Sicherheitsempfehlungen zu Windows-NT-Netzen im Krankenhaus

Erarbeitet von der GMDS-Arbeitsgruppe
Datenschutz in Gesundheitsinformationssystemen

Client-Server-Systeme auf der Basis von Windows-NT-Servern und zum Teil auch NT-Workstations werden immer häufiger in Krankenhäusern eingesetzt. Dabei treten, meist durch mangelnde Fachkenntnis des IT-Personals, aber auch aufgrund von Sicherheitslücken in Windows NT, Sicherheitsprobleme auf, die wirksamen Datenschutz verhindern. Die Konfiguration eines einigermaßen sicheren NT-Netzes ist komplex und aufwendig. Dieser Aufwand ist aber aufgrund der Datenschutzvorschriften unumgänglich, sobald Patientendaten auf dem Rechner gespeichert oder verarbeitet werden; er sollte auch in allen anderen Fällen im eigenen Interesse nicht gescheut werden und erfordert in jedem Fall eine Vollzeitstelle für einen Systemverwalter. In dieser Empfehlung kann das Thema bei weitem nicht erschöpfend behandelt werden; für weitere Informationen sind die am Ende aufgeführten Verweise geeignet.

Grundsätzliches zur Sicherheit von NT

Windows NT wird oft als sicheres Betriebssystem angepriesen. In der Tat bietet NT einige Sicherheitsmechanismen, die für IT-Betreiber, die MS-DOS, Windows 3 oder Windows 95 gewöhnt sind, sehr eindrucksvoll wirken. Dieser Eindruck ist aber irreführend, zumal die Systemvoreinstellungen nur wenige der möglichen Sicherheitsschranken in Kraft setzen. Die in der Werbung angepriesene und in manchen Fachbüchern unkritisch angenommene C2-Sicherheit gilt nur nach ganz besonderen Maßnahmen, z. B. der völligen Trennung vom Netz, die das System in einen praktisch unbrauchbaren Zustand versetzen. Ebenso wird die Sicherheit eines NT-Systems durch Installation und Betrieb von Anwendungssoftware in der Regel unterlaufen; manche Anwendungssoftware funktioniert sogar nur mit unsicheren System-Einstellungen. Werden im Netz auch Windows-95-Rechner betrieben, sinkt das Sicherheitsniveau weiter. Auch die durch die Benutzungsoberfläche, besonders ab NT-Version 4.0, suggerierte Leichtigkeit der Konfiguration ist irreführend und gefährlich, da sie Nachlässigkeit provoziert.

Die NT-Sicherheitsmechanismen können bei sorgfältiger Einstellung ungefähr das Niveau gewöhnlicher Unix-Systeme erreichen; einiges ist etwas besser, einiges etwas schlechter geregelt. Auf der praktischen Seite sind aber erhebliche Defizite bei der Zuverlässigkeit der Implementation zu bemängeln. Zahlreiche konzeptionelle Sicherheitslücken und Implementationsfehler stellen NT auf eine Stufe mit älteren Unix-Systemen. Die Arbeitsgruppe empfiehlt daher, als Server aktuelle Unix-Systeme, insbesondere Linux, zu wählen. Die folgenden Ratschläge gelten für den Fall, daß trotzdem ein Netz auf NT-Basis betrieben werden muß.

Um die Sicherheitsmechanismen von NT wirkungsvoll einzusetzen, ist eine ausführliche Planung, insbesondere der Zugriffsrechte, und eine sehr sorgfältige Umsetzung nötig. Das Prinzip der minimalen Rechte sollte bei der Zugriffsregelung strikt beachtet werden. Im Netz sollte genau festgelegt werden, welcher Rechner in welche anderen welches Ausmaß an Vertrauen setzt und welche Ressourcen an ihn freigegeben werden. Ebenso sollten die Benutzer-Zugriffsrechte auf Ressourcen und Shares in einer Rechte-Matrix spezifiziert werden.

Es sollte stets eine ausgedruckte Version der System-Konfiguration einschließlich Vernetzungsplan und eine exakte Beschreibung der Sicherheitspolitik (»Policy«, »Systemrichtlinien«) zur Hand sein. Die Konfiguration sollte sorgfältig dokumentiert sein, insbesondere die Sicherheitsmaßnahmen.

Um über aktuelle Sicherheitsfragen stets auf dem laufenden zu sein, ist es notwendig, daß der Systemverwalter mindestens eine einschlägige Usenet-Newsgruppe oder Mail-Liste verfolgt.

Sicherheitsratschläge für Aufstellung und Konfiguration

• NT-Server sind physisch geschützt aufzustellen, z. B. in einem veschlossenen Raum.
• Als Filesystem sollte nur NTFS verwendet werden, da die Zugriffsschutzmechanismen nur dafür greifen - allerdings auch nur, solange nicht das frei verfügbare Programm NTFSDOS verwendet werden kann.
• Es ist sicherzustellen, daß unbefugte Benutzer nicht ein alternatives Betriebssystem booten können. Geeignete Maßnahmen hierfür sind:
  • Aufstellung in einem verschlossenen Raum,
  • verschließbares Sicherheitsgehäuse,
  • keine Installation anderer Betriebssysteme oder Betriebssystem-Versionen auf anderen Partitionen,
  • Entfernung oder Verschluß der Diskettenlaufwerke,
  • Einschränkung der Boot-Möglichkeiten in der Hardware-Konfiguration,
  • Setzen eines Hardware-Paßworts (nicht geeignet, wenn autoboot für den Server notwendig ist),
  • Setzen des Boot-Timeouts auf 0 Sekunden;
  sie können einzeln oder in sinnvoller Kombination angewendet werden.
• Nicht benötigte Dienste sind stillzulegen.
• Die Benutzerkennung »Gast« ist stillzulegen, ebenso die Gruppe »Gäste«; letzteres geht nur, wenn auf dem System nicht der Internet Information Server laufen soll.
• Die CD-Autoplay-Funktion ist abzuschalten.
• Die Protokollierung ist, soweit sinnvoll, einzurichten. Um die Balance zwischen der Aufzeichnung wichtiger sicherheitsrelevanter Vorgänge und der Erzeugung einer nicht mehr überblickbaren Datenflut zu wahren, sind dazu sorgfältige Detail-Überlegungen nötig. Zugriff auf Log-Dateien sollte nur der Administrator haben. Da NT die Protokollierung stillschweigend einstellt, wenn eine Log-Datei voll ist, ist die Größe dieser Dateien stets sorgfältig zu kontrollieren.
• Der Zugriff auf die Registry ist soweit wie möglich einzuschränken.
• Auf das Systemverzeichnis (\winnt) und alle seine Unterverzeichnisse dürfen gewöhnliche Benutzer nur Lesezugriff haben. Ausnahmen, z. B. für persönliche Einstellungen in \winnt\profiles\username, sind manchmal unvermeidbar.
• Da Backup-Operatoren Lese- und Schreibzugang zum gesamten Dateisystem haben, ist der berechtigte Personenkreis eng einzugrenzen; es sollte eine besondere Benutzer-Kennung dafür genutzt werden, deren Rechte genau an die Aufgabe angepaßt sind (ist voreingestellt).
• Für alle Benutzer, auch die voreingestellten, sind Paßwörter zu setzen. Die Auswahl von Trivial-Paßwörtern sollte verhindert werden (Passfilt.dll ab NT 4.0 mit SP2 verfügbar).
• Als Maßnahme gegen das systematische Ausprobieren von Paßwörtern sollten im Benutzer-Manager unter »Richtlinien«, »Konten« folgende Einträge gemacht werden:
  • Konto sperren nach 3 ungültigen Fehlversuchen.
  • Konto zurücksetzen nach 30 Minuten (das betrifft den Fehlversuchs-Zähler).
  • Dauer der Sperrung: Für immer (bis Administrator sie aufhebt).
• Das aktuelle Service-Pack und alle verfügbaren Patches für Sicherheitslücken sind einzuspielen. Da die Installation eines Service-Packs viele Rechte wieder auf den unsicheren Urzustand zurücksetzt, ist anschließend eine genaue Kontrolle aller vorher eingeschränkten Rechte nötig.

Sicherheitsratschläge für den Systemadministrator

• Systemverwalter sollten eine Benutzer-Kennung mit Administrator-Rechten nur für wirkliche Verwaltungsaufgaben nutzen. Für Arbeiten, die nicht die vollen Privilegien benötigen, sind gewöhnliche Benutzer-Kennungen zu verwenden. Insbesondere sollte unter Administrator-Rechten nicht mit Anwendungen gearbeitet werden, die für das Einschleusen von Schadprogrammen anfällig sind, wie die MS-Office-Anwendungen, E-Mail oder WWW-Browser.
• An Servern sollte, außer für Administrator-Aufgaben, nicht lokal gearbeitet werden.
• Bei der Unterbrechung von Systemadministrator-Arbeiten sollte ein Logout ausgeführt oder im Task-Manager ([Strg]+[Alt]+[Entf]) die Arbeitsstation gesperrt werden.
• Um das Aussperren des Systemverwalters und als Folge möglicherweise eine längerdauernde Nichtverfügbarkeit des Rechners oder einzelner Dienste (`denial of service'-Attacke) zu verhindern, gibt es für »Administrator« keine Paßwortsperre nach mehreren Fehlversuchen. Daher sollte man dessen Logon nur lokal zulassen.
• Um auch in Notfällen Administrator-Aufgaben wahrnehmen zu können, sollte das Administrator-Paßwort in einem versiegelten Umschlag an sicherer Stelle, z. B. in einem Safe, hinterlegt werden. Gleiches gilt für ein eventuelles Hardware-Paßwort und für Schlüssel zu Zugangstüren oder Rechnergehäuse.
• Eine Anmeldung über das Netz oder gar über eine unverschlüsselte Fernverbindung (mit RAS-Berechtigung) ist unter Sicherheitsgesichtspunkten besonders kritisch zu werten. Als mögliche Sicherheitsmaßnahme können im Benutzer-Manager unter »Benutzerrechte« in der Rubrik »Zugriff auf diesen Computer vom Netz« die Gruppen »Administratoren« und »Jeder« entfernt werden. Eine weitere, damit allerdings nicht zu vereinbarende, Maßnahme ist die Einrichtung einer anderen Kennung mit Administrator-Rechten, für die der Zugang über das Netz möglich ist, allerdings die Paßwortsperre bei Fehlversuchen funktioniert.
• Mitarbeiter sollten auf ihren Arbeitsplatzrechnern keine, auch nicht die lokale, Administrator-Berechtigung erhalten; Ausnahmen sind nur bei besonderen Systemkenntnissen möglich.

Die gelegentlich gehörte Empfehlung, die Administrator-Kennung mit einem anderen Benutzernamen zu versehen, ist weitgehend nutzlos, da NT-Rechner auf mehreren Wegen bereitwillig die Kennung des Administrators verraten.

Verweise ins Internet

Bücher zum Thema »Sicherheit unter NT« sind zwar zahlreich auf dem Markt, aber z. T. von zweifelhafter Qualität und oft nicht auf dem neuesten Stand. Aktueller und gründlicher kann man sich unter den folgenden WWW-Adressen informieren:

• http://www.lfd.niedersachsen.de/dokumente/checkliste_windows_nt/windows_nt.html (LfD Niedersachsen: Orientierungshilfe und Checkliste für den datenschutzgerechten Einsatz von Windows NT)
• http://www.microsoft.com/security (Microsoft Security Advisor Program)
• http://www.it.kth.se/~rom/ntsec.html (NT Security - Frequently Asked Questions)
• http://pweb.netcom.com/~honeyluv/hardennt.html (The Hardening of Microsoft Windows NT)
• http://www.topsecret.net/NT/ (N T . S E C U R I T Y - Anleitungen zum »Härten« von NT)
• http://people.hp.se/stnor/ (Building a Windows NT bastion host in practice)
• http://www.ntshop.net (NTSecurity.Net)
• http://www.ntresearch.com (Security White Papers and Web Links for Windows NT)
• http://www.sysinternals.com (NT-Internals)
• http://www.winternals.com (Winternals Software)
• http://www.iss.net/xforce (ISS X-Force Database - Computer Threats & Vulnerabilities)
• http://www.emf.net/~ddonahue/NThacks/ntexploits.htm (Known NT Exploits)
• http://www.rhino9.org/holes/nt (NT and Related Security Holes and Bugs)
• http://www.ntbugtraq.com (NTBugTraq Mailing List)
• http://listserv.ntbugtraq.com/archives/ntbugtraq.html (NTBugTraq Archiv)
• http://www.avian.org/avian/papers/cifs.txt (Hobbit's CIFS paper)
• http://www.antionline.com/SpecialReports/MHD (The Modern Hackers Desk Reference)
• http://www.standishgroup.com/syst.html (Solaris Vs. NT)
• http://www.faerealm.com/phoenix/MSLinuxMyths.html (MS Linux Myths - the Truth Revealed)
• http://www.zdnet.com/zdtv/cybercrime/story/0,3700,2382021,00.html (The Philosophy of Security - Windows and Unix, by Simson L. Garfinkel)
• http://securityportal.com/cover/coverstory20000117.html (Linux vs Microsoft: Who solves security problems faster?)
• http://www.unix-vs-nt.org (Microsoft Windows NT Server 4.0 versus UNIX) [deutsche Übersetzung]
• http://www.cert.org/ftp/tech_tips/choose_operating_sys (CERT: Choosing an Operating System)
• http://www.ntfaq.com (Windows NT Frequently Asked Questions)
• http://www.hamburg.de/Behoerden/HmbDSB/material/backoff.html (MS BackOffice unter NT-Server 4.0 - eine datenschutzorientierte Analyse - LfD Hamburg)
• http://www.datenschutz-bayern.de/technik/orient/windownt.htm (Datensicherheit bei der Installation und beim Betrieb von Windows NT - LfD Bayern)
• http://ntfreeware.zdv.uni-tuebingen.de/ntsoft/ZGDSicherheitsbeauftragte.htm (Kostenlose und geprüfte Software - Empfehlungen für Sicherheitsbeauftragte - Uni Tübingen)
• http://www.windows2000security.com (Windows 2000)
• http://www.computec.ch/mruef/texte/windows2000.html (Die Sicherheit von Windows 2000)