M 4.58 Freigabe von Verzeichnissen unter Windows 95
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für jeden Rechner unter Windows 95 muss entschieden werden, ob die Peer-to-Peer-Funktionalitäten benötigt werden, um sie dann einzeln zuzulassen oder zu sperren. Dafür kann über die Systemrichtlinien über die Menüpunkte Systemsteuerung / Netzwerk / Datei- und Druckerfreigabe die Datei- und Druckerfreigabe einzeln zugelassen oder gesperrt werden. Anschließend muss dem Benutzer der Zugriff auf diese Registerkarte entzogen werden.
Wenn die Dateifreigabe deaktiviert ist, stehen die entsprechenden Funktionen im Dateimanager bzw. Explorer nicht mehr zur Verfügung, es ist aber weiter möglich, sich mit Verzeichnissen anderer Rechner zu verbinden.
Der Administrator muss darüber hinaus beim Einrichtung eines WfW-Rechners auch die weiteren Punkte beachten:
- Unter Windows 95 ist durch die Systemrichtlinien sicherzustellen, dass die Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können.
- Die Voreinstellung "Kennwort in der Kennwortliste speichern" ist in den Verbindungsoberflächen zu deaktivieren.
- Rechner- noch Benutzernamen sollten gemäß den Organisationsvorgaben vergeben werden. Durch die Systemrichtlinien ist sicherzustellen, dass die Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können.
- Beim Einsatz von Schedule+ ist darauf zu achten, dass das standardmäßig vergebene Recht, offene oder besetzte Zeitblöcke einzusehen, für alle nicht berechtigten WfW-Benutzer deaktiviert wird. Jeder Teilnehmer am selben Post-Office ist sonst in der Lage, das zeitliche Arrangement der individuellen Termine einzusehen.
Wird ein Post-Office eingerichtet, dass von mehreren Benutzern zur Kommunikation oder zur gemeinsamen Terminplanung genutzt werden soll, ist in Erwägung zu ziehen, von diesem eine Datensicherung in angemessenen Zeiträumen anzulegen. Dies ist notwendig, um einem versehentlichen oder absichtlichen Löschen des Post-Office entgegenzuwirken, da dies unter WfW nicht sicher verhindert wird.
Unter Windows 95 ist es möglich, eine Remote-Administration einzurichten, die Administratoren ermöglicht, über das Netz auf die einzelnen Workstations zuzugreifen. Vor Aktivierung dieser Option ist abzuklären, ob dies mit den Sicherheitszielen der Organisation vereinbar ist.
Durch die Aktivierung der Remote-Administration besteht die Gefahr, dass
- jemand Kennung und Passwort für die Remote-Administration ausprobieren kann, oder
- ein Administrator jederzeit unbemerkt auf Benutzerrechner zugreifen kann.
Falls diese Eigenschaft zur Erleichterung der Workstation-Betreuung gewünscht ist, ist zu überlegen, ob ein Adminstrator für alle von ihm betreuten Workstations dasselbe Administrator-Passwort verwenden soll. Dies lässt sich zwar leichter merken, führt aber dazu, dass ein Angreifer auf alle Workstations zugreifen kann, wenn er dieses eine Passwort herausgefunden hat.
Ergänzende Kontrollfragen:
- Ist dokumentiert, welche Verzeichnisse auf welchen Rechnern für den Netzzugriff freigegeben sind?
- Werden die vorhandenen Freigaben an Veränderungen im Einsatzumfeld angepasst?
- Ist dokumentiert, auf welchen Rechnern Remote-Administration eingerichtet ist?