Bundesamt für Sicherheit in der Informationstechnik

B 3.210 Client unter Windows Vista

Logo Windows Vista Client

Beschreibung

Der vorliegende Baustein behandelt das Client-Betriebssystem Windows Vista in der Version Enterprise, kurz Windows Vista Enterprise. Wenn notwendig, werden abweichende Besonderheiten von Windows Vista Business und Windows Vista Ultimate dargestellt.

Windows Vista ist das Nachfolgeprodukt zu Microsofts Betriebssystem Windows XP Professional bzw. Home. Die Sicherheit eines Client-Betriebssystems wie Windows Vista spielt eine wichtige Rolle für die Sicherheit im gesamten Informationsverbund. Schwachstellen im Betriebssystem eines Clients gefährden die Sicherheit aller IT-Systeme und letztlich des gesamten Informationsverbundes.

Der Schwerpunkt im vorliegenden Baustein liegt auf dem Betrieb von Clients in einer Domänenumgebung. Wichtige abweichende Sachverhalte, die speziell für Windows Vista auf Einzelplatzrechnern oder in einer Arbeitsgruppe gelten, werden als solche hervorgehoben.

Die Server-spezifischen Sicherheitsmaßnahmen, die beim Betrieb der Clients in einer Domänenumgebung relevant sind, werden in den Server-Bausteinen wie B 3.106 Server unter Windows 2000 und B 3.108 Windows Server 2003 beschrieben.

Clients mit einem Microsoft-Betriebssystem bilden wegen ihrer hohen Verbreitung ein attraktives Ziel für Angreifer. Dies zeigen die zahlreichen publizierten Sicherheitslücken und Angriffe. Microsoft hat daher in Windows Vista gegenüber den vorangegangenen Windows-Versionen einige Änderungen implementiert, die das Sicherheitsniveau des Clients verbessern sollen. Außerdem hat Microsoft bestehende Sicherheitsmerkmale früherer Windows Versionen weiter entwickelt und dann in Windows Vista übernommen. Hierzu zählt etwa das Sicherheitscenter aus Windows XP mit Service Pack 2. Beispiele für Vista-spezifische Sicherheitsmerkmale sind:

  • BitLocker Drive Encryption als Festplattenverschlüsselung für den Schutz vertraulicher Daten (nur in Windows Vista Enterprise und Ultimate verfügbar).
  • Benutzerkontensteuerung (User Account Control, UAC) zum Schutz der Systemintegrität beim Arbeiten mit Administratorkonten.
  • Geschützter Modus des Internet Explorer IE7 als Schutz gegen unbemerktes Herunterladen und Ausführen von Schadcode beim Surfen im Internet (setzt UAC voraus) sowie weitere Sicherheitsmerkmale zum Schutz der Integrität von Benutzer- und Systemdaten.
  • Datei- und Registry-Virtualisierung zur sicheren Ausführung von Alt-Anwendungen als Standardbenutzer, die vor Windows Vista nur unter dem Administrator-Konto genutzt werden konnten (setzt UAC voraus).

Neben neuen und geänderten Sicherheitsmerkmalen zeichnet sich Windows Vista insbesondere durch zahlreiche Änderungen bezüglich der Abläufe und Anforderungen zur Aktivierung aus.

Gefährdungslage

Moderne IT-Systeme sind im täglichen Betrieb einer Vielzahl von Gefährdungen ausgesetzt. Oft nutzen erfolgreiche Angriffe bestimmte Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten oder konzeptionelle Schwächen in der Systemarchitektur aus.

Generell gilt, dass die Gefährdungslage einzelner IT-Systeme immer auch vom Einsatzszenario abhängt und diese Einzelgefährdungen in die Gefährdung des Gesamtsystems eingehen. Es ist zu beachten, dass bei nicht vernetzten IT-Systemen alle Angriffe (siehe "Vorsätzliche Handlungen") den lokalen Zugang zum IT-System erfordern.

Für den IT-Grundschutz einzelner IT-Systeme unter dem Betriebssystem Windows Vista werden folgende typische Gefährdungen angenommen.

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen
G 1.4 Feuer
G 1.5 Wasser
G 1.8 Staub, Verschmutzung

Organisatorische Mängel

G 2.7 Unerlaubte Ausübung von Rechten
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen
G 2.146 Verlust der Arbeitsfähigkeit von Vista-Clients durch fehlende Reaktivierung vor SP1

Menschliche Fehlhandlungen

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.22 Fehlerhafte Änderung der Registrierung
G 3.48 Fehlerhafte Konfiguration von Windows- /basierten IT-Systemen
G 3.97 Vertraulichkeitsverletzung trotz BitLocker-Laufwerksverschlüsselung ab Windows Vista
G 3.98 Verlust von BitLocker-verschlüsselten Daten

Technisches Versagen

G 4.1 Ausfall der Stromversorgung
G 4.7 Defekte Datenträger
G 4.23 Automatische Erkennung von Wechseldatenträgern
G 4.73 Beeinträchtigung von Software-Funktionen durch Kompatibilitätsprobleme von Windows-Versionen

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.4 Diebstahl
G 5.7 Abhören von Leitungen
G 5.9 Unberechtigte IT-Nutzung
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.23 Schadprogramme
G 5.52 Missbrauch von Administratorrechten bei Windows-Betriebssystemen
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen
G 5.83 Kompromittierung kryptographischer Schlüssel
G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um einen Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Windows Vista Systeme sind in der Regel Teil eines Informationsverbundes. Daraus ergeben sich besondere Angriffsmöglichkeiten. Windows Vista stellt bereits einige Sicherheitsmaßnahmen in der Grundkonfiguration bereit. Andere Sicherheitsmaßnahmen müssen durch die Verantwortlichen erst umgesetzt werden. Die zentrale Konfiguration und Durchsetzung von technischen Sicherheitsmaßnahmen kann durch Active Directory ( AD ) unterstützt werden.

Wo die zentrale Konfigurationsmöglichkeit mittels Active Directory nicht gegeben ist, müssen technische Maßnahmen dezentral auf den einzelnen Clients über lokale Sicherheitsrichtlinien eingestellt werden. Dazu können Konfigurationsdateien zentral erstellt und mittels geeigneter Mechanismen auf die Clients übertragen und dort installiert werden.

Bei der Beschreibung der Konfigurationen wird im Folgenden von einer Windows Server 2003 Domänenstruktur in der AD -Funktionsebene "Windows Server 2003" ausgegangen.

Für die sichere Konfiguration von Clients unter Windows Vista sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Installation bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Bei Einsatz von Windows Vista muss zunächst die geeignete Version ausgewählt (siehe M 2.440 Geeignete Auswahl einer Windows-Version für Clients ab Windows Vista ) und ihr Einsatz geplant werden (siehe M 2.324 Einführung von Windows auf Clients ab Windows XP planen ). Dabei ist zu unterscheiden, ob eine Einsatzumgebung vollkommen neu entsteht, oder ob eine bestehende Umgebung auf das Betriebssystem Windows Vista migriert wird. Für den Einsatz von Windows Vista ist eine Sicherheitsrichtlinie zu erarbeiten. Es kann eine bereits existierende Sicherheitsrichtlinie an die Eigenschaften von Windows Vista angepasst werden oder eine neue, speziell auf die Eigenschaften von Windows Vista zugeschnittene Richtlinie erarbeitet werden (siehe M 2.325 Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP ).

In einer Domänenumgebung können verschiedene Sicherheitseinstellungen mittels eines zentralen Verwaltungswerkzeugs wie Active Directory erstellt und gepflegt werden. Andere Sicherheitseinstellungen können zentral erzeugt und mit geeigneten Mitteln auf die Clients übertragen werden. In der Maßnahme M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP werden Hinweise und Empfehlungen zur Konfiguration von Clients unter Windows Vista gegeben.

Windows Vista unterstützt die Möglichkeit der Fernadministration des Clients und stellt Möglichkeiten zur Verfügung, mittels Windows Vista per Fernadministration auf andere Systeme zuzugreifen. Wenn diese Möglichkeiten genutzt werden sollen, müssen in der Planungsphase bereits entsprechende Überlegungen getroffen werden, damit sich keine unberechtigten Personen auf dem Client anmelden können. Die relevanten Aspekte sind in der Maßnahme M 2.327 Sicherheit beim Fernzugriff auf Clients ab Windows XP beschrieben.

Soll Windows Vista auf mobilen Rechnern zum Einsatz kommen, müssen bereits in der Planungsphase entsprechende Sicherheitsaspekte berücksichtigt werden. Die Maßnahme M 2.442 Einsatz von Client-Betriebssytemen ab Windows Vista auf mobilen Systemen nennt die für Windows Vista spezifischen Aspekte.

Von besonderer Bedeutung für den Einsatz von Windows Vista ist die Aktivierung des Systems. Hintergründe nennt die Maßnahme M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag .

Umsetzung

In der Umsetzungsphase werden alle Maßnahmen ergriffen, die den sicheren Betrieb konkret vorbereiten. Dazu zählen insbesondere Maßnahmen zur Sicherheit bei der Installation und Grundkonfiguration des Systems.

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation von Windows Vista Systemen erfolgen. Die Installation muss mit besonderer Sorgfalt durchgeführt werden. In M 4.248 Sichere Installation von Windows Client-Betriebssystemen sind die relevanten Empfehlungen zusammengefasst. Die für die Konfiguration eines Windows Vista Systems zu beachtenden Aspekte müssen während der Planungsphase ermittelt worden sein.

Betrieb

Die Umsetzung wird idealerweise zunächst in einer Testinstallation vorgenommen. Nach erfolgreichem Test erfolgt die Installation von Windows Vista auf den dafür vorgesehenen Clients und der Übergang zum Regelbetrieb. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:

Aussonderung

Auf Arbeitsplatz-PCs, die einen Bereich verlassen oder ausgesondert werden, sind lokal gespeicherte Benutzerdaten zu löschen. Dies gilt auch für defekte Datenträger, die ausgetauscht werden. Können Daten auf Datenträgern nicht mehr zuverlässig gelöscht werden, ist der Datenträger in geeigneter Weise zu zerstören. Empfehlungen hierzu finden sich in B 1.15 Löschen und Vernichten von Daten .

Es ist zu beachten, dass ein Zugriff auf archivierte Daten gemäß den Archivierungsfristen erhalten bleiben muss, auch wenn das ursprünglich aufzeichnende IT-System ausgesondert wird.

Notfallvorsorge

Neben der Absicherung im laufenden Betrieb spielt auch die Notfallvorsorge eine wichtige Rolle. Hinweise zur Notfallvorsorge finden sich in M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows-Systemen . Empfehlungen zur Datensicherung sind in M 6.78 Datensicherung unter Windows Clients enthalten.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Client unter Windows Vista" vorgestellt.

Planung und Konzeption

M 2.324 (A) Einführung von Windows auf Clients ab Windows XP planen
M 2.325 (A) Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP
M 2.326 (A) Planung der Gruppenrichtlinien für Clients ab Windows XP
M 2.327 (B) Sicherheit beim Fernzugriff auf Clients ab Windows XP
M 2.440 (A) Geeignete Auswahl einer Windows-Version für Clients ab Windows Vista
M 2.441 (A) Kompatibilitätsprüfung von Software gegenüber Windows für Clients ab Windows Vista
M 2.442 (B) Einsatz von Client-Betriebssytemen ab Windows Vista auf mobilen Systemen
M 4.147 (Z) Sichere Nutzung von EFS unter Windows
M 4.243 (Z) Verwaltungswerkzeuge unter Windows Client-Betriebssystemen
M 4.244 (A) Sichere Systemkonfiguration von Windows Client-Betriebssystemen
M 4.245 (A) Basiseinstellungen für Windows Group Policy Objects
M 4.246 (A) Konfiguration der Systemdienste auf Clients ab Windows XP
M 4.247 (A) Restriktive Berechtigungsvergabe bei Client-Betriebssystemen ab Windows Vista
M 4.336 (A) Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag
M 4.337 (Z) Einsatz von BitLocker Drive Encryption
M 4.338 (A) Einsatz von File und Registry Virtualization bei Clients ab Windows Vista
M 4.339 (B) Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista
M 4.340 (A) Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista
M 4.341 (A) Integritätsschutz ab Windows Vista
M 4.342 (Z) Aktivierung des Last Access Zeitstempels ab Windows Vista
M 5.123 (B) Absicherung der Netzkommunikation unter Windows

Umsetzung

M 2.32 (Z) Einrichtung einer eingeschränkten Benutzerumgebung
M 3.28 (A) Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen
M 4.48 (A) Passwortschutz unter Windows-Systemen
M 4.49 (A) Absicherung des Boot-Vorgangs für ein Windows-System
M 4.75 (A) Schutz der Registry unter Windows-Systemen
M 4.149 (A) Datei- und Freigabeberechtigungen unter Windows
M 4.248 (A) Sichere Installation von Windows Client-Betriebssystemen
M 5.89 (A) Konfiguration des sicheren Kanals unter Windows
M 5.90 (Z) Einsatz von IPSec unter Windows

Betrieb

M 2.330 (B) Regelmäßige Prüfung der Sicherheitsrichtlinien und ihrer Umsetzung bei Windows-Clients ab Windows XP
M 2.443 (A) Einführung von Windows Vista SP1
M 4.56 (C) Sicheres Löschen unter Windows-Betriebssystemen
M 4.146 (A) Sicherer Betrieb von Windows Client-Betriebssystemen
M 4.249 (A) Windows Client-Systeme aktuell halten
M 4.343 (Z) Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag
M 4.344 (B) Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008

Notfallvorsorge

M 6.76 (C) Erstellen eines Notfallplans für den Ausfall von Windows-Systemen
M 6.78 (A) Datensicherung unter Windows Clients

Stand: 14. EL Stand 2014