M 4.75 Schutz der Registrierung unter Windows NT/2000/XP
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In der Registrierung eines Windows NT/2000/XP Systems werden alle wichtigen Konfigurations- und Initialisierungsinformationen gespeichert. Dort wird u. a. auch die SAM-Datenbank verwaltet, die die Benutzer- und Computerkonten enthält. Beim Einsatz von Windows 2000/XP gilt dies insbesondere für Rechner, die keiner Domäne angeschlossen sind, oder Domänen-Rechner, auf denen auch lokale Konten benutzt werden.
Die Registrierung eines Windows NT/2000/XP Systems besteht aus mehreren Dateien, die sich in dem Verzeichnis %SystemRoot%\SYSTEM32\Config befinden. Aus diesem Grund sollten die Zugriffsrechte auf dieses Verzeichnis und die darin enthaltenen Dateien so gesetzt werden, wie dies in M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT, M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP und M 4.247 Restriktive Berechtigungsvergabe unter Windows XP vorgeschlagen wird.
Zur Erhöhung des Schutzes sollten unmittelbar nach der Installation von Windows NT die folgenden sicherheitsrelevanten Teile der Registrierung durch expliziten Eintrag von Zugriffsrechten mit Hilfe des Registrierungs-Editors besonders geschützt werden. Dies erfolgt mit Hilfe des Programms REGEDT32.EXE im Windows-Systemverzeichnis %SystemRoot% \ SYSTEM32. Die Einstellungen sollten so erfolgen, dass die Gruppe Jeder für diese Teile nur über die Zugriffsrechte Wert einsehen, Teilschlüssel auflisten, Benachrichtigen und Zugriff lesen verfügt:
-
im Bereich HKEY_LOCAL_MACHINE:
- \Software\Windows3.1MigrationStatus (mit allen Unterschlüsseln)
- \Software\Microsoft\RPC (mit allen Unterschlüsseln)
- \Software\Microsoft\Windows NT\CurrentVersion
- unter dem Schlüssel \Software\Microsoft\Windows NT\CurrentVersion\:
- Profile
- List
- AeDebug
- Compatibility
- Drivers
- Embedding
- Fonts
- FontSubstitutes
- GRE_Initialize
- MCI
- MCI Extensions Port (mit allen Unterschlüsseln)
- WOW (mit allen Unterschlüsseln)
- im Bereich HKEY_CLASSES_ROOT:
- \HKEY_CLASSES_ROOT (mit allen Unterschlüsseln)
Die entsprechenden Einstellungen für Zugriffsrechte auf die Registrierung unter Windows XP sind in der Maßnahme M 4.247 Restriktive Berechtigungsvergabe unter Windows XP zu finden.
Dabei ist sorgfältig vorzugehen, da fehlerhafte Einstellungen in der Registrierung dazu führen können, dass das System nicht mehr lauffähig ist und nach dem nächsten Starten eventuell nicht mehr bootet. Die hier genannten Einstellungen sollten daher zunächst auf ein Testsystem angewendet und auf ihre Lauffähigkeit in der aktuellen Umgebung kritisch geprüft werden, ehe sie allgemein eingesetzt werden.
Netzzugriff auf die Registrierung
Sofern diese Funktionalität nicht unbedingt gebraucht wird, sollte auch der Zugriff über das Netz auf die Registrierung gesperrt werden. Dies ist ab der Version 4.0 möglich, indem der Eintrag winreg im Schlüssel \System\CurrentControlSet\Control\SecurePipeServers im Bereich HKEY_LOCAL_MACHINE auf den Wert REG_DWORD = 1 gesetzt wird.
In der Version 3.x besteht die Möglichkeit der expliziten Sperrung von Netzzugriffen auf die Registrierung nicht. Hier kann man sich damit behelfen, dass die Zugriffsberechtigung für Jeder auf die Wurzel des Bereiches HKEY_LOCAL_MACHINE (nicht jedoch auf die darunter liegenden Schlüssel!) entfernt wird, so dass nur noch Administratoren auf diesen Bereich Zugriff haben. Diese Änderung ist unbedingt auf einem Testsystem zu überprüfen, da sie zur Folge haben kann, dass einige Anwendungen nicht mehr lauffähig sind. Es ist zu beachten, dass diese Änderung nur bis zum nächsten Systemstart bestehen bleibt.