Security Configuration Wizard

Mit dem Windows 2003 Service Pack 1 (Siehe Windows Server) kommt der "Security Configuration Wizard" hinzu, der eine Absicherung der Server erleichtern soll. Auch wenn mittlerweile viele Firmen Firewalls einsetzen und damit sich auch mit einer DMZ auf der sicheren Seite wähnen, so ist dies nicht wirklich ausreichend. Schon Steve Riley (www.steveriley.ms) hat den Tod der klassischen DMZ angekündigt, da dies heute nicht mehr den Systemen gerecht wird. Wenn Sie mehrere Systeme in eine DMZ stellen, dann sind diese gegenseitig auch nicht geschützt. Daher wird langfristig sich jedes System selbst schützen müssen. Jetzt wird auch klar, warum nach Windows XP mit SP2 nun auch Windows 2003 mit dem SP1 eine Firewall enthält, die zumindest die Zugriffe vom Netzwerk auf den Server kontrolliert.

Der Security Configuration Wizard ist nun ein Hilfsprogramm von Microsoft, mit welchem der Server anhand von Funktionen "klassifiziert" wird und nach Abschluss der Vorgaben die erforderlichen Änderungen an der Konfiguration durchgeführt werden. Dies geschieht ähnlich wie bei IISLOCKDown über eine grafische Oberfläche. Die Änderungen können auch auf einmal rückgängig gemacht werden.

Damit der SCW nun aber korrekt arbeiten kann, muss der Administrator natürlich die korrekten Rollen des Server können und auch aktivieren., der SCW versucht auch selbständig die verschiedenen Dienst (zumindest die von Microsoft) zu erkennen und zu aktivieren. Das funktioniert jedoch nicht immer fehlerfrei

Exchange wird nicht erkannt, wenn es nicht in das Standardverzeichnis installiert wurde !

Daher müssen Sie als Administrator natürlich zweimal hinschauen, ehe Sie "Jetzt anwenden" ausführen. Es ist zudem immer eine gute Idee, mit Überwachungsprogrammen wie MOM2005 oder anderen, die Eventlogs und Dienste zu kontrollieren. Besonders mit Exchange müssen Sie genau aufpassen, da SCW nicht zuverlässig die Existenz von Exchange erkennt, wenn Exchange nicht in den Standardverzeichnissen installiert ist.

Hier stehen noch Erweiterungen an. Bitte haben Sie Verständnis, wenn nicht alle Seiten gleich fertig sind

Installation

Durch die Installation des Windows 2003 SP1 wird die Liste der Windows Komponenten im Bereich "Software" erweitert. Hier müssen Sie einmalig die Komponente aktivieren. Eventuell benötigt das Windows 2003 Setup noch Dateien aus SCW.CAB.

Nach der Installation finden Sie unter Start - Programme - Verwaltung den neuen Eintrag für den "Sicherheitskonfigurations-Assistent".

Rollen und Dienste

Der SCW nutzt so genannte "Sicherheitsrichtlinien", welche einen Server profilieren. In der Richtlinie sind z.B.: die erforderlichen und nicht benötigten Dienste aufgeführt. Ebenso finden sich dort Einstellungen zu den benötigten Ports. Nach dem Willkommensschirm werden Sie gefragt, ob sie eine bestehende Richtlinienvorlage einfach übernehmen und einsetzen oder eine neue Vorlage für ihren Server erstellen wollen. Bei der Neuerstellung analysiert der SCW ihr System. Nach kurzer Zeit  zeigt ihnen der SCW die aus seiner Sicht vorhandenen Rollen des Servers an.

Rollen bezeichnen bestimmte Dienste und Funktionen, die ein Server ausführt. Ein Server kann durchaus mehrere Rollen innehaben. Hier ist gut zu sehen, dass mein Musterserver nicht nur Dateiserver ist, sondern auch SMTP, SNMP und einige andere Rollen hat. Zu jeder Rolle ist eine Beschreibung verfügbar.

Hier ist es sehr wichtig, dass Sie als Administrator genau hinschauen, ob der SCW alle Rollen aktiviert hat, die ihre Server hat und andererseits auch nur die Rollen aktiviert sind, die ihre Server benötigt. Wenn wie hier z.B.: ein POP3-Service auftaucht, ihr Server aber eigentlich nur ein Dateiserver sein soll, dann sollten Sie diese Rolle abwählen.

Das nächste Fenster beschreibt die Funktionen. Unter Funktionen sind die Komponenten zu verstehen, die der Server selbst für den Zugriff auf andere Systeme benötigt:

Damit wird gesteuert, welche Dienste und Programme ausgehend aktiv werden dürfen. Wenn ihr Server Mitglied der Domäne ist, muss dies natürlich auch aktiviert sein.

Im dritten Schritt sind die Optionen selbst zu konfigurieren.

So können Sie z.B.: für die Rolle "Webserver" genau stehen, ob Internet Printing, Remote Verwaltung etc. erlaubt ist oder nicht.

Zuletzt zeigt ihnen der SCW noch Dienste an, die er so nicht zu Rollen zuordnen kann. Sie können sich dann entscheiden, ob diese aktiviert bleiben sollen oder nicht.

Hier sieht man, dass meine Bilder mit einem virtuellen Server auf Basis von VirtualPC (Siehe Virtuelle Server) gemacht wurden und das Produkt NoSpamProxy installiert ist.

Ports und IPSec

Wenn Sie die Dienste konfiguriert haben, geht es direkt weiter für die Einstellung der TCP/IP-Ports:

Am Ende dieses Teilschrittes erhalten Sie noch einmal eine Überblick der eingestellten Werte:

Authentifizierung und Registrierung

Der dritte Abschnitt erfragt all die Daten zur Absicherung des Systems. So kann gesteuert werden, dass SMB-Signierung erforderlich ist, welche ausgehenden Authentifizierungen genutzt werden etc.

Überwachung

Jede Absicherung eines Servers ist nur so wirksam, wie die Kontrolle und Überwachung. Was hilft es ihnen, wenn das System zwar einen Angriff abwehrt, aber Sie den Versuch nicht gemeldet bekommen. Oder schlimmer noch: Ein Einbruch war erfolgreich, aber sie können nicht mehr nachvollziehen, was passiert ist ?. Daher ist es wichtig, bestimmte Funktionen zu aktivieren:

Die Ergebnisse dieser Überwachung landen im Sicherheitseventlog. Sie sollten daher prüfen, ob das Eventlog groß genug ist und ob eine Zentralisierung dieser Meldungen umgesetzt werden sollte.

IIS-Absicherung

Webserver und damit der IIS sind per Definition die Systeme, die meist aus dem Internet oder anderen nicht vertrauenswürdigen Systemen zu erreichen sind und stehen damit im Ziel der meisten Angriffe. Der IIS wird über den SCW noch einmal gesondert behandelt.

Sowohl Zugriffe, Virtuelle Verzeichnisse als auch Erweiterungen sind hier zu definieren. Der SCW übernimmt die aktuellen Einstellungen, aber Sie sollten genau prüfen, ob diese erforderlich sind.

Speichern und anwenden.

Alle im SCW durchgeführten Eintragungen lassen sich als XML-Datei abspeichern und damit auch auf vielen Servern identisch anwenden. Gerade in großen Firmen gibt es oft sehr viele Server mit den gleichen Funktionen und Rollen. So kann ein "Standard" umgesetzt werden. Programme wie MBSA helfen dann bei der Überprüfung der verschiedenen Einstellungen.

Alle Änderungen werden protokolliert und können im Falle eines Irrtums oder Fehlkonfiguration auch wieder rückgängig gemacht werden.

Weitere Links