M 4.45 Einrichtung einer sicheren Peer-to-Peer-Umgebung unter WfW
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für jeden Rechner unter WfW sollte der Administrator die Peer-to-Peer-Funktionalitäten einzeln zulassen oder sperren und damit die WfW-Umgebung benutzerspezifisch einschränken. Dafür benötigt er das Administrationswerkzeug ADMINCFG.EXE.
Nach dem Aufruf von ADMINCFG.EXE muss zunächst die Sicherheitskonfigurationsdatei WFWSYS.CFG geöffnet werden, in der die Sicherheitseinstellungen des jeweiligen WfW-Rechners gespeichert sind. ADMINCFG.EXE kann dabei nicht nach verschiedenen Benutzern auf einem WfW-Rechner unterscheiden.
Selbst wenn die Umgebung nicht eingeschränkt werden soll, ist die Sicherheitskonfigurationsdatei WFWSYS.CFG mit einem Passwortschutz zu versehen. Wird das Administrationswerkzeug ADMINCFG.EXE dazu lokal installiert, ist es anschließend wieder zu entfernen.
Mit Hilfe des Administrationswerkzeugs ADMINCFG.EXE können unter Sicherheitsgesichtspunkten folgende Konfigurationen für den Rechner vorgenommen werden:
Die Freigabeoptionen sind festzulegen:
- Wenn der Rechner nicht für die Freigabe von Verzeichnissen vorgesehen ist, ist die Option Dateifreigabe deaktivieren einzustellen. Die entsprechenden Funktionen stehen dann im Dateimanager nicht mehr zur Verfügung, es ist aber weiter möglich, sich mit Verzeichnissen anderer Rechner zu verbinden.
- Wenn der Rechner nicht für die Freigabe von Druckern vorgesehen ist, ist die Option Druckerfreigabe deaktivieren einzustellen.
- Wenn der Rechner nicht für Netz-DDE-Freigabe (z. B. Telefonieren unter WfW, Datenaustausch über die Ablagemappe) vorgesehen ist, ist die Option Netz-DDE-Freigabe deaktivieren einzustellen.
Die Kennwortoptionen sind festzulegen:
- Bei aktiviertem Kennwort-Caching werden in einer Datei alle WfW-Netzverbindungen mit zugehörigen Passwörtern gespeichert, wenn dies vom Benutzer beim jeweiligen Verbindungsaufbau gewünscht wird. Wiederholte Passworteingaben sind dann später nicht mehr erforderlich. Die Option Kennwort-Caching deaktivieren sollte eingestellt werden, zumindest immer dann, wenn der WfW-Rechner nicht über einen ausreichenden Zugangsschutz (z. B. BIOS-Passwort) verfügt.
- Kennworte in Freigabe-Dialogfeldern lesbar anzeigen darf nicht aktiviert sein, da sonst bei der Passwort-Eingabe dieses im Klartext auf dem Bildschirm erscheint.
- Ablauf des Anmeldekennwortes sollte auf den in der Sicherheitsstrategie vorgegebenen Zeitraum eingestellt werden.
- Minimale Kennwortlänge muss auf mindestens 6 eingestellt werden.
- Alphanumerische Kennworte erzwingen sollte eingestellt werden. Buchstaben-Zahlen-Kombinationen werden damit obligatorisch.
Die Administrator-Einstellungen sind festzulegen:
- Der Administrator muss ein Passwort für die erstellte Konfigurationsdatei WFWSYS.CFG festlegen, das nur ihm und seinem Stellvertreter bekannt sein darf. Dieses Passwort ist sicher zu hinterlegen (siehe M 2.22 Hinterlegen des Passwortes).
- Über Optionen aktualisieren können voreingestellte Sicherheitsprofile von einem Server übernommen werden. Darüber hinaus kann auch eingestellt werden, dass beim Start eines Clients die Sicherheitskonfigurationsdatei des Servers überprüft und bei Änderungen die lokale aktualisiert wird. Dies erleichtert dem Administrator die zentrale Administration des WfW-Netzes, das einfache Hinzufügen weiterer WfW-Rechner und das Wechseln des Passwortes für die Konfigurationsdatei.
Der Administrator muss darüber hinaus beim Einrichtung eines WfW-Rechners auch die weiteren Punkte beachten:
- Die Voreinstellung Beim Start wieder freigeben ist in den Freigabeoberflächen (Datei- und Druckmanager) zu deaktivieren.
- Die Voreinstellung Kennwort in der Kennwortliste speichern ist in den Verbindungsoberflächen (Datei- und Druckmanager) zu deaktivieren.
- In der Programmgruppe Systemsteuerung unter Netzwerk sollte gemäß der Namenskonvention der Computername, der Name der Arbeitsgruppe und der Standard-Anmeldename voreingestellt werden.
- Das WfW-Protokoll ist zu aktivieren (in der Programmgruppe Systemsteuerung unter Netzwerk). Dabei sollten sämtliche Ereignisse aufgezeichnet und die Protokolldatei ausreichend groß, beispielsweise 32 KByte, angelegt werden.
- In der Programmgruppe Systemsteuerung unter Netzwerk sollte über die Schaltfläche Start voreingestellt werden, ob eigene Anwendungen des Rechners oder Zugriffe anderer mit Priorität bedient werden. Ist der Zugriff anderer nachrangig, sollte die Priorität zugunsten schnellerer Ausführung gewählt werden.
- Beim Einsatz von Schedule+ ist darauf zu achten, dass das standardmäßig vergebene Recht, offene oder besetzte Zeitblöcke einzusehen, für alle nicht berechtigten WfW-Benutzer deaktiviert wird. Jeder Teilnehmer am selben Post-Office ist sonst in der Lage, das zeitliche Arrangement der individuellen Termine einzusehen.
WfW bietet die Möglichkeit, Sicherheitsprofile auf einem "Server" zu hinterlegen, die die einzelnen Clients im WfW-Netz zur Aktualisierung abrufen. Dadurch ist es möglich, die Sicherheitseinstellungen über das Netz zu administrieren. Um den administrativen Aufwand zu minimieren, sollte diese Möglichkeit genutzt werden.
Wird ein Post-Office eingerichtet, dass von mehreren Benutzern zur Kommunikation oder zur gemeinsamen Terminplanung genutzt werden soll, ist in Erwägung zu ziehen, von diesem eine Datensicherung in angemessenen Zeiträumen anzulegen. Dies ist notwendig, um einem versehentlichen oder absichtlichen Löschen des Post-Office entgegenzuwirken, da dies unter WfW nicht sicher verhindert wird.
Die festgelegten Freigabeoptionen, Kennwortoptionen und Administrator-Einstellungen sollten nachvollziehbar dokumentiert werden. Dies kann auch in elektronischer Form erfolgen, wenn sichergestellt ist, dass auch bei nicht funktionierenden Peer-to-Peer-Diensten auf die Dokumentation zugegriffen werden kann. Die Dokumentation muss bei Änderungen an den Optionen und Einstellungen entsprechend aktualisiert werden.
Ergänzende Kontrollfragen:
- Werden die Sicherheitseinstellungen über das Netz administriert?
- Werden die vorgenommenen Einstellungen in geeigneter Form dokumentiert?