Bundesamt für Sicherheit in der Informationstechnik

M 4.75 Schutz der Registry unter Windows-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In der Registry eines Windows-Systems werden alle wichtigen Konfigurations- und Initialisierungsinformationen gespeichert. Dort wird unter anderem die SAM-Datenbank verwaltet, die die Benutzer- und Computerkonten enthält. Dies gilt insbesondere für Rechner, die keiner Domäne angeschlossen sind, oder Domänen-Rechner, auf denen auch lokale Konten benutzt werden.

Die Registry eines Windows-Systems besteht aus mehreren Dateien, die sich in dem Verzeichnis %SystemRoot%\SYSTEM32\Config befinden. Aus diesem Grund sollten die Zugriffsrechte auf dieses Verzeichnis und die darin enthaltenen Dateien so gesetzt werden, wie dies in M 4.149 Datei- und Freigabeberechtigungen unter Windows und M 4.247 Restriktive Berechtigungsvergabe bei Client-Betriebssystemen ab Windows Vista vorgeschlagen wird.

Zur Erhöhung des Schutzes sollten unmittelbar nach der Installation von Windows-Betriebssystemen die folgenden sicherheitsrelevanten Teile der Registry durch expliziten Eintrag von Zugriffsrechten mit Hilfe des Registry-Editors besonders geschützt werden. Dies erfolgt mit Hilfe der Programme regedt32.exe oder regedit.exe im Windows-Systemverzeichnis %SystemRoot%\SYSTEM32. Die Einstellungen sollten so erfolgen, dass die Gruppe Jeder für diese Teile der Registry nur über die Zugriffsrechte Wert einsehen, Teilschlüssel auflisten, Benachrichtigen und Zugriff lesen verfügt:

  • Im Bereich HKEY_LOCAL_MACHINE gilt das für folgende Schlüssel:
    \Software\Windows3.1MigrationStatus (mit allen Unterschlüsseln)
    \Software\Microsoft\RPC (mit allen Unterschlüsseln)
    \Software\Microsoft\Windows NT\CurrentVersion
  • Unter dem Schlüssel \Software\Microsoft\Windows NT\CurrentVersion\ sind das diese Einträge:
    + Profile List+ AeDebug
    + Compatibility
    + Drivers
    + Embedding
    + Fonts
    + FontSubstitutes
    + GRE_Initialize
    + MCI
    + MCI Extensions
    + Port (mit allen Unterschlüsseln)
    + WOW (mit allen Unterschlüsseln)
  • und im Bereich HKEY_CLASSES_ROOT ist folgender Bereich zu schützen:
    \HKEY_CLASSES_ROOT (mit allen Unterschlüsseln)

Die entsprechenden Einstellungen für Zugriffsrechte auf die Registry unter Windows XP, Vista und Windows 7 sind in M 4.247 Restriktive Berechtigungsvergabe bei Client-Betriebssystemen ab Windows Vista zu finden.

In einer Windows Server 2003 Domäne sollte der Zugriff auf die Schlüssel HKEY_CLASSES_ROOT, HKEY_LOCAL_MACHINE und HKEY_USERS durch Gruppenrichtlinien über das Active Directory konfiguriert werden.

Dabei ist sorgfältig vorzugehen, da fehlerhafte Einstellungen in der Registry dazu führen können, dass das System nicht mehr lauffähig ist und nach dem nächsten Starten eventuell nicht mehr bootet. Die hier genannten Einstellungen sollten daher zunächst auf ein Testsystem angewendet und auf ihre Lauffähigkeit in der aktuellen Umgebung kritisch geprüft werden, ehe sie allgemein eingesetzt werden.

Netzzugriff auf die Registry

Sofern diese Funktionalität nicht gebraucht wird, sollte auch der Zugriff über das Netz auf die Registry gesperrt werden. Dies ist ab Windows NT 4.0 möglich, indem der Eintrag winreg im Schlüssel /System/CurrentControlSet/Control/SecurePipeServers im Bereich HKEY_LOCAL_MACHINE entsprechend konfiguriert wird.

Prüffragen:

  • Wurde der Zugriff durch die Gruppe Jeder auf die Registry eingeschränkt?

  • Werden Änderungen an der Registry vorher auf einem Testsystem ausführlich getestet?

Stand: 13. EL Stand 2013