Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.244 Sichere Windows XP Systemkonfiguration - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.244 Sichere Windows XP Systemkonfiguration

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die Sicherheit eines Arbeitsplatzrechners hängt im Wesentlichen davon ab, ob ein Benutzer administrativ auf den Rechner einwirken kann, welche Funktionen den Benutzern verfügbar gemacht werden und ob die Benutzer die ihnen zur Verfügung gestellten Sicherheitsmechanismen korrekt nutzen.

Bei der Konfiguration von Windows XP sind folgende Aspekte aus Sicherheitssicht zu berücksichtigen:

Datenhaltung und Verarbeitung

Es empfiehlt sich, bei vernetzten Clients keine lokalen Daten auf Arbeitsplatzrechnern zu halten. Dies erleichtert die zentrale Administartion und Steuerung von Sicherheitsvorgaben, ebenso wie die Datensicherung. Daneben ergibt sich der Sicherheitsvorteil, dass bei Kompromittierung des Systems lokal keine sensitiven Daten vorzufinden sind, da sie auf einem Server befinden, der in der Regel besser als ein Client-Rechner geschützt ist. In Einzelfällen kann es notwendig sein, dass Daten aus Sicherheitsgründen lokal auf dem Arbeitsplatz gespeichert werden müssen, wenn z. B. nur der Arbeitsplatzbenutzer darauf zugreifen darf und/oder eine Übertragung über das Netz nicht erfolgen soll. Dann ist der Arbeitsplatz jedoch nicht als Standardarbeitsplatz anzusehen, so dass besondere Regelungen für solche Arbeitsplätze geplant und umgesetzt werden müssen. Beispiele für entsprechende Maßnahmen sind eine starke Absicherung der Clients sowohl lokal als auch im Netz, eine Festplattenverschlüsselung und die Einbindung in der Clients in ein zentrales Backup-Konzept.

Vertrauliche Daten müssen sicher verarbeitet werden. Nicht nur der direkte Zugriff auf die Daten muss entsprechend dem Berechtigungskonzept eingeschränkt sein, es muss auch dafür Sorge getragen werden, dass kein unautorisierter Zugriff auf die temporären Inhalte möglich ist. Viele Anwendungen (unter anderem auch Microsoft Office) erstellen bei der Verarbeitung temporäre Dateien, die im Gegensatz zu Originaldaten möglicherweise nicht ausreichend geschützt sind. Daher ist die Bereinigung von Verzeichnissen, in denen temporäre Dateien abgelegt werden (z. B. Temp, Tmp und das Drucker-Spool-Verzeichnis), sehr empfehlenswert. Dies kann unter anderem auch mit einem Skript realisiert werden, das beim Herunterfahren des Systems ausgeführt wird (siehe M 2.326 Planung der Windows XP Gruppenrichtlinien). Das Löschen der Auslagerungsdatei beim Herunterfahren des Systems wird durch die Richtlinie Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems löschen in Gruppenrichtlinienobjekten unter Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen aktiviert.

Softwareeinschränkungen

Durch die gezielte Systemkonfiguration soll vermieden werden, dass normale Benutzer administrative Tätigkeiten ausführen können. Dies kann durch die Zugriffsrechte auf Dateien und die Registry, Berechtigung zum Starten der Konfigurationswerkzeuge, wie z. B. der MMC-Konsole erreicht werden. Diese Einstellungen werden über Gruppenrichtlinien verwaltet und sollten schon in die Planung der Gruppenrichtlinien einfließen (siehe M 2.326 Planung der Windows XP Gruppenrichtlinien). Der Einsatz von Richtlinien für Softwareeinschränkungen (englisch Software Restriction Policies, SRP) kann in dieser Hinsicht zusätzliche Sicherheit bringen.

Software-Installationen sind ausschließlich von berechtigten Administratoren durchzuführen. Die Installationsmöglichkeiten für normale Benutzer sind daher soweit wie möglich einzuschränken (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software). Die Installationen, die mittels des Windows Installers durchgeführt werden, lassen sich durch die Definition geeigneter Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Installer einschränken. Ob und in welchem Umfang Installationen eingeschränkt werden sollten, hängt von der Software-Installationsrichtlinie eines Unternehmens bzw. einer Behörde ab. Es sollte bedacht werden, dass diese Einstellungen nur den Windows Installer betreffen und nicht verhindern können, dass Benutzer anderweitig Programme installieren oder aktualisieren können.

Die mit Windows XP eingeführte Technologie der Softwareeinschränkungen ermöglicht es, die auf einem Computer ausführbaren Programme zu begrenzen. Durch die Definition spezieller Regeln in Softwareeinschränkungen-Richtlinien im Computerteil einer GPO (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien für Softwareeinschränkungen) wird entweder die Menge der erlaubten (Positivliste) oder der verbotenen Programme (Negativliste) spezifiziert. Bei der Definition einer Positivliste sollten nicht nur die Anwendungen, sondern auch alle für den Regelbetrieb benötigten Systemprogramme erlaubt sein.

Programme können in einer Regel durch einen voll- oder teilqualifizierten Pfad-Namen, einen Hashwert, eine digitale Signatur bzw. Zertifikat oder die Programmzone (beispielsweise Internet, Lokaler Rechner) identifiziert werden. Eine Regel ist nicht nur auf gewöhnliche ausführbare Dateien, sondern unter anderem auch auf DLLs, ActiveX Steuerelemente, Windows Installer Dateien sowie auf VBScript Dateien anwendbar.

Die zur Verfügung stehenden Konfigurationsmöglichkeiten für Ausführungsbeschränkungen mittels SRP sind sehr variabel und ermöglichen die Realisierung einer Vielzahl von Einsatzszenarien. Dieser Vorteil wird jedoch mit einem entsprechenden Administrationsaufwand erkauft, da die definierten Regeln schnell komplex und unübersichtlich werden. Umfangreiche Planung und ausgiebiges Testen sind unabdingbar, wenn ein Unternehmen bzw. eine Behörde Richtlinien zur Softwareeinschränkungen implementieren möchte.

Dienste

Windows XP ist kein Server-Betriebssystem und sollte daher nur für Clients verwendet werden. Windows XP Clients sollten keine Anwendungen oder Dienste im Netz zur Verfügung stellen. Mehr dazu findet sich in M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste und M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz. Unter anderem sollten die normalen Arbeitsplatzrechner neben den administrativen Standardfreigaben keine Verzeichnisfreigaben zur Verfügung stellen. Auch die administrativen Freigaben sollten deaktiviert werden, wenn sie nicht zur Administration verwendet werden (HKLM\SYSTEM\Cur rentControlSet\Services\LanmanServer\Parameters\AutoShareWks=0). Sind jedoch aus bestimmten Gründen Freigaben auf den Clients erforderlich, so darf in diesem Fall der Mechanismus der einfachen Dateifreigabe nicht benutzt werden, um die hiermit verbundenen Sicherheitsrisiken zu vermeiden. Mit Windows XP wurde auch das Konzept der "einfachen Dateifreigabe" eingeführt. Ist die einfache Dateifreigabe auf einem Rechner aktiviert, so werden alle Benutzer, die über das Netz auf diesen Computer zugreifen, dem Gastkonto zugeordnet. Die entsprechenden Berechtigungen für den Zugriff auf die Freigabe müssen jedoch sehr restriktiv vergeben werden. Es ist zu beachten, dass die einfache Freigabe standardmäßig nur auf Einzelrechnern aktiviert wird, die keiner Domäne angehören (auf Rechnern, die als Domänenmitglieder installiert wurden, ist die einfache Dateifreigabe standardmäßig deaktiviert).

Die Gesamtsicherheit eines Systems hängt auch von eingesetzten Systemdiensten ab. Hinweise zu sicheren Dienstkonfiguration können in Maßnahme M 4.246 Konfiguration der Systemdienste unter Windows XP, gefunden werden.

Benutzerkonten

Windows XP Benutzerkonten dürfen nur von einer dazu berechtigten Person verwendet werden, d. h. das Benutzerkonto ist einem Benutzer eindeutig zuzuordnen. Dies hat vor allem aus Gründen der Nachvollziehbarkeit zu erfolgen. Sammelkonten sollten nach Möglichkeit keine Verwendung finden. Dies ist auf organisatorischer Ebene zu gewährleisten.

Erfolgt das Anlegen eines neuen Benutzerkontos im Active Directory, so ist auf die richtige Zuordnung zu einer Organisationseinheit zu achten, da hierüber die korrekten Sicherheitseinstellungen für dieses Benutzerkonto festgelegt werden. Die an einen Benutzer vergebenen Rechte resultieren neben den Gruppenmitgliedschaften unter anderem aus den Gruppenrichtlinien, die an die Organisationseinheit des Benutzers gelinkt sind.

Erfolgt die Administration des Windows XP Systems über personalisierte Benutzerkonten, so kann das integrierte Administratorkonto gesperrt werden. In jedem Fall sollte das Administratorkonto umbenannt werden. Das Deaktivieren und/oder Umbenennen des integrierten Benutzerkontos kann in der Benutzerverwaltung oder durch die Richtlinien der Konten: Administratorkontostatus und Konten: Administrator umbenennen (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) erfolgen. Vor dem Deaktivieren des Administratorkontos ist eine Testphase empfehlenswert, in der ausschließlich über die personalisierten Benutzerkonten administriert wird.

Wie alle anderen Windows Versionen enthält auch Windows XP standardmäßig ein Gastkonto, das deaktiviert ist. Das Gastkonto soll nicht genutzt werden, Benutzer sollten immer ein dediziertes Konto verwenden. Das Gastkonto ist zu deaktivieren, wobei trotzdem ein komplexes Kennwort für das Konto vergeben werden sollte. In diesem Fall besteht auch im Falle eines zufälligen oder unberechtigten Aktivierungsversuchs des Kontos ein Kennwortschutz. Um das Gastkonto umzubenennen und zu deaktivieren, können entweder die lokale Benutzerverwaltung oder die Richtlinien Konten: Gastkontenstatus und Konten: Gastkonto umbenennen (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) verwendet werden.

Das unter Windows XP standardmäßig angelegte Konto für den Support-Benutzer (SUPPORT_388945a0) wird normalerweise in Behörden- und Unternehmensumgebung nicht verwendet und sollte daher gelöscht werden. Zum Löschen dieses Kontos dient die lokale Benutzerverwaltung.

Beim Betrieb eines Windows XP Systems in der Domäne sollten nach Möglichkeit keine weiteren lokalen Benutzerkonten angelegt werden. Generell sollten lokal nur die unbedingt notwendigen Konten angelegt sein. Eine Überprüfung lokaler Benutzerkonten hat in regelmäßigen Abständen zu erfolgen.

Entsprechend der Maßnahme M 4.2 Bildschirmsperre muss für jeden Benutzer der Kennwortschutz für den Bildschirmschoner aktiviert werden. Ist der Standby-Modus möglich, so muss die Kennworteingabe auch beim Reaktivieren des Systems aus dem Standby-Modus erforderlich sein (Energieoptionen | Erweitert | Kennwort beim Reaktivieren aus dem Standbymodus anfordern).

Die Anforderungen in Maßnahmen M 2.11 Regelung des Passwortgebrauchs und M 4.15 Gesichertes Login müssen umgesetzt werden. Dies betrifft vor allem die Länge, Qualität sowie Änderungsintervalle der Kennwörter sowie die Anzahl der Fehlversuche und das Sperren der Benutzerkonten.

Anmeldung absichern

Der Systemzugang muss auf autorisierte Personen beschränkt sein. Die Vergabe entsprechender Benutzerrechte hat dementsprechend restriktiv zu erfolgen (siehe auch die Maßnahme M 4.247 Restriktive Berechtigungsvergabe unter Windows XP). Administrative Zugriffe vom Netz sollten grundsätzlich nur berechtigten administrativen Personal erlaubt werden. Des weiteren muss die Anmeldung über das Netz an lokalen Benutzerkonten ohne Kennwort untersagt werden. Dies wird durch das Aktivieren der Richtlinie Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) erreicht.

Die automatische Benutzeranmeldung muss auf allen Windows XP deaktiviert sein. Ein automatischer Login in der Wiederherstellungskonsole darf ebenfalls nicht gestattet werden. Administrative Benutzer müssen sich explizit authentisieren. Der Zugriff auf Daten außerhalb der Systemverzeichnisse sollte in der Wiederherstellungskonsole eingeschränkt werden. Anderenfalls können unautorisierte Datenzugriffe stattfinden, die zudem nicht einmal protokolliert werden können. Um dies zu erreichen, sind Richtlinien Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen und Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) zu deaktivieren.

Alle Benutzer müssen explizit authentisiert werden, bevor ihnen der Zugang zum System gewährt wird. Die Tastenkombination STRG+ALT+ENTF sollte bei der Anmeldung erzwungen werden (Richtlinie Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich). Dies gewährleistet, dass tatsächlich das originale Anmeldefenster und kein "Nachbau" benutzt wird. Außerdem sollte der Name des zuletzt angemeldeten Benutzers in der Anmeldemaske nicht angezeigt werden (Richtlinie Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen).

Es wird weiterhin empfohlen, allen Benutzern, die sich lokal anzumelden versuchen, eine Warnmeldung anzuzeigen. Der genaue Text der Warnmeldung ist anhand der konkreten Umstände und im Einzelfall festzulegen. Der Text der Warnmeldung und der Nachrichtentitel werden mit Hilfe der Richtlinien Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen eingerichtet.

Anmeldeinformationen für Domänenkonten werden standardmäßig zwischengespeichert, so dass ein Benutzer sich an seinen Client auch bei Nichtverfügbarkeit des Domain Controllers anmelden kann. Die Anzahl solcher zwischengespeicherten Kontoinformationen wird in der Richtlinie Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen festgelegt und sollte nach Möglichkeit minimiert werden. Die Parametereinstellung ist anhand konkreter Umstände und im Einzelfall festzulegen.

Systemeinstellungen

Die Autoplay-Funktionalität ist in der Standardinstallation von Windows XP nicht deaktiviert und stellt ein Sicherheitsrisiko dar, da gefährliche Inhalte ohne Benutzerinteraktion zur Ausführung kommen können. Aus diesem Grund ist die Autoplay-Funktionalität für alle Laufwerke zu deaktivieren (siehe auch Maßnahme M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung). Hierfür muss die Richtlinie Computerkonfiguration | Administrative Vorlagen | System | Autoplay deaktivieren aktiviert und der Wert Alle Laufwerke eingestellt werden.

Interne Systemobjekte (wie z. B. Mutexe und Semaphore, die zur Synchronisation unterschiedlicher Threads und Prozesse dienen) besitzen eigene Zugriffsrechte. Diese Zugriffsrechte können durch die Definition einer speziellen Richtlinie verstärkt werden, so dass nicht-administrative Benutzer keine Änderungsrechte an Objekten haben, die nicht von ihnen erstellt wurden (Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken.

Normalerweise erlaubt Windows XP sowohl lokalen als auch entfernten Zugriff auf Disketten und CD-ROMs. Wie in der Maßname M 4.52 Geräteschutz unter Windows NT/2000/XP empfohlen wird, sollte der Zugriff jedoch auf den gerade eingeloggten Benutzer beschränkt werden.

Selbständige Windows XP Internetkommunikation unterbinden

Mehrere Windows XP Dienste und Anwendungen nehmen in der Standardkonfiguration selbsttätig und vom Benutzer unbemerkt Kontakt zu Servern im Internet auf. Dabei werden system- und/oder benutzerspezifische Daten an Microsoft oder andere Anbieter übermittelt.

Die nachfolgende Liste gibt einen Überblick über Dienste und Anwendungen, die selbsttätig Daten an Microsoft übertragen. Diese Liste erhebt keinen Anspruch auf Vollständigkeit (weitere Informationen können im Dokument Microsoft Windows XP Professional sicher konfigurieren, http://www.microsoft.com/austria/technet/articles/windowsxp_konfig.mspx gefunden werden).

Für die meisten der oben aufgeführten Dienste und Anwendungen wird das Abschalten der Datenübertragung empfohlen. Dies kann durch entsprechendes Umkonfigurieren von Registry und Programmoptionen sowie Änderungen im Dateisystem erfolgen. Nach Einführung von Service Pack 2 wurde die Verwaltbarkeit dieser Funktionalitäten deutlich verbessert. Eine neue Kategorie der Gruppenrichtlinien wurde unter Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung eingeführt.

Basiseinstellungen für GPOs

Die Basiseinstellungen für Windows XP Gruppenrichtlinienobjekte sind in der Maßnahme M 4.245 Basiseinstellungen für Windows XP GPOs beschrieben.

Ergänzende Kontrollfragen: