Warum Warten? Vorteile von Wartungs- und Serviceverträgen

Diese Frage steht oft im Raum, wenn wir einem Kunden einen Wartungs- oder Servicevertrag anbieten: „Wofür benötige ich einen Wartungsvertrag?“

In diesem Blog-Artikel gehen wir in aller Kürze auf die Vorteile solcher vertraglichen Vereinbarungen für den Kunden ein.

Die Vorteile für den IT-Dienstleister liegen klar auf der Hand: Mit einem Wartungs- oder Servicevertrag wächst sowohl die zeitliche als auch die finanzielle Planungssicherheit. Aber welche Vorteile hat der Kunde davon?

Generell gewinnt der Kunde ein großes Maß an finanzieller und unternehmerischer Sicherheit. Üblicherweise wird in solchen Verträgen festgelegt, welche Aufgaben ein Dienstleister in welchem Zeitraum zu erfüllen hat. Dabei  geht es zum einen um regelmäßige Wartungsintervalle aber auch um Reaktionszeiten im Fall einer technischen Störung. Je nach Vertrag wird oft auch ein Zeitkontingent festgelegt, welches mit der vereinbarten Wartungs- oder Servicepauschale abgegolten ist.

Im Klartext bedeutet dies:
Der Kunde gewinnt unternehmerische Sicherheit, weil der Dienstleister innerhalb von fest definierten Reaktionszeiten (SLA = Service Layer Agreement) auf Probleme oder Anfragen reagieren und per Fernwartung oder vor Ort eingreifen muss. Für den Fall, dass der Dienstleister diese Reaktionszeiten nicht einhält, wird im Vertrag eine Vertragsstrafe definiert.

Außerdem wird durch regelmäßige Wartung der Hard- und Software die Ausfallswahrscheinlichkeit stark reduziert – aber dazu später mehr.

Finanzielle Sicherheit gewinnt der Kunde durch die feste Vereinbarung einer Wartungspauschale und aller damit abgegoltenen Tätigkeiten. Außerdem wird üblicherweise festgelegt, welche Kosten bei Tätigkeiten entstehen, die über die vereinbarten Tätigkeiten hinausgehen.

So beinhalten unsere Wartungsverträge normalerweise ein Zeitkontingent, welches mit der Wartungspauschale abgegolten ist. Innerhalb dieses Zeitkontingents ist ein Eingriff für den Kunden kostenlos, je nach Vereinbarung fallen Anfahrtsgebühren an. Wenn das Zeitkontingent ausgeschöpft ist, berechnen wir dem Kunden für alle weiteren Arbeiten einen im Vertrag definierten, rabattierten Stundensatz.

Somit werden die IT-Kosten für den Kunden planbar, was ein Mehr an finanzieller Sicherheit bedeutet.

 

Regelmäßige Wartung – was bringt das?

Wie bereits erwähnt, sinkt durch eine regelmäßige Hard- und Softwarewartung die Ausfallwahrscheinlichkeit. Bei einer Wartung wird das Gerät nicht einfach äußerlich mittels speziellem antistatischen Staubtuch von Staub befreit. Natürlich gehört eine oberflächliche Reinigung im Bedarfsfall auch dazu, aber viel wichtiger ist das, was sich im Gerät abspielt. Bei einer Wartung überprüfen wir vor allem die Log-Dateien des Betriebssystems auf etwaige Probleme, überprüfen Sicherheitseinstellungen und Sicherheitssoftware, installieren notwendige Updates nach vorherigem Test, überprüfen das Backup und bereinigen bei Bedarf die Festplatte(n). Das genaue Ausmaß hängt von den genutzten Diensten ab und wird im Wartungsvertrag definiert.

Insbesondere die Prüfung der Log-Dateien wird oft unterschätzt, obwohl sie sehr wichtig ist. Der Ausfall von Hardware geschieht im Regelfall nämlich nicht ganz plötzlich, sondern kündigt sich oft über einen längeren Zeitraum an. So entstehen bereits vor dem Ausfall einer Festplatte oft Lese/Schreibfehler, die sich zum Ende hin häufen und in den Log-Dateien gefunden werden können. Ähnlich verhält es sich auch mit Sicherheitsproblemen. Viele Angriffe auf Firewalls und Serversysteme benötigen einen längeren Zeitraum und können im Vorfeld in den Log-Dateien erkannt und verhindert werden.

Wir hoffen, dass wir Ihnen mit diesem Artikel einen kleinen Einblick darin geben konnten, wie vorteilhaft ein Wartungs- oder Servicevertrag für den Kunden ist.

Sie haben Interesse an einem Wartung- oder Servicevertrag? Vereinbaren Sie einen Termin mit uns für ein kostenloses Beratungsgespräch.

Teil 3 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum dritten Teil der Artikelserie “BSI-Leitfaden review”

Falls Sie die anderen Teile der Artikelserie noch nicht gelesen haben finden Sie hier den ersten und hier den zweiten Teil.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

Wurde der Windows Scripting Host reglementiert?

  • Wurde die Ausführung von Skripten generell mittels des neu anzulegenden Registry-Schlüssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null unterbunden? – oder –
  • Wurde die Ausführung von Scripten erlaubt und nur für signierte Scripte mittels des neu anzulegenden Registry-Schlüssels TrustPolicy als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuwei-sung des Werts zwei zugelassen? – oder –
  • Wurde die Ausführung von Scripten erlaubt und nur lokal durch das Verhindern der Remote-Ausführung mittels des neu anzulegenden Registry-Schlüssels Remote als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null zugelassen?

Windows Script Host (WDH) stellt ein Administrations Tool dar, welches nur gezielt durch den Administrator benutzt werden sollte. Wenn Sie für die Administration Ihres Systems den WDH nicht nutzen wollen, sollten Sie ihn deaktivieren. Wenn Sie WDH verwenden, sollten Sie die Zugriffsmöglichkeiten so weit wie möglich einschränken.


Wesentliche Sicherheitsmaßnahmen

Die folgenden Maßnahmen des BSI gehen von einer Domänenzugehörigkeit des Clients aus.

Ist die Windows Firewall aktiv?

  • Wurde über Systemsteuerung → Wartungscenter kontrolliert, ob die Firewall nicht bei den Sicherheitsmeldungen aufgeführt ist?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Firewallstatus auf Ein (empfohlen) konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Eingehende Verbindungen auf Alle Blocken konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Ausgehende Verbindungen auf Zulassen (Standard) konfiguriert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Protokollierung → Anpassen die Protokollierung für verworfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja aktiviert?
  • Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften für die Profile Privates Profil und Öffentliches Profil die Einstellung Alles Blocken für eingehende Verbindungen und die Protokollierung für verworfene Pakete aktiviert?

Das BSI fragt hier ab, ob der Paketfilter „Windows Firewall“ (denn mehr als ein Paketfilter ist es nicht) so eingestellt ist, wie man einen Paketfilter oft konfiguriert: Nichts darf rein, aber alles darf raus. Natürlich müssen Sie überprüfen, ob diese Konfiguration für Ihren Anwendungsfall sinnvoll ist. Wenn Sie eingehende Verbindungen auf einem bestimmten Port benötigen, müssen Sie entsprechende Ausnahmen einrichten. Wenn möglich sollten Sie bei einer Ausnahme die Quell IP-Adresse oder zumindest das Subnetz definieren, von dem auf den Port zugegriffen werden darf.

Wichtig ist, daß die grundlegenden Einstellungen für alle Profile (Privat, Öffentlich und Domäne) individuell konfiguriert werden. So kann es sein, daß bei einem Laptop ein bestimmter Port nur dann geöffnet sein soll, wenn sich der Rechner im Firmennetz befindet, nicht aber in einem öffentlichen WLAN am Flughafen.

 

Ist der Schutz vor schädlicher Software aktiv?

  • [Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schädlicher Software durch Windows-Defender unter Systemsteuerung → Windows Defender aktiviert?1
  • Wurde ein Virenschutzprogramm installiert?

An dieser Stelle möchten wir Sie auf die kostenlose AV-Lösung „Security Essentials“ von Microsoft aufmerksam machen, die viele positive Kritiken bekommen hat. Bei Unternehmen empfehlen wir entweder den Schutz des Rechners mit dem Cloud-basierten Microsoft Dienst Windows Intune oder die Anschaffung von Microsofts System Center Endpoint Protection 2012.

 

Ist die Benutzerkontensteuerung aktiv?

