Bundesamt für Sicherheit in der Informationstechnik

M 4.146 Sicherer Betrieb von Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Nach der Installation und initialen Konfiguration gemäß den im Vorfeld geplanten Windows Konzepten und Sicherheitsrichtlinien erfolgt der Betrieb von Windows-Systemen in der Regel im Netzverbund. Die Sicherheit eines solchen Netzes hängt einerseits von den eingestellten Konfigurationsparametern ab. Sie wird andererseits auch maßgeblich durch die Art und Weise der Konfigurationsänderungen bestimmt, die im laufenden Betrieb erfolgen müssen. Dabei sind insbesondere Seiteneffekte zu berücksichtigen, die unter Umständen unbeabsichtigt zu Sicherheitslücken führen können.

Die Windows Client-Versionen bieten eine Reihe von Werkzeugen und Mechanismen an, die die Administratoren bei der Aufrechterhaltung der Sicherheit eines laufenden Systems unterstützen können:

  • Windows File Protection (WFP) beziehungsweise Windows Resource Protection (WRP) ist ein Systemmechanismus von Windows, der sicherstellt, dass Systemdateien unverändert im Originalzustand verbleiben. Der Mechanismus nutzt zwei Komponenten: Den so genannten SystemFileChecker (sfc.exe), der die Systemdateien, beispielsweise beim Systemstart, auf ihre Integrität hin überprüft und veränderte Dateien durch zwischengespeicherte Originaldateien ersetzt. Weiterhin existiert ein Überwachungsmechanismus, der Systemdateien nach dem Versuch eines schreibenden Zugriffs wieder durch die Originalversion ersetzt. Der Mechanismus kann auch so konfiguriert werden, dass die veränderte Datei nach einer entsprechenden Bestätigung beibehalten wird. Die Konfiguration erfolgt durch sfc.exe über die Kommandozeile:
  • Windows XP:
    • sfc /SCANNOW: Überprüft sofort alle geschützten Systemdateien.
    • sfc /SCANONCE: Überprüft alle geschützten Systemdateien einmal beim nächsten Neustart.
    • sfc /SCANBOOT: Überprüft alle geschützten Systemdateien bei jedem Start.
    • sfc /REVERT: Setzt den Mechanismus auf die Standardeinstellungen zurück.
    • sfc /PURGECACHE: Leert den Dateicache.
  • Ab Windows Vista:
    • sfc /SCANNOW: Überprüft die Integrität aller geschützten Systemdateien und repariert Dateien mit Problemen, falls nötig.
    • sfc /VERIFYONLY: Überprüft die Integrität aller geschützten Systemdateien. Es erfolgt keine Reparatur.
    • sfc /SCANFILE: Überprüft die Integrität der angegebenen Datei, und repariert die Datei, wenn Probleme gefunden werden. Es muss ein vollständiger Pfad angegeben werden.
    • sfc /VERIFYFILE: Überprüft die Integrität der angegebenen Datei. Es erfolgt keine Reparatur.
    • sfc /OFFBOOTDIR: Gibt den Speicherort des Offline-Startverzeichnisses für Offline-Reparaturen an.
    • sfc /OFFWINDIR: Gibt den Speicherort des Offline-Windows-Verzeichnisses für Offline-Reparaturen an.
      Um die oben genannten Schritte durchführen zu können, werden Administratorenrechte benötigt.
  • Mit Windows XP wurde die automatische Systemwiederherstellung eingeführt. Dieser Mechanismus kann zum Wiederherstellen eines früheren Systemzustands verwendet werden, wenn beispielsweise eine Softwareinstallation fehlschlägt und das System in einen instabilen Zustand gerät. In Abhängigkeit von lokalen Umständen und insbesondere von der implementierten Softwareverteilungs-Strategie kann der Einsatz der automatischen Systemwiederherstellung beispielsweise im Testumfeld vorteilhaft sein.
    Windows Vista bietet mit Systemsteuerung | Sichern und Wiederherstellen und der Option Den gesamten Computer anhand eines Abbildes von Windows Complete PC-Sicherung und Wiederherstellung wiederherstellen zwei Möglichkeiten der Wiederherstellung eines beschädigten Systems an. Ab Windows 7 sind diese Einstellungen (in der Desktop-Ansicht) unter folgendem Pfad zu finden: Systemsteuerung | Wiederherstellung | Systemwiederherstellung öffnen.
    Systemwiederherstellungen dürfen nur von verantwortlichen Administratoren durchgeführt werden. Die Konfiguration des wiederhergestellten Systems muss auf Konformität mit den geltenden Sicherheitsrichtlinien geprüft werden, um die Sicherheit des Informationsverbundes nicht zu gefährden. Es ist besonders darauf zu achten, dass keine kritischen Patches, Updates oder Einstellungen zurückgesetzt werden. Diese sind gegebenenfalls erneut zu installieren und zu konfigurieren.
  • Windows enthält mit dem Kommandozeilen-basierten Sicherheitseditor secedit.exe und dem MMC Snap-in Sicherheitskonfiguration und -analyse Werkzeuge zur Konfiguration der Sicherheitseinstellungen von Windows Client-Rechnern. Diese Sicherheitskonfiguration kann auch in einer Datenbank gespeichert werden, gegen die ein Rechner auf Konformität getestet werden kann. Dazu wird zunächst mit dem MMC Snap-in Sicherheitskonfiguration und -analyse eine Datenbank erzeugt (Vorgang/Datenbank öffnen, neuen oder existierenden Datenbanknamen eingeben). Diese kann mit einer Sicherheitsvorlage (.inf-Datei, siehe MMC Snap-in Sicherheitsvorlagen) initialisiert werden. Mittels Vorgang/ Computer jetzt analysieren und Vorgang/System jetzt konfigurieren kann eine Analyse oder Konfiguration des Systems anhand der Einstellungen der Datenbank erfolgen. Die Datenbank selbst liegt in Dateiform vor (.sdb-Datei) und kann auf andere Systeme übertragen werden. Allerdings sind die Aussagen bei Abweichungen von Zugriffsrechten auf Datei- oder Registry-Ebene wenig hilfreich, da lediglich die Abweichung dokumentiert wird, nicht jedoch, welche Zugriffsrechte abweichen.
  • Die Sicherheitseinstellungen eines Windows Clients werden beim Betrieb in einer Domäne in der Regel durch die Anwendung von Gruppenrichtlinien beziehungsweise den in einem Objekt enthaltenen Einstellungen festgelegt. Auf diese Weise lassen sich die Sicherheitseinstellungen auch für große Windows-Netze effizient und zentral verwalten. Änderungen von Group Policy Objects (GPO) Einstellungen finden zentral an einem Domänen-Controller statt und werden dann an die betroffenen Rechner verteilt. Der GPO-Mechanismus kann so konfiguriert werden, dass periodisch ein Update der GPO-Einstellungen erfolgt, damit die veränderten Einstellungen wirksam werden können (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ).
  • Die Sicherheit des Systemzugangs kann durch die Verwendung einer Smartcard-basierten Anmeldung erhöht werden. Die Authentisierung erfolgt dann nicht über einen Benutzernamen und ein möglicherweise schwaches Passwort, sondern über ein Zertifikat, welches auf einer physischen Chipkarte gespeichert ist. Windows kann so konfiguriert werden, dass Anmeldungen sowohl über die Eingabe von Benutzername und Passwort als auch über eine Chipkarte möglich sind, oder ausschließlich mit Chipkarte. Generell können nur Microsoft-konforme Zertifikate genutzt werden sowie Chipkarten, die von Windows-Betriebssystemen unterstützt werden. Mit der Einführung von Windows 8 und Windows Server 2012 wird die Möglichkeit gegeben, solche Zertifikate auf virtuellen Chipkarten zu speichern. Diese simulieren die Funktionalität einer physischen Chipkarte und nutzen dafür das Trusted Platform Module (TPM), das im jeweiligen IT-System integriert sein muss. Bei dieser Variante ist zu beachten, dass eine solche Smartcard immer mit dem System verbunden ist (z. B. sich bei einem Diebstahl des Gerätes dann auch im Besitz des Diebes befindet). Sicherer ist hier der Einsatz eines echten zweiten Faktors für die Authentisierung. Eine weitere Möglichkeit, Unbefugten den Systemzugang zu verwehren, ist der Einsatz einer Festplattenverschlüsselung und einer Authentisierung des Benutzers vor dem Start des Betriebssystems.
  • Beim Einsatz von kryptographischen Funktionen auf den Clients (Festplattenverschlüsselung, sonstige Verschlüsselungs- und Signaturverfahren) muss ein besonderes Augenmerk auf die Sicherung der kryptographischen Schlüssel gegen unbefugten Zugriff gerichtet werden. Die Speicherung der Schlüssel im TPM bietet hier einerseits einen hohen Schutz, koppelt aber andererseits die Schlüssel an das eingesetzte System, so dass ein Verlust durch Hardware-Defekte droht.

Die Sicherheit eines Informationsverbunds basiert immer auch auf der physikalischen Sicherheit der IT-Systeme und Netzkomponenten. Diese muss für den Betrieb eines Windows Client-Systems sichergestellt sein. Für den sicheren Betrieb eines Windows Client-Systems ist generell Folgendes zu beachten:

  • Die Sicherheit von Windows hängt wesentlich von der Sicherheit des Active Directory ab. Die hier enthaltenen Informationen müssen einerseits vor unberechtigter Veränderung geschützt und andererseits konsistent gehalten werden. Dies erfordert insbesondere bei Veränderungen entsprechende Sorgfalt. Es empfiehlt sich dringend, im Rahmen der Sicherheitsplanung nicht nur Werte oder Wertebereiche für Parameter festzulegen, sondern auch innerbetriebliche oder administrative Abläufe zu definieren, die geeignet sind, die festgelegte Sicherheitsrichtlinie umzusetzen. So sollte zum Beispiel festgelegt werden, welche Schritte beim Löschen oder Anlegen eines neuen Benutzerkontos durchzuführen sind, damit die notwendigen Veränderungen korrekt ausgeführt werden. Weitere Informationen zum sicheren Betrieb von Windows Clients in einem Active Directory sind in B 5.16 Active Directory beschrieben.

Neben der Sicherheit des Active Directory und der Systemsicherheit, die durch die im Active Directory festgelegten Parameter bedingt wird, muss auch die Sicherheit wichtiger Systemdienste gewährleistet werden. Hierbei spielt die Sicherheit von DNS, WINS, DHCP, RAS sowie Kerberos eine besonders große Rolle.
Auch hier muss bei Änderungen sichergestellt werden, dass die geltenden und festgelegten Sicherheitsrichtlinien nicht verletzt werden. Hinweise zur Konfiguration dieser Dienste finden sich in M 4.246 Konfiguration der Systemdienste auf Clients ab Windows XP und den darin referenzierten Maßnahmen.

  • Für die Verwaltung eines Windows Client-Systems stehen standardmäßig die so genannten Snap-ins der Microsoft Management Console (MMC-Snap-ins) zur Verfügung. MMC Snap-ins stellen Verwaltungsmodule dar, die über eine standardisierte Schnittstelle in die MMC integriert werden können. Der Zugriff auf die verschiedenen MMC Snap-ins muss daher reglementiert werden. Normalen Benutzern sollte der Zugriff auf Systemverwaltungswerkzeuge generell untersagt werden. Als Ausnahme ist hier jedoch das MMC Snap-in zur Verwaltung von Zertifikaten zu nennen, welches auch von normalen Benutzern zum Verwalten der eigenen Zertifikate genutzt werden muss. Der Zugriff auf die einzelnen MMC Snap-ins lässt sich granular über GPO-Einstellungen regeln.
  • Die Verwaltungstools zum Zugriff auf die lokale Registry eines Rechners (regedt32 und regedit) sollten nicht für normale Benutzer zugreifbar sein. Auch dies lässt sich durch GPO-Einstellungen erreichen (siehe M 4.75 Schutz der Registry unter Windows-Systemen ).
  • Die Sicherheit eines Windows-Netzes hängt von vielen Faktoren ab. Insbesondere können Sicherheitslücken durch Zusatzapplikationen entstehen, die entweder falsch konfiguriert sind oder Fehler in der Programmierung enthalten. Oft ergeben sich Probleme erst durch den gemeinsamen Betrieb mehrerer Anwendungen. Aus diesem Grund sind vor Einführung einer neuen Applikation Tests durchzuführen, die einen ersten Hinweis darauf geben, ob offensichtliche Probleme bestehen. Vollständige Sicherheit kann jedoch nicht erreicht werden, da insbesondere der Test auf Fehler durch Seiteneffekte in anderen Applikationen schwierig durchzuführen und extrem aufwendig ist.
  • Auch wenn Änderungen sorgfältig und unter Einhaltung aller Vorsichtsmaßnahmen erfolgen, kann die Existenz von Sicherheitslücken in einem komplexen System nie ganz ausgeschlossen werden. Aus diesem Grund sollte immer eine geeignete Systemüberwachung stattfinden (siehe M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 Überwachung von Clients ab Windows Vista und Servern ab Windows Server 2008). Dabei muss die Stärke und Genauigkeit der Überwachung der Gefährdungslage angepasst sein. Die Art und Weise der Überwachung kann nur im konkreten Fall festgelegt werden. Generell sollten auch die Tätigkeiten von Administratoren durch die Überwachung erfasst werden. Zusätzlich empfiehlt sich eine regelmäßige Überprüfung, damit eventuelle Lücken, die durch Veränderungen des Systems entstehen können, aufgedeckt werden.
  • Unter Sicherheitsgesichtspunkten sind auch Änderungen in der Domänenstruktur kritisch. Daher sind diese nur nach sorgfältiger Planung durchzuführen. Es ist schon bei der initialen Planung zu berücksichtigen, dass eine Windows Domänenstruktur (Aufteilung in Domänen, Trees, Forests) nachträglich nur wenige Veränderungen erlaubt (siehe M 2.229 Planung des Active Directory ).
  • Auch unter Sicherheitsgesichtspunkten ist es wichtig, dass alle den Betrieb eines Windows Client-Systems betreffenden Richtlinien, Regelungen und Prozesse dokumentiert werden. Dazu sollten Betriebshandbücher erstellt werden, die bei Systemänderungen aktualisiert werden müssen. Da die Betriebshandbücher sicherheitsrelevante Informationen enthalten, sind sie so aufzubewahren, dass einerseits Unbefugte keinen Zugriff auf sie erlangen können, jedoch andererseits für befugte Administratoren ein einfacher Zugriff besteht.

Die aufgeführten Empfehlungen können nur allgemeinen Charakter besitzen, da die Aufrechterhaltung der Systemsicherheit auch von lokalen Gegebenheiten abhängt. Daher müssen schon in der Planungsphase eines Windows-Netzes entsprechende Richtlinien zum sicheren Betrieb erstellt werden, die die lokalen Anforderungen berücksichtigen. Unter Umständen kann es vorkommen, dass gewisse Sicherheitsmechanismen nicht optimal sicher konfiguriert werden können. Dies ist zum Beispiel der Fall, wenn "alte" Applikationen weiter betrieben werden müssen, die nur für schwache oder keine Authentisierung ausgelegt sind. Hier muss durch entsprechend ausgleichende Gegenmaßnahmen an anderer Stelle, oder auf organisatorischer Ebene, eine zufrieden stellende Sicherheit garantiert werden.

Die Sicherheit eines Windows-Systems im laufenden Betrieb hängt wesentlich vom Kenntnisstand der Administratoren ab. Daher ist die Schulung und Fortbildung der Systemverwalter eine wichtige Schutzmaßnahme (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung ), da potenzielle Sicherheitslücken nur von kompetenten Administratoren entdeckt und vermieden werden können. Daneben müssen auch die normalen Benutzer in Sicherheitsaspekten geschult werden (siehe auch M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen ), damit potenzielle Gefahren bekannt sind und zur Verfügung stehende Sicherheitsmechanismen richtig eingesetzt werden können.

Prüffragen:

  • Sind Stärke und Genauigkeit der Systemüberwachung von Windows Client-Betriebssystemen der Gefährdungslage angepasst?

  • Ist der Zugriff auf alle Administrationswerkzeuge für Benutzer von Windows Client-Betriebssystemen unterbunden worden?

  • Werden vor der Einführung neuer Applikationen auf Windows Client-Betriebssystemen Funktions- und Sicherheitstests durchgeführt?

  • VoIP im WLAN: Ist ein qualifizierter Schutz des WLAN gewährleistet?

Stand: 15. EL Stand 2016