Teil 2 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum zweiten Teil der Artikelserie „BSI-Leitfaden review“

Falls Sie den ersten Teil der Artikelserie noch nicht gelesen haben finden Sie diesen hier.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

 

Windows Standardprogramme reglementieren

Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt?
Die Ausführung von Programmen in einem Unternehmensnetzwerk zu reglementieren macht durchaus Sinn, insbesondere wenn es sich um Programme handelt, mit denen man eine Kommunikation nach außen (z.B. Mail oder Messenger) aufbauen kann… oder einfach nur um das Spielen am Arbeitsplatz zu unterbinden.

  • Wurden nicht benötigte Windows Standardprogramme reglementiert?
    Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benut-zerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendun-gen nicht ausführen von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Standard-Software bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfi-guration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Windows-Komponenten bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Windows-Komponenten ausgeführt werden dürfen.

 

  • Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführen aufgenommen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der zugelassenen Anwendungen bereits per Whitelist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen auch nicht ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die Verwendung von AppLocker von der Ausführung ausgeschlossen?

    AppLocker ist ein komplexes Tool zur Steuerung von Anwendungen. Es näher zu beschreiben sprengt den Rahmen dieses Artikels. Wer mehr dazu wissen soll findet Informationen auf folgender Technet-Seite:
    http://technet.microsoft.com/de-de/library/dd548340(v=WS.10).aspx


Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt?

  • Windows Kalender
  • Windows Mail
  • Windows Media Center
  • Windows Messenger
  • Windows Slideshow
  • Windows Media Player

Bei den aufgezählten Anwendungen handelt es sich um Programme, die vornehmlich dem Consumer-Bereich zugeteilt werden. Vermutlich schlägt das BSI daher die Reglementierung dieser Programme vor. Aus der Realität vieler Unternehmen wissen wir, dass einige dieser Programme durchaus produktiv eingesetzt werden, z.B. der Messenger für kurze (dienstliche) Unterhaltungen für die man nicht per Telefon stören will. Oder der Media Player mit dem ein Video vom Kunden abgespielt wird.
Auf der anderen Seite sollten beispielsweise Kalender und Mail beim gleichzeitigen Einsatz von MS Outlook auf jeden Fall reglementiert werden, da es sonst zur Doppelnutzung und Irritationen kommen kann.


Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert?

  • Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Ad-ministrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopmi-nianwendungen deaktivieren verhindert? – oder –
  • Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Com-puterkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminian-wendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert sind, einschränken verhindert?

Wenn Sie die Nutzung von Desktop-Minianwendungen erlauben wollen, weil Sie beispielsweise Ihren Anwendern einige wirklich nützliche Anwendungen zur Verfügung stellen wollen, dann sollten auf jeden Fall erwägen, die Installation neuer Minianwendungen zu unterbinden. Bedenken Sie immer: mehr Software bedeutet mehr potenzielle Sicherheitslücken.

 

Teil 3 dieser Serie finden Sie hier.

Die Kommentarfunktion ist geschlossen.