M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Sicherheit eines Arbeitsplatzrechners hängt im Wesentlichen davon ab, ob ein Benutzer administrativ auf den Rechner einwirken kann, welche Funktionen den Benutzern verfügbar gemacht werden und ob die Benutzer die ihnen zur Verfügung gestellten Sicherheitsmechanismen korrekt nutzen.
Bei der Konfiguration von Windows XP, Vista und Windows 7 sind folgende Aspekte aus Sicherheitssicht zu berücksichtigen:
- Die entsprechenden Überwachungsrichtlinien müssen definiert sein (siehe M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen). Die gesammelten Protokolldaten müssen auch regelmäßig ausgewertet werden.
- Beim Einsatz in einer Active Directory Umgebung sollten die Rechte zum Hinzufügen von Arbeitsstationen zur Domäne eingeschränkt werden. Ausschließlich berechtigte administrative Benutzer dürfen diese Zuständigkeit besitzen. Die Einschränkung des Rechts erfolgt über die Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitsrichtlinien | Lokale Richtlinien | Zuweisen von Benutzerrechten | Hinzufügen von Arbeitsstationen zur Domäne.
- Beim Einsatz von Windows XP, Vista oder Windows 7 auf mobilen Rechnern entstehen zusätzliche Sicherheitsrisiken, die durch besondere Vorkehrungen gemindert werden sollten (siehe M 2.328 Einsatz von Windows XP auf mobilen Rechnern, M 2.442 Einsatz von Windows Vista und Windows 7 auf mobilen Systemen, sowie B 3.203 Laptop). Bei Windows Vista und Windows 7 kann BitLocker Drive Encryption (BDE) als Festplattenverschlüsselung für den Schutz vertraulicher Daten eingesetzt werden (siehe M 4.337 Einsatz von BitLocker Drive Encryption).
Datenhaltung und Verarbeitung
Es empfiehlt sich, bei vernetzten Clients keine lokalen Daten auf Arbeitsplatzrechnern zu halten. Dies erleichtert die zentrale Administration und Steuerung von Sicherheitsvorgaben ebenso wie die Datensicherung. Daneben ergibt sich der Sicherheitsvorteil, dass bei Kompromittierung des Systems lokal keine sensitiven Daten vorzufinden sind, da sie sich auf einem Server befinden, der in der Regel besser als ein Client geschützt ist. In Einzelfällen kann es notwendig sein, dass Daten aus Sicherheitsgründen lokal auf dem Arbeitsplatz gespeichert werden müssen, wenn beispielsweise nur der Arbeitsplatzbenutzer darauf zugreifen darf und/oder keine Übertragung über das Netz erfolgen soll. Dann ist der Arbeitsplatz jedoch nicht als Standardarbeitsplatz anzusehen, so dass besondere Regelungen für solche Arbeitsplätze geplant und umgesetzt werden müssen. Beispiele für entsprechende Maßnahmen sind eine starke Absicherung der Clients ("hardening") sowohl lokal als auch im Netz, eine Festplattenverschlüsselung und die Einbindung der Clients in ein zentrales Backup-Konzept.
Vertrauliche Daten müssen sicher verarbeitet werden. Nicht nur der direkte Zugriff auf die Daten muss entsprechend dem Berechtigungskonzept eingeschränkt sein. Es muss auch dafür Sorge getragen werden, dass kein unautorisierter Zugriff auf die temporären Inhalte möglich ist. Viele Anwendungen erstellen bei der Verarbeitung temporäre Dateien, die im Gegensatz zu Originaldaten möglicherweise nicht ausreichend geschützt sind. Daher ist die regelmäßige Bereinigung von Verzeichnissen, in denen temporäre Dateien abgelegt werden (z. B. Temp, Tmp und das Drucker-Spool-Verzeichnis), sehr empfehlenswert. Dies kann unter anderem mit einem Skript realisiert werden, das beim Herunterfahren des Systems ausgeführt wird (siehe M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien). Die Auslagerungsdatei wird beim Herunterfahren des Systems durch die Richtlinie Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems löschen in Gruppenrichtlinienobjekten gelöscht. Bei Windows Vista oder Windows 7 ist dafür die Einstellung Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen unter Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen verantwortlich.
Softwareeinschränkungen
Durch die gezielte Systemkonfiguration soll vermieden werden, dass normale Benutzer administrative Tätigkeiten ausführen können. Dies kann durch die Zugriffsrechte auf Dateien und die Registry sowie durch die Berechtigung zum Starten der Konfigurationswerkzeuge, wie der Microsoft Management Konsole, erreicht werden. Diese Einstellungen werden über Gruppenrichtlinien verwaltet und sollten schon in die Planung der Gruppenrichtlinien einfließen. Der Einsatz von Richtlinien für Softwareeinschränkungen (englisch Software Restriction Policies, SRP) und AppLocker ab Windows 7 kann in dieser Hinsicht zusätzliche Sicherheit bringen.
Software-Installationen sind ausschließlich von berechtigten Administratoren durchzuführen. Die Installationsmöglichkeiten für normale Benutzer sind soweit wie möglich einzuschränken (siehe M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software). Die Installationen, die mittels des Windows-Installers durchgeführt werden, lassen sich durch die Definition geeigneter Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Installer einschränken. Ob und in welchem Umfang Installationen eingeschränkt werden sollten, hängt von der Software-Installationsrichtlinie des Unternehmens oder der Behörde ab. Es sollte bedacht werden, dass diese Einstellungen nur den Windows-Installer betreffen und nicht verhindern, dass Benutzer anderweitig Programme installieren oder aktualisieren können.
Die mit Windows XP eingeführte Technologie der Softwareeinschränkungen ermöglicht es, die auf einem Computer ausführbaren Programme zu begrenzen. Durch die Definition von Richtlinien für Softwareeinschränkungen im Computerteil einer GPO (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien für Softwareeinschränkungen) wird entweder die Summe der erlaubten (Positivliste) oder der verbotenen Programme (Negativliste) spezifiziert.
In einer Positivliste sollten nicht nur die Anwendungen, sondern alle für den Regelbetrieb benötigten Systemprogramme erlaubt sein.
Programme können in einer Regel der Softwareeinschränkungen durch einen voll- oder teilqualifizierten Pfad-Namen, einen Hashwert, eine digitale Signatur oder Zertifikat oder durch die Programmzone (beispielsweise Internet, Lokaler Rechner) identifiziert werden. Eine Regel ist nicht nur auf gewöhnliche ausführbare Dateien, sondern unter anderem auch auf DLLs, ActiveX-Steuerelemente, Windows-Installer Dateien sowie auf VBScript Dateien anwendbar.
Die zur Verfügung stehenden Konfigurationsmöglichkeiten für Ausführungsbeschränkungen mittels SRP sind sehr variabel und ermöglichen die Realisierung einer Vielzahl von Einsatzszenarien. Dieser Vorteil wird jedoch mit einem entsprechenden Administrationsaufwand erkauft, da die definierten Regeln schnell komplex und unübersichtlich werden. Umfangreiche Planung und ausgiebiges Testen sind unabdingbar, wenn ein Unternehmen oder eine Behörde Richtlinien zur Softwareeinschränkungen implementieren möchte.
Windows Vista und Windows 7 bieten mit Jugendschutz eine weitere Möglichkeit, die Nutzung von Anwendungen einzuschränken (siehe M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung). Jugendschutz ist allerdings für den nicht professionellen Einsatz konzipiert und in einer Domänenumgebung nicht verfügbar. Wenn in der Institution Minderjährige Zugang zu Clients haben, sollten die durch Jugendschutz ermöglichten Einschränkungen durch alternative Maßnahmen durchgesetzt werden.
Dienste
Windows XP, Vista und Windows 7 sind keine Server-Betriebssysteme und sollten nur für Clients verwendet werden sowie keine Anwendungen oder Dienste im Netz zur Verfügung stellen. Unter anderem sollten die normalen Arbeitsplatzrechner neben den administrativen Standardfreigaben keine Verzeichnisfreigaben zur Verfügung stellen. Auch die administrativen Freigaben sollten deaktiviert werden, wenn sie nicht zur Administration verwendet werden (HKLM\SYSTEM \CurrentControlSet\services\LanmanServer\Parameters\AutoShareWks=0).
Sind aus bestimmten Gründen Freigaben auf den Clients erforderlich, darf der mit Windows XP eingeführte Mechanismus der einfachen Dateifreigabe nicht benutzt werden, um die hiermit verbundenen Sicherheitsrisiken zu vermeiden. Ist die einfache Dateifreigabe auf einem Client aktiviert, werden alle Benutzer, die über das Netz auf diesen Computer zugreifen, dem Gastkonto zugeordnet. Die Berechtigungen für den Zugriff auf die Freigabe müssen jedoch sehr restriktiv vergeben werden. Es ist zu beachten, dass die einfache Dateifreigabe standardmäßig nur auf Einzelclients möglich ist, die keiner Domäne angehören. Auf Clients, die als Domänenmitglieder installiert wurden, ist die einfache Dateifreigabe standardmäßig deaktiviert. Unter Windows 7 ist die Ordnerfreigabe über das Kontextmenü zu erreichen und trägt die Bezeichnung Freigeben für. Um einen Ordner in einer Domänenumgebung freizugeben, werden Administrationsrechte benötigt.
Die Gesamtsicherheit eines IT-Systems hängt auch von den eingesetzten Systemdiensten ab. Hinweise zur sicheren Dienstkonfiguration können in M 4.246 Konfiguration der Systemdienste unter Windows XP, Vista und Windows 7 gefunden werden.
Ab Windows 7 kann ein IT-System als dedizierter Printserver verwendet werden. In diesem Fall darf dieses IT-System für keine anderen Zwecke eingesetzt werden. Die Hardware des IT-Systems und die Zugangssicherheit müssen die entsprechenden Serveranforderungen erfüllen (siehe unter anderem B 3.101 Allgemeiner Server). Alle Anwendungsfunktionen müssen deaktiviert werden.
Benutzerkonten
Die Benutzerkonten unter Windows XP, Vista und Windows 7 dürfen nur von einer dazu berechtigten Person verwendet werden, das heißt, das Benutzerkonto ist einem Benutzer eindeutig zuzuordnen. Dies hat vor allem aus Gründen der Nachvollziehbarkeit zu erfolgen. Sammelkonten sollten nach Möglichkeit keine Verwendung finden. Dies ist auf organisatorischer Ebene zu gewährleisten.
Wird ein neues Benutzerkonto im Active Directory angelegt, ist auf die richtige Zuordnung zu einer Organisationseinheit zu achten, da hierüber die korrekten Sicherheitseinstellungen für dieses Benutzerkonto festgelegt werden. Die an einen Benutzer vergebenen Rechte resultieren neben den Gruppenmitgliedschaften unter anderem aus den Gruppenrichtlinien, die mit der Organisationseinheit des Benutzers verknüpft sind.
Erfolgt die Administration des Windows XP, Vista oder Windows 7 Systems über personalisierte Benutzerkonten, kann das integrierte Administrator-Konto gesperrt werden. Bei einer Windows Vista und Windows 7 Standardinstallation ist dies grundsätzlich der Fall.
In jedem Fall sollte das Administratorkonto umbenannt werden. Das Deaktivieren oder Umbenennen des integrierten Administratorkontos kann in der Benutzerverwaltung oder durch die Richtlinien der Konten: Administratorkontostatus und Konten: Administrator umbenennen (unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) erfolgen. Vor dem Deaktivieren des Administratorkontos ist eine Testphase empfehlenswert, in der ausschließlich über die personalisierten Benutzerkonten administriert wird.
Alle Windows Versionen enthalten standardmäßig ein Gastkonto. Das Gastkonto sollte nicht genutzt werden, Benutzer immer ein dediziertes Konto verwenden. Das Gastkonto ist zu deaktivieren, wobei trotzdem ein komplexes Kennwort für das Konto vergeben werden sollte. Bei einer Windows Vista oder Windows 7 Standardinstallation ist das Gastkonto bereits deaktiviert, es ist aber kein Kennwort vergeben. Durch das Setzen eines Kennworts besteht auch im Falle eines zufälligen oder unberechtigten Aktivierens des Gastkontos ein entsprechender Kennwortschutz. Um das Gastkonto umzubenennen und zu deaktivieren, können entweder die lokale Benutzerverwaltung oder die Richtlinien Konten: Gastkontenstatus und Konten: Gastkonto umbenennen (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) verwendet werden.
Das unter Windows XP standardmäßig angelegte Konto für den Support-Benutzer (SUPPORT_388945a0) wird normalerweise in Behörden- und Unternehmensumgebung nicht verwendet und sollte daher gelöscht werden. Zum Löschen dieses Kontos dient die lokale Benutzerverwaltung. Ab Windows Vista und Windows 7 ist das Benutzerkonto für den Support-Benutzer nicht mehr vorhanden.
Beim Betrieb eines Windows-Systems in der Domäne sollten nach Möglichkeit keine weiteren lokalen Benutzerkonten angelegt werden. Generell sollten lokal nur die unbedingt notwendigen Konten angelegt sein. Eine Überprüfung lokaler Benutzerkonten hat in regelmäßigen Abständen zu erfolgen.
Entsprechend M 4.2 Bildschirmsperre muss für jeden Benutzer der Kennwortschutz für den Bildschirmschoner aktiviert werden. Ist der Standby-Modus möglich, so muss die Kennworteingabe auch beim Reaktivieren des Systems aus dem Standby-Modus erforderlich sein (Systemsteuerung / Energieoptionen | Erweitert | Kennwort beim Reaktivieren aus dem Standbymodus anfordern).
Die Anforderungen in M 2.11 Regelung des Passwortgebrauchs und M 4.15 Gesichertes Login müssen umgesetzt werden. Dies betrifft vor allem Länge, Qualität und Änderungsintervalle der Kennwörter sowie die Anzahl der Fehlversuche und das Sperren der Benutzerkonten.
Anmeldung absichern
Der Systemzugang muss auf autorisierte Personen beschränkt sein. Die Vergabe entsprechender Benutzerrechte hat dementsprechend restriktiv zu erfolgen (siehe M 4.247 Restriktive Berechtigungsvergabe unter Windows Vista und Windows 7). Administrativer Zugriff über das Netz sollte grundsätzlich nur berechtigtem administrativem Personal erlaubt werden. Des Weiteren muss die Anmeldung über das Netz an lokalen Benutzerkonten ohne Kennwort untersagt werden. Dies wird durch das Aktivieren der Richtlinie Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) erreicht.
Die automatische Benutzeranmeldung muss auf allen Windows Installationen deaktiviert sein. Administrative Benutzer müssen sich explizit authentisieren. In der Wiederherstellungskonsole darf ein automatischer Login ebenfalls nicht gestattet und der Zugriff auf Daten außerhalb der Systemverzeichnisse muss eingeschränkt werden. Anderenfalls können unautorisierte Datenzugriffe stattfinden, die zudem nicht protokollierbar sind. Um dies zu erreichen, sind folgende Richtlinien zu deaktivieren: Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen und Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen).
Bei einer Standardinstallation von Windows Vista und Windows 7 ist das Konto des Built-In Administrator deaktiviert. Da dieses Konto in einer Standardinstallation kein Kennwort besitzt, sollte für den Built-In Administrator nachträglich ein Kennwort vergeben werden.
Alle Benutzer müssen explizit authentisiert werden, bevor ihnen der Zugang zum System gewährt wird. Die Tastenkombination STRG+ALT+ENTF sollte bei der Anmeldung erzwungen werden (Richtlinie deaktivieren: Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Kein STRG+ALT+ ENTF erforderlich). Dies gewährleistet, dass tatsächlich das originale Anmeldefenster und kein "Nachbau" benutzt wird.
Außerdem sollte der Name des zuletzt angemeldeten Benutzers in der Anmeldemaske nicht angezeigt werden (Richtlinie Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen).
Es wird weiterhin empfohlen, allen Benutzern, die sich lokal anzumelden versuchen, eine Warnmeldung anzuzeigen. Der genaue Text der Warnmeldung ist anhand der konkreten Umstände und im Einzelfall festzulegen. Der Text der Warnmeldung und der Nachrichtentitel werden mit Hilfe der Richtlinien Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen eingerichtet.
Anmeldeinformationen für Domänenkonten werden standardmäßig zwischengespeichert, so dass sich ein Benutzer auch bei Nichtverfügbarkeit des Domain-Controllers an seinem Client anmelden kann. Die Anzahl solcher zwischengespeicherten Kontoinformationen wird in der Richtlinie Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen festgelegt und sollte nach Möglichkeit minimiert werden. Die Parametereinstellung ist anhand konkreter Umstände und im Einzelfall festzulegen.
Systemeinstellungen
Die Autostart-Funktionalität ist in der Standardinstallation von Windows aktiviert und stellt ein Sicherheitsrisiko dar, da gefährliche Inhalte ohne Benutzerinteraktion zur Ausführung kommen können. Aus diesem Grund ist die Autostart-Funktionalität für alle Laufwerke zu deaktivieren (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung und M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista und Windows 7). Hierfür muss bei Windows XP die Richtlinie Computerkonfiguration | Administrative Vorlagen | System | AutoPlay deaktivieren aktiviert und der Wert Alle Laufwerke eingestellt werden. Unter Microsoft Windows Vista und Windows 7 ist die Einstellung unter Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Richtlinien für die automatische Wiedergabe | AutoPlay deaktivieren zu finden.
Interne Systemobjekte (wie z. B. Mutexe und Semaphore, die zur Synchronisation unterschiedlicher Threads und Prozesse dienen) besitzen eigene Zugriffsrechte. Diese Zugriffsrechte können durch die Definition einer speziellen Richtlinie verstärkt werden, so dass nicht-administrative Benutzer keine Änderungsrechte an Objekten haben, die nicht von ihnen erstellt wurden (Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken.
Normalerweise erlaubt Windows sowohl lokalen als auch entfernten Zugriff auf Disketten und CD-ROMs. Wie in M 4.52 Geräteschutz unter NT-basierten Windows-Systemen empfohlen wird, sollte der Zugriff jedoch auf den gerade angemeldeten Benutzer beschränkt werden.
Selbstständige Internetkommunikation von Windows unterbinden
Mehrere Windows Dienste und Anwendungen nehmen in der Standardkonfiguration selbsttätig und vom Benutzer unbemerkt Kontakt zu Servern im Internet auf. Dabei werden system- und/oder benutzerspezifische Daten an Microsoft oder andere Anbieter übermittelt.
Die nachfolgende Liste gibt einen Überblick über Dienste und Anwendungen, die selbsttätig Daten an Microsoft übertragen. Diese Liste erhebt keinen Anspruch auf Vollständigkeit.
- Internet Explorer
- Windows Media Player
- Windows Messenger
- Windows Zeitdienst
- Hilfe- und Supportcenter
- Windows Update
- Gerätemanager
- Windows Aktivierung und Registrierung
- Aktualisierung der Stammzertifikate
- Ereignisanzeige
- Webdienst Assoziation
- Fehlerberichterstattung
- das Netzwerkverbindungssymbol in Windows Vista und Windows 7 (Der Status des Internetzugriffs wird regelmäßig aktualisiert, indem Testdaten an einen Microsoft-Server gesendet werden.)
Für die meisten der oben aufgeführten Dienste und Anwendungen wird das Abschalten der Datenübertragung empfohlen. Dies kann durch entsprechendes Umkonfigurieren von Registry und Programmoptionen, Änderungen im Dateisystem oder durch Sicherheitsgateway-Filter erfolgen. Nach Einführung von Service Pack 2 wurde die Verwaltbarkeit dieser Funktionalitäten deutlich verbessert. Eine neue Kategorie der Gruppenrichtlinien wurde unter Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung eingeführt.
Aktivieren bzw. Einbinden von Sicherheitsfunktionen der Hardware
Für jede am Windows-System angeschlossene und aktivierte Hardware sollte ein Treiber installiert sein.
Für Sicherheitsfunktionen wie Biometriegeräte, Smartcards und Festplattenverschlüsselung sollten nur aktuelle und von Microsoft zertifizierte Treiber verwendet werden. Falls möglich, sollte solche Hardware zusammen mit den in Windows integrierten Sicherheits-APIs verwendet werden, zum Beispiel das Biometrie-Framework und die Smartcard-Authentisierung.
Nach Möglichkeit sollte die Datenausführungsverhinderung für alle Programme und Dienste eingeschaltet werden (auch Opt-Out genannt).
Basiseinstellungen für Group Policy Objects (GPOs)
Die Basiseinstellungen für Gruppenrichtlinienobjekte unter Windows Gruppenrichtlinienobjekte sind in M 4.245 Basiseinstellungen für Windows Group Policy Objects beschrieben.
Prüffragen:
-
Werden die in der Überwachungsrichtlinie festgelegten Sicherheitseinstellungen umgesetzt?
-
Werden bei einem Einsatz in einer Active Directory Umgebung die Rechte zum Hinzufügen von Arbeitsstationen zur Domäne eingeschränkt?
-
Wird verhindert, dass Windows Clients Anwendungen oder Dienste im Netz zur Verfügung stellen?
-
Ist sichergestellt, dass Windows Benutzerkonten nur von einer dazu berechtigten Person verwendet werden können?
-
Werden die Zugriffsrechte und Installationsmöglichkeiten für normale Benutzer unter Windows restriktiv vergeben?
-
Wurde das Gastkonto deaktiviert und mit einem komplexen Kennwort versehen?
-
Ist das unter Windows XP standardmäßig angelegte Konto für den Support-Benutzer gelöscht worden?
-
Wurde darauf geachtet, dass nur die unbedingt notwendigen Konten unter Windows vorhanden sind?
-
Sind die automatische Benutzeranmeldung und der automatische Login in der Wiederherstellungskonsole deaktiviert worden?
-
Wurde der Systemzugang auf autorisierte Personen beschränkt?
-
Wurde eine entsprechende Warnmeldung für Benutzer konfiguriert, die sich lokal anzumelden versuchen?
-
Wird die selbstständige Kommunikation von Windows Diensten und Anwendungen unterbunden?
-
Wurde unter Windows Vista beziehungsweise Windows 7 für den Built-In Administrator ein Kennwort angelegt?
-
Ist die Autostart-Funktionalität für alle Laufwerke deaktiviert worden?
-
Ist die Datenausführungsverhinderung für alle Programme und Dienste (Opt-Out Modus) aktiviert worden?