M 2.327 Sicherheit beim Fernzugriff unter Windows XP und Windows Vista
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Mit Windows XP wurden zwei neue Mechanismen zur Fernsteuerung eines Rechners eingeführt: der Remotedesktop und die Remoteunterstützung. Der Remotedesktop basiert auf der Technologie der Terminaldienste (RDP-Protokoll) und macht eine Anmeldung am System über ein Netz möglich. Die Remoteunterstützung erweitert den Remotedesktop um die Möglichkeit, innerhalb einer bestehenden Sitzung auf die Bildschirminhalte eines entfernten Rechners zuzugreifen und gegebenenfalls auch die Steuerung des Rechners zu übernehmen. Von Windows Vista werden diese Mechanismen zur Fernsteuerung ebenfalls unterstützt.
Der Remotedesktop wird primär für Wartungsarbeiten auf Windows XP und Windows Vista Rechnern über ein Netz eingesetzt. Der Einsatz der Remoteunterstützung ist bei Unternehmen und Behörden vor allem in Szenarien denkbar, wo Mitarbeiter eines internen oder externen Support-Zentrums einem Benutzer die notwendige Hilfestellung geben sollen.
Bei der Benutzung des Remotedesktops ist zu beachten, dass immer nur genau ein Benutzer auf dem Zielrechner angemeldet sein kann. Der Remotedesktop ist in dieser Hinsicht nicht als Ersatz für Terminaldienste zu verstehen.
Die Aktivierung und Deaktivierung des Remotedesktops bzw. der Remoteunterstützung kann mittels entsprechender Gruppenrichtlinienobjekte Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste sowie Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste und Computerkonfiguration | Administrative Vorlagen | System | Remote Unterstützung oder lokal über die Systemsteuerung (bei Windows XP unter System | Remote und bei Windows Vista unter System | Erweiterte Systemeinstellungen | Remote) erfolgen.
Beim Einsatz von diesen beiden Technologien muss auf folgendes geachtet werden:
- Es sollte starke Verschlüsselung (128-bit, Einstellung Höchste Stufe) verwendet werden. Diese muss in der Richtlinie Verschlüsselungsstufe der Clientverbindung (für Windows XP festzulegen unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Verschlüsselung und Sicherheit und für Windows Vista unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit) aktiviert werden.
- Es sollte keine automatische Kennwortanmeldung benutzt werden. Dies muss für Windows XP durch die Aktivierung der Richtlinie Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Verschlüsselung und Sicherheit ausgeschaltet werden. In Windows Vista muss die Einstellung unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit aktiviert werden.
- Die Umleitungen von Zwischenablage, Drucker, Dateiablagen und Smartcard-Anschlüssen, die für Windows XP unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Client/Server-Datenumleitung aktiviert und deaktiviert werden, sollten nach Möglichkeit vermieden. werden. Unter Windows Vista lauten die entsprechenden Pfade Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Druckerumleitung bzw. | Geräte- und Ressourcenumleitung bzw. | Temporäre Ordner.
Die Gruppe der berechtigten Benutzer für den Remotedesktop-Zugriff wird entweder über die Zuweisung entsprechender Benutzerrechte in den Richtlinien (Anmeldung über Terminaldienste zulassen, Anmeldung über Terminaldienste verweigern) oder über die Systemsteuerung spezifiziert. Standardmäßig ist der entfernte Zugriff für die Gruppe der Administratoren sowie die Gruppe Remotedesktopbenutzer, die nach der Installation leer ist, möglich.
Für den Aufbau einer Remoteunterstützungs-Sitzung können folgende zwei Möglichkeiten verwendet werden:
- Die Sitzung wird standardmäßig nur nach einer expliziten Einladung durch den Benutzer aufgebaut.
- Bei geeigneter Konfiguration kann ein Helfer dem Benutzer seine Unterstützung aktiv anbieten.
Der aktuell angemeldete Benutzer muss dem Aufbau einer Sitzung explizit zustimmen. Der Benutzername des Helfers stellt wegen fehlender Authentisierung die Schwachstelle beim Verbindungsaufbau dar Aus diesem Grund erfordert der Remoteunterstützungs-Mechanismus einen Umgang mit Bedacht.
Durch die Definition entsprechender Richtlinien ist beim Einsatz der Remoteunterstützung folgendes zu gewährleisten:
- Eine Sitzung sollte nur nach einer expliziten Einladung aufgebaut werden. Soll das Anbieten der Remoteunterstützung möglich sein, darf der Verbindungsaufbau nur bestimmten Benutzergruppen erlaubt werden (z. B. Support-Mitarbeiter). Die Definition erfolgt hierbei in Form von:
<Domänenname>\<Benutzername>
<Domänenname>\<Gruppenname>
<Benutzername>@<Domain>.<TopLevelDomain>.
Eine Auswahl aus vorhandenen Benutzern bzw. Gruppen ist nicht möglich. - Die maximale Gültigkeitsdauer der Einladung muss auf eine, für das Unternehmen bzw. die Behörde annehmbare Größe, eingestellt werden.
- Wird eine Einladung zur Remoteunterstützung in einer Datei abgespeichert, so sollte ein Kennwort vergeben werden, um die Gefahr einer unautorisierten Verwendung der Einladung zu verringern.
- Die Steuerungsart (Helfer dürfen den Computer nur ansehen bzw. Helfer dürfen den Computer remote steuern) sollte nach Möglichkeit restriktiv (Helfer dürfen den Computer nur ansehen) gesetzt werden.
Beim Einsatz von Remotedesktop und/oder Remoteunterstützung sind die Auswirkungen auf die Konfiguration und Verwaltung von Firewalls zu berücksichtigen. Grundsätzlich wird empfohlen, keine Remotedesktop- bzw. Remoteunterstützungs-Verbindungen von außerhalb des eigenen Netzes zuzulassen.
Zusammengefasst gilt, dass der Einsatz von Fernsteuerungsmechanismen sehr sorgfältig abgewogen werden muss. Insbesondere aufgrund der bestehenden Unterschiede bei der Benutzerauthentisierung sollten die Vor- und Nachteile des jeweiligen Mechanismus in Betracht gezogen werden. Wird in einem Unternehmen oder einer Behörde kein Gebrauch von Remotedesktop bzw. Remoteunterstützung gemacht, so sind diese unbedingt zu deaktivieren.
Basiseinstellungen für GPOs
Die nachfolgenden Einstellungen gelten nur für den Einsatz beider Fernsteuerungsmechanismen. Soll einer der beiden oder beide Mechanismen nicht verwendet werden, so ist dieser zu deaktivieren. Hierfür ist die Modifikation der unten angegebenen Richtlinieneinstellungen notwendig.
Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer unter Windows XP auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten.
Richtlinie | Status | Einstellung |
---|---|---|
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Verschlüsselung und Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen | Aktiviert | Höchste Stufe |
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Verschlüsselung und Sicherheit | Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern | Aktiviert | |
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Client/Server-Datenumleitung | * | Aktiviert/ Deaktiviert | |
Computerkonfiguration | Administrative Vorlagen | System | Remote Unterstützung | Remoteunterstützung anbieten | Deaktiviert | |
Computerkonfiguration | Administrative Vorlagen | System | Remote Unterstützung | Angeforderte Remoteunterstützung | Aktiviert | Helfer dürfen den Computer remote steuern. Maximale Gültigkeitsdauer: 8 Stunden |
Tabelle: Gruppenrichtlinieneinstellungen für Computer (Windows XP)
Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer unter Windows Vista auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten.
Richtlinie | Status | Einstellung |
---|---|---|
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit | Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern | Aktiviert | |
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen | Aktiviert | Höchste Stufe |
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Remoteunterstützung anbieten | Deaktiviert | |
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Angeforderte Remoteunterstützung | Aktiviert | Helfer dürfen den Computer remote steuern. Maximale Gültigkeit-sdauer: 8 Stunden |
Tabelle: Gruppenrichtlinieneinstellungen für Computer (Windows Vista)
Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Benutzer unter Windows XP auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten.
Richtlinie | Status | Einstellung |
---|---|---|
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen | Aktiviert | Vollzugriff mit Erlaubnis des Benutzers |
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Client | Speichern von Kennwörtern nicht zulassen | Aktiviert |
Tabelle: Gruppenrichtlinieneinstellungen für Benutzer (Windows XP)
Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Benutzer unter Windows Vista auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten.
Richtlinie | Status | Einstellung |
---|---|---|
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Remotedesktopverbindungs-Client | Speichern von Kennwörtern nicht zulassen | Aktiviert | |
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Verbindungen | Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen | Aktiviert | Vollzugriff mit Erlaubnis des Benutzers |
Tabelle: Gruppenrichtlinieneinstellungen für Benutzer (Windows Vista)
Prüffragen:
- Wurde der Einsatz von Fernsteuerungsmechanismen von Windows XP und Vista sorgfältig abgewogen?
- Wird eine hinreichend starke Verschlüsselung verwendet?
- Ist die automatische Kennwortanmeldung deaktiviert?
- Ist die Gruppe der berechtigten Benutzer für den Remotedesktop-Zugriff über die Zuweisung entsprechender Benutzerrechte oder in den Richtlinien festgelegt worden?
- Sind die Gruppenrichtlinien sicher und bedarfsgerecht konfiguriert worden?
- Kann eine Remoteunterstützung nur nach einer expliziten Einladung erfolgen?
- Ist die maximale Gültigkeitsdauer der Einladung auf eine annehmbare Größe eingestellt worden?
- Wird bei der Speicherung einer Einladung in einer Datei ein Kennwort auf die Datei vergeben?
- Werden die Auswirkungen auf die Konfiguration der Firewall bei der Planung der Remoteunterstützung berücksichtigt?
- Wurden die Fernsteuerungsmechanismen vollständig deaktiviert, wenn deren Einsatz nicht vorgesehen ist?