IT-GSHB 2000 - Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz

M 2.92 Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die folgenden Punkte sollten auf der Ebene der Server in einem Windows NT Client-Server-Netz regelmäßig auf Einhaltung und Effektivität kontrolliert werden (siehe auch M 4.54 Protokollierung unter Windows NT ):

System-Sicherheits-Einstellungen Die korrekte Einstellung der sicherheitsrelevanten Einträge in der Registrierung, d. h. im wesentlichen der Einträge im Bereich HKEY_LOCAL_MACHINE , ist regelmäßig zu kontrollieren, indem die Einträge des Sicherheitsprotokolle, die sich auf die Registrierung beziehen, überprüft werden.
Benutzung von privilegierten Benutzerkonten Die Benutzung privilegierter Benutzerkonten, also von Konten mit erweiterten Rechten und Berechtigungen wie etwa Administratoren, ist regelmäßig durch Überprüfung der Einträge im Sicherheitsprotokoll zu überprüfen. Ebenso ist das Protokoll auf Anmeldeversuche auf das Gastbenutzerkonto zu überprüfen.
Fehlgeschlagene Zugriffsversuche (Berechtigungsverstöße) Sofern Zugriffe auf Dateien und/oder die Registrierung aufgezeichnet werden, ist das Sicherheitsprotokoll wöchentlich, bei Bedarf auch öfter, auf das Vorliegen fehlgeschlagener Zugriffsversuche zu überprüfen. Werden Berechtigungsverstöße festgestellt, ist die Ursache zu ermitteln.
Systemintegrität Die Systemintegrität ist regelmäßig zu überprüfen; insbesondere sind die Daten der letzten Veränderung sowie die Zugriffsrechte der wichtigen Systemdateien zu überprüfen und mit den Werten, die unmittelbar nach der Installation des Systems sowie bei der jeweils vorherigen Überprüfung gegeben waren, zu vergleichen. Da diese Kontrolle mit Hilfe der von Windows NT gebotenen Möglichkeiten relativ aufwendig ist, sollten hier geeignete Zusatzwerkzeuge eingesetzt werden, beispielsweise das Shareware-Programm DumpACL oder das mit der Technischen Referenz (dem "Resource Kit") zu Windows NT ausgelieferte Dienstprogramm WinDiff, mit dem sich Inhalte von Verzeichnissen und Dateien vergleichen lassen.
Unbenutzte Benutzerkonten Es ist sicherzustellen, daß die Konten ehemaliger Beschäftigter sofort deaktiviert und nach einer geeigneten Übergangszeit (ca. ½ Jahr) vom System gelöscht werden. Da die Zeit des letzten Anmeldens am System nicht angezeigt wird, sind zu diesem Zweck nach Möglichkeit alle Benutzerkonten mit einem Verfallsdatum einzurichten, das in gewissen Zeitabständen (z. B. jährlich) auf Antrag des Benutzers aktualisiert werden muß. Inaktive, d. h. abgelaufene, Benutzerkonten sind zu löschen. Die Eigentümer sind vorab zu informieren. Die Liste der definierten Benutzer ist regelmäßig zu überprüfen, um sicherzustellen, daß nur aktive Beschäftigte auf dem System arbeiten.
Benutzer- und Gruppenberechtigungen Es sollte überprüft werden, ob Programmierer Zugriff auf Produktionsbibliotheken haben. Weiterhin ist die Gruppenmitgliedschaft zu überprüfen, wenn sich die Mitgliedschaft oder Aufgabe eines Benutzers ändert, und es sollte regelmäßig überprüft werden, ob Anhäufungen von Benutzerrechten existieren. Die Systemadministration sollte außerdem in regelmäßigen Abständen die Benutzer mit Spezialberechtigungen mit den organisatorischen Vorgaben abgleichen.
Berechtigungskontrolle Es ist sicherzustellen, daß die Eigentümer von Dateien und Verzeichnissen ihre Verpflichtung verstehen, anderen Benutzern nur dann Zugriff zu gewähren, wenn dies erforderlich ist. Mit dem Datei-Manager bzw. Explorer ist regelmäßig zu überprüfen, daß sensitive Daten nicht zu weitgehende Berechtigungen, insbesondere Berechtigungen für die Gruppe " Jeder ", besitzen. Sofern temporäre Berechtigungen zum Einsatz kommen, ist sicherzustellen, daß dies nur dann geschieht, wenn es erforderlich ist, und daß diese Berechtigungen sorgfältig überwacht werden.

Es sind Prozeduren bzw. Verfahren zu entwickeln für den Fall, daß Abweichungen von den festgelegten Einstellungen auftreten. Diese Prozeduren müssen folgende Punkte enthalten:

wer wird wann informiert,
Begründung für die eventuelle Wahl abweichender Einstellungen und Angabe, ob hierdurch möglicherweise ein Sicherheitslücke entsteht,
Schritte zur Behebung der Sicherheitslücke,
Schritte zur Identifizierung der Ursache der Sicherheitslücke.

Die Durchführung der hier beschriebenen Kontrollen auf der Ebene von Clients sollte nur dann durchgeführt werden, wenn sichergestellt ist, daß damit keine unzulässigen Leistungskontrollen der Benutzer dieser Clients verbunden sind und wenn die datenschutzrechtlich korrekte Behandlung der Protokoll-Informationen gewährleistet werden kann.

Ergänzende Kontrollfragen:

Werden Unregelmäßigkeiten dem Netzadministrator bekanntgegeben?
Werden Abweichungen der Sicherheitseinstellungen vom zulässigen Wert unverzüglich korrigiert?
Werden die möglichen Konsequenzen solcher Abweichungen analysiert?