M 4.146 Sicherer Betrieb von Windows Client-Betriebssystemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Nach der Installation und initialen Konfiguration gemäß den im Vorfeld geplanten Windows Konzepten und Sicherheitsrichtlinien erfolgt der Betrieb von Windows Rechnern in der Regel im Netzverbund. Die Sicherheit eines solchen Netzes hängt einerseits von den eingestellten Konfigurationsparametern ab. Sie wird andererseits auch maßgeblich durch die Art und Weise der Konfigurationsänderungen bestimmt, die im laufenden Betrieb erfolgen müssen. Dabei sind insbesondere Seiteneffekte zu berücksichtigen, die unter Umständen unbeabsichtigt zu Sicherheitslücken führen können.
Die Windows Client Versionen bieten eine Reihe von Werkzeugen und Mechanismen an, die die Administratoren bei der Aufrechterhaltung der Sicherheit eines laufenden Systems unterstützen können:
- Windows File Protection ist ein Systemmechanismus von Windows, der sicherstellt, dass Systemdateien unverändert im Originalzustand verbleiben. Der Mechanismus nutzt zwei Komponenten: Den so genannten SystemFileChecker (sfc.exe), der die Systemdateien, beispielsweise beim Systemstart, auf ihre Unverändertheit hin überprüft und veränderte Dateien durch zwischengespeicherte Originaldateien ersetzt. Weiterhin existiert ein Überwachungsmechanismus, der Systemdateien nach dem Versuch eines schreibenden Zugriffs wieder durch die Originalversion ersetzt. Der Mechanismus kann so konfiguriert werden, dass das Überschreiben nach einer entsprechenden Bestätigung erfolgreich ist und die veränderte Datei beibehalten wird. Die Konfiguration erfolgt durch sfc.exe über die Kommandozeile:
Windows 2000:- sfc /ENABLE: Veränderungen werden nach einer Bestätigung übernommen.
- sfc /QUIET: Veränderte Dateien werden ohne Nachfrage durch die Originale ersetzt.
- sfc /SCANNOW: Überprüft sofort alle geschützten Systemdateien.
- sfc /SCANONCE: Überprüft alle geschützten Systemdateien einmal beim nächsten Neustart.
- sfc /SCANBOOT: Überprüft alle geschützten Systemdateien bei jedem Start.
- sfc /REVERT: Setzt den Mechanismus auf die Standardeinstellungen zurück.
- sfc /PURGECACHE: Leert den Dateicache.
- sfc /SCANNOW: Überprüft die Integrität aller geschützten Systemdateien und repariert Dateien mit Problemen, falls nötig.
- sfc /VERIFYONLY: Überprüft die Integrität aller geschützten Systemdateien. Es erfolgt keine Reparatur.
- sfc /SCANFILE: Überprüft die Integrität der angegebenen Datei, und repariert die Datei, wenn Probleme gefunden werden. Es muss ein vollständiger Pfad angegeben werden.
- sfc /VERIFYFILE: Überprüft die Integrität der angegebenen Datei. Es erfolgt keine Reparatur.
- sfc /OFFBOOTDIR: Gibt den Speicherort des Offline-Startverzeichnisses für Offline-Reparaturen an.
- sfc /OFFWINDIR: Gibt den Speicherort des Offline-Windows-Verzeichnisses für Offline-Reparaturen an.
- Mit Windows XP wurde eine neue Technologie eingeführt: Die automatische Systemwiederherstellung. Dieser Mechanismus kann zum Wiederherstellen eines früheren Systemzustands verwendet werden, wenn beispielsweise eine Softwareinstallation fehlschlägt und das System in einen instabilen Zustand versetzt. In Abhängigkeit von lokalen Umständen und insbesondere von der implementierten Softwareverteilungs-Strategie kann der Einsatz der automatischen Systemwiederherstellung beispielsweise im Testumfeld vorteilhaft sein.
Windows Vista bietet mit Systemsteuerung | Sichern und Wiederherstellen und der Option Den gesamten Computer anhand eines Abbildes von Windows Complete PC-Sicherung und Wiederherstellung wiederherstellen zwei Möglichkeiten der Wiederherstellung eines beschädigten Systems an. - Windows enthält mit dem Kommandozeilen-basierten Sicherheitseditor secedit.exe bzw. dem MMC Snap-in Sicherheitskonfiguration und -analyse Werkzeuge zur Konfiguration der Sicherheitseinstellungen von Windows Client-Rechnern. Diese Sicherheitskonfiguration kann auch in einer Datenbank gespeichert werden, gegen die ein Rechner auf Konformität getestet werden kann. Dazu wird zunächst mit dem MMC Snap-in Sicherheitskonfiguration und -analyse eine Datenbank erzeugt (Vorgang/Datenbank öffnen, neuen oder existierenden Datenbanknamen eingeben). Diese kann mit einer Sicherheitsvorlage (.inf-Datei, siehe MMC Snap-in Sicherheitsvorlagen) initialisiert werden. Mittels Vorgang/ Computer jetzt analysieren bzw. Vorgang/System jetzt konfigurieren kann eine Analyse oder Konfiguration des Systems anhand der Einstellungen der Datenbank erfolgen. Die Datenbank selbst liegt in Dateiform vor (.sdb-Datei) und kann auf andere Systeme übertragen werden. Allerdings sind die Aussagen bei Abweichungen von Zugriffsrechten auf Datei- oder Registry-Ebene wenig hilfreich, da lediglich die Abweichung dokumentiert wird, nicht jedoch, welche Zugriffsrechte abweichen.
- Die Sicherheitseinstellungen eines Windows Clients werden beim Betrieb in einer Domäne in der Regel durch die Anwendung von Gruppenrichtlinien festgelegt bzw. den in einem Objekt enthaltenen Einstellungen. Auf diese Weise lassen sich die Sicherheitseinstellungen auch für große Windows-Netze effizient und zentral verwalten. Im täglichen Betrieb sind in der Regel Änderungen von Group Policy Objects (GPO) Einstellungen zu erwarten. Die Änderungen finden zentral an einem Domänen-Controller statt und werden dann an die betroffenen Rechner verteilt. Der GPO-Mechanismus kann so konfiguriert werden, dass periodisch ein Update der GPO-Einstellungen erfolgt, damit die veränderten Einstellungen wirksam werden können (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien).
- Die Sicherheit des Systemzugangs kann durch die Verwendung einer Smartcard-basierten Anmeldung erhöht werden. Die Authentisierung erfolgt dann nicht über einen Benutzernamen und ein möglicherweise schwaches Passwort, sondern über ein Zertifikat, welches auf einer Chipkarte gespeichert ist. Windows kann so konfiguriert werden, dass Anmeldungen über die Eingabe von Benutzername und Passwort oder eine Chipkarte möglich sind, oder ausschließlich mit Chipkarte. Generell können nur Microsoft-konforme Zertifikate genutzt werden sowie Chipkarten, die von Windows-Betriebssystemen unterstützt werden. Windows Vista bietet mit BitLocker und den vor dem Start des Betriebssystems unterstützten Verfahren zur Authentisierung des Benutzers noch eine weitere Möglichkeit, Unbefugten den Systemzugang zu verwehren, siehe dazu M 4.337 Einsatz von BitLocker Drive Encryption.
Die Sicherheit eines Rechnersystems basiert immer auch auf der physikalischen Sicherheit der Rechner und Netzkomponenten. Diese muss für den Betrieb eines Windows Client-Systems sichergestellt sein. Für den sicheren Betrieb eines Windows Client-Systems ist generell Folgendes zu beachten:
- Die Sicherheit von Windows hängt wesentlich von der Sicherheit des Active Directories ab. Die hier enthaltenen Informationen müssen einerseits vor unberechtigter Veränderung geschützt und andererseits konsistent gehalten werden. Dies erfordert insbesondere bei Veränderungen entsprechende Sorgfalt. Es empfiehlt sich dringend, im Rahmen der Sicherheitsplanung nicht nur Werte oder Wertebereiche für Parameter festzulegen, sondern auch innerbetriebliche oder administrative Abläufe zu definieren, die geeignet sind, die festgelegte Sicherheitsrichtlinie umzusetzen. So sollte zum Beispiel festgelegt werden, welche Schritte beim Anlegen eines neuen Benutzerkontos durchzuführen sind, damit die notwendigen Veränderungen vollständig ausgeführt werden. Weitere Informationen zum sicheren Betrieb von Windows Clients in einem Active Directory sind im Baustein B 5.16 Active Directory beschrieben.
- Neben der Sicherheit des Active Directories und die Systemsicherheit, die durch die im Active Directory festgelegten Parameter bedingt wird, muss auch die Sicherheit wichtiger Systemdienste gewährleistet werden. Hierbei spielt die Sicherheit von DNS , WINS, DHCP , RAS sowie Kerberos eine besondere Rolle. Auch hier muss bei Änderungen sichergestellt werden, dass die geltenden und festgelegten Sicherheitsrichtlinien nicht verletzt werden. Hinweise zur Konfiguration dieser Dienste finden sich in der Maßnahme M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste und den darin referenzierten Maßnahmen.
- Für die Verwaltung eines Windows Client-Systems stehen standardmäßig die so genannten Snap-ins der Microsoft Management Console (MMC-Snap-ins) zur Verfügung. MMC Snap-ins stellen Verwaltungsmodule dar, die über eine standardisierte Schnittstelle in die MMC integriert werden können. Der Zugriff auf die verschiedenen MMC Snap-ins muss daher reglementiert werden. Normalen Benutzern sollte der Zugriff auf Systemverwaltungswerkzeuge generell untersagt werden. Als Ausnahme ist hier jedoch das MMC Snap-in zur Verwaltung von Zertifikaten zu nennen, welches auch von normalen Benutzern zum Verwalten der eigenen Zertifikate genutzt werden muss. Der Zugriff auf die einzelnen MMC Snap-ins lässt sich dabei granular über GPO-Einstellungen regeln.
- Die Verwaltungstools zum Zugriff auf die lokale Registry eines Rechners (regedt32 und regedit) sollten nicht für normale Benutzer zugreifbar sein. Auch dies lässt sich durch GPO-Einstellungen erreichen (siehe M 4.75 Schutz der Registry unter NT-basierten Windows-Systemen).
- Die Sicherheit eines Windows-Netzes hängt von vielen Faktoren ab. Insbesondere können Sicherheitslücken durch Zusatzapplikationen entstehen, die entweder falsch konfiguriert sind oder Fehler in der Programmierung enthalten. Oft ergeben sich Probleme erst durch den gemeinsamen Betrieb mehrerer Anwendungen. Aus diesem Grund sind vor Einführung einer neuen Applikation Tests durchzuführen, die einen ersten Hinweis darauf geben, ob offensichtliche Probleme bestehen. Vollständige Sicherheit kann jedoch nicht erreicht werden, da insbesondere der Test auf Fehler durch Seiteneffekte in anderen Applikationen schwierig durchzuführen und extrem aufwändig ist.
- Auch wenn Änderungen sorgfältig und unter Einhaltung aller Vorsichtsmaßnahmen erfolgen, kann die Existenz von Sicherheitslücken in einem komplexen System nie ganz ausgeschlossen werden. Aus diesem Grund sollte immer eine geeignete Systemüberwachung stattfinden (siehe M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung eines Windows Vista Systems). Dabei muss die Stärke und Genauigkeit der Überwachung der Gefährdungslage angepasst sein. Die Art und Weise der Überwachung kann nur im konkreten Fall festgelegt werden. Generell sollten auch die Tätigkeiten von Administratoren durch die Überwachung erfasst werden. Zusätzlich empfiehlt sich eine regelmäßige Überprüfung, damit eventuelle Lücken, die durch Veränderungen des Systems entstehen können, aufgedeckt werden.
- Unter Sicherheitsgesichtspunkten sind auch Änderungen in der Domänenstruktur kritisch. Daher sind diese nur nach sorgfältiger Planung durchzuführen. Es ist schon bei der initialen Planung zu berücksichtigen, dass eine Windows Domänenstruktur (Aufteilung in Domänen, Trees, Forests) nachträglich nur wenige Veränderungen erlaubt (siehe M 2.229 Planung des Active Directory).
- Auch unter Sicherheitsgesichtspunkten ist es wichtig, dass alle den Betrieb eines Windows Client-Systems betreffenden Richtlinien, Regelungen und Prozesse dokumentiert werden. Dazu sollten Betriebshandbücher erstellt werden, die bei Systemänderungen aktualisiert werden müssen. Da die Betriebshandbücher sicherheitsrelevante Informationen enthalten, sind sie so aufzubewahren, dass einerseits Unbefugte keinen Zugriff auf sie erlangen können, jedoch andererseits für befugte Administratoren ein einfacher Zugriff besteht.
Die aufgeführten Empfehlungen können nur allgemeinen Charakter besitzen, da die Aufrechterhaltung der Systemsicherheit auch von lokalen Gegebenheiten abhängt. Daher müssen schon in der Planungsphase eines Windows-Netzes entsprechende Richtlinien zum sicheren Betrieb erstellt werden, die die lokalen Anforderungen berücksichtigen. Unter Umständen kann es vorkommen, dass gewisse Sicherheitsmechanismen nicht optimal sicher konfiguriert werden können. Dies ist z.B. der Fall, wenn "alte" Applikationen weiter betrieben werden müssen, die nur für schwache oder keine Authentisierung ausgelegt sind. Hier muss durch entsprechend ausgleichende Gegenmaßnahmen an anderer Stelle - oder auf organisatorischer Ebene - eine zufrieden stellende Sicherheit garantiert werden.
Die Sicherheit eines Windows-Systems im laufenden Betrieb hängt wesentlich vom Kenntnisstand der Administratoren ab. Daher ist die Schulung und Fortbildung der Systemverwalter eine wichtige Schutzmaßnahme (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung), da potentielle Sicherheitslücken nur von kompetenten Administratoren entdeckt bzw. vermieden werden können. Daneben müssen auch die normalen Benutzer in Sicherheitsaspekten geschult werden (siehe auch M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen), damit potentielle Gefahren bekannt sind und zur Verfügung stehende Sicherheitsmechanismen richtig eingesetzt werden können.
Prüffragen:
- Findet eine regelmäßige Kontrolle der Systemprotokolldaten statt?
- Ist der Zugriff auf alle Administrationswerkzeuge für Benutzer unterbunden worden?
- Werden die Administratoren regelmäßig geschult?
- Ist die Sicherheit wichtiger Systemdienste, wie DNS, WINS DHCP, RAS oder Kerberos, gewährleistet?
- Ist der Zugriff auf die verschiedenen MMC Snap-ins reglementiert worden?
- Werden vor der Einführung neuer Applikationen Funktions- und Sicherheitstests durchgeführt?
- Findet eine geeignete Systemüberwachung statt?
- Wird erst eine sorgfältige Planung durchgeführt, bevor die Domänenstruktur geändert wird?