  • Wurde unter Systemsteuerung → Benutzerkonten → Einstellungen der Benutzerkontensteuerung ändern auf die höchste Stufe (4) Immer benachrichtigen eingestellt?

Dadurch wird der Benutzer informiert sobald ein Programm versucht Software zu installieren oder Änderungen an Windows vorzunehmen. Außerdem informiert Windows den Benutzer, wenn dieser Windows Einstellungen verändert

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd834746.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851895.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind auf den Wert aktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd834830.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind auf den Wert deaktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851682.aspx

  • Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben auf den Wert deaktiviert konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851479.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851609.aspx

  •  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Standardbenutzer auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Diese Funktion wird hier ausführlich erklärt:
http://technet.microsoft.com/de-de/library/dd851602.aspx

 

Wurden die Einstellungen unter Systemsteuerung → Netzwerk- und Freigabecenter → Erweiterte Freigabeeinstellungen ändern für das Netzwerkprofil Privat oder Arbeitsplatz (nicht das aktive Profil Öffentlich) angepasst? (Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients während der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domäne neu hinzugekommenen Netzwerkprofils „Domänenprofil“ zu sehen.)

  • Wurde die Netzwerkerkennung ausgeschaltet?
  • Wurde die Datei- und Druckerfreigabe deaktiviert?
  • Wurde die Freigabe des öffentlichen Ordners deaktiviert?
  • Wurde für Dateifreigabeverbindungen die 128-bit Verschlüsselung aktiviert?
  • Wurde Kennwortgeschützes Freigeben eingeschaltet?
  • Wurde für Heimnetzgruppen-Verbindungen die Option Benutzerkonten und Kennwörter zum Herstellen von Verbindungen mit anderen Computern verwenden aktiviert?

Bei dieser Frage wird davon ausgegangen, daß noch kein Domain-Join stattgefunden hat und die bis dahin vorhandenen Profile angepasst werden sollten. Wenn Sie Rechner nur in einer Domäne betreiben ist dies nicht notwendig, es sei denn, es handelt sich um ein tragbares Gerät.

 

Wurden die Einstellungen für den bei der Installation angelegten Netzwerkadapter über Systemsteuerung → Netzwerk- und Freigabecenter → Adaptereinstellungen ändern angepasst?

  • Wurde der Client für Microsoft Netzwerke aktiviert?
  • Wurde der QoS-Paketplaner deaktiviert?
  • Wurde die Datei- und Druckerfreigabe für Microsoft Netzwerke deaktiviert?
  • Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert?
  • [Optional] Wurde bei ausschließlicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6 (TCP/IPv6) deaktiviert?2
  • Wurde der E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktiviert?
  • Wurde Antwort für Verbindungsschicht-Topologieerkennung deaktiviert?

Wichtig: Hier muß man genau wissen, was man tut und darf auf keinen Fall blind den Vorgaben des BSI folgen.

Es ist zwar zu einem gewissen Grad nachvollziehbar, daß man in einem Nicht-Domain Netz eventuell die Datei- und Druckerfreigabe deaktivieren will, aber es gibt durchaus Gründe dies nicht zu tun. Es hängt von den jeweiligen Umständen ab.

Auch ist nicht schlüssig, warum empfohlen wird den QoS-Planer zu deaktivieren. Probleme hiermit sind uns nicht bekannt und grundsätzlich macht es durchaus Sinn, QoS in komplexen Netzwerken zu betreiben, wobei komplexe Netzwerke meist eine Domänenstruktur haben wodurch die Einstellungen an dieser Stelle sowieso nicht greifen.

Nur weil man sich in einem Netzwerk befindet in dem IPv6 genutzt wird, heißt das noch lange nicht, daß man IPv4 ausschalten sollte. Vorher muß unbedingt geklärt werden, ob es ggf. noch alte Komponenten gibt, die nur IPv4 sprechen, z.Bsp. Drucker oder branchentypische Hardware.
LLDP (Verbindungsschicht-Topologieerkennung) kann unter Umständen zu Netzwerkproblemen führen und sollte deaktiviert werden, wenn es nicht zur Administration genutzt wird.

 

Wurde über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote die Einstellungen für Remote-Verbindungen angepasst?

  • Wurde die Einstellung für Remote-Desktop Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (höhere Sicherheit) aktiviert?
  • Wurden berechtigte Benutzer über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote → Benutzer auswählen in die Liste aufgenommen?

An dieser Stelle erscheint es etwas willkürlich, daß laut BSI die Datei- und Druckerfreigabe komplett deaktiviert werden soll, Remotedesktop jedoch nicht.

Remotedesktop sollte natürlich nur dann aktiviert bleiben, wenn es im Unternehmen überhaupt genutzt wird. Falls Sie beispielsweise Teamviewer oder LanDesk für die Fernwartung einsetzen, sollten Sie Remotedesktop so einstellen, daß keine Verbindungen angenommen werden.

Falls Sie Remotedesktop nutzen möchten, sollte die Liste der User mit Remotedesktop-Rechten so klein wie möglich gehalten werden.

 

Wurden über den neu anzulegenden Registry-Schlüssel DisabledComponents als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters ungewünschte IPv6-Tunnel deaktiviert?

  • Wurde der Wert auf 0x1 gesetzt, um alle Tunnel zu deaktivieren? – oder –
  • [Optional] Wurde der Wert auf 0xFF gesetzt, um IPv6 vollständig zu deaktivieren?

Diese Einstellung macht in einem reinen IPv4-Netz Sinn. Dadurch wird verhindert, daß IPv6-Traffic als IPv4-Traffic „getarnt“ im Netz unterwegs ist und ggf. Firewall-Regeln umgeht.

Bald kommt Teil 4 dieser Serie!

Teil 2 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum zweiten Teil der Artikelserie „BSI-Leitfaden review“

Falls Sie den ersten Teil der Artikelserie noch nicht gelesen haben finden Sie diesen hier.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

 

Windows Standardprogramme reglementieren

Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt?
Die Ausführung von Programmen in einem Unternehmensnetzwerk zu reglementieren macht durchaus Sinn, insbesondere wenn es sich um Programme handelt, mit denen man eine Kommunikation nach außen (z.B. Mail oder Messenger) aufbauen kann… oder einfach nur um das Spielen am Arbeitsplatz zu unterbinden.

  • Wurden nicht benötigte Windows Standardprogramme reglementiert?
    Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benut-zerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendun-gen nicht ausführen von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Standard-Software bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfi-guration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Windows-Komponenten bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Windows-Komponenten ausgeführt werden dürfen.

 

  • Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführen aufgenommen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der zugelassenen Anwendungen bereits per Whitelist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen auch nicht ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die Verwendung von AppLocker von der Ausführung ausgeschlossen?

    AppLocker ist ein komplexes Tool zur Steuerung von Anwendungen. Es näher zu beschreiben sprengt den Rahmen dieses Artikels. Wer mehr dazu wissen soll findet Informationen auf folgender Technet-Seite:
    http://technet.microsoft.com/de-de/library/dd548340(v=WS.10).aspx


Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt?

  • Windows Kalender
  • Windows Mail
  • Windows Media Center
  • Windows Messenger
  • Windows Slideshow
  • Windows Media Player

Bei den aufgezählten Anwendungen handelt es sich um Programme, die vornehmlich dem Consumer-Bereich zugeteilt werden. Vermutlich schlägt das BSI daher die Reglementierung dieser Programme vor. Aus der Realität vieler Unternehmen wissen wir, dass einige dieser Programme durchaus produktiv eingesetzt werden, z.B. der Messenger für kurze (dienstliche) Unterhaltungen für die man nicht per Telefon stören will. Oder der Media Player mit dem ein Video vom Kunden abgespielt wird.
Auf der anderen Seite sollten beispielsweise Kalender und Mail beim gleichzeitigen Einsatz von MS Outlook auf jeden Fall reglementiert werden, da es sonst zur Doppelnutzung und Irritationen kommen kann.


Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert?

  • Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Ad-ministrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopmi-nianwendungen deaktivieren verhindert? – oder –
  • Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Com-puterkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminian-wendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert sind, einschränken verhindert?

Wenn Sie die Nutzung von Desktop-Minianwendungen erlauben wollen, weil Sie beispielsweise Ihren Anwendern einige wirklich nützliche Anwendungen zur Verfügung stellen wollen, dann sollten auf jeden Fall erwägen, die Installation neuer Minianwendungen zu unterbinden. Bedenken Sie immer: mehr Software bedeutet mehr potenzielle Sicherheitslücken.

 

Teil 3 dieser Serie finden Sie hier.

Teil 1 Artikel-Serie: BSI-Leitfaden review

Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) hat vor kurzem einen Leitfaden zur sicheren Konfiguration von Windows 7
Enterprise Arbeitsplatzrechnern veröffentlicht.

Einige der vorgeschlagenen Maßnahmen waren auch für uns neu.
Da es vermutlich dem einen oder anderen IT-Profi ähnlich geht, besprechen wir
die einzelnen Maßnahmen hier in unserem Blog mit einer eigenen Artikel-Serie.

Das Original-Dokument vom BSI finden Sie hier:
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/Client/Dokumente/dokumente_node.html

Da sich der Leitfaden des BSI an Administratoren und andere
IT-Profis richtet, gehen wir in unseren Artikeln von derselben Zielgruppe aus.
Entsprechend gehen wir nicht tiefer auf Standards wie die richtige Hardware
oder Kennwortrichtlinien ein und besprechen dafür ausführlicher die eher
weniger bekannten Maßnahmen.

Die Installation des Betriebssystems im Leitfaden
überspringen wir und wenden uns direkt der Konfiguration zu.

BSI-Checkliste 4.2

Konfigurieren von
Windows Komponenten

Wurde der Internetdruckdienst deaktiviert?
Der Internetdruckdienst (IPP) hatte in der Vergangenheit mehrere
Sicherheitslöcher und sollte daher auf jeden Fall deaktiviert werden. Dieser Dienst stellt Druckerwarteschlangen über http (mittels IIS) bereit.

Wurde Windows-FAX und -Scan deaktiviert?
Sicherheitsprobleme für diese Komponente sind uns nicht bekannt. Es geht
dem BSI eher darum, alle unnötigen Dienste zu deaktivieren. Da in den meisten
Unternehmen Netzwerkscanner und dedizierte Faxgeräte existieren, dürfte diese
Komponente in fast allen Fällen überflüssig sein.

[Optional] Wurde der Internet Explorer 8 deaktiviert?
Wer sich grundsätzlich dafür entscheidet, den IE nicht einzusetzen, kann
die Komponente komplett deaktivieren.

Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker,
Media Center und Media Player) deaktiviert?
Hier handelt es sich wieder um Komponenten, die in vielen Unternehmen
überflüssig sein dürften und eher für den Privatanwender gedacht sind.

[Optional] Wurde die Plattform zu Windows-Minianwendungen
deaktiviert?
Auch hier stellt sich die Frage: wollen Sie Minianwendungen zulassen oder
nicht? Im professionellen Umfeld muss man hier klar Nutzen und Kosten
gegeneinander abwiegen.

Wurde die Remoteunterschiedskomprimierung deaktiviert?
Die Remoteunterschiedskomprimierung (Remote Differential Compression – RDC)
sollte eigentlich das Synchronisieren von Daten über ein Netzwerk schneller
machen, aber in der Praxis hat sich gezeigt, dass RDC oft eher bremsend auf die
Netzwerkgeschwindigkeit wirkt. Um solche Probleme (und stunden langes Suchen nach dem Performance-Problem) zu umgehen, macht es Sinn, RDC direkt zu Beginn zu deaktivieren.

Wurde Tablet PC-Komponenten deaktiviert?
Sie haben kein Tablet? Warum sollten dann die Tablet-Funktionen aktiviert
sein?

[Optional] Wurde Windows Search deaktiviert?
Windows Search zu deaktivieren ist eine Frage des Ermessens. Die indizierte
Suche von Windows Search ist sehr schnell, aber insbesondere in der
Indizierungsphase verlangsamt Windows Search den gesamten PC merklich. Und auch später können Performanceeinbußen durch die Nutzung von Windows Search entstehen.

Wurde XPS-Dienste deaktiviert?
Wenn Sie nicht zu den Exoten gehören, die XPS (XML Paper Specification) einsetzen,
sollten sie den Dienst deaktivieren. Er wird üblicherweise an
Arbeitsplatzrechnern nicht benötigt.

Wurde XPS-Viewer deaktiviert?
Siehe Erklärung zu XPS-Dienste.

Hier finden Sie Teil 2 dieser Serie.