Teil 3 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum dritten Teil der Artikelserie “BSI-Leitfaden review”

Falls Sie die anderen Teile der Artikelserie noch nicht gelesen haben finden Sie hier den ersten und hier den zweiten Teil.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

Wurde der Windows Scripting Host reglementiert?

  • Wurde die Ausführung von Skripten generell mittels des neu anzulegenden Registry-Schlüssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null unterbunden? – oder –
  • Wurde die Ausführung von Scripten erlaubt und nur für signierte Scripte mittels des neu anzulegenden Registry-Schlüssels TrustPolicy als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuwei-sung des Werts zwei zugelassen? – oder –
  • Wurde die Ausführung von Scripten erlaubt und nur lokal durch das Verhindern der Remote-Ausführung mittels des neu anzulegenden Registry-Schlüssels Remote als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null zugelassen?

Windows Script Host (WDH) stellt ein Administrations Tool dar, welches nur gezielt durch den Administrator benutzt werden sollte. Wenn Sie für die Administration Ihres Systems den WDH nicht nutzen wollen, sollten Sie ihn deaktivieren. Wenn Sie WDH verwenden, sollten Sie die Zugriffsmöglichkeiten so weit wie möglich einschränken.


Wesentliche Sicherheitsmaßnahmen

Die folgenden Maßnahmen des BSI gehen von einer Domänenzugehörigkeit des Clients aus.

Ist die Windows Firewall aktiv?

  • Wurde über Systemsteuerung → Wartungscenter kontrolliert, ob die Firewall nicht bei den Sicherheitsmeldungen aufgeführt ist?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Firewallstatus auf Ein (empfohlen) konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Eingehende Verbindungen auf Alle Blocken konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Ausgehende Verbindungen auf Zulassen (Standard) konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Protokollierung → Anpassen die Protokollierung für verworfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja aktiviert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften für die Profile Privates Profil und Öffentliches Profil die Einstellung Alles Blocken für eingehende Verbindungen und die Protokollierung für verworfene Pakete aktiviert?

Das BSI fragt hier ab, ob der Paketfilter „Windows Firewall“ (denn mehr als ein Paketfilter ist es nicht) so eingestellt ist, wie man einen Paketfilter oft konfiguriert: Nichts darf rein, aber alles darf raus. Natürlich müssen Sie überprüfen, ob diese Konfiguration für Ihren Anwendungsfall sinnvoll ist. Wenn Sie eingehende Verbindungen auf einem bestimmten Port benötigen, müssen Sie entsprechende Ausnahmen einrichten. Wenn möglich sollten Sie bei einer Ausnahme die Quell IP-Adresse oder zumindest das Subnetz definieren, von dem auf den Port zugegriffen werden darf.

Wichtig ist, daß die grundlegenden Einstellungen für alle Profile (Privat, Öffentlich und Domäne) individuell konfiguriert werden. So kann es sein, daß bei einem Laptop ein bestimmter Port nur dann geöffnet sein soll, wenn sich der Rechner im Firmennetz befindet, nicht aber in einem öffentlichen WLAN am Flughafen.

 

Ist der Schutz vor schädlicher Software aktiv?

  • [Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schädlicher Software durch Windows-Defender unter Systemsteuerung → Windows Defender aktiviert?1
  • Wurde ein Virenschutzprogramm installiert?

An dieser Stelle möchten wir Sie auf die kostenlose AV-Lösung „Security Essentials“ von Microsoft aufmerksam machen, die viele positive Kritiken bekommen hat. Bei Unternehmen empfehlen wir entweder den Schutz des Rechners mit dem Cloud-basierten Microsoft Dienst Windows Intune oder die Anschaffung von Microsofts System Center Endpoint Protection 2012.

 

Ist die Benutzerkontensteuerung aktiv?

  • Wurde unter Systemsteuerung → Benutzerkonten → Einstellungen der Benutzerkontensteuerung ändern auf die höchste Stufe (4) Immer benachrichtigen eingestellt?

Dadurch wird der Benutzer informiert sobald ein Programm versucht Software zu installieren oder Änderungen an Windows vorzunehmen. Außerdem informiert Windows den Benutzer, wenn dieser Windows Einstellungen verändert

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd834746.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851895.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd834830.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind auf den Wert deaktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851682.aspx

  • Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben auf den Wert deaktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851479.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851609.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Standardbenutzer auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851602.aspx

 

Wurden die Einstellungen unter Systemsteuerung → Netzwerk- und Freigabecenter → Erweiterte Freigabeeinstellungen ändern für das Netzwerkprofil Privat oder Arbeitsplatz (nicht das aktive Profil Öffentlich) angepasst? (Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients während der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domäne neu hinzugekommenen Netzwerkprofils „Domänenprofil“ zu sehen.)

  • Wurde die Netzwerkerkennung ausgeschaltet?
  • Wurde die Datei- und Druckerfreigabe deaktiviert?
  • Wurde die Freigabe des öffentlichen Ordners deaktiviert?
  • Wurde für Dateifreigabeverbindungen die 128-bit Verschlüsselung aktiviert?
  • Wurde Kennwortgeschützes Freigeben eingeschaltet?
  • Wurde für Heimnetzgruppen-Verbindungen die Option Benutzerkonten und Kennwörter zum Herstellen von Verbindungen mit anderen Computern verwenden aktiviert?

Bei dieser Frage wird davon ausgegangen, daß noch kein Domain-Join stattgefunden hat und die bis dahin vorhandenen Profile angepasst werden sollten. Wenn Sie Rechner nur in einer Domäne betreiben ist dies nicht notwendig, es sei denn, es handelt sich um ein tragbares Gerät.

 

Wurden die Einstellungen für den bei der Installation angelegten Netzwerkadapter über Systemsteuerung → Netzwerk- und Freigabecenter → Adaptereinstellungen ändern angepasst?

  • Wurde der Client für Microsoft Netzwerke aktiviert?
  • Wurde der QoS-Paketplaner deaktiviert?
  • Wurde die Datei- und Druckerfreigabe für Microsoft Netzwerke deaktiviert?
  • Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert?
  • [Optional] Wurde bei ausschließlicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6 (TCP/IPv6) deaktiviert?2
  • Wurde der E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktiviert?
  • Wurde Antwort für Verbindungsschicht-Topologieerkennung deaktiviert?

Wichtig: Hier muß man genau wissen, was man tut und darf auf keinen Fall blind den Vorgaben des BSI folgen.

Es ist zwar zu einem gewissen Grad nachvollziehbar, daß man in einem Nicht-Domain Netz eventuell die Datei- und Druckerfreigabe deaktivieren will, aber es gibt durchaus Gründe dies nicht zu tun. Es hängt von den jeweiligen Umständen ab.

Auch ist nicht schlüssig, warum empfohlen wird den QoS-Planer zu deaktivieren. Probleme hiermit sind uns nicht bekannt und grundsätzlich macht es durchaus Sinn, QoS in komplexen Netzwerken zu betreiben, wobei komplexe Netzwerke meist eine Domänenstruktur haben wodurch die Einstellungen an dieser Stelle sowieso nicht greifen.

Nur weil man sich in einem Netzwerk befindet in dem IPv6 genutzt wird, heißt das noch lange nicht, daß man IPv4 ausschalten sollte. Vorher muß unbedingt geklärt werden, ob es ggf. noch alte Komponenten gibt, die nur IPv4 sprechen, z.Bsp. Drucker oder branchentypische Hardware.
LLDP (Verbindungsschicht-Topologieerkennung) kann unter Umständen zu Netzwerkproblemen führen und sollte deaktiviert werden, wenn es nicht zur Administration genutzt wird.

 

Wurde über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote die Einstellungen für Remote-Verbindungen angepasst?

  • Wurde die Einstellung für Remote-Desktop Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (höhere Sicherheit) aktiviert?
  • Wurden berechtigte Benutzer über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote → Benutzer auswählen in die Liste aufgenommen?

An dieser Stelle erscheint es etwas willkürlich, daß laut BSI die Datei- und Druckerfreigabe komplett deaktiviert werden soll, Remotedesktop jedoch nicht.

Remotedesktop sollte natürlich nur dann aktiviert bleiben, wenn es im Unternehmen überhaupt genutzt wird. Falls Sie beispielsweise Teamviewer oder LanDesk für die Fernwartung einsetzen, sollten Sie Remotedesktop so einstellen, daß keine Verbindungen angenommen werden.

Falls Sie Remotedesktop nutzen möchten, sollte die Liste der User mit Remotedesktop-Rechten so klein wie möglich gehalten werden.

 

Wurden über den neu anzulegenden Registry-Schlüssel DisabledComponents als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters ungewünschte IPv6-Tunnel deaktiviert?

  • Wurde der Wert auf 0x1 gesetzt, um alle Tunnel zu deaktivieren? – oder –
  • [Optional] Wurde der Wert auf 0xFF gesetzt, um IPv6 vollständig zu deaktivieren?

Diese Einstellung macht in einem reinen IPv4-Netz Sinn. Dadurch wird verhindert, daß IPv6-Traffic als IPv4-Traffic „getarnt“ im Netz unterwegs ist und ggf. Firewall-Regeln umgeht.

Bald kommt Teil 4 dieser Serie!