Jeden Monat stellen wir Inhalte diverser Einstellungen der Admin-Klick-Tabelle für Windows 7 vor. Diese ermöglicht es, innerhalb kürzester Zeit eine technisch, den hohen Anforderungen des BSI-Grundschutzes genügende Umgebung zu konfigurieren.
Diesen Monat dreht sich alles um die Einstellungen zum Thema BIOS. BIOS-Einstellungen können zwar je nach System auch zentral ausgerollt werden, meistens fehlt jedoch die entsprechende Software bzw. die dafür notwendige homogene Umgebung. Die gute Nachricht: In den Grundschutzkatalogen existieren lediglich zwei Anforderungen zur Absicherung des BIOS von Windows Clients (siehe Bild).
Es muss sowohl das BIOS-Passwort aktiviert, als auch die Boot-Reihenfolge definiert festgelegt werden. Die Reihenfolge ist so zu wählen, dass das Booten von anderen Medien verhindert wird. Für jeden Client-PC ist nach Grundschutz ein individuelles BIOS-Passwort zu vergeben. Da für Administratoren dadurch ein erheblicher Mehraufwand entsteht, stößt diese Maßnahme selten auf freudige Gesichter. Um das Setzen und Merken der BIOS-Passwörter zu beschleunigen, empfiehlt es sich, zusammengesetzte Passwörter (z. B. aus Parameter wie Seriennummer und der ID des PCs) zu nutzen. So besitzt jeder Rechner ein individuelles Passwort. Damit wird das Einrichten bzw. Betreuen von Rechnern erheblich einfacher, als wenn man die Passwörter zunächst aus einer Passwortdatenbank holen muss. Bei dieser Methodik muss natürlich sichergestellt werden, dass die Regel zum Erstellen des Passworts nur einem kleinen Personenkreis bekannt ist und nicht nach außen kommuniziert wird. Natürlich ergibt sich dadurch die Problematik, dass beim Ausscheiden von Mitarbeitern, das Passwort nicht mehr sicher ist. Für hochsichere Informationsverbünde müssten hier sukzessive die BIOS-Passwörter mittels einer neuen Methodik geändert werden.
Alternativ können auch Passwortspeicher-Tools verwendet werden, jedoch besteht auch hier die Möglichkeit, dass ein potentieller Angreifer, der die Datenbank kopiert und anschließend ausscheidet, auch Zugriff auf sämtliche BIOS-Informationen eines Rechners erhält.
Letztendlich kann jeder Angreifer auch einfach die BIOS-Batterie ausbauen um an das gewünschte BIOS heranzukommen. Trotz allem erschwert diese Einstellung einem Angreifer das Kompromittieren von Systemen und das muss ja schließlich das Ziel eines Informationsverbundes sein
/ssu