M 4.150 Konfiguration von Windows 2000 als Workstation
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Verwendung von Windows 2000 auf Arbeitsplatzrechnern stellt neben den allgemeinen Sicherheitsanforderungen an die Grundkonfiguration von Windows 2000 (siehe M 4.137 Sichere Konfiguration von Windows 2000) auch spezifische, arbeitsplatzbezogene Sicherheitsanforderungen. Die auf Arbeitsplatzrechnern eingesetzte Version ist in der Regel Windows 2000 Professional, das als Clientsystem mit Windows 2000 Servern und Domänen-Controllern kommuniziert.
Für die Konfiguration als Workstation sind folgende Aspekte aus Sicherheitssicht zu berücksichtigen:
- Es empfiehlt sich, keine lokalen Daten auf Arbeitsplatzrechnern zu halten. Dies hat einerseits Vorteile bei der Datensicherung und bietet zudem den Sicherheitsvorteil, dass bei Kompromittierung des Systems lokal keine sensitiven Daten vorzufinden sind. Kann eine vorgefertigte Standardkonfiguration eingesetzt werden, so ist im Fehlerfall sehr einfach eine Neuinstallation möglich, ohne dass dabei Rücksicht auf lokale Datenbestände genommen werden muss.
- In Einzelfällen kann es notwendig sein, dass Daten aus Sicherheitsgründen lokal auf dem Arbeitsplatz gespeichert werden müssen, da z. B. nur der Arbeitsplatzbenutzer darauf zugreifen darf und eine Übertragung über das Netz nicht erfolgen soll. In diesen Fällen ist der Arbeitsplatz jedoch nicht als Standardarbeitsplatz anzusehen, so dass besondere Regelungen für diese Art Arbeitsplatz geplant und umgesetzt werden müssen. Beispiele für entsprechende Maßnahmen sind starke Absicherung sowohl lokal als auch im Netz, Einsatz von Plattenverschlüsselung und die Einbindung in das Backup-Konzept.
- Ein Arbeitsplatzrechner sollte so konfiguriert sein, dass ein Benutzer keine administrativen Tätigkeiten ausführen kann. Dies betrifft einerseits die Zugriffsrechte auf Dateien und die Registry und andererseits die Berechtigung zum Starten der Konfigurationswerkzeuge, wie z. B. der MMC-Konsole oder auch der Registry-Editoren. Diese Einstellungen können über Gruppenrichtlinien verwaltet werden, so dass dies bei der Planung der Gruppenrichtlinien berücksichtigt werden muss (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows).
- Falls auf einem Arbeitsplatz sensitive Daten verarbeitet werden, empfiehlt es sich, regelmäßig Verzeichnisse, in denen temporäre Dateien abgelegt werden, wie Temp, Tmp und das Drucker-Spool-Verzeichnis, zu bereinigen und auch die Auslagerungsdatei beim Herunterfahren des Systems zu löschen. Nur so kann gewährleistet werden, dass sensitive Informationen oder Restinformationen nicht zufällig zugreifbar sind. Um das Löschen der Auslagerungsdatei beim Herunterfahren zu aktivieren, muss die Einstellung Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems löschen aktiviert werden. Diese findet sich unter Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen in der Verwaltung der lokalen Sicherheitsrichtlinien oder aber in Gruppenrichtlinienobjekten unter Computerkonfiguration/Windows Einstellungen/ Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen.
- Windows 2000 erlaubt es, die Arbeitsoberfläche eines Benutzers in ihrer Funktionalität einzuschränken. Dies kann sehr detailliert durch entsprechende Konfiguration der Gruppenrichtlinien (GPO-Einstellung) geschehen. Es ist dabei zu beachten, dass diese Einschränkungen nicht als starke Sicherheitsmechanismen anzusehen sind. So kann zwar das Starten von nicht durch den Administrator freigegebenen Programmen über eine GPO-Einstellung für den Windows Explorer verhindert werden. Dies stellt jedoch nicht sicher, dass nicht freigegebene Programme nicht doch durch andere Mechanismen gestartet werden können. Beispiele hierfür sind Start durch den Taskmanager, von der Kommandozeile oder durch ein anderes Programm.
- Im Rahmen des Überwachungskonzeptes (siehe M 4.148 Überwachung eines Windows 2000/XP Systems), welches auch die Protokollauswertung beinhaltet, sollten wichtige lokale Systemdateien und Registry-Schlüssel überwacht werden.
- Arbeitsplatzrechner sollten neben den administrativen Standardfreigaben keine Verzeichnisfreigaben zur Verfügung stellen. Werden Daten nicht lokal gehalten, so ist dies auch nicht notwendig. Werden Verzeichnisfreigaben verwendet, müssen auch Netzzugriffe zugelassen werden, was als potentielle Gefährdung angesehen werden muss (siehe auch M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz).
- Es sollte verhindert werden, dass Benutzer auf Arbeitsplatzrechnern Software installieren können.
- Wird ein Arbeitsplatzrechner in eine Domäne integriert, so muss dies in der Regel unter den Berechtigungen des Domänen-Administrators erfolgen. Wird administrative Delegation eingesetzt, so muss dazu ein entsprechend berechtigtes Konto benutzt werden.
- Für Laptops bestehen besondere Gefahren durch die fehlende physikalische Sicherheit. Hier müssen besondere Vorkehrungen getroffen werden (siehe auch Baustein B 3.203 Laptop). Windows 2000 bietet hier als zusätzlichen Schutz von Daten die Verschlüsselung von Dateien mittels EFS (Encrypting File System) an. Hinweise zur sicheren Nutzung von EFS sind in M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP.
Zusammenfassend muss darauf hingewiesen werden, dass die Sicherheit von Arbeitsplatzrechnern direkten Einfluss auf die Sicherheit des Gesamtsystems hat und dieser damit ein hoher Stellenwert zukommt.
Ergänzende Kontrollfragen:
- Ist sichergestellt, dass auch lokal gehaltene Daten durch das Datensicherungskonzept erfasst werden?
- Wurde der Arbeitsplatzrechner so konfiguriert, dass durch Benutzer keine administrativen Tätigkeiten ausgeführt werden können?
- Werden temporäre Dateien und Verzeichnisse regelmäßig gelöscht?
- Ist EFS für alle Rechner, die Dateien verschlüsselt vorhalten sollen, aktiviert?
- Werden Zugriffe auf wichtige Systembereiche überwacht?