M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Falls Benutzer nur bestimmte Aufgaben wahrnehmen müssen, ist es oftmals nicht erforderlich, ihnen alle mit einem eigenen Login verbundenen Rechte (ggf. sogar Systemadministrator-Rechte) zu geben. Beispiele sind bestimmte Tätigkeiten der routinemäßigen Systemverwaltung wie die Erstellung von Backups oder das Einrichten eines neuen Benutzers, die mit einem Programm menügesteuert durchgeführt werden, oder Tätigkeiten, für die ein Benutzer nur ein einzelnes Anwendungsprogramm benötigt. Insbesondere bei Aushilfskräften sollte darauf geachtet werden, dass diese nur die Dienste verwenden und nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen. Wenn ihre Tätigkeit beendet ist, sollten deren Accounts deaktiviert und alle Zugangsberechtigungen entfernt werden (siehe auch M 4.17 Sperren und Löschen nicht benötigter Accounts und Terminals).
Für diese Benutzer sollte eine eingeschränkte Benutzerumgebung geschaffen werden. Sie kann z. B. unter Unix durch eine Restricted Shell (rsh) und eine Beschränkung der Zugriffspfade mit dem Unix-Kommando chroot realisiert werden. Für einen Benutzer, der nur ein Anwendungsprogramm benötigt, kann dieses als Login-Shell eingetragen werden, so dass es nach dem Einloggen direkt gestartet und der Benutzer nach Beendigung des Programms automatisch ausgeloggt wird.
Der verfügbare Funktionsumfang des IT-Systems kann für einzelne Benutzer oder Benutzergruppen eingeschränkt werden. Die Nutzung von Editorprogrammen oder Compilern sollte verhindert werden, wenn dies nicht für die Aufgabenerfüllung des Benutzers erforderlich ist. Dies kann bei Stand-alone-Systemen durch die Entfernung solcher Programme und bei vernetzten Systemen durch die Rechtevergabe geregelt werden.
Microsoft Windows
Nachfolgend werden Sicherheitsmerkmale vorgestellt, die von Microsoft Windows Versionen bereitstellt werden, um eine eingeschränkte Benutzerumgebung durch technische Maßnahmen durchzusetzen.
Microsoft Windows ab einschließlich der Version NT bietet die Möglichkeit, Startskripte zu verwenden, um die Zugriffe eines Benutzers auf einzelne Anwendungen zu beschränken. Es muss darauf geachtet werden, dass ein Benutzer die Ausführung der Skripte nicht unterbrechen oder verändern kann. Beispielsweise können die Skripte für einen sich anmeldenden Benutzer unsichtbar ausgeführt werden. Auch die gestartete Anwendung darf dem Benutzer keine Möglichkeit bieten, andere Programme zu starten.
Microsoft Windows Vista enthält die Benutzerkontensteuerung (User Account Control, UAC) als neues Sicherheitsmerkmal (siehe M 4.340 Einsatz der Windows Vista Benutzerkontensteuerung - UAC).
Die Benutzerkontensteuerung soll missbräuchliche Zugriffe auf Daten und Programme aufgrund unnötig hoher Privilegien von, als Administrator angemeldeten, Benutzern einschränken. Alle Administratoren eines Windows Vista Systems arbeiten grundsätzlich zunächst als Standardbenutzer.
Bevor ein Benutzer Software installieren oder bestimmte, vom Betriebssystem als kritisch eingestufte, Programme oder Funktionen ausführen kann, prüft die Benutzerkontensteuerung, ob dieser Benutzer die hierfür notwendigen Privilegien besitzt. Mitglieder der Gruppe Administratoren werden standardmäßig vor einer Installation oder Programmausführung gefragt, ob sie dem zustimmen. Minder privilegierte Benutzer müssen die Authentisierungsdaten eines Administrators angeben. Die entsprechende GPO-Richtlinie (Group Policy Objects) Benutzerkontensteuerung |Verhalten der Anhebungsaufforderung für Standardbenutzer sollte mit der Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen konfiguriert werden. In der Folge ist Standardbenutzern, die nicht Mitglied der administrativen Gruppe sind, eine Rechteerhöhung nicht mehr möglich.
Über Jugendschutz kann ein Administrator für einen Benutzer Einschränkungen bei der Nutzung eines Windows Vista Systems festlegen. Jugendschutz unterstützt die Gestaltung der Nutzungseinschränkung anhand folgender Kriterien:
- Zeiten, an denen der Benutzer sich anmelden kann,
- Programme, die der Benutzer starten kann und
- Web-Seiten (URLs), die der Benutzer aufrufen kann.
Jugendschutz ist allerdings für den nicht professionellen Einsatz konzipiert. Die durch den Jugendschutz ermöglichten Einschränkungen sollten im professionellen Umfeld durch alternative Maßnahmen durchgesetzt werden.
Prüffragen:
- Ist die Benutzerumgebung und die Startprozedur für den jeweiligen Benutzer an seine Aufgaben angepasst?
- Wird die Nutzung von Editor-Programmen oder Compilern verhindert, wenn diese nicht für die Aufgabenerfüllung des Benutzers erforderlich sind?
- Wurde darauf geachtet, dass die Benutzer Startskripte beim Start von Windows nicht verändern oder abbrechen können?
- Gibt es Regelungen für die Benutzerumgebungen von Aushilfskräften?
- Werden vorhandene Sicherheitsmerkmale des vorliegenden IT-Systems wie die Benutzerkontensteuerung unter Windows Vista eingesetzt, um Einschränkungen der Benutzerumgebung durchzusetzen?