M 4.246 Konfiguration der Systemdienste unter Windows XP
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die sichere Konfiguration einzelner Systemdienste, die auf einem Rechner ausgeführt werden, trägt wesentlich zur Gesamtsicherheit eines Systems bei. Jeder nicht benötigte, aber aktivierte Dienst kann eine Gefahrquelle sein. Daher muss bei der Konfiguration von Windows XP Systemen darauf geachtet werden, dass ausschließlich benötigte Dienste zur Ausführung kommen. Um eine zentralisierte Konfiguration der Dienste zu ermöglichen, wird in einer Active Directory Umgebung der Einsatz entsprechender Gruppenrichtlinien empfohlen. Dafür werden einzelne Dienste im Computerteil eines Gruppenrichtlinienobjektes unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste aktiviert oder deaktiviert.
Unter den Hilfsmitteln zum IT-Grundschutz werden Vorgaben für die Konfiguration der Systemdienste aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen dienen können. Es sei darauf hingewiesen, dass die Konfiguration einzelner Systemdienste immer von lokalen Gegebenheiten oder Anforderungen abhängt und daher immer in diesem spezifischen Kontext zu sehen ist. Im Einzelfall muss gegebenenfalls sogar aufgrund lokaler Gegebenheiten auf weniger sichere Konfigurationen ausgewichen werden. Dann sollten aber zusätzliche Schutzmaßnahmen eingeleitet werden, die die fehlende Sicherheit in der Dienstkonfiguration ausgleichen. Beispiele hierfür sind der Einsatz einer zusätzlichen Firewall oder auch organisatorische Maßnahmen.
Ergänzende Kontrollfragen:
- Wurde eine Bedarfsanalyse bezüglich der erforderlichen Systemdienste durchgeführt?
- Sind alle nichtbenötigten Dienste deaktiviert?
- Wurden verschiedene Client-Ausprägungen beim Festlegen der auszuführenden Systemdienste und der Definition entsprechender GPOs berücksichtigt?