Bundesamt für Sicherheit in der Informationstechnik

M 4.246 Konfiguration der Systemdienste auf Clients ab Windows XP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die sichere Konfiguration einzelner Systemdienste, die auf einem IT-System ausgeführt werden, trägt wesentlich zur Gesamtsicherheit des Informationsverbunds bei. Systemprozesse, die nicht im Benutzerkontext laufen, funktionieren unabhängig von Benutzerkonten und angemeldeten Benutzern und stellen wichtige Basisfunktionen für die Windows-Komponenten bereit. Jeder nicht benötigte, aber aktivierte Dienst kann eine Gefahrenquelle sein. Daher ist vor der Konfiguration von Windows-Clients eine Bedarfsanalyse durchzuführen. Es dürfen ausschließlich benötigte Dienste zur Ausführung kommen. Für eine zentralisierte Konfiguration der Dienste wird in einer Active Directory-Umgebung der Einsatz entsprechender Gruppenrichtlinien empfohlen. Dafür werden einzelne Dienste im Computerteil eines Gruppenrichtlinienobjektes unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste im Gruppenrichtlinienverwaltungs-Editor aktiviert oder deaktiviert. Die Deaktivierung der Dienste kann aber auch lokal auf dem jeweiligen System durch den Administrator vorgenommen werden.

In einer Windows Server 2003 Domänenstruktur können die Windows Vista- und Windows 7-spezifischen Konfigurationen der Dienste nur bei Einsatz des GPOAccelerator-Tool über Gruppenrichtlinien konfiguriert werden. Dieses betrifft:

  • die Konfiguration der Startart Automatisch (Verzögerter Start) für die Dienste und
  • die Konfiguration der unter Windows Vista und Windows 7 neu hinzu gekommenen Dienste.

Das GPOAccelerator-Tool wurde mittlerweile vollständig vom Microsoft Security Compliance Manager (MS SCM) ersetzt. Wie auch sein Vorgänger ist der SCM dafür geeignet, den Administrator bei der Konfiguration und der Umsetzung von Sicherheitsrichtlinien für Clients (ab Windows XP SP3), Server (ab Windows Server 2003 SP3) und Anwendungen (Exchange, Office und Internet Explorer) zu unterstützen. Hierfür stellt der SCM mehrere Sicherheitsvorlagen bereit, die entsprechend angepasst werden können. Nachdem der Administrator eine sogenannte Custom-Baseline mit den geforderten Sicherheitseinstellungen erstellt hat, besteht die Möglichkeit, diese als Gruppenrichtlinie auf einem Domänen-Controller zu importieren und von dort auf Domänensysteme anzuwenden. Der SCM stellt ebenfalls das Werkzeug LocalGPO bereit, das es dem Administrator erlaubt, die vorher erstellte Sicherheitsrichtlinie auf Stand-alone-Systeme zu importieren und anzuwenden, um so eine einheitliche Client-Konfiguration erzielen zu können. Zur Konfiguration von Systemdiensten ist der SCM ebenso geeignet.

Weitere Details zum Tool GPOAccelerator und Microsoft Security Compliance Manager sind in der Maßnahme M 4.243 Verwaltungswerkzeuge unter Windows Client-Betriebssystemen beschrieben.

Gerade bei neueren Betriebssystemen wie z. B. Windows 7 und Windows 8 wird ein Überprüfen und Deaktivieren von unnötigen Diensten immer wichtiger, da diese Betriebssysteme immer mehr neue Funktionen mit sich bringen, die oftmals gar nicht zum Einsatz kommen, aber dennoch ein gewisses Angriffspotenzial durch einen aktiven Dienst bieten. Aus diesem Grund setzt Microsoft den Starttyp vieler Dienste bereits standardmäßig auf "manuell", was bewirkt, dass der Dienst nur gestartet wird, sobald er auch tatsächlich erforderlich ist oder eine Abhängigkeit zu einem anderen Dienst hat.

Zu jedem Dienst liefert Microsoft in der Dienste-Verwaltung über Gruppenrichtlinien oder mit dem SCM eine ausführliche Beschreibung, was dieser bezweckt. Aufgrund der Beschreibung sollte jeder Administrator selbst nachvollziehen können, ob der Dienst für die Umgebung, in der das System betrieben wird, notwendig ist.

Unter den Hilfsmitteln zum IT-Grundschutz werden Vorgaben für die Konfiguration der Systemdienste aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen dienen können. Es sei darauf hingewiesen, dass die Konfiguration einzelner Systemdienste immer von lokalen Gegebenheiten oder Anforderungen abhängt und daher in diesem spezifischen Kontext zu sehen ist. Im Einzelfall muss gegebenenfalls aufgrund lokaler Gegebenheiten auf weniger sichere Konfigurationen ausgewichen werden. Dann sollten aber zusätzliche Schutzmaßnahmen eingeleitet werden, die die fehlende Sicherheit in der Dienstkonfiguration ausgleichen. Beispiele hierfür sind der Einsatz einer zusätzlichen Firewall oder auch organisatorische Maßnahmen.

Zur Absicherung von Diensten unter Windows-Server-Betriebssystemen kann auch der seit Windows Server 2003 integrierte Security Configuration Wizard genutzt werden. Dieser ist in der Lage, anhand der zugewiesenen Server-Rolle zu entscheiden, welche Systemdienste zu aktivieren oder zu deaktivieren sind. Eine mit dem Assistenten erstellten Sicherheitsrichtlinie lässt sich dann auch auf andere Systeme anwenden.

Sofern für die auf dem Client laufenden Dienste ein Konto benötigt wird, empfiehlt sich der Einsatz der ab Windows 7 verfügbaren Verwalteten Dienstkonten. Diese Konten können über das Active Directory der Domäne verwaltet werden und ermöglichen eine Kennwortverwaltung über die Domäne, in dem das AD regelmäßig automatisierte Kennwortänderungen durchführt.

Prüffragen:

  • Wurde eine Bedarfsanalyse unter Windows bezüglich der erforderlichen Systemdienste durchgeführt?

  • Sind alle nicht benötigten Dienste unter Windows deaktiviert?

  • Werden für die erforderlichen Systemdienste vorzugsweise Verwaltete Dienstkonten der Domäne eingesetzt?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK