M 4.246 Konfiguration der Systemdienste unter Windows XP, Vista und Windows 7

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die sichere Konfiguration einzelner Systemdienste, die auf einem IT-System ausgeführt werden, trägt wesentlich zur Gesamtsicherheit des Informationsverbunds bei. Jeder nicht benötigte, aber aktivierte Dienst kann eine Gefahrenquelle sein. Daher ist vor der Konfiguration von Windows XP, Vista und Windows 7 Systemen eine Bedarfsanalyse durchzuführen. Es dürfen ausschließlich benötigte Dienste zur Ausführung kommen. Für eine zentralisierte Konfiguration der Dienste, wird in einer Active Directory-Umgebung der Einsatz entsprechender Gruppenrichtlinien empfohlen. Dafür werden einzelne Dienste im Computerteil eines Gruppenrichtlinienobjektes unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste aktiviert oder deaktiviert. In einer Windows Server 2003 Domänenstruktur können die Windows Vista- und Windows 7-spezifischen Konfigurationen der Dienste nur bei Einsatz des GPOAccelerator-Tool über Gruppenrichtlinien konfiguriert werden. Dieses betrifft:

Zum Tool GPOAccelerator siehe M 4.243 Verwaltungswerkzeuge unter Windows Client-Betriebssystemen.

Unter den Hilfsmitteln zum IT-Grundschutz werden Vorgaben für die Konfiguration der Systemdienste aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen dienen können. Es sei darauf hingewiesen, dass die Konfiguration einzelner Systemdienste immer von lokalen Gegebenheiten oder Anforderungen abhängt und daher in diesem spezifischen Kontext zu sehen ist. Im Einzelfall muss gegebenenfalls aufgrund lokaler Gegebenheiten auf weniger sichere Konfigurationen ausgewichen werden. Dann sollten aber zusätzliche Schutzmaßnahmen eingeleitet werden, die die fehlende Sicherheit in der Dienstkonfiguration ausgleichen. Beispiele hierfür sind der Einsatz einer zusätzlichen Firewall oder auch organisatorische Maßnahmen.

Prüffragen: