Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.327 Sicherheit beim Fernzugriff unter Windows XP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.327 Sicherheit beim Fernzugriff unter Windows XP

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Mit Windows XP wurden zwei neue Mechanismen zur Fernsteuerung eines Rechners eingeführt: der Remotedesktop und die Remoteunterstützung. Der Remotedesktop basiert auf der Technologie der Terminaldienste (RDP-Protokoll) und macht eine Anmeldung am System über ein Netz möglich. Die Remoteunterstützung erweitert den Remotedesktop um die Möglichkeit, innerhalb einer bestehenden Sitzung auf die Bildschirminhalte zuzugreifen und gegebenenfalls auch die Steuerung des Rechners zu übernehmen.

Der Remotedesktop wird primär für Wartungsarbeiten auf Windows XP Rechnern über ein Netz eingesetzt. Der Einsatz der Remoteunterstützung ist bei Unternehmen und Behörden vor allem in Szenarien denkbar, wo Mitarbeiter eines internen oder externen Support-Zentrums einem Benutzer die notwendige Hilfestellung geben sollen.

Bei der Benutzung des Remotedesktops ist zu beachten, dass immer nur genau ein Benutzer auf dem Zielrechner angemeldet sein kann. Der Remotedesktop ist in dieser Hinsicht nicht als Ersatz für Terminaldienste zu verstehen.

Die Aktivierung und Deaktivierung des Remotedesktops bzw. der Remoteunterstützung kann mittels entsprechender Gruppenrichtlinienobjekte (Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste, Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste und Computerkonfiguration | Administrative Vorlagen | System | Remote Unterstützung) oder lokal über die Systemsteuerung (System | Remote) erfolgen.

Beim Einsatz von diesen beiden Technologien muss auf folgendes geachtet werden:

Die Gruppe der berechtigten Benutzer für den Remotedesktop-Zugriff wird entweder über die Zuweisung entsprechender Benutzerrechte in den Richtlinien (Rechte Anmeldung über Terminaldienste zulassen, Anmeldung über Terminaldienste verweigern) oder über die Systemsteuerung spezifiziert. Standardmäßig ist der entfernte Zugriff für die Gruppe der Administratoren sowie die Gruppe Remotedesktopbenutzer, die nach der Installation leer ist, möglich.

Für den Aufbau einer Remoteunterstützungs-Sitzung können folgende zwei Möglichkeiten verwendet werden:

Der aktuell angemeldete Benutzer muss dem Aufbau einer Sitzung explizit zustimmen. Der Benutzer stellt wegen fehlender Authentisierung die Schwachstelle beim Verbindungsaufbau dar. Aus diesem Grund erfordert der Remoteunterstützungs-Mechanismus einen Umgang mit Bedacht.

Durch die Definition entsprechender Richtlinien ist beim Einsatz der Remoteunterstützung folgendes zu gewährleisten:

Beim Einsatz von Remotedesktop und/oder Remoteunterstützung sind die Auswirkungen auf die Konfiguration und Verwaltung von Firewalls zu berücksichtigen. Grundsätzlich wird empfohlen, keine Remotedesktop- bzw. Remoteunterstützungs-Verbindungen von außerhalb des eigenen Netzes zuzulassen.

Zusammengefasst gilt, dass der Einsatz von Fernsteuerungsmechanismen sehr sorgfältig abgewogen werden muss. Insbesondere aufgrund der bestehenden Unterschiede bei der Benutzerauthentisierung sollten die Vor- und Nachteile des jeweiligen Mechanismus in Betracht gezogen werden. Wird in einem Unternehmen oder einer Behörde kein Gebrauch von Remotedesktop bzw. Remoteunterstützung gemacht, so sind diese unbedingt zu deaktivieren.

Basiseinstellungen für GPOs

Die nachfolgenden Einstellungen gelten nur für den Einsatz beider Fernsteuerungsmechanismen. Soll einer der beiden oder gar beide Mechanismen nicht verwendet werden, so ist dieser zu deaktivieren. Hierfür ist die Modifikation der unten angegebenen Richtlinieneinstellungen notwendig.

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten.

 
Richtlinie Status Einstellung

Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Verschlüsselung und Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen

 

Aktiviert

 

Höchste Stufe

 

Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Verschlüsselung und Sicherheit | Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern

 

Aktiviert

 
 

Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Client/Server-Datenumleitung | *

 

Aktiviert/ Deaktiviert

 
 

Computerkonfiguration | Administrative Vorlagen | System | Remote Unterstützung |Remoteunterstützung anbieten

 

Deaktiviert

 
 

Computerkonfiguration | Administrative Vorlagen | System | Remote Unterstützung | Angeforderte Remoteunterstützung

 

Aktiviert

 

Helfer dürfen den Computer remote steuern

Maximale Gültigkeitsdauer: 8 Stunden

 

Tabelle: Gruppenrichtlinieneinstellungen für Computer

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Benutzer auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten.

 
Richtlinie Status Einstellung

Benutzerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen

 

Aktiviert

 

Vollzugriff mit Erlaubnis des Benutzers

 

Benutzerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste |Client | Speichern von Kennwörtern nicht zulassen

 

Aktiviert

 
 

Tabelle: Gruppenrichtlinieneinstellungen für Benutzer

Ergänzende Kontrollfragen