IT-GSHB 2000 - Freigabe von Verzeichnissen unter Windows 95

M 4.58 Freigabe von Verzeichnissen unter Windows 95

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Für jeden Rechner unter Windows 95 muß entschieden werden, ob die Peer-to-Peer-Funktionalitäten benötigt werden, um sie dann einzeln zuzulassen oder zu sperren. Dafür kann über die Systemrichtlinien über die Menüpunkte Systemsteuerung / Netzwerk / Datei- und Druckerfreigabe die Datei- und Druckerfreigabe einzeln zugelassen oder gesperrt werden. Anschließend muß dem Benutzer der Zugriff auf diese Registerkarte entzogen werden.

Wenn die Dateifreigabe deaktiviert ist, stehen die entsprechenden Funktionen im Dateimanager bzw. Explorer nicht mehr zur Verfügung, es ist aber weiter möglich, sich mit Verzeichnissen anderer Rechner zu verbinden.

Der Administrator muß darüber hinaus beim Einrichtung eines WfW-Rechners auch die weiteren Punkte beachten:

Unter Windows 95 ist durch die Systemrichtlinien sicherzustellen, daß die Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können.
Die Voreinstellung "Kennwort in der Kennwortliste speichern" ist in den Verbindungsoberflächen zu deaktivieren.
Rechner- noch Benutzernamen sollten gemäß den Organisationsvorgaben vergeben werden. Durch die Systemrichtlinien ist sicherzustellen, daß die Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können.
Beim Einsatz von Schedule+ ist darauf zu achten, daß das standardmäßig vergebene Recht, offene oder besetzte Zeitblöcke einzusehen, für alle nicht berechtigten WfW-Benutzer deaktiviert wird. Jeder Teilnehmer am selben Post-Office ist sonst in der Lage, das zeitliche Arrangement der individuellen Termine einzusehen.

Wird ein Post-Office eingerichtet, daß von mehreren Benutzern zur Kommunikation oder zur gemeinsamen Terminplanung genutzt werden soll, ist in Erwägung zu ziehen, von diesem eine Datensicherung in angemessenen Zeiträumen anzulegen. Dies ist notwendig, um einem versehentlichen oder absichtlichen Löschen des Post-Office entgegenzuwirken, da dies unter WfW nicht sicher verhindert wird.

Unter Windows 95 ist es möglich, eine Remote-Administration einzurichten, die Administratoren ermöglicht, über das Netz auf die einzelnen Workstations zuzugreifen. Vor Aktivierung dieser Option ist abzuklären, ob dies mit den Sicherheitszielen der Organisation vereinbar ist.

Durch die Aktivierung der Remote-Administration besteht die Gefahr, daß

jemand Kennung und Paßwort für die Remote-Administration ausprobieren kann, oder
ein Administrator jederzeit unbemerkt auf Benutzerrechner zugreifen kann.

Falls diese Eigenschaft zur Erleichterung der Workstation-Betreuung gewünscht ist, ist zu überlegen, ob ein Adminstrator für alle von ihm betreuten Workstations dasselbe Administrator-Paßwort verwenden soll. Dies läßt sich zwar leichter merken, führt aber dazu, daß ein Angreifer auf alle Workstations zugreifen kann, wenn er dieses eine Paßwort herausgefunden hat.

Ergänzende Kontrollfragen:

Ist dokumentiert, welche Verzeichnisse auf welchen Rechnern für den Netzzugriff freigegeben sind?
Werden die vorhandenen Freigaben an Veränderungen im Einsatzumfeld angepaßt?
Ist dokumentiert, auf welchen Rechnern Remote-Administration eingerichtet ist?