Bundesamt für Sicherheit in der Informationstechnik

M 4.49 Absicherung des Boot-Vorgangs für ein Windows-System

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Windows kann nur dann sicher betrieben werden, wenn vom Systemstart an gewährleistet ist, dass eine geschlossene Sicherheitsumgebung aufgebaut wird. Es dürfen keine Wege an den Sicherheitsfunktionen des Betriebssystems vorbei bestehen. Dies erfordert, dass sich alle durch Windows schützbaren Ressourcen unter der Kontrolle des Betriebssystems befinden. Außerdem darf es keine Möglichkeit geben, fremde Systeme oder offene Systemumgebungen von Disketten-, CD-ROM-Laufwerken oder USB-Speichermedien zu starten, die den durch Windows gebotenen Schutz unterlaufen können. Dazu sind die folgenden Aspekte zu beachten:

  • Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem NTFS formatiert sein. Partitionen, die mit den Dateisystemen FAT12, FAT16, FAT32, VFAT, oder HPFS formatiert sind, können nicht gegen unbefugte Zugriffe der Benutzer geschützt werden. Dies bedeutet einerseits, dass die auf ihnen abgelegten Daten beliebigen Zugriffen aller Benutzer ausgesetzt sind. Andererseits können diese Partitionen zum unkontrollierten Datenaustausch zwischen Benutzern missbraucht werden.
  • Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter NT-basierten Windows-Systemen nur mit dem Dateisystem FAT oder VFAT formatiert werden können. Aus diesem Grund sind Diskettenlaufwerke an allen Rechnern, die nicht unter strikter physischer Kontrolle stehen, grundsätzlich zu sperren (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern). Auf NT-basierten Windows-Clients können die Diskettenlaufwerke auch durch Deaktivieren über die Systemsteuerungsoption Geräte bzw. Computerverwaltung | Geräte-Manager, Gerät Floppy, für unprivilegierte Benutzer außer Betrieb gesetzt werden. Hiervon sollte auf Clients ab Windows Vista abgesehen werden (M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien ab Windows Vista).
  • Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist es möglich, von einem vorhandenen CD/DVD-Laufwerk zu booten, so besteht die Gefahr, dass der Rechner mit einem anderen Betriebssystem als Windows gestartet wird. Die gleiche Gefährdung ergibt sich, wenn der Rechner von einem USB-Speichermedium gestartet werden kann oder auf einer lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann der Anwender mit verschiedenen Programmen die Sicherheitsmechanismen von Windows umgehen. Inzwischen gibt es mehrere Programme, mit denen sich Dateien, die unter NTFS geschützt sind, von einer DOS-Umgebung oder einer Linux-Umgebung lesen und zum Teil auch ändern lassen. Sowohl unter dem Betriebssystem MS-DOS als auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS gesetzten Sicherheitsattribute ignoriert.

    Der Anwender hat daher von MS-DOS bzw. von Linux aus Zugriff auf alle Dateien des Rechners. Aus diesem Grund wird empfohlen, neben Windows keine weiteren Betriebssysteme auf lokalen Festplatten zu installieren.
  • Clients ab Windows 8 (32- und 64-Bit) unterstützen auf Geräten mit dem Unified Extensible Firmware Interface (UEFI) die Absicherung des Boot-Vorgangs durch UEFI Secure Boot. Hierdurch wird die Integrität des Bootloaders vor dem Betriebssystemstart überprüft und ggf. der Start von Schadsoftware verhindert. Auf Systemen mit UEFI Firmware muss UEFI Secure Boot zur Absicherung des Betriebssystemstarts verwendet werden. Die vorinstallierten Schlüssel sollten vorher überprüft werden. Bei Vorfinden nicht vertrauenswürdiger Schlüssel muss nach einer Risikoanalyse die Entscheidung getroffen werden, ob das Schlüsselmanagement fur UEFI Secure Boot selbst übernommen werden muss. Diese Entscheidung sollte dokumentiert werden.
  • Im Rahmen einer Neuinstallation von Windows besteht die Möglichkeit, die bestehende Installation des Betriebssystems zu aktualisieren oder eine neue Version parallel zu installieren. Bei der parallelen Installation wird die bestehende Dateistruktur nicht verändert, doch wird das vordefinierte Administratorkonto mit einem neuen Passwort neu angelegt. Dieser "neue" Administrator hat vollen Zugriff auf alle Ressourcen des Rechners und damit auch auf alle Daten und Programme.

    Damit im Bootmenü des Betriebssystems keine alternativen Betriebssysteme eingefügt werden können, dürfen Benutzer nicht in der Lage sein, die Datei boot.ini im Wurzelverzeichnis der ersten Platte zu verändern. Um das Booten eines alternativen Betriebssystems über einen Bootmanager auf einem externen Medium wie USB-Stick oder CD/DVD zu unterbinden, darf die Bootreihenfolge nicht verändert werden können. Zum Schutz der Bootreihenfolge sollte ein BIOS-Passwort gesetzt werden. (siehe M 4.149 Datei- und Freigabeberechtigungen unter Windows und M 4.247 Restriktive Berechtigungsvergabe bei Client-Betriebssystemen ab Windows Vista).
  • Mit Hilfe der Installationsprogramme kann für Windows 2000 auch eine Notfalldiskette (siehe M 6.77 Erstellung von Rettungsdisketten für Windows 2000) erzeugt und mit dieser eine Systemrekonstruktion durchgeführt werden. Dabei wird der Zugriffsschutz der NTFS-Partition des Betriebssystems aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme, eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten so zu verwahren, dass sie gegen unbefugten Zugriff geschützt sind. Schutz gegen diese spezifische Bedrohung bietet auch die Sicherung der Diskettenlaufwerke (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern) und die Absicherung des Boot-Vorgangs durch entsprechende Einstellungen im BIOS (siehe oben).
  • Für die Systemrekonstruktion wird auf Clients ab Windows XP die Wiederherstellungskonsole (Recovery Console) verwendet. Der Weg über die Notfalldiskette steht nicht mehr zur Verfügung. Die Wiederherstellungskonsole kann entweder von der Installations-CD/-DVD oder den Installations-Disketten gestartet werden. Sie lässt sich auch in das System integrieren, so dass sie beim Systemstart als eine der Boot-Optionen angeboten wird.
  • Da die Wiederherstellungskonsole ein mächtiges Werkzeug ist, muss ihr Einsatz durch die entsprechende Einstellung des BIOS und im Allgemeinen durch die Definition der Wiederherstellungskonsole-Richtlinien (siehe M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen) eingeschränkt werden.

Prüffragen:

  • Wird der Start des Betriebssystems bei UEFI-basierten Geräten mittels UEFI Secure Boot abgesichert?

  • Sind die vorhandenen Schlüssel für UEFI Secure Boot kontrolliert und hinsichtlich Vertrauenswürdigkeit bewertet worden?

  • Sind alle vorhandenen Festplattenpartitionen mit dem Dateisystem NTFS formatiert?

  • Ist sichergestellt, dass Benutzer den Computer nicht von Disketten-, CD-ROM -Laufwerken oder USB -Speichermedien booten können?

  • Ist die Datei boot.ini im Wurzelverzeichnis der ersten Platte vor Veränderungen geschützt?

  • Werden die vorhandenen Installationsprogramme, sowie eventuell vorhandene Notfalldisketten und Installationsmedien vor unberechtigtem Zugriff geschützt?

Stand: 15. EL Stand 2016