22. Dezember 2010

Sicheres Windows

Jedes Jahr veröffentlicht das Bundesamt für Sicherheit (BSI) die Grundschutz-Kataloge, dessen Inhalte die grundsätzlichen Maßnahmen zum Schutz eines Informationsverbundes vor Daten- bzw. Informationsverlust enthalten.

Da die Anwender immer wieder berichteten, dass die technischen Anforderungen so nicht umzusetzen sind, haben wir uns überlegt, dies zu evaluieren. Sämtliche Informationen wurden dabei durch mich in verschiedene Excel-Listen für Windows Server (2003, 2008) und Clients (XP, Win7), mit jeweils über 200 technischen Anforderungen, gegossen. Dabei habe ich die teilweise fehlenden Pfade, sowie die entsprechenden Einstellungen angepasst und dokumentiert.

Dabei sollte erwähnt werden, dass die Vorgaben des BSI für die Betriebssysteme Windows XP (B 3.209) und Windows Vista (B 3.210) sowie der Allgemeine Client (B 3.201)  nach bestem Wissen auf Windows 7 angewendet wurden, da Windows 7 noch nicht Teil der aktuellen Grundschutzkataloge ist.

Zusätzlich zu den Anforderungen des BSI sind in die Excel-Tabelle noch Best Practices aus der Praxis verschiedener Kundenprojekte bzw. der Security Guides von Microsoft eingeflossen .

Hier ist ein exemplarischer Auszug dieser Liste:

Sicherer Client, Auszug, Liste, Absicherung, sicher, Grundschutz, BSI, Security Baseline

Erläuterung:

Die Anr ist eine laufende Nummer um referenzieren zu können. In der folgenden Spalte ist die Ausführung beschrieben bzw. welche Einstellung umzusetzen ist und ob der Wert nach einer Standardinstallation des Systems gesetzt ist oder nicht. In der 3. Spalte wird der Status der Einstellung (Aktiviert/Deaktiviert) bzw. die dazugehörige Einstellung beschrieben. Anschließend folgt noch die Beschreibung,  wo die Einstellung zu finden ist (Pfad).

Die letzten beiden Spalten sind für die Herkunft der Anforderung. Dies dient der Nachvollziehbarkeit, da Anwender auf Kundenseite oft wissen möchten, auf welche Anforderung eine Aktion zurückzuführen ist und woher diese Anforderung stammt.

Ein Beispiel einer sehr schönen Maßnahme, die selten auf Begeisterung stößt, ist die Umsetzung der Gruppenrichtlinie „Letzten Benutzernamen nicht anzeigen“. Dadurch muss bei jedem Systemstart der Benutzername explizit eingegeben werden. Die Gegner der Maßnahme kommen dann meistens mit dem Argument, dass wenn der Benutzername angezeigt wird, der Anwender die Möglichkeit hat zu sehen, ob sich eine Dritte Person am Rechner angemeldet hat? Das ist zugegebenermaßen ein Argument gegen die Umsetzung, jedoch ist das System trotzdem sicherer, da ein lokaler Angreifer erst einmal einen Benutzernamen wissen muss um ein ggfs. zugehöriges Passwort einzugeben. Außerdem kann man noch dem mutwilligen Sperren eines Benutzerkontos, durch falsche Eingaben des Passworts, entgegenwirken.

Alle Informationen zu dem Produkt finden Sie auch auf unserer Homepage.

/ssu

Kommentar hinterlassen

 

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.