M 4.75 Schutz der Registry unter NT-basierten Windows-Systemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
In der Registry eines NT-basierten Windows-Systems werden alle wichtigen Konfigurations- und Initialisierungsinformationen gespeichert. Dort wird u. a. die SAM-Datenbank verwaltet, die die Benutzer- und Computerkonten enthält. Dies gilt insbesondere für Rechner, die keiner Domäne angeschlossen sind, oder Domänen-Rechner, auf denen auch lokale Konten benutzt werden.
Die Registry eines NT-basierten Windows-Systems besteht aus mehreren Dateien, die sich in dem Verzeichnis %SystemRoot%\SYSTEM32\Config befinden. Aus diesem Grund sollten die Zugriffsrechte auf dieses Verzeichnis und die darin enthaltenen Dateien so gesetzt werden, wie dies in M 4.149 Datei- und Freigabeberechtigungen unter Windows und M 4.247 Restriktive Berechtigungsvergabe unter Windows Client-Betriebssystemen vorgeschlagen wird.
Zur Erhöhung des Schutzes sollten unmittelbar nach der Installation von Windows-Betriebssystemen die folgenden sicherheitsrelevanten Teile der Registry durch expliziten Eintrag von Zugriffsrechten mit Hilfe des Registry-Editors besonders geschützt werden. Dies erfolgt mit Hilfe des Programms regedt32.exe bzw. regedit.exe im Windows-Systemverzeichnis %SystemRoot%\SYSTEM32. Die Einstellungen sollten so erfolgen, dass die Gruppe Jeder für diese Teile nur über die Zugriffsrechte Wert einsehen, Teilschlüssel auflisten, Benachrichtigen und Zugriff lesen verfügt:
- Im Bereich HKEY_LOCAL_MACHINE gilt das für folgende Schlüssel:
\Software\Windows3.1MigrationStatus (mit allen Unterschlüsseln)
\Software\Microsoft\RPC (mit allen Unterschlüsseln)
\Software\Microsoft\Windows NT\CurrentVersion - Unter dem Schlüssel \Software\Microsoft\Windows NT\CurrentVersion\ sind das diese Einträge:
+ Profile List
+ AeDebug
+ Compatibility
+ Drivers
+ Embedding
+ Fonts
+ FontSubstitutes
+ GRE_Initialize
+ MCI
+ MCI Extensions
+ Port (mit allen Unterschlüsseln)
+ WOW (mit allen Unterschlüsseln) - und im Bereich HKEY_CLASSES_ROOT ist folgender Bereich zu schützen:
\HKEY_CLASSES_ROOT (mit allen Unterschlüsseln)
Die entsprechenden Einstellungen für Zugriffsrechte auf die Registry unter Windows XP und Windows Vista sind in der Maßnahme M 4.247 Restriktive Berechtigungsvergabe unter Windows Client-Betriebssystemen zu finden.
In einer Windows Server 2003 Domäne sollte der Zugriff auf die Schlüssel HKEY_CLASSES_ROOT, HKEY_LOCAL_MACHINE und HKEY_USERS durch Gruppenrichtlinien über das Active Directory konfiguriert werden.
Dabei ist sorgfältig vorzugehen, da fehlerhafte Einstellungen in der Registry dazu führen können, dass das System nicht mehr lauffähig ist und nach dem nächsten Starten eventuell nicht mehr bootet. Die hier genannten Einstellungen sollten daher zunächst auf ein Testsystem angewendet und auf ihre Lauffähigkeit in der aktuellen Umgebung kritisch geprüft werden, ehe sie allgemein eingesetzt werden.
Netzzugriff auf die Registry
Sofern diese Funktionalität nicht unbedingt gebraucht wird, sollte auch der Zugriff über das Netz auf die Registry gesperrt werden. Dies ist ab Windows NT 4.0 möglich, indem der Eintrag winreg im Schlüssel /System/CurrentControlSet/Control/SecurePipeServers im Bereich HKEY_LOCAL_MACHINE auf den Wert REG_DWORD = 1 gesetzt wird.
In Windows NT 3.x besteht die Möglichkeit der expliziten Sperrung von Netzzugriffen auf die Registry nicht. Hier kann man sich damit behelfen, dass die Zugriffsberechtigung für Jeder auf die Wurzel des Bereiches HKEY_LOCAL_MACHINE (nicht jedoch auf die darunter liegenden Schlüssel!) entfernt wird, so dass nur noch Administratoren auf diesen Bereich Zugriff haben. Diese Änderung ist unbedingt auf einem Testsystem zu überprüfen, da sie zur Folge haben kann, dass einige Anwendungen nicht mehr lauffähig sind. Es ist zu beachten, dass diese Änderung nur bis zum nächsten Systemstart bestehen bleibt.
Prüffragen:
- Ist ein Zugriff für die Gruppe Jeder auf die Registry unterbunden?
- Ist der Zugriff auf die Registry über das Netz auf Benutzerkonten und Gruppen beschränkt, die diesen für ihre Arbeit benötigen?
- Werden Änderungen an der Registry vorher auf einem Testsystem ausführlich getestet?