Bundesamt für Sicherheit in der Informationstechnik

M 4.423 Verwendung der Heimnetzgruppen-Funktion ab Windows 7

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

In Windows 7 wurde die neue Funktion Heimnetzgruppe (englisch Homegroup) eingeführt. Sie ermöglicht den einfachen Zugriff auf Dateien (Bilder, Musik, Videos und Dokumente) und Drucker anderer IT-Systeme im lokalen Netz. Der Zugriff auf die Daten erfolgt gruppiert über die Bibliotheksfunktion (Zusammenfassung von Dateien in unterschiedlichen Ordnern des gleichen Typs, beispielsweise Musikdateien, Dokumente, Bilderdateien oder Videodateien) von Windows 7.

Es kann mit allen Windows-7-Versionen auf eine bestehende Heimnetzgruppe zugegriffen werden. Die Erstellung einer neuen Heimnetzgruppe ist ab der Version Home Premium möglich. Unter Windows 8 gibt es keine Beschränkungen. Wenn der Computer bereits einer Domäne angehört, kann zwar einer Heimnetzgruppe beigetreten werden, eine solchen Gruppe kann allerdings nicht erstellt werden.

Während des Anlegens einer Heimnetzgruppe wird ein Passwort generiert, dass auf allen IT-Systemen eingegeben werden muss, die der Heimnetzgruppe angehören sollen. Danach kann auf die vorhandenen Freigaben zugegriffen werden. Das Passwort der Heimnetzgruppe kann nachträglich geändert werden. Während des Passwortänderungsvorgangs müssen alle IT-Systeme der Heimnetzgruppe eingeschaltet sein. Im Anschluss muss an jedem dieser IT-Systeme das neue Passwort eingetragen werden. Alternativ kann die Authentisierung über bestehende Benutzerkonten eines IT-Systems erfolgen.

Die Heimnetzgruppe wird auf Basis von IPv6 über das Microsoft Peer Name Resolution Protocol (PNRP), sowie der Verwendung der Freigabe-Funktionen und der Benutzerverwaltung des Betriebssystems realisiert.

Jedes IT-System kann auf die freigegebenen Daten der anderen Heimnetzgruppen-Systeme zugreifen und selbst Daten freigeben. Voraussetzung für die Funktion Heimnetzgruppe ist die Einstellung "Heimnetzwerk" als Standorttyps des Netzes. Auf den IT-Systemen einer Heimnetzgruppe wird standardmäßig eine neue Benutzergruppe namens HomeUsers (deutsch: Heimnetzgruppe, sie enthält alle lokalen Benutzer des Computers) und der Benutzer HomeGroupUser$ eingerichtet.

IT-Systeme, die mit einer Domäne verbunden sind

Ist ein IT-System (beispielsweise ein Laptop) Teil einer Domäne, kann durch dieses IT-System keine Heimnetzgruppe erstellt werden. Solche IT-Systeme können vorhandenen Heimnetzgruppen beitreten, jedoch werden keinerlei Daten von diesem IT-System im Heimnetz freigegeben. Dadurch wird sichergestellt, dass durch die Verwendung der Heimnetzgruppe keine vertraulichen Informationen durch Unbefugte eingesehen oder verändert werden können. Wenn die Verwendung von dienstlich zur Verfügung gestellter IT in Heim-Umgebungen per Anweisung generell untersagt ist, dann sollte die Heimnetzgruppen-Funktionalität des IT-Systems per Gruppenrichtlinie deaktiviert werden.

Einsatz der Heimnetzgruppe in einer Institution

Vor dem Einsatz der Heimnetzgruppen-Funktionalität in einer Institution ist zu prüfen, ob die Funktionalität zur Erreichung der Institutionsziele benötigt wird und der damit verbundene Nutzen die Risiken überwiegt. Unter Umständen kann der Datenzugriff auch über andere technische Mittel (beispielsweise über Fileserver mit angeschlossenem Verzeichnisdienst) erreicht werden.

Die Entscheidung zur Nutzung oder Nicht-Nutzung dieser Funktionalität sollte in einer Richtlinie festgelegt werden. Hierbei ist festzulegen, ob die Datei- und Druckerfreigabe via Peer-to-Peer-Funktionalität (vgl. M 5.152 Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste) erlaubt sein soll.

Im Gruppenrichtlinienobjekt-Editor ist der Beitritt zu einer Heimnetzgruppe im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Heimnetzgruppe konfigurierbar. In der Gruppenrichtlinie Beitritt des Computers zu einer Heimnetzgruppe verhindern können drei Zustände eingestellt werden: Nicht konfiguriert, Deaktiviert und Aktiviert. Bei den ersten beiden Zuständen ist der Beitritt zur Heimnetzgruppe möglich.

Sollte der Einsatz der Heimnetzgruppe durch die Richtlinie erlaubt sein, dann muss dessen Einsatz sorgfältig geplant und danach sicher betrieben werden.

Zudem sind für betroffene mobile IT-Systeme M 2.442 Einsatz von Windows-Clients ab Windows Vista auf mobilen Systemen und B 3.3 Laptop anzuwenden.

Da beim Zugriff auf freigegebene Daten Schadsoftware auf das IT-System gelangen kann, ist dafür zu sorgen, dass die Maßnahmen des Bausteins B 1.6 Schutz vor Schadprogrammen institutionsweit und speziell für den in der Heimnetzgruppe befindlichen Computer umgesetzt sind.

Auch müssen die Benutzer im Umgang mit den Freigaben geschult werden, so dass sie zum Beispiel keine vertraulichen Daten ihres Laptops in die freigegebenen Ordner einstellen.

Wenn die Verwendung der Heimnetzgruppe wieder aufgehoben werden soll, muss die Heimnetzgruppe verlassen werden. Dazu ist die Systemsteuerung zu öffnen, im Suchfeld Heimnetzgruppe einzutragen und auf diesen Begriff zu klicken. Im Dialog-Fenster Heimnetzgruppe wählt man anschließend den Link Heimnetzgruppe verlassen und im nächsten Fenster erneut Heimnetzgruppe verlassen und klickt auf Fertig stellen.

Windows setzt dann die entsprechenden Rechte wie vor dem Beitritt zur Heimnetzgruppe und löscht den Benutzer HomeGroupUser$ und die Benutzergruppe HomeUsers.

Schulung der Benutzer im Umgang mit der Heimnetzgruppen-Funktion

Entscheidet sich die Institution für den Einsatz der Heimnetzgruppe, so sind in jedem Fall die Benutzer über die möglichen Gefahren bei der Nutzung dieser Funktion aufzuklären und der sichere Umgang zu schulen (siehe M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen).

Prüffragen:

  • Existiert eine Richtlinie für die Nutzung der Heimnetzgruppen-Funktionalität?

  • Wurde die Gruppenrichtlinie Beitritt des Computers zu einer Heimnetzgruppe verhindern entsprechend der Richtlinie konfiguriert?

  • Wurden die Benutzer im Umgang mit den Freigaben der Heimnetzgruppe geschult?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK