M 4.49 Absicherung des Boot-Vorgangs für ein Windows-System
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Windows kann nur dann sicher betrieben werden, wenn vom Systemstart an gewährleistet ist, dass eine geschlossene Sicherheitsumgebung aufgebaut wird. Es dürfen keine Wege an den Sicherheitsfunktionen des Betriebssystems vorbei bestehen. Dies erfordert, dass sich alle durch Windows schützbaren Ressourcen unter der Kontrolle des Betriebssystems befinden. Außerdem darf es keine Möglichkeit geben, fremde Systeme oder offene Systemumgebungen von Disketten-, CD-ROM-Laufwerken oder USB-Speichermedien zu starten, die den durch Windows gebotenen Schutz unterlaufen können. Dazu sind die folgenden Aspekte zu beachten:
- Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem NTFS formatiert sein. Partitionen, die mit den Dateisystemen FAT12, FAT16, FAT32, VFAT, oder HPFS formatiert sind, können nicht gegen unbefugte Zugriffe der Benutzer geschützt werden. Dies bedeutet einerseits, dass die auf ihnen abgelegten Daten beliebigen Zugriffen aller Benutzer ausgesetzt sind. Andererseits können diese Partitionen zum unkontrollierten Datenaustausch zwischen Benutzern missbraucht werden.
- Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter NT-basierten Windows-Systemen nur mit dem Dateisystem FAT oder VFAT formatiert werden können. Aus diesem Grund sind Diskettenlaufwerke an allen Rechnern, die nicht unter strikter physischer Kontrolle stehen, grundsätzlich zu sperren (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ). Auf NT-basierten Windows-Clients können die Diskettenlaufwerke auch durch Deaktivieren über die Systemsteuerungsoption Geräte bzw. Computerverwaltung | Geräte-Manager, Gerät Floppy, für unprivilegierte Benutzer außer Betrieb gesetzt werden. Hiervon sollte auf Windows NT/2000 Servern (siehe hierzu M 4.52 Geräteschutz unter NT-basierten Windows-Systemen) und auf Windows Vista/ Windows 7 abgesehen werden (M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista und Windows 7 ).
- Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist es möglich, von einem vorhandenen CD/DVD-Laufwerk zu booten, so besteht die Gefahr, dass der Rechner mit einem anderen Betriebssystem als Windows gestartet wird. Die gleiche Gefährdung ergibt sich, wenn der Rechner von einem USB-Speichermedium gestartet werden kann oder auf einer lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann der Anwender mit verschiedenen Programmen die Sicherheitsmechanismen von Windows umgehen. Inzwischen gibt es mehrere Programme, mit denen sich Dateien, die unter NTFS geschützt sind, von einer DOS-Umgebung oder einer Linux-Umgebung lesen und zum Teil auch ändern lassen. Sowohl unter dem Betriebssystem MS-DOS als auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS gesetzten Sicherheitsattribute ignoriert.
Der Anwender hat daher von MS-DOS bzw. von Linux aus Zugriff auf alle Dateien des Rechners. Aus diesem Grund wird empfohlen, neben Windows keine weiteren Betriebssysteme auf lokalen Festplatten zu installieren. - Unter den Windows Vista / Windows 7 Versionen Enterprise und Ultimate steht die Festplattenverschlüsselung BitLocker zur Absicherung des Boot-Vorgangs zur Verfügung. In Verbindung mit einem TPM (Trusted Platform Module) prüft BitLocker die Systemintegrität während des Bootprozesses. Weiterhin besteht die Möglichkeit, durch den Einsatz der BitLocker-Authentisierungsmittel PIN und/oder USB-Stick das Booten von Windows Vista / Windows 7 durch Unbefugte zu verhindern (M 4.337 Einsatz von BitLocker Drive Encryption).
- Im Rahmen einer Neuinstallation von Windows besteht die Möglichkeit, die bestehende Installation des Betriebssystems zu aktualisieren oder eine neue Version parallel zu installieren. Bei der parallelen Installation wird die bestehende Dateistruktur nicht verändert, doch wird das vordefinierte Administratorkonto mit einem neuen Passwort neu angelegt. Dieser "neue" Administrator hat vollen Zugriff auf alle Ressourcen des Rechners und damit auch auf alle Daten und Programme.
Damit im Bootmenü des Betriebssystems keine alternativen Betriebssysteme eingefügt werden können, dürfen Benutzer nicht in der Lage sein, die Datei boot.ini im Wurzelverzeichnis der ersten Platte zu verändern. Um das Booten eines alternativen Betriebssystems über einen Bootmanager auf einem externen Medium wie USB-Stick oder CD/DVD zu unterbinden, darf die Bootreihenfolge nicht verändert werden können. Zum Schutz der Bootreihenfolge sollte ein BIOS-Passwort gesetzt werden. (siehe M 4.149 Datei- und Freigabeberechtigungen unter Windows und M 4.247 Restriktive Berechtigungsvergabe unter Windows Vista und Windows 7 ). - Mit Hilfe der Installationsprogramme kann für Windows 2000 auch eine Notfalldiskette (siehe M 6.77 Erstellung von Rettungsdisketten für Windows 2000 ) erzeugt und mit dieser eine Systemrekonstruktion durchgeführt werden. Dabei wird der Zugriffsschutz der NTFS-Partition des Betriebssystems aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme, eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten so zu verwahren, dass sie gegen unbefugten Zugriff geschützt sind. Schutz gegen diese spezifische Bedrohung bietet auch die Sicherung der Diskettenlaufwerke (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ) und die Absicherung des Boot-Vorgangs durch entsprechende Einstellungen im BIOS (siehe oben).
- Für die Systemrekonstruktion unter Windows XP und Windows Vista / Windows 7 wird die Wiederherstellungskonsole (Recovery Console) verwendet. Der Weg über die Notfalldiskette steht nicht mehr zur Verfügung. Die Wiederherstellungskonsole kann entweder von der Installations-CD/-DVD oder den Installations-Disketten gestartet werden. Sie lässt sich auch in das System integrieren, so dass sie beim Systemstart als eine der Boot-Optionen angeboten wird.
- Da die Wiederherstellungskonsole ein mächtiges Werkzeug ist, muss ihr Einsatz durch die entsprechende Einstellung des BIOS und im Allgemeinen durch die Definition der Wiederherstellungskonsole-Richtlinien (siehe M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen ) eingeschränkt werden.
Prüffragen:
- Sind alle vorhandenen Festplattenpartitionen mit dem Dateisystem NTFS formatiert?
- Ist sichergestellt, dass Benutzer den Computer nicht von Disketten-, CD-ROM-Laufwerken oder USB-Speichermedien booten können?
- Ist die Datei boot.ini im Wurzelverzeichnis der ersten Platte vor Veränderungen geschützt?
- Werden die vorhandenen Installationsprogramme, sowie eventuell vorhandene Notfalldisketten und Installationsmedien vor unberechtigtem Zugriff geschützt?