Sichere Nutzung eines PC-Clients (ISi-Client

)
BSI-Checkliste zur Windows 7 Enterprise Sicherheit (ISi-Check)
Version 1.0 vom 01.08.2011

ISi-Reihe

ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. http://www.bsi.bund.de oder http://www.isi-reihe.de

Bundesamt für Sicherheit in der Informationstechnik ISi Projektgruppe Postfach 20 03 63 53133 Bonn Tel. +49 (0) 228 99 9582-0 E-Mail: isi@bsi.bund.de Internet: http://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2011
2 Bundesamt für Sicherheit in der Informationstechnik

.....................7 Windows Firewall.......................................................................ISi-Check ...............................................................................................................9 4............................24 4..................................................6 Restriktive Berechtigungsvergaben....................................6 3 Auswahl sicherer Komponenten.11 Ergänzende Ausführungskontrolle........................................................................................27 5 Betrieb........7 4 Konfiguration.Absicherung eines PC-Clients unter Windows 7 Enterprise ISi-Reihe Inhaltsverzeichnis 1 Einleitung............................................10 Autostart................................................................................................................................................................................................4 2 Konzeption........................19 4.........14 4........................................................................................................8 4......................................................................................................................14 4....................23 4................................................1 Funktion der Checklisten.....................................................................................8 Zentrales Logging.......................................................5 Dienste minimieren................28 6 Literaturverzeichnis...........................20 4..........................................................................................................................................................................................2 Benutzung der Checklisten...................2 Konfigurieren von Windows Komponenten......................................................................................................................13 An.........13 4....................1 Installation des Betriebssystems...........und Abmelden durch den Benutzer.............................................................12 Speicherschutzmechanismen..29 Bundesamt für Sicherheit in der Informationstechnik 3 .........................................................................................................................................................................................................................................3 Einbinden des PC-Clients in die Domänen-Struktur..............................................................26 4....................................................................................................8 4........................4 1....17 4............9 Hardware administrieren...4 1..........................................................................................4 Konfiguration von Windows-Updates................................................................................................................................und Autorun-Funktionen......................................................................................................................23 4...........................................

ist die genaue Kenntnis dieser Dokumente erforderlich.Absicherung eines PC-Clients unter Windows 7 Enterprise 1 Einleitung Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren. Grundlage für diese Checkliste ist Windows 7 Enterprise. die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen IT-Grundschutzmaßnahmen zu beurteilen. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Client-Studie vertraut machen. Der Zweck dieser Kontrollfragen besteht darin. werden von den Fragen nicht erfasst. Die Checklisten sollen gewährleisten. ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Sicherheitsrevisoren und IT-Fachleute. Sie dienen als Anwendungshilfe. werden hier nicht wiederholt. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der PC-Technik. Sie bilden das notwendige Fundament für ISi-Check. die nicht spezifisch für die beschriebene ISi-Client-Architektur und ihre Komponenten sind. Alle Einstellungen beziehen sich auf die in der Studie Absicherung eines PC-Clients vorgestellte Grundarchitektur. die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind. Allgemeine IT-Grundschutzmaßnahmen. anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. können 4 Bundesamt für Sicherheit in der Informationstechnik . Die Checklisten des ISi-Client-Moduls haben darin ihren vorbestimmten Platz. der Realisierung und dem späteren Betrieb von PC-Clients die jeweils erforderlichen Maßnahmen und die dabei verfügbaren Umsetzungsvarianten übersichtlich vor Augen zu führen. die sich mit der Einrichtung. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie ISi-Client ab. Nur ein kundiger Anwender ist in der Lage. Konfiguration und Betrieb in kompakter Form zusammen. 1. der Betriebssysteme und der IT-Sicherheit voraus. Die Kontrollfragen beschränken sich auf die Empfehlungen des BSI-Standards zur Internet-Sicherheit für PC-Clients [ISi-Client]. dass kein wichtiger Aspekt vergessen wird. dem Betrieb und der Überprüfung von Arbeitsplatz-PCs (APC) befassen.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Absicherung eines PC-Clients [ISi-Client] zum Thema Installation.ISi-Reihe ISi-Check . die bereits durch die Checklisten zu den BSI-Studien Sichere Anbindung lokaler Netze an das Internet [ISi-LANA]. -Experten. -Beratern sowie Administratoren in Behörden und Unternehmen bei der Konzeption. den IT-Fachleuten. 1. Sichere Nutzung von E-Mail [ISi-Mail-Client] und Sichere Nutzung von Web-Angeboten [ISi-Web-Client] abgedeckt sind. Auch Kontrollfragen. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients. eine Kontrollfrage sicher zu beantworten. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden. Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. der im Einführungsdokument [ISi-E] beschrieben ist. Solche grundlegenden Empfehlungen sind den BSI-IT-Grundschutzkatalogen [ITGSK] zu entnehmen.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde. Anwender.

Bundesamt für Sicherheit in der Informationstechnik 5 . Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen. Normaler und hoher Schutzbedarf Alle Kontrollfragen. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind. ist der entsprechenden Kontrollfrage ein „[hoher Schutzbedarf]“ zur Kennzeichnung vorangestellt. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Prüfkomplexe. ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. können alle so gekennzeichneten Fragen außer Acht lassen. um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. die nicht besonders gekennzeichnet sind. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt. Um das übergeordnete Prüfkriterium zu erfüllen. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall. dass sich der Anwender unschlüssig ist. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung „[hoher Schutzbedarf]“. Diese müssen bei hohem Schutzbedarf natürlich auch berücksichtigt werden. Anwender. werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. IT-Fachleute.Absicherung eines PC-Clients unter Windows 7 Enterprise ISi-Reihe vertiefende Informationen in der zugehörigen Studie nachschlagen. sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen. Die Fragen sind durch ein „– oder –“ miteinander verknüpft. Die hierarchische Struktur der Checklisten soll dazu beitragen. die nur einen normalen Schutzbedarf haben. so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel „[hohe Verfügbarkeit]“. deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde. dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert.ISi-Check . nur die übergeordnete Frage zu beantworten. dass die erwartete Antwort ein JA ist. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf. Zusammenhängende Kontrollfragen sind – soweit sinnvoll – hierarchisch unter einer übergeordneten Frage gruppiert. beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. die mit der Studie bereits vertraut sind. so muss mindestens eine der so gekennzeichneten Varianten bejaht werden. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen.

ISi-Reihe ISi-Check . Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen.Absicherung eines PC-Clients unter Windows 7 Enterprise 2 Konzeption Die Konzeptionsphase gemäß [ISi-E] wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet. 6 Bundesamt für Sicherheit in der Informationstechnik .

Absicherung eines PC-Clients unter Windows 7 Enterprise ISi-Reihe 3 Auswahl sicherer Komponenten Die Auswahl wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet.ISi-Check . Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen. Bundesamt für Sicherheit in der Informationstechnik 7 .

Vorbereitung der Speichermedien  Wurden die Speichermedien für die Installation neu partitioniert und mit NTFS formatiert? Installation des Betriebssystems   Wurde die Installationsart Benutzerdefiniert (erweitert) ausgewählt? Wurden nur Speichermedien mit nicht zugewiesenem Speicherplatz zur Auswahl für die Systempartition angezeigt?   Wurden die Speichermedien mit zugewiesenem Speicherplatz gelöscht? Wurde die zum sicheren Betrieb von Windows 7 benötigte Partition für Systemdateien mit einer Größe von 100 MB von der Installationsroutine angelegt und als Datenträger System-reserviert ausgewiesen?  Wurde ein Standardnutzer eingerichtet? (Dieser wird in einem der nächsten Schritte wieder vom System entfernt. Optionen. Der folgende Abschnitt enthält die für eine sichere Konfiguration zu berücksichtigenden Punkte. Ebenen in Registry-Einträgen sind durch einen umgekehrten Schrägstrich \ voneinander getrennt.Absicherung eines PC-Clients unter Windows 7 Enterprise 4 Konfiguration Nach der Beschaffung der benötigten Komponenten erfolgt deren Konfiguration durch die Administratoren.ISi-Reihe ISi-Check .) Wurde der Name des PC-Clients entsprechend der festgelegten Nomenklatur vergeben? Wurde die Frage Windows Einrichten → Schützen Sie Windows automatisch mit Später erneut nachfragen beantwortet? Bundesamt für Sicherheit in der Informationstechnik   8 . -Ebenen sind durch einen Rechtspfeil → voneinander getrennt. Minimierung und Härtung eines sicheren Minimalsystems. Diese müssen in der vorliegenden Reihenfolge abgearbeitet werden. In Gruppenrichtlinienobjekten sind Ebenen durch einen senkrechten Strich | voneinander getrennt. Die Reihenfolge der Menüpunkte in den Fragen entspricht der Vorgehensweise bei der Installation.1 Installation des Betriebssystems In den folgenden Kontrollfragen werden nur die sicherheitsrelevanten Dialoge abgefragt. die während der Installation des Betriebssystems angezeigt werden. die bereits in den Standardeinstellungen auf einen sicheren Wert vorkonfiguriert sind. die durch die Installationsroutine vorgegeben wird. Hintergrundinformationen zu den angeführten Fragestellungen sind in der zugehörigen Studie „Absicherung eines PC-Clients“ [ISi-Client] zu finden. 4. werden von der Checkliste nicht immer explizit abgefragt. Folgende Schreibweisen werden verwendet: – – – Einzelne Menü-Optionen bzw.

Media Center und Media Player) deaktiviert? [Optional] Wurde die Plattform zu Windows-Minianwendungen deaktiviert? Wurde die Remoteunterschiedskomprimierung deaktiviert? Wurde Tablet PC-Komponenten deaktiviert? [Optional] Wurde Windows Search deaktiviert? Wurde XPS-Dienste deaktiviert? Wurde XPS-Viewer deaktiviert?        Wurde anschließend ein Neustart durchgeführt? Bundesamt für Sicherheit in der Informationstechnik 9 .Absicherung eines PC-Clients unter Windows 7 Enterprise   ISi-Reihe Sind die Zeit.2 Konfigurieren von Windows Komponenten In den folgenden Kontrollfragen wird das Deaktivieren nicht benötigter Windows Komponenten abgefragt.und Datumseinstellungen richtig? Wurde ein lokales Administratorkonto eingerichtet?    Wurde ein Passwort nach Passwortrichtlinie für den lokalen Administrator vergeben? Wurde das Konto des lokalen Administrators aktiviert? War eine Anmeldung des lokalen Administrators erfolgreich?    Wurde das Konto des Standardbenutzers gelöscht? Wurde der persönliche Ordner des Standardbenutzers gelöscht? Wurde ein Neustart durchgeführt? 4. Windows Funktionen  Wurden über Systemsteuerung → Programme und Funktionen → Windows Funktionen aktivieren oder deaktivieren nicht benötigte Windows Funktionen deaktiviert?     Wurde der Internetdruckdienst deaktiviert? Wurde Windows-FAX und -Scan deaktiviert? [Optional] Wurde der Internet Explorer 8 deaktiviert? Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker.ISi-Check .

einschränken verhindert? O 10 Bundesamt für Sicherheit in der Informationstechnik . die nicht digital signiert sind.Absicherung eines PC-Clients unter Windows 7 Enterprise Windows Standardprogramme reglementieren   Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt? Wurden nicht benötigte Windows Standardprogramme reglementiert? O Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendungen nicht ausführen von der Ausführung ausgeschlossen? – oder – Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfiguration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder – Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführen aufgenommen? – oder – Wurden diese Programme durch die Verwendung von AppLocker von der Ausführung ausgeschlossen? O O O  Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt?       Windows Kalender Windows Mail Windows Media Center Windows Messenger Windows Slideshow Windows Media Player  Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert? O Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopminianwendungen deaktivieren verhindert? – oder – Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Entpacken und Installieren von Minianwendungen.ISi-Reihe ISi-Check .

ISi-Check . Bundesamt für Sicherheit in der Informationstechnik 11 .Absicherung eines PC-Clients unter Windows 7 Enterprise ISi-Reihe  Wurde der Windows Scripting Host reglementiert? O Wurde die Ausführung von Skripten generell mittels des neu anzulegenden Registry-Schlüssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null unterbunden? – oder – Wurde die Ausführung von Scripten erlaubt und nur für signierte Scripte mittels des neu anzulegenden Registry-Schlüssels TrustPolicy als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuweisung des Werts zwei zugelassen? – oder – Wurde die Ausführung von Scripten erlaubt und nur lokal durch das Verhindern der Remote-Ausführung mittels des neu anzulegenden Registry-Schlüssels Remote als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts null zugelassen? O O Wesentliche Sicherheitsmaßnahmen Die folgenden Fragen zur Windows Firewall gehen davon aus.  Ist die Windows Firewall aktiv?  Wurde über Systemsteuerung → Wartungscenter kontrolliert. ob die Firewall nicht bei den Sicherheitsmeldungen aufgeführt ist? Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Firewallstatus auf Ein (empfohlen) konfiguriert? Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Eingehende Verbindungen auf Alle Blocken konfiguriert? Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Status der Parameter Ausgehende Verbindungen auf Zulassen (Standard) konfiguriert? Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften → Domänenprofil → Protokollierung → Anpassen die Protokollierung für verworfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja aktiviert? Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Firewalleigenschaften für die Profile Privates Profil und Öffentliches Profil die Einstellung Alles Blocken für eingehende Verbindungen und die Protokollierung für verworfene Pakete aktiviert?       Ist der Schutz vor schädlicher Software aktiv?  [Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schädlicher Software durch Windows-Defender unter Systemsteuerung → Windows Defender aktiviert?1 1 Einige Virenschutzprogramme deaktivieren den Windows-Defender bei ihrer Installation. dass der APC in eine Domäne eingebunden ist.

Absicherung eines PC-Clients unter Windows 7 Enterprise Wurde ein Virenschutzprogramm installiert? Ist die Benutzerkontensteuerung aktiv?  Wurde unter Systemsteuerung → Benutzerkonten → Einstellungen der Benutzerkontensteuerung ändern auf die höchste Stufe (4) Immer benachrichtigen eingestellt? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Datei.und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen.und Druckerfreigabe deaktiviert? Wurde die Freigabe des öffentlichen Ordners deaktiviert? Wurde für Dateifreigabeverbindungen die 128-bit Verschlüsselung aktiviert? Wurde Kennwortgeschützes Freigeben eingeschaltet? Bundesamt für Sicherheit in der Informationstechnik 12 .ISi-Reihe   ISi-Check . die an sicheren Orten installiert sind auf den Wert aktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen.)      Wurde die Netzwerkerkennung ausgeschaltet? Wurde die Datei. die signiert und überprüft sind auf den Wert deaktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben auf den Wert deaktiviert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer auf den Wert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?         Wurden die Einstellungen unter Systemsteuerung → Netzwerk.und Freigabecenter → Erweiterte Freigabeeinstellungen ändern für das Netzwerkprofil Privat oder Arbeitsplatz (nicht das aktive Profil Öffentlich) angepasst? (Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients während der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domäne neu hinzugekommenen Netzwerkprofils „Domänenprofil“ zu sehen.

auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (höhere Sicherheit) aktiviert? Wurden berechtigte Benutzer über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote → Benutzer auswählen in die Liste aufgenommen?   Wurden über den neu anzulegenden Registry-Schlüssel DisabledComponents als Typ REG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters ungewünschte IPv6-Tunnel deaktiviert? O O Wurde der Wert auf 0x1 gesetzt.und Freigabecenter → Adaptereinstellungen ändern angepasst?      Wurde der Client für Microsoft Netzwerke aktiviert? Wurde der QoS-Paketplaner deaktiviert? Wurde die Datei. um alle Tunnel zu deaktivieren? – oder – [Optional] Wurde der Wert auf 0xFF gesetzt. wenn der APC in eine Domäne eingebunden wird.und Druckerfreigabe für Microsoft Netzwerke deaktiviert? Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert? [Optional] Wurde bei ausschließlicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6 (TCP/IPv6) deaktiviert?2 Wurde der E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktiviert? Wurde Antwort für Verbindungsschicht-Topologieerkennung deaktiviert?    Wurde über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote die Einstellungen für Remote-Verbindungen angepasst?  Wurde die Einstellung für Remote-Desktop Verbindungen nur von Computern zulassen.  War die Anmeldung an der Domäne erfolgreich? Erscheint der PC-Client im Verzeichnisdienst? 2 Die Deaktivierung von IPv6 in den Netzwerkeinstellungen stellt nicht sicher.ISi-Check . Bundesamt für Sicherheit in der Informationstechnik 13 . dass automatisch Ipv6-Tunnel aufgebaut werden.3 Einbinden des PC-Clients in die Domänen-Struktur Wurde der PC-Client in die Domäne aufgenommen?   Die folgenden Fragen sind nur zu beantworten. um IPv6 vollständig zu deaktivieren? 4.Absicherung eines PC-Clients unter Windows 7 Enterprise   ISi-Reihe Wurde für Heimnetzgruppen-Verbindungen die Option Benutzerkonten und Kennwörter zum Herstellen von Verbindungen mit anderen Computern verwenden aktiviert? Wurden die Einstellungen für den bei der Installation angelegten Netzwerkadapter über Systemsteuerung → Netzwerk. Diese Tunnel werden in einer späteren Frage deaktiviert.

ob weitere Dienste benötigt werden und welche Konsequenzen deren Verwendung hat. wenn er nicht verwendet wird? Bundesamt für Sicherheit in der Informationstechnik  14 .und Freigabecenter → Erweiterte Freigabeeinstellungen ändern für das Netzwerkprofil Domänenprofil angepasst?     Wurde die Netzwerkerkennung ausgeschaltet? Wurde die Datei. Ziel dieses Abschnittes ist eine möglichst weitgehende Minimierung der laufenden Dienste.und Druckerfreigabe deaktiviert? Wurde die Freigabe des öffentlichen Ordners deaktiviert? Wurde für Dateifreigabeverbindungen die 128-bit-Verschlüsselung aktiviert? 4.ISi-Reihe ISi-Check .4  Konfiguration von Windows-Updates Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Windows Update | Automatische Updates konfigurieren aktiviert und auf den Wert 4 konfiguriert? Die folgende Frage ist nur bei der Verwendung eines WSUS zu beantworten:  Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Windows Update | Internen Pfad für den Microsoft Updatedienst angeben aktiviert und ein interner Update-Server angegeben? 4. Es ist im Einzelfall zu prüfen.  Wurde über Systemsteuerung → Verwaltung → Computerverwaltung → Dienste der Starttyp folgender Dienste geändert?        Wurde der Dienst ActiveX-Installer (AxInstSV) deaktiviert? Wurde der Dienst Adaptive Helligkeit deaktiviert? Wurde der Dienst Anschlussumleitung für Remotedesktopdienst im Benutzermodus deaktiviert? Wurde der Dienst Anwendungserfahrung deaktiviert? Wurde der Dienst Automatische Konfiguration (verkabelt) deaktiviert? Wurde der Dienst Automatische WLAN-Konfiguration deaktiviert? [Optional] Wurde der Dienst Benachrichtigungsdienst für Systemereignisse deaktiviert (nicht Laptop)? [Optional] Wurde der Dienst BitLocker-Laufwerkverschlüsselungsdienst deaktiviert.5 Dienste minimieren Der folgende Abschnitt enthält Prüffragen zur Deaktivierung der System-Dienste. um so die Angriffsfläche des APCs zu verringern.Absicherung eines PC-Clients unter Windows 7 Enterprise  Wurden die Einstellungen unter Systemsteuerung → Netzwerk.

0.Absicherung eines PC-Clients unter Windows 7 Enterprise                   ISi-Reihe Wurde der Dienst Blockebenen-Sicherungsmodul deaktiviert? Wurde der Dienst Bluetooth-Unterstützungsdienst deaktiviert? Wurde der Dienst COM+-Ereignissystem mit dem Starttyp Manuell konfiguriert? Wurde der Dienst COM+-Systemanwendung deaktiviert? Wurde der Dienst Computerbrowser deaktiviert? [Optional] Wurde der Dienst Designs deaktiviert? Wurde der Dienst Diagnosediensthost deaktiviert? Wurde der Dienst Diagnoserichtliniendienst deaktiviert? Wurde der Dienst Diagnosesystemthost deaktiviert? [Optional] Wurde der Dienst Druckwarteschlange deaktiviert.ISi-Check .und AuthIP IPsec-Schlüsselerstellungsmodule deaktiviert? Wurde der Dienst Intelligenter Hintergrundübertragungsdienst mit dem Starttyp Manuell konfiguriert? Wurde der Dienst IP-Hilfsdienst deaktiviert? Wurde der Dienst IPsec-Richtlinien-Agent deaktiviert? Wurde der Dienst Konfiguration für Remotedesktops deaktiviert? Wurde der Dienst KtmRm für Distributed Transaction Coordinator deaktiviert? Wurde der Dienst Leistungsprotokolle und -warnungen deaktiviert? Wurde der Dienst Microsoft . wenn er nicht benötigt wird? Wurde der Dienst Enumeratordienst für tragbare Geräte deaktiviert? Wurde der Dienst Funktionssuchanbieter-Host deaktiviert? Wurde der Dienst Funktionssuche-Ressourcenveröffentlichung deaktiviert? Wurde der Dienst Gatewaydienst auf Anwendungsebene deaktiviert? Wurde der Dienst Heimnetzgruppen-Anbieter deaktiviert? Wurde der Dienst Heimnetzgruppen-Listener deaktiviert? Wurde der Dienst IKE.NET Framework NGEN v2.50727_X86 auf den Starttyp manuell konfiguriert? Wurde der Dienst Microsoft iSCSI-Initiator-Dienst deaktiviert? Wurde der Dienst Multimediaklassenplaner deaktiviert? Wurde der Dienst Offlinedateien deaktiviert? 15          Bundesamt für Sicherheit in der Informationstechnik .

Absicherung eines PC-Clients unter Windows 7 Enterprise Wurde der Dienst Parental Controls deaktiviert? Wurde der Dienst Peer Name Resolution-Protokoll deaktiviert? Wurde der Dienst Peernetzwerk-Gruppenzuordnung deaktiviert? Wurde der Dienst Peernetzwerkidentitäts-Manager deaktiviert? [Optional] Wurde der Dienst Plug & Play deaktiviert (wird von Smartcard benötigt)? Wurde der Dienst PnP-X-IP-Busenumerator deaktiviert? Wurde der Dienst PNRP-Computerveröffentlichungs-Dienst deaktiviert? Wurde der Dienst Programmkompatibilitäts-Assistent-Dienst deaktiviert? Wurde der Dienst RAS-Verbindungsverwaltung deaktiviert? Wurde der Dienst Remoteregistrierung deaktiviert? Wurde der Dienst Richtlinie zum Entfernen der Smartcard deaktiviert? Wurde der Dienst Sekundäre Anmeldung deaktiviert? Wurde der Dienst Server deaktiviert? Wurde der Dienst Shellhardwareerkennung deaktiviert? Wurde der Dienst Sitzungs-Manager für Desktopfenster-Manager deaktiviert? [Optional] Wurde der Dienst Smartcard deaktiviert? Wurde der Dienst SNMP-Trap deaktiviert? Wurde der Dienst SSDP-Suche deaktiviert? Wurde der Dienst SSTP-Dienst deaktiviert? Wurde der Dienst Superfetch deaktiviert? Wurde der Dienst Tablet PC-Eingabedienst deaktiviert? Wurde der Dienst TCP/IP-NetBIOS-Hilfsdienst deaktiviert? Wurde der Dienst Telefonie deaktiviert? [Optional] Wurde der Dienst TPM-Basisdienste bei Nichtbenutzung von TPM deaktiviert? Wurde der Dienst Überwachung verteilter Verknüpfungen (Client) deaktiviert? Wurde der Dienst UPnP-Gerätehost deaktiviert? Wurde der Dienst Verbessertes Windows-Audio/Video-Streaming deaktiviert? Wurde der Dienst Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm deaktiviert? Bundesamt für Sicherheit in der Informationstechnik 16 .ISi-Reihe                             ISi-Check .

automatische Konfiguration deaktiviert? Wurde der Dienst Zugriff auf Eingabegeräte deaktiviert?            4. wenn Systemsteuerung → System → erweiterte Systemeinstellungen → Computerschutz aufgerufen wird.ISi-Check .Absicherung eines PC-Clients unter Windows 7 Enterprise       ISi-Reihe Wurde der Dienst Verschlüsselndes Dateisystem (EFS) deaktiviert? Wurde der Dienst Verwaltung für automatische RAS-Verbindung deaktiviert? Wurde der Dienst Virtueller Datenträger deaktiviert? Wurde der Dienst Volumenschattenkopie deaktiviert?3 Wurde der Dienst WebClient deaktiviert? [Optional] Wurde der Dienst Windows Defender deaktiviert (bei Verwendung einer anderen Virenschutzsoftware)? [hoher Schutzbedarf] Wurde der Dienst Windows Installer deaktiviert? [Optional] Wurde der Dienst Windows-Audio deaktiviert? Wurde der Dienst Windows-Audio-Endpunkterstellung deaktiviert? Wurde der Dienst Windows-Bilderfassung deaktiviert? Wurde der Dienst Windows-Biometriedienst deaktiviert? Wurde der Dienst Windows-Fehlerberichterstattungsdienst deaktiviert? [Optional] Wurde der Dienst Windows-Firewall bei Verwendung einer anderen Firewall-Anwendung deaktiviert? Wurde der Dienst Windows-Sofortverbindung – Konfigurationsregistrierungsstelle deaktiviert? Wurde der Dienst WinHTTP-Web Proxy Auto-Discovery-Dienst deaktiviert? Wurde der Dienst WWAN . Bundesamt für Sicherheit in der Informationstechnik 17 .6 Restriktive Berechtigungsvergaben Basiseinstellungen für Benutzerrechte  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Zuweisen von Benutzerrechten für folgende Gruppenrichtlinienobjekte geändert?   Wurde das Benutzerrecht Ändern der Systemzeit nur der Gruppe der Administratoren zugewiesen? Wurden alle Benutzer für das Benutzerrecht Ändern der Zeitzone entfernt? 3 Die Deaktivierung der Volumenschattenkopie kann zu einer Fehlermeldung führen.

ISi-Reihe  ISi-Check . Remotedesktopbenutzer und Sicherungsoperatoren zugewiesen? Wurde das Benutzerrecht Auslassen der durchsuchenden Überprüfung nur der Benutzergruppe Jeder zugewiesen? Wurde das Benutzerrecht Ermöglichen. Benutzern und Domänenbenutzern zugewiesen?            Berechtigungsvergabe für den Fernzugriff  Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen aktiviert und der Wert auf höchste Stufe vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Bei der Verbindungsherstellung immer zur Kennworteingabe auffordern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Sichere RPC-Kommunikation anfordern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sitzungszeitlimits | Zeitlimit für aktive Remotedesktopdienste-Sitzungen festlegen aktiviert und der Wert 2-Stunden vergeben? Bundesamt für Sicherheit in der Informationstechnik    18 .Absicherung eines PC-Clients unter Windows 7 Enterprise Wurde das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag den Benutzergruppen Administratoren und Sicherungsoperatoren zugewiesen? Wurde das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung den Benutzergruppen Administratoren und Dienst zugewiesen? Wurde das Benutzerrecht Arbeitssatz eines Prozesses vergrößern für vorhandene Benutzergruppen entfernt? Wurde das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen den Benutzergruppen Administratoren.und Benutzerkonten für Delegierungszwecke vertraut wird nur der Benutzergruppe Administratoren zugewiesen? Wurde das Benutzerrecht Erstellen globaler Objekte nur der Benutzergruppe Administratoren zugewiesen? Wurde das Benutzerrecht Generieren von Sicherheitsüberwachungen für vorhandene Benutzergruppen entfernt? Wurde das Benutzerrecht Herunterfahren des Systems den Benutzergruppen Administratoren und Benutzer zugewiesen? Wurde das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne nur der Benutzergruppe Administratoren zugewiesen? Wurden alle Benutzergruppen für das Benutzerrecht Lokal anmelden verweigern entfernt? Wurde das Benutzerrecht Lokal anmelden zulassen den Benutzergruppen Administratoren. dass Computer.

dass der APC in einer Domäne betrieben wird und die Profile Privat und Öffentlich nicht benötigt werden. Des Weiteren wird davon ausgegangen.Absicherung eines PC-Clients unter Windows 7 Enterprise  ISi-Reihe Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Verbindungen | Regeln für Remotesteuerung von Remotedesktopdienste Benutzersitzungen festlegen aktiviert und der Wert Vollzugriff mit Erlaubnis des Benutzers vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | Speichern von Kennwörtern nicht zulassen aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Angeforderte Remoteunterstützung aktiviert und der Wert auf Helfer dürfen den Computer remote steuern vergeben? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Remoteunterstützung anbieten deaktiviert?    4.7 Windows Firewall Die folgenden Fragen sind für die Verwendung der Windows Firewall vorgesehen.ISi-Check . so sind die Festlegungen der generischen Checkliste zu beachten.  Wurden unter der Gruppenrichtlinienobjekte Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt die Windows-Firewalleigenschaften für das Domänenprofil angepasst?       Wurde Benachrichtigungen anzeigen aktiviert? Wurde Unicastantwort zulassen aktiviert? Wurde Lokale Firewallregeln anwenden aktiviert? Wurde Lokale Sicherheitsverbindungsregeln anwenden aktiviert? Wurde die Protokollierung für verworfene Pakete aktiviert? Wurde die zentrale Ablage auf einem Logging-Server für die Logging-Datei und entsprechende Schreibrechte für das Firewall-Dienstkonto eingerichtet?  Wurden unter der Gruppenrichtlinienobjekte Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt Regeln konfiguriert?  Wurden Verbindungssicherheitsregeln für Zugriffe aus dem Management-LAN (siehe [ISi-LANA]) eingerichtet? Wurde die Verbindungssicherheitsregel Authentifizierungsmodus auf Eingehend und ausgehend anfordern konfiguriert?  Bundesamt für Sicherheit in der Informationstechnik 19 . Werden Produkte anderer Anbieter eingesetzt.

Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Kontenverwaltung überwachen auf Erfolgreich.ISi-Reihe     ISi-Check . Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Anmeldeversuche überwachen auf Erfolgreich. Fehler konfiguriert?   20 Bundesamt für Sicherheit in der Informationstechnik . Aktualisierungsintervall und Ausstellerzertifizierungsstelle eines AbonnementManagers konfigurieren aktiviert und der Wert als HTTPS konfiguriert? Wurde der Port 443 in den Firewall-Einstellungen für die HTTPS-Kommunikation zwischen PCClient und Abonnement-Server freigeschaltet?   Wurden die Einstellungen für die Überwachungsrichtlinie mittels der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie konfiguriert?  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Anmeldeereignisse überwachen auf Erfolgreich.Absicherung eines PC-Clients unter Windows 7 Enterprise Wurde die Verbindungssicherheitsregel dem Domänen-Profil zugeordnet? Wurden ein.8  Zentrales Logging Wurde der Abonnement-Manager-Server eingerichtet?  Wurde für die Kommunikation zwischen Abonnement-Manager-Server und Client die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisweiterleitung | Serveradresse.und ausgehende Regeln definiert? Wurden die erstellten Regeln aktiviert? Wurde die Regelzusammenführung von lokalen und GPO-Regeln für lokale Firewallregeln durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften | Domänenprofil | Einstellungen | Lokale Firewallregeln anwenden auf nicht konfiguriert unterbunden? Wurde die Regelzusammenführung von lokalen und GPO-Regeln für lokale Verbindungssicherheitsregeln durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften | Domänenprofil | Einstellungen | Lokale Verbindungssicherheitsregeln anwenden auf nicht konfiguriert unterbunden?   Wurde mittels der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften die Firewall für die Profile Privates Profil und Öffentliches Profil aktiviert und alle eingehenden und ausgehenden Verbindungen auf Alle blockieren konfiguriert? 4.

Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | DS Zugriff | Verzeichnisdienstzugriff überwachen auf Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Anmelden/Abmelden | Abmelden überwachen auf Erfolg konfiguriert?      4 Bei lokaler Anwendung handelt es sich um den Wert: Systemüberwachungsrichtlinien. Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Kontenverwaltung | Benutzerkontenverwaltung überwachen auf Erfolg. Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Systemereignisse überwachen auf Erfolgreich.Lokales Gruppenrichtlinienobjekt.ISi-Check . Bundesamt für Sicherheit in der Informationstechnik 21 . Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Verzeichnisdienstzugriff überwachen auf Fehler konfiguriert?       Wurde die Verwendung erweiterter Überwachungsrichtlinien konfiguriert?  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Sicherheitsoptionen | Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher).Absicherung eines PC-Clients unter Windows 7 Enterprise  ISi-Reihe Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Objektzugriffsversuche überwachen auf Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Prozessverfolgung überwachen auf Keine Überwachung konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Rechteverwendung überwachen auf Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien | Überwachungsrichtlinie | Richtlinienveränderungen überwachen auf Erfolgreich. um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien 4 | Kontenanmeldung | Überprüfen der Kontenanmeldung auf Erfolg. Fehler konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien 1 | Kontenverwaltung | Computerkontenverwaltung überwachen auf Erfolg.

Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Objektzugriff | Registrierung auf Erfolg. Fehler konfiguriert?     Wurden die Parameter für die Ereignisprotokollierung konfiguriert?  Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Anwendung | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Anwendung | Maximale Protokollgröße (kb) aktiviert und ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Anwendung | Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Setup | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Setup | Maximale Protokollgröße (kb) aktiviert und ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Setup | Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Sicherheit | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Sicherheit | Maximale Protokollgröße (kb) aktiviert und ein Wert konfiguriert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | Sicherheit | Volles Protokoll automatisch sichern aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | System | Alte Ereignisse beibehalten aktiviert? Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | System | Maximale Protokollgröße (kb) aktiviert und ein Wert konfiguriert?           22 Bundesamt für Sicherheit in der Informationstechnik . Fehler konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Richtlinienänderung | Authentifizierungsrichtlinienänderung auf Erfolg konfiguriert? Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | System | Systemintegrität überwachen auf Erfolg.ISi-Reihe  ISi-Check .Absicherung eines PC-Clients unter Windows 7 Enterprise Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Anmelden/Abmelden | Anmelden überwachen auf Erfolg.

10  Autostart.ISi-Check .9  Hardware administrieren Wurde die Verwendung von Wechselmedien reglementiert? O Wird der Zugriff auf Wechseldatenträger mittels der Gruppenrichtlinien unter Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Benutzerdefinierte Klassen nur für bestimmte Geräte erlaubt? – oder – [hoher Schutzbedarf] Wurde der Zugriff auf Wechselmedien mittels der Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Alle Wechselmedienklassen: Jeglichen Zugriff verweigern generell unterbunden? O  Wurde die Installation von Gerätetreibern für neu hinzugefügte Hardware verhindert? O Wurde die Installation von Wechseldatenträgern durch die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungen bei der Geräteinstallation | Installation von Wechselgeräten verhindern unterbunden?– oder – [hoher Schutzbedarf] Wurde der Dienst Plug&Play-Dienst über Systemsteuerung → Verwaltung → Dienste zur Verhinderung der Erkennung neuer Hardware deaktiviert? O  Wurden alle nicht benötigten Schnittstellen im BIOS und unter Systemsteuerung → System → Geräte-Manager deaktiviert?     Wurde die Bluetooth-Schnittstelle deaktiviert? Wurde die Infrarot-Schnittstelle deaktiviert? Wurde die Firewire-Schnittstelle deaktiviert? Wurde die PC-Card-Schnittstelle (PCMCIA) deaktiviert? 4.Absicherung eines PC-Clients unter Windows 7 Enterprise  ISi-Reihe Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisprotokolldienst | System | Volles Protokoll automatisch sichern aktiviert? 4.und Autorun-Funktionen Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | WindowsKomponenten | Richtlinien für die automatische Wiedergabe | Autoplay deaktivieren aktiviert und auf den Wert Alle Laufwerke konfiguriert? Befinden sich in den Autorun-Einträgen nur erwünschte Anwendungen?   Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce nur erwünschte Anwendungen?  Bundesamt für Sicherheit in der Informationstechnik 23 .

11  Ergänzende Ausführungskontrolle Wurde der Menüeintrag Start → Ausführen mittels Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Startmenü und Taskleiste | Menüeintrag „Ausführen“ aus dem Menü „Start“ entfernen ausgeblendet? Wurde zur Verhinderung der unkontrollierten Dateiausführung über den Windows-Explorer das Ausblenden von Dateiergänzungsnamen über Systemsteuerung → Darstellung und Anpassung → Ordneroptionen → Ansicht durch Entfernen der Auswahlmarkierung für die Option Erweiterungen bei bekannten Dateien ausblenden so konfiguriert. 24 Bundesamt für Sicherheit in der Informationstechnik .Absicherung eines PC-Clients unter Windows 7 Enterprise Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwünschte Anwendungen? Befinden sich im Registry-Schlüssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce nur erwünschte Anwendungen? Befinden sich in allen Registry-Schlüssel für HKEY_USERS \ SID5 \ Software \ Microsoft \ Windows \ CurrentVersion \ Run nur erwünschte Anwendungen?     Befinden sich in den Autostart-Ordnern nur erwünschte Anwendungen?  Befinden sich in allen auf dem PC-Client befindlichen Benutzerordnern %Userprofile% / AppData / Roaming / Microsoft / Windows / Startmenü / Programme / Autostart nur erwünschte Anwendungen? Befinden sich im Ordner %SYSTEMDRIVE% / ProgramData / Microsoft / Windows / Start Menü / Programme / Autostart nur erwünschte Anwendungen?  4.  Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für die Softwareeinschränkungen | Sicherheitsstufen | Die Software wird trotz der Berechtigung des Benutzers nicht ausgeführt zum Standard erklärt? Sind die Registrierungspfadregeln für den Standardzugriff auf das Systemverzeichnis (%Systemroot%) und das Programmverzeichnis (%ProgramData%) mittels der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für die Softwareeinschränkungen | zusätzliche Regeln vorhanden und die Sicherheitsstufe auf Nicht eingeschränkt konfiguriert?  5 Mit SID sind alle Benutzer unterhalb HKEY_USER spezifiziert. dass nunmehr die Dateierweiterungen angezeigt werden? Wurde zur Verhinderung der Ausführung von Wechselmedien die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Wechseldatenträger: Ausführungszugriff verweigern aktiviert?   Die folgenden Kontrollfragen werden bei der ausschließlichen Verwendung einer Whitelist auf Computerebene zur Ausführungskontrolle angewendet.ISi-Reihe  ISi-Check .

diese Benutzergruppen zugeordnet und die Regel als Regelerzwingung für ausführbare Regel konfiguriert? Wurde für die Standardregel Alle Dateien im Ordner Windows eine Ausführungsverhinderung für Dateien aus dem Ordner %Systemroot%\winsxs unter Ausnahmen generiert und somit die Ausführung von Anwendungen aus dem Ordner Winsxs verhindert?    Wurden Windows Installer-Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Installer-Regeln konfiguriert?  Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Windows Installer-Regeln und das über die rechte Maustaste erreichbare Kontextmenü sowie Auswahl von Standardregeln erstellen die Standardregeln für Windows Installer-Regeln generiert? Wurde die Standardregel Alle digital signierten Windows Installer Dateien der Benutzergruppe Benutzer zugewiesen.  Wurden Anwendungen mittels der Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Angegebene Windowsanwendungen nicht ausführen von der Ausführung ausgeschlossen? [hoher Schutzbedarf] Wurde die Ausführung von Code über die HTML Help Executable durch die Aufnahme der Anwendung HH.Absicherung eines PC-Clients unter Windows 7 Enterprise  ISi-Reihe Wurden die erlaubten Anwendungen über Regeln mittels der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für die Softwareeinschränkungen | zusätzliche Regeln konfiguriert? Wurde der Selbstausschluss der Administratoren durch Setzen der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für Softwareeinschränkungen | Erzwingen auf Alle Benutzer außer den lokalen Administratoren verhindert?  Die folgenden Kontrollfragen werden bei Verwendung einer Blacklist zur Ausführungskontrolle verwendet. die Regel als verweigert definiert und die Regelerzwingung für Windows Installer-Regeln konfiguriert?  Bundesamt für Sicherheit in der Informationstechnik 25 .EXE in die Blacklist verhindert?  Die folgenden Fragen werden bei der ausschließlichen Verwendung der Windows eigenen Anwendung AppLocker zur Ausführungskontrolle angewendet.   Wurde der Dienst Anwendungsidentität in seiner Ausführung nicht reglementiert? Wurden ausführbare Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Ausführbare Regeln konfiguriert?  Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Ausführbare Regeln und das über die rechte Maustaste erreichbare Kontextmenü sowie Auswahl von Standardregeln erstellen die Standardregeln für ausführbare Regeln generiert? Wurden zusätzliche Regeln generiert.ISi-Check .

diese Benutzergruppen zugeordnet und als Regelerzwingung für DLL-Regeln konfiguriert? Wurde die Standardregel Alle DLLs für die Benutzergruppe Administratoren unverändert übernommen?    4. die Regel als verweigert definiert und die Regelerzwingung für Scriptregeln konfiguriert? Wurde die Standardregel Alle Scripts im Ordner „Windows“ der Benutzergruppe Benutzer zugewiesen.ISi-Reihe  ISi-Check . die Regel als verweigert definiert und die Regelerzwingung für Scriptregeln konfiguriert? Wurde die Standardregel Alle Scripts für die Benutzergruppe Administratoren unverändert übernommen?     Wurden die DLL-Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | DLL-Regeln konfiguriert?  Wurde die Ausführung von DLL-Regeln über die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Regelerzwingung konfigurieren | Erweitert | DLL-Regelsammlung aktivieren zugelassen? Wurden durch Auswahl von Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | DLL-Regeln sowie das über die rechte Maustaste erreichbare Kontextmenü und Auswahl von Standardregeln erstellen die Standardregeln für DLL-Regeln generiert? Wurden zusätzliche Regeln generiert. die Regel als verweigert definiert und die Regelerzwingung für Windows Installer-Regeln konfiguriert? Wurde die Standardregel Alle Windows-Installer Dateien für die Benutzergruppe Administratoren unverändert übernommen?   Wurden Scriptregeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Scriptregeln konfiguriert?  Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Scriptregeln und das über die rechte Maustaste erreichbare Kontextmenü sowie Auswahl von Standardregeln erstellen die Standardregeln für Scriptregeln generiert? Wurde die Standardregel Alle Scripts im Ordner „Programme“ der Benutzergruppe Benutzer zugewiesen.12  Speicherschutzmechanismen Wurde die Datenausführungsverhinderung (DEP) für alle Anwendungen aktiviert? O Wurde die Datenausführungsverhinderung über Systemsteuerung → System → Erweiterte Systemeinstellungen → Erweitert → Einstellungen → Datenausführungsverhinderung der Parameter Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der Ausgewählten einschalten aktiviert? – oder – Bundesamt für Sicherheit in der Informationstechnik 26 .Absicherung eines PC-Clients unter Windows 7 Enterprise Wurde die Standardregel Alle Windows-Installer Dateien unter %systemdrive%\Windows\Installer der Benutzergruppe Benutzer zugewiesen.

13  An.EXE die Aktivierung der Datenausführungsverhinderung über Kommandozeilenaufforderung mittels bcdedit /set nx OptOut durchgeführt? 4. Standbymodus aktiviert? Bundesamt für Sicherheit in der Informationstechnik 27 . Standbymodus mittels Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Energieverwaltung | Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw.Absicherung eines PC-Clients unter Windows 7 Enterprise O ISi-Reihe Wurde unter Verwendung der Windows-Anwendung BCDEDIT.und Abmelden durch den Benutzer Wurde für eine sichere Benutzeranmeldung die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen aktiviert und somit die Anzeige des letzten angemeldeten Benutzers verhindert? Wurde die Übernahme einer nicht ordnungsgemäß beendeten Sitzung durch Dritte mittels Konfiguration des Bildschirmschoners reglementiert?   Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Ändern des Bildschirmschoners verhindern aktiviert? [Optional] Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Bestimmten Bildschirmschoner erzwingen aktiviert und ein Dateiname eines verfügbaren Bildschirmschoners vergeben? Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Bildschirmschoner aktivieren aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Kennwortschutz für den Bildschirmschoner verwenden aktiviert? Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung | Anpassung | Zeitlimit für den Bildschirmschoner aktiviert und ein Wert von 900 (Wert in Sekunden) konfiguriert?      Wurde die Kennworteingabe bei Reaktivierung aus dem Ruhezustand bzw.ISi-Check .

28 Bundesamt für Sicherheit in der Informationstechnik .ISi-Reihe ISi-Check . Aus diesem Grund sind lediglich die Anforderungen der allgemeinen Checkliste zur Absicherung eines PC-Clients zu beachten.Absicherung eines PC-Clients unter Windows 7 Enterprise 5 Betrieb Im Betrieb sind bei Windows 7 Enterprise die gleichen Dinge zu beachten wie bei anderen Betriebssystemen.

Absicherung eines PC-Clients unter Windows 7 Enterprise ISi-Reihe 6 [ISi-Client] [ITGSK] Literaturverzeichnis Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorgehensweise. ITGrundschutzkataloge. Stand 2010 Bundesamt für Sicherheit in der Informationstechnik (BSI). BSIStandards zur Internet-Sicherheit: Absicherung eines PC-Clients. 2007 Bundesamt für Sicherheit in der Informationstechnik (BSI). BSIStandards zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet.ISi-Check . 2008 Bundesamt für Sicherheit in der Informationstechnik (BSI). BSIStandards zur Internet-Sicherheit: Sichere Nutzung von Web-Angeboten. 2011 Bundesamt für Sicherheit in der Informationstechnik (BSI). 2010 Bundesamt für Sicherheit in der Informationstechnik (BSI). Grundlagen. BSIStandards zur Internet-Sicherheit: Einführung. BSIStandards zur Internet-Sicherheit: Sichere Nutzung von E-Mail. 2009 [ISi-LANA] [ISi-E] [ISi-Web-Client] [[ISi-Mail-Client] Bundesamt für Sicherheit in der Informationstechnik 29 .

Sign up to vote on this title
UsefulNot useful