M 2.442 Einsatz von Windows Vista auf mobilen Rechnern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Der Einsatz eines mobilen Rechners ist mit typischen Gefährdungen verbunden, die sich aus dem mobilen Einsatz ergeben. Beim Einsatz von Windows Vista auf mobilen Rechnern ist, wie für alle anderen mobilen Rechner, der Baustein B 3.203 Laptop zu beachten. Für die Bereiche Datenverschlüsselung, Datensicherung und lokal installierte Firewall stellt Windows Vista eigene Mechanismen zur Verfügung. Zu diesen werden nachfolgend Empfehlungen ausgesprochen.

Datenverschlüsselung

Mobile Rechner befinden sich häufig in Umgebungen, die ein deutlich niedrigeres Sicherheitsniveau als geschützte Büroumgebungen bieten. Daher sollten die auf dem mobilen Rechner befindlichen schützenswerten Daten verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme). Neben einer Reihe von Drittprodukten können zur Verschlüsselung auch die in Microsoft Windows Vista integrierten Mechanismen eingesetzt werden:

In jedem Fall empfiehlt sich der Einsatz von BitLocker. Der zusätzliche Einsatz des EFS empfiehlt sich, wenn BitLocker unter Windows Vista ohne SP1 eingesetzt wird. Der zusätzliche Einsatz des EFS empfiehlt sich auch, wenn die zu schützenden Daten auf dem mobilen Rechner auch dann verschlüsselt sein sollen, wenn der mobile Rechner unter Windows Vista eingeschaltet ist. Im eingeschalteten Zustand bietet die BitLocker-Verschlüsselung keinen Schutz. EFS hingegen sorgt für eine zusätzliche Verschlüsselung einzelner Dateien und Laufwerken, wenn diese nicht permanent entschlüsselt sind. Wenn an den Dateien oder Laufwerken, die mittels EFS geschützt sind, gearbeitet wird, liegen auch hier die Daten unverschlüsselt vor.

Unter Windows Vista ohne SP1 empfiehlt sich der Einsatz der Verschlüsselung der Offline-Dateien zusätzlich zu BitLocker, wenn der lokale Ordner für Offline-Dateien auf dem mobilen Rechner von der Bootpartition in eine andere Partition verschoben worden ist.

Die Strategie zum Schutz der auf einem mobilen Rechner befindlichen Daten (BitLocker, Windows Vista EFS, Offline-Dateien-Verschlüsselung oder Verschlüsselung mit einem Drittprodukt) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.

Datensicherung

Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. Vertiefende Informationen hierzu sind in M 6.32 Regelmäßige Datensicherung zu finden.

Mit Windows Vista können einzelne Dateien gesichert und mittels Windows Complete PC-Sicherungsabbild Images von Partitionen erstellt werden (Siehe M 6.78 Datensicherung unter Windows Clients).

Wenn Netzlaufwerke zur Aufnahme der Datensicherung konfiguriert sind, kann eine Sicherung nur erfolgen, wenn die mobilen Rechner mit dem Backup-Server untereinander vernetzt sind. Die Zeiten zur Datensicherung müssen daher entsprechend geplant werden.

Für die Datensicherung können Wechselmedien eingesetzt werden. Wenn dies beabsichtigt wird, dann müssen die entsprechenden Zugriffe auf die Wechselmedien zur Datensicherung und ggf. zur Datenrücksicherung möglich sein. Dies muss bei der technischen Durchsetzung von Zugriffsbeschränkungen auf Wechselmedien berücksichtigt werden (siehe M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista).

Die Strategie zur Datensicherung eines mobilen Rechners (Sicherung einzelner Dateien, Windows Complete PC-Sicherungsabbild oder Drittprodukt sowie Sicherungszeiten und -orte) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.

Lokal installierte Firewall

Im Gegensatz zu stationären organisationsinternen Desktops besteht bei mobilen Rechnern die Möglichkeit, dass sie direkt an das Internet angeschlossen werden. Der Schutz durch eine lokal installierte Firewall ist in diesem Fall unabdingbar.

Windows Vista bietet mit der Windows Vista Firewall eine Kombination aus "Personal Firewall" und IPSec-Gateway. Die Firewall kann über das Windows Sicherheitscenter konfiguriert werden. Für eine deutlich feiner granulierte Konfigurationsmöglichkeit der Windows Firewall steht unter Windows Vista ein Snap-In für die Managementkonsole (mmc.exe) zur Verfügung. Ein Snap-In ist eine Ergänzungskomponente einer Konsole für bestimmte administrative Aufgaben.

Die Windows Vista Firewall kann neben eingehenden auch ausgehenden Datenverkehr kontrollieren. In der Standardeinstellung wird der eingehende Datenverkehr bis auf die konfigurierten Ausnahmen blockiert (Whitelist-Ansatz) und der ausgehende Datenverkehr bis auf die konfigurierten Ausnahmen durchgelassen (Blacklist-Ansatz).

Die Standardeinstellung der Windows Vista Firewall hängt von der zugrunde liegenden Windows Vista Version ab. Unter Windows Vista Enterprise und Windows Vista Business sind an der Windows Firewall nur wenige Ports geöffnet. Unter Windows Vista Ultimate dagegen sind zahlreiche lokale Windows-Dienste von außen erreichbar.

Die Windows Vista Firewall nutzt den Windows Vista Dienst Network Location Awareness (NLA). Für jede mögliche Netzumgebung (auch Netztyp genannt) kann der Administrator eigene Richtlinien für die Windows Vista Firewall konfigurieren. Dabei unterscheidet Windows Vista die drei Netzumgebungen Domäne, Öffentlich und Privat. Befindet sich ein Windows Vista Client erstmalig in einem Netz, dann erfragt Windows Vista vom Benutzer, welche Netzumgebung gerade vorherrscht. Hierzu benötigt der Benutzer administrative Berechtigungen. Liegen diese nicht vor, dann wählt Windows Vista die Klassifikation Öffentlich. Ist das Netz eine Domäne mit dem Windows Vista Client als Mitglied, dann wählt Windows Vista automatisch die Netzumgebung Domäne.

Einmal klassifizierte Netze werden vom NLA-Dienst anhand verschiedener Kriterien wie der MAC-Adresse des Default-Gateways wiedererkannt. Nur ein Benutzer mit administrativen Berechtigungen kann eine andere Klassifikation vornehmen sowie das Verhalten der Windows Vista Firewall für eine bestimmte Klassifikation ändern.

Das Standardverhalten der Windows Vista Firewall gibt folgende Einstellungen für die Netzumgebungen Domäne, Öffentlich und Privat vor.

Für die Netzumgebung Domäne gilt:

Für die Netzumgebung Öffentlich gilt:

Für die Netzumgebung Privat gilt:

Aller Wahrscheinlichkeit nach werden mobile Rechner in unterschiedlichen Umgebungen einen Zugang zu einem Netz haben. Typische Netzumgebungen sind das LAN der eigenen Organisation, ein LAN am Heimarbeitsplatz und ein Internetzugang an einem öffentlichen WLAN-Hotspot. Windows Vista unterstützt die automatische Erkennung einer Netzumgebung und unterschiedliche Firewall-Regelsätze in Abhängigkeit von der aktuellen Netzumgebung. Soll der Benutzer diese Eigenschaft nutzen können, muss er zumindest beim ersten Zugang zu einem Netz über administrative Rechte verfügen. Der Benutzer muss dann mindestens in der korrekten Zuweisung einer Netzumgebung und gegebenenfalls auch in der Anpassung von Regelsätzen geschult werden.

Die Strategie zum Einsatz der lokalen Firewall auf einem mobilen Rechner (Netzumgebungsabhängige Regelsätze, Möglichkeit der Zuordnung der Netzumgebung durch einen Benutzer) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.

Prüffragen: