M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Vorgesetzte

Die Sicherheit der Daten, die auf Windows-Systemen gespeichert sind, hängt zu einem großen Teil vom korrekten Umgang der Benutzer mit den Sicherheitsmechanismen der Windows-Systeme ab. Um diese effektiv nutzen zu können, sollten Benutzer von Windows-Systemen entsprechend geschult werden, dazu ist ein Konzept notwendig.

Benutzersicht auf Sicherheitsmechanismen

Beim Umgang mit Windows-Systemen kann dem Benutzer ein großer Teil der sicherheitsrelevanten Einstellungen durch entsprechende Vorarbeiten und Voreinstellungen des Administrators abgenommen werden. Um einheitliche und überprüfbare Systemkonfigurationen zu erhalten, ist ein solches Vorgehen unabdingbar (siehe M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien ).

Einige sicherheitsrelevante Einstellungen können allerdings vom Benutzer selbst vorgenommen werden. Dazu gehören die Zugriffsrechte auf die eigenen Dateien und Verzeichnisse. Die Zugriffsrechte können einzelnen Benutzern oder Benutzergruppen eingeräumt oder verweigert werden. Widersprechen sich die für einen Benutzer konfigurierten Zugriffsrechte wird der Zugriff verweigert. Ein Beispiel dafür wäre, wenn der Benutzer Mitglied der beiden Gruppen A und B ist, wobei der Zugriff für Gruppe A zugelassen ist, während er für Gruppe B verweigert wird.. Generell gilt, dass die Zugriffsrechte auf die eigenen Dateien eines Benutzers vom Administrator voreingestellt und automatisch auf neue Dateien und Ordner übertragen werden. Da Benutzer jedoch in der Regel die Möglichkeit besitzen, die Zugriffsrechte zu verändern, ist es notwendig, dass jeder Benutzer entsprechend geschult wird (siehe dazu auch M 4.149 Datei- und Freigabeberechtigungen unter Windows ). In den Richtlinien der Institution sollte festgelegt werden, welche Benutzer welche Einstellungen vornehmen dürfen oder ob die Änderung der Zugriffsrechte durch den Benutzer generell verboten wird. Empfehlenswert ist hier die Regelung, dass zumindest Benutzer mobiler Clients im Umgang mit der Vergabe der Zugriffsrechte an ihren Daten geschult werden. Für Benutzer mit stationären Clients kann dies als optional vereinbart werden.

Ein weiterer Aspekt, auf den eine Benutzerschulung eingehen muss, ist die Verwendung des verschlüsselnden Dateisystems EFS (Encrypting File System). Neben der Vermeidung von Fallstricken bei der Benutzung des EFS sollte hier vor allem vermittelt werden, in welchem Ausmaß EFS die Vertraulichkeit von Daten in Dateien schützen kann, und wo dieser Schutz aufhört (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows ). Bei Einsatz von Windows Vista und Windows 7 sollte auf die Möglichkeiten eingegangen werden, die ein gleichzeitiger Einsatz von BitLocker zur Festplattenverschlüsselung und EFS bieten. Die Benutzer sollten auf jeden Fall darin geschult werden, wie sie die Schlüsselinformationen zu verwalten haben, um die Verfügbarkeit der Daten stets zu gewährleisten.

Bei der Verwendung von BitLocker zur Festplattenverschlüsselung (siehe M 4.337 Einsatz von BitLocker Drive Encryption ) muss das dadurch erreichbare Schutzniveau der Vertraulichkeit in der Benutzerschulung behandelt werden. Des Weiteren sollte den Benutzern das gewählte Verfahren zur Authentisierung des Benutzers gegenüber BitLocker beim Start von Windows Vista und Windows 7 sowie die Bedeutung des Wiederherstellungskennworts und die Grenzen der Schutzwirkung in der Schulung erläutert werden.

Windows Vista und Windows 7 bieten verschiedene Methoden der Datensicherung an (siehe M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows-Systemen ).

Dem Benutzer muss erläutert werden, welche Methoden der Datensicherung von ihm angewandt werden sollten. Weiterhin muss dem Benutzer bekannt sein, wo sich gesicherte Daten befinden, wie er bei Bedarf auf diese zugreifen kann und was er zur Wiederherstellung seiner Daten unternehmen muss.

Schulungsinhalte

Die folgenden Stichpunkte fassen notwendige Schulungsinhalte für den sicheren Umgang von Benutzern mit Windows-Systemen zusammen:

Verwendung von Zugriffsrechten im NTFS Dateisystem

Einsatz der integrierten Windows Firewall

Benutzung von EFS (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows )

Sonstige Sicherheitshinweise

Prüffragen: