Teil 1 Artikel-Serie: BSI-Leitfaden review

Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) hat vor kurzem einen Leitfaden zur sicheren Konfiguration von Windows 7
Enterprise Arbeitsplatzrechnern veröffentlicht.

Einige der vorgeschlagenen Maßnahmen waren auch für uns neu.
Da es vermutlich dem einen oder anderen IT-Profi ähnlich geht, besprechen wir
die einzelnen Maßnahmen hier in unserem Blog mit einer eigenen Artikel-Serie.

Das Original-Dokument vom BSI finden Sie hier:
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/Client/Dokumente/dokumente_node.html

Da sich der Leitfaden des BSI an Administratoren und andere
IT-Profis richtet, gehen wir in unseren Artikeln von derselben Zielgruppe aus.
Entsprechend gehen wir nicht tiefer auf Standards wie die richtige Hardware
oder Kennwortrichtlinien ein und besprechen dafür ausführlicher die eher
weniger bekannten Maßnahmen.

Die Installation des Betriebssystems im Leitfaden
überspringen wir und wenden uns direkt der Konfiguration zu.

BSI-Checkliste 4.2

Konfigurieren von
Windows Komponenten

Wurde der Internetdruckdienst deaktiviert?
Der Internetdruckdienst (IPP) hatte in der Vergangenheit mehrere
Sicherheitslöcher und sollte daher auf jeden Fall deaktiviert werden. Dieser Dienst stellt Druckerwarteschlangen über http (mittels IIS) bereit.

Wurde Windows-FAX und -Scan deaktiviert?
Sicherheitsprobleme für diese Komponente sind uns nicht bekannt. Es geht
dem BSI eher darum, alle unnötigen Dienste zu deaktivieren. Da in den meisten
Unternehmen Netzwerkscanner und dedizierte Faxgeräte existieren, dürfte diese
Komponente in fast allen Fällen überflüssig sein.

[Optional] Wurde der Internet Explorer 8 deaktiviert?
Wer sich grundsätzlich dafür entscheidet, den IE nicht einzusetzen, kann
die Komponente komplett deaktivieren.

Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker,
Media Center und Media Player) deaktiviert?
Hier handelt es sich wieder um Komponenten, die in vielen Unternehmen
überflüssig sein dürften und eher für den Privatanwender gedacht sind.

[Optional] Wurde die Plattform zu Windows-Minianwendungen
deaktiviert?
Auch hier stellt sich die Frage: wollen Sie Minianwendungen zulassen oder
nicht? Im professionellen Umfeld muss man hier klar Nutzen und Kosten
gegeneinander abwiegen.

Wurde die Remoteunterschiedskomprimierung deaktiviert?
Die Remoteunterschiedskomprimierung (Remote Differential Compression – RDC)
sollte eigentlich das Synchronisieren von Daten über ein Netzwerk schneller
machen, aber in der Praxis hat sich gezeigt, dass RDC oft eher bremsend auf die
Netzwerkgeschwindigkeit wirkt. Um solche Probleme (und stunden langes Suchen nach dem Performance-Problem) zu umgehen, macht es Sinn, RDC direkt zu Beginn zu deaktivieren.

Wurde Tablet PC-Komponenten deaktiviert?
Sie haben kein Tablet? Warum sollten dann die Tablet-Funktionen aktiviert
sein?

[Optional] Wurde Windows Search deaktiviert?
Windows Search zu deaktivieren ist eine Frage des Ermessens. Die indizierte
Suche von Windows Search ist sehr schnell, aber insbesondere in der
Indizierungsphase verlangsamt Windows Search den gesamten PC merklich. Und auch später können Performanceeinbußen durch die Nutzung von Windows Search entstehen.

Wurde XPS-Dienste deaktiviert?
Wenn Sie nicht zu den Exoten gehören, die XPS (XML Paper Specification) einsetzen,
sollten sie den Dienst deaktivieren. Er wird üblicherweise an
Arbeitsplatzrechnern nicht benötigt.

Wurde XPS-Viewer deaktiviert?
Siehe Erklärung zu XPS-Dienste.

Hier finden Sie Teil 2 dieser Serie.

Die Kommentarfunktion ist geschlossen.