M 2.99 Sichere Einrichtung von Novell Netware Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die im Lieferumfang von Novell Netware 3.x enthaltenen Sicherheitsfeatures sind nach dem erstmaligen Start der Datei SERVER.EXE nicht automatisch aktiviert, sondern müssen, jeweils einzeln durch die Systemadministration installiert und konfiguriert werden.

Mit Hilfe des Programms SYS:PUBLIC\SETPASS.EXE sollte der Supervisor nach dem erstmaligen Login sofort ein Paßwort für diesen Account vergeben. Der standardmäßig vorhandene Guest-Account sollte ebenfalls mit einem Paßwort versehen werden. Wird der Guest-Account im späteren Betrieb nicht benötigt, so sollte er entfernt werden.

Mittels DISABLE LOGIN (Serverkonsole) sollten während der Einrichtungsphase unautorisierte Login-Versuche unterbunden werden.

Mit Hilfe des Novell Utilities SYS:PUBLIC\SYSCON.EXE können im Anschluß, unter dem Menüpunkt Supervisor Options die meisten der Novell Sicherheitsmechanismen installiert und konfiguriert werden. Hierbei ist zu beachten, daß die unter Default Time Restrictions vorgenommenen Einstellungen nur dann für alle Accounts des Novell Netware Servers Gültigkeit haben, wenn diese Einstellungen vor der Einrichtung von Benutzern und Gruppen getroffen werden.

Nachfolgend werden sicherheitsrelevante Menüpunkte aufgeführt.

Default Account Balance/Restrictions

Mit Hilfe dieses Menüpunktes werden folgende Sicherheitseinstellungen auf dem Novell Netware Server aktiviert.

• Account has Expiration Date : Hiermit kann die Gültigkeitsdauer eines Accounts zeitlich limitiert werden. Da ein Account normalerweise auf Dauer angelegt ist, wird dieses Feature im Regelfall nur für einen Guest Account aktiviert.
• Limit Concurrent Connections : Hierdurch kann die Anzahl der gleichzeitigen Verbindungen eines Accounts zu dem Novell Netware Server limitiert werden. Im Regelfall sollte hierbei der Wert "Eins" gewählt werden.
• Create Home Directory for User: Optionale Erstellung eines persönlichen Verzeichnisses für jeden Benutzer. Es sollte die Option "Yes" gewählt werden.
• Require Password: Require Password installiert die Paßwortabfrage für jeden Benutzer und bietet bei Aktivierung die Möglichkeit, Paßwortregeln zu installieren. Für Require Password sollte die Option "Yes" gewählt werden.
• Minimum Password Lenght: Hierbei wird die erforderliche Mindestlänge eines Paßwortes eingestellt. Die Mindestlänge eines Paßwortes sollte hierbei sechs Zeichen sein (s. u. M 2.11 Regelungen für den Paßwortgebrauch ). Wird die erforderliche Mindestlänge auf weniger als fünf Zeichen eingestellt, so wird dieses beim Ausführen von SYS:\SYSTEM\SECURITY.EXE angezeigt (s. M 2.101 Revision von Novell Netware Servern ).
• Force Periodic Password Changes: Durch die Einstellung "Yes" wird festgelegt, daß die Benutzer ihre Paßwörter regelmäßig ändern müssen. Dies sollte der Regelfall sein.
• Days Between Password Changes: Unter diesem Menüpunkt wird die generelle Gültigkeitsdauer von Paßwörtern festgelegt. Die Gültigkeitsdauer von Paßwörtern muß für das jeweilige System festgelegt werden.

• Limit Grace Logins: Grace Logins ("Gnaden-Logins") sind die Logins, die nach Ablauf der Gültigkeitsdauer eines Paßwortes erfolgen. Die Anzahl der Grace Logins sollte durch die Einstellung "Yes" grundsätzlich limitiert werden.
• Grace Logins Allowed: Die Anzahl der erlaubten Grace Logins sollte auf den Wert "Eins" eingestellt werden, damit ein Benutzer, dessen Paßwort ungültig geworden ist, dieses sofort ändern muß.
• Require Unique Passwords: Die Aktivierung der Paßworthistorie (REQUIRE UNIQUE PASSWORDS) hat zur Folge, daß die letzten neun Paßwörter eines Accounts mit dem neu eingegebenen Paßwort verglichen werden und bei Übereinstimmung das neue Paßwort durch den Novell Netware Server zurückgewiesen wird.
• Account Balance: Novell Netware Accounting Funktion
• Allow Unlimited Credit: Novell Netware Accounting Funktion
• Low Balance Limit: Novell Netware Accounting Funktion

  

Bild: Menü SYS:PUBLIC\SYSCON.EXE "Default Account Balance/Restrictions"

Default Time Restrictions

Mit Hilfe der Time Restrictions werden die erlaubten Arbeitszeiten für Accounts auf einem Novell Netware Server definiert. Außerhalb der hier festgelegten Zeiten, die im Regelfall den üblichen Arbeitszeiten entsprechen sollten, ist es keinem Benutzer gestattet, sich am Novell Netware Server anzumelden.

