M 2.104 Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von Windows 95
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Soll unerfahrenen Benutzern das Navigieren unter Windows 95 erleichtert werden oder ist aus betrieblicher Sicht die Einschränkung bestimmter Ressourcen notwendig, so kann unter Windows 95 mit so genannten Systemrichtlinien die Benutzerumgebung benutzerspezifisch mit bestimmten Restriktionen versehen werden. Jedoch sollte berücksichtigt werden, dass Benutzer gegenüber dem IT-System möglicherweise eine abweisende Haltung einnehmen, wenn Einschränkungen nicht unmittelbar einsichtig sind. Eine Einschränkung sollte also nur dann erfolgen, wenn sie tatsächlich notwendig ist oder wenn sie vom Benutzer nicht bemerkt wird.
Sobald Systemrichtlinien aktiviert sind, wird beim Starten von Windows 95 überprüft, ob benutzerspezifische Einschränkungen für den aktuellen Benutzer eingerichtet wurden. Ist dies der Fall, werden diese geladen. Ist dies nicht der Fall, werden die Einschränkungen für den Standardbenutzer herangezogen. Im folgenden werden zunächst die prinzipiellen Einschränkungen beschrieben, die mit den Systemrichtlinien eingestellt werden können. Anschließend wird aufgezeigt, wie diese mittels des Systemrichtlinieneditors (POLEDIT.EXE) angelegt und aktiviert werden können.
Die wesentlichen mit Systemrichtlinien einzustellenden Restriktionen für einen nicht vernetzten Windows 95-Rechner sind:
-
Der Zugriff auf die Systemsteuerung kann bezüglich der Optionen ANZEIGE, NETZWERK, KENNWÖRTER, DRUCKEREINSTELLUNGEN und SYSTEM eingeschränkt werden. Die jeweiligen Optionen können zum Teil vollständig deaktiviert oder auf einzelne Registerkarten beschränkt werden.
Wesentlich bei diesen Optionen sind folgende Punkte:- Es können Vorgaben für Bildschirmfarben unter Ergonomiegesichtspunkten gemacht werden.
- Es kann vorgesehen werden, eigene Kennwörter durch den Benutzer ändern zu lassen.
- Druckerkonfiguration und Hardware-Einstellungen lassen sich fest vorgeben.
- Der Zugriff auf einzelne Funktionen der Benutzeroberfläche kann eingeschränkt werden. Beispielsweise können die Befehle AUSFÜHREN, SUCHEN und BEENDEN entfernt werden. Damit wird zum Beispiel verhindert, dass Benutzer nach sicherheitsrelevanten Dateien oder Programmen suchen und diese dann ggf. ausführen. Die Laufwerke lassen sich aus dem ARBEITSPLATZ und für den EXPLORER (dem früheren Dateimanager) ausblenden. Partitionen (Laufwerke) können dann ggf. nur noch aus Anwendungen heraus gewechselt werden, da standardmäßig nur die Start-Partition (z. B. C:\) zur Verfügung steht.
- Der Programmstart von ausführbaren Dateien kann eingeschränkt und die DOS-Eingabeaufforderung deaktiviert werden. Die für den einzelnen Benutzer erlaubten Anwendungen lassen sich explizit vorgeben (z. B. WINWORD.EXE, EXCEL.EXE und EXPLORER.EXE)
Zusätzlich kann für den Rechner gefordert werden, dass die Windows 95-Anmeldekennwörter sowohl aus Buchstaben als auch aus Sonderzeichen oder Zahlen bestehen müssen und welche Mindestlänge sie aufweisen sollen. Programme, die beim Systemstart ausgeführt werden sollen, lassen sich ebenfalls vorgeben.
Im folgenden wird in einzelnen Schritten gezeigt, wie Systemrichtlinien angelegt und aktiviert werden können und welche Restriktionen für einen nicht vernetzten Windows 95-Rechner Sicherheit bieten:
1. Anlegen einer Systemrichtliniendatei
Mit Hilfe des Systemrichtlinieneditors wird eine Systemrichtliniendatei erzeugt. Ihr Name ist zwar beliebig, jedoch wird an dieser Stelle der Einfachheit halber der Name CONFIG.POL gewählt. Dazu wird das Programm POLEDIT.EXE aufgerufen, eine neue Datei angelegt und diese unter dem Namen CONFIG.POL abgespeichert. Diese Datei enthält automatisch Einträge für den Standardbenutzer und den Standardcomputer, die im nächsten Schritt ggf. einzuschränken sind. Für den Administrator sind ebenfalls Einträge für den Computer und den Benutzer anzulegen (im Menü BEARBEITEN mit BENUTZER HINZUFÜGEN und COMPUTER HINZUFÜGEN), die im dritten Schritt zu spezifizieren sind.

Abbildung: Systemrichtlinien-Editor
2. Definition einer Richtlinie für den Standardbenutzer und Standardcomputer
Öffnet man mit dem Systemrichtlinieneditor die Einstellungen für den Standardbenutzer, so kann man menügeführt die entsprechenden sicherheitsrelevanten Einträge vornehmen.
Beispielsweise:
Abbildung: Maske Eigenschaften Standardbenutzer
Für einen Standardbenutzer sollten folgende Restriktionen eingestellt werden:
Systemsteuerung
- Der Zugriff auf die Registerkarte BILDSCHIRMSCHONER sollte dann deaktiviert werden, wenn der Benutzer die Bildschirmsperre nicht deaktivieren können soll. In diesem Fall ist ihm allerdings die Möglichkeit zu geben, das Bildschirmpasswort zu ändern. Dazu darf die SYSTEMSTEUERUNG (s. u.) nicht vollständig und bei der Option KENNWÖRTER die Registerkarte KENNWORT ÄNDERN nicht deaktiviert sein.
- Damit der Benutzer die Systemrichtlinien nicht deaktivieren kann, ist zwingend die Registerkarte BENUTZERPROFILE für die Systemsteuerungsoption KENNWÖRTER auszublenden.
- Die Einstellungen für die Hardware-Konfiguration sind vorzunehmen und der Zugriff auf die Register und Schaltflächen für die Systemsteuerungsoption SYSTEM maximal zu beschränken, damit fehlerhafte Konfigurationen durch den Benutzer vermieden werden, die die Verfügbarkeit oder Leistungsfähigkeit des Rechners einschränken können.
Shell-Zugriffsbeschränkungen
- Der Befehl AUSFÜHREN sollte deaktiviert werden, wenn verhindert werden soll, dass bestimmte Programme unter Angaben von Optionen gestartet werden können.
- Die SYSTEM- und DRUCKERSTEUERUNG kann vollständig deaktiviert werden, wenn man die Option ORDNER UNTER "EINSTELLUNGEN" IM MENÜ "START" ENTFERNEN aktiviert. Dies ist immer dann notwendig, wenn dem Benutzer jegliche Möglichkeit genommen werden soll, System- oder Druckereinstellungen zu ändern. Damit der Benutzer sein Bildschirmpasswort ändern kann, ist unter der Systemsteuerungsoption ANZEIGE die Registerkarte BILDSCHIRMSCHONER (siehe oben) freizugeben. Der Benutzer kann dann durch Klicken mit der rechten Maustaste auf den Desktop über EIGENSCHAFTEN auf die Bildschirmsperre zugreifen.
- Soll die Benutzung des EXPLORERS nicht erlaubt sein, so ist die Option LAUFWERKE IM FENSTER "ARBEITSPLATZ" AUSBLENDEN zu aktivieren, da der EXPLORER über den ARBEITSPLATZ gestartet werden kann, selbst wenn die Nutzung explizit verboten wurde.
System-Zugriffsbeschränkungen
-
Die Option PROGRAMME ZUM BEARBEITEN DER REGISTRIERUNG DEAKTIVIEREN ist zu wählen.
Hinweis: Diese Option betrifft nur den Registrierungseditor (REGEDIT.EXE). Mit dem Systemrichtlinien-Editor (POLEDIT.EXE) lässt sich die lokale Registrierung nach wie vor bearbeiten. Dieses Programm sollte daher von der Festplatte gelöscht werden. -
Es sollten nur zugelassene Anwendungen ausführbar sein.
Es sind diejenigen Anwendungen, wie etwa WINWORD.EXE, ACCESS.EXE, EXPLORER.EXE, einzutragen, die der Benutzer ausführen können soll.
- Die MS-DOS-Eingabeaufforderung ist zu deaktivieren.
-
Ggf. sind Single-Mode-Anwendungen für MS-DOS zu deaktivieren.
Falls einige DOS-Anwendungen unter Windows 95 aufgerufen werden sollen, der Benutzer aber nicht auf die DOS-Ebene gelangen soll, ist die DOS-Eingabeaufforderung zu aktivieren, jedoch sind bei den zugelassenen Anwendungen für Windows nur diejenigen zu nennen, die benötigt werden. Die COMMAND.COM darf dann dort nicht genannt werden.
Für einen Standardcomputer sollten folgende Restriktionen eingestellt werden:
Netzwerk
- Unter KENNWÖRTER ist ein alphanumerisches Windows-Anmeldekennwort und eine Mindestlänge von sechs Zeichen zu fordern.
- Unter UPDATE ist REMOTE-UPDATE nicht zu deaktivieren, da sonst die Systemrichtlininen nicht geladen werden.
System
- Die BENUTZERPROFILE sind zu aktivieren.
3. Definition einer Richtlinie für den Administrator
In einer Richtlinie für den Administrator sollten keine der obigen Restriktionen gesetzt werden. Hierfür ist ein eigener Benutzer unter Windows 95 sowie ein Benutzer und Computer mittels Systemrichtlinien einzurichten, da sonst für ihn die über den Standardbenutzer eingestellten Einschränkungen gelten. Das dazugehörige Passwort darf nur dem Administrator und seinem Vertreter bekannt sein.
Diese Richtlinie ist ebenfalls in der Datei CONFIG.POL abzulegen.
4. Definition von Richtlinien für einzelne Benutzer basierend auf dem Standardbenutzer und Standardcomputer
Werden weitere Benutzer benötigt, deren Restriktionen sich von den unter 1. spezifizierten unterscheiden sollen, so sind analog zu 1. diese Richtlinien zusätzlich in der Datei CONFIG.POL einzurichten. Dazu kopiert man das Standardprofil, gibt diesem den Namen des betreffenden Benutzers und stellt die Restriktionen wie unter 1. für diesen Benutzer ein.
5. Aktivieren der Richtlinien
Beim Einrichten der Systemrichtlinien durch den Administrator ist besondere Vorsicht und Aufmerksamkeit geboten, da sehr leicht inkonsistente Systemzustände eingestellt werden können, die ein Arbeiten mit dem Rechner verhindern. Das Betriebssystem wäre neu zu installieren. Die Systemrichtlinien sollten also nur dann aktiviert werden, wenn die Richtlinien mit äußerster Sorgfalt definiert wurden.
Dazu öffnet der Administrator mit dem Systemrichtlinieneditor (POLEDIT.EXE) die lokale Registrierung und setzt dort für den LOKALEN COMPUTER unter der Option NETZWERK-UPDATE den Schalter REMOTE-UPDATE. Als Update-Modus muss INTERAKTIV gewählt werden. Der Pfad für die oben definierte CONFIG.POL ist ebenfalls anzugeben.
Die notwendigen Einstellungen können von besonders erfahrenen Administratoren auch mit dem Registrierungseditor (Programm REGEDIT.EXE) vorgenommen werden.
Darüber hinaus sind in der Programmgruppe SYSTEMSTEUERUNG mit der Schaltfläche KENNWÖRTER die Benutzerprofile zu aktivieren.
Ergänzende Kontrollfragen:
- Ist die Einschränkung der Benutzerumgebung aus betrieblicher Sicht notwendig?
- Ist die Einschränkung bestimmter Ressourcen notwendig?