M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT System
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Windows NT kann nur dann sicher betrieben werden, wenn vom Systemstart an
gewährleistet ist, daß eine geschlossene Sicherheitsumgebung aufgebaut wird,
also daß keine Wege an den Sicherheitsfunktionen des Betriebssystems vorbei
bestehen. Dies erfordert, daß sich alle durch Windows NT schützbaren Ressourcen
unter der Kontrolle des Betriebssystems befinden und daß es auch keine
Möglichkeit gibt, fremde Systeme oder offene Systemumgebungen zu starten, die
den durch Windows NT gebotenen Schutz unterlaufen können. Dazu sind die
folgenden Aspekte zu beachten:
- Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem NTFS
formatiert sein. Partitionen, die mit den Dateisystemen FAT, VFAT oder HPFS
formatiert sind, können nicht gegen Zugriffe der Benutzer geschützt werden.
Dies bedeutet einerseits, daß die auf ihnen abgelegten Daten beliebigen
Zugriffen aller Benutzer ausgesetzt sind, und andererseits können diese
Partitionen zum unkontrollierten Datenaustausch zwischen Benutzern mißbraucht
werden.
- Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter
Windows NT nur mit dem Dateisystem FAT bzw. VFAT formatiert werden können.
Aus diesem Grund sind Diskettenlaufwerke an allen Rechnern, die nicht unter
strikter physischer Kontrolle stehen, grundsätzlich durch den Einbau
von Diskettenschlössern zu sperren (siehe M 4.4
Verschluß der Diskettenlaufwerkschächte ). Auf Windows NT
Clients können auch die Diskettenlaufwerke durch Deaktivieren über
die Systemsteuerungsoption " Geräte " , Gerät Floppy", die
Diskettenlaufwerke für unprivilegierte Benutzer außer Betrieb gesetzt
werden. Hiervon sollte auf Windwos NT-Servern abgesehen werden (siehe hierzu
M 4.52 Geräteschutz uter Windows NT).
- Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist
es möglich, von einem vorhandenen CD-ROM-Laufwerk zu booten, so besteht
die Gefahr, daß der Rechner mit einem anderen Betriebssystem als Windows
NT gestartet wird. Die gleiche Gefährdung ergibt sich, wenn auf einer
lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann der
Anwender mit verschiedenen Programmen die Sicherheitsmechanismen von Windows
NT umgehen. Inzwischen gibt es mehrere Programme, mit denen man Dateien, die
unter NTFS geschützt sind, von einer DOS-Umgebung oder einer Linux-Umgebung
lesen und z. T. auch ändern kann. Sowohl unter dem Betriebssystem MS-DOS
als auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS gesetzten
Sicherheitsattribute ignoriert. Der Anwender hat daher von MS-DOS bzw. von
Linux aus Zugriff auf alle Dateien des Rechners. Aus diesem Grund dürfen
neben Windows NT keine weiteren Betriebssysteme auf der Festplatte installiert
sein. Außerdem ist der Boot-Vorgang durch eine mit einem BIOS-Paßwort
geschützte Einstellung des BIOS so abzusichern, daß das System
nicht von einem eventuell vorhandenen Diskettenlaufwerk oder von einem CD-ROM-Laufwerk
aus gestartet werden kann (siehe M 4.1 Paßwortschutz
für PC und Server ).
- Im Rahmen einer Neuinstallation von Windows NT hat man die Möglichkeit,
die bestehende Installation des Betriebssystems zu aktualisieren oder eine
neue Version parallel zu installieren. Bei der parallelen Installation wird
die bestehende Dateistruktur nicht verändert, doch wird das vordefinierte
Administratorkonto mit einem neuen Paßwort neu angelegt. Dieser "neue"
Administrator hat dann vollen Zugriff auf alle Ressourcen des Rechners und
damit auch auf alle Daten und Programme. Um diese Möglichkeit der Neuinstallation
zu verhindern, dürfen Anwender nicht in der Lage sein, die Datei BOOT.INI
im Wurzelverzeichnis der ersten Platte zu verändern (siehe M
4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse
unter Windows NT ).
- Mit Hilfe der Installationsprogramme kann auch eine Notfalldiskette (siehe
M 6.42 Erstellung von Rettungsdisketten für
Windows NT ) erzeugt und mit dieser dann eine Systemrekonstruktion durchgeführt
werden. Dabei wird der Zugriffsschutz der NTFS-Partition des Betriebssystems
aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme,
eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten so
zu verwahren, daß sie gegen unbefugten Zugriff geschützt sind.
Schutz gegen diese spezifische Bedrohung bietet auch die Sicherung der Diskettenlaufwerke
durch Laufwerksschlösser (siehe M 4.4 Verschluß
der Diskettenlaufwerkschächte ) und die Absicherung des Boot-Vorgangs
durch die entsprechende Einstellung des BIOS (s. o.).
Unter Windows NT ist das Anmelden auf dem Server nur für Benutzer möglich,
denen das Benutzerrecht " Lokale Anmeldung " gegeben wurde. Diese Benutzer
sind auf die ihnen zugewiesenen Rechte und Berechtigungen eingeschränkt.
Um einen Mißbrauch der Möglichkeiten zum Anmelden auf dem Server zu
vermeiden, sind die Benutzerrechte und die Zuordnungen zu Benutzergruppen entsprechend
restriktiv vorzusehen (siehe Maßnahmen M 2.93 Planung
des Windows NT Netzes und M 4.50 Strukturierte
Systemverwaltung unter Windows NT ).
Ergänzende Kontrollfragen:
- Wird die Sicherung eventuell vorhandener Diskettenlaufwerke regelmäßig
überprüft?
- Wird regelmäßig überprüft, daß keine parallele Installation eines anderen
Betriebssystems vorhanden ist?
- Wird regelmäßig die BIOS-Einstellungen, die ein Booten von anderen Medien
als der Festplatte verhindern, überprüft?
© Copyright
by
Bundesamt für Sicherheit in der Informationstechnik |
Juli 1999 |
|