Bundesamt für Sicherheit in der Informationstechnik

M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Vorgesetzte

Die Sicherheit der Daten, die auf Windows-Systemen gespeichert sind, hängt zu einem großen Teil vom korrekten Umgang der Benutzer mit den Sicherheitsmechanismen der Windows-Systeme ab. Um diese effektiv nutzen zu können, sollten Benutzer von Windows-Systemen entsprechend geschult werden, dazu ist ein Konzept notwendig.

Benutzersicht auf Sicherheitsmechanismen

Beim Umgang mit Windows-Systemen kann dem Benutzer ein großer Teil der sicherheitsrelevanten Einstellungen durch entsprechende Vorarbeiten und Voreinstellungen des Administrators abgenommen werden. Um einheitliche und überprüfbare Systemkonfigurationen zu erhalten, ist ein solches Vorgehen unabdingbar (siehe M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ).

Einige sicherheitsrelevante Einstellungen können allerdings vom Benutzer selbst vorgenommen werden. Dazu gehören die Zugriffsrechte auf die eigenen Dateien und Verzeichnisse. Die Zugriffsrechte können einzelnen Benutzern oder Benutzergruppen eingeräumt oder verweigert werden. Widersprechen sich die für einen Benutzer konfigurierten Zugriffsrechte wird der Zugriff verweigert. Ein Beispiel dafür wäre, wenn der Benutzer Mitglied der beiden Gruppen A und B ist, wobei der Zugriff für Gruppe A zugelassen ist, während er für Gruppe B verweigert wird.. Generell gilt, dass die Zugriffsrechte auf die eigenen Dateien eines Benutzers vom Administrator voreingestellt und automatisch auf neue Dateien und Ordner übertragen werden. Da Benutzer jedoch in der Regel die Möglichkeit besitzen, die Zugriffsrechte zu verändern, ist es notwendig, dass jeder Benutzer entsprechend geschult wird (siehe dazu auch M 4.149 Datei- und Freigabeberechtigungen unter Windows ). In den Richtlinien der Institution sollte festgelegt werden, welche Benutzer welche Einstellungen vornehmen dürfen oder ob die Änderung der Zugriffsrechte durch den Benutzer generell verboten wird. Empfehlenswert ist hier die Regelung, dass zumindest Benutzer mobiler Clients im Umgang mit der Vergabe der Zugriffsrechte an ihren Daten geschult werden. Für Benutzer mit stationären Clients kann dies als optional vereinbart werden.

Ein weiterer Aspekt, auf den eine Benutzerschulung eingehen muss, ist die Verwendung des verschlüsselnden Dateisystems EFS (Encrypting File System). Neben der Vermeidung von Fallstricken bei der Benutzung des EFS sollte hier vor allem vermittelt werden, in welchem Ausmaß EFS die Vertraulichkeit von Daten in Dateien schützen kann, und wo dieser Schutz aufhört (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows ). Bei Einsatz von Windows Vista und Windows 7 sollte auf die Möglichkeiten eingegangen werden, die ein gleichzeitiger Einsatz von BitLocker zur Festplattenverschlüsselung und EFS bieten. Die Benutzer sollten auf jeden Fall darin geschult werden, wie sie die Schlüsselinformationen zu verwalten haben, um die Verfügbarkeit der Daten stets zu gewährleisten.

Bei der Verwendung von BitLocker zur Festplattenverschlüsselung (siehe M 4.337 Einsatz von BitLocker Drive Encryption ) muss das dadurch erreichbare Schutzniveau der Vertraulichkeit in der Benutzerschulung behandelt werden. Des Weiteren sollte den Benutzern das gewählte Verfahren zur Authentisierung des Benutzers gegenüber BitLocker beim Start von Windows Vista und Windows 7 sowie die Bedeutung des Wiederherstellungskennworts und die Grenzen der Schutzwirkung in der Schulung erläutert werden.

Windows Vista und Windows 7 bieten verschiedene Methoden der Datensicherung an (siehe M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows-Systemen ).

Dem Benutzer muss erläutert werden, welche Methoden der Datensicherung von ihm angewandt werden sollten. Weiterhin muss dem Benutzer bekannt sein, wo sich gesicherte Daten befinden, wie er bei Bedarf auf diese zugreifen kann und was er zur Wiederherstellung seiner Daten unternehmen muss.

Schulungsinhalte

Die folgenden Stichpunkte fassen notwendige Schulungsinhalte für den sicheren Umgang von Benutzern mit Windows-Systemen zusammen:

Verwendung von Zugriffsrechten im NTFS Dateisystem

  • Schutz von Dateien durch Zugriffsrechte
  • Vererbung von Zugriffsrechten
  • Kopieren und Verschieben von Dateien
  • Übergabe einer Datei an einen neuen Besitzer
  • Sensibilisierung für Beschränkungen des Schutzes von Dateien durch Zugriffsrechte
  • Benutzer mit administrativen Rechten können Zugriffsrechte umgehen.
  • Bei direktem Zugriff auf die Hardware ( z. B. nach Ausbau einer Festplatte) lassen sich Zugriffsrechte umgehen.
  • Dateien sind beim Transport über das Netz nicht geschützt.
  • Bedeutung, Funktionsweise und Bedienung der Benutzerkontensteuerung (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ) falls Benutzer damit in Berührung kommen.

Einsatz der integrierten Windows Firewall

  • Funktionsweise und Schutzwirkung

Benutzung von EFS (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows )

  • Nutzen von EFS ( EFS bietet einen zusätzlichen Schutz der Vertraulichkeit von Dateien)
  • Bedienung von EFS
  • Problematik des "nachträglichen Verschlüsselns"
  • Geeignete Passwort-Auswahl (Passwortqualität ist wesentlich für die Effektivität von EFS )
  • Verwendung eines zusätzlichen Startpasswortes mittels syskey (wesentlich bei Verwendung lokaler Benutzerkonten)
  • Sensibilisierung für Beschränkungen des Schutzes durch EFS
  • Benutzer mit administrativen Rechten können die Verschlüsselung umgehen.
  • Verschlüsselt gespeicherte Dateien sind beim Transport über das Netz nicht geschützt es sei denn, EFS wird mit WebDAV verwendet.
  • Einsatz von EFS ergänzend zu BitLocker unter Windows Vista und Windows 7, falls eine Verschlüsselung im laufenden System erforderlich ist.
  • Einsatz von BitLocker unter Windows Vista und Windows 7
  • Verschlüsselte und nicht verschlüsselte Partitionen
  • Schutzwirkung durch BitLocker besteht nur im ausgeschalteten Zustand (Offline Verschlüsselung).
  • Angemessener Umgang mit den Authentisierungsmitteln ( USB -Stick und/oder PIN )
  • Einsatzzweck sowie angemessener Umgang mit dem Wiederherstellungskennwort, wenn dies dem Benutzer zugänglich sein soll
  • Reaktion auf BitLocker-Fehlermeldungen, insbesondere in Bezug zu erkannten Integritätsverletzungen

Sonstige Sicherheitshinweise

Prüffragen:

  • Existiert ein Konzept für die Benutzerschulung zur Sicherheit von Windows Client-Betriebssystemen?

  • Werden die Benutzer in die Vergabe von Zugriffsrechten auf eigene Dateien eingewiesen?

  • Werden die Benutzer auf die Sicherheitsmechanismen (z. B. Verschlüsselung mit EFS und BitLocker) der verwendeten Werkzeuge hingewiesen und in deren Nutzung geschult?

  • Werden die Benutzer auf die Methoden zur Datensicherung hingewiesen und geschult?

  • Werden die Benutzer in der Benutzung der Windows Firewall geschult?

Stand: 13. EL Stand 2013