M 4.49 Absicherung des Boot-Vorgangs für ein NT-basiertes Windows-System
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Windows kann nur dann sicher betrieben werden, wenn vom Systemstart an gewährleistet ist, dass eine geschlossene Sicherheitsumgebung aufgebaut wird. Es dürfen keine Wege an den Sicherheitsfunktionen des Betriebssystems vorbei bestehen. Dies erfordert, dass sich alle durch Windows schützbaren Ressourcen unter der Kontrolle des Betriebssystems befinden. Außerdem darf es keine Möglichkeit geben, fremde Systeme oder offene Systemumgebungen zu starten, die den durch Windows gebotenen Schutz unterlaufen können. Dazu sind die folgenden Aspekte zu beachten:
- Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem NTFS formatiert sein. Partitionen, die mit den Dateisystemen FAT 12, FAT16, FAT32, VFAT, oder HPFS formatiert sind, können nicht gegen unbefugte Zugriffe der Benutzer geschützt werden. Dies bedeutet einerseits, dass die auf ihnen abgelegten Daten beliebigen Zugriffen aller Benutzer ausgesetzt sind. Andererseits können diese Partitionen zum unkontrollierten Datenaustausch zwischen Benutzern missbraucht werden.
- Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter NT-basierten Windows-Systemen nur mit dem Dateisystem FAT bzw. VFAT formatiert werden können. Aus diesem Grund sind Diskettenlaufwerke an allen Rechnern, die nicht unter strikter physischer Kontrolle stehen, grundsätzlich zu sperren (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern). Auf NT-basierten Windows-Clients können die Diskettenlaufwerke auch durch Deaktivieren über die Systemsteuerungsoption Geräte bzw. Computerverwaltung | Geräte-Manager, Gerät Floppy, für unprivilegierte Benutzer außer Betrieb gesetzt werden. Hiervon sollte auf Windows NT/2000 Servern (siehe hierzu M 4.52 Geräteschutz unter NT-basierten Windows-Systemen) bzw. auf Windows Vista abgesehen werden (M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista).
- Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist es möglich, von einem vorhandenen
CD
/
DVD
-Laufwerk zu booten, so besteht die Gefahr, dass der Rechner mit einem anderen Betriebssystem als Windows gestartet wird. Die gleiche Gefährdung ergibt sich, wenn der Rechner von einem USB-Speichermedium gestartet werden kann oder auf einer lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann der Anwender mit verschiedenen Programmen die Sicherheitsmechanismen von Windows umgehen. Inzwischen gibt es mehrere Programme, mit denen sich Dateien, die unter NTFS geschützt sind, von einer
DOS
-Umgebung oder einer Linux-Umgebung lesen und zum Teil auch ändern lassen. Sowohl unter dem Betriebssystem MS-DOS als auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS gesetzten Sicherheitsattribute ignoriert.
Der Anwender hat daher von MS-DOS bzw. von Linux aus Zugriff auf alle Dateien des Rechners. Aus diesem Grund wird empfohlen, neben Windows keine weiteren Betriebssysteme auf lokalen Festplatten zu installieren. - Unter den Windows Vista Versionen Enterprise und Ultimate steht die Festplattenverschlüsselung BitLocker zur Absicherung des Boot-Vorgangs zur Verfügung. In Verbindung mit einem TPM (Trusted Platform Module) prüft BitLocker die Systemintegrität während des Bootprozesses. Weiterhin besteht die Möglichkeit, durch den Einsatz der BitLocker-Authentisierungsmittel PIN und/oder USB-Stick das Booten von Windows Vista durch Unbefugte zu verhindern (M 4.337 Einsatz von BitLocker Drive Encryption).
- Im Rahmen einer Neuinstallation von Windows hat man die Möglichkeit, die bestehende Installation des Betriebssystems zu aktualisieren oder eine neue Version parallel zu installieren. Bei der parallelen Installation wird die bestehende Dateistruktur nicht verändert, doch wird das vordefinierte Administratorkonto mit einem neuen Passwort neu angelegt. Dieser "neue" Administrator hat vollen Zugriff auf alle Ressourcen des Rechners und damit auch auf alle Daten und Programme.
Damit im Bootmenü des Betriebssystems keine alternativen Betriebssysteme eingefügt werden können, dürfen Benutzer nicht in der Lage sein, die Datei boot.ini im Wurzelverzeichnis der ersten Platte zu verändern. Um das Booten eines alternativen Betriebssystems über einen Bootmanager auf einem externen Medium wie USB-Stick oder CD/DVD zu unterbinden, darf die Bootreihenfolge nicht verändert werden können. Zum Schutz der Bootreihenfolge sollte ein BIOS -Passwort gesetzt werden. (siehe M 4.149 Datei- und Freigabeberechtigungen unter Windows und M 4.247 Restriktive Berechtigungsvergabe unter Windows Client-Betriebssystemen). - Mit Hilfe der Installationsprogramme kann für Windows 2000 auch eine Notfalldiskette (siehe M 6.77 Erstellung von Rettungsdisketten für Windows 2000) erzeugt und mit dieser dann eine Systemrekonstruktion durchgeführt werden. Dabei wird der Zugriffsschutz der NTFS-Partition des Betriebssystems aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme, eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten so zu verwahren, dass sie gegen unbefugten Zugriff geschützt sind. Schutz gegen diese spezifische Bedrohung bietet auch die Sicherung der Diskettenlaufwerke (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern) und die Absicherung des Boot-Vorgangs durch die entsprechende Einstellung des BIOS (siehe oben).
- Für die Systemrekonstruktion unter Windows XP und Windows Vista wird die Wiederherstellungskonsole (Recovery Console) verwendet. Der Weg über die Notfalldiskette steht nicht mehr zur Verfügung. Die Wiederherstellungskonsole kann entweder von der Installations-CD/-DVD bzw. den Installations-Disketten gestartet oder in das System integriert werden, so dass es beim Systemstart als eine der Boot-Optionen angeboten wird.
Da die Wiederherstellungskonsole ein mächtiges Werkzeug ist, muss ihr Einsatz durch die entsprechende Einstellung des BIOS bzw. im Allgemeinen durch die Definition der Wiederherstellungskonsole-Richtlinien (siehe M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen) eingeschränkt werden.
Prüffragen:
- Sind alle vorhandenen Festplattenpartitionen mit dem Dateisystem NTFS formatiert?
- Ist sichergestellt, dass Benutzer den Computer nicht von Disketten-, CD-ROM-Laufwerken oder USB-Speichermedien booten können?
- Ist die Datei boot.ini im Wurzelverzeichnis der ersten Platte vor Veränderungen geschützt?
- Werden die vorhandenen Installationsprogramme, sowie eventuell vorhandene Notfalldisketten und Installationsmedien vor unberechtigtem Zugriff geschützt?
- Gibt es für Windows XP und Windows Vista eine Richtlinie für die Nutzung der Wiederherstellungskonsole bzw. sind die entsprechenden Einstellungen im BIOS getroffen worden, um den Einsatz der Wiederherstellungskonsole einzuschränken?