Hinweis: Für die standardmäßig installierten Accounts Supervisor und Guest ist der Netware-Default-Wert (keine Zeitbeschränkungen) eingestellt. Es ist empfehlenswert, zumindest den Guest-Account mit Hilfe von SYS:PUBLIC\SYSCON.EXE (User Information - Time Restrictions) hinsichtlich der erlaubten Zugriffszeiten einzuschränken.

Nachträgliche Änderungen der "Default Time Restrictions" bei der Einrichtung bzw. Pflege von Benutzer Accounts haben keine Auswirkungen auf die erlaubten Zugangszeiten bereits eingerichteter Benutzer. Abweichende Zugangszeiten einzelner Benutzer müssen mit Hilfe von SYS:\PUBLIC\SYSCON.EXE (User Information Time Restrictions) eingerichtet werden.

Edit System AUTOEXEC File

Durch die Server Startdatei AUTOEXEC.NCF werden die Parameter (z. B. Volumes, NLMs, zusätzliche Protokolle etc.) eines Novell Netware Servers konfiguriert.

Weiterhin können in der AUTOEXEC.NCF zusätzliche Sicherheitseinstellungen vorgenommen werden.

Das Novell Netware Konsolenkommando SECURE CONSOLE, das in die AUTOEXEC.NCF eingebunden sein sollte, bewirkt dabei, daß NLMs nur noch aus dem Serververzeichnis SYS:SYSTEM gestartet werden können, sowie die Deaktivierung des Novell Netware Debuggers. Weiterhin wird durch SECURE CONSOLE das DOS aus dem Hauptspeicher des Novell Netware Servers entfernt, sowie die definierten Serversuchpfade außer Kraft gesetzt, die zudem nicht erneut definiert werden können.

File Server Console Operators

Mit Hilfe des Menüutilities SYS:\PUBLIC\FCONSOLE.EXE kann, ausgehend von einer Workstation, die begrenzte Kontrolle über einen Novell Netware Server übernommen werden.

Der File Server Operator, der neben der ausdrücklichen Berechtigung zur Nutzung von SYS:\PUBLIC\FCONSOLE.EXE keine weiteren Privilegien benötigt, kann hiermit Konsolennachrichten an die Benutzer versenden, den Novell Netware Server wechseln sowie den Server herunterfahren. Weiterhin können Statusanzeigen des Novell Netware Servers eingesehen und verändert werden (Datum, Uhrzeit, etc.) sowie Informationen zu den aktuellen Verbindungen eingesehen werden. Das Programm SYS:\PUBLIC\FCONSOLE.EXE kann standardmäßig durch den Supervisor bzw. einen äquivalenten Account aufgerufen werden. Andere Benutzer sollten auf diese Dateien keine Rechte besitzen.

Bild: Menü SYS:PUBLIC\FCONSOLE.EXE

Intruder Detection/Lockout

Durch die Aktivierung des "Detect Intruders" werden unautorisierte Login-Versuche am Novell Netware Server erkannt und die hiervon betroffenen Accounts ggf. gesperrt.

Die Aktivierung des "Detect Intruders" sowie die weitere Parametrisierung dieses Menüpunktes beugt somit einer "Brute Force Attacke" unter Novell Netware vor.

Incorrect Login Attempts gibt hierbei die Anzahl der zulässigen Login Fehlversuche an; üblicherweise sollte hierbei der Wert "Drei" eingestellt werden.

Mit Hilfe von Bad Login Count Retention Time kann die zeitliche Zurückverfolgung von fehlgeschlagenen Login-Versuchen eines Accounts aktiviert werden. Übersteigt die Anzahl der Login-Fehlversuche eines Accounts innerhalb des definierten Zeitraumes den unter Incorrect Login Attempts eingestellten Wert, so wird der Benutzer Account auf dem Novell Netware Server gesperrt.

Der Menüpunkt Lock Account After Detection sollte auf "Yes" eingestellt sein, um einen Account, der die Anzahl der ungültigen Login Versuche überschritten hat, zu sperren.

Der Zeitwert für Length of Account Lockout sollte keinesfalls zu gering gewählt werden (> 1 Stunde) um sicherzustellen, daß die Ursache für einen Intruder Lockout durch die Systemadministration und den betroffenen Benutzer aufgeklärt werden kann.

Bild: Menü SYS:PUBLIC\SYSCON.EXE "Supervisor Options - Intruder Detection Logout"

System Login Script

In dem System Login Script werden die Einstellungen vorgenommen, die für alle Benutzer nach deren Anmeldung auf dem Novell Netware Server existieren sollen. Das System Login Script wird, im Gegensatz zum User Login Script, für jeden Benutzer des Novell Netware Servers ausgeführt. Es ist daher sinnvoll, die Einstellungen, die für alle Benutzer des Novell Netware Servers gelten sollen, wie z. B. Laufwerkzuordnungen oder der Aufruf von externen Programmen, im System Login Script des Novell Netware Servers einzustellen.

Soll vermieden werden, daß ein Benutzer durch Verwendung des eigenen UER-Login-Scripts die Standardeinstellungen verändert, muß beim Verlassen des System-Login-Scripts der Befehl EXIT aufgenommen werden

Hinweis: Weiterhin ist für jeden Benutzer ein User-Login-Script zu erstellen. Dies ist erforderlich, da jeder Benutzer über das Zugriffsrecht "Create" im Verzeichnis SYS:MAIL verfügt. Einem Benutzer ohne User-Login-Script kann daher in seinem SYS:MAIL Verzeichnis eine Datei LOGIN erzeugt werden, die Schadfunktionen ausführen kann.

View File Server Error Log

Das File Server Error Log ist das Fehlerprotokoll eines Novell Netware Servers. In ihm werden alle Fehler und Warnmeldungen des Servers gespeichert und können durch den Supervisor ausgewertet werden.

Bild: Menü SYS:PUBLIC\SYSCON.EXE "Supervisor Options - File Server Error Log"

Workgroup Managers

Ein Arbeitsgruppenverwalter (Workgroup Manager) ist ein eingeschränkter Supervisor Account, der das Recht zum Erstellen und Löschen von Bindery Objekten (Benutzer, Benutzergruppen, Druckerwarteschlangen) sowie deren Verwaltung hat. Die Rechte, die ein Arbeitsgruppenverwalter hierbei einsetzt bzw. an Benutzer und Benutzergruppen weitergeben darf, richten sich nach den durch den Supervisor zugestandenen Rechten.

Arbeitsgruppenverwalter können keine neuen Arbeitsgruppenverwalter oder einen Benutzer einrichten, dessen Sicherheitsstufe "Supervisor-äquivalent" ist, es sei denn, der Arbeitsgruppenverwalter verfügt über Supervisor-äquivalente Rechte.

Station Restrictions

Mit Hilfe des Menüpunktes Station Restrictions können die Netzadressen festgelegt werden, von denen aus sich ein Benutzer am Novell Netware Server anmelden darf. Informationen über die jeweilige Adresse einer Workstation im Netz lassen sich z. B. mit SYS:PUBLIC\USERLIST.EXE /A in Erfahrung bringen. Die Festlegung von erlaubten Netzadressen ist insbesondere für den Supervisor bzw. für äquivalente Accounts empfehlenswert. Dieses sollte jedoch vor Ort, je nach Gegebenheit, entschieden werden.

Standardisierte Einrichtung von Benutzern und Benutzergruppen

Neben der Einrichtung von Benutzern unter Einsatz des Menü-Utilities SYS:PUBLIC\SYSCON.EXE besteht zudem die Möglichkeit, Benutzer mit Hilfe der Utilities SYS:\PUBLIC\MAKEUSER.EXE und SYS:\PUBLIC\USERDEF.EXE einzurichten.

Diese eignen sich besonders für die gleichzeitige Einrichtung einer größeren Anzahl von Benutzern.

SYS:\PUBLIC\MAKEUSER.EXE erzeugt eine Art Batch-Datei, mit deren Hilfe mehrere Benutzer mit unterschiedlichen Rechten eingerichtet werden können.

SYS:\PUBLIC\USERDEF.EXE dient zur Einrichtung mehrerer Benutzer mit gleichen Rechten. Zu diesem Zweck wird eine Schablone (Template) erstellt, in der eingetragen wird, nach welchen Vorgaben die Benutzer einzurichten sind.

Diese Menü-Utilities sollten insbesondere in größeren Netzen aus Gründen einer vereinfachten und einheitlichen Administration eingesetzt werden.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .