M 2.325 Planung der Sicherheitsrichtlinien von Windows XP, Vista und Windows 7
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator
Eine der wichtigsten organisatorischen Aufgaben bei der Einführung von Windows XP, Vista und Windows 7 ist es, eine entsprechende Sicherheitsrichtlinie zu planen und zu definieren. Diese Richtlinie legt die später umzusetzenden Sicherheitsbestimmungen für Windows XP, Vista und Windows 7 Systeme fest.
Die in der Windows XP, Vista und Windows 7-Sicherheitsrichtlinie definierten Anforderungen werden durch die entsprechenden Sicherheitseinstellungen auf Betriebssystemebene oder durch organisatorische Maßnahmen umgesetzt. In Fällen, in denen technische Maßnahmen nicht ausreichen, ist eine Kombination notwendig, so dass eine technische Umsetzung durch zusätzliche organisatorische Maßnahmen begleitet und unterstützt wird. Nach Möglichkeit sollte immer eine technische Lösung gegenüber einer organisatorischen bevorzugt werden.
Die zu erstellende Windows XP, Vista und Windows 7-Sicherheitsrichtlinie hat sich an den bisher geltenden Sicherheitsrichtlinien des jeweiligen Unternehmens oder der jeweiligen Behörde zu orientieren und darf diesen nicht widersprechen. In der Regel werden die existierenden Regelungen für Windows XP angepasst oder sinngemäß erweitert. Dabei sind insbesondere spezifische Technologien von Windows XP, Vista und Windows 7 ( z. B. Remote Desktop) zu berücksichtigen. Generell gilt, dass sich die Planung der Windows XP, Vista und Windows 7 Infrastruktur an der jeweiligen übergreifenden Sicherheitsrichtlinie orientiert, jedoch über einen Feedback-Prozess Einfluss auf diese übergreifende Sicherheitsrichtlinie besitzt. Nicht zuletzt sind beim Erstellen der Windows XP, Vista und Windows 7-Sicherheitsrichtlinie geltende rechtliche Bestimmungen zu beachten. Die Sicherheitsrichtlinie für Windows XP, Vista und Windows 7 ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen. Alle Administratoren sollten sie kennen und umsetzen.
Die folgenden Themenbereiche bieten einen groben Überblick über die abzudeckenden Bereiche einer solchen Richtlinie. Je nach Unternehmen oder Behörde und umzusetzenden Einsatzszenarien müssen noch weitere Aspekte in Betracht gezogen werden.
Physische Sicherheit
Die Aspekte der physischen Sicherheit müssen bei der Planung der Windows XP, Vista und Windows 7-Sicherheitsrichtlinie berücksichtigt werden, da diese Betriebssysteme auch auf mobilen Rechnern zum Einsatz kommen können. Es müssen die generellen Empfehlungen zur physischen Sicherheit aus B 3.201 Allgemeiner Client und B 3.202 Allgemeines nicht vernetztes IT-System umgesetzt werden.
Verantwortlichkeiten
Die Verantwortlichkeiten für den Betrieb der Windows XP, Vista und Windows 7-Systeme müssen in der Windows XP, Vista und Windows 7-Sicherheitsrichtlinie geregelt werden.
Es ist festzulegen, welche Verantwortung die einzelnen Administratoren zu übernehmen haben. Dies können zum Beispiel Verantwortlichkeiten sein für:
- Änderungen der Sicherheitsparameter (lokal),
- Änderungen der Sicherheitsparameter im Active Directory,
- die Verwaltung der Systeme im Active Directory,
- die Auswertung der Protokolldaten,
- die Vergabe von Zugriffsrechten und Systemberechtigungen,
- die Freigabe und das Durchführen von Konfigurationsänderungen sowie das Installieren von Software,
- das Hinterlegen und den Wechsel von Passwörtern und
- die Durchführung von Datensicherungen und Datenwiederherstellungen.
Auch die Endbenutzer müssen in einem Client-Server-Netz Verantwortlichkeiten übernehmen, sofern sie administrative Tätigkeiten ausführen sollen. In der Regel beschränken sich diese Verantwortlichkeiten auf die Vergabe von Zugriffsrechten auf die eigenen Dateien, sofern diese Rechte explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden.
Die Administration der Systeme sollte durch geschulte Administratoren erfolgen, wobei im Rahmen der Notfallvorsorge für eine geeignete Stellvertreterregelung zu sorgen ist.
Benutzerkonten
Vor der Einrichtung von Benutzerkonten muss die Entscheidung getroffen werden, welche Konten lokal oder im Active Directory angelegt werden.
Active Directory oder ähnliche Lösungen sollten eingesetzt werden, da diese prinzipbedingt stärkere Authentisierungsverfahren und die effektive Steuerung der Konten ermöglichen. Der Verwendungsrahmen für lokale Konten ist auf bestimmte Anwendungen einzugrenzen. Des Weiteren sollten die Restriktionen, die für Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf Anmelde-Fehlversuche.
Berechtigungskonzept
Die Sicherheitsrichtlinie muss unter anderem ein Berechtigungskonzept enthalten. Das Berechtigungskonzept legt Rechte von normalen und administrativen Benutzern fest.
Problematisch ist die Tatsache, dass Windows XP, Vista und Windows 7 nicht rollenfähig sind. Daher muss ein entsprechendes Gruppenkonzept geplant und lokal oder in der Domäne umgesetzt werden. Dies erfordert im Wesentlichen eine Abbildung der Organisationshierarchie und der existierenden Rollen auf die jeweiligen Gruppen.
Durch die Vergabe entsprechender Berechtigungen an diese Gruppen sowie gegebenenfalls die Definition entsprechender Richtlinien ( z. B. Software Restriction Policies) wird das Berechtigungskonzept umgesetzt. Dies erfordert eine entsprechende Planung und die Erfassung der Verantwortlichkeiten und Prozesse.
Folgende Bereiche müssen durch das Berechtigungskonzept abgedeckt sein:
- Systemberechtigungen und Benutzerrechte ( z. B. lokale oder entfernte Anmeldung auf einem Rechner, das Herunterfahren eines Systems),
- Zugriffsberechtigungen auf Netzwerkfreigaben,
- Zugriffsberechtigungen auf Dateien (Anwendungs- und Systemdateien),
- Zugriffsberechtigungen auf Registry-Einträge.
Benutzerrechte müssen sorgfältig geplant werden, da sie Vorrang vor anderen Rechten haben, insbesondere vor Datei- und Verzeichnisberechtigungen. Benutzerrechte beziehen sich auf das gesamte Windows XP, Vista oder Windows 7-System. Die Vergabe der Benutzerrechte erfolgt über Gruppenrichtlinien, die bei Mitgliedern einer Active Directory-basierten Domäne im Active Directory und bei anderen Systemen lokal definiert werden (siehe M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien ). Bei der Vergabe ist darauf zu achten, dass Berechtigungen und Rechte vorzugsweise Gruppen und nicht einzelnen Benutzern zugewiesen werden.
Unter Windows Vista und Windows 7 muss das Berechtigungskonzept auch auf den Einsatz der Benutzerkontensteuerung (User Account Control, UAC) eingehen (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ).
Kommunikationssicherheit
Auch Anforderungen an die Sicherheit bei der Datenübertragung müssen ein Bestandteil der Sicherheitsrichtlinie sein. Es ist empfehlenswert, Grundanforderungen an die Übertragungssicherheit in der Sicherheitsrichtlinie zu formulieren (Sollzustand) und anschließend Ausnahmen zu erfassen, die aufgrund lokaler Gegebenheiten notwendig sind. Bei der Definition von Anforderungen und zugehörigen Ausnahmen sind vor allem die Fragen der erforderlichen Authentizität, Vertraulichkeit, Integrität und Verfügbarkeit zu berücksichtigen.
Die technische Umsetzung der Anforderungen kann auf unterschiedliche Art und Weise erfolgen. Zwei der möglichen Umsetzungen werden in M 5.123 Absicherung der Netzkommunikation unter Windows und M 5.90 Einsatz von IPSec unter Windows beschrieben.
Bei der Umsetzung der Anforderungen ist die Windows-eigene Firewall gegen die Firewall-Funktionalität von separater Schutzsoftware abzuwägen. Erst ab Windows Vista und Windows 7 genügt die Windows-eigene Firewall den normalen Sicherheitsanforderungen in den meisten Fällen. Falls bereits eine zentral verwaltete Schutzsoftware vorhanden ist, ist dessen Firewall-Funktionalität oft besser in die Sicherheitsfunktionen der gesamten Schutzsoftware eingebunden als die Windows-eigene Firewall unterschiedlicher Windows-Versionen. Besonders in gemischten Umgebungen empfiehlt es sich, die notwendigen Sicherheitsniveaus entsprechend solcher Abwägungen für jeden Systemtyp einzeln zu formulieren und auf die technische Verträglichkeit, die Anschaffungskosten und die zentrale Steuerung zu achten.
Ab Windows 7 können Daten von eingebauten Sensoren wie GPS-Sensoren gesammelt werden. Die Daten werden von Applikationen und Diensten genutzt, insbesondere von Internet-basierenden Diensten. Sensordaten sind standardmäßig von allen installierten Applikationen sowie Dienst- und Benutzerkonten abrufbar. Daher sollten sie im Normalfall deaktiviert werden, um die informationelle Selbstbestimmung der Nutzer des IT -Systems zu gewährleisten.
Wenn Sensoren benötigt werden, sollte vorab eine konkrete Regelung für die jeweilige Anwendung definiert werden. Es sind die Software sowie Dienst- und Benutzerkonten festzulegen, welche Sensordaten abfragen dürfen. Weiterhin sollten die Mitarbeiter auf Art und Nutzung der gesammelten Daten hingewiesen werden. Es muss geprüft werden, ob eine gesonderte Einverständniserklärung des Nutzers notwendig ist. Außerdem sollte das System verschlüsselt und mit Zugriffsschutz versehen werden, da sonst unter Umständen ein Dritter die Sensordaten extrahieren und für Social Engineering missbrauchen könnte.
Protokollierung
Windows Vista sowie Windows 7 stellen, wie auch Windows 2000 und Windows XP, sehr ausführliche Möglichkeiten zur Protokollierung sicherheitsrelevanter Ereignisse (erfolgreiche und/oder fehlgeschlagene Versuche) zur Verfügung.
Diese sind jedoch bei vollständiger Nutzung in der Lage, das System weitgehend mit der Protokollierung auszulasten und große Mengen an Speicherplatz zu verbrauchen. Bei der Definition der Protokolleinstellungen ist das Gesamtkonzept der Systemüberwachung (siehe M 4.148 Überwachung eines Windows 2000/XP Systems und M M 4.344 Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen ) zu berücksichtigen.
Einsatzszenarien-spezifische Aspekte
Je nach Einsatzszenario entstehen weitere, für dieses Szenario spezifische Aspekte, die bei der Planung berücksichtigt sein müssen. Insbesondere durch die Verwendung von Peer-to-Peer entstehen neue Sicherheitsaspekte, die durch die Sicherheitsrichtlinien abgedeckt sein müssen (siehe auch M 5.152 Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste ). Auf die Verwendung von Peer-to-Peer sollte nach Möglichkeit verzichtet werden, da es die Sicherheit des Client-Server-Netzes beeinträchtigen können.
Die für den mobilen Betrieb eines Windows XP, Vista und Windows 7 Systems zu berücksichtigenden Aspekte werden in M 2.328 Einsatz von Windows XP auf mobilen Rechnern bzw. M 2.442 Einsatz von Windows Vista und Windows 7 auf mobilen Systemen beschrieben.
Ein weiteres Beispiel für szenariospezifische Sicherheitsaspekte ist die Verwendung von EFS, das zusätzliche sicherheitsrelevante Anforderungen aufwirft (siehe M 4.147 Sichere Nutzung von EFS unter Windows ). Analog ist unter Windows Vista und Windows 7 die mögliche Verwendung der BitLocker Festplattenverschlüsselung zu berücksichtigen (siehe M 4.337 Einsatz von BitLocker Drive Encryption ).
Prüffragen:
- Orientiert sich die Sicherheitsrichtlinie zu Windows XP, Vista und Windows 7 an den geltenden Sicherheitsrichtlinien des Unternehmens bzw. der Behörde?
- Wurde allen Benutzern des Client-Netzes die Sicherheitsrichtlinie zum mobilen Einsatz von Windows XP, Vista und Windows 7 im erforderlichen Umfang bekannt gegeben?
- Werden die Verantwortlichkeiten für den Betrieb der Windows XP, Vista und Windows 7-Systeme in der Sicherheitsrichtlinie geregelt?
- Beinhaltet die Sicherheitsrichtlinie ein Berechtigungskonzept in dem Rechte sowohl normaler als auch administrativer Benutzer geregelt werden?
- Bei Einsatz von Windows Vista und Windows 7: Ist der Einsatz der User Account Control (UAC) im Berechtigungskonzept geregelt?
- Werden in der Sicherheitsrichtlinie auch Anforderungen an die Sicherheit bei der Datenübertragung geregelt?
- Liegen der Planung der Sicherheitsrichtlinien die unterschiedlichen Einsatzszenarien der Windows XP, Vista und Windows 7-Clients zugrunde?