M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Vorgesetzte
Die Sicherheit der Daten, die auf NT-basierten Windows-Systemen gespeichert sind, hängt zu einem großen Teil vom korrekten Umgang der Benutzer mit den Sicherheitsmechanismen der NT-basierten Windows-Systeme ab. Um diese effektiv nutzen zu können, sollten Benutzer von Windows-Rechnern entsprechend geschult werden.
Benutzersicht auf Sicherheitsmechanismen
Beim Umgang mit Windows-Rechnern kann dem Benutzer ein großer Teil der sicherheitsrelevanten Einstellungen durch entsprechende Vorarbeiten und Voreinstellungen des Administrators abgenommen werden. Um einheitliche und überprüfbare Rechnerkonfigurationen zu erhalten, ist ein solches Vorgehen unabdingbar.
Einige sicherheitsrelevante Einstellungen können allerdings vom Benutzer selbst vorgenommen werden. Dazu gehören die Zugriffsrechte auf die eigenen Dateien und Verzeichnisse. Die Zugriffsrechte darauf können einzelnen Benutzern oder Benutzergruppen eingeräumt bzw. verweigert werden. Widersprechen sich die für einen Benutzer konfigurierten Zugriffsrechte (z. B. weil der Benutzer Mitglied der beiden Gruppen A und B ist, wobei der Zugriff für Gruppe A zugelassen ist, während er für Gruppe B verweigert wird), so wird der Zugriff verweigert. Generell gilt, dass die Zugriffsrechte auf die eigenen Dateien eines Benutzers vom Administrator voreingestellt und automatisch auf neue Dateien und Ordner übertragen werden. Da Benutzer jedoch in der Regel die Möglichkeit besitzen, die Zugriffsrechte zu verändern, ist es notwendig, dass jeder Benutzer entsprechend geschult wird (siehe dazu auch M 4.149 Datei- und Freigabeberechtigungen unter Windows).
Ein weiterer Punkt, auf den eine Benutzerschulung eingehen muss, ist die Verwendung des verschlüsselnden Dateisystems EFS (Encrypting File System). Neben der Vermeidung von Fallstricken bei der Benutzung des EFS sollte hier vor allem vermittelt werden, in welchem Ausmaß EFS die Vertraulichkeit von Dateien schützen kann, und wo dieser Schutz aufhört (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows). Bei Einsatz von Windows Vista sollte auf die Möglichkeiten eingegangen werden, die ein gleichzeitiger Einsatz von BitLocker zur Festplattenverschlüsselung und EFS bietet.
Bei der Verwendung von BitLocker zur Festplattenverschlüsselung (siehe M 4.337 Einsatz von BitLocker Drive Encryption) muss das dadurch erreichbare Schutzniveau der Vertraulichkeit in der Benutzerschulung behandelt werden. Des Weiteren sollte den Benutzern das gewählte Verfahren zur Authentisierung des Benutzers gegenüber BitLocker beim Start von Windows Vista sowie die Bedeutung des Wiederherstellungskennworts und die Grenzen der Schutzwirkung in der Schulung erläutert werden.
Windows Vista bietet verschiedene Methoden der Datensicherung an (siehe M 6.78 Datensicherung unter Windows Clients).
Dem Benutzer muss erläutert werden, welche Methoden der Datensicherung von ihm angewandt werden sollten. Weiterhin muss dem Benutzer bekannt sein, wo sich gesicherte Daten befinden, wie er bei Bedarf auf diese zugreifen kann und was er zur Wiederherstellung seiner Daten unternehmen muss.
Schulungsinhalte
Die folgenden Stichpunkte fassen notwendige Schulungsinhalte für den sicheren Umgang von Benutzern mit NT-basierten Windows-Systemen zusammen:
Verwendung von Zugriffsrechten im NTFS Dateisystem
- Schutz von Dateien durch Zugriffsrechte
- Vererbung von Zugriffsrechten
- Kopieren und Verschieben von Dateien
- Übergabe einer Datei an einen neuen Besitzer
- Sensibilisierung für Beschränkungen des Schutzes von Dateien durch Zugriffsrechte
- Benutzer mit administrativen Rechten können Zugriffsrechte umgehen.
- Bei direktem Zugriff auf die Hardware (z. B. nach Ausbau einer Festplatte) lassen sich Zugriffsrechte umgehen.
- Dateien sind beim Transport über das Netz nicht geschützt.
Einsatz der integrierten Windows Firewall
- Funktionsweise und Schutzwirkung
Benutzung von EFS (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows)
- Nutzen von EFS (EFS bietet einen zusätzlichen Schutz der Vertraulichkeit von Dateien)
- Bedienung von EFS
- Problematik des "nachträglichen Verschlüsselns"
- Geeignete Passwort-Auswahl (Passwortqualität ist wesentlich für die Effektivität von EFS)
- Verwendung eines zusätzlichen Startpasswortes mittels syskey (wesentlich bei Verwendung lokaler Benutzerkonten)
- Sensibilisierung für Beschränkungen des Schutzes durch EFS
- Benutzer mit administrativen Rechten können die Verschlüsselung umgehen.
- Verschlüsselt gespeicherte Dateien sind beim Transport über das Netz nicht geschützt, es sei denn, EFS wird mit WebDAV verwendet.
- Einsatz von EFS ergänzend zu BitLocker unter Windows Vista, falls eine Verschlüsselung im laufenden System erforderlich ist
Einsatz von BitLocker unter Windows Vista
- Verschlüsselte und nicht verschlüsselte Partitionen
- Schutzwirkung durch BitLocker besteht nur im ausgeschalteten Zustand (Offline Verschlüsselung)
- Angemessener Umgang mit den Authentisierungsmitteln (USB-Stick und/oder PIN)
- Einsatzzweck sowie ggf. angemessener Umgang mit dem Wiederherstellungskennwort, wenn dies dem Benutzer zugänglich sein soll
- Reaktion auf BitLocker-Fehlermeldungen, insbesondere in Bezug zu erkannten Integritätsverletzungen
Sonstige Sicherheitshinweise
- Sicheres Löschen von Dateien (siehe M 4.56 Sicheres Löschen unter Windows-Betriebssystemen, die auch auf Windows 2000/XP/Vista angewendet werden sollte
- Sicherheitshinweise zum automatischen Erkennen von CD-ROM s bzw. zur Autostart-Funktion (siehe M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung)
- Sicherheitshinweise zum sicheren Umgang mit Wechselmedien, wie USB-Speichermedien (siehe M 4.200 Umgang mit USB-Speichermedien und speziell beim Einsatz von Windows Vista M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista).
- Sicherheitshinweise zur sicheren Benutzung von spezifischen Sicherheitstechnologien unter Windows XP und Windows Vista Sicherheitszentrum, Windows Firewall und WPA (WiFi Protected Access)
Prüffragen:
- Existiert ein Konzept für die Benutzerschulung zur Sicherheit von Windows 2000, Windows XP und Windows Vista ?
- Sind die Benutzer in die Vergabe von Zugriffsrechten auf eigene Dateien eingewiesen worden?
- Wurden die Benutzer auf die Sicherheitsmechanismen (z. B. Verschlüsselung mit EFS und BitLocker) der verwendeten Werkzeuge hingewiesen und in deren Nutzung geschult?
- Sind die Benutzer auf die Methoden zur Datensicherung hingewiesen und geschult worden?
- Sind die Benutzer in der Benutzung der Windows Firewall geschult worden?
- Sind die Benutzer über das sichere Löschen von Dateien informiert und geschult worden?
- Sind die Benutzer im sicheren Umgang mit Wechselmedien geschult worden?