Bundesamt für Sicherheit in der Informationstechnik

B 3.212 Client unter Windows 7

Logo Windows 7 Client

Beschreibung

Der vorliegende Baustein behandelt das Client-Betriebssystem Microsoft Windows 7 in der Version Enterprise, kurz Windows 7 Enterprise. Wenn notwendig, werden abweichende Besonderheiten von Windows 7 Professional und Windows 7 Ultimate dargestellt.

Windows 7 ist das Nachfolgeprodukt zu Microsofts Betriebssystem Windows Vista. Die Sicherheit eines Client-Betriebssystems wie Windows 7 spielt eine wichtige Rolle für die Sicherheit im gesamten Informationsverbund. Schwachstellen im Betriebssystem eines Clients gefährden die Sicherheit aller IT -Systeme, Informationen und letztlich des gesamten Informationsverbundes.

Der Schwerpunkt des vorliegenden Bausteins liegt auf dem Einsatz von Clients in einer Domänenumgebung. Wichtige abweichende Sachverhalte, die speziell für Windows 7 auf Einzelplatzrechnern oder in einer Arbeitsgruppe gelten, werden als solche hervorgehoben.

Microsoft hat in Windows 7 gegenüber den vorangegangenen Windows-Versionen einige Änderungen integriert, die das Sicherheitsniveau verbessern sollen. Außerdem hat Microsoft bestehende Sicherheitsmerkmale früherer Windows Versionen weiter entwickelt und in Windows 7 übernommen. Hierzu zählt etwa das Sicherheitscenter aus Windows XP mit Service Pack 2 und Vista, das unter Windows 7 zum Wartungscenter erweitert wurde.

Beispiele für Windows 7-spezifische Sicherheitsmerkmale sind:

  • AppLocker zum Schutz vor Installation und Ausführung nicht freigegebener Software (nur in Windows 7 Enterprise und Ultimate verfügbar)
  • BitLocker To Go zur Verschlüsselung von Wechseldatenträgern durch Benutzer ohne Administratorrechte

Die Server-spezifischen Sicherheitsmaßnahmen, die beim Betrieb der Clients in einer Domänenumgebung relevant sind, werden in Server-Bausteinen wie B 3.101 Allgemeiner Server , B 3.108 Windows Server 2003 und Windows B 3.109 Windows Server 2008 beschrieben.

Moderne IT -Systeme sind im täglichen Betrieb einer Vielzahl von Gefährdungen ausgesetzt. Oft nutzen erfolgreiche Angriffe bestimmte Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten oder konzeptionelle Schwächen in der Systemarchitektur aus. Clients mit einem Microsoft-Betriebssystem bilden wegen ihrer hohen Verbreitung ein attraktives Ziel für Angreifer. Dies zeigen die zahlreichen publizierten Sicherheitslücken und Angriffe.

IT -Systeme unter dem Betriebssystem Windows 7 sind folgenden typischen Gefährdungen ausgesetzt:

Gefährdungslage

Moderne IT -Systeme sind im täglichen Betrieb einer Vielzahl von Gefährdungen ausgesetzt. Oft nutzen erfolgreiche Angriffe bestimmte Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten oder konzeptionelle Schwächen in der Systemarchitektur aus. Clients mit einem Microsoft-Betriebssystem bilden wegen ihrer hohen Verbreitung ein attraktives Ziel für Angreifer. Dies zeigen die zahlreichen publizierten Sicherheitslücken und Angriffe.

IT -Systeme unter dem Betriebssystem Windows 7 sind folgenden typischen Gefährdungen ausgesetzt:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.7 Unerlaubte Ausübung von Rechten
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

Menschliche Fehlhandlungen

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.22 Fehlerhafte Änderung der Registrierung
G 3.48 Fehlerhafte Konfiguration von Windows- /basierten IT-Systemen
G 3.97 Vertraulichkeitsverletzung trotz BitLocker-Laufwerksverschlüsselung ab Windows Vista
G 3.98 Verlust von BitLocker-verschlüsselten Daten
G 3.112 Unautorisierte oder falsche Nutzung von Images bei der Nutzung von Windows DISM

Technisches Versagen

G 4.1 Ausfall der Stromversorgung
G 4.7 Defekte Datenträger
G 4.23 Automatische Erkennung von Wechseldatenträgern
G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS
G 4.55 Datenverlust beim Zurücksetzen des Kennworts ab Windows Server 2003 und XP
G 4.73 Beeinträchtigung von Software-Funktionen durch Kompatibilitätsprobleme von Windows-Versionen

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.4 Diebstahl
G 5.7 Abhören von Leitungen
G 5.9 Unberechtigte IT-Nutzung
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.23 Schadprogramme
G 5.52 Missbrauch von Administratorrechten bei Windows-Betriebssystemen
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen
G 5.83 Kompromittierung kryptographischer Schlüssel
G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT -Grundschutz.

