In diesem Kapitel wird genauer darauf eingegangen, welche Aspekte bei der Administration eines NT-Systems zu beachten sind. Insbesondere werden folgende Fragen thematisiert:
Ein Benutzer kann unter Windows NT nur dann arbeiten, wenn für ihn ein Benutzerkonto eingerichtet ist, unter dem er sich anmelden kann. Abhängig von der Wahl des Domänen-Modells wird das Benutzerkonto entweder lokal auf einer NT-Workstation oder auf einem Primary Domain Controller angelegt. In dem Benutzerkonto werden die Zugriffsrechte für NT-Ressourcen definiert (Drucker,
Dateien, etc.) sowie ein Passwort eingerichtet.
Für die verschiedenen Windows-NT-Objekte können für jeden Benutzer und jede Benutzergruppe differenzierte Zugriffsrechte vergeben werden: Read(R), Write(W), Execute (X), Delete(D), Change Permission (P), Take Ownership (O). Benutzer können gleichzeitig mehreren Gruppen angehören, so dass sich hierüber abgestufte, jedoch auch sehr komplexe und teilweise schwer durchschaubare Rechteverteilungen auf-bauen lassen. Windows NT fasst für Verzeichnisse und Dateien die oben genannten Berechtigungen zu folgenden Standardberechtigungen zusammen:
| Zugriffsart | Beschreibung |
|---|---|
| Kein Zugriff (keine Rechte) | Verhindert jeden Zugriff auf den Inhalt des Verzeichnisses, seine Unterverzeichnisse und Dateien. |
| Anzeigen (R) | Der Inhalt des Verzeichnisses (Unterverzeichnisse und Dateien) wird angezeigt, ein Zugriff auf die Daten ist jedoch nicht möglich. |
| Lesen (RX) | Ermöglicht den Zugriff im Umfang der Zugriffsart "Anzeigen"; zusätzlich kann der Inhalt von Dateien gesichtet werden, Anwendungsprogramme können ausgeführt werden. |
| Hinzufügen | Unterverzeichnisse und Dateien können erstellt werden, der Zugriff auf bereits vorhandene Daten ist jedoch nicht möglich. |
| Hinzufügen und Lesen | Kombination der Zugriffsarten "Hinzufügen" und "Lesen" |
| Ändern (RWXD) | Ermöglicht den Zugriff im Umfang der Zugriffsart "Hinzufügen und Lesen"; zusätzlich können Dateien im Inhalt verändert oder gelöscht werden; Unterverzeichnisse können ebenfalls gelöscht werden. |
| Vollzugriff (Alle Rechte) | Ermöglicht den Zugriff im Umfang der Zugriffsart "Ändern"; zusätzlich können Berechtigungen für Unterverzeichnisse und Dateien geändert und der Besitz dafür übernommen werden. |
| Besitz übernehmen (P) | Ermöglicht die Übernahme von Eigentumsrechten |
| Berechtigungen ändern (O) | Ermöglicht das Ändern von Berechtigungen |
Die jeweiligen Zugriffsrechte werden über das Eigenschaftenfenster für jedes einzelne Verzeichnis oder Unterverzeichnis oder jede einzelne Datei vergeben (vgl. Abb.1).
Abbildung 1: Verzeichnis- und Dateiberechtigungen
Zusätzlich führt das Dateisystem NTFS den Begriff des Besitzes an Dateien und Verzeichnissen ein. Besitzer einer Datei oder eines Verzeichnisses ist zunächst der Benutzer, der eine Datei oder ein Verzeichnis erstellt hat. Massgeblich ist dabei der Benutzername, unter dem sich ein Benutzer angemeldet hat. Durch das Besitzverhältnis erhält der Besitzer automatisch das Recht Vollzugriff an der Datei oder dem Verzeichnis. Er hat damit die Möglichkeit, Rechte an dieser Datei zu vergeben, obwohl er nicht Administrator des Systems oder ein Benutzer mit besonderen Rechten ist. Für Verzeichnisse und Dateien mit sensiblem Inhalt sollten dem Administrator die Zugriffsrechte entzogen werden. Er hat zwar in diesem Fall trotzdem die Möglichkeit, sich die Zugriffsrechte durch Besitzübernahme erneut zu gewähren. Dies kann jedoch nicht rückgängig gemacht werden und ist damit für den ursprünglichen Eigentümer der Datei zumindest nachvollziehbar. Die Besitzübernahme an Dateien und Verzeichnissen ist über das Eigenschaftenfenster möglich.
Abbildung 2:Besitzübernahme
Bei der Authentifizierung werden Benutzerkennung und Passwort verschlüsselt an den im User-Mode implementierten Security Account Manager (SAM) weitergeleitet, der die Eingaben bei der Anmeldung verifiziert. Nach erfolgreicher Anmeldung wird den Benutzern ein Berechtigungsausweis ausgestellt, der nicht nur die Zugriffsrechte des Benutzers festhält, sondern auch Auskunft darüber gibt, welchen Gruppen der Benutzer angehört. Systemintern wird anstelle der Benutzerkennung ein Sicherheits-Identifikator (SID) benutzt. Der Security Account Manager verwendet die in der Datei winnt\system32\config\sam
gespeicherten Benutzerdaten. Der direkte Zugriff auf die SAM-Datei ist nicht möglich, da sie ständig vom Betriebssystem benutzt wird und somit immer geöffnet ist.
Aus Kompatibilitätsgründen weist die SAM-Datei zwei codierte Passwörter auf. Ein zum LAN-Manager kompatibles Passwort und eines für Windows NT. Das Passwort für den LAN-Manager besteht aus max. 14 Zeichen, während das Passwort für Windows NT bis zu 128 Zeichen lang sein kann.
Mittlerweile existieren zahlreiche Brute-Force-Programme, die an dem zum LAN-
Manager kompatiblen Passwort ansetzen und die SAM-Datei in kurzer Zeit entschlüsseln können. Das Auslesen der SAM-Datei erfolgt entweder von einem anderen Betriebssystem aus oder wiederum durch entsprechende Hackertools wie beispielsweise PWDump, die die chiffrierten Passwörter aus der SAM-Datei extrahieren.
Standardmässig existiert zudem noch eine Kopie der SAM-Datei (\Winnt\repair\SAM._), die jeder lesen kann, der angemeldet ist. Um einen Brute-Force-Angriff zu erschweren, sollte die Kopie der SAM-Datei daher lediglich auf einer Diskette hinterlegt werden.
Um das Ermitteln von Paßwörtern zu verhindern, steht ab dem Service Pack 3 das Programm Syskey zur Verfügung, das zusätzlich eine 128Bit-Verschlüsselung der SAM-Datei und deren Kopie ermöglicht. Von Syskey sollte daher in jedem Fall Gebrauch gemacht werden.
Passwörter können allerdings auch ohne Zugriff auf die SAM-Datei automatisiert aus-probiert werden, sofern die Anzahl der Login-Fehlversuche nicht begrenzt wird. Ein sehr effektives Programm zum Erraten von Passwörtern stellt NTCrack
dar (somar-soft.com/ftp/ntcrack.zip). NTCrack ist in der Lage, auch Domänenkonten zu attackieren und bei einer Übertragungsrate von 10Mbit/s
mehr als 1000 Loginversuche pro Minute zu starten, mehr als 1 Million am Tag.
NT sollte daher im Benutzer-Manager unter Richtlinien/Konten so konfiguriert werden, dass das Benutzerkonto nach mehr als 5 fehlerhaften Anmeldeversuchen gesperrt wird, die benutzten Passwörter mindestens 6 Zeichen lang sind und Sonderzeichen enthalten müssen. Passwörter sollten höchstens 90 Tage gültig sein. Neue Passwörter sollten mit den letzten 5 zurückliegenden Passwörtern verglichen werden (vgl. Abb.3). Hierfür steht seit dem Service Pack 2 ein entsprechender Passwortfilter zur Verfügung, der in den System32-Ordner kopiert und per Registry-Eintrag aktiviert wird.
Abbildung 3: Passwort-Richtlinien im Benutzer-Manager
Die Begrenzung der Fehlversuche ist für die Systemverwalterkennung jedoch nicht möglich, um eine (böswillige) Sperrung dieses Kontos zu verhindern. Um unberechtigte Anmeldeversuche unter der Administratorkennung zu erschweren, sollte diese Kennung daher zum einen umbenannt werden. Zum anderen sollte der Remote-Zugriff auf die Domain-Administrator-Kennung unterbunden werden.
Die Änderung der Standardeinstellungen auf die empfohlenen Einstellungen wird jedoch nur für Benutzer wirksam, die nach der Änderung neu aufgenommen werden. Benutzerkonten, die vor der Standardfestlegung eingerichtet wurden, sind nachträglich einzeln anzupassen.
Der Zugriff auf Disketten- oder CDROM-Laufwerke, auf Programme und andere NT-Ressorcen werden systemseitig in der Registry ebenso verwaltet wie Sicherheitseinstellungen, die der Internet Explorer nutzt. Somit hat die Registry hinsichtlich der Datensicherheit einen hohen Stellenwert.
Ordnungsgemäß angemeldete Benutzer sind jedoch automatisch Mitglied der Gruppe Jeder, deren Mitglieder standardmässig begrenzt auf bestimmte Registry-Teilschlüssel zugreifen dürfen. Dies gilt auch für Trojanische Pferde, die in der Benutzerumgebung zur Ausführung gelangen.
Um das Verändern von Registryeinträgen durch den Benutzer bzw. unter seiner Kennung agierenden Programmen zu verhindern, sollten die Benutzer auf sicherheitskritische Teilschlüssel der Registry nur lesend zugreifen dürfen (z.B. sämtliche Teilschlüssel von HKEY_CLASSES_ROOT, sämtliche Teilschlüssel von HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RPC,
Teilschlüsssel von HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion).
Dies erfolgt mit Hilfe des Registry-Editors regedt32 unter Sicherheit/Berechtigungen.
Es ist grundsätzlich empfehlenswert, den Zugriff der Anwender auf die Registry-Editoren zu unterbinden und regedt32.exe und regedit.exe zu deinstallieren bzw. den Zugriff hierauf domainweit durch den Systemrichtlinien-Editor einzuschränken. Der Zugriff des Systemverwalters auf die Registry erfolgt stattdessen remote über Editoren, die auf dem Server hinterlegt und dort vor missbräuchlichem Zugriff geschützt sind. Ein Deaktivieren bzw. Sperren der Registry-Editoren ist jedoch nicht so wirksam wie das aufwendigere Einschränken der Zugriffsrechte, da es möglich ist, auch ohne Nutzung der Editoren - entsprechende Detailkenntnisse vorausgesetzt - die Registry zu lesen und zu verändern.
Windows NT bietet standardmässige Funktionen zur Protokollierung von System-, Anwendungs- und Benutzeraktivitäten. Festgelegte oder auswählbare Ereignisse werden in drei Bereichen protokolliert:
Es wird empfohlen, die Protokollierung folgender Ereignisse festzulegen (vgl. Abb.4):
Abbildung 4: Festlegegung des Protokollierung in Überwachungsrichlinien
Die Protokolle sollten über die aufgeführten sicherheitsrelevanten Systemaktivitäten mindestens 14 Tage rückwirkend Auskunft geben können. Die Protokolle sollten stichprobenartig sowie bei konkreten Anlässen ausgewertet werden. Hierzu kann das Gesamtprotokoll nach bestimmten Ereignissen gefiltert werden. Sicherheitsrelevante Ereignisse mit hoher Priorität können zudem eine sofortige Reaktion des Systems veranlassen (z.B. eine Benachrichtigung des Systemverwalters). Die Auswertung sollte unter einer eigens hierfür vorgesehenen Revisor-Kennung erfolgen.
Der Systemverwalter selbst lässt sich durch die Protokolldateien allerdings nur begrenzt kontrollieren, da die Protokolldateien weder verschlüsselt gespeichert werden noch dem Vier-Augen-Prinzip unterliegen. Er kann jederzeit sämtliche Protokolldateien löschen.
Zugriffsrechte auf Dateien und Verzeichnisse können bei Windows NT sowohl vom Systemverwalter als auch vom Eigentümer der Objekte vergeben werden. Dies bedeutet, dass der Eigentümer auch dem Systemadministrator den Zugriff auf eigene Dateien verwehren kann. Standardmässig kann der Administrator einer NT-Domaine sämtliche Daten lesen und verändern sowie in die Zugriffsmechanismen des Betriebssystems eingreifen. Es wird empfohlen, dass sich der Administrator Zugriffsrechte auf sensible Dateien bzw. Unterverzeichnisse selbst entzieht oder ihm diese Rechte vom Eigentümer der jeweiligen Home-Verzeichnisses entzogen werden. Zwar kann sich der Administrator die Rechte auch selbst wieder zuteilen, indem er zunächst Eigentümer des Unterverzeichnisses bzw. der Dateien wird. Da die Besitzübernahme jedoch vom Administrator nicht rückgängig gemacht werden kann, ist ein Zugriff auf fremde geschützte Dateien zumindest nachträglich erkennbar.
Windows NT verfügt zudem über die Möglichkeit, administrative Aufgaben auf mehrere Sub-Systemverwalter mit eingeschränkten Administrationsrechten zu verteilen.
Administrative Aufgaben sollten auf folgende Systemverwalter verteilt werden:
In kleineren Organisationseinheiten können mehrere Rollen auch von einer Person wahrgenommen werden. Die Auswertung von Systemprotokollen unter der Revisorkennung sollte möglichst einer Person übertragen werden, die nicht die Systemverwaltung wahrnimmt.
Um den Zugriff von Systemadministratoren auf sensible Dateien vollständig auszuschliessen, sollte den Benutzern die Möglichkeit gegeben werden, die Daten bei Bedarf zu verschlüsseln. Hierfür und zum Versenden vertraulicher elektronischer Post über das Internet wird der Einsatz geeigneter Verschlüsselungsprogramme wie beispielsweise Pretty Good Privacy (PGP) empfohlen.
Darüber hinaus sollten nicht benötigte Benutzerkennungen im Benutzer-Manager gelöscht werden. Da dies bei der Standard-Kennung Gast nicht möglich ist, sollte die Gast-Kennung deaktiviert werden. Ebenso sollten Posix- und OS/2-Subsysteme - so-fern sie nicht für 16-Bit- bzw. OS/2-
Anwendungen benötigt werden - gelöscht werden, da beide Subsysteme sicherheitskritische Funktionen enthalten können. Dies erfolgt durch Löschen des entsprechenden Eintrags im Registry-Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
SessionManager\ Subsystems.
Zugriffsrechte auf ausgewählte NT-Objekte können domainweit durch Einsatz des Sy-stemrichtlinieneditors vergeben werden, beispielsweise der Zugriff auf Registry-Editoren, das Deaktivieren der Ausführen-Funktion in der Start-Leiste etc. Hiervon sollte Gebrauch gemacht werden.
Die Administratorkennung sollte nicht netzweit, sondern nur von einem Arbeitsplatz-PC aus aufgerufen werden. Dies lässt sich im Benutzermanager unter Benutzereigenschaften einstellen. Auch die Kennungen, mit denen auf personalbezogene Dokumente zugegriffen wird, sollten im Benutzermanager auf gleiche Weise arbeitsplatzbezogen vergeben werden.
Zurück zur Übersicht Windows NT
