M 3.28 Schulung zu Windows 2000/XP Sicherheitsmechanismen für Benutzer
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, Leiter IT
Die Sicherheit der auf Windows 2000/XP Rechnern gespeicherten Daten hängt zu einem großen Teil auch vom korrekten Umgang der Benutzer mit den Windows 2000/XP Sicherheitsmechanismen ab. Um diese effektiv nutzen zu können, sollten Benutzer von Windows 2000/XP Rechnern entsprechend geschult werden.
Benutzersicht auf Sicherheitsmechanismen
Beim Umgang mit Windows 2000/XP Rechnern kann ein großer Teil der sicherheitsrelevanten Einstellungen dem Benutzer durch entsprechende Vorarbeiten und Voreinstellungen des Administrators abgenommen werden. Um einheitliche und überprüfbare Rechnerkonfigurationen zu erhalten, ist ein solches Vorgehen unabdingbar.
Einige sicherheitsrelevante Einstellungen können allerdings vom Benutzer selbst vorgenommen werden. Dazu gehören die Zugriffsrechte auf die eigenen Dateien und Verzeichnisse eines Benutzers. Die Zugriffsrechte darauf können einzelnen Benutzern oder Benutzergruppen eingeräumt bzw. verweigert werden. Widersprechen sich die für einen Benutzer konfigurierten Zugriffsrechte (z. B. weil der Benutzer Mitglied der beiden Gruppen A und B ist, wobei der Zugriff für Gruppe A zugelassen ist, während er für Gruppe B verweigert wird), so wird der Zugriff verweigert. Generell gilt zunächst auch hier, dass die Zugriffsrechte auf die eigenen Dateien eines Benutzers vom Administrator voreingestellt und automatisch auf neue Dateien und Ordner übertragen werden. Da Benutzer jedoch in der Regel die Möglichkeit besitzen, die Zugriffsrechte zu verändern, ist es notwendig, dass jeder Benutzer entsprechend geschult wird (siehe dazu auch M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP).
Ein weiterer Punkt, auf den eine Benutzerschulung eingehen muss, ist die Verwendung des verschlüsselnden Dateisystems EFS (Encrypting File System). Neben der Vermeidung von Fallstricken bei der Benutzung des EFS sollte hier vor allem vermittelt werden, in welchem Ausmaß EFS die Vertraulichkeit von Dateien schützen kann, und wo dieser Schutz aufhört (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP).
Schulungsinhalte
Die folgenden Stichpunkte fassen notwendige Schulungsinhalte für den sicheren Umgang von Benutzern mit Windows 2000/XP zusammen:
Verwendung von Zugriffsrechten im NTFS Dateisystem
- Schutz von Dateien durch Zugriffsrechte
- Vererbung von Zugriffsrechten
- Kopieren und Verschieben von Dateien
- Übergabe einer Datei an einen neuen Besitzer
- Sensibilisierung für Beschränkungen des Schutzes von Dateien durch Zugriffsrechte
- Benutzer mit administrativen Rechten können Zugriffsrechte umgehen.
- Bei direktem Zugriff auf die Hardware (z. B. nach Diebstahl) lassen sich Zugriffsrechte umgehen.
- Dateien sind beim Transport über das Netz nicht geschützt.
Benutzung von EFS (siehe auch M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP)
- Nutzen von EFS (EFS bietet einen zusätzlichen Schutz der Vertraulichkeit von Dateien)
- Bedienung von EFS
- Problematik des "nachträglichen Verschlüsselns"
- Geeignete Passwort-Auswahl (Passwortqualität ist wesentlich für die Effektivität von EFS)
- Verwendung eines zusätzlichen Startpasswortes mittels SYSKEY (wesentlich bei Verwendung lokaler Benutzerkonten)
- Sensibilisierung für Beschränkungen des Schutzes durch EFS
- Benutzer mit administrativen Rechten können die Verschlüsselung umgehen.
- Verschlüsselt gespeicherte Dateien sind beim Transport über das Netz nicht geschützt, es sei denn, EFS wird mit WebDAV verwendet.
Sonstige Sicherheitshinweise
- Sicheres Löschen von Dateien (siehe auch M 4.56 Sicheres Löschen unter Windows-Betriebssystemen, die analog auch auf Windows 2000/XP zutrifft)
- Sicherheitshinweise zum automatischen Erkennen von CD-ROMs bzw. zur Autostart-Funktion (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung)
- Sicherheitshinweise zum sicheren Umgang mit USB-Speichermedien (siehe auch M 4.200 Umgang mit USB-Speichermedien)
- Sicherheitshinweise zur sicheren Benutzung von Windows XP-spezifischen Sicherheitstechnologien wie Sicherheitszentrum, Windows Firewall und WPA (WiFi Protected Access)
Ergänzende Kontrollfragen:
- Wurde eine Benutzerschulung zur Windows 2000/XP Sicherheit durchgeführt?
- Sind die Benutzer in die Vergabe von Zugriffsrechten auf eigene Dateien eingewiesen worden?
- Wurden die Benutzer auf die Sicherheitsmechanismen der verwendeten Werkzeuge hingewiesen und in deren Nutzung geschult?