Bundesamt für Sicherheit in der Informationstechnik

M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Sicherheit eines Arbeitsplatzrechners hängt im Wesentlichen davon ab, ob ein Benutzer administrativ auf den Rechner einwirken kann, welche Funktionen den Benutzern verfügbar gemacht werden und ob die Benutzer die ihnen zur Verfügung gestellten Sicherheitsmechanismen korrekt nutzen.

Bei der Konfiguration von Clients ab Windows XP sind folgende Aspekte aus Sicherheitssicht zu berücksichtigen:

  • Die entsprechenden Überwachungsrichtlinien müssen definiert sein (siehe M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung von Client ab Windows Vista und Server ab Windows Server 2008). Die gesammelten Protokolldaten müssen auch regelmäßig ausgewertet werden.
  • Beim Einsatz in einer Active Directory Umgebung sollten die Rechte zum Hinzufügen von Arbeitsstationen zur Domäne eingeschränkt werden. Ausschließlich berechtigte administrative Benutzer dürfen diese Zuständigkeit besitzen. Die Einschränkung des Rechts erfolgt über die Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten | Hinzufügen von Arbeitsstationen zur Domäne.
  • Beim Einsatz von Client-Betriebssystemen ab Windows XP auf mobilen Rechnern entstehen zusätzliche Sicherheitsrisiken, die durch besondere Vorkehrungen gemindert werden sollten (siehe M 2.328 Einsatz von Windows XP auf mobilen Rechnern, M 2.442 Einsatz von Windows ab Windows Vista auf mobilen Systemen, sowie B 3.3 Laptop).

Datenhaltung und Verarbeitung

Es empfiehlt sich, bei vernetzten Clients keine lokalen Daten auf Arbeitsplatzrechnern zu halten. Dies erleichtert die zentrale Administration und Steuerung von Sicherheitsvorgaben ebenso wie die Datensicherung. Daneben ergibt sich der Sicherheitsvorteil, dass bei Kompromittierung des Systems lokal keine sensitiven Daten vorzufinden sind, da sie sich auf einem Server befinden, der in der Regel besser als ein Client geschützt ist. In Einzelfällen kann es notwendig sein, dass Daten aus Sicherheitsgründen lokal auf dem Arbeitsplatz gespeichert werden müssen, wenn beispielsweise nur der Arbeitsplatzbenutzer darauf zugreifen darf und/oder keine Übertragung über das Netz erfolgen soll. Dann ist der Arbeitsplatz jedoch nicht als Standardarbeitsplatz anzusehen, so dass besondere Regelungen für solche Arbeitsplätze geplant und umgesetzt werden müssen. Beispiele für entsprechende Maßnahmen sind eine starke Absicherung der Clients ("hardening") sowohl lokal als auch im Netz, eine Festplattenverschlüsselung und die Einbindung der Clients in ein zentrales Backup-Konzept.

Vertrauliche Daten müssen sicher verarbeitet werden. Nicht nur der direkte Zugriff auf die Daten muss entsprechend dem Berechtigungskonzept eingeschränkt sein. Es muss auch dafür Sorge getragen werden, dass kein unautorisierter Zugriff auf die temporären Inhalte möglich ist. Viele Anwendungen erstellen bei der Verarbeitung temporäre Dateien, die im Gegensatz zu Originaldaten möglicherweise nicht ausreichend geschützt sind. Daher ist die regelmäßige Bereinigung von Verzeichnissen, in denen temporäre Dateien abgelegt werden (z. B. Temp, Tmp und das Drucker-Spool-Verzeichnis), sehr empfehlenswert. Dies kann unter anderem mit einem Skript realisiert werden, das beim Herunterfahren des Systems ausgeführt wird (siehe M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP). Die Auslagerungsdatei wird beim Herunterfahren des Systems durch die Richtlinie Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems löschen in Gruppenrichtlinienobjekten gelöscht. Ab Windows Vista ist dafür die Einstellung Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen unter Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen verantwortlich.

Softwareeinschränkungen

Durch die gezielte Systemkonfiguration soll vermieden werden, dass normale Benutzer administrative Tätigkeiten ausführen können. Dies kann durch die Zugriffsrechte auf Dateien und die Registry sowie durch die Berechtigung zum Starten der Konfigurationswerkzeuge, wie der Microsoft Management Konsole, erreicht werden. Diese Einstellungen werden über Gruppenrichtlinien verwaltet und sollten schon in die Planung der Gruppenrichtlinien einfließen. Der Einsatz von Richtlinien für Softwareeinschränkungen (englisch Software Restriction Policies, SRP) und AppLocker ab Windows 7 kann in dieser Hinsicht zusätzliche Sicherheit bringen.

Software-Installationen sind ausschließlich von berechtigten Administratoren durchzuführen. Die Installationsmöglichkeiten für normale Benutzer sind soweit wie möglich einzuschränken (siehe M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software). Die Installationen, die mittels des Windows-Installers durchgeführt werden, lassen sich durch die Definition geeigneter Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Installer einschränken. Ob und in welchem Umfang Installationen eingeschränkt werden sollten, hängt von der Software-Installationsrichtlinie des Unternehmens oder der Behörde ab. Es sollte bedacht werden, dass diese Einstellungen nur den Windows-Installer betreffen und nicht verhindern, dass Benutzer anderweitig Programme installieren oder aktualisieren können.

Die mit Windows XP eingeführte Technologie der Softwareeinschränkungen ermöglicht es, die auf einem Computer ausführbaren Programme zu begrenzen. Durch die Definition von Richtlinien für Softwareeinschränkungen im Computerteil einer GPO (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien für Softwareeinschränkungen) wird entweder die Summe der erlaubten (Positivliste) oder der verbotenen Programme (Negativliste) spezifiziert.

In einer Positivliste sollten nicht nur die Anwendungen, sondern alle für den Regelbetrieb benötigten Systemprogramme erlaubt sein.

Programme können in einer Regel der Softwareeinschränkungen durch einen voll- oder teilqualifizierten Pfad-Namen, einen Hashwert, eine digitale Signatur oder Zertifikat oder durch die Programmzone (beispielsweise Internet, Lokaler Rechner) identifiziert werden. Eine Regel ist nicht nur auf gewöhnliche ausführbare Dateien, sondern unter anderem auch auf DLLs, ActiveX-Steuerelemente, Windows-Installer Dateien sowie auf VBScript Dateien anwendbar.

Die zur Verfügung stehenden Konfigurationsmöglichkeiten für Ausführungsbeschränkungen mittels SRP sind sehr variabel und ermöglichen die Realisierung einer Vielzahl von Einsatzszenarien. Dieser Vorteil wird jedoch mit einem entsprechenden Administrationsaufwand erkauft, da die definierten Regeln schnell komplex und unübersichtlich werden. Umfangreiche Planung und ausgiebiges Testen sind unabdingbar, wenn ein Unternehmen oder eine Behörde Richtlinien zur Softwareeinschränkungen implementieren möchte.

Eine weitere Möglichkeit, die Nutzung von Anwendungen einzuschränken, bieten Windows Vista und Windows 7 mit dem Jugendschutz sowie Windows 8 mit Family Safety. Family Safety enthält neben dem Jugendschutz der Vorgängerversionen auch Webaktivitätsberichte. Zu beachten ist, dass Family Safety nicht für den professionellen Einsatz konzipiert und nicht in einer Domänenumgebung verfügbar ist. Wenn in der Institution Minderjährige Zugang zu Clients haben, sollten die durch Family Safety ermöglichten Einschränkungen durch alternative Maßnahmen durchgesetzt werden. Weitere Informationen sind in der Maßnahme M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung zu finden.

Sichere Konfiguration von Windows 8-Apps

Windows 8-Apps unterscheiden sich neben den Funktionsanforderungen und deren Beziehbarkeit auch in der Sicherheitskonfiguration gegenüber den Desktop-Anwendungen. Es sollte daher entschieden werden, ob und welche Windows-Apps in der Institution zugelassen werden. Weiterführende Materialien hierzu finden sich im Hilfsmittel zum Baustein Windows 8 im Kapitel Einsatz von Apps unter Windows 8.

Die sichere Konfiguration von Windows 8-Apps funktioniert in der Regel nicht wie bei den Desktop-Anwendung zentral über die Gruppenrichtlinien. Hier sind ergänzende Maßnahmen erforderlich, z. B. mit Hilfe des Werkzeugs AppLocker, das sich wiederum auf Gruppenrichtlinien stützt. Über AppLocker können Ausführbare Regeln, Windows Installer-Regeln, Skript-Regeln sowie App-Paket-Regeln konfiguriert und erzwungen werden. Ziel dieser Regeln ist es, die vollständige Kontrolle darüber zu behalten, welche Windows-Apps von den Benutzern ausgeführt werden können.

Die Konfiguration des AppLocker erfolgt unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | Applocker. Weitere Informationen hierzu finden sich in der Maßnahme M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker.

Dienste

Windows Vista, Windows 7 und Windows 8 sind keine Server-Betriebssysteme und sollten nur für Clients verwendet werden sowie keine Anwendungen oder Dienste im Netz zur Verfügung stellen. Unter anderem sollten die normalen Arbeitsplatzrechner neben den administrativen Standardfreigaben keine Verzeichnisfreigaben zur Verfügung stellen. Auch die administrativen Freigaben sollten deaktiviert werden, wenn sie nicht zur Administration verwendet werden. Dazu muss der Wert AutoShareWks=0 unter HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters erstellt werden.

Sind aus bestimmten Gründen Freigaben auf den Clients erforderlich, darf der mit Windows XP eingeführte Mechanismus der einfachen Dateifreigabe nicht benutzt werden, um die hiermit verbundenen Sicherheitsrisiken zu vermeiden. Ist die einfache Dateifreigabe auf einem Client aktiviert, werden alle Benutzer, die über das Netz auf diesen Computer zugreifen, dem Gastkonto zugeordnet. Die Berechtigungen für den Zugriff auf die Freigabe müssen jedoch sehr restriktiv vergeben werden. Es ist zu beachten, dass die einfache Dateifreigabe standardmäßig nur auf Einzelclients möglich ist, die keiner Domäne angehören. Auf Clients, die als Domänenmitglieder installiert wurden, ist die einfache Dateifreigabe standardmäßig deaktiviert. Ab Windows 7 ist die Ordnerfreigabe über das Kontextmenü zu erreichen und trägt die Bezeichnung Freigeben für. Um einen Ordner in einer Domänenumgebung freizugeben, werden Administrationsrechte benötigt.

Die Gesamtsicherheit eines IT-Systems hängt auch von den eingesetzten Systemdiensten ab. Hinweise zur sicheren Dienstkonfiguration können in M 4.246 Konfiguration der Systemdienste auf Clients ab Windows XP gefunden werden.

Bei Clientsystemen ab Windows 7 kann ein IT-System als dedizierter Printserver verwendet werden. In diesem Fall darf dieses IT-System für keine anderen Zwecke eingesetzt werden. Die Hardware des IT-Systems und die Zugangssicherheit müssen die entsprechenden Serveranforderungen erfüllen (siehe unter anderem B 3.101 Allgemeiner Server ). Alle Anwendungsfunktionen müssen deaktiviert werden.

Benutzerkonten

Die Benutzerkonten für Clients ab Windows XP dürfen nur von einer dazu berechtigten Person verwendet werden, das heißt, das Benutzerkonto ist einem Benutzer eindeutig zuzuordnen. Dies hat vor allem aus Gründen der Nachvollziehbarkeit zu erfolgen. Sammelkonten sollten nach Möglichkeit keine Verwendung finden. Dies ist auf organisatorischer Ebene zu gewährleisten.

Wird ein neues Benutzerkonto im Active Directory angelegt, ist auf die richtige Zuordnung zu einer Organisationseinheit zu achten, da hierüber die korrekten Sicherheitseinstellungen für dieses Benutzerkonto festgelegt werden. Die an einen Benutzer vergebenen Rechte resultieren neben den Gruppenmitgliedschaften unter anderem aus den Gruppenrichtlinien, die mit der Organisationseinheit des Benutzers verknüpft sind.

Erfolgt die Administration der Clientsysteme ab Windows XP über personalisierte Benutzerkonten, kann das integrierte Administrator-Konto gesperrt werden. Bei einer Standardinstallation ab Windows Vista ist dies grundsätzlich der Fall.

In jedem Fall sollte das Administratorkonto umbenannt werden. Das Deaktivieren oder Umbenennen des integrierten Administratorkontos kann in der Benutzerverwaltung oder durch die Richtlinien der Konten: Administratorkontostatus und Konten: Administrator umbenennen (unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) erfolgen. Vor dem Deaktivieren des Administratorkontos ist eine Testphase empfehlenswert, in der ausschließlich über die personalisierten Benutzerkonten administriert wird.

Alle Windows Versionen enthalten standardmäßig ein Gastkonto. Das Gastkonto sollte nicht genutzt werden, sondern immer ein dediziertes Konto für Benutzer verwenden. Das Gastkonto ist zu deaktivieren, wobei trotzdem ein komplexes Kennwort für das Konto vergeben werden sollte. Bei einer Standardinstallation ab Windows Vista ist das Gastkonto bereits deaktiviert, jedoch ist kein Kennwort vergeben. Durch das Setzen eines Kennworts besteht auch im Falle eines zufälligen oder unberechtigten Aktivierens des Gastkontos ein entsprechender Kennwortschutz. Um das Gastkonto umzubenennen und zu deaktivieren, können entweder die lokale Benutzerverwaltung oder die Richtlinien Konten: Gastkontenstatus und Konten: Gastkonto umbenennen (unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) verwendet werden.

Das unter Windows XP standardmäßig angelegte Konto für den Support-Benutzer (SUPPORT_388945a0) wird normalerweise in Behörden- und Unternehmensumgebung nicht verwendet und sollte daher gelöscht werden. Zum Löschen dieses Kontos dient die lokale Benutzerverwaltung. Bei Clientsystemen ab Windows Vista ist das Benutzerkonto für den Support-Benutzer nicht mehr vorhanden.

Beim Betrieb eines Windows-Systems in der Domäne sollten nach Möglichkeit keine weiteren lokalen Benutzerkonten angelegt werden. Generell sollten lokal nur die unbedingt notwendigen Konten angelegt sein. Eine Überprüfung lokaler Benutzerkonten hat in regelmäßigen Abständen zu erfolgen.

Entsprechend M 4.2 Bildschirmsperre muss für jeden Benutzer der Kennwortschutz für den Bildschirmschoner aktiviert werden. Ist der Standby-Modus möglich, so muss die Kennworteingabe auch beim Reaktivieren des Systems aus dem Standby-Modus erforderlich sein. Bei Windows XP unter Systemsteuerung | Energieoptionen | Erweitert | Kennwort beim Reaktivieren aus dem Standbymodus anfordern und ab Windows Vista unter Systemsteuerung | Energieoptionen | Kennwort bei Reaktivierung anfordern.

Die Anforderungen in M 2.11 Regelung des Passwortgebrauchs und M 4.15 Gesichertes Login müssen umgesetzt werden. Dies betrifft vor allem Länge, Qualität und Änderungsintervalle der Kennwörter sowie die Anzahl der Fehlversuche und das Sperren der Benutzerkonten.

Anmeldung absichern

Der Systemzugang muss auf autorisierte Personen beschränkt sein. Die Vergabe entsprechender Benutzerrechte hat dementsprechend restriktiv zu erfolgen (siehe M 4.247 Restriktive Berechtigungsvergabe bei Client-Betriebssystemen ab Windows Vista). Ein administrativer Zugriff über das Netz sollte grundsätzlich nur berechtigtem administrativem Personal erlaubt werden. Des Weiteren muss die Anmeldung über das Netz an lokalen Benutzerkonten ohne Kennwort untersagt werden. Dies wird durch das Aktivieren der Richtlinie Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken (unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) erreicht.

Die automatische Benutzeranmeldung muss auf allen Windows-Installationen deaktiviert sein. Administrative Benutzer müssen sich explizit authentisieren. In der Wiederherstellungskonsole darf ein automatischer Login ebenfalls nicht gestattet und der Zugriff auf Daten außerhalb der Systemverzeichnisse muss eingeschränkt werden. Anderenfalls können unautorisierte Datenzugriffe stattfinden, die zudem nicht protokollierbar sind. Um dies zu erreichen, sind folgende Richtlinien zu deaktivieren: Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen und Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen (unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen).

Bei einer Standardinstallation von Clientsystemen ab Windows Vista ist das Konto des Built-In Administrator deaktiviert. Da dieses Konto in einer Standardinstallation kein Kennwort besitzt, sollte für den Built-In Administrator nachträglich ein Kennwort vergeben werden.

Alle Benutzer müssen explizit authentisiert werden, bevor ihnen der Zugang zum System gewährt wird. Die Tastenkombination STRG+ALT+ENTF sollte bei der Anmeldung erzwungen werden (Richtlinie deaktivieren: Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Kein STRG+ALT+ ENTF erforderlich). Dies gewährleistet, dass tatsächlich das originale Anmeldefenster und kein "Nachbau" benutzt wird.

Außerdem sollte der Name des zuletzt angemeldeten Benutzers in der Anmeldemaske nicht angezeigt werden (Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen).

Es wird weiterhin empfohlen, allen Benutzern, die sich lokal anzumelden versuchen, eine Warnmeldung anzuzeigen. Der genaue Text der Warnmeldung ist anhand der konkreten Umstände und im Einzelfall festzulegen. Der Text der Warnmeldung und der Nachrichtentitel werden mit Hilfe der Richtlinien Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen eingerichtet.

Anmeldeinformationen für Domänenkonten werden standardmäßig zwischengespeichert, sodass sich ein Benutzer auch bei Nichtverfügbarkeit des Domain-Controllers an seinem Client anmelden kann. Die Anzahl solcher zwischengespeicherten Kontoinformationen wird in der Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen festgelegt und sollte nach Möglichkeit minimiert werden. Die Parametereinstellung ist anhand konkreter Umstände und im Einzelfall festzulegen.

Systemeinstellungen

Die Autostart-Funktionalität ist in der Standardinstallation von Windows aktiviert und stellt ein Sicherheitsrisiko dar, da gefährliche Inhalte ohne Benutzerinteraktion zur Ausführung kommen können. Aus diesem Grund ist die Autostart-Funktionalität für alle Laufwerke zu deaktivieren (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung und M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien ab Windows Vista). Hierfür muss bei Windows XP die Richtlinie Computerkonfiguration | Administrative Vorlagen | System | AutoPlay deaktivieren aktiviert und der Wert Alle Laufwerke eingestellt werden. Für Clientsysteme ab Windows Vista ist die Einstellung unter Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Richtlinien für die automatische Wiedergabe | AutoPlay deaktivieren zu finden.

Interne Systemobjekte (wie z. B. Mutexe und Semaphore, die zur Synchronisation unterschiedlicher Threads und Prozesse dienen) besitzen eigene Zugriffsrechte. Diese Zugriffsrechte können durch die Definition einer speziellen Richtlinie verstärkt werden, sodass nicht-administrative Benutzer keine Änderungsrechte an Objekten haben, die nicht von ihnen erstellt wurden (Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken.

Normalerweise erlaubt Windows sowohl lokalen als auch entfernten Zugriff auf Disketten und CD-ROMs. Wie in M 4.52 Geräteschutz unter NT-basierten Windows-Systemen für Windows XP empfohlen wird, sollte der Zugriff jedoch auf den gerade angemeldeten Benutzer beschränkt werden. Seit Windows Vista kann dies durch die Nutzung von Gruppenrichtlinien gesteuert werden.

Selbstständige Internetkommunikation von Windows unterbinden

Mehrere Windows Dienste und Anwendungen nehmen in der Standardkonfiguration selbsttätig und vom Benutzer unbemerkt Kontakt zu Servern im Internet auf. Dabei werden system- und/oder benutzerspezifische Daten an Microsoft oder andere Anbieter übermittelt.

Die nachfolgende Liste gibt einen Überblick über Dienste und Anwendungen, die selbsttätig Daten an Microsoft übertragen. Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

  • Internet Explorer
  • Windows Store
  • Windows Apps
  • Windows Media Player
  • Windows Defender
  • Handschriftproben
  • Windows Zeitdienst
  • Hilfe- und Supportcenter
  • Windows Update
  • Gerätemanager
  • Windows Aktivierung und Registrierung
  • Aktualisierung der Stammzertifikate
  • Ereignisanzeige
  • Webdienst Assoziation
  • Fehlerberichterstattung
  • das Netzwerkverbindungssymbol ab Windows Vista (Der Status des Internetzugriffs wird regelmäßig aktualisiert, indem Testdaten an einen Microsoft-Server gesendet werden.)

Für die meisten der oben aufgeführten Dienste und Anwendungen wird das Abschalten der Datenübertragung empfohlen. Dies kann durch entsprechendes Umkonfigurieren von Registry und Programmoptionen, Änderungen im Dateisystem oder durch Sicherheitsgateway-Filter erfolgen. Seit der Einführung des Windows XP Service Pack 2, wurde die Verwaltbarkeit dieser Funktionalitäten deutlich verbessert. Eine neue Kategorie der Gruppenrichtlinien wurde unter Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung eingeführt.

Aktivieren bzw. Einbinden von Sicherheitsfunktionen der Hardware

Für jede am Windows-System angeschlossene und aktivierte Hardware sollte ein Treiber installiert sein.

Für Sicherheitsfunktionen wie Biometriegeräte, Smartcards und Festplattenverschlüsselung sollten nur aktuelle und von Microsoft zertifizierte Treiber verwendet werden. Falls möglich, sollte solche Hardware zusammen mit den in Windows integrierten Sicherheits-APIs verwendet werden, zum Beispiel das Biometrie-Framework und die Smartcard-Authentisierung.

Nach Möglichkeit sollten die vorhandenen Speicherschutzmechanismen wie z. B. die Datenausführungsverhinderung (DEP) oder Speicherrandomisierung (ASLR) für alle Programme und Dienste genutzt werden. Dies kann beispielsweise mit Microsofts Enhanced Mitigation Experience Toolkit (EMET) erreicht werden, das in den Hilfsmitteln zum Baustein Client unter Windows 8 näher beschrieben ist.

Basiseinstellungen für Group Policy Objects (GPOs)

Die Basiseinstellungen für Gruppenrichtlinienobjekte unter Windows Gruppenrichtlinienobjekte sind in M 4.245 Basiseinstellungen für Windows Group Policy Objects beschrieben.

Prüffragen:

  • Werden die in der Überwachungsrichtlinie festgelegten Sicherheitseinstellungen umgesetzt?

  • Werden bei einem Einsatz in einer Active Directory Umgebung die Rechte zum Hinzufügen von Arbeitsstationen zur Domäne eingeschränkt?

  • Wird verhindert, dass Windows Clients Anwendungen, Windows Apps oder Dienste im Netz zur Verfügung stellen?

  • Ist sichergestellt, dass Windows Benutzerkonten nur von einer dazu berechtigten Person verwendet werden können?

  • Werden die Zugriffsrechte und Installationsmöglichkeiten für normale Benutzer unter Windows restriktiv vergeben?

  • Wurde das Gastkonto deaktiviert und mit einem komplexen Kennwort versehen?

  • Ist das unter Windows XP standardmäßig angelegte Konto für den Support-Benutzer gelöscht worden?

  • Wurde darauf geachtet, dass nur die unbedingt notwendigen Konten unter Windows vorhanden sind?

  • Sind die automatische Benutzeranmeldung und der automatische Login in der Wiederherstellungskonsole deaktiviert worden?

  • Wurde der Systemzugang auf autorisierte Personen beschränkt?

  • Wurde eine entsprechende Warnmeldung für Benutzer konfiguriert, die sich lokal anzumelden versuchen?

  • Wird die selbstständige Kommunikation von Windows Diensten und Anwendungen unterbunden?

  • Wurde bei Clientsystemen ab Windows Vista für den Built-In Administrator ein Kennwort angelegt?

  • Ist die Autostart-Funktionalität für alle Laufwerke deaktiviert worden?

  • Ist die Datenausführungsverhinderung (DEP) für alle Programme und Dienste (Opt-Out Modus) aktiviert worden?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK