Bundesamt für Sicherheit in der Informationstechnik

M 2.325 Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Eine der wichtigsten organisatorischen Aufgaben bei der Einführung von Windows-Clients ab Windows XP ist es, eine entsprechende Sicherheitsrichtlinie zu planen und zu definieren. Diese Richtlinie legt die später umzusetzenden Sicherheitsbestimmungen für Windows-Systeme fest.

Die in der Windows-Sicherheitsrichtlinie definierten Anforderungen werden durch die entsprechenden Sicherheitseinstellungen auf Betriebssystemebene oder durch organisatorische Maßnahmen umgesetzt. In Fällen, in denen technische Maßnahmen nicht ausreichen, ist eine Kombination notwendig, so dass eine technische Umsetzung durch zusätzliche organisatorische Maßnahmen begleitet und unterstützt wird. Nach Möglichkeit sollte immer eine technische Lösung gegenüber einer organisatorischen bevorzugt werden.

Die zu erstellende Sicherheitsrichtlinie hat sich an den bisher geltenden Sicherheitsrichtlinien der Organisation zu orientieren und darf diesen nicht widersprechen. Häufig werden existierende Regelungen für frühere Windows-Versionen angepasst oder sinngemäß erweitert. Dabei sind insbesondere spezifische Technologien der jeweils neuen Windows-Version zu berücksichtigen. Generell gilt, dass sich die Planung der Windows-Infrastruktur an der jeweiligen übergreifenden Sicherheitsrichtlinie orientiert, jedoch über einen Feedback-Prozess Einfluss auf diese übergreifende Sicherheitsrichtlinie besitzt. Nicht zuletzt sind beim Erstellen der Windows-Sicherheitsrichtlinie geltende rechtliche Bestimmungen zu beachten. Die Sicherheitsrichtlinie für Windows-Clients ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen. Alle Administratoren sollten sie kennen und umsetzen.

Die folgenden Themenbereiche bieten einen groben Überblick über die abzudeckenden Bereiche einer solchen Richtlinie. Je nach Unternehmen oder Behörde und umzusetzenden Einsatzszenarien müssen noch weitere Aspekte in Betracht gezogen werden.

Physische Sicherheit

Die Aspekte der physischen Sicherheit müssen bei der Planung der Windows-Sicherheitsrichtlinie berücksichtigt werden, da Windows auch auf mobilen Rechnern zum Einsatz kommen kann. Es müssen die generellen Empfehlungen zur physischen Sicherheit aus B 3.201 Allgemeiner Client und B 3.202 Allgemeines nicht vernetztes IT-System umgesetzt werden.

Verantwortlichkeiten

Die Verantwortlichkeiten für den Betrieb der Systeme müssen in der Sicherheitsrichtlinie geregelt werden.

Es ist festzulegen, welche Verantwortung die einzelnen Administratoren zu übernehmen haben. Dies können zum Beispiel Verantwortlichkeiten sein für:

  • Änderungen der Sicherheitsparameter (lokal),
  • Änderungen der Sicherheitsparameter im Active Directory,
  • die Verwaltung der Systeme im Active Directory,
  • die Auswertung der Protokolldaten,
  • die Vergabe von Zugriffsrechten und Systemberechtigungen,
  • die Freigabe und das Durchführen von Konfigurationsänderungen sowie das Installieren von Software,
  • das Hinterlegen und den Wechsel von Passwörtern und
  • die Durchführung von Datensicherungen und Datenwiederherstellungen.

Auch die Endbenutzer müssen in einem Client-Server-Netz Verantwortlichkeiten übernehmen, sofern sie administrative Tätigkeiten ausführen sollen. In der Regel beschränken sich diese Verantwortlichkeiten auf die Vergabe von Zugriffsrechten auf die eigenen Dateien, sofern diese Rechte explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden.

Die Administration der Systeme sollte durch geschulte Administratoren erfolgen, wobei im Rahmen der Notfallvorsorge für eine geeignete Stellvertreterregelung zu sorgen ist.

Benutzerkonten

Vor der Einrichtung von Benutzerkonten muss die Entscheidung getroffen werden, welche Konten lokal oder im Active Directory angelegt werden.

Active Directory oder ähnliche Lösungen sollten eingesetzt werden, da diese prinzipbedingt stärkere Authentisierungsverfahren und die effektive Steuerung der Konten ermöglichen. Der Verwendungsrahmen für lokale Konten ist auf bestimmte Anwendungen einzugrenzen. Des Weiteren sollten die Restriktionen, die für Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf Anmelde-Fehlversuche.

Mit Windows 8 wurde zusätzlich die Anmeldung mit einem Microsoft-Konto (Windows-Live ID) eingeführt, die es den Nutzern erlaubt, sich an jedem Windows-8-PC anzumelden. Mit der Live ID wird auch die Nutzung von Cloud-Diensten und die Synchronisation von Apps und Einstellungen zwischen mehreren PCs ermöglicht. Aufgrund des erhöhten Risikos eines unkontrollierten Datenverlustes sollte die Anmeldung mit einer Live-ID oder die Verknüpfung einer Live-ID mit einem Active-Directory-Konto im Unternehmensumfeld nicht genutzt werden.

Berechtigungskonzept

Die Sicherheitsrichtlinie muss unter anderem ein Berechtigungskonzept enthalten. Das Berechtigungskonzept legt Rechte von normalen und administrativen Benutzern fest.

Problematisch ist die Tatsache, dass Windows-Clientbetriebssysteme nicht rollenfähig sind. Daher muss ein entsprechendes Gruppenkonzept geplant und lokal oder in der Domäne umgesetzt werden. Dies erfordert im Wesentlichen eine Abbildung der Organisationshierarchie und der existierenden Rollen auf die jeweiligen Gruppen.

Durch die Vergabe entsprechender Berechtigungen an diese Gruppen sowie gegebenenfalls die Definition entsprechender Richtlinien (z. B. Software Restriction Policies) wird das Berechtigungskonzept umgesetzt. Dies erfordert eine entsprechende Planung und die Erfassung der Verantwortlichkeiten und Prozesse.

Folgende Bereiche müssen durch das Berechtigungskonzept abgedeckt sein:

  • Systemberechtigungen und Benutzerrechte (z. B. lokale oder entfernte Anmeldung auf einem Rechner, das Herunterfahren eines Systems),
  • Zugriffsberechtigungen auf Netzwerkfreigaben,
  • Zugriffsberechtigungen auf Dateien (Anwendungs- und Systemdateien),
  • Zugriffsberechtigungen auf Registry-Einträge.
  • Ausführungsberechtigungen von Anwendungen und Apps

Benutzerrechte müssen sorgfältig geplant werden, da sie Vorrang vor anderen Rechten haben, insbesondere vor Datei- und Verzeichnisberechtigungen. Benutzerrechte beziehen sich auf das gesamte Windows-System. Die Vergabe der Benutzerrechte erfolgt über Gruppenrichtlinien, die bei Mitgliedern einer Active Directory-basierten Domäne im Active Directory und bei anderen Systemen lokal definiert werden (siehe M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ). Bei der Vergabe ist darauf zu achten, dass Berechtigungen und Rechte vorzugsweise Gruppen und nicht einzelnen Benutzern zugewiesen werden.

Ab Windows Vista muss das Berechtigungskonzept auch auf den Einsatz der Benutzerkontensteuerung (User Account Control, UAC) eingehen (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ).

Kommunikationssicherheit

Auch Anforderungen an die Sicherheit bei der Datenübertragung müssen ein Bestandteil der Sicherheitsrichtlinie sein. Es ist empfehlenswert, Grundanforderungen an die Übertragungssicherheit in der Sicherheitsrichtlinie zu formulieren (Sollzustand) und anschließend Ausnahmen zu erfassen, die aufgrund lokaler Gegebenheiten notwendig sind. Bei der Definition von Anforderungen und zugehörigen Ausnahmen sind vor allem die Fragen der erforderlichen Authentizität, Vertraulichkeit, Integrität und Verfügbarkeit zu berücksichtigen.

Die technische Umsetzung der Anforderungen kann auf unterschiedliche Art und Weise erfolgen. Zwei der möglichen Umsetzungen werden in M 5.123 Absicherung der Netzkommunikation unter Windows und M 5.90 Einsatz von IPSec unter Windows beschrieben.

Bei der Umsetzung der Anforderungen ist die Windows-eigene Firewall gegen die Firewall-Funktionalität von separater Schutzsoftware abzuwägen. Erst ab Windows Vista genügt die Windows-eigene Firewall den normalen Sicherheitsanforderungen in den meisten Fällen. Falls bereits eine zentral verwaltete Schutzsoftware vorhanden ist, ist dessen Firewall-Funktionalität oft besser in die Sicherheitsfunktionen der gesamten Schutzsoftware eingebunden als die Windows-eigene Firewall unterschiedlicher Windows-Versionen. Besonders in gemischten Umgebungen empfiehlt es sich, die notwendigen Sicherheitsniveaus entsprechend solcher Abwägungen für jeden Systemtyp einzeln zu formulieren und auf die technische Verträglichkeit, die Anschaffungskosten und die zentrale Steuerung zu achten.

Ab Windows 7 können Daten von eingebauten Sensoren wie GPS-Sensoren gesammelt werden. Die Daten werden von Applikationen und Diensten genutzt, insbesondere von Internet-basierenden Diensten. Sensordaten sind standardmäßig von allen installierten Applikationen sowie Dienst- und Benutzerkonten abrufbar. Daher sollten sie im Normalfall deaktiviert werden, um die informationelle Selbstbestimmung der Nutzer des IT-Systems zu gewährleisten.

Wenn Sensoren benötigt werden, sollte vorab eine konkrete Regelung für die jeweilige Anwendung definiert werden. Es sind die Software sowie Dienst- und Benutzerkonten festzulegen, welche Sensordaten abfragen dürfen. Weiterhin sollten die Mitarbeiter auf Art und Nutzung der gesammelten Daten hingewiesen werden. Es muss geprüft werden, ob eine gesonderte Einverständniserklärung des Nutzers notwendig ist. Außerdem sollte das System verschlüsselt und mit Zugriffsschutz versehen werden, da sonst unter Umständen ein Dritter die Sensordaten extrahieren und für Social Engineering missbrauchen könnte.

Anwendungen und Apps

Mit der Einführung von Windows 8 wurde alternativ zur Nutzung klassischer Desktop-Programme zusätzlich ein neues App-Konzept realisiert. Apps können über den Microsoft-eigenen Windows Store im Internet bezogen werden. Der Windows Store bietet dem Anwender die Möglichkeit, nach Apps zu Suchen und diese auf dem System zu installieren. Da die Apps für bestimmte Funktionen Zugriff auf unterschiedliche Ressourcen wie z. B. den Kalender, das Adressbuch oder den GPS-Sensor benötigen und dadurch auf potenziell kritische Daten zugreifen können, muss bei der Planung der Sicherheitsrichtlinie auch die Installation und die Nutzung von Apps aus dem Windows Store entsprechend geplant und geregelt werden. Bei der Auswahl von Sicherheitsprodukten wie z.B. dem Virenschutz sollte zusätzlich darauf geachtet werden, dass das einzusetzende Produkt auch in der Lage ist, schädliche oder modifizierte Apps zu erkennen, da nie ganz ausgeschlossen werden kann, dass schadhafte Dateien trotz entsprechender Qualitätskontrollen und Vorgaben an Windows-8-Apps auch in den Windows Store gelangen können. Wie die Freigabe von Apps oder deren Absicherung in einem Unternehmenskontext zu erfolgen hat, muss in einer entsprechenden App-Richtlinie geregelt werden. Weitergehende Hinweise finden sich im Hilfsmittel Einsatz von Apps unter Windows 8.

