Bundesamt für Sicherheit in der Informationstechnik

M 4.425 Verwendung der Tresor- und Cardspace-Funktion auf Clients ab Windows

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Windows bietet für Clients ab Windows 7 verschiedene Netzfunktionen an, die sich vornehmlich an Privatanwender richten und deren Verwendung standardmäßig aktiviert ist. So können seit Windows 7 Zugangsdaten (Anmeldeinformationsverwaltung) für verschiedene Ressourcen, beispielsweise auf externe Computersysteme und Webseiten, und persönliche Informationen (Windows Cardspace) für die Registrierung und Anmeldung bei Webseiten und Online-Diensten verwaltet werden. Windows Cardspace ist mit Einführung von Windows 8 nicht mehr Bestandteil des Betriebssystems und wurde vollständig entfernt.

Damit durch die Verwendung dieser Funktionalitäten innerhalb einer Institution keine Schwachstellen entstehen, müssen für deren Einsatz zunächst die Risiken gegenüber dem Nutzen abgewogen werden. Bei einer positiven Entscheidung hinsichtlich des Einsatzes ist die Verwendung der Funktionen sorgfältig zu planen und umzusetzen.

Anmeldeinformationsverwaltung (Tresor)

Seit der Version 7 verfügt das Windows-Betriebssystem über eine zentrale Speicherstelle für Zugangsdaten für verschiedene Netzressourcen, beispielsweise für andere Windows-Systeme, Online-Dienste und Webseiten. Die gespeicherten Zugangsdaten werden nach Windows-Anmeldeinformation, zertifikatbasierte Anmeldeinformationen und generischen Anmeldeinformationen unterschieden und auf dem Computer in einem besonderen Ordner gespeichert, der auch die Bezeichnung Tresor trägt. Unter Windows 8 verfügt die Anmeldeinformationsverwaltung neben der Verwaltung von Windows-Anmeldeinformationen auch über die Funktion der Verwaltung von Webanmeldeinformationen, durch welche die Speicherung von Passwörtern von Webseiten erfolgt.

Die Anmeldeinformationsverwaltung ist in der Systemsteuerung unter dem Pfad Benutzerkonten und Family Safety zu finden

Diese zentrale Speicherung von Anmeldeinformationen birgt unter anderem das Risiko, dass sich unbefugte Dritte Zugang zum Zugangsdatenspeicher verschaffen können, beispielsweise wenn der Bildschirm nicht gesperrt wurde. Über die Funktion Tresor sichern könnte ein Unbefugter, ohne sich als der aktuelle Benutzer authentisieren zu müssen und mit einem selbst gewählten Passwort, alle Anmeldeinformationen beispielsweise auf einem externen Datenträger sichern. Anschließend kann er die Zugangsdaten auf einem anderen System in seinen Tresor mit Hilfe der Funktion Tresor wiederherstellen überspielen.

Es muss daher abgewogen werden, ob der Nutzen und die Zeitersparnis nicht jedes Mal die Zugangsdaten eingeben zu müssen, das beschriebene Risiko überwiegt.

In einer Richtlinie sollte festgehalten werden, ob in der Institution die Speicherung der Zugangsdaten im sogenannten Tresor erlaubt oder verboten wird.

Ein Verbot lässt sich technisch über eine Gruppenrichtlinie durchsetzen. Dazu ist im Gruppenrichtlinienobjekt-Editor im Bereich Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste der Dienst Anmeldeinformationsverwaltung zu deaktivieren. Ohne diesen gestarteten Dienst ist die zentrale Speicherung von Zugangsdaten im Tresor nicht mehr möglich.

Windows Cardspace (nur Windows 7)

Im Tresor können nur die benötigten Informationen für eine Anmeldung an einem Dienst gespeichert werden (Benutzername, Passwort oder Zertifikat). Dagegen wird über Windows Cardspace unter Windows 7 eine Möglichkeit bereitgestellt, Informationen, die für eine Registrierung oder Anmeldung bei Webseiten und Online-Diensten verwendet werden, zentral mittels sogenannter Karten zu speichern. Wenn Zugangsdaten in Windows Cardspace gespeichert werden sollen, muss dafür eine Richtlinie existieren.

Es können zwei Arten von Karten verwendet werden: persönliche und verwaltete Karten.

Persönliche Karten können von den Benutzern selbst erstellt und mit persönlichen Informationen wie Vorname, Name und E-Mail-Adresse ergänzt werden.

Verwaltete Karten können nur von einer Institution erstellt werden und enthalten validierte Informationen, beispielsweise zu einer Person und deren Kontonummer. Der Benutzer installiert die verwaltete Karte. Die durch die Karte referenzierten Daten bleiben lokal auf dem IT -System in der Institution gespeichert und werden von ihr an den Diensteanbieter, beispielsweise einen Online-Buchhändler, auf Betreiben des Benutzers hin übermittelt. Auf Seiten der Diensteanbieter werden Mechanismen für die Verarbeitung der CardSpace-Informationen beispielsweise über das .NET-Framework bereitgestellt.

Jede Karte kann bei den unterschiedlichsten Online-Diensten und Webseiten verwendet werden. Zu jeder Karte werden der Verlauf der Verwendung und der Gültigkeitszeitraum der Karte gespeichert.

Die Karten werden verschlüsselt auf dem IT -System des Benutzers abgespeichert. Sie können auch verschlüsselt auf externe Datenträger übertragen werden. Zum einen ist dadurch eine Möglichkeit zum Backup der Karten gegeben und zum anderen können die Karten auf einem anderen Windows-System entschlüsselt und verwendet werden.

Um einen unbefugten Zugriff auf die Karten zu unterbinden, sollte von der Institution, beziehungsweise vom Benutzer, eine PIN für jede Karte und ein Passwort für die Kartensicherung festgelegt werden. Gehen diese Informationen verloren, ist kein Zugriff auf die Karten mehr möglich und die Karten müssen neu erstellt oder neu von der kartenausgebenden Institution angefordert werden.

Auch hier muss die Möglichkeit betrachtet werden, dass sich Unbefugte Zugriff auf diese Karten verschaffen und diese missbräuchlich einsetzen. Beispielsweise könnten die dazugehörenden PIN s per Keylogger oder Social Engineering abgefangen werden. Daher ist der Einsatz von Windows Cardspace im Vorfeld abzuwägen.

In Institutionen, in denen es keinen Verwendungszweck für Windows Cardspace gibt, oder wo die Nutzung von Windows Cardspace durch die Windows 7 Richtlinie verboten wird, sollte dieser Dienst deaktiviert werden.

Eine Deaktivierung von Windows Cardspace ist im Gruppenrichtlinienobjekt-Editor im Bereich Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Systemdienste möglich.

Schulung der Benutzer im Umgang mit den Windows-Funktionen

Entschließt sich die Institution für den Einsatz einer der beiden hier beschriebenen Funktionen, sind in jedem Fall auch die Benutzer über die möglichen Gefahren bei der Nutzung dieser Funktionen aufzuklären und im sicheren Umgang zu schulen (siehe M 3.28 Schulung zu Sicherheitsmechanismen für Benutzer bei Windows Client-Betriebssystemen ).

Prüffragen:

  • Existiert für Windows-Clients ab Windows 7 eine Richtlinie zur Speicherung der Zugangsdaten im sogenannten Tresor?

  • Wurde für Windows-Clients ab Windows 7 die Gruppenrichtlinie für das Verhalten des Dienstes Anmeldeinformationsverwaltung entsprechend der Richtlinie konfiguriert?

  • Existiert eine Richtlinie für den Einsatz von Windows Cardspace unter Windows 7?

  • Wurde die Gruppenrichtlinie für das Verhalten des Dienstes Windows Cardspace unter Windows 7 entsprechend der Richtlinie konfiguriert?

Stand: 15. EL Stand 2016