M 4.247 Restriktive Berechtigungsvergabe unter Windows XP
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Insgesamt können unter Windows XP Berechtigungen in folgenden Bereichen vergeben werden:
- Dateisystem,
- Registrierung,
- Systemberechtigungen bzw. Benutzerberechtigungen,
- Berechtigungen für den Zugriff auf die Freigaben.
Alle Berechtigungen sind grundsätzlich restriktiv zu vergeben, d. h. die sog. Need-to-know- bzw. Least-Privilege-Strategien müssen umgesetzt werden (siehe auch M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP). Dies betrifft ausnahmslos alle Bereiche, in denen Berechtigungen vergeben werden können. Das im Vorfeld der Windows XP Einführung spezifizierte Berechtigungskonzept (siehe M 2.325 Planung der Windows XP Sicherheitsrichtlinie) muss umgesetzt werden.
Im Allgemeinen wird empfohlen, die Vergabe von Berechtigungen an einzelne Benutzer zu vermeiden, da dies zu komplexen und unübersichtlichen Strukturen führt, die gegen eine Fehlkonfiguration anfällig sind. Die Zuweisung der Berechtigungen sollte nach Möglichkeit ausschließlich auf Gruppenbasis erfolgen. Auf diese Weise müssen die meisten Berechtigungen nur einmal vergeben werden, die Konfiguration im Betrieb erfolgt über die Gruppenzugehörigkeit.
Weiterhin wird empfohlen, dedizierte Gruppen für einzelne Anwendungen zu definieren. Entsprechend sind die Zugriffsberechtigungen auf Software und Daten im Dateisystem und in der Registrierung zu vergeben.
Sind die Benutzer für Berechtigungsvergabe z. B. auf eigenen oder Projektdateien zuständig, so müssen sie entsprechend geschult werden. Anderenfalls können unsichere Dateizugriffsrechte unter Umständen zur Kompromittierung eines Einzelsystems oder im schlimmsten Fall zur Kompromittierung des gesamten Netzes führen.
Nach der Installation und insbesondere nach einem Upgrade oder einer größeren Systemänderung (z. B. dem Einspielen eines neuen Service Packs) ist die Korrektheit der vergebenen Berechtigungen zu verifizieren.
Eine Berechtigungsvergabe an die eingebaute Benutzergruppe Jeder (insbesondere Vollzugriff, Schreiben/Ändern Rechte) sollte grundsätzlich vermieden werden. Soll der Zugriff für alle Benutzer möglich sein, empfiehlt sich stattdessen die Verwendung der ebenfalls eingebauten Gruppe Authentifizierte Benutzer.
Unter Windows XP werden in den Standardeinstellungen restriktivere Berechtigungen vergeben als es unter Windows 2000 der Fall war. Dennoch sind weitere Verbesserungen möglich. Die nachfolgenden Basiseinstellungen sind anhand konkreter Umstände und im Einzelfall anzupassen.
Basiseinstellungen Benutzerrechte/Systemberechtigungen
Eine Beispieltabelle mit den lokalen Richtlinien und der Zuweisung von Benutzerrechten findet sich in den Hilfsmitteln zum IT-Grundschutz.
Diese Vorgaben zeigen Sicherheitseinstellungen auf, die als Ausgangsbasis für die Sicherheitseinstellungen in der Windows XP Umgebung eines Unternehmens bzw. einer Behörde dienen können. Diese sollten vor dem Einsatz gegebenenfalls angepasst werden.
Basiseinstellungen Dateisystem und Registrierung
Die notwendigen Einschränkungen der Zugriffsrechte sind anhand der konkreten Umstände und im Einzelfall festzulegen, so dass an dieser Stelle keine allgemein gültigen Empfehlungen möglich sind. Dabei sind nicht nur systemspezifische, sondern auch anwendungsspezifische Verzeichnisse und Dateien zu identifizieren, die einem besonderen Schutzbedarf unterliegen. Um unautorisierten Zugriff zu verhindern, müssen die Zugriffsrechte dann geeignet eingeschränkt werden. Die Einschränkungen der Zugriffsrechte können mit Hilfe der Gruppenrichtlinien definiert und verteilt werden.
Eine Beispieltabelle mit den lokalen Richtlinien und der Zuweisung von Benutzerrechten findet sich in den Hilfsmitteln zum IT-Grundschutz. Diese Vorgaben zeigen Sicherheitseinstellungen für die Registrierung sowie Systemverzeichnisse und -dateien auf, die als Ausgangsbasis für die Sicherheitseinstellungen in der Windows XP Umgebung eines Unternehmens bzw. einer Behörde dienen können. Diese Einstellungen können bei Bedarf an die lokalen Gegebenheiten angepasst und erweitert werden. Die vorgeschlagenen Vorgaben basieren auf folgenden Dokumenten:
- NSA Guide to securing Microsoft Windows XP (http://www.nsa.gov/snac/downloads_all.cfm),
- Microsoft Windows XP security guide (http://go.microsoft.com/fwlink/?LinkId=14840).
In diesen Dokumenten können auch weitere Informationen zu einzelnen Sicherheitseinstellungen gefunden werden.
Tabellen zu
- Zugriffsrechte für Systemverzeichnisse und -dateien, sowie
- Zugriffsrechte Registrierung
finden sich unter den Hilfsmitteln zum IT-Grundschutz.
In den Tabellen werden folgende Methoden verwendet:
- Propagieren: Die Zugriffsrechte werden zusätzlich zu existierenden vererbt, sofern anwendbar.
- Ersetzen: Die Zugriffsrechte werden ersetzt, sofern anwendbar.
- Ignorieren: Die bestehenden Zugriffsrechte sollen nicht ersetzt werden.
Ergänzende Kontrollfragen:
- Wurde ein entsprechendes Berechtigungskonzept definiert und umgesetzt?
- Werden die Berechtigungen auf Gruppenbasis vergeben?
- Wird die Korrektheit der vergebenen Berechtigungen regelmäßig kontrolliert?
- Wurden Benutzer in Sachen sicherer Berechtigungsvergabe geschult, wenn sie für Berechtigungsvergabe zuständig sind (z. B. auf eigenen oder Projektdateien)?