M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT/2000/XP System
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Windows NT/2000/XP kann nur dann sicher betrieben werden, wenn vom Systemstart an gewährleistet ist, dass eine geschlossene Sicherheitsumgebung aufgebaut wird, also dass keine Wege an den Sicherheitsfunktionen des Betriebssystems vorbei bestehen. Dies erfordert, dass sich alle durch Windows NT/2000/XP schützbaren Ressourcen unter der Kontrolle des Betriebssystems befinden. Außerdem darf es auch keine Möglichkeit geben, fremde Systeme oder offene Systemumgebungen zu starten, die den durch Windows NT/2000/XP gebotenen Schutz unterlaufen können. Dazu sind die folgenden Aspekte zu beachten:
- Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem NTFS formatiert sein. Partitionen, die mit den Dateisystemen FAT12, FAT16, VFAT, FAT32 oder HPFS formatiert sind, können nicht gegen Zugriffe der Benutzer geschützt werden. Dies bedeutet einerseits, dass die auf ihnen abgelegten Daten beliebigen Zugriffen aller Benutzer ausgesetzt sind, und andererseits können diese Partitionen zum unkontrollierten Datenaustausch zwischen Benutzern missbraucht werden.
- Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter Windows NT/2000/XP nur mit dem Dateisystem FAT bzw. VFAT formatiert werden können. Aus diesem Grund sind Diskettenlaufwerke an allen Rechnern, die nicht unter strikter physischer Kontrolle stehen, grundsätzlich zu sperren (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern). Auf Windows NT/2000/XP Clients können die Diskettenlaufwerke auch durch Deaktivieren über die Systemsteuerungsoption Geräte bzw. Computerverwaltung/Geräte-Manager, Gerät Floppy, die Diskettenlaufwerke für unprivilegierte Benutzer außer Betrieb gesetzt werden. Hiervon sollte auf Windows NT/2000 Servern abgesehen werden (siehe hierzu M 4.52 Geräteschutz unter NT-basierten Windows-Systemen).
- Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist es möglich, von einem vorhandenen CD-ROM-Laufwerk zu booten, so besteht die Gefahr, dass der Rechner mit einem anderen Betriebssystem als Windows NT/2000/XP gestartet wird. Die gleiche Gefährdung ergibt sich, wenn der Rechner von einem USB-Speichermedium gestartet werden kann oder auf einer lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann der Anwender mit verschiedenen Programmen die Sicherheitsmechanismen von Windows NT/2000/XP umgehen. Inzwischen gibt es mehrere Programme, mit denen man Dateien, die unter NTFS geschützt sind, von einer DOS-Umgebung oder einer Linux-Umgebung lesen und zum Teil auch ändern kann. Sowohl unter dem Betriebssystem MS-DOS als auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS gesetzten Sicherheitsattribute ignoriert. Der Anwender hat daher von MS-DOS bzw. von Linux aus Zugriff auf alle Dateien des Rechners. Aus diesem Grund dürfen neben Windows NT/2000/XP keine weiteren Betriebssysteme auf der Festplatte installiert sein. Außerdem ist der Boot-Vorgang durch eine mit einem BIOS-Passwort geschützte Einstellung des BIOS so abzusichern, dass das System nicht von einem eventuell vorhandenen Diskettenlaufwerk, von einem CD-/DVD-ROM-Laufwerk oder von einem USB-Speichermedium aus gestartet werden kann (siehe M 4.1 Passwortschutz für IT-Systeme).
- Im Rahmen einer Neuinstallation von Windows NT/2000/XP hat man die Möglichkeit, die bestehende Installation des Betriebssystems zu aktualisieren oder eine neue Version parallel zu installieren. Bei der parallelen Installation wird die bestehende Dateistruktur nicht verändert, doch wird das vordefinierte Administratorkonto mit einem neuen Passwort neu angelegt. Dieser "neue" Administrator hat dann vollen Zugriff auf alle Ressourcen des Rechners und damit auch auf alle Daten und Programme. Um diese Möglichkeit der Neuinstallation zu verhindern, dürfen Benutzer nicht in der Lage sein, die Datei BOOT.INI im Wurzelverzeichnis der ersten Platte zu verändern (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT, M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP, M 4.247 Restriktive Berechtigungsvergabe unter Windows XP).
- Mit Hilfe der Installationsprogramme kann für Windows NT/2000 auch eine Notfalldiskette (siehe M 6.42 Erstellung von Rettungsdisketten für Windows NT, M 6.77 Erstellung von Rettungsdisketten für Windows 2000) erzeugt und mit dieser dann eine Systemrekonstruktion durchgeführt werden. Dabei wird der Zugriffsschutz der NTFS-Partition des Betriebssystems aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme, eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten so zu verwahren, dass sie gegen unbefugten Zugriff geschützt sind. Schutz gegen diese spezifische Bedrohung bietet auch die Sicherung der Diskettenlaufwerke (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern) und die Absicherung des Boot-Vorgangs durch die entsprechende Einstellung des BIOS (siehe oben).
- Für die Systemrekonstruktion unter Windows XP wird die Wiederherstellungskonsole (Recovery Console) verwendet. Der Mechanismus der Notfalldisketten steht nicht mehr zur Verfügung. Die Wiederherstellungskonsole kann entweder von der Installations-CD bzw. den Installations-Disketten gestartet oder in das System integriert werden, so dass es beim Systemstart als eine der Boot-Optionen angeboten wird. Da die Wiederherstellungskonsole ein mächtiges Werkzeug ist, muss ihr Einsatz durch die entsprechende Einstellung des BIOS bzw. im allgemeinen durch die Definition der Wiederherstellungskonsole-Richtlinien (siehe M 4.244 Sichere Windows XP Systemkonfiguration) eingeschränkt werden.
Unter Windows NT/2000/XP ist das lokale Anmelden auf dem Server nur für Benutzer möglich, denen das Benutzerrecht Lokale Anmeldung gegeben wurde. Diese Benutzer sind auf die ihnen zugewiesenen Rechte und Berechtigungen eingeschränkt. Um einen Missbrauch der Möglichkeiten zum Anmelden auf dem Server zu vermeiden, sind die Benutzerrechte und die Zuordnungen zu Benutzergruppen entsprechend restriktiv vorzusehen (siehe Maßnahmen M 2.93 Planung des Windows NT Netzes und M 4.50 Strukturierte Systemverwaltung unter Windows NT). Unter Windows 2000/XP erfolgt die Verwaltung der Benutzerrechte über die lokalen Sicherheitseinstellungen bzw. über Gruppenrichtlinien (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows 2000, M 2.326 Planung der Windows XP Gruppenrichtlinien).
Ergänzende Kontrollfragen:
- Ist sichergestellt, dass Benutzer den Computer nicht von Disketten-, CD-ROM-Laufwerken oder USB-Speichermedien booten können?
- Ist die Datei BOOT.INI im Wurzelverzeichnis der ersten Platte vor Veränderungen geschützt?