Skripte (M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003 und M 2.367 Einsatz von Kommandos und Skripten unter Windows Server 2003) unterstützen die Standardisierung und Dokumentation.
Sofern der Server neu aufgesetzt wird, fließen alle bisher genannten Schritte bei der Installation und Bereitstellung des Servers zusammen. Um hierfür einen sicheren und zuverlässigen Prozess zu etablieren, sollte M 4.281 Sichere Installation und Bereitstellung von Windows Server 2003 umgesetzt werden.
Betrieb
Im Regelbetrieb ist neben der Gewährleistung einer aktuellen Dokumentation insbesondere der Umgang mit administrativen Vorlagen und die Administration der Berechtigungen von Bedeutung (M 2.368 Umgang mit administrativen Vorlagen unter Windows Server 2003 und M 2.370 Administration der Berechtigungen unter Windows Server 2003).
Die Aufrechterhaltung der Sicherheit wird neben den im Baustein B 3.101 Allgemeiner Server, genannten Maßnahmen M 4.93 Regelmäßige Integritätsprüfung und M 5.8 Regelmäßiger Sicherheitscheck des Netzes für einen Windows Server 2003 durch die Maßnahme M 2.369 Regelmäßige sicherheitsrelevante Wartungsmaßnahmen eines Windows Server 2003 ergänzt bzw. konkretisiert.
Aussonderung
Zur geregelten Aussonderung eines Windows Servers 2003 sollten generell die im Baustein B 3.101 Allgemeiner Server beschriebenen Maßnahmenempfehlungen berücksichtigt werden. Zusätzlich ist in Bezug auf die Deaktivierung bzw. Löschung von einzelnen Konten die Maßnahme M 2.371 Geregelte Deaktivierung und Löschung ungenutzter Konten zu beachten.
Notfallvorsorge
Aspekte der Notfallplanung für einen Windows Server 2003 werden in den Maßnahmen M 6.99 Regelmäßige Sicherung wichtiger Systemkomponenten für Windows Server 2003 und M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows 2000/XP/2003-Systemen thematisiert.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Windows Server 2003" vorgestellt.
| 