Bundesamt für Sicherheit in der Informationstechnik

M 2.328 Einsatz von Windows XP auf mobilen Rechnern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Beim Einsatz von Windows XP auf mobilen Rechnern ist wie für alle anderen mobilen PCs der Baustein B 3.203 Laptop zu beachten.

Datenverschlüsselung

Mobile Computer befinden sich häufig in Umgebungen, die deutlich niedrigere Sicherheit als geschützte Büroumgebungen bieten. Daher sollten die auf dem mobilen Rechner befindlichen schützenswerten Daten verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme . Neben einer Reihe von Drittprodukten können zur Verschlüsselung auch die integrierten Windows XP Mechanismen eingesetzt werden:

  • Das verschlüsselnde Dateisystem ( EFS , Encrypting File System),
  • Verschlüsselung der Offlinedateien.

Informationen zur sicheren Nutzung von EFS sind in der Maßnahme M 4.147 Sichere Nutzung von EFS unter Windows zu finden.

Das Konzept der Offlinedateien wurde mit Windows 2000 eingeführt. Offlinedateien sind im Grunde genommen Kopien von Dokumenten, die sich auf einer Netzwerkfreigabe befinden. Sie werden auf dem lokalen Computer in einer Datenbank gespeichert, so dass der Zugriff auf Dokumente auch dann erhalten bleibt, wenn die Netzwerkfreigabe nicht erreichbar ist.

Die Möglichkeit, diese Offlinedateien zu verschlüsseln, wurde unter Windows XP eingeführt. Der gesamte Speicher für Offlinedateien, der Dateien aller Benutzer beinhaltet, wird mit einem computerspezifischen Schlüssel verschlüsselt. Die Verschlüsselung ist transparent für Benutzer und kann nur von Administratoren aktiviert bzw. deaktiviert werden. Die Aktivierung kann durch die Ordner-Eigenschaften im Windows Explorer unter Extras | Ordneroptionen | Offlinedateien | Offlinedateien verschlüsseln, um Daten zu schützen oder in Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | Netzwerk | Offlinedateien | Offlinedateicache verschlüsseln erfolgen. Die Aktivierung der Offlinedateien-Verschlüsselung empfiehlt sich insbesondere für den Fall, wenn zu synchronisierende Originaldokumente verschlüsselt sind und die lokalen Offline-Kopien in entschlüsselter Form vorliegen können.

Die Strategie zum Schutz der auf einem mobilen Rechner befindlichen Daten (Windows XP EFS, Offlinedateien-Verschlüsselung oder Verschlüsselung mit einem Drittprodukt) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.

Lokale Firewall

Im Gegensatz zu stationären organisationsinternen Desktops, besteht bei mobilen Clients die Möglichkeit, dass sie direkt an das Internet angeschlossen werden. Schutz durch eine lokal installierte Firewall ist in diesem Fall unabdingbar.

Mit Windows XP wurde eine neue Funktionalität eingeführt - die Internet Connection Firewall (ICF), die mit dem Service Pack 2 in Windows-Firewall umbenannt wurde. Die Windows-Firewall ist ein zustandsbehafteter Paketfilter, der jedes TCP/IP oder UDP Paket analysiert und entsprechend der Konfiguration abarbeitet.

Windows XP Service Pack 2 enthält unter anderem folgende Verbesserungen für die ICF/Windows-Firewall:

  • Standardmäßig aktiviert für alle Interfaces
  • Schutz schon beim Booten
  • Zentrale Konfiguration über GPOs
  • Quell-Adresseneinschränkung für Port
  • Kommandozeilenunterstützung
  • Lock-Down Modus
  • Ausnahmelisten für Applikationen
  • Mehrere Policy Profile möglich
  • RPC Unterstützung
  • Rücksetzen auf Herstellerkonfiguration
  • Unterstützung der unbeaufsichtigten Installation

Die Windows-Firewall filtert ausschließlich eingehende Verbindungen. Ausgehende Pakete werden hingegen keinen Restriktionen unterworfen. Dies bedeutet, dass z. B. eine Einschränkung der zugreifbaren Internetserver mit der Windows-Firewall nicht möglich ist. Programme, die für den Internet-Zugriff berechtigt sein sollen, können nicht festgelegt und kontrolliert werden. Daher bietet die Windows-Firewall keinen Schutz vor Trojanischen Pferden, die sich bereits auf dem Rechner befinden.

Der Einsatz von der ICF (vor Service Pack 2) im Unternehmens- oder Behördenkontext ist durch die fehlenden zentralen Konfigurationsmöglichkeiten nur schwer möglich. Durch die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Netzwerk | Netzwerkverbindungen | Verwendung des Internetverbindungsfirewalls im eigenen DNS -Domänennetzwerk nicht zulassen lässt sich die ICF lediglich komplett deaktivieren. Die Konfiguration der ICF erfolgt für jede Netzschnittstelle gesondert lokal auf dem Windows XP System.

Mit Einführung von Service Pack 2 besteht für Administratoren jetzt auch die Möglichkeit zur zentralen Verwaltung der Windows-Firewall durch Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | Netzwerk |Netzwerkverbindungen | Windows-Firewall. Bei der Konfiguration der Windows-Firewall können verschiedene Profile angelegt werden, so dass die Windows-Firewall je nach aktueller Umgebung (organisationsinternes Netz oder mobiler Einsatz) unterschiedlich konfiguriert werden kann. Denkbar ist an dieser Stelle, dass in einem organisationsinternen Netz gewisse Ausnahmen für den eingehenden Verkehr zugelassen werden (z. B. für den Fernzugriff auf den Rechner). Hingegen für den mobilen Einsatz sollte die Windows-Firewall keine Ausnahmen zulassen und den gesamten eingehenden Verkehr blockieren. Ist ein Domain Controller in der Reichweite des Clients, so wird das Domänenprofil angewandt, ansonsten wird das mobile Profil aktiviert.

Die Windows-Firewall wird nach der Installation des Service Packs 2 standardmäßig auf allen vorhandenen Netzschnittstellen aktiviert. Dies kann, je nach vorhandenem Kontext im jeweiligen Unternehmen oder in der Behörde, unter Umständen auch zu Problemen führen (siehe auch M 2.329 Einführung von Windows XP SP2 ).

Sowohl die ICF als auch die Windows-Firewall bieten die Möglichkeit der Protokollierung an. Diese ist nach der Firewall-Aktivierung standardmäßig deaktiviert und muss explizit aktiviert werden. Dabei ist die Aktivierung der Protokollierung getrennt für angenommene und verworfene Pakete möglich, so dass die Protokollierung den individuellen Bedürfnissen angepasst werden kann. Die Protokollierung erfolgt im vom W3C standardisierten Extended Log File Format. Ist die maximale Größe der Protokolldatei erreicht, so wird eine Kopie der Datei mit der angehängten Dateinamenerweiterung old erzeugt. Erreicht die Protokolldatei erneut die Maximalkapazität, werden die gesicherten Protokolldaten überschrieben und gehen verloren. Aus diesem Grund ist auf die ausreichende Größe der Protokolldatei zu achten. Da die Protokollierungsdaten lokal abgelegt werden, muss ein Mechanismus zum Sammeln der Daten realisiert werden. Windows XP stellt in dieser Hinsicht keinen eigenen Mechanismus zur Verfügung.

Sollen Windows XP Rechner vor Angriffen aus dem lokalen Netz oder Internet (mobiler Einsatz) geschützt werden, ist der Einsatz einer Personal Firewall eines Drittanbieters in der Regel empfehlenswerter, da diese meist einen erweiterten Funktionsumfang besitzt (z. B. Filtern ausgehender Verbindungen oder Einschränkung berechtigter Programme für den Internet-Zugriff).

Ist keine Personal Firewall installiert und aktiviert, so sollte bei einem mobilem IT-System zumindest die Windows-Firewall (bzw. ICF vor SP2) eingerichtet werden (siehe auch Maßnahmen M 5.91 Einsatz von Personal Firewalls für Clients ).

Prüffragen:

  • Werden die schützenswerten Daten auf allen mobilen Windows-Systemen verschlüsselt?

  • Wurde auf allen mobilen Windows-Systemen eine Personal Firewall oder die Windows-Firewall (bzw. ICF vor SP2) installiert bzw. aktiviert?

Stand: 13. EL Stand 2013