Zum InhaltLandesbeauftragter für den Datenschutz Bremen
 
Sie befinden sich hier: >> Technik >> Windows NT >> Heterogene Netze

Datenschutz bei Windows NT.

NT-Systeme als Bestandteil heterogener Netze

Anforderungen, die beim Anschluss eines NT-Systems an andere Netze wie z.B. das Internet oder bei der Einrichtung von Einwählverbindungen zu beachten sind.

Remote Access Service (RAS)

Internetanschluss

Systems Management Server (SMS)


Remote Access Service (RAS)

Mittels des RAS-Dienstes ist ein Fernzugriff auf NT-Systeme (Workstation und Server) möglich, um beispielsweise einen Filialstandort anzubinden oder Mitarbeitern zu ermöglichen, von unterwegs aus mittels Modem auf das Firmennetz zuzugreifen. Benutzer, die über RAS auf einem NT-System angemeldet sind, unterliegen den gewöhnlichen NT-Schutzmechanismen hinsichtlich Zugriffsrechten und Protokollierung.

Um den unberechtigten Zugriff mittels RAS zu verhindern, bietet dieser Dienst eine Reihe von Sicherheitsmerkmalen. Für einen sicheren Betrieb eines RAS-Servers werden insgesamt folgende Massnahmen vorgeschlagen:

  • Die Authentisierung der RAS-Benutzer sollte über das Protokoll CHAP (Challenge Handshake Authentication Protocol) erfolgen. Beim CHAP-Verfahren wird vom RAS-Server nach dem Verbindungsaufbau ein Zufallscode generiert. Dieser wird zum Anrufenden übertragen, dort mit dem Passwort verschlüsselt und zum Angerufenen zurückübermittelt. Der RAS-Server entschlüsselt den übermittelten Wert wieder und vergleicht ihn mit dem Ausgangswert. Stimmen sie überein, gilt der RAS-Benutzer als authentisiert. Das CHAP-Verfahren sieht ausserdem eine re-gelmässige Authentisierung während einer bestehenden Verbindung vor. Nach einem erfolgreichen Verbindungsaufbau wird das Passwort kontinuierlich von neuem angefordert. Zudem bietet das CHAP-Verfahren die Möglichkeit, auch die Inhaltsdaten verschlüsselt zu übertragen. Die Verschlüsselung erfolgt hierbei entweder nach dem DES- oder - sofern dies von Client-Seite unterstützt wird - nach dem RC4-Verfahren. Aufgrund der Challenge-Response-Prozedur ist das CHAP-Verfahren jedoch nur dann benutzbar, wenn auch der Kommunikationspartner CHAP-Funktionalität besitzt.
    Dazu ist in den Eigenschaften des RAS-Dienstes unter Netzwerk/Server-Einstellungen die Option Nur Microsoft-verschlüsselte Echtheitsbestätigung zu aktivieren sowie - für die Inhaltsverschlüsselung - das Feld Datenverschlüsselung fordern.

  • Abbildung: Datenverschlüsselung
  • Nur diejenigen Benutzer sollten für die Benutzung des RAS-Dienstes freigeschaltet werden, die diesen benötigen. Für Benutzer mit festem Standort sollte die Rückruf-Option aktiviert werden, so dass die Verbindung nicht von einem anderen Standort aus aufgebaut werden kann. Dies erschwert eine unberechtigte Anmeldung erheblich.
    Dazu ist in der RAS-Verwaltung unter Benutzer, Remote-Zugriffsbrechtigungen nur für die jeweils berechtigten Benutzer das Feld "Dem Benutzer RAS-Zugriffsrechte erteilen" zu aktivieren sowie unter Rückruf im Feld Vorbelegung die Anschlussnummer des Endgerätes für den Rückruf einzutragen.

Abbildung: Berechtigungen für Zugriff auf RAS-Server

  • Möglichst ist der Zugriff von RAS-Clients auf den RAS-Server zu begrenzen und ein Zugriff auf andere Rechner im lokalen Netzwerk zu verhindern.
    Dazu ist in den Eigenschaften des RAS-Dienstes unter Netzwerk/Konfigurieren für jedes zugelassene Protokoll (TCP/IP, IPX oder NetBEUI) in der Auswahl Clients dürfen zugreifen auf: das Feld Nur diesen Compute" zu aktivieren.

Abbildung: Begrenzung des Remote-Zugriffs auf einzelne Arbeitsplätze

  • Sämtliche Remote-Zugriffe sollten protokolliert werden. Hierzu muss in der Regi-stry das Feld Enable Audit im Teilschlüssel HKEY_LOCAL_MACHINE\SYSTEM\ -CurrentControlSet\-Services\-RemoteAccess\-Parameters auf 1 gesetzt werden.

  • Für Systemverwalterkennungen und Kennungen mit Zugriff auf sensible personen-bezogene Daten sollte kein Remote-Zugriff eingerichtet werden. Die damit verbun-denen Risiken sind auch bei optimalen Einstellungen des RAS-Dienstes als zu hoch einzustufen.

Zum Seitenanfang

Internetanschluss

Wird ein NT-System direkt oder über ein lokales Netzwerk an das Internet angeschlossen, entstehen zusätzliche Risiken. Dabei sind im Wesentlichen drei Gefahren-potentiale erkennbar:

  • Aus dem Internet erfolgt ohne Zutun des Benutzers ein Zugriff auf das NT-System mittels der darauf eingerichteten Netzwerkdienste.
  • Der Benutzer versendet (personenbezogene) Daten ins Internet und unterläuft dadurch lokal wirkende Beschränkungen des Datenexports.
  • Der Benutzer lädt Software aus dem Internet, ohne die Qualität und den Hersteller der Software genauer zu kennen. Die Software kann verdeckte Funktionen bzw. Viren und Trojanische Pferde etc. enthalten, die nicht nur den lokalen Betrieb stören, sondern über den Internetanschluss selbstständig Daten aus dem System versenden.

Dem Risiko, dass aus dem Internet auf das NT-System zugegriffen wird, kann dadurch begegnet werden, dass keine (unnötigen) Netzwerkdienste eingerichtet werden. NT-Workstations sollten keinerlei Server-Funktion anbieten; NT-Server sollten nur die für den Server-Betrieb erforderlichen Dienste zur Verfügung stellen (aktive TCP/IP-Netzwerkdienste können in der NT-Shell mit netstat-a angezeigt werden).

Besonderes Augenmerk sollte dabei den sog. NetBIOS-Ports (insbes. Port 139) gelten. Über diese Ports sind freigegebene Dateien und Verzeichnisse sowie sonstige NT-Ressourcen mittels TCP/IP erreichbar. Dabei kann die Massnahme, einen unberechtigten Zugriff von aussen durch die Vergabe von Kennwörtern zu verhindern, durch den Einsatz von Passwortgeneratoren unter Umständen erfolgreich unterlaufen werden. Angesichts der Risiken, die von den NetBIOS-Ports ausgehen, sollten diese Ports erst gar nicht aus dem Internet erreichbar sein. Dies ist mit ausreichendem Schutzniveau letztlich nur durch den Betrieb einer Firewall sicherzustellen; zu dieser Thematik gibt die "Orientierungshilfe Internet" des Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder weitere Hinweise.

Die beiden anderen Risiken (unbefugter Versand personenbezogener Daten und Einschleppen von Viren) können durch den Einsatz einer Firewall jedoch nicht effektiv unterbunden werden, da sich diese Risiken von einer rechtmäßigen Nutzung der Dienste technisch kaum unterscheiden lassen. Effektiver Schutz kann durch getrennte Arbeitsumgebungen für jeden Anwender erzielt werden. In der sog. Produktionsumge-bung wird auf Client-Server-Anwendungen einschliesslich Bürokommunikation zugegriffen, während die Transportumgebung für den Internetzugang und EMail sowie für den Dateitransfer per Diskette oder andere Medien zur Verfügung steht.

Die beiden Umgebungen werden durch die Einrichtung von zwei verschiedenen NT-Benutzern abgebildet, die verschiedene Rechte im lokalen System und auf den Dateiservern besitzen. Der Anwender wechselt je nach Erforderlichkeit zwischen den beiden Umgebungen, indem er sich beim Betriebssystem ab- und wieder anmeldet; ein Neustart des Systems ist dafür nicht erforderlich.

Während der Benutzer in der Produktionsumgebung Zugriff auf personenbezogene Daten besitzt, wird ihm dies in der Transportumgebung durch entsprechende NT-Zugriffschutzeinstellungen verwehrt. Die Überwindung dieser Schutzmechanismen setzt die Kenntnis des Passworts für die Produktionsumgebung voraus. Dies können eventuelle Angreifer(programme) jedoch in der Transportumgebung nicht in Erfahrung bringen, sofern es sich von dem dort benutzten Kennwort hinreichend unterscheidet. Dateien, die aus dem Internet geladen oder als E-Mail-Anhänge empfangen werden, können daher in der Transportumgebung geöffnet bzw. ausgeführt werden, ohne dass hierdurch die personenbezogenen Daten der Produktionsumgebung gefährdet sind. Ausführbare Programme sollten nur in Ausnahmefällen nach ausgiebigem (Viren-)Test von der Transport- in die Produktionsumgebung übertragen werden.

Der Dateitransport zwischen den Umgebungen erfolgt über ein dafür eingerichtetes Verzeichnis, auf das von beiden Umgebungen aus lesend und schreibend zugegriffen werden kann. Indem die Dateibewegungen in diesem Verzeichnis protokolliert werden, kann der missbräuchliche Export sensibler Daten nachvollzogen werden. Letztlich entscheidet der Anwender jedoch eigenverantwortlich, welche Dateien zwischen den beiden Umgebungen ausgetauscht werden.

Zusätzlich zu den beiden Arbeitsumgebungen ist es notwendig, dass die für E-Mail- und Web-Zugriff benötigten TCP/IP-Ports entweder durch die Firewall oder andere Geräte benutzerbezogen gefiltert bzw. aktiviert werden. Eine Filterung allein der IP-Adresse ist nicht ausreichend, da die entsprechenden TCP/IP-Dienste auch in der Produktionsumgebung aufgerufen werden können. Die benutzerbezogene Filterung des E-Mail-
Dienstes kann realisiert werden, wenn die elektronische Post nicht direkt (über Port 25) ins Internet verschickt werden kann, sondern nur über interne Mail-Server. Wenn auf den Mail-Servern nur ein Postfach für den Benutzer der Transportumgebung eingerichtet wird, kann aus der Produktionsumgebung heraus keine elektronische Post über den Mail-Server ins Internet verschickt werden.

Ähnliche Mechanismen können auch für den Web-Zugriff implementiert werden. So-fern über einen Proxy-Server auf das Internet zugegriffen wird, sollten möglichst nur solche Proxies eingesetzt werden, die den Internetzugriff nur nach vorheriger Authentisierung freigeben. Lässt sich der Proxy-Server in eine NT-Domäne einbinden, kann der Benutzer auch ohne zusätzliche Passworteingabe durch Abgleich mit dem PDC authentisiert werden. Eine derartige benutzerbezogene Freigabe des Web-Zugriffs hat den Vorteil, dass aus der Produktionsumgebung heraus keine Daten über die anson-sten für den gesamten Rechner freigegeben Ports (z.B. http und ftp) verschickt werden können

Zum Seitenanfang

Systems Management Server (SMS)

Der Systems Management Server ermöglicht die Verwaltung räumlich verteilter Windows-basierter Rechner von einer zentralen Stelle aus. Durch seine Architektur kann man in Netzen jeder Grössenordnung, die aus diversen Domänen bestehen können, alle Aufgaben einer zentralen PC-Administration erledigen. Die wichtigsten Funktionen von SMS sind

  • Aufbau und Pflege eines Bestands von Rechner-Hardware und -Software,
  • Verteilung, Installation und Konfiguration von Software-Paketen,
  • Fernsteuerung von anderen NT-Maschinen.

Da alle genannten Funktionen sicherheitskritisch sind und sich zudem auf ganze Netzwerke erstrecken können, kommt der Rechtevergabe bei SMS wesentliche Be-deutung zu. Da die Zugriffsrechte von SMS durch eine SQL-Server-Datenbank abgebildet werden, kann derjenige Datenbankadministrator, der Zugriff auf die SMS-Datenbank und deren Tabellen hat, Einfluss darauf nehmen, wer die verschiedenen administrativen Funktionen des SMS anwenden darf. Um eine Vermischung von regulärer Datenbank- und davon unabhängiger SMS-Verwaltung zu vermeiden, sollte die SMS-Datenbank von möglicherweise anderen installierten Datenbanken getrennt bzw. auf einem eigenen SQL-Server eingerichtet werden.

Die Zugriffsrechte auf SMS-Dienste können mit Hilfe des SMS Security Managers vergeben werden. Um die Rechtevergabe für SMS-Administratoren zu vereinfachen, sind einige vordefinierte Standardrollen entwickelt worden, auf die zunächst zurückgegriffen werden kann. Dennoch sollten die Zugriffsrechte der SMS-Benutzer an die konkreten Einsatzbedingungen vor Ort angepasst werden, um die unbefugte Benutzung von SMS-Funktionen auszuschliessen.

Kritisch ist die Installation von Softwarepaketen mittels SMS, da die zu installierende Software (im Ordner SMS_PKGC) vor der Verteilung manipuliert weren kann. Zudem kann ein SMS-Administrator in den Paketen Skripte implementieren, die beliebige Funktionen auf dem Client aktivieren. Um dies auszuschliessen, sollte (bei einer ent-sprechenden administrativen Arbeitsteilung) zum einen der entsprechende Ordner für den Software-Installierer gesperrt sein, zum anderen sollte die Erstellung von Installationspaketen nur von unveränderten Originalversionen erfolgen können.

Problematisch sind zudem die Remote-Dienste des SMS. Sofern die Programme des Package-Control-Managers (PCM) PCMSVC32.EXE und PCMWIN32.EXE auf einem Cli-ent installiert sind, ist ein Remote-Zugriff möglich, auch ohne dass ein Benutzer angemeldet ist. Mit Hilfe dieses Dienstes können beispielsweise Dateien auch in gesicherten Ordnern installiert oder Registry-Schlüssel geändert werden, falls ein Benutzerkonto mit Administratorrechten auf dem jeweiligen Rechner eingerichtet ist und die entsprechenden SMS-Rechte vorhanden sind. Domänen-Administratoren sowie Benutzer mit lokalen Administrationsbefugnissen haben standardmässig solche Rechte; diese sollten daher entsprechend eingeschränkt werden. Sofern der PCM-Dienst nicht benötigt wird, sollte er vollständig von den Clients entfernt bzw. erst gar nicht installiert werden.

Bei den standardisierten Remote-Operationen kann ein Missbrauch hingegen bereits durch den Benutzer verhindert werden. Mit den HelpDesk-Optionen können vor Ort einzelne Remote-Zugriffsarten aktiviert bzw. deaktiviert werden. Bei aktivierter Funktion werden der Zugriffswunsch des anfragenden Rechners incl. des Netzwerknamens des dort angemeldeten SMS-Administrators übermittelt und eine Erlaubnis des lokalen Benutzers eingeholt. Darüber hinaus hat der Benutzer ständige Kontrolle über die Aktivitäten des Administrators und kann die Remote-Operation jederzeit abbrechen, sofern er in den notwendigen Rechten zum Beenden von Prozessen nicht eingeschränkt wurde (siehe Abb.8 und 9).

Abbildung: Einstellung der Help-Desk-Optionen

Abbildung: Information des Benutzers während des Remote-Zugriffs

Zurück zur Übersicht Windows NT

Zum Seitenanfang

Zur Seitennavigation

 Startseite 
 LfDI 
 Sicherheit 
 Kontakt 
 Übersicht 
 Suchen  
 Impressum