IT-GSHB 2000 - Absicherung des Boot-Vorgangs für ein Windows NT System

M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT System

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Windows NT kann nur dann sicher betrieben werden, wenn vom Systemstart an gewährleistet ist, daß eine geschlossene Sicherheitsumgebung aufgebaut wird, also daß keine Wege an den Sicherheitsfunktionen des Betriebssystems vorbei bestehen. Dies erfordert, daß sich alle durch Windows NT schützbaren Ressourcen unter der Kontrolle des Betriebssystems befinden und daß es auch keine Möglichkeit gibt, fremde Systeme oder offene Systemumgebungen zu starten, die den durch Windows NT gebotenen Schutz unterlaufen können. Dazu sind die folgenden Aspekte zu beachten:

Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem NTFS formatiert sein. Partitionen, die mit den Dateisystemen FAT, VFAT oder HPFS formatiert sind, können nicht gegen Zugriffe der Benutzer geschützt werden. Dies bedeutet einerseits, daß die auf ihnen abgelegten Daten beliebigen Zugriffen aller Benutzer ausgesetzt sind, und andererseits können diese Partitionen zum unkontrollierten Datenaustausch zwischen Benutzern mißbraucht werden.
Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter Windows NT nur mit dem Dateisystem FAT bzw. VFAT formatiert werden können. Aus diesem Grund sind Diskettenlaufwerke an allen Rechnern, die nicht unter strikter physischer Kontrolle stehen, grundsätzlich durch den Einbau von Diskettenschlössern zu sperren (siehe M 4.4 Verschluß der Diskettenlaufwerkschächte ). Auf Windows NT Clients können auch die Diskettenlaufwerke durch Deaktivieren über die Systemsteuerungsoption " Geräte " , Gerät Floppy", die Diskettenlaufwerke für unprivilegierte Benutzer außer Betrieb gesetzt werden. Hiervon sollte auf Windwos NT-Servern abgesehen werden (siehe hierzu M 4.52 Geräteschutz uter Windows NT).
Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist es möglich, von einem vorhandenen CD-ROM-Laufwerk zu booten, so besteht die Gefahr, daß der Rechner mit einem anderen Betriebssystem als Windows NT gestartet wird. Die gleiche Gefährdung ergibt sich, wenn auf einer lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann der Anwender mit verschiedenen Programmen die Sicherheitsmechanismen von Windows NT umgehen. Inzwischen gibt es mehrere Programme, mit denen man Dateien, die unter NTFS geschützt sind, von einer DOS-Umgebung oder einer Linux-Umgebung lesen und z. T. auch ändern kann. Sowohl unter dem Betriebssystem MS-DOS als auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS gesetzten Sicherheitsattribute ignoriert. Der Anwender hat daher von MS-DOS bzw. von Linux aus Zugriff auf alle Dateien des Rechners. Aus diesem Grund dürfen neben Windows NT keine weiteren Betriebssysteme auf der Festplatte installiert sein. Außerdem ist der Boot-Vorgang durch eine mit einem BIOS-Paßwort geschützte Einstellung des BIOS so abzusichern, daß das System nicht von einem eventuell vorhandenen Diskettenlaufwerk oder von einem CD-ROM-Laufwerk aus gestartet werden kann (siehe M 4.1 Paßwortschutz für PC und Server ).
Im Rahmen einer Neuinstallation von Windows NT hat man die Möglichkeit, die bestehende Installation des Betriebssystems zu aktualisieren oder eine neue Version parallel zu installieren. Bei der parallelen Installation wird die bestehende Dateistruktur nicht verändert, doch wird das vordefinierte Administratorkonto mit einem neuen Paßwort neu angelegt. Dieser "neue" Administrator hat dann vollen Zugriff auf alle Ressourcen des Rechners und damit auch auf alle Daten und Programme. Um diese Möglichkeit der Neuinstallation zu verhindern, dürfen Anwender nicht in der Lage sein, die Datei BOOT.INI im Wurzelverzeichnis der ersten Platte zu verändern (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT ).
Mit Hilfe der Installationsprogramme kann auch eine Notfalldiskette (siehe M 6.42 Erstellung von Rettungsdisketten für Windows NT ) erzeugt und mit dieser dann eine Systemrekonstruktion durchgeführt werden. Dabei wird der Zugriffsschutz der NTFS-Partition des Betriebssystems aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme, eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten so zu verwahren, daß sie gegen unbefugten Zugriff geschützt sind. Schutz gegen diese spezifische Bedrohung bietet auch die Sicherung der Diskettenlaufwerke durch Laufwerksschlösser (siehe M 4.4 Verschluß der Diskettenlaufwerkschächte ) und die Absicherung des Boot-Vorgangs durch die entsprechende Einstellung des BIOS (s. o.).

Unter Windows NT ist das Anmelden auf dem Server nur für Benutzer möglich, denen das Benutzerrecht " Lokale Anmeldung " gegeben wurde. Diese Benutzer sind auf die ihnen zugewiesenen Rechte und Berechtigungen eingeschränkt. Um einen Mißbrauch der Möglichkeiten zum Anmelden auf dem Server zu vermeiden, sind die Benutzerrechte und die Zuordnungen zu Benutzergruppen entsprechend restriktiv vorzusehen (siehe Maßnahmen M 2.93 Planung des Windows NT Netzes und M 4.50 Strukturierte Systemverwaltung unter Windows NT ).

Ergänzende Kontrollfragen:

Wird die Sicherung eventuell vorhandener Diskettenlaufwerke regelmäßig überprüft?
Wird regelmäßig überprüft, daß keine parallele Installation eines anderen Betriebssystems vorhanden ist?
Wird regelmäßig die BIOS-Einstellungen, die ein Booten von anderen Medien als der Festplatte verhindern, überprüft?