M 4.425 Verwendung der Tresor- und Cardspace-Funktion unter Windows 7
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Benutzer, Administrator
Windows 7 bietet verschiedene Netzfunktionen an, die sich vornehmlich an Privatanwender richten und deren Verwendung standardmäßig aktiviert ist. So können mit Windows 7 Zugangsdaten (Anmeldeinformationsverwaltung) für verschiedene Ressourcen, beispielsweise auf externe Computersysteme und Webseiten, und persönliche Informationen (Windows Cardspace) für die Registrierung und Anmeldung bei Webseiten und Online-Diensten verwaltet werden.
Damit durch die Verwendung dieser Funktionalitäten innerhalb einer Institution keine Schwachstellen entstehen, müssen für deren Einsatz zunächst die Risiken gegenüber dem Nutzen abgewogen werden. Bei einer positiven Entscheidung hinsichtlich des Einsatzes ist die Verwendung der Funktionen sorgfältig zu planen und umzusetzen.
Anmeldeinformationsverwaltung (Tresor)
Seit der Version 7 verfügt das Windows-Betriebssystem über eine zentrale Speicherstelle für Zugangsdaten für verschiedene Netzressourcen, beispielsweise für andere Windows-Systeme, Online-Dienste und Webseiten. Die gespeicherten Zugangsdaten werden nach Windows-Anmeldeinformation, zertifikatbasierte Anmeldeinformationen und generische Anmeldeinformationen unterschieden.
Diese zentrale Speicherung von Anmeldeinformationen birgt unter anderem das Risiko, dass sich unbefugte Dritte Zugang zum Zugangsdatenspeicher verschaffen können, beispielsweise wenn der Bildschirm nicht gesperrt wurde. Über die Funktion Tresor sichern könnte ein Unbefugter, ohne sich als der aktuelle Benutzer authentisieren zu müssen und mit einem selbst gewählten Passwort, alle Anmeldeinformationen beispielsweise auf einem externen Datenträger sichern. Anschließend kann er die Zugangsdaten auf einem anderen System in seinen Tresor mit Hilfe der Funktion Tresor wiederherstellen überspielen.
Es muss daher abgewogen werden, ob der Nutzen und die Zeitersparnis nicht jedes Mal die Zugangsdaten eingeben zu müssen, das beschriebene Risiko überwiegt.
In einer Richtlinie sollte festgehalten werden, ob in der Institution die Speicherung der Zugangsdaten im sogenannten Tresor erlaubt oder verboten wird.
Ein Verbot lässt sich technisch über eine Gruppenrichtlinie durchsetzen. Dazu ist im Gruppenrichtlinienobjekt-Editor im Bereich Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste der Dienst Anmeldeinformationsverwaltung zu deaktivieren. Ohne diesen gestarteten Dienst ist die zentrale Speicherung von Zugangsdaten im Tresor nicht mehr möglich.
Windows Cardspace
Im Tresor können nur die benötigten Informationen für eine Anmeldung an einem Dienst gespeichert werden (Benutzername, Passwort oder Zertifikat). Dagegen wird über Windows Cardspace eine Möglichkeit bereitgestellt, Informationen, die für eine Registrierung oder Anmeldung bei Webseiten und Online-Diensten verwendet werden, zentral mittels sogenannter Karten zu speichern. Wenn Zugangsdaten in Windows Cardspace gespeichert werden sollen, muss dafür eine Richtlinie existieren.
Es können zwei Arten von Karten verwendet werden: persönliche und verwaltete Karten.
Persönliche Karten können von den Benutzern selbst erstellt und mit persönlichen Informationen wie Vorname, Name und E-Mail-Adresse ergänzt werden.
Verwaltete Karten können nur von einer Institution erstellt werden und enthalten validierte Informationen, beispielsweise zu einer Person und deren Kontonummer. Der Benutzer installiert die verwaltete Karte. Die durch die Karte referenzierten Daten bleiben lokal auf dem IT -System in der Institution gespeichert und werden von ihr an den Diensteanbieter, beispielsweise einen Online-Buchhändler, auf Betreiben des Benutzers hin übermittelt. Auf Seiten der Diensteanbieter werden Mechanismen für die Verarbeitung der CardSpace-Informationen beispielsweise über das .NET-Framework bereitgestellt.
Jede Karte kann bei den unterschiedlichsten Online-Diensten und Webseiten verwendet werden. Zu jeder Karte werden der Verlauf der Verwendung und der Gültigkeitszeitraum der Karte gespeichert.
Die Karten werden verschlüsselt auf dem IT -System des Benutzers abgespeichert. Sie können auch verschlüsselt auf externe Datenträger übertragen werden. Zum einen ist dadurch eine Möglichkeit zum Backup der Karten gegeben und zum anderen können die Karten auf einem anderen Windows-System entschlüsselt und verwendet werden.
Um einen unbefugten Zugriff auf die Karten zu unterbinden, sollte von der Institution, beziehungsweise vom Benutzer, eine PIN für jede Karte und ein Passwort für die Kartensicherung festgelegt werden. Gehen diese Informationen verloren, ist kein Zugriff auf die Karten mehr möglich und die Karten müssen neu erstellt oder neu von der kartenausgebenden Institution angefordert werden.
Auch hier muss die Möglichkeit betrachtet werden, dass sich Unbefugte Zugriff auf diese Karten verschaffen und diese missbräuchlich einsetzen. Beispielsweise könnten die dazugehörenden PINs per Keylogger oder Social Engineering abgefangen werden. Daher ist der Einsatz von Windows Cardspace im Vorfeld abzuwägen.
In Institutionen, in denen es keinen Verwendungszweck für Windows Cardspace gibt, oder wo die Nutzung von Windows Cardspace durch die Windows 7 Richtlinie verboten wird, sollte dieser Dienst deaktiviert werden.
Eine Deaktivierung von Windows Cardspace ist im Gruppenrichtlinienobjekt-Editor im Bereich Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste möglich.
Schulung der Benutzer im Umgang mit den Windows 7-Funktionen
Entschließt sich die Institution für den Einsatz einer der beiden hier beschriebenen Funktionen, sind in jedem Fall auch die Benutzer über die möglichen Gefahren bei der Nutzung dieser Funktionen aufzuklären und im sicheren Umgang zu schulen (siehe M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen ).
Prüffragen:
- Existiert unter Windows 7 eine Richtlinie zur Speicherung der Zugangsdaten im sogenannten Tresor?
- Wurde unter Windows 7 die Gruppenrichtlinie für das Verhalten des Dienstes Anmeldeinformationsverwaltung entsprechend der Richtlinie konfiguriert?
- Existiert eine Richtlinie für den Einsatz von Windows Cardspace unter Windows 7?
- Wurde die Gruppenrichtlinie für das Verhalten des Dienstes Windows Cardspace unter Windows 7 entsprechend der Richtlinie konfiguriert?