M 3.19 Einweisung in den richtigen Einsatz der Sicherheitsfunktionen von Peer-to-Peer-Diensten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Gerade beim Einsatz von Peer-to-Peer-Diensten unter WfW und Windows 95, bei denen die Benutzer selbst Sicherheitsaufgaben wahrnehmen müssen, kommt der Einweisung in den richtigen Einsatz der Sicherheitsfunktionen besondere Bedeutung zu. Daher ist jeder Benutzer vorab zumindest zu folgenden Punkten zu schulen:
Datenaustausch über freigegebene Verzeichnisse
- Der Benutzer ist in die korrekte Benutzung der Freigabe von Ressourcen sowie in das korrekte Aufheben der Verzeichnisfreigabe einzuweisen. Insbesondere ist die Möglichkeit zu erläutern, freigegebene Verzeichnisse oder Drucker durch Anhängen des Zeichens "$" an den Freigabenamen zu verbergen. Dadurch ist für andere Benutzer nicht ersichtlich, dass diese Ressource freigegeben ist. Es ist darauf hinzuweisen, dass der Anreiz für Attacken vermindert werden kann, wenn man Freigabenamen benutzt, die keine Rückschlüsse auf den Inhalt zulassen und dass Ressourcen nur solange freigegeben werden sollten, wie dies erforderlich ist.
- Die Bedeutung der Optionen bei Freigabe oder Verbinden von Verzeichnissen bzw. Druckern ist darzustellen und auf die Beachtung der jeweiligen Voreinstellungen ist hinzuweisen:
Beim Start wieder freigeben | Automatische Freigabe beim Starten von WfW ohne Einwirkung des Benutzers |
Beim Starten wieder verbinden | Automatisches Verbinden beim Neustart |
Kennwort in der Kennwortliste speichern | Speicherung des Passwortes (sicherheitskritisch), so dass es beim nächsten Verbinden nicht mehr eingegeben werden muss |
-
Tabelle: Freigaben
- Die Benutzer von Windows 95 und Windows NT/2000 sind darauf hinzuweisen, dass jede erfolgte Freigabe wieder explizit zurückgenommen werden muss, da sie sonst auch nach einem Neustart bestehen bleibt.
- Die Bezeichnungen der möglichen Zugriffsrechte unter WfW und Windows 95 sind nicht sprechend und müssen daher erläutert werden:
Schreibgeschützter Zugriff | Leserecht für Dateien und Ausführungsrecht für Programme |
Lese-/Schreibzugriff | Lese-/Schreibrecht für Dateien, Ausführungsrecht für Programme, Recht zum Anlegen und Löschen von Dateien |
Zugriff abhängig vom Kennwort | Lese- und Schreibrecht können getrennt vergeben werden |
Tabelle: Zugriffsberechtigungen
- Unter Windows 95 können Benutzer zwischen den Zugriffsrechten Schreibgeschützt, Alle Zugriffsrechte und Benutzerdefiniert wählen, wenn der Zugriffsschutz auf Benutzer-Ebene realisiert ist. Dann müssen die Benutzer darauf hingewiesen werden, dass Verzeichnisse nie mit Alle Zugriffsrechte freigegeben werden sollten, sondern bestenfalls benutzerdefiniert mit Lese- und Schreibrecht für andere Benutzer.
Sicherheitssensibilisierung
- Der Benutzer ist in die von ihm durchzuführenden sicherheitsrelevanten Kontrollen einzuweisen. Dazu muss er insbesondere unterrichtet werden, wie der Netzwerkmonitor und die zugehörige Protokollfunktion einzusetzen sind.
- Der Umgang mit Passwörtern und deren Wechsel ist gemäß der Sicherheitsstrategie darzulegen.
-
Der Benutzer muss darüber informiert werden, dass unter WfW und Windows 95
- in der Datei [anmeldename].pwl Passwörter für den Zugriff auf Ressourcen anderer Rechner gespeichert werden,
- unter WfW in der Datei connect.dat die Ressourcen anderer WfW-Rechner eingetragen sind, die beim Starten von WfW automatisch wieder verbunden werden,
- in der Datei shares.pwl die eigenen Ressourcen eingetragen sind, die beim Starten automatisch wieder freigegeben werden.
- Diese Dateien können vom Benutzer gelöscht werden, ohne die Systemintegrität zu verletzen. Dies ist insbesondere bei der Datei [anmeldename].pwl sinnvoll, wenn versehentlich Passwörter gespeichert wurden.
- Sind Namenskonventionen für die im Netz verfügbaren Rechner und Benutzer erstellt worden, sind diese und eventuell bereits vergebene Namen den Benutzern bekannt zu geben.
Ergänzende Kontrollfragen:
- Haben alle Teilnehmer eine ausreichende Schulung zum sicheren Einsatz von Peer-to-Peer-Diensten erhalten?
- Werden einzelne Aspekte der Schulungsinhalte zur Sensibilisierung sporadisch wiederholt?