Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 3.205 Client unter Windows NT - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 3.205 Client unter Windows NT

Logo Client unter Windows NT

Beschreibung

In diesem Baustein werden Clients betrachtet, die unter dem Betriebssystem Windows NT (Version 3.51 oder 4.0) betrieben werden. Das IT-System kann über Disketten-, CD-ROM-, DVD- oder andere Laufwerke für auswechselbare Datenträger sowie andere Peripheriegeräte verfügen. Falls der Client weitere Schnittstellen zum Datenaustausch hat, wie z. B. USB, Bluetooth, WLAN, müssen diese entsprechend den Sicherheitsvorgaben der Institution abgesichert werden, wie dies in den entsprechenden Bausteinen beschrieben ist. Auf sicherheitsspezifische Aspekte von einzelnen Windows NT-Anwendungen wird nur am Rande eingegangen.

Zusätzlich sind als Grundlage für die hier beschriebenen Empfehlungen die Bausteine B 3.201 Allgemeiner Client bzw. B 3.202 Allgemeines nicht vernetztes IT-System) zu beachten.

Gefährdungslage

Für den IT-Grundschutz einzelner PCs unter dem Betriebssystem Windows NT werden folgende typische Gefährdungen angenommen:

Höhere Gewalt:

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.31 Unzureichender Schutz des Windows NT Systems

Menschliche Fehlhandlungen:

- G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems

Technisches Versagen:

- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datenträger
- G 4.23 Automatische CD-ROM-Erkennung

Vorsätzliche Handlungen:

- G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2 Manipulation an Informationen oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP/Server 2003 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP/Server 2003 Systemen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Die in den folgenden Listen als zusätzlich (Z) gekennzeichneten Maßnahmen gehen zumindest teilweise über den Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatzumgebungen. Sie sind dann zu realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind, insbesondere dann, wenn mehrere Benutzer mit demselben System arbeiten und gegeneinander geschützt werden sollen bzw. wenn die Kontrolle sicherheitskritischer Funktionen nicht beim Benutzer selbst liegt, sondern zentral verwaltet werden soll.

Für Clients und Einzelplatz-Rechner unter dem Betriebssystem Windows NT sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung und Konzeption über den laufenden Betrieb bis hin zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

Planung und Konzeption

Schon bei der Planung sollten entsprechende Vorgaben für die Installation und Konfiguration des Systems erarbeitet werden, durch die gewährleistet wird, dass sowohl der Systemstart als auch die Zugangs- und Zugriffsrechte sicher konfiguriert werden. Durch Verwendung von Zugriffsprofilen lässt sich darüber hinaus ein zusätzlicher, wenn auch nicht übermäßig starker, Schutz gegen Missbrauch durch den regulären Benutzer etablieren.

Umsetzung

Bei der Installation und Konfiguration eines Windows NT Systems sind eine Reihe von Maßnahmen zu treffen, die die Sicherheit dieses Systems "härten", also Lücken schließen, die nach einer Standardinstallation vorhanden sind. Dazu gehört, dass die Protokollierung aktiviert wird und sensible Bereiche, vor allem die Registrierung und die Administratorkonten, besonders geschützt werden.

Betrieb

Um den Überblick über die Sicherheit eines Windows NT Systems zu behalten, ist es unabdingbar, die vorhandenen Benutzerprofile und ihre Rechte zeitnah und genau zu dokumentieren.

Notfallvorsorge

Nur eine regelmäßige Datensicherung gewährleistet, dass auch im Fehlerfall und bei einem Angriff auf die Sicherheit wichtige Daten weiter verfügbar bleiben. Diese Sicherung wird bei einem Client unter Windows NT in der Regel darin bestehen, dass wichtige Dateien auf dem Server gehalten oder zumindest regelmäßig dorthin übertragen werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Client unter Windows NT" vorgestellt.

Planung und Konzeption

- M 4.50 (Z) Strukturierte Systemverwaltung unter Windows NT
- M 4.51 (Z) Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT
- M 4.76 (C) Sichere Systemversion von Windows NT

Umsetzung

- M 2.32 (Z) Einrichtung einer eingeschränkten Benutzerumgebung
- M 4.17 (B) Sperren und Löschen nicht benötigter Accounts und Terminals
- M 4.48 (A) Passwortschutz unter NT-basierten Windows-Systemen
- M 4.49 (A) Absicherung des Boot-Vorgangs für ein Windows NT/2000/XP System
- M 4.52 (A) Geräteschutz unter NT-basierten Windows-Systemen
- M 4.53 (A) Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT
- M 4.55 (B) Sichere Installation von Windows NT
- M 4.57 (A) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (A) Schutz der Registrierung unter Windows NT/2000/XP
- M 4.77 (A) Schutz der Administratorkonten unter Windows NT

Betrieb

- M 4.54 (Z) Protokollierung unter Windows NT
- M 4.56 (B) Sicheres Löschen unter Windows-Betriebssystemen

Notfallvorsorge

- M 6.42 (A) Erstellung von Rettungsdisketten für Windows NT
- M 6.44 (A) Datensicherung unter Windows NT