Sichere Nutzung eines PC-Clients (ISi-Client)

Transkript

1 Sichere Nutzung eines PC-Clients (ISi-Client) BSI-Checkliste zur Windows Vista Enterprise Sicherheit (ISi-Check) Version 1.0 vom

2 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi Projektgruppe Postfach Bonn Tel. +49 (0) isi@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Inhaltsverzeichnis 1 Einleitung Funktion der Checklisten Benutzung der Checklisten Konzeption Auswahl sicherer Komponenten Konfiguration Installation des Betriebssystems Windows Komponenten Einbinden des PC-Clients in die Domänen-Struktur Konfiguration von Windows-Updates Dienste minimieren Restriktive Berechtigungsvergaben Windows Firewall Zentrales Logging Hardware administrieren Autostart- und Autorun-Funktionen Ergänzende Ausführungskontrolle Speicherschutzmechanismen An- und Abmelden durch den Benutzer Betrieb Literaturverzeichnis...26 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise 1 Einleitung Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren, Sicherheitsrevisoren und IT-Fachleute, die sich mit der Einrichtung, dem Betrieb und der Überprüfung von Arbeitsplatz-PCs (APC) befassen. Grundlage für diese Checkliste ist Windows Vista Enterprise. Alle Einstellungen beziehen sich auf die in der Studie Absicherung eines PC-Clients vorgestellte Grundarchitektur. 1.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Absicherung eines PC-Clients [ISi-Client] zum Thema Installation, Konfiguration und Betrieb in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen beschränken sich auf die Empfehlungen des BSI-Standards zur Internet-Sicherheit für PC-Clients [ISi-Client]. Allgemeine IT-Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene ISi-Client-Architektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-IT-Grundschutzkatalogen [ITGSK] zu entnehmen. Sie bilden das notwendige Fundament für ISi-Check. Auch Kontrollfragen, die bereits durch die Checklisten zu den BSI-Studien Sichere Anbindung lokaler Netze an das Internet [ISi-LANA], Sichere Nutzung von [ISi-Mail-Client] und Sichere Nutzung von Web-Angeboten [ISi-Web-Client] abgedeckt sind, werden hier nicht wiederholt. Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der PC-Technik, der Betriebssysteme und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients. Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen IT-Grundschutzmaßnahmen zu beurteilen. Der Zweck dieser Kontrollfragen besteht darin, den IT-Fachleuten, -Experten, -Beratern sowie Administratoren in Behörden und Unternehmen bei der Konzeption, der Realisierung und dem späteren Betrieb von PC-Clients die jeweils erforderlichen Maßnahmen und die dabei verfügbaren Umsetzungsvarianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten, dass kein wichtiger Aspekt vergessen wird. 1.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Client-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Client-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie ISi-Client ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe vertiefende Informationen in der zugehörigen Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf natürlich auch berücksichtigt werden. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise 2 Konzeption Die Konzeptionsphase gemäß [ISi-E] wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet. Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe 3 Auswahl sicherer Komponenten Die Auswahl wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet. Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen. Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise 4 Konfiguration Nach der Beschaffung der benötigten Komponenten erfolgt deren Konfiguration durch die Administratoren. Der folgende Abschnitt enthält die für eine sichere Konfiguration zu berücksichtigenden Punkte. Optionen, die bereits in den Standardeinstellungen auf einen sicheren Wert vorkonfiguriert sind, werden von der Checkliste nicht immer explizit abgefragt. Die Reihenfolge der Menüpunkte in den Fragen entspricht der Vorgehensweise bei der Installation, Minimierung und Härtung eines sicheren Minimalsystems. Folgende Schreibweisen werden verwendet: Einzelne Menü-Optionen bzw. -Ebenen sind durch einen Rechtspfeil voneinander getrennt. Ebenen in Registry-Einträgen sind durch einen umgekehrten Schrägstrich \ voneinander getrennt. In Gruppenrichtlinienobjekten sind Ebenen durch einen senkrechten Strich voneinander getrennt. Hintergrundinformationen zu den angeführten Fragestellungen sind in der zugehörigen Studie Absicherung eines PC-Clients [ISi-Client] zu finden. 4.1 Installation des Betriebssystems In den folgenden Kontrollfragen werden nur die sicherheitsrelevanten Dialoge abgefragt, die während der Installation des Betriebssystems angezeigt werden. Diese müssen in der vorliegenden Reihenfolge abgearbeitet werden, die durch die Installationsroutine vorgegeben wird. Vorbereitung der Speichermedien Wurden die Speichermedien für die Installation neu partitioniert und mit NTFS formatiert? Installation des Betriebssystems Wurde die Installationsart Benutzerdefiniert (erweitert) ausgewählt? Werden nur Speichermedien mit nicht zugewiesenem Speicherplatz zur Auswahl für die Systempartition angezeigt? Wurden die Speichermedien mit zugewiesenem Speicherplatz gelöscht? Wurde ein Standardbenutzer eingerichtet? (Dieser wird in einem der nächsten Schritte wieder vom System entfernt.) Wurde der Name des PC-Clients entsprechend der festgelegten Nomenklatur vergeben? Wurde die Frage Windows Einrichten Schützen Sie Windows automatisch mit Später erneut nachfragen beantwortet? Sind die Zeit- und Datumseinstellungen richtig? 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Wurde ein lokales Administratorkonto eingerichtet? Wurde ein Passwort nach Passwortrichtlinie für den lokalen Administrator vergeben? Wurde das Konto des lokalen Administrators aktiviert? War eine Anmeldung des lokalen Administrators erfolgreich? Wurde das Konto des Standardbenutzers gelöscht? Wurde der persönliche Ordner des Standardbenutzers gelöscht? Wurde ein Neustart durchgeführt? 4.2 Windows Komponenten In den folgenden Kontrollfragen wird das Deaktivieren nicht benötigter Windows Komponenten abgefragt. Windows Funktionen Wurden über Systemsteuerung Programme und Funktionen Windows-Funktionen einbzw. ausschalten nicht benötigte Windows Funktionen deaktiviert? Wurde der Internetdruckdienst deaktiviert? Wurde der XPS-Viewer deaktiviert? Wurden optionale Tablet PC-Komponenten deaktiviert? Wurde die Remoteunterschiedskomprimierung deaktiviert? Wurde der Windows-DFS-Replizierungsdienst deaktiviert? Wurde Windows-Teamarbeit deaktiviert? Wurde anschließend ein Neustart durchgeführt? Windows Standardprogramme reglementieren Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt? Wurden nicht benötigte Windows Standardprogramme reglementiert? O Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen System Angegebene Windows-Anwendungen nicht ausführen von der Ausführung ausgeschlossen? oder Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise O Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfiguration Administrative Vorlagen Windows -Komponenten <Anwendung> von der Ausführung ausgeschlossen? oder O Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen System Nur zugelassene Windows-Anwendungen ausführen aufgenommen? Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt? Windows Media Player (wmplayer.exe) Windows Movie Maker (moviemk.exe) Windows Mail und Mail (News) (winmail.exe) Windows Kalender (wincal.exe) Windwos Teamarbeit Windows Media Center Windows Messenger Windows Slideshow Wurde der Windows Scripting Host reglementiert? O Wurde die Ausführung von Skripten generell mittels des neu anzulegenden Registry-Schlüssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null unterbunden? oder O Wurde die Ausführung von Skripten erlaubt und nur für signierter Skripte mittels des neu anzulegenden Registry-Schlüssels TrustPolicy vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuweisung des Werts zwei zugelassen? oder O Wurde die Ausführung von Skripten erlaubt und nur lokal durch das Verhindern der Remote-Ausführung mittels des neu anzulegenden Registry-Schlüssels Remote vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null zugelassen? Wesentliche Sicherheitsmaßnahmen Die folgenden Fragen zur Windows Firewall gehen davon aus, dass der APC in eine Domäne eingebunden ist. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Ist die Windows Firewall aktiviert? Wurde über Systemsteuerung Windows Firewall kontrolliert, ob die Firewall aktiv ist? Wurde über Systemsteuerung Windows Firewall Windows Firewall ein- bzw. ausschalten auf Alle eingehenden Verbindungen blocken konfiguriert? Wurde über Systemsteuerung Verwaltung Windows Firewall mit erweiterter Sicherheit Windows Firewall Eigenschaften der Status für eingehende Verbindungen von Blocken auf Alle blocken für das Domänenprofil konfiguriert? Wurde über Systemsteuerung Verwaltung Windows Firewall mit erweiterter Sicherheit Windows Firewall Eigenschaften die Protokollierung für verworfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja für das Domänenprofil aktiviert? Wurde über Systemsteuerung Verwaltung Windows Firewall mit erweiterter Sicherheit Windows Firewall Eigenschaften für die Profile Privates Profil und Öffentliches Profil die Einstellung Alle Blocken für eingehende Verbindungen und die Protokollierung für verworfene Pakete aktiviert? Ist der Schutz vor schädlicher Software aktiv? [Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schädlicher Software durch Windows-Defender aktiviert? 1 Wurde ein Virenschutzprogramm installiert? Ist die Benutzerkontensteuerung aktiv? Wird unter Systemsteuerung Sicherheitscenter Weitere Sicherheitseinstellungen die Benutzerkontensteuerung als aktiv (Ein) angezeigt? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Sicherheitsoptionen Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen auf den Wert aktiviert konfiguriert? Wurden die Einstellungen in Systemsteuerung Netzwerk- und Freigabecenter für das Netzwerkprofil Privat oder Arbeitsplatz (nicht das aktive Profil Öffentlich) angepasst? (Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients während der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domäne neu hinzugekommenen Netzwerkprofils Domänenprofil zu sehen.) Wurde die Netzwerkerkennung ausgeschaltet? Wurde die Freigabe von Dateien ausgeschaltet? Wurde die Freigabe des öffentlichen Ordners ausgeschaltet? 1 Einige Virenschutzprogramme deaktivieren den Windows-Defender bei ihrer Installation. Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise Wurde die Freigabe von Druckern ausgeschaltet (deaktiviert)? Wurde Kennwortgeschützes Freigeben eingeschaltet? Wurde die Freigabe von Mediendateien ausgeschaltet? Wurden die Einstellungen für den bei der Installation angelegten Netzwerkadapter über Systemsteuerung -> Netzwerk- und Freigabecenter / Netzwerkverbindungen verwalten überprüft/konfiguriert? Wurde der Client für Microsoft Netzwerke aktiviert? Wurde der QoS-Paketplaner deaktiviert? Wurde die Datei- und Druckerfreigabe für Microsoft Netzwerke deaktiviert? Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert? [Optional] Wurde bei ausschließlicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6 (TCP/IPv6) deaktiviert? Wurde der E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktiviert? Wurde Antwort für Verbindungsschicht-Topologieerkennung deaktiviert? Wurde über Systemsteuerung System Erweiterte Systemeinstellungen Remote die Einstellungen für Remote-Verbindungen angepasst? Wurde die Einstellung für Remote-Desktop Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (höhere Sicherheit) aktiviert? Wurden berechtigte Benutzer über Systemsteuerung System Erweiterte Systemeigenschaften Remote Benutzer auswählen in die Liste aufgenommen? Wurden über den neu anzulegenden Registry-Schlüssel DisabledComponents als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters ungewünschte IPv6-Tunnel deaktiviert? O Wurde der Wert auf 0x1 gesetzt, um alle Tunnel zu deaktivieren? oder O [Optional] Wurde der Wert auf 0xFF gesetzt, um IPv6 vollständig zu deaktivieren? 4.3 Einbinden des PC-Clients in die Domänen-Struktur Wurde der PC-Client in die Domäne aufgenommen? War die Anmeldung an der Domäne erfolgreich? Erscheint der PC-Client im Verzeichnisdienst? 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Wurden die Einstellungen in Systemsteuerung Netzwerk- und Freigabecenter für das Netzwerkprofil Domäne angepasst? Wurde die Netzwerkerkennung ausgeschaltet? Wurde die Freigabe von Dateien ausgeschaltet? Wurde die Freigabe des öffentlichen Ordners ausgeschaltet? Wurde die Freigabe von Druckern ausgeschaltet (deaktiviert)? Wurde Kennwortgeschützes Freigeben eingeschaltet? Wurde die Freigabe von Mediendateien ausgeschaltet? 4.4 Konfiguration von Windows-Updates Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Windows Update Automatische Updates konfigurieren aktiviert und der Wert 4 konfiguriert? Die folgende Frage ist nur bei der Verwendung eines WSUS zu beantworten: Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Windows Update Internen Pfad für den Microsoft Updatedienst angeben aktiviert und ein interner Update-Server angegeben? 