Windows 7 stellt bereits einige Sicherheitsmechanismen in der Grundkonfiguration bereit. Andere Sicherheitsmechanismen müssen durch die Verantwortlichen erst eingerichtet werden. Die zentrale Konfiguration und Durchsetzung von technischen Sicherheitsmaßnahmen kann durch Active Directory (AD) unterstützt werden.

Wo die zentrale Konfigurationsmöglichkeit mittels AD nicht gegeben ist, müssen technische Maßnahmen dezentral auf den einzelnen Clients über lokale Sicherheitsrichtlinien eingerichtet werden. Dazu können Konfigurationsdateien zentral erstellt und mittels geeigneter Mechanismen auf die Clients übertragen und dort installiert werden.

Bei der Beschreibung der Konfigurationen wird im Folgenden von einer Windows Server 2003/2008 Domänenstruktur in der AD-Funktionsebene "Windows Server 2003/2008" ausgegangen.

Für die sichere Konfiguration von Clients unter Windows 7 sind eine Reihe von Maßnahmen erforderlich, beginnend mit der Konzeption über die Umsetzung (Installation/Konfiguration) bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Bei Einsatz von Windows 7 muss zunächst die geeignete Version ausgewählt (siehe M 2.440 Geeignete Auswahl einer Windows-Version für Clients ab Windows Vista ) und ihr Einsatz geplant werden (siehe M 2.324 Einführung von Windows auf Clients ab Windows XP planen ). Dabei ist zu unterscheiden, ob eine Einsatzumgebung vollkommen neu entsteht, oder ob eine bestehende Umgebung auf das Betriebssystem Windows 7 migriert wird. Für den Einsatz von Windows 7 ist eine Sicherheitsrichtlinie zu erarbeiten. Es kann eine bereits existierende Sicherheitsrichtlinie an die Eigenschaften von Windows 7 angepasst oder eine neue, speziell auf die Eigenschaften von Windows 7 zugeschnittene Richtlinie erarbeitet werden (siehe M 2.325 Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP ).

In einer Domänenumgebung können verschiedene Sicherheitseinstellungen mittels eines zentralen Verwaltungswerkzeugs wie Active Directory erstellt und gepflegt werden. Andere Sicherheitseinstellungen können zentral erzeugt und mit geeigneten Mitteln auf die Clients übertragen werden. In der Maßnahme M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP werden Hinweise und Empfehlungen zur Konfiguration von Clients unter Windows 7 gegeben.

Windows 7 unterstützt die Möglichkeit der Fernadministration der Clients und stellt außerdem Mittel zur Verfügung, durch Windows 7 per Fernadministration auf andere Systeme zuzugreifen. In der Planungsphase müssen bereits entsprechende Festlegungen getroffen werden, damit sich über die Fernadministration keine unberechtigten Personen auf dem Client anmelden können. Die relevanten Aspekte sind in der Maßnahme M 2.327 Sicherheit beim Fernzugriff auf Clients ab Windows XP beschrieben.

Um Windows 7 auf mobilen Rechnern einzusetzen, müssen bereits in der Planungsphase entsprechende Sicherheitsaspekte berücksichtigt werden. Die Maßnahme M 2.442 Einsatz von Client-Betriebssytemen ab Windows Vista auf mobilen Systemen nennt die für Windows Vista und Windows 7-spezifischen Aspekte.

Umsetzung

In der Umsetzungsphase werden alle Maßnahmen ergriffen, die den sicheren Betrieb konkret vorbereiten. Dazu zählen insbesondere Maßnahmen zur Sicherheit bei der Installation und Grundkonfiguration des Systems.

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, können die Windows 7 Systeme installiert werden. Die Installation muss mit besonderer Sorgfalt durchgeführt werden, siehe M 4.248 Sichere Installation von Windows Client-Betriebssystemen . Die für die Konfiguration eines Windows 7 Systems zu beachtenden Aspekte müssen während der Planungsphase ermittelt worden sein.

Um Software, die für ältere Windows-Versionen geschrieben wurden, unter Windows 7 sicher ausführen zu können, ist es notwendig, die verschiedenen Techniken (beispielsweise VirtualPC XP-Mode) zu kennen und diese sicher anzuwenden (siehe M 4.424 Sicherer Einsatz älterer Software ab Windows 7 ).

Windows 7 verfügt standardmäßig über viele Funktionen, die sich hauptsächlich an Privatanwender richten. Dazu gehört beispielsweise die Heimnetzgruppe für die Freigabe und den Zugriff auf Dienste in einem lokalen Netz. Diese müssen im Umfeld einer Institution eingeschränkt werden (siehe M 4.423 Verwendung der Heimnetzgruppen-Funktion ab Windows 7 ), um einen sicheren Betrieb eines Windows 7 Client im Netz zu gewährleisten.

Windows 7 muss vor dem dauerhaften Einsatz aktiviert werden . Hintergründe nennt M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag .

Betrieb

Die Umsetzung wird idealerweise zunächst in einer Testinstallation vorgenommen. Nach erfolgreichem Test erfolgt die Installation von Windows 7 auf den dafür vorgesehenen Clients und der Übergang zum Regelbetrieb. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:

Aussonderung

Auf Clients, die einen Bereich verlassen oder ausgesondert werden, sind lokal gespeicherte Benutzerdaten zu löschen. Dies gilt auch für defekte Datenträger, die ausgetauscht werden. Können Daten auf Datenträgern nicht mehr zuverlässig gelöscht werden, ist der Datenträger in geeigneter Weise zu zerstören. Empfehlungen hierzu finden sich in B 1.15 Löschen und Vernichten von Daten .

Es ist zu beachten, dass ein Zugriff auf archivierte Daten gemäß den Archivierungsfristen erhalten bleiben muss, auch wenn das ursprünglich aufzeichnende IT -System ausgesondert wird.

Notfallvorsorge

Neben der Absicherung im laufenden Betrieb spielt auch die Notfallvorsorge eine wichtige Rolle. Hinweise zur Notfallvorsorge finden sich in M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows-Systemen . Empfehlungen zur Datensicherung sind in M 6.78 Datensicherung unter Windows Clients enthalten.

Maßnahmenbündel

Nachfolgend wird das Maßnahmenbündel für den Baustein "Client unter Windows 7" vorgestellt.

Planung und Konzeption

M 2.324 (A) Einführung von Windows auf Clients ab Windows XP planen
M 2.325 (A) Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP
M 2.326 (A) Planung der Gruppenrichtlinien für Clients ab Windows XP
M 2.327 (B) Sicherheit beim Fernzugriff auf Clients ab Windows XP
M 2.440 (A) Geeignete Auswahl einer Windows-Version für Clients ab Windows Vista
M 2.441 (A) Kompatibilitätsprüfung von Software gegenüber Windows für Clients ab Windows Vista
M 2.442 (B) Einsatz von Client-Betriebssytemen ab Windows Vista auf mobilen Systemen
M 4.147 (Z) Sichere Nutzung von EFS unter Windows
M 4.243 (Z) Verwaltungswerkzeuge unter Windows Client-Betriebssystemen
M 4.244 (A) Sichere Systemkonfiguration von Windows Client-Betriebssystemen
M 4.245 (A) Basiseinstellungen für Windows Group Policy Objects
M 4.246 (A) Konfiguration der Systemdienste auf Clients ab Windows XP
M 4.247 (A) Restriktive Berechtigungsvergabe bei Client-Betriebssystemen ab Windows Vista
M 4.336 (A) Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag
M 4.337 (Z) Einsatz von BitLocker Drive Encryption
M 4.338 (A) Einsatz von File und Registry Virtualization bei Clients ab Windows Vista
M 4.339 (B) Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista
M 4.340 (A) Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista
M 4.341 (A) Integritätsschutz ab Windows Vista
M 4.342 (Z) Aktivierung des Last Access Zeitstempels ab Windows Vista
M 4.425 (B) Verwendung der Tresor- und Cardspace-Funktion auf Clients ab Windows
M 5.123 (B) Absicherung der Netzkommunikation unter Windows

Umsetzung

M 2.32 (Z) Einrichtung einer eingeschränkten Benutzerumgebung
M 3.28 (A) Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen
M 4.48 (A) Passwortschutz unter Windows-Systemen
M 4.49 (A) Absicherung des Boot-Vorgangs für ein Windows-System
M 4.75 (A) Schutz der Registry unter Windows-Systemen
M 4.149 (A) Datei- und Freigabeberechtigungen unter Windows
M 4.248 (A) Sichere Installation von Windows Client-Betriebssystemen
M 4.419 (Z) Anwendungssteuerung ab Windows 7 mit AppLocker
M 4.421 (C) Absicherung der Windows PowerShell
M 4.423 (B) Verwendung der Heimnetzgruppen-Funktion ab Windows 7
M 4.424 (Z) Sicherer Einsatz älterer Software ab Windows 7
M 5.89 (A) Konfiguration des sicheren Kanals unter Windows
M 5.90 (Z) Einsatz von IPSec unter Windows

Betrieb

M 2.330 (B) Regelmäßige Prüfung der Sicherheitsrichtlinien und ihrer Umsetzung bei Windows-Clients ab Windows XP
M 4.56 (C) Sicheres Löschen unter Windows-Betriebssystemen
M 4.146 (A) Sicherer Betrieb von Windows Client-Betriebssystemen
M 4.249 (A) Windows Client-Systeme aktuell halten
M 4.343 (Z) Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag
M 4.344 (B) Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008
M 4.420 (A) Sicherer Einsatz des Wartungscenters unter Windows 7
M 4.422 (Z) Nutzung von BitLocker To Go ab Windows 7

Notfallvorsorge

M 6.76 (C) Erstellen eines Notfallplans für den Ausfall von Windows-Systemen
M 6.78 (A) Datensicherung unter Windows Clients

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK