M 2.412 Schutz der Authentisierung beim Einsatz von Active Directory
Verantwortlich für Initiierung:
Leiter IT
Verantwortlich für Umsetzung: Administrator
Das Active Directory fungiert innerhalb des Netzes als zentrale Komponente. Um eine vertrauenswürdige Kommunikation zwischen den betroffenen Teilnehmern innerhalb des Netzes gewährleisten zu können, ist die Sicherheit und Zuverlässigkeit hinsichtlich der Authentisierung und Autorisierung beim Zugriff auf Netzressourcen erforderlich.
Um einen möglichst hohen Schutz der Active-Directory-Authentisierung zu erhalten, sollte die LAN-Manager-Authentisierung deaktiviert und der Server-Message-Block-Datenverkehr (SMB-Datenverkehr) zwischen Domänen-Controllern sowie zwischen Domänen-Controller und Computern der Domäne signiert werden. Ferner sollte der prä-Windows-2000-kompatible Zugriff deaktiviert, sowie die anonymen Zugriffe auf die Domänen-Controller eingeschränkt werden.
LAN Manager-Authentisierung
Ein hohes Maß an Sicherheit kann nur erreicht werden, wenn alle Domänen-Controller, Mitgliedsserver und Arbeitsstationen das Authentisierungsprotokoll NTLMv2 (NT LAN Manager Version 2) unterstützen. NTLMv2 steht standardmäßig ab Windows NT 4.0 SP4 zur Verfügung (siehe hierzu auch M 5.123 Absicherung der Netzkommunikation unter Windows). Ältere Authentisierungsprotokolle aus früheren Windows-Versionen bieten eine geringere Sicherheit. So werden beispielsweise bei dem LAN-Manager-Authentisierungsprotokoll (LM) die Kontokennwörter in einem unsicheren LM-Hashformat gespeichert. Die Kennwörter für das Windows-NT-Authentisierungsprotokoll NT LAN Manager (NTLM) und NT LAN Manager Version 2 (NTLMv2) werden im NTLM-Hashformat abgelegt. Der NTLM-Hash ist kryptografisch stärker als das LM-Hashformat.
SMB-Signierung
Das SMB-Protokoll bildet die Grundlage für die Microsoft Datei- und Druckfreigabe sowie für viele andere Netzoperationen, wie z. B. die Remoteverwaltung von Windows. Um beispielsweise Man-in-the-Middle-Angriffe zu verhindern (siehe G 5.143 Man-in-the-Middle-Angriff), bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signatur von SMB-Paketen.
Anonyme Zugriffe
Einige Betriebssysteme und Anwendungen, die für Windows-Betriebssysteme vor Windows 2000 entwickelt wurden, benötigen einen anonymen Zugriff auf andere Server und Domänen-Controller, z. B. setzt der Spooler-Dienst unter Windows NT 4.0 einen anonymen Zugriff auf Remotedrucker voraus. Auch werden anonyme Zugriffe für die Einrichtung von Vertrauensbeziehungen zwischen einer Windows-NT-4.0-Domäne und einer Windows-2000-Domäne benötigt. Für eine größtmögliche Sicherheit sollten anonyme Zugriffe auf Domänen-Controller sowie anonyme Zugriffe auf Active-Directory-Daten strikt unterbunden werden.
Sofern die Serverumgebung verschiedene Windows-Betriebssysteme umfasst, müssen die in Maßnahme M 4.314 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller beschriebenen Sicherheitsempfehlungen angepasst werden, so dass sie mit den früheren Versionen von Windows kompatibel sind.
- Wurde die LAN-Manager-Authentisierung deaktiviert und wird der SMB-Datenverkehr signiert?