Protokollierung

Sämtliche Windows-Versionen ab Windows 2000 und XP stellen sehr ausführliche Möglichkeiten zur Protokollierung sicherheitsrelevanter Ereignisse (erfolgreiche und/oder fehlgeschlagene Versuche) zur Verfügung.

Diese sind jedoch bei vollständiger Nutzung in der Lage, das System weitgehend mit der Protokollierung auszulasten und große Mengen an Speicherplatz zu verbrauchen. Bei der Definition der Protokolleinstellungen ist das Gesamtkonzept der Systemüberwachung (siehe M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 ) zu berücksichtigen.

Einsatzszenarien-spezifische Aspekte

Je nach Einsatzszenario entstehen weitere, für dieses Szenario spezifische Aspekte, die bei der Planung berücksichtigt sein müssen. Insbesondere durch die Verwendung von Peer-to-Peer entstehen neue Sicherheitsaspekte, die durch die Sicherheitsrichtlinien abgedeckt sein müssen (siehe auch M 5.152 Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste ). Auf die Verwendung von Peer-to-Peer sollte nach Möglichkeit verzichtet werden, da es die Sicherheit des Client-Server-Netzes beeinträchtigen können.

Die für den mobilen Betrieb eines Windows-Client-Systems zu berücksichtigenden Aspekte werden in M 2.328 Einsatz von Windows XP auf mobilen Rechnern bzw. M 2.442 Einsatz von Client-Betriebssytemen ab Windows Vista auf mobilen Systemen beschrieben.

Ein weiteres Beispiel für szenariospezifische Sicherheitsaspekte ist die Verwendung von EFS, das zusätzliche sicherheitsrelevante Anforderungen aufwirft (siehe M 4.147 Sichere Nutzung von EFS unter Windows ). Analog ist ab Windows Vista die mögliche Verwendung der BitLocker Festplattenverschlüsselung zu berücksichtigen (siehe M 4.337 Einsatz von BitLocker Drive Encryption ).

Microsoft Baseline Security Analyzer (MBSA)

Der Microsoft Baseline Security Analyzer (MBSA) ist ein kostenloses Tool, das eine Windows-Installation auf typische Sicherheitsprobleme hin untersucht. Der Einsatz des MBSA kann die Gestaltung einer sicheren Windows-Konfiguration daher unterstützen, indem er auf den entsprechenden Systemen initial und ggf. regelmäßig ausgeführt wird.

Prüffragen:

  • Orientiert sich die Sicherheitsrichtlinie zu Windows-Clients ab Windows XP an den geltenden Sicherheitsrichtlinien des Unternehmens bzw. der Behörde?

  • Wurde allen Benutzern des Client-Netzes die Sicherheitsrichtlinie zum mobilen Einsatz von Windows im erforderlichen Umfang bekannt gegeben?

  • Werden die Verantwortlichkeiten für den Betrieb der Windows-Clients in der Sicherheitsrichtlinie geregelt?

  • Beinhaltet die Sicherheitsrichtlinie ein Berechtigungskonzept, in dem Rechte sowohl normaler als auch administrativer Benutzer geregelt werden?

  • Wird der Einsatz von Apps aus dem Windows Store auf Clients ab Windows 8 berücksichtigt?

  • Ist der Einsatz der User Account Control (UAC) im Berechtigungskonzept geregelt?

  • Werden in der Sicherheitsrichtlinie auch Anforderungen an die Sicherheit bei der Datenübertragung geregelt?

  • Liegen der Planung der Sicherheitsrichtlinien die unterschiedlichen Einsatzszenarien der Windows-Clients zugrunde?

Stand: 15. EL Stand 2016