Bundesamt für Sicherheit in der Informationstechnik

M 4.420 Sicherer Einsatz des Wartungscenters unter Windows 7

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Das Wartungscenter unter Windows 7 ist eine Weiterentwicklung des Sicherheitscenters. Das Sicherheitscenter wird bereits seit Windows Vista von Microsoft eingesetzt. Das Wartungscenter steht ohne Unterschied im Funktionsumfang in allen Windows 7 Editionen zur Verfügung.

Im Wartungscenter können die Sicherheitseinstellungen, Wartungseinstellungen sowie die Problembehandlung zentral überwacht und konfiguriert werden. Das Wartungscenter ist von folgenden Windows-Diensten abhängig, die bewirken, dass Probleme automatisch diagnostiziert und dem Benutzer über das Wartungscenter gemeldet werden:

  • Diagnoserichtliniendienst (Diagnostic Policy Service, DPS):
    Dieser Windows-Dienst ermöglicht die Problemerkennung und Problembehebung unter Windows. Die Probleme können verschiedene Ursachen haben, zum Beispiel Speicher-, Festplatten- oder Netzprobleme. Der Dienst diagnostiziert Probleme und meldet diese anschließend dem Benutzer über das Wartungscenter.
  • Diagnosediensthost (Diagnostic Service Host, WDiSvcHost):
    Dieser Windows-Dienst wird für Analysen benötigt, die als lokaler Dienst laufen müssen. Der Dienst ist direkt vom Diagnoserichtliniendienst abhängig.
  • Diagnosesystemhost (Diagnostic System Host, WDiSystemHost):
    Dieser Windows-Dienst diagnostiziert, behandelt und löst Probleme, die direkt mit Windowskomponenten verbunden sind. Der Dienst ist direkt vom Diagnoserichtliniendienst abhängig.
  • Windows-Fehlerberichterstattungsdienst (Windows Error Reporting Service, WerSvc):
    Der Fehlerberichterstattungsdienst sammelt Informationen zu bestehenden Problemen und stellt bereits existierende Lösungsvorschläge bereit. Des Weiteren generiert er Problemberichte, die bei Bedarf an Microsoft gesendet werden können, um weitere Lösungsmöglichkeiten zu erhalten.

Die "Problembehandlung" ist eine Sammlung von Applikationen und sammelt Informationen und Lösungsansätze zu bestehenden Problemen, die bei Windows 7 basierenden IT -Systemen auftreten können. Es wird eine Internetverbindung benötigt, um Lösungsvorschläge von Microsoft abzufragen. Weiter werden regelmäßig neue Lösungsansätze und Komponenten auf Microsoft Servern gesucht und diese heruntergeladen. Um keine institutions- oder computerspezifischen Konfigurationen an Microsoft zu senden, sollte diese Einstellung deaktiviert werden.

Beim Auftreten eines konkreten Problems werden zum Erhalt spezifischer Lösungsvorschläge auf dem Windows-Client Daten erhoben und an Microsoft gesendet. Welche Daten das im Einzelfall sind, kann den Details des Problemberichts entnommen werden. Der Problembericht enthält immer Informationen zum Betriebssystem sowie der Hard- und Software des IT-Systems. Es können auch personenbezogene Daten enthalten sein. Wurde ein Problem erkannt, kann die Problembehandlung versuchen, es selbstständig zu lösen. Dazu nimmt sie Konfigurationsänderungen am System vor.

Für den sicheren Einsatz des Wartungscenters und dessen Funktionen sollten nachfolgende Aspekte umgesetzt werden:

Da die Windows-Dienste Wechselwirkungen mit anderen Diensten aufweisen, sollten die Standardstarteinstellungen der Windows-Dienste auf jeden Fall beibehalten werden. Sonst wäre es möglich, dass wichtige Windowsdienste nicht korrekt arbeiten.

Windowsdienst Standard-Starttyp
Diagnoserichtliniendienst (DPS) Automatisch
Diagnosediensthost (WDiSvcHost) Manuell
Diagnosesystemhost (WDiSystemHost) Manuell
Windows-Fehlerberichterstattungsdienst (WerSvc) Automatisch

Weiterführend sollten folgende Einstellungen per Gruppenrichtlinie für jedes Windows 7 basierte IT-System umgesetzt werden:

  • Einstellung: Neueste Problembehandlungen vom Windows-Onlinedienst für Problembehandlung abrufen
  • Pfad in der Systemsteuerung: Systemsteuerung | Alle Systemsteuerungselemente | Problembehandlung
  • Gruppenrichtlinienpfade:
  • Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Problembehandlung und Diagnose | Microsoft Support-Diagnosetool | Tooldownload einschränken
  • Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Problembehandlung und Diagnose | Microsoft Support-Diagnosetool | Ausführungsebene konfigurieren
  • Empfehlung: Einstellungen deaktivieren
  • Begründung: Verhindert, dass Daten für die Problembehandlung mit dem Microsoft Support ohne Kenntnis und Einverständnis des Benutzers über das Internet ausgetauscht werden
  • Einstellung: Problemberichte senden
  • Pfad in der Systemsteuerung: nicht existent
  • Gruppenrichtlinienpfade:
  • Computerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Windows-Fehlerberichterstattung | Fehlerberichterstattung konfigurieren.
  • Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen | Fehlerberichterstattung deaktivieren
  • Empfehlung: Einstellungen deaktivieren
  • Begründung: Diese Einstellungen sollten deaktiviert werden, um nicht institutions- oder computerspezifische Konfigurationen an Microsoft zu senden.
  • Einstellung: Regelmäßig Daten über Computerkonfiguration an Microsoft senden
  • Pfad in der Systemsteuerung: nicht existent
  • Gruppenrichtlinienpfad:
  • Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Anwendungskompatibilität | Programmbestand deaktivieren
  • Empfehlung: Einstellungen deaktivieren
  • Begründung: Wenn diese Einstellung nicht durch Gruppenrichtlinien unterbunden wird, ist es möglich, dass Daten über installierte Softwareprodukte an Microsoft gesendet werden, ohne dass der Benutzer dies beauftragt hat oder darüber Kenntnis erlangt.

Um weitere sicherheitsgefährdende Funktionen zu unterbinden, sollten folgende Einstellungen konfiguriert werden:

  • Einstellung: Windows-Sicherung
  • Pfad in der Systemsteuerung:
  • Systemsteuerung | Alle Systemsteuerungselemente | Wartungscenter | Wartungscentereinstellungen ändern
  • Empfehlung: Einstellung deaktivieren
  • Begründung: Die Meldung könnte Benutzer mit lokalen Rechten auf dem IT-System veranlassen, eine Sicherung der Daten aus Unwissenheit auf einem lokalen Datenträger zu erstellen. Dies kann von der IT-Abteilung nicht nachvollzogen werden, womit weitere Sicherheitsrisiken entstehen.
  • Einstellung: Programm zur Benutzerfreundlichkeit
  • Pfad in der Systemsteuerung:
  • Systemsteuerung | Alle Systemsteuerungselemente | Wartungscenter | Wartungscentereinstellungen ändern | Einstellungen für das Programm zur Verbesserung der Benutzerfreundlichkeit
  • Empfehlung: Einstellung deaktivieren
  • Begründung: Die Einstellung verhindert, dass Daten über das Nutzerverhalten an Microsoft übertragen werden.
  • Einstellung: Computerwartung
  • Pfad in der Systemsteuerung:
  • Systemsteuerung | Alle Systemsteuerungselemente | Problembehandlung | Einstellungen ändern
  • Empfehlung: Einstellung aktivieren
  • Begründung: Diese Einstellung sollte aktiviert werden, sodass der Computer nach Problemen durchsucht und der Benutzer über gefundene Probleme in Kenntnis gesetzt wird.
  • Einstellung: Problembehandlung andere Einstellungen
  • Pfad in der Systemsteuerung:
  • Systemsteuerung | Alle Systemsteuerungselemente | Problembehandlung | Einstellungen ändern
  • Empfehlung: Einstellungen deaktivieren
  • Begründung: Diese Einstellungen sollten deaktiviert werden, sodass weder neue Problemlösungen von Microsoft heruntergeladen sowie gesendet werden oder Probleme automatisch gelöst werden. Diese Einstellung ist deshalb nicht zu empfehlen, da Konfigurationen am IT-System nicht automatisch verändert werden sollten.

Für den Umgang mit dem Wartungscenter und den nach Umsetzung der Einstellungen noch für den Nutzer potenziell angezeigten Dialogen sollte eine verbindliche Regelung definiert werden, wie der Benutzer zu verfahren hat. Die Regelung sollte weiterhin enthalten, ob und wann der Nutzer die Wartungscenterkomponente manuell starten darf (siehe M 2.4 Regelungen für Wartungs- und Reparaturarbeiten ). Im Normalfall sollten Probleme, die während des Betriebes eines IT-Systems auftreten, an die dafür vorgesehenen Personen eskaliert werden (siehe M 2.1 Festlegung von Verantwortlichkeiten und Regelungen ).

Prüffragen:

  • Wurde eine verbindliche Regelung für den Umgang durch die Benutzer mit dem Wartungscenter unter Windows ab Version 7 definiert?

  • Werden die Standardstarteinstellungen der Windows-Dienste DPS, WDiSvcHost, und WerSvc genutzt?

  • Wurden die Einstellungen für "Neueste Problembehandlungen vom Windows-Onlinedienst für Problembehandlung abrufen", "Problemberichte senden", "Regelmäßig Daten über Computerkonfiguration an Microsoft senden", "Windows-Sicherung", "Programm zur Benutzerfreundlichkeit" und "Problembehandlung - andere Einstellungen" unter Windows ab Version 7 deaktiviert?

  • Wurde unter Windows ab Version 7 die Einstellung für "Computerwartung" aktiviert?

Stand: 13. EL Stand 2013