M 2.442 Einsatz von Windows Vista und Windows 7 auf mobilen Systemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Benutzer, Administrator
Der Einsatz eines mobilen Rechners ist mit typischen Gefährdungen verbunden, die sich aus dem mobilen Einsatz ergeben. Beim Einsatz von Windows Vista und Windows 7 auf mobilen Rechnern ist, wie für alle mobilen Rechner, der Baustein B 3.203 Laptop zu beachten. Für die Bereiche Datenverschlüsselung, Datensicherung und lokal installierte Firewall stellen Windows Vista und Windows 7 eigene Mechanismen zur Verfügung. Zu diesen werden nachfolgend Empfehlungen ausgesprochen.
Datenverschlüsselung
Mobile Rechner befinden sich häufig in Umgebungen, die ein deutlich niedrigeres Sicherheitsniveau als geschützte Büroumgebungen bieten. Daher sollten die auf dem mobilen Rechner befindlichen schützenswerten Daten verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme ). Neben einer Reihe von Drittprodukten können zur Verschlüsselung auch die in Windows Vista und Windows 7 integrierten Mechanismen eingesetzt werden:
- BitLocker Drive Encryption kann für die Windows Vista und Windows 7 Versionen Enterprise und Ultimate zur Verschlüsselung von Festplattenpartitionen eingesetzt werden, siehe M 4.337 Einsatz von BitLocker Drive Encryption
.
Unter Windows Vista ohne SP1 verschlüsselt BitLocker nur die Bootpartition. Erst ab Windows Vista SP1 und Windows 7 können auch weitere Partitionen wie die Datenpartition eines Benutzers verschlüsselt werden. Für den Startvorgang von Windows Vista und Windows 7 kann der Administrator vier unterschiedliche Verfahren zur Authentisierung des Benutzers gegenüber BitLocker konfigurieren: "Keine Authentisierung", "PIN", "USB-Stick" sowie "PIN und USB-Stick" ("PIN und USB-Stick" erst ab Vista SP1 und Windows 7). Die Verfahren "Keine Authentisierung", "PIN" sowie "PIN und USB-Stick" setzen voraus, dass der mobile Rechner über ein TPM (Trusted Platform Module) verfügt. In Verbindung mit einem TPM dient BitLocker auch der Sicherstellung der Systemintegrität während des Bootprozesses.
- EFS (Encrypting File System) kann zur Verschlüsselung einzelner Dateien und/oder Verzeichnisse eingesetzt werden (siehe M 4.147 Sichere Nutzung von EFS unter Windows ).
- Verschlüsselung der Offline-Dateien.
Offline-Dateien sind im Grunde Kopien von Dokumenten, die sich auf einer Freigabe im Netz befinden. Sie werden auf dem lokalen Rechner in einer Datenbank gespeichert, so dass der Zugriff auf die Dokumente auch dann erhalten bleibt, wenn die Freigabe im Netz nicht erreichbar ist. Die Möglichkeit, diese Offline-Dateien zu verschlüsseln, wurde unter Windows XP eingeführt.
Der gesamte Speicher für Offline-Dateien, der Dateien aller Benutzer beinhaltet, wird mit einem computerspezifischen Schlüssel verschlüsselt. Die Verschlüsselung ist transparent für den Benutzer und kann nur von Administratoren aktiviert und deaktiviert werden.
In jedem Fall empfiehlt sich der Einsatz von BitLocker. Der zusätzliche Einsatz des EFS ist sinnvoll, wenn BitLocker unter Windows Vista ohne SP1 eingesetzt wird. Der zusätzliche Einsatz des EFS empfiehlt sich auch, wenn die zu schützenden Daten auf dem mobilen Rechner auch dann verschlüsselt sein sollen, wenn der mobile Rechner unter Windows Vista oder Windows 7 eingeschaltet ist. Im eingeschalteten Zustand bietet die BitLocker-Verschlüsselung keinen Schutz. EFS hingegen sorgt für eine zusätzliche Verschlüsselung einzelner Dateien und Laufwerken, wenn diese nicht permanent entschlüsselt sind. Wenn an den Dateien oder Laufwerken, die mittels EFS geschützt sind, gearbeitet wird, liegen auch hier die Daten unverschlüsselt vor.
Unter Windows Vista ohne SP1 empfiehlt sich der Einsatz der Verschlüsselung der Offline-Dateien zusätzlich zu BitLocker, wenn der lokale Ordner für Offline-Dateien auf dem mobilen Rechner von der Bootpartition in eine andere Partition verschoben worden ist.
Die Strategie zum Schutz der auf einem mobilen Rechner befindlichen Daten (BitLocker, Windows Vista oder Windows 7 EFS, Offline-Dateien-Verschlüsselung oder Verschlüsselung mit einem Drittprodukt) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.
Datensicherung
Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. Vertiefende Informationen hierzu sind in M 6.32 Regelmäßige Datensicherung zu finden.
Mit Windows Vista oder Windows 7 können einzelne Dateien gesichert oder komplette PC-Sicherungsabbilder (Images) von Partitionen erstellt werden (Siehe M 6.78 Datensicherung unter Windows Clients ).
Wenn Netzlaufwerke zur Aufnahme der Datensicherung konfiguriert sind, kann eine Sicherung nur erfolgen, wenn die mobilen Rechner mit dem Backup-Server untereinander vernetzt sind. Die Zeiten zur Datensicherung müssen daher entsprechend geplant werden.
Für die Datensicherung können Wechselmedien eingesetzt werden. Wenn dies beabsichtigt wird, müssen die entsprechenden Zugriffe auf die Wechselmedien zur Datensicherung und zur Datenrücksicherung möglich sein. Dies muss bei der technischen Durchsetzung von Zugriffsbeschränkungen auf Wechselmedien berücksichtigt werden (siehe M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista und Windows 7 ).
Die Strategie zur Datensicherung eines mobilen Rechners (Sicherung einzelner Dateien, Windows Complete PC-Sicherungsabbild oder Drittprodukt sowie Sicherungszeiten und -orte) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.
Lokal installierte Firewall
Im Gegensatz zu stationären institutionssinternen Desktops besteht bei mobilen Rechnern die Möglichkeit, dass sie direkt an das Internet angeschlossen werden. Der Schutz durch eine lokal installierte Firewall ist in diesem Fall unabdingbar.
Windows Vista und Windows 7 bieten mit der Windows Firewall eine Kombination aus "Personal Firewall" und IPSec-Gateway. Die Firewall kann über das Windows Sicherheitscenter konfiguriert werden. Seit Windows 7 kann die Firewall auch im Wartungscenter unter der Rubrik Sicherheit konfiguriert werden. Für eine deutlich feiner granulierte Konfigurationsmöglichkeit der Windows Firewall steht unter Windows Vista und Windows 7 ein Snap-in für die Managementkonsole (mmc.exe) zur Verfügung. Ein Snap-in ist eine Ergänzungskomponente einer Konsole für bestimmte administrative Aufgaben.
Die Windows Firewall kann neben eingehenden auch ausgehenden Datenverkehr kontrollieren. In der Standardeinstellung wird der eingehende Datenverkehr bis auf die konfigurierten Ausnahmen blockiert (Whitelist-Ansatz) und der ausgehende Datenverkehr bis auf die konfigurierten Ausnahmen durchgelassen (Blacklist-Ansatz).
Die Standardeinstellung der Windows Firewall hängt von der zugrunde liegenden Windows Vista oder Windows 7 Version ab. Unter Windows Vista und Windows 7 Enterprise sowie Windows Vista Business und Windows 7 Professional sind an der Windows Firewall nur wenige Ports geöffnet. Unter Windows Vista sowie Windows 7 Ultimate dagegen sind zahlreiche lokale Windows-Dienste von außen erreichbar.
Die Windows Firewall nutzt den Windows Dienst "Network Location Awareness" (NLA). Für jede Netzumgebung (auch Netztyp genannt) kann der Administrator eigene Richtlinien für die Windows Vista beziehungsweise Windows 7 Firewall konfigurieren. Dabei unterscheiden Windows Vista und Windows 7 die drei Netzumgebungen Domäne (seit Windows 7 Domänennetzwerk), Öffentlich und Privat. Befindet sich ein Windows Vista oder 7 Client erstmalig in einem Netz, dann erfragt Windows Vista beziehungsweise Windows 7 vom Benutzer, welche Netzumgebung gerade vorherrscht. Hierzu benötigt der Benutzer administrative Berechtigungen. Liegen diese nicht vor, dann wählen Windows Vista und Windows 7 die Klassifikation Öffentlich. Ist das Netz eine Domäne mit dem Windows Vista oder Windows 7 Client als Mitglied, dann wählen Windows Vista und Windows 7 automatisch die Netzumgebung Domäne/ Domänennetzwerk.
Einmal klassifizierte Netze werden vom NLA-Dienst anhand verschiedener Kriterien wie der MAC-Adresse des Default-Gateways wiedererkannt. Nur ein Benutzer mit administrativen Berechtigungen kann eine andere Klassifikation vornehmen sowie das Verhalten der Windows Firewall für eine bestimmte Klassifikation ändern.
Das Standardverhalten der Windows Firewall gibt folgende Einstellungen für die Netzumgebungen Domäne, Öffentlich und Privat vor.
Für die Netzumgebung Domäne gilt:
- Die Windows Firewall wird aktiviert
- Die Windows Firewall bezieht die Richtlinieneinstellungen aus der Active Directory-Domäne.
- Die Konfiguration der Netzerkennung und der Datei- und Druckerfreigabe basiert auf den aus der Active Directory-Domäne herunter geladenen Gruppenrichtlinien.
Für die Netzumgebung Öffentlich gilt:
- Die Windows Firewall wird aktiviert.
- Die Netzerkennung (NLA) wird deaktiviert.
- Jegliche Datei- und Druckerfreigabe wird deaktiviert, inklusive der Freigabe von Wechselmedien.
Für die Netzumgebung Privat gilt:
- Die Windows Firewall wird aktiviert.
- Die Netzerkennung (NLA) wird aktiviert.
- Jegliche Datei- und Druckerfreigabe wird deaktiviert, inklusive der Freigabe von Medien
Aller Wahrscheinlichkeit nach werden mobile Rechner in unterschiedlichen Umgebungen einen Zugang zu einem Netz haben. Typische Netzumgebungen sind das LAN der eigenen Institution, ein LAN am Heimarbeitsplatz und ein Internetzugang an einem öffentlichen WLAN-Hotspot. Windows Vista und Windows 7 unterstützen die automatische Erkennung einer Netzumgebung und wenden unterschiedliche Firewall-Regelsätze in Abhängigkeit von der aktuellen Netzumgebung an. Soll der Benutzer diese Eigenschaft nutzen können, muss er zumindest beim ersten Zugang zu einem Netz über administrative Rechte verfügen. Der Benutzer muss dann mindestens in der korrekten Zuweisung einer Netzumgebung und gegebenenfalls auch in der Anpassung von Regelsätzen geschult werden.
Die Strategie zum Einsatz der lokalen Firewall auf einem mobilen Rechner (Netzumgebungs-abhängige Regelsätze, Möglichkeit der Zuordnung der Netzumgebung durch einen Benutzer) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen. Dabei ist zu prüfen, ob die windowseigene Firewall auch in komplexeren Szenarien, wie im Zusammenspiel mit einem Virtual Private Network (VPN), die benötigte Schutzwirkung entfaltet oder ob auf ein Produkt eines Drittherstellers zurückgegriffen werden muss.
Prüffragen:
- Werden die Daten auf einem mobilen Windows Vista- beziehungsweise Windows 7-Rechner durch Verschlüsselung und Datensicherung geschützt?
- Wird die Strategie zum Einsatz der lokalen Firewall auf einem mobilen Rechner nach Bedarf anhand der konkreten Umstände und im Einzelfall festgelegt?