Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Schützen von Zertifikatdiensten 287
Aufstellungsort wegbewegt zu werden. Die Zertifikate und CRLs können von einem
Menschen an den Ort getragen werden, wo sie bereitgestellt werden.
Installieren Sie Offlinezertifizierungsstellen in physisch geschützten Orten, zum Beispiel
Tresorräumen, Safes oder geschützten Serverräumen, je nachdem, was die Sicherheitsrichtlinie
Ihres Unternehmens vorschreibt.
Stellen Sie Hardwareschlüsselmodule bereit, zum Beispiel Hardwaresicherheitsmodule
(Hardware Security Module, HSM), um das Schlüsselpaar der Zertifizierungsstelle zu
generieren und zu schützen und alle ausgestellten Zertifikate und CRLs zu signieren.
HSMs ermöglichen Ihnen, eine getrennte Schlüsselverwaltung zu implementieren, wobei
mehrere Schlüsselbesitzer anwesend sein müssen, um den privaten Schlüssel einer
Offlinezertifizierungsstelle zu aktivieren und zu benutzen. Zum Beispiel können Sie
festlegen, dass für den Zugriff auf den privaten Schlüssel der Stammzertifizierungsstelle
4 Token aus einem Pool von insgesamt 11 Token vorhanden sein müssen, wobei jedes
Token von einer anderen Person aufbewahrt wird.
Implementieren Sie die BitLocker-Laufwerkverschlüsselung (BitLocker Drive Encryption,
BDE), um das Festplattenlaufwerk der Stammzertifizierungsstelle für den Fall zu
schützen, dass das Festplattenlaufwerk aus dem Computer der Zertifizierungsstelle ausgebaut
wird und jemand versucht, damit einen Offlineangriff durchzuführen. BitLocker
verhindert auch den Zugriff auf den lokalen Computer, falls die Person an der Konsole
das TPM-Kennwort (Trusted Platform Module) oder den BDE-Wiederherstellungsschlüssel
auf einem USB-Token nicht bereitstellen kann.
Warnung Wenn Sie BDE auf einer Offlinezertifizierungsstelle implementieren, können Sie den Wiederherstellungsschlüssel
nicht in Active Directory speichern, weil das Computerkonto kein Mitglied
einer Domäne ist. Speichern Sie unbedingt mehrere Exemplare des Wiederherstellungsschlüssels auf
unterschiedlichen USB-Token und bewahren Sie die Wiederherstellungsschlüssel an sicheren Orten auf.
Deaktivieren Sie Hardware im BIOS des Zertifizierungsstellencomputers. Falls Sie verhindern
wollen, dass der Zertifizierungsstellencomputer an das Netzwerk angeschlossen
wird, können Sie die Netzwerkkarten im BIOS des Servers deaktivieren und BDE mit
einem TPM-Kennwort implementieren, um einen unautorisierten Konsolenzugriff auf
die Zertifizierungsstelle zu verhindern. Außerdem können Sie die USB-Anschlüsse und
andere Geräte deaktivieren, um zu verhindern, dass Daten von der Festplatte des Zertifizierungsstellencomputers
kopiert werden.
Warnung Es ist wirklich nicht empfehlenswert, BIOS-Startkennwörter zu nutzen, um eine Offlinezertifizierungsstelle
zu schützen. BIOS-Startkennwörter können bei manchen Systemen auf ein leeres
Kennwort zurückgesetzt werden, indem man die Batterie auf dem Motherboard des Computers kurzschließt.
Es ist auf jeden Fall besser, BDE zu implementieren, um unautorisierten Konsolenzugriff zu
verhindern.
Implementieren Sie Syskey-Level-2- oder -Level-3-Sicherheit, um den Start einer Offlinezertifizierungsstelle
einzuschränken. Syskey-Level-2 erfordert, dass ein Kennwort
eingegeben wird, bevor auf die lokale Kontendatenbank zugegriffen wird, was erforderlich
ist, damit der Offlinezertifizierungsstellencomputer starten kann. Die Syskey-Level-
3-Einstellung verbessert die Sicherheit, indem erzwungen wird, dass eine Diskette, die
das Syskey-Kennwort enthält, eingelegt wird, um den Computer zu starten.