B 3.207 Client unter Windows 2000

Logo Client unter Windows 2000

Beschreibung

Betrachtet werden einzelne, als Client betriebene PCs mit Festplatte, die unter dem Betriebssystem Windows 2000 Professional laufen. Die PCs können miteinander, innerhalb eines LANs oder gar nicht vernetzt sein. Auf sicherheitsspezifische Aspekte von einzelnen Windows 2000-Anwendungen wird nur am Rande eingegangen. Die Server-spezifischen Sicherheitsmaßnahmen sind dem Baustein B 3.106 Server unter Windows 2000 zu entnehmen.

Gefährdungslage

Für den IT-Grundschutz einzelner PCs unter dem Betriebssystem Windows 2000 werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall von IT-Systemen
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung

Organisatorische Mängel

- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz

Menschliche Fehlhandlungen

- G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
- G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung von IT-Systemen
- G 3.9 Fehlerhafte Administration von IT-Systemen

Technisches Versagen

- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datenträger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.23 Automatische Erkennung von Wechseldatenträgern

Vorsätzliche Handlungen

- G 5.2 Manipulation an Informationen oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwörtern
- G 5.21 Trojanische Pferde
- G 5.23 Schadprogramme
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten bei Windows-Betriebssystemen
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen
- G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Nach der Entscheidung, Windows 2000 als Client-Betriebssystem einzusetzen, sollte zunächst der Einsatz von Windows 2000 geplant werden (siehe Maßnahme M 2.227 Planung des Windows 2000 Einsatzes). Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Maßnahme M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie). Daher sollte mit der Umsetzung der Maßnahmen M 2.227 und M 2.228 begonnen werden.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Windows 2000 Client" vorgestellt.

Planung und Konzeption

- M 2.227 (A) Planung des Windows 2000 Einsatzes
- M 2.228 (A) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.231 (A) Planung der Gruppenrichtlinien unter Windows
- M 4.147 (Z) Sichere Nutzung von EFS unter Windows

Umsetzung

- M 2.32 (Z) Einrichtung einer eingeschränkten Benutzerumgebung
- M 3.28 (A) Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen
- M 4.17 (A) Sperren und Löschen nicht benötigter Accounts und Terminals
- M 4.48 (A) Passwortschutz unter NT-basierten Windows-Systemen
- M 4.49 (A) Absicherung des Boot-Vorgangs für ein NT-basiertes Windows-System
- M 4.52 (A) Geräteschutz unter NT-basierten Windows-Systemen
- M 4.57 (A) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (A) Schutz der Registry unter NT-basierten Windows-Systemen
- M 4.136 (A) Sichere Installation von Windows 2000
- M 4.149 (A) Datei- und Freigabeberechtigungen unter Windows
- M 4.150 (A) Konfiguration von Windows 2000 als Workstation

Betrieb

- M 4.148 (B) Überwachung eines Windows 2000/XP Systems

Notfallvorsorge

- M 6.77 (A) Erstellung von Rettungsdisketten für Windows 2000
- M 6.78 (A) Datensicherung unter Windows Clients