4.5 Dienste minimieren Der folgende Abschnitt enthält Prüffragen zur Deaktivierung der System-Dienste. Ziel dieses Abschnitts ist es eine möglichst weitgehende Minimierung der laufenden Dienste, um so die Angriffsfläche des APCs zu verringern. Es ist im Einzelfall zu prüfen, ob weitere Dienste benötigt werden und welche Konsequenzen deren Verwendung hat. Wurde über Systemsteuerung Verwaltung Dienste der Starttyp folgender Dienste geändert? Wurde der Dienst Anschlussumleitung für Terminaldienst im Benutzermodus deaktiviert? Wurde der Dienst Anwendungserfahrung deaktiviert? Wurde der Dienst Automatische WLAN-Konfiguration deaktiviert? [Optional] Wurde der Dienst Benachrichtigungsdienst für Systemereignisse deaktiviert (nicht Laptop)? Wurde der Dienst Blockebenen-Sicherungsmodul deaktiviert? Wurde der Dienst COM+-Ereignissystem mit dem Starttyp Manuell konfiguriert? Wurde der Dienst COM+-Systemanwendung deaktiviert? Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise Wurde der Dienst Computerbrowser deaktiviert? [Optional] Wurde der Dienst Designs deaktiviert? Wurde der Dienst Diagnosediensthost deaktiviert? Wurde der Dienst Diagnoserichtliniendienst deaktiviert? Wurde der Dienst Diagnosesystemhost deaktiviert? [Optional] Wurde der Dienst Druckwarteschlange deaktiviert, wenn er nicht benötigt wird? Wurde der Dienst Enumeratordienst für tragbare Geräte deaktiviert? Wurde der Dienst Funktionssuchanbieter-Host deaktiviert? Wurde der Dienst Funktionssuche-Ressourcenveröffentlichung deaktiviert? Wurde der Dienst Gatewaydienst auf Anwendungsebene deaktiviert? Wurde der Dienst IKE- und AuthIP IPsec-Schlüsselerstellungsmodule deaktiviert? Wurde der Dienst Intelligenter Hintergrundübertragungsdienst mit dem Starttyp Manuell konfiguriert? Wurde der Dienst IP-Hilfsdienst deaktiviert? Wurde der Dienst IPsec-Richtlinien-Agent deaktiviert? Wurde der Dienst KtmRm für Distributed Transaction Coordinator deaktiviert? Wurde der Dienst Leistungsprotokolle und -warnungen deaktiviert? Wurde der Dienst Microsoft.NET Framework NGEN v _x86 auf den Starttyp manuell konfiguriert? Wurde der Dienst Microsoft iscsi-initiator-dienst deaktiviert? Wurde der Dienst Multimediaklassenplaner deaktiviert? Wurde der Dienst Offlinedateien deaktiviert? Wurde der Dienst Peer Name Resolution-Protokoll deaktiviert? Wurde der Dienst Peernetzwerk-Gruppenzuordnung deaktiviert? Wurde der Dienst Peernetzwerkidentitäts-Manager deaktiviert? [Optional] Wurde der Dienst Plug & Play deaktiviert (wird von Smartcard benötigt)? Wurde der Dienst PnP-X-IP Busenumerator deaktiviert? Wurde der Dienst PNRP-Computerveröffentlichungs-Dienst deaktiviert? Wurde der Dienst Programmkompatibilitäts-Assistent-Dienst deaktiviert? 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Wurde der Dienst RAS-Verbindungsverwaltung deaktiviert? Wurde der Dienst ReadyBoost deaktiviert? Wurde der Dienst Remoteregistrierung deaktiviert? Wurde der Dienst Richtlinie zum Entfernen der Smartcard deaktiviert? Wurde der Dienst Sekundäre Anmeldung deaktiviert? Wurde der Dienst Server deaktiviert? Wurde der Dienst Shellhardwareerkennung deaktiviert? Wurde der Dienst Sitzungs-Manager für Desktopfenster-Manager deaktiviert? [Optional] Wurde der Dienst Smartcard deaktiviert? Wurde der Dienst SNMP-Trap deaktiviert? Wurde der Dienst SSDP-Suche deaktiviert? Wurde der Dienst SSTP-Dienst deaktiviert? Wurde der Dienst Superfetch deaktiviert? Wurde der Dienst Tablet PC-Eingabedienst deaktiviert? Wurde der Dienst TCP/IP-NetBIOS-Hilfsdienst deaktiviert? Wurde der Dienst Telefonie deaktiviert? [Optional] Wurde der Dienst TPM-Basisdienste bei Nichtbenutzung von TPM deaktiviert? Wurde der Dienst Überwachung verteilter Verknüpfungen (Client) deaktiviert? Wurde der Dienst UPnP-Gerätehost deaktiviert? Wurde der Dienst Verbessertes Windows-Audio/Video-Streaming deaktiviert? Wurde der Dienst Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm deaktiviert? Wurde der Dienst Verschlüsselndes Dateisystem (EFS) deaktiviert? Wurde der Dienst Verwaltung für automatische RAS-Verbindung deaktiviert? Wurde der Dienst Virtueller Datenträger deaktiviert? Wurde der Dienst Volumenschattenkopie deaktiviert? 2 Wurde der Dienst WebClient deaktiviert? [hoher Schutzbedarf] Wurde der Dienst Windows-Installer deaktiviert? 2 Die Deaktivierung der Volumenschattenkopie kann zu einer Fehlermeldung führen, wenn Systemsteuerung System erweiterte Systemeinstellungen Computerschutz aufgerufen wird. Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise Wurde der Dienst Windows Media Player-Netzwerkfreigabedienst deaktiviert? [Optional] Wurde der Dienst Windows-Audio deaktiviert? Wurde der Dienst Windows-Audio-Endpunkterstellung deaktiviert? Wurde der Dienst Windows-Bilderfassung deaktiviert? [Optional] Wurde der Dienst Windows-Defender deaktiviert (bei Verwendung einer anderen Virenschutzsoftware)? Wurde der Dienst Windows-Fehlerberichterstattungsdienst deaktiviert? [Optional] Wurde der Dienst Windows-Firewall bei Verwendung einer anderen Firewall-Anwendung deaktiviert? Wurde der Dienst Windows-Sofortverbindung Konfigurationsregistrierungsstelle deaktiviert? Wurde der Dienst WinHTTP-Web Proxy Auto-Discovery-Dienst deaktiviert? Wurde der Dienst Zugriff auf Eingabegeräte deaktiviert? 4.6 Restriktive Berechtigungsvergaben Basiseinstellungen für Benutzerrechte Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen Lokale Richtlinien Zuweisen von Benutzerrechten für folgende Gruppenrichtlinienobjekte geändert? Wurde das Benutzerrecht Ändern der Systemzeit nur der Gruppe der Administratoren zugewiesen? Wurden alle Benutzer für das Benutzerrecht Ändern der Zeitzone entfernt? Wurde das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung den Benutzergruppen Administratoren und Dienst zugewiesen? Wurde das Benutzerrecht Arbeitssatz eines Prozesses vergrößern für vorhandene Benutzergruppen entfernt? Wurde das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen den Benutzergruppen Administratoren, Remotedesktopbenutzer und Sicherungsoperatoren zugewiesen? Wurde das Benutzerrecht Auslassen der durchsuchenden Überprüfung nur der Benutzergruppe Jeder zugewiesen? Wurde das Benutzerrecht Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird nur der Benutzergruppe Administratoren zugewiesen? Wurde das Benutzerrecht Erstellen globaler Objekte nur der Benutzergruppe Administratoren zugewiesen? 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Wurde das Benutzerrecht Generieren von Sicherheitsüberwachungen für vorhandene Benutzergruppen entfernt? Wurde das Benutzerrecht Herunterfahren des Systems den Benutzergruppen Administratoren und Benutzer zugewiesen? Wurde das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne nur der Benutzergruppe Administratoren zugewiesen? Wurden alle Benutzergruppen für das Benutzerrecht Lokal anmelden verweigern entfernt? Wurde das Benutzerrecht Lokal anmelden zulassen den Benutzergruppen Benutzern, Administratoren und Domänenbenutzern zugewiesen? Berechtigungsvergabe für den Fernzugriff Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Terminaldienste Terminalserver Sicherheit Verschlüsselungsstufe der Client-Verbindung festlegen aktiviert und der Wert auf höchste Stufe vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Terminaldienste Terminalserver Sicherheit Bei der Verbindungsherstellung immer zu Kennworteingabe auffordern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Terminaldienste Terminalserver Sicherheit Sichere RPC-Kommunikation anfordern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Terminaldienste Terminalserver Sitzungszeitlimits Zeitlimit für aktive Terminaldienstsitzungen festlegen aktiviert und der Wert 2-Stunden vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen System Remoteunterstützung Angeforderte Remoteuntersützung aktiviert und der Wert auf Helfer dürfen den Computer remote steuern vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen System Remoteunterstützung Remoteuntersützung anbieten deaktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Windows Komponenten Terminaldienste Remotedesktopverbindungs-Client Speichern von Kennwörtern nicht zulassen aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Windows Komponenten Terminaldienste Terminalserver Verbindungen Regeln für Remoteüberwachung von Terminaldienste- Remotesitzungen festlegen aktiviert und der Wert Vollzugriff mit Erlaubnis des Benutzers vergeben? Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise 4.7 Windows Firewall Die folgenden Fragen sind für die Verwendung der Windows eigenen Firewall vorgesehen. Werden Produkte anderer Anbieter eingesetzt, so sind die Festlegungen der generischen Checkliste zu beachten. Des Weiteren wird davon ausgegangen, dass der APC in einer Domäne betrieben wird und die Profile Privat und Öffentlich nicht benötigt werden. Wurde die Konfiguration für das Domänen-Profil der Firewall über Systemsteuerung Verwaltung Windows Firewall mit erweiterter Sicherheit Windows Firewall Eigenschaften angepasst? Wurde Benachrichtigungen anzeigen aktiviert? Wurde Unicastantwort zulassen aktiviert? Wurde Lokale Firewallregeln anwenden aktiviert? Wurde Lokale Sicherheitsverbindungsregeln anwenden aktiviert? Wurde die Protokollierung für verworfene Pakete aktiviert? Wurde die zentrale Ablage auf einem Logging-Server für die Logging-Datei und entsprechende Schreibrechte für das Firewall-Dienstkonto eingerichtet? Wurden für die Profile Privates Profil und Öffentliches Profil über Systemsteuerung Verwaltung Windows Firewall mit erweiterter Sicherheit Windows Firewall Eigenschaften alle eingehenden und ausgehenden Verbindungen geblockt? Wurde die Konfiguration der Firewall für das Domänen-Profil mittels Gruppenrichtlinienobjekte unter Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Windows-Firewall mit erweiterter Sicherheit Windows-Firewall mit erweiterter Sicherheit lokales Gruppenrichtlinienobjekt angepasst? Wurde die Windows-Firewall für Zugriffe aus dem Management-LAN (siehe [ISi-LANA]) mittels einer zu erstellenden Verbindungssicherheitsregel geöffnet? Wurde für die Verbindungssicherheitsregel der Authentifizierungsmodus auf Eingehend und ausgehend anfordern konfiguriert? Wurde die erstellte Verbindungssicherheitsregel aktiviert? Wurden weitere Verbindungssicherheitsregeln definiert? Wurden ein- und ausgehende Regeln definiert? Wurden in den ein- und ausgehenden Regeln die Verbindungen zugelassen bzw. verhindert? Wurden in den ein- und ausgehenden Regeln Protokolltyp, lokale(r) Port(s) und Remote-Port(s) definiert? Wurden die erstellten ein- und ausgehenden Regeln aktiviert? 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe Wurden für die Profile Privates Profil und Öffentliches Profil alle eingehenden und ausgehenden Verbindungen geblockt? 4.8 Zentrales Logging Wurde zur Nutzung des zentralen Logging die Verbindung zu einem Abonnement-Manager-Server konfiguriert? Wurde für die Kommunikation zwischen Abonnement-Manager-Server und PC-Client mittels der Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisweiterleitung Serveradresse, Aktualisierungsintervall, für Abonnement-Manager das Protokoll HTTPS konfiguriert? Wurde der Port 443 in den Firewall-Einstellungen für die HTTPS-Kommunikation zwischen PC-Client und Abonnement-Manager-Server freigeschaltet? Wurden die Einstellungen für die Überwachungsrichtlinie mittels der Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Anmeldeereignisse überwachen auf Erfolgreich, Fehlgeschlagen konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Anmeldeversuche überwachen auf Erfolgreich, Fehlgeschlagen konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Kontenverwaltung überwachen auf Erfolgreich, Fehlgeschlagen konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Objektzugriffsversuche überwachen auf Fehlgeschlagen konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Prozessverfolgung überwachen auf Keine Überwachung konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Rechteverwendung überwachen auf Fehlgeschlagen konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Richtlinienveränderungen überwachen auf Erfolgreich, Fehlgeschlagen konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Systemereignisse überwachen auf Erfolgreich, Fehlgeschlagen konfiguriert? Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen lokale Richtlinien Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen auf Fehlgeschlagen konfiguriert? Wurde die Verwendung erweiterter Überwachungsrichtlinien mittels der Gruppenrichtlinie Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen lokale Richtlinien Sicherheitsoptionen Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen aktiviert? Wurden die Parameter für das Ereignisprotokoll konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Anwendung Maximale Protokollgröße (kb) aktiviert ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Anwendung Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Anwendung Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Setup Maximale Protokollgröße (kb) aktiviert ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Setup Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Setup Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Sicherheit Maximale Protokollgröße (kb) aktiviert ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Sicherheit Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst Sicherheit Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst System Maximale Protokollgröße (kb) aktiviert ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst System Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows Komponenten Ereignisprotokolldienst System Alte Ereignisse beibehalten aktiviert? 20 Bundesamt für Sicherheit in der Informationstechnik

21 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe 4.9 Hardware administrieren Wurde die Verwendung von Wechselmedien reglementiert? O Wird der Zugriff auf Wechseldatenträger mittels der Gruppenrichtlinien unter Computerkonfiguration Administrative Vorlagen System Wechselmedienzugriff Benutzerdefinierte Klassen nur für bestimmte Geräte erlaubt? oder O [hoher Schutzbedarf] Wurde der Zugriff auf Wechselmedien mittels der Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen System Wechselmedienzugriff Alle Wechselmedienklassen: Jeglichen Zugriff verweigern generell unterbunden? Wurde die Installation von neu hinzugefügter Hardware reglementiert? O Wurde die Installation von Wechseldatenträgern durch die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen System Geräteinstallation Einschränkungen bei der Geräteinstallation Installation von Wechselgeräten verhindern unterbunden? oder O [hoher Schutzbedarf] Wurde der Dienst Plug&Play-Dienst über Systemsteuerung Verwaltung Dienste zur Verhinderung der Erkennung neuer Hardware deaktiviert? Wurden alle nicht benötigten Schnittstellen im BIOS und unter Systemsteuerung System Geräte-Manager deaktiviert? Wurde die Bluetooth-Schnittstelle deaktiviert? Wurde die Infrarot-Schnittstelle deaktiviert? Wurde die Firewire-Schnittstelle deaktiviert? Wurde die PC-Card-Schnittstelle (PCMCIA) deaktiviert? 4.10 Autostart- und Autorun-Funktionen Wurde die Gruppenrichtlinie Computerkonfiguration Administrative Vorlagen Windows- Komponenten Richtlinien für die automatische Wiedergabe Autoplay deaktivieren aktiviert und auf den Wert Alle Laufwerke konfiguriert? Befinden sich in den Autorun-Einträgen nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx nur erwünschte Anwendungen? Bundesamt für Sicherheit in der Informationstechnik 21

22 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise Befinden sich im Registry-Schlüssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce nur erwünschte Anwendungen? Befinden sich in allen Registry-Schlüsseln für HKEY_USERS \ SID 3 \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwünschte Anwendungen? Befinden sich in den Autostart-Ordnern nur erwünschte Anwendungen? Befinden sich in allen auf dem PC-Client befindlichen Benutzerordnern %Userprofile% / Appdata / Roaming / Microsoft / Windows / Startmenü / Programme / Autostart nur erwünschte Anwendungen? Befinden sich im Ordner %SYSTEMDRIVE% / ProgramData / Microsoft / Windows / Start Menü / Programme / Autostart nur erwünschte Anwendungen? 4.11 Ergänzende Ausführungskontrolle Wurde der Menüeintrag Start Ausführen mittels Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Startmenü und Taskleiste Menüeintrag Ausführen aus dem Menü Start entfernen ausgeblendet? Wurde zur Verhinderung der unkontrollierten Dateiausführung über den Windows-Explorer das Ausblenden von Dateiergänzungsnamen über Systemsteuerung Ordneroptionen Ansicht durch entfernen der Auswahlmarkierung für die Option Erweiterungen bei bekannten Dateien ausblenden so konfiguriert, dass nunmehr die Anzeige von Dateiergänzungsnamen ausgeführt wird. Die folgenden Kontrollfragen werden bei Verwendung einer Blacklist zur Ausführungskontrolle verwendet. Wurden Anwendungen mittels der Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen System Angegebene Windowsanwendungen nicht ausführen von der Ausführung ausgeschlossen? [hoher Schutzbedarf] Wurde die Ausführung von Code über die HTML Help Executable durch die Aufnahme der Anwendung HH.EXE in die Blacklist verhindert? Die folgenden Kontrollfragen werden bei der ausschließlichen Verwendung einer Whitelist zur Ausführungskontrolle angewendet. Wurde die Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen Richtlinien für die Softwareeinschränkungen Sicherheitsstufen Die Software wird trotz der Berechtigung des Benutzers nicht ausgeführt zum Standard erklärt? Sind die Registrierungspfadregeln für den Standardzugriff auf das Systemverzeichnis (%Systemroot%) und das Programmverzeichnis (%ProgramData%) mittels der Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen Richtlinien für 3 Mit SID sind alle Benutzer unterhalb HKEY_USER spezifiziert 22 Bundesamt für Sicherheit in der Informationstechnik

23 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe die Softwareeinschränkungen zusätzliche Regeln vorhanden und die Sicherheitsstufe auf Nicht eingeschränkt konfiguriert? Wurden die erlaubten Anwendungen über Regeln mittels der Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen Richtlinien für die Softwareeinschränkungen zusätzliche Regeln konfiguriert? Wurde der Selbstausschluss der Administratoren durch Setzen der Gruppenrichtlinie Computerkonfiguration Windows Einstellungen Sicherheitseinstellungen Richtlinien für Softwareeinschränkungen Erzwingen auf Alle Benutzer außer den lokalen Administratoren verhindert? 4.12 Speicherschutzmechanismen Wurde die Datenausführungsverhinderung (DEP) für alle Anwendungen aktiviert? O Wurde die Datenausführungsverhinderung über Systemsteuerung System Erweiterte Systemeinstellungen Einstellungen Datenausführungsverhinderung Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der Ausgewählten einschalten aktiviert? oder O Wurde unter Verwendung der Windows-Anwendung BCDEDIT.EXE die Aktivierung der Datenausführungsverhinderung über Kommandozeilenaufforderung mittels bcdedit /set nx OptOut durchgeführt? 4.13 An- und Abmelden durch den Benutzer Wurde für eine sichere Benutzeranmeldung die Gruppenrichtlinie Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen aktiviert und somit die Anzeige des letzten angemeldeten Benutzers verhindert? Wurde die Übernahme einer nicht ordnungsgemäß beendeten Sitzung durch Dritte mittels Konfiguration des Bildschirmschoners reglementiert? Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Systemsteuerung Anzeige Bildschirmschoner aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Systemsteuerung Anzeige Bildschirmschoner-Zeitlimit aktiviert und ein Wert von 900 (Sekunden) konfiguriert? Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Systemsteuerung Anzeige Kennwortschutz für den Bildschirmschoner verwenden aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Systemsteuerung Anzeige Registerkarte Bildschirmschoner ausblenden aktiviert? Bundesamt für Sicherheit in der Informationstechnik 23

24 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise [Optional] Wurde die Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen Systemsteuerung Anzeige Programmname des Bildschirmschoners aktiviert und ein Bildschirmschoner konfiguriert? Wurde die Kennworteingabe bei Reaktivierung aus dem Ruhezustand bzw. Standbymodus mittels Gruppenrichtlinie Benutzerkonfiguration Administrative Vorlagen System Energieverwaltung Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Standbymodus aktiviert? 24 Bundesamt für Sicherheit in der Informationstechnik

25 ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise ISi-Reihe 5 Betrieb Im Betrieb unterscheidet sich das Betriebssystem Windows Vista Enterprise kaum von anderen Betriebssystemen. Aus diesem Grund sind lediglich die Anforderungen der allgemeinen Checkliste (ISi-Check zu ISi-Client) zu beachten. Bundesamt für Sicherheit in der Informationstechnik 25

26 ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows Vista Enterprise 6 Literaturverzeichnis [ISi-Client] [ITGSK] [ISi-LANA] [ISi-E] [ISi-Web-Client] [[ISi-Mail-Client] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Standards zur Internet-Sicherheit: Absicherung eines PC-Clients, 2010 Bundesamt für Sicherheit in der Informationstechnik (BSI), IT- Grundschutzkataloge, Stand 2010 Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Standards zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet, 2007 Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Standards zur Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise; 2011 Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Standards zur Internet-Sicherheit: Sichere Nutzung von Web-Angeboten, 2008 Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Standards zur Internet-Sicherheit: Sichere Nutzung von , Bundesamt für Sicherheit in der Informationstechnik