Sichere Nutzung eines PC-Clients (ISi-Client)

BSI-Checkliste zur Windows 7 Enterprise Sicherheit (ISi-Check)

Version 1.0 vom 01.08.2011

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Vervielfltigung und Verbreitung Bitte beachten Sie, dass das Werk einschlielich aller Teile urheberrechtlich geschtzt ist. Erlaubt sind Vervielfltigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollstndiges Verzeichnis der erschienenen Bnde finden Sie auf den Internet-Seiten des BSI. http://www.bsi.bund.de oder http://www.isi-reihe.de

Bundesamt fr Sicherheit in der Informationstechnik ISi Projektgruppe Postfach 20 03 63 53133 Bonn Tel. +49 (0) 228 99 9582-0 E-Mail: isi@bsi.bund.de Internet: http://www.bsi.bund.de Bundesamt fr Sicherheit in der Informationstechnik 2011
2 Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Inhaltsverzeichnis
1 Einleitung..........................................................................................................................................4
1.1 Funktion der Checklisten.......................................................................................................................4 1.2 Benutzung der Checklisten....................................................................................................................4

2 Konzeption........................................................................................................................................6 3 Auswahl sicherer Komponenten........................................................................................................7 4 Konfiguration....................................................................................................................................8

4.1 Installation des Betriebssystems............................................................................................................8 4.2 Konfigurieren von Windows Komponenten..........................................................................................9 4.3 Einbinden des PC-Clients in die Domnen-Struktur............................................................................13 4.4 Konfiguration von Windows-Updates.................................................................................................14 4.5 Dienste minimieren..............................................................................................................................14 4.6 Restriktive Berechtigungsvergaben.....................................................................................................17 4.7 Windows Firewall................................................................................................................................19 4.8 Zentrales Logging................................................................................................................................20 4.9 Hardware administrieren......................................................................................................................23 4.10 Autostart- und Autorun-Funktionen...................................................................................................23 4.11 Ergnzende Ausfhrungskontrolle.....................................................................................................24 4.12 Speicherschutzmechanismen.............................................................................................................26 4.13 An- und Abmelden durch den Benutzer.............................................................................................27

5 Betrieb.............................................................................................................................................28 6 Literaturverzeichnis.........................................................................................................................29

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Einleitung

Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren, Sicherheitsrevisoren und IT-Fachleute, die sich mit der Einrichtung, dem Betrieb und der berprfung von Arbeitsplatz-PCs (APC) befassen. Grundlage fr diese Checkliste ist Windows 7 Enterprise. Alle Einstellungen beziehen sich auf die in der Studie Absicherung eines PC-Clients vorgestellte Grundarchitektur.

1.1

Funktion der Checklisten

Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Absicherung eines PC-Clients [ISi-Client] zum Thema Installation, Konfiguration und Betrieb in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmanahmen im Detail berprft werden kann. Die Kontrollfragen beschrnken sich auf die Empfehlungen des BSI-Standards zur Internet-Sicherheit fr PC-Clients [ISi-Client]. Allgemeine IT-Grundschutzmanahmen, die nicht spezifisch fr die beschriebene ISi-Client-Architektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-IT-Grundschutzkatalogen [ITGSK] zu entnehmen. Sie bilden das notwendige Fundament fr ISi-Check. Auch Kontrollfragen, die bereits durch die Checklisten zu den BSI-Studien Sichere Anbindung lokaler Netze an das Internet [ISi-LANA], Sichere Nutzung von E-Mail [ISi-Mail-Client] und Sichere Nutzung von Web-Angeboten [ISi-Web-Client] abgedeckt sind, werden hier nicht wiederholt. Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der PC-Technik, der Betriebssysteme und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verstndnis der technischen und organisatorischen Zusammenhnge bei der Absicherung und beim Betrieb eines PC-Clients. Nur ein kundiger Anwender ist in der Lage, die Prfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen IT-Grundschutzmanahmen zu beurteilen. Der Zweck dieser Kontrollfragen besteht darin, den IT-Fachleuten, -Experten, -Beratern sowie Administratoren in Behrden und Unternehmen bei der Konzeption, der Realisierung und dem spteren Betrieb von PC-Clients die jeweils erforderlichen Manahmen und die dabei verfgbaren Umsetzungsvarianten bersichtlich vor Augen zu fhren. Die Checklisten sollen gewhrleisten, dass kein wichtiger Aspekt vergessen wird.

1.2

Benutzung der Checklisten

Der ISi-Reihe liegt ein bergreifender Ablaufplan zugrunde, der im Einfhrungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Client-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Client-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie ISi-Client ab, ohne diese zu begrnden oder deren Umsetzung nher zu erlutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, knnen
4 Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

vertiefende Informationen in der zugehrigen Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rckgriff auf die Studie bearbeiten knnen. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhngende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer bergeordneten Frage gruppiert. Die bergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der bergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die bergeordnete Frage zu beantworten, soweit er mit dem genannten Prfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlsselung des bergeordneten Prfkriteriums fr den Fall, dass sich der Anwender unschlssig ist, ob die betreffende Vorgabe in ausreichendem Mae umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prfaspekte schnell zu bergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die bergeordneten Fragen, um sich so einen schnellen berblick ber potenzielle Umsetzungsmngel zu verschaffen. Prfkomplexe, deren bergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese mssen bei hohem Schutzbedarf natrlich auch bercksichtigt werden. Soweit fr hohen Schutzbedarf besondere Anforderungen zu erfllen sind, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfgbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, knnen alle so gekennzeichneten Fragen auer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fllen leitet eine bergeordnete Frage den Prfaspekt ein. Darunter ist je eine Kontrollfrage fr jede der mglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknpft. Um das bergeordnete Prfkriterium zu erfllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das bergeordnete Prfkriterium auch bei hohem Schutzbedarf zu erfllen.

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Konzeption

Die Konzeptionsphase gem [ISi-E] wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet. Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen.

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Auswahl sicherer Komponenten

Die Auswahl wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet. Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen.

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Konfiguration

Nach der Beschaffung der bentigten Komponenten erfolgt deren Konfiguration durch die Administratoren. Der folgende Abschnitt enthlt die fr eine sichere Konfiguration zu bercksichtigenden Punkte. Optionen, die bereits in den Standardeinstellungen auf einen sicheren Wert vorkonfiguriert sind, werden von der Checkliste nicht immer explizit abgefragt. Die Reihenfolge der Menpunkte in den Fragen entspricht der Vorgehensweise bei der Installation, Minimierung und Hrtung eines sicheren Minimalsystems. Folgende Schreibweisen werden verwendet:

Einzelne Men-Optionen bzw. -Ebenen sind durch einen Rechtspfeil voneinander getrennt. Ebenen in Registry-Eintrgen sind durch einen umgekehrten Schrgstrich \ voneinander getrennt. In Gruppenrichtlinienobjekten sind Ebenen durch einen senkrechten Strich | voneinander getrennt.

Hintergrundinformationen zu den angefhrten Fragestellungen sind in der zugehrigen Studie Absicherung eines PC-Clients [ISi-Client] zu finden.

4.1

Installation des Betriebssystems

In den folgenden Kontrollfragen werden nur die sicherheitsrelevanten Dialoge abgefragt, die whrend der Installation des Betriebssystems angezeigt werden. Diese mssen in der vorliegenden Reihenfolge abgearbeitet werden, die durch die Installationsroutine vorgegeben wird. Vorbereitung der Speichermedien

Wurden die Speichermedien fr die Installation neu partitioniert und mit NTFS formatiert?

Installation des Betriebssystems

Wurde die Installationsart Benutzerdefiniert (erweitert) ausgewhlt? Wurden nur Speichermedien mit nicht zugewiesenem Speicherplatz zur Auswahl fr die Systempartition angezeigt?

Wurden die Speichermedien mit zugewiesenem Speicherplatz gelscht? Wurde die zum sicheren Betrieb von Windows 7 bentigte Partition fr Systemdateien mit einer Gre von 100 MB von der Installationsroutine angelegt und als Datentrger System-reserviert ausgewiesen?

Wurde ein Standardnutzer eingerichtet? (Dieser wird in einem der nchsten Schritte wieder vom System entfernt.) Wurde der Name des PC-Clients entsprechend der festgelegten Nomenklatur vergeben? Wurde die Frage Windows Einrichten Schtzen Sie Windows automatisch mit Spter erneut nachfragen beantwortet?
Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Sind die Zeit- und Datumseinstellungen richtig? Wurde ein lokales Administratorkonto eingerichtet?

Wurde ein Passwort nach Passwortrichtlinie fr den lokalen Administrator vergeben? Wurde das Konto des lokalen Administrators aktiviert? War eine Anmeldung des lokalen Administrators erfolgreich?

Wurde das Konto des Standardbenutzers gelscht? Wurde der persnliche Ordner des Standardbenutzers gelscht? Wurde ein Neustart durchgefhrt?

4.2

Konfigurieren von Windows Komponenten

In den folgenden Kontrollfragen wird das Deaktivieren nicht bentigter Windows Komponenten abgefragt. Windows Funktionen

Wurden ber Systemsteuerung Programme und Funktionen Windows Funktionen aktivieren oder deaktivieren nicht bentigte Windows Funktionen deaktiviert?

Wurde der Internetdruckdienst deaktiviert? Wurde Windows-FAX und -Scan deaktiviert? [Optional] Wurde der Internet Explorer 8 deaktiviert? Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker, Media Center und Media Player) deaktiviert? [Optional] Wurde die Plattform zu Windows-Minianwendungen deaktiviert? Wurde die Remoteunterschiedskomprimierung deaktiviert? Wurde Tablet PC-Komponenten deaktiviert? [Optional] Wurde Windows Search deaktiviert? Wurde XPS-Dienste deaktiviert? Wurde XPS-Viewer deaktiviert?

Wurde anschlieend ein Neustart durchgefhrt?

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Windows Standardprogramme reglementieren

Wurden die bentigten Anwendungen installiert und diese als Standardprogramme festgelegt? Wurden nicht bentigte Windows Standardprogramme reglementiert?
O

Wurden diese Programme durch Aufnahme der jeweiligen ausfhrbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendungen nicht ausfhren von der Ausfhrung ausgeschlossen? oder Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfiguration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausfhrung ausgeschlossen? oder Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) ber die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausfhren aufgenommen? oder Wurden diese Programme durch die Verwendung von AppLocker von der Ausfhrung ausgeschlossen?

Wurde die Reglementierung von Windows Standardprogrammen mindestens fr die folgenden Programme durchgefhrt?

Windows Kalender Windows Mail Windows Media Center Windows Messenger Windows Slideshow Windows Media Player

Wurde die Ausfhrung von Windows Desktop-Minianwendungen reglementiert?

O

Wurde die Ausfhrung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopminianwendungen deaktivieren verhindert? oder Wurde die Ausfhrung von Minianwendungen erlaubt und nur das Hinzufgen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert sind, einschrnken verhindert?

10

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde der Windows Scripting Host reglementiert?

O

Wurde die Ausfhrung von Skripten generell mittels des neu anzulegenden Registry-Schlssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null unterbunden? oder Wurde die Ausfhrung von Scripten erlaubt und nur fr signierte Scripte mittels des neu anzulegenden Registry-Schlssels TrustPolicy als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuweisung des Werts zwei zugelassen? oder Wurde die Ausfhrung von Scripten erlaubt und nur lokal durch das Verhindern der Remote-Ausfhrung mittels des neu anzulegenden Registry-Schlssels Remote als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null zugelassen?

Wesentliche Sicherheitsmanahmen Die folgenden Fragen zur Windows Firewall gehen davon aus, dass der APC in eine Domne eingebunden ist.

Ist die Windows Firewall aktiv?

Wurde ber Systemsteuerung Wartungscenter kontrolliert, ob die Firewall nicht bei den Sicherheitsmeldungen aufgefhrt ist? Wurde ber Systemsteuerung Windows-Firewall erweiterte Einstellungen Windows-Firewalleigenschaften Domnenprofil Status der Firewallstatus auf Ein (empfohlen) konfiguriert? Wurde ber Systemsteuerung Windows-Firewall erweiterte Einstellungen Windows-Firewalleigenschaften Domnenprofil Status der Parameter Eingehende Verbindungen auf Alle Blocken konfiguriert? Wurde ber Systemsteuerung Windows-Firewall erweiterte Einstellungen Windows-Firewalleigenschaften Domnenprofil Status der Parameter Ausgehende Verbindungen auf Zulassen (Standard) konfiguriert? Wurde ber Systemsteuerung Windows-Firewall erweiterte Einstellungen Windows-Firewalleigenschaften Domnenprofil Protokollierung Anpassen die Protokollierung fr verworfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja aktiviert? Wurde ber Systemsteuerung Windows-Firewall erweiterte Einstellungen Windows-Firewalleigenschaften fr die Profile Privates Profil und ffentliches Profil die Einstellung Alles Blocken fr eingehende Verbindungen und die Protokollierung fr verworfene Pakete aktiviert?

Ist der Schutz vor schdlicher Software aktiv?

[Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schdlicher Software durch Windows-Defender unter Systemsteuerung Windows Defender aktiviert?1

1 Einige Virenschutzprogramme deaktivieren den Windows-Defender bei ihrer Installation. Bundesamt fr Sicherheit in der Informationstechnik 11

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurde ein Virenschutzprogramm installiert?

Ist die Benutzerkontensteuerung aktiv?

Wurde unter Systemsteuerung Benutzerkonten Einstellungen der Benutzerkontensteuerung ndern auf die hchste Stufe (4) Immer benachrichtigen eingestellt? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Bei Eingabeaufforderung fr erhhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Erhhte Rechte nur fr UIAccess-Anwendungen, die an sicheren Orten installiert sind auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Nur ausfhrbare Dateien heraufstufen, die signiert und berprft sind auf den Wert deaktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhhter Rechte ohne Verwendung des sicheren Desktop erlauben auf den Wert deaktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fr erhhte Rechte fr Administratoren im Administratorgenehmigungsmodus auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fr erhhte Rechte fr Standardbenutzer auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Wurden die Einstellungen unter Systemsteuerung Netzwerk- und Freigabecenter Erweiterte Freigabeeinstellungen ndern fr das Netzwerkprofil Privat oder Arbeitsplatz (nicht das aktive Profil ffentlich) angepasst? (Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients whrend der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domne neu hinzugekommenen Netzwerkprofils Domnenprofil zu sehen.)

Wurde die Netzwerkerkennung ausgeschaltet? Wurde die Datei- und Druckerfreigabe deaktiviert? Wurde die Freigabe des ffentlichen Ordners deaktiviert? Wurde fr Dateifreigabeverbindungen die 128-bit Verschlsselung aktiviert? Wurde Kennwortgeschtzes Freigeben eingeschaltet?
Bundesamt fr Sicherheit in der Informationstechnik

12

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde fr Heimnetzgruppen-Verbindungen die Option Benutzerkonten und Kennwrter zum Herstellen von Verbindungen mit anderen Computern verwenden aktiviert?

Wurden die Einstellungen fr den bei der Installation angelegten Netzwerkadapter ber Systemsteuerung Netzwerk- und Freigabecenter Adaptereinstellungen ndern angepasst?

Wurde der Client fr Microsoft Netzwerke aktiviert? Wurde der QoS-Paketplaner deaktiviert? Wurde die Datei- und Druckerfreigabe fr Microsoft Netzwerke deaktiviert? Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert? [Optional] Wurde bei ausschlielicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6 (TCP/IPv6) deaktiviert?2 Wurde der E/A-Treiber fr Verbindungsschicht-Topologieerkennung deaktiviert? Wurde Antwort fr Verbindungsschicht-Topologieerkennung deaktiviert?

Wurde ber Systemsteuerung System Erweiterte Systemeigenschaften Remote die Einstellungen fr Remote-Verbindungen angepasst?

Wurde die Einstellung fr Remote-Desktop Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgefhrt wird (hhere Sicherheit) aktiviert? Wurden berechtigte Benutzer ber Systemsteuerung System Erweiterte Systemeigenschaften Remote Benutzer auswhlen in die Liste aufgenommen?

Wurden ber den neu anzulegenden Registry-Schlssel DisabledComponents als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters ungewnschte IPv6-Tunnel deaktiviert?
O O

Wurde der Wert auf 0x1 gesetzt, um alle Tunnel zu deaktivieren? oder [Optional] Wurde der Wert auf 0xFF gesetzt, um IPv6 vollstndig zu deaktivieren?

4.3

Einbinden des PC-Clients in die Domnen-Struktur

Wurde der PC-Client in die Domne aufgenommen?

Die folgenden Fragen sind nur zu beantworten, wenn der APC in eine Domne eingebunden wird.

War die Anmeldung an der Domne erfolgreich? Erscheint der PC-Client im Verzeichnisdienst?

2 Die Deaktivierung von IPv6 in den Netzwerkeinstellungen stellt nicht sicher, dass automatisch Ipv6-Tunnel aufgebaut werden. Diese Tunnel werden in einer spteren Frage deaktiviert. Bundesamt fr Sicherheit in der Informationstechnik 13

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurden die Einstellungen unter Systemsteuerung Netzwerk- und Freigabecenter Erweiterte Freigabeeinstellungen ndern fr das Netzwerkprofil Domnenprofil angepasst?

Wurde die Netzwerkerkennung ausgeschaltet? Wurde die Datei- und Druckerfreigabe deaktiviert? Wurde die Freigabe des ffentlichen Ordners deaktiviert? Wurde fr Dateifreigabeverbindungen die 128-bit-Verschlsselung aktiviert?

4.4

Konfiguration von Windows-Updates

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Windows Update | Automatische Updates konfigurieren aktiviert und auf den Wert 4 konfiguriert?

Die folgende Frage ist nur bei der Verwendung eines WSUS zu beantworten:

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Windows Update | Internen Pfad fr den Microsoft Updatedienst angeben aktiviert und ein interner Update-Server angegeben?

4.5

Dienste minimieren

Der folgende Abschnitt enthlt Prffragen zur Deaktivierung der System-Dienste. Ziel dieses Abschnittes ist eine mglichst weitgehende Minimierung der laufenden Dienste, um so die Angriffsflche des APCs zu verringern. Es ist im Einzelfall zu prfen, ob weitere Dienste bentigt werden und welche Konsequenzen deren Verwendung hat.

Wurde ber Systemsteuerung Verwaltung Computerverwaltung Dienste der Starttyp folgender Dienste gendert?

Wurde der Dienst ActiveX-Installer (AxInstSV) deaktiviert? Wurde der Dienst Adaptive Helligkeit deaktiviert? Wurde der Dienst Anschlussumleitung fr Remotedesktopdienst im Benutzermodus deaktiviert? Wurde der Dienst Anwendungserfahrung deaktiviert? Wurde der Dienst Automatische Konfiguration (verkabelt) deaktiviert? Wurde der Dienst Automatische WLAN-Konfiguration deaktiviert? [Optional] Wurde der Dienst Benachrichtigungsdienst fr Systemereignisse deaktiviert (nicht Laptop)? [Optional] Wurde der Dienst BitLocker-Laufwerkverschlsselungsdienst deaktiviert, wenn er nicht verwendet wird?
Bundesamt fr Sicherheit in der Informationstechnik

14

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde der Dienst Blockebenen-Sicherungsmodul deaktiviert? Wurde der Dienst Bluetooth-Untersttzungsdienst deaktiviert? Wurde der Dienst COM+-Ereignissystem mit dem Starttyp Manuell konfiguriert? Wurde der Dienst COM+-Systemanwendung deaktiviert? Wurde der Dienst Computerbrowser deaktiviert? [Optional] Wurde der Dienst Designs deaktiviert? Wurde der Dienst Diagnosediensthost deaktiviert? Wurde der Dienst Diagnoserichtliniendienst deaktiviert? Wurde der Dienst Diagnosesystemthost deaktiviert? [Optional] Wurde der Dienst Druckwarteschlange deaktiviert, wenn er nicht bentigt wird? Wurde der Dienst Enumeratordienst fr tragbare Gerte deaktiviert? Wurde der Dienst Funktionssuchanbieter-Host deaktiviert? Wurde der Dienst Funktionssuche-Ressourcenverffentlichung deaktiviert? Wurde der Dienst Gatewaydienst auf Anwendungsebene deaktiviert? Wurde der Dienst Heimnetzgruppen-Anbieter deaktiviert? Wurde der Dienst Heimnetzgruppen-Listener deaktiviert? Wurde der Dienst IKE- und AuthIP IPsec-Schlsselerstellungsmodule deaktiviert? Wurde der Dienst Intelligenter Hintergrundbertragungsdienst mit dem Starttyp Manuell konfiguriert? Wurde der Dienst IP-Hilfsdienst deaktiviert? Wurde der Dienst IPsec-Richtlinien-Agent deaktiviert? Wurde der Dienst Konfiguration fr Remotedesktops deaktiviert? Wurde der Dienst KtmRm fr Distributed Transaction Coordinator deaktiviert? Wurde der Dienst Leistungsprotokolle und -warnungen deaktiviert? Wurde der Dienst Microsoft .NET Framework NGEN v2.0.50727_X86 auf den Starttyp manuell konfiguriert? Wurde der Dienst Microsoft iSCSI-Initiator-Dienst deaktiviert? Wurde der Dienst Multimediaklassenplaner deaktiviert? Wurde der Dienst Offlinedateien deaktiviert?
15

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurde der Dienst Parental Controls deaktiviert? Wurde der Dienst Peer Name Resolution-Protokoll deaktiviert? Wurde der Dienst Peernetzwerk-Gruppenzuordnung deaktiviert? Wurde der Dienst Peernetzwerkidentitts-Manager deaktiviert? [Optional] Wurde der Dienst Plug & Play deaktiviert (wird von Smartcard bentigt)? Wurde der Dienst PnP-X-IP-Busenumerator deaktiviert? Wurde der Dienst PNRP-Computerverffentlichungs-Dienst deaktiviert? Wurde der Dienst Programmkompatibilitts-Assistent-Dienst deaktiviert? Wurde der Dienst RAS-Verbindungsverwaltung deaktiviert? Wurde der Dienst Remoteregistrierung deaktiviert? Wurde der Dienst Richtlinie zum Entfernen der Smartcard deaktiviert? Wurde der Dienst Sekundre Anmeldung deaktiviert? Wurde der Dienst Server deaktiviert? Wurde der Dienst Shellhardwareerkennung deaktiviert? Wurde der Dienst Sitzungs-Manager fr Desktopfenster-Manager deaktiviert? [Optional] Wurde der Dienst Smartcard deaktiviert? Wurde der Dienst SNMP-Trap deaktiviert? Wurde der Dienst SSDP-Suche deaktiviert? Wurde der Dienst SSTP-Dienst deaktiviert? Wurde der Dienst Superfetch deaktiviert? Wurde der Dienst Tablet PC-Eingabedienst deaktiviert? Wurde der Dienst TCP/IP-NetBIOS-Hilfsdienst deaktiviert? Wurde der Dienst Telefonie deaktiviert? [Optional] Wurde der Dienst TPM-Basisdienste bei Nichtbenutzung von TPM deaktiviert? Wurde der Dienst berwachung verteilter Verknpfungen (Client) deaktiviert? Wurde der Dienst UPnP-Gertehost deaktiviert? Wurde der Dienst Verbessertes Windows-Audio/Video-Streaming deaktiviert? Wurde der Dienst Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm deaktiviert?
Bundesamt fr Sicherheit in der Informationstechnik

16

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde der Dienst Verschlsselndes Dateisystem (EFS) deaktiviert? Wurde der Dienst Verwaltung fr automatische RAS-Verbindung deaktiviert? Wurde der Dienst Virtueller Datentrger deaktiviert? Wurde der Dienst Volumenschattenkopie deaktiviert?3 Wurde der Dienst WebClient deaktiviert? [Optional] Wurde der Dienst Windows Defender deaktiviert (bei Verwendung einer anderen Virenschutzsoftware)? [hoher Schutzbedarf] Wurde der Dienst Windows Installer deaktiviert? [Optional] Wurde der Dienst Windows-Audio deaktiviert? Wurde der Dienst Windows-Audio-Endpunkterstellung deaktiviert? Wurde der Dienst Windows-Bilderfassung deaktiviert? Wurde der Dienst Windows-Biometriedienst deaktiviert? Wurde der Dienst Windows-Fehlerberichterstattungsdienst deaktiviert? [Optional] Wurde der Dienst Windows-Firewall bei Verwendung einer anderen Firewall-Anwendung deaktiviert? Wurde der Dienst Windows-Sofortverbindung Konfigurationsregistrierungsstelle deaktiviert? Wurde der Dienst WinHTTP-Web Proxy Auto-Discovery-Dienst deaktiviert? Wurde der Dienst WWAN - automatische Konfiguration deaktiviert? Wurde der Dienst Zugriff auf Eingabegerte deaktiviert?

4.6

Restriktive Berechtigungsvergaben

Basiseinstellungen fr Benutzerrechte

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Zuweisen von Benutzerrechten fr folgende Gruppenrichtlinienobjekte gendert?

Wurde das Benutzerrecht ndern der Systemzeit nur der Gruppe der Administratoren zugewiesen? Wurden alle Benutzer fr das Benutzerrecht ndern der Zeitzone entfernt?

3 Die Deaktivierung der Volumenschattenkopie kann zu einer Fehlermeldung fhren, wenn Systemsteuerung System erweiterte Systemeinstellungen Computerschutz aufgerufen wird. Bundesamt fr Sicherheit in der Informationstechnik 17

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurde das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag den Benutzergruppen Administratoren und Sicherungsoperatoren zugewiesen? Wurde das Benutzerrecht Annehmen der Clientidentitt nach Authentifizierung den Benutzergruppen Administratoren und Dienst zugewiesen? Wurde das Benutzerrecht Arbeitssatz eines Prozesses vergrern fr vorhandene Benutzergruppen entfernt? Wurde das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen den Benutzergruppen Administratoren, Remotedesktopbenutzer und Sicherungsoperatoren zugewiesen? Wurde das Benutzerrecht Auslassen der durchsuchenden berprfung nur der Benutzergruppe Jeder zugewiesen? Wurde das Benutzerrecht Ermglichen, dass Computer- und Benutzerkonten fr Delegierungszwecke vertraut wird nur der Benutzergruppe Administratoren zugewiesen? Wurde das Benutzerrecht Erstellen globaler Objekte nur der Benutzergruppe Administratoren zugewiesen? Wurde das Benutzerrecht Generieren von Sicherheitsberwachungen fr vorhandene Benutzergruppen entfernt? Wurde das Benutzerrecht Herunterfahren des Systems den Benutzergruppen Administratoren und Benutzer zugewiesen? Wurde das Benutzerrecht Hinzufgen von Arbeitsstationen zur Domne nur der Benutzergruppe Administratoren zugewiesen? Wurden alle Benutzergruppen fr das Benutzerrecht Lokal anmelden verweigern entfernt? Wurde das Benutzerrecht Lokal anmelden zulassen den Benutzergruppen Administratoren, Benutzern und Domnenbenutzern zugewiesen?

Berechtigungsvergabe fr den Fernzugriff

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Verschlsselungsstufe der Clientverbindung festlegen aktiviert und der Wert auf hchste Stufe vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Bei der Verbindungsherstellung immer zur Kennworteingabe auffordern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Sichere RPC-Kommunikation anfordern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sitzungszeitlimits | Zeitlimit fr aktive Remotedesktopdienste-Sitzungen festlegen aktiviert und der Wert 2-Stunden vergeben?
Bundesamt fr Sicherheit in der Informationstechnik

18

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Verbindungen | Regeln fr Remotesteuerung von Remotedesktopdienste Benutzersitzungen festlegen aktiviert und der Wert Vollzugriff mit Erlaubnis des Benutzers vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | Speichern von Kennwrtern nicht zulassen aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Remoteuntersttzung | Angeforderte Remoteuntersttzung aktiviert und der Wert auf Helfer drfen den Computer remote steuern vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Remoteuntersttzung | Remoteuntersttzung anbieten deaktiviert?

4.7

Windows Firewall

Die folgenden Fragen sind fr die Verwendung der Windows Firewall vorgesehen. Werden Produkte anderer Anbieter eingesetzt, so sind die Festlegungen der generischen Checkliste zu beachten. Des Weiteren wird davon ausgegangen, dass der APC in einer Domne betrieben wird und die Profile Privat und ffentlich nicht bentigt werden.

Wurden unter der Gruppenrichtlinienobjekte Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit Gruppenrichtlinienobjekt die Windows-Firewalleigenschaften fr das Domnenprofil angepasst?

Wurde Benachrichtigungen anzeigen aktiviert? Wurde Unicastantwort zulassen aktiviert? Wurde Lokale Firewallregeln anwenden aktiviert? Wurde Lokale Sicherheitsverbindungsregeln anwenden aktiviert? Wurde die Protokollierung fr verworfene Pakete aktiviert? Wurde die zentrale Ablage auf einem Logging-Server fr die Logging-Datei und entsprechende Schreibrechte fr das Firewall-Dienstkonto eingerichtet?

Wurden unter der Gruppenrichtlinienobjekte Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit Gruppenrichtlinienobjekt Regeln konfiguriert?

Wurden Verbindungssicherheitsregeln fr Zugriffe aus dem Management-LAN (siehe [ISi-LANA]) eingerichtet? Wurde die Verbindungssicherheitsregel Authentifizierungsmodus auf Eingehend und ausgehend anfordern konfiguriert?

Bundesamt fr Sicherheit in der Informationstechnik

19

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurde die Verbindungssicherheitsregel dem Domnen-Profil zugeordnet? Wurden ein- und ausgehende Regeln definiert? Wurden die erstellten Regeln aktiviert? Wurde die Regelzusammenfhrung von lokalen und GPO-Regeln fr lokale Firewallregeln durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften | Domnenprofil | Einstellungen | Lokale Firewallregeln anwenden auf nicht konfiguriert unterbunden? Wurde die Regelzusammenfhrung von lokalen und GPO-Regeln fr lokale Verbindungssicherheitsregeln durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften | Domnenprofil | Einstellungen | Lokale Verbindungssicherheitsregeln anwenden auf nicht konfiguriert unterbunden?

Wurde mittels der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften die Firewall fr die Profile Privates Profil und ffentliches Profil aktiviert und alle eingehenden und ausgehenden Verbindungen auf Alle blockieren konfiguriert?

4.8

Zentrales Logging
Wurde der Abonnement-Manager-Server eingerichtet?

Wurde fr die Kommunikation zwischen Abonnement-Manager-Server und Client die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisweiterleitung | Serveradresse, Aktualisierungsintervall und Ausstellerzertifizierungsstelle eines AbonnementManagers konfigurieren aktiviert und der Wert als HTTPS konfiguriert? Wurde der Port 443 in den Firewall-Einstellungen fr die HTTPS-Kommunikation zwischen PCClient und Abonnement-Server freigeschaltet?

Wurden die Einstellungen fr die berwachungsrichtlinie mittels der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Anmeldeereignisse berwachen auf Erfolgreich, Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Anmeldeversuche berwachen auf Erfolgreich, Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Kontenverwaltung berwachen auf Erfolgreich, Fehler konfiguriert?

20

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Objektzugriffsversuche berwachen auf Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Prozessverfolgung berwachen auf Keine berwachung konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Rechteverwendung berwachen auf Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Richtlinienvernderungen berwachen auf Erfolgreich, Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Systemereignisse berwachen auf Erfolgreich, Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | berwachungsrichtlinie | Verzeichnisdienstzugriff berwachen auf Fehler konfiguriert?

Wurde die Verwendung erweiterter berwachungsrichtlinien konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | berwachung: Unterkategorieeinstellungen der berwachungsrichtlinie erzwingen (Windows Vista oder hher), um Kategorieeinstellungen der berwachungsrichtlinie auer Kraft zu setzen aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien 4 | Kontenanmeldung | berprfen der Kontenanmeldung auf Erfolg, Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | Kontenverwaltung | Benutzerkontenverwaltung berwachen auf Erfolg, Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien 1 | Kontenverwaltung | Computerkontenverwaltung berwachen auf Erfolg, Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | DS Zugriff | Verzeichnisdienstzugriff berwachen auf Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | Anmelden/Abmelden | Abmelden berwachen auf Erfolg konfiguriert?

4 Bei lokaler Anwendung handelt es sich um den Wert: Systemberwachungsrichtlinien- Lokales Gruppenrichtlinienobjekt. Bundesamt fr Sicherheit in der Informationstechnik 21

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | Anmelden/Abmelden | Anmelden berwachen auf Erfolg, Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | Objektzugriff | Registrierung auf Erfolg, Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | Richtliniennderung | Authentifizierungsrichtliniennderung auf Erfolg konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte berwachungsrichtlinienkonfiguration | Systemberwachungsrichtlinien1 | System | Systemintegritt berwachen auf Erfolg, Fehler konfiguriert?

Wurden die Parameter fr die Ereignisprotokollierung konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Anwendung | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Anwendung | Maximale Protokollgre (kb) aktiviert und ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Anwendung | Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Setup | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Setup | Maximale Protokollgre (kb) aktiviert und ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Setup | Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Sicherheit | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Sicherheit | Maximale Protokollgre (kb) aktiviert und ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Sicherheit | Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | System | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | System | Maximale Protokollgre (kb) aktiviert und ein Wert konfiguriert?

22

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | System | Volles Protokoll automatisch sichern aktiviert?

4.9

Hardware administrieren
Wurde die Verwendung von Wechselmedien reglementiert?
O

Wird der Zugriff auf Wechseldatentrger mittels der Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Benutzerdefinierte Klassen nur fr bestimmte Gerte erlaubt? oder [hoher Schutzbedarf] Wurde der Zugriff auf Wechselmedien mittels der Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Alle Wechselmedienklassen: Jeglichen Zugriff verweigern generell unterbunden?

Wurde die Installation von Gertetreibern fr neu hinzugefgte Hardware verhindert?

O

Wurde die Installation von Wechseldatentrgern durch die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Gerteinstallation | Einschrnkungen bei der Gerteinstallation | Installation von Wechselgerten verhindern unterbunden? oder [hoher Schutzbedarf] Wurde der Dienst Plug&Play-Dienst ber Systemsteuerung Verwaltung Dienste zur Verhinderung der Erkennung neuer Hardware deaktiviert?

Wurden alle nicht bentigten Schnittstellen im BIOS und unter Systemsteuerung System Gerte-Manager deaktiviert?

Wurde die Bluetooth-Schnittstelle deaktiviert? Wurde die Infrarot-Schnittstelle deaktiviert? Wurde die Firewire-Schnittstelle deaktiviert? Wurde die PC-Card-Schnittstelle (PCMCIA) deaktiviert?

4.10

Autostart- und Autorun-Funktionen

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | WindowsKomponenten | Richtlinien fr die automatische Wiedergabe | Autoplay deaktivieren aktiviert und auf den Wert Alle Laufwerke konfiguriert? Befinden sich in den Autorun-Eintrgen nur erwnschte Anwendungen?

Befinden sich im Registry-Schlssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwnschte Anwendungen? Befinden sich im Registry-Schlssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce nur erwnschte Anwendungen?

Bundesamt fr Sicherheit in der Informationstechnik

23

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Befinden sich im Registry-Schlssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx nur erwnschte Anwendungen? Befinden sich im Registry-Schlssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwnschte Anwendungen? Befinden sich im Registry-Schlssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce nur erwnschte Anwendungen? Befinden sich in allen Registry-Schlssel fr HKEY_USERS \ SID5 \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwnschte Anwendungen?

Befinden sich in den Autostart-Ordnern nur erwnschte Anwendungen?

Befinden sich in allen auf dem PC-Client befindlichen Benutzerordnern %Userprofile% / AppData / Roaming / Microsoft / Windows / Startmen / Programme / Autostart nur erwnschte Anwendungen? Befinden sich im Ordner %SYSTEMDRIVE% / ProgramData / Microsoft / Windows / Start Men / Programme / Autostart nur erwnschte Anwendungen?

4.11

Ergnzende Ausfhrungskontrolle

Wurde der Meneintrag Start Ausfhren mittels Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Startmen und Taskleiste | Meneintrag Ausfhren aus dem Men Start entfernen ausgeblendet? Wurde zur Verhinderung der unkontrollierten Dateiausfhrung ber den Windows-Explorer das Ausblenden von Dateiergnzungsnamen ber Systemsteuerung Darstellung und Anpassung Ordneroptionen Ansicht durch Entfernen der Auswahlmarkierung fr die Option Erweiterungen bei bekannten Dateien ausblenden so konfiguriert, dass nunmehr die Dateierweiterungen angezeigt werden? Wurde zur Verhinderung der Ausfhrung von Wechselmedien die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Wechseldatentrger: Ausfhrungszugriff verweigern aktiviert?

Die folgenden Kontrollfragen werden bei der ausschlielichen Verwendung einer Whitelist auf Computerebene zur Ausfhrungskontrolle angewendet.

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien fr die Softwareeinschrnkungen | Sicherheitsstufen | Die Software wird trotz der Berechtigung des Benutzers nicht ausgefhrt zum Standard erklrt? Sind die Registrierungspfadregeln fr den Standardzugriff auf das Systemverzeichnis (%Systemroot%) und das Programmverzeichnis (%ProgramData%) mittels der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien fr die Softwareeinschrnkungen | zustzliche Regeln vorhanden und die Sicherheitsstufe auf Nicht eingeschrnkt konfiguriert?

5 Mit SID sind alle Benutzer unterhalb HKEY_USER spezifiziert. 24 Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

Wurden die erlaubten Anwendungen ber Regeln mittels der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien fr die Softwareeinschrnkungen | zustzliche Regeln konfiguriert? Wurde der Selbstausschluss der Administratoren durch Setzen der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien fr Softwareeinschrnkungen | Erzwingen auf Alle Benutzer auer den lokalen Administratoren verhindert?

Die folgenden Kontrollfragen werden bei Verwendung einer Blacklist zur Ausfhrungskontrolle verwendet.

Wurden Anwendungen mittels der Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Angegebene Windowsanwendungen nicht ausfhren von der Ausfhrung ausgeschlossen? [hoher Schutzbedarf] Wurde die Ausfhrung von Code ber die HTML Help Executable durch die Aufnahme der Anwendung HH.EXE in die Blacklist verhindert?

Die folgenden Fragen werden bei der ausschlielichen Verwendung der Windows eigenen Anwendung AppLocker zur Ausfhrungskontrolle angewendet.

Wurde der Dienst Anwendungsidentitt in seiner Ausfhrung nicht reglementiert? Wurden ausfhrbare Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Ausfhrbare Regeln konfiguriert?

Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Ausfhrbare Regeln und das ber die rechte Maustaste erreichbare Kontextmen sowie Auswahl von Standardregeln erstellen die Standardregeln fr ausfhrbare Regeln generiert? Wurden zustzliche Regeln generiert, diese Benutzergruppen zugeordnet und die Regel als Regelerzwingung fr ausfhrbare Regel konfiguriert? Wurde fr die Standardregel Alle Dateien im Ordner Windows eine Ausfhrungsverhinderung fr Dateien aus dem Ordner %Systemroot%\winsxs unter Ausnahmen generiert und somit die Ausfhrung von Anwendungen aus dem Ordner Winsxs verhindert?

Wurden Windows Installer-Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Installer-Regeln konfiguriert?

Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Windows Installer-Regeln und das ber die rechte Maustaste erreichbare Kontextmen sowie Auswahl von Standardregeln erstellen die Standardregeln fr Windows Installer-Regeln generiert? Wurde die Standardregel Alle digital signierten Windows Installer Dateien der Benutzergruppe Benutzer zugewiesen, die Regel als verweigert definiert und die Regelerzwingung fr Windows Installer-Regeln konfiguriert?

Bundesamt fr Sicherheit in der Informationstechnik

25

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Wurde die Standardregel Alle Windows-Installer Dateien unter %systemdrive%\Windows\Installer der Benutzergruppe Benutzer zugewiesen, die Regel als verweigert definiert und die Regelerzwingung fr Windows Installer-Regeln konfiguriert? Wurde die Standardregel Alle Windows-Installer Dateien fr die Benutzergruppe Administratoren unverndert bernommen?

Wurden Scriptregeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Scriptregeln konfiguriert?

Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Scriptregeln und das ber die rechte Maustaste erreichbare Kontextmen sowie Auswahl von Standardregeln erstellen die Standardregeln fr Scriptregeln generiert? Wurde die Standardregel Alle Scripts im Ordner Programme der Benutzergruppe Benutzer zugewiesen, die Regel als verweigert definiert und die Regelerzwingung fr Scriptregeln konfiguriert? Wurde die Standardregel Alle Scripts im Ordner Windows der Benutzergruppe Benutzer zugewiesen, die Regel als verweigert definiert und die Regelerzwingung fr Scriptregeln konfiguriert? Wurde die Standardregel Alle Scripts fr die Benutzergruppe Administratoren unverndert bernommen?

Wurden die DLL-Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | DLL-Regeln konfiguriert?

Wurde die Ausfhrung von DLL-Regeln ber die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Regelerzwingung konfigurieren | Erweitert | DLL-Regelsammlung aktivieren zugelassen? Wurden durch Auswahl von Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | DLL-Regeln sowie das ber die rechte Maustaste erreichbare Kontextmen und Auswahl von Standardregeln erstellen die Standardregeln fr DLL-Regeln generiert? Wurden zustzliche Regeln generiert, diese Benutzergruppen zugeordnet und als Regelerzwingung fr DLL-Regeln konfiguriert? Wurde die Standardregel Alle DLLs fr die Benutzergruppe Administratoren unverndert bernommen?

4.12

Speicherschutzmechanismen

Wurde die Datenausfhrungsverhinderung (DEP) fr alle Anwendungen aktiviert?

O

Wurde die Datenausfhrungsverhinderung ber Systemsteuerung System Erweiterte Systemeinstellungen Erweitert Einstellungen Datenausfhrungsverhinderung der Parameter Datenausfhrungsverhinderung fr alle Programme und Dienste mit Ausnahme der Ausgewhlten einschalten aktiviert? oder
Bundesamt fr Sicherheit in der Informationstechnik

26

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

O

ISi-Reihe

Wurde unter Verwendung der Windows-Anwendung BCDEDIT.EXE die Aktivierung der Datenausfhrungsverhinderung ber Kommandozeilenaufforderung mittels bcdedit /set nx OptOut durchgefhrt?

4.13

An- und Abmelden durch den Benutzer

Wurde fr eine sichere Benutzeranmeldung die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen aktiviert und somit die Anzeige des letzten angemeldeten Benutzers verhindert? Wurde die bernahme einer nicht ordnungsgem beendeten Sitzung durch Dritte mittels Konfiguration des Bildschirmschoners reglementiert?

Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | ndern des Bildschirmschoners verhindern aktiviert? [Optional] Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Bestimmten Bildschirmschoner erzwingen aktiviert und ein Dateiname eines verfgbaren Bildschirmschoners vergeben? Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Bildschirmschoner aktivieren aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Kennwortschutz fr den Bildschirmschoner verwenden aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Zeitlimit fr den Bildschirmschoner aktiviert und ein Wert von 900 (Wert in Sekunden) konfiguriert?

Wurde die Kennworteingabe bei Reaktivierung aus dem Ruhezustand bzw. Standbymodus mittels Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Energieverwaltung | Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Standbymodus aktiviert?

Bundesamt fr Sicherheit in der Informationstechnik

27

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Betrieb

Im Betrieb sind bei Windows 7 Enterprise die gleichen Dinge zu beachten wie bei anderen Betriebssystemen. Aus diesem Grund sind lediglich die Anforderungen der allgemeinen Checkliste zur Absicherung eines PC-Clients zu beachten.

28

Bundesamt fr Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

ISi-Reihe

6
[ISi-Client] [ITGSK]

Literaturverzeichnis
Bundesamt fr Sicherheit in der Informationstechnik (BSI), BSIStandards zur Internet-Sicherheit: Absicherung eines PC-Clients, 2010 Bundesamt fr Sicherheit in der Informationstechnik (BSI), ITGrundschutzkataloge, Stand 2010 Bundesamt fr Sicherheit in der Informationstechnik (BSI), BSIStandards zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet, 2007 Bundesamt fr Sicherheit in der Informationstechnik (BSI), BSIStandards zur Internet-Sicherheit: Einfhrung, Grundlagen, Vorgehensweise; 2011 Bundesamt fr Sicherheit in der Informationstechnik (BSI), BSIStandards zur Internet-Sicherheit: Sichere Nutzung von Web-Angeboten, 2008 Bundesamt fr Sicherheit in der Informationstechnik (BSI), BSIStandards zur Internet-Sicherheit: Sichere Nutzung von E-Mail, 2009

[ISi-LANA]

[ISi-E]

[ISi-Web-Client]

[[ISi-Mail-Client]

Bundesamt fr Sicherheit in der Informationstechnik

29