M 4.52 Geräteschutz unter NT-basierten Windows-Systemen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Normalerweise erlaubt Windows NT/2000/XP/Server 2003 allen Programmen den Zugriff auf Disketten und CD/DVD-ROMs/RWs. Es ist empfehlenswert, diesen Zugriff auf den gerade interaktiv angemeldeten Benutzer zu beschränken, indem die Geräte diesem Benutzer beim Anmelden exklusiv zugeordnet werden.
Im folgenden wird beschrieben, wie der Zugriff auf Disketten- und CD-ROM-Laufwerke eingeschränkt werden kann. Der Zugriff auf andere Laufwerke für auswechselbare Datenträger sollte auf vergleichbare Weise eingeschränkt werden.
Der Zugriff auf Diskettenlaufwerke sollte unter Windows NT 4.0 eingeschränkt werden, indem der Wert AllocateFloppies im Schlüssel SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert REG_Zeichenfolge = 1 gesetzt wird. Hinweis: Der Typ REG_Zeichenfolge, wie er in dem Programm Regedit.exe verwandt wird, entspricht dem Typ REG_SZ im Programm Regedt32.exe.
Analog sollte der Zugriff auf CD-ROM-Laufwerke bei Bedarf eingeschränkt werden, indem der Wert AllocateCdRoms im Schlüssel SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert REG_Zeichenfolge = 1 gesetzt wird.
Unter Windows 2000/XP/Server 2003 erfolgt die Konfiguration über die lokalen Sicherheitseinstellungen bzw. über eine Gruppenrichtlinie. Die relevanten Parameter sind unter Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen zu finden und lauten unter Windows 2000:
- Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
- Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken
Unter Windows XP/Server 2003 lauten sie wie folgt:
- Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken
Beide Optionen sind zu aktivieren.
Hinweis: Da die Geräte beim Abmelden wieder für den allgemeinen Zugriff freigegeben werden, müssen die Datenträger vor dem Abmelden aus den Geräten entfernt werden.
Sofern Diskettenlaufwerke vollständig abgeschaltet werden sollen, kann dies auch dadurch geschehen, dass in der Systemsteuerungsoption Geräte unter Windows NT bzw. Computerverwaltung/Gerätemanager unter Windows 2000/XP/Server 2003 das Laden des Treiberprogramms dadurch unterbunden wird, dass dem Gerät Floppy die Startart Deaktiviert zugewiesen wird. Nach dem nächsten Systemstart steht dann das Diskettenlaufwerk überhaupt nicht mehr zur Verfügung, und es kann nur von einem Administrator durch Zuweisen der Startart System wieder nutzbar gemacht werden.
Auf Servern sollte das Laden des Treiberprogramms für das Diskettenlaufwerk nicht unterbunden werden. Sofern das Diskettenlaufwerk doch einmal gebraucht wird, z. B. zum Zwecke der Administration, muss dem Gerät Floppy die Startart System zugewiesen werden und der Server muss heruntergefahren werden, da der Treiber erst beim Neustart wieder geladen wird. Dies kann zu Störungen des Betriebes führen. Server müssen in einer gesicherten Umgebung aufgestellt werden.
Weiterhin erlaubt Windows NT/2000/XP/Server 2003 allen Benutzern den Zugriff auf Bandlaufwerke, so dass jeder Benutzer den Inhalt jedes Bandes lesen und schreiben kann. Normalerweise bringt dies keine Probleme mit sich, da zu einem gegebenen Zeitpunkt jeweils nur ein Benutzer interaktiv angemeldet ist. Sofern dieser jedoch ein Programm laufen lässt, das auch nach dem Abmelden noch auf das Bandlaufwerk zugreift, so kann dieses Programm möglicherweise auf ein Band zugreifen, das der nächste Benutzer auflegt, der sich anmeldet. Aus diesem Grund sollten Rechner, die sich nicht in einer kontrollierten Umgebung befinden und auf denen vertrauliche Daten verarbeitet werden, neu gestartet werden, ehe das Bandlaufwerk genutzt wird.
Hinweis: Der Einsatz von selbstladenden Bandgeräten, die mehrere Bänder aus einem Reservoir laden können, darf nur unter sehr genau kontrollierten Randbedingungen zugelassen werden. In der Regel sollten derartige Geräte nur zur Datensicherung an einem Server installiert werden. Der interaktive Zugriff normaler Benutzer auf diesen Server ist nicht zulässig (siehe auch M 6.32 Regelmäßige Datensicherung).
Weitere Empfehlungen zum geeigneten Umgang mit Laufwerken für Wechselmedien finden sich in der Maßnahme M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern.
Ergänzende Kontrollfragen:
- Wird die Einstellung der Schlüssel AllocateFloppies und AllocateCdRoms in der Registrierung regelmäßig kontrolliert?
- Wird die Einstellung der Parameter Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken und Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken in den Sicherheitseinstellungen bzw. Gruppenrichtlinien regelmäßig kontrolliert?