Bundesamt für Sicherheit in der Informationstechnik

M 2.442 Einsatz von Client-Betriebssytemen ab Windows Vista auf mobilen Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Der Einsatz eines mobilen Rechners ist mit typischen Gefährdungen verbunden, die sich aus dem mobilen Einsatz ergeben. Beim Einsatz von Windows ab Windows Vista auf mobilen Rechnern ist, wie für alle mobilen Rechner, der Baustein B 3.203 Laptop zu beachten. Für die Bereiche Datenverschlüsselung, Datensicherung und lokal installierte Firewall stellen Clients ab Windows Vista eigene Mechanismen zur Verfügung. Zu diesen werden nachfolgend Empfehlungen ausgesprochen.

Windows Phone 8 ist ein Betriebssystem für Smartphones. Es basiert auf dem Kernel von Windows 8 und beinhaltet somit auch Sicherheitsmechanismen von Windows 8 (z.B. Secure Boot, BitLocker). Die im Folgenden beschriebenen Maßnahmen sind damit z. T. auch für Geräte mit Windows Phone 8 anwendbar.

UEFI Secure Boot

Einige Sicherheitsfunktionen des Betriebssystems können umgangen werden, wenn es einem Angreifer gelingt, auf dem System ein anderes Betriebssystem zu starten, das unter seiner Kontrolle steht. Hierzu kommen oft Live-Systeme zum Einsatz, die von mobilen Datenträgern gebootet werden. Mit "Secure Boot" verfügt der BIOS -Nachfolger UEFI über eine Funktion, die das Booten unautorisierter Betriebssysteme verhindert und beim Booten das eingerichtete Betriebssystem auf Manipulationen untersucht. Auf mobilen Systemen sollte Secure Boot zwingend zum Einsatz kommen. Nähere Ausführungen hierzu finden sich in Maßnahme M 4.49 Absicherung des Boot-Vorgangs für ein Windows-System .

Datenverschlüsselung

Mobile Rechner befinden sich häufig in Umgebungen, die ein deutlich niedrigeres Sicherheitsniveau als geschützte Büroumgebungen bieten. Daher sollten die auf dem mobilen Rechner befindlichen schützenswerten Daten verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme ). Neben einer Reihe von Drittprodukten können zur Verschlüsselung auch die in Windows Vista und Windows 7 integrierten Mechanismen eingesetzt werden:

  • EFS (Encrypting File System) kann zur Verschlüsselung einzelner Dateien und/oder Verzeichnisse eingesetzt werden (siehe M 4.147 Sichere Nutzung von EFS unter Windows ).
  • Verschlüsselung der Offline-Dateien.

    Offline-Dateien sind im Grunde Kopien von Dokumenten, die sich auf einer Freigabe im Netz befinden. Sie werden auf dem lokalen Rechner in einer Datenbank gespeichert, so dass der Zugriff auf die Dokumente auch dann erhalten bleibt, wenn die Freigabe im Netz nicht erreichbar ist. Die Möglichkeit, diese Offline-Dateien zu verschlüsseln, wurde unter Windows XP eingeführt.

    Der gesamte Speicher für Offline-Dateien, der Dateien aller Benutzer beinhaltet, wird mit einem computerspezifischen Schlüssel verschlüsselt. Die Verschlüsselung ist transparent für den Benutzer und kann nur von Administratoren aktiviert und deaktiviert werden.

Der zusätzliche Einsatz des EFS empfiehlt sich, wenn die zu schützenden Daten auf dem mobilen Rechner auch dann verschlüsselt sein sollen, wenn der mobile Rechner ab Windows Vista eingeschaltet ist. Wenn an den Dateien oder Laufwerken, die mittels EFS geschützt sind, gearbeitet wird, liegen auch hier die Daten unverschlüsselt vor.

Unter Windows Vista ohne SP 1 empfiehlt sich der Einsatz der Verschlüsselung der Offline-Dateien , wenn der lokale Ordner für Offline-Dateien auf dem mobilen Rechner von der Bootpartition in eine andere Partition verschoben worden ist.

Die Strategie zum Schutz der auf einem mobilen Rechner befindlichen Daten ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.

Datensicherung

Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. Vertiefende Informationen hierzu sind in M 6.32 Regelmäßige Datensicherung zu finden.

Seit Windows Vista können einzelne Dateien gesichert oder komplette PC -Sicherungsabbilder (Images) von Partitionen erstellt werden (siehe M 6.78 Datensicherung unter Windows Clients ).

Wenn Netzlaufwerke zur Aufnahme der Datensicherung konfiguriert sind, kann eine Sicherung nur erfolgen, wenn die mobilen Rechner mit dem Backup-Server untereinander vernetzt sind. Die Zeiten zur Datensicherung müssen daher entsprechend geplant werden.

Für die Datensicherung können Wechselmedien eingesetzt werden. Wenn dies beabsichtigt wird, müssen die entsprechenden Zugriffe auf die Wechselmedien zur Datensicherung und zur Datenrücksicherung möglich sein. Dies muss bei der technischen Durchsetzung von Zugriffsbeschränkungen auf Wechselmedien berücksichtigt werden (siehe M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista ).

Die Strategie zur Datensicherung eines mobilen Rechners (Sicherung einzelner Dateien, Windows Complete PC -Sicherungsabbild oder Drittprodukt sowie Sicherungszeiten und -orte) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen.

Lokal installierte Firewall

Im Gegensatz zu stationären institutionssinternen Desktops besteht bei mobilen Rechnern die Möglichkeit, dass sie direkt an das Internet angeschlossen werden. Der Schutz durch eine lokal installierte Firewall ist in diesem Fall unabdingbar.

Clients ab Windows Vista bieten mit der Windows Firewall eine Kombination aus "Personal Firewall" und IPSec -Gateway. Die Firewall kann über das Windows Sicherheitscenter konfiguriert werden. Seit Windows 7 kann die Firewall auch im Wartungscenter unter der Rubrik Sicherheit konfiguriert werden. Für eine deutlich feiner granulierte Konfigurationsmöglichkeit der Windows Firewall steht seit Windows Vista ein Snap-in für die Managementkonsole (mmc.exe) zur Verfügung. Ein Snap-in ist eine Ergänzungskomponente einer Konsole für bestimmte administrative Aufgaben.

Die Windows Firewall kann neben eingehenden auch ausgehenden Datenverkehr kontrollieren. In der Standardeinstellung wird der eingehende Datenverkehr bis auf die konfigurierten Ausnahmen blockiert (Whitelist-Ansatz) und der ausgehende Datenverkehr bis auf die konfigurierten Ausnahmen durchgelassen (Blacklist-Ansatz).

Die Standardeinstellung der Windows Firewall hängt von der zugrunde liegenden Windows Version ab. Unter Windows Vista und Windows 7 Enterprise sowie Windows Vista Business und Windows 7 Professional sind an der Windows Firewall nur wenige Ports geöffnet. Unter Windows Vista sowie Windows 7 Ultimate dagegen sind zahlreiche lokale Windows-Dienste von außen erreichbar.

Die Windows Firewall nutzt den Windows Dienst "Network Location Awareness" ( NLA ). Für jede Netzumgebung (auch Netztyp genannt) kann der Administrator eigene Richtlinien für die Windows Vista beziehungsweise Windows 7 Firewall konfigurieren. Dabei unterscheiden Clients ab Windows Vista die drei Netzumgebungen Domäne (bei Windows 7 Domänennetzwerk), Öffentlich und Privat. Befindet sich ein Client erstmalig in einem Netz, dann erfragt Windows ab Windows Vista vom Benutzer, welche Netzumgebung gerade vorherrscht. Hierzu benötigt der Benutzer administrative Berechtigungen. Liegen diese nicht vor, dann wählt das Betriebssystem ab Windows Vista die Klassifikation Öffentlich. Ist das Netz eine Domäne mit dem Windows Client als Mitglied, dann wählt Windows automatisch die Netzumgebung Domäne/Domänennetzwerk.

Einmal klassifizierte Netze werden vom NLA -Dienst anhand verschiedener Kriterien wie der MAC-Adresse des Default-Gateways wiedererkannt. Nur ein Benutzer mit administrativen Berechtigungen kann eine andere Klassifikation vornehmen sowie das Verhalten der Windows Firewall für eine bestimmte Klassifikation ändern.

Das Standardverhalten der Windows Firewall gibt folgende Einstellungen für die Netzumgebungen Domäne, Öffentlich und Privat vor.

Für die Netzumgebung Domäne gilt:

  • Die Windows Firewall wird aktiviert
  • Die Windows Firewall bezieht die Richtlinieneinstellungen aus der Active Directory-Domäne.
  • Die Konfiguration der Netzerkennung und der Datei- und Druckerfreigabe basiert auf den aus der Active Directory-Domäne herunter geladenen Gruppenrichtlinien.

Für die Netzumgebung Öffentlich gilt:

  • Die Windows Firewall wird aktiviert.
  • Die Netzerkennung ( NLA ) wird deaktiviert.
  • Jegliche Datei- und Druckerfreigabe wird deaktiviert, inklusive der Freigabe von Wechselmedien.

Für die Netzumgebung Privat gilt:

  • Die Windows Firewall wird aktiviert.
  • Die Netzerkennung ( NLA ) wird aktiviert.
  • Jegliche Datei- und Druckerfreigabe wird deaktiviert, inklusive der Freigabe von Medien

Aller Wahrscheinlichkeit nach werden mobile Rechner in unterschiedlichen Umgebungen einen Zugang zu einem Netz haben. Typische Netzumgebungen sind das LAN der eigenen Institution, ein LAN am Heimarbeitsplatz und ein Internetzugang an einem öffentlichen WLAN -Hotspot. Clients ab Windows Vista unterstützen die automatische Erkennung einer Netzumgebung und wenden unterschiedliche Firewall-Regelsätze in Abhängigkeit von der aktuellen Netzumgebung an. Soll der Benutzer diese Eigenschaft nutzen können, muss er zumindest beim ersten Zugang zu einem Netz über administrative Rechte verfügen. Der Benutzer muss dann mindestens in der korrekten Zuweisung einer Netzumgebung und gegebenenfalls auch in der Anpassung von Regelsätzen geschult werden.

Die Strategie zum Einsatz der lokalen Firewall auf einem mobilen Rechner (Netzumgebungs-abhängige Regelsätze, Möglichkeit der Zuordnung der Netzumgebung durch einen Benutzer) ist nach Bedarf anhand der konkreten Umstände und im Einzelfall festzulegen. Dabei ist zu prüfen, ob die windowseigene Firewall auch in komplexeren Szenarien, wie im Zusammenspiel mit einem Virtual Private Network ( VPN ), die benötigte Schutzwirkung entfaltet oder ob auf ein Produkt eines Drittherstellers zurückgegriffen werden muss.

Prüffragen:

  • Ist der Boot-Vorgang bei UEFI-basierten mobilen IT-Systemen mit Secure Boot abgesichert?

  • Werden die Daten auf einem mobilen Client ab Windows Vista durch Verschlüsselung und Datensicherung geschützt?

  • Wird die Strategie zum Einsatz der lokalen Firewall auf einem mobilen Rechner nach Bedarf anhand der konkreten Umstände und im Einzelfall festgelegt?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK