M 2.92 Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die folgenden Punkte sollten auf der Ebene der Server in einem Windows NT Client-Server-Netz regelmäßig auf Einhaltung und Effektivität kontrolliert werden (siehe auch M 4.54 Protokollierung unter Windows NT):
-
System-Sicherheits-Einstellungen
Die korrekte Einstellung der sicherheitsrelevanten Einträge in der Registrierung, d. h. im wesentlichen die Einträge im Bereich HKEY_LOCAL_MACHINE, ist regelmäßig zu kontrollieren, indem die Einträge der Sicherheitsprotokolle, die sich auf die Registrierung beziehen, überprüft werden. -
Benutzung von privilegierten Benutzerkonten
Die Benutzung privilegierter Benutzerkonten, also von Konten mit erweiterten Rechten und Berechtigungen wie etwa Administratoren, ist regelmäßig durch Überprüfung der Einträge im Sicherheitsprotokoll zu überprüfen. Ebenso ist das Protokoll auf Anmeldeversuche auf das Gastbenutzerkonto zu überprüfen. -
Fehlgeschlagene Zugriffsversuche (Berechtigungsverstöße)
Sofern Zugriffe auf Dateien und/oder die Registrierung aufgezeichnet werden, ist das Sicherheitsprotokoll wöchentlich, bei Bedarf auch öfter, auf das Vorliegen fehlgeschlagener Zugriffsversuche zu überprüfen. Werden Berechtigungsverstöße festgestellt, ist die Ursache zu ermitteln. -
Systemintegrität
Die Systemintegrität ist regelmäßig zu überprüfen; insbesondere sind die Daten der letzten Veränderung sowie die Zugriffsrechte auf die wichtigen Systemdateien zu überprüfen und mit den Werten, die unmittelbar nach der Installation des Systems sowie bei der jeweils vorherigen Überprüfung gegeben waren, zu vergleichen. Da diese Kontrolle mit Hilfe der von Windows NT gebotenen Möglichkeiten relativ aufwendig ist, sollten hier geeignete Zusatzwerkzeuge eingesetzt werden, beispielsweise das Shareware-Programm DumpACL oder das mit der Technischen Referenz (dem "Resource Kit") zu Windows NT ausgelieferte Dienstprogramm WinDiff, mit dem sich Inhalte von Verzeichnissen und Dateien vergleichen lassen. -
Unbenutzte Benutzerkonten
Es ist sicherzustellen, dass die Konten ehemaliger Beschäftigter sofort deaktiviert und nach einer geeigneten Übergangszeit (ca. 1/2 Jahr) vom System gelöscht werden. Da die Zeit des letzten Anmeldens am System nicht angezeigt wird, sind zu diesem Zweck nach Möglichkeit alle Benutzerkonten mit einem Verfallsdatum einzurichten, das in gewissen Zeitabständen (z. B. jährlich) auf Antrag des Benutzers aktualisiert werden muss. Inaktive, d. h. abgelaufene, Benutzerkonten sind zu löschen. Die Eigentümer sind vorab zu informieren. Die Liste der definierten Benutzer ist regelmäßig zu überprüfen, um sicherzustellen, dass nur aktive Beschäftigte auf dem System arbeiten. -
Gruppenzugehörigkeit
Eine strukturierte Systemadministration setzt voraus, dass Systemrechte und Objektberechtigungen möglichst nicht an einzelne Benutzer, sondern an Benutzergruppen vergeben werden. Es ist sicherzustellen, dass bei Änderungen in den Beschäftigungsverhältnissen die Mitgliedschaft der einzelnen Benutzer in den Benutzergruppen den organisatorischen Vorgaben angepasst wird. Daher ist regelmäßig zu prüfen, ob die Mitgliedschaften der Benutzer in den verschiedenen Benutzergruppen noch dem aktuellen Stand entspricht. Weiterhin ist bei der Veränderung der Gruppenmitgliedschaft eines Benutzers zu prüfen, ob dies zu einer Anhäufung von Benutzerrechten führt. Insbesondere ist in regelmäßigen zu überprüfen, ob die Zuweisung von Sonderrechten an Gruppen oder einzelne Benutzer noch den aktuellen organisatorischen Vorgaben entsprechen. -
Berechtigungskontrolle
Es ist sicherzustellen, dass die Eigentümer von Dateien und Verzeichnissen ihre Verpflichtung verstehen, anderen Benutzern nur dann Zugriff zu gewähren, wenn dies erforderlich ist. Mit dem Dateimanager bzw. Explorer ist regelmäßig zu überprüfen, dass auf sensitive Daten nicht zu weitgehende Berechtigungen vergeben wurden. Kritisch sind insbesondere Berechtigungen für die Gruppen "Jeder" und "Gäste" bzw. "Domänen-Gäste". Sofern temporäre Berechtigungen zum Einsatz kommen, ist sicherzustellen, dass dies nur dann geschieht, wenn es erforderlich ist, und dass diese Berechtigungen sorgfältig überwacht werden.
Es sind Prozeduren bzw. Verfahren zu entwickeln für den Fall, dass Abweichungen von den festgelegten Einstellungen auftreten. Diese Prozeduren müssen folgende Punkte enthalten:
- wer wird wann informiert,
- Begründung für die eventuelle Wahl abweichender Einstellungen und Angaben, ob hierdurch möglicherweise eine Sicherheitslücke entsteht,
- Schritte zur Behebung der Sicherheitslücke,
- Schritte zur Identifizierung der Ursache der Sicherheitslücke.
Die Durchführung der hier beschriebenen Kontrollen auf der Ebene von Clients sollte nur dann durchgeführt werden, wenn sichergestellt ist, dass damit keine unzulässigen Leistungskontrollen der Benutzer dieser Clients verbunden sind und wenn die datenschutzrechtlich korrekte Behandlung der Protokoll-Informationen gewährleistet werden kann.
Ergänzende Kontrollfragen:
- Werden Unregelmäßigkeiten dem Netzadministrator bekanntgegeben?
- Werden Abweichungen der Sicherheitseinstellungen vom zulässigen Wert unverzüglich korrigiert?
- Werden die möglichen Konsequenzen solcher Abweichungen analysiert?