Isi Client Checkliste Windows-7

5/11/2018 Isi Client Checkliste Windows-7 - slidepdf.com

http://slidepdf.com/reader/full/isi-client-checkliste-windows-7 1/29

Sichere Nutzung eines PC-Clients (ISi-Client)BSI-Checkliste zur Windows 7 Enterprise Sicherheit (ISi-Check)

Version 1.0 vom 01.08.2011



ISi-Reihe ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise

Vervielfältigung und Verbreitung

Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist.

Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu

Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sieunter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen.

Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sieauf den Internet-Seiten des BSI.

http://www.bsi.bund.de oder http://www.isi-reihe.de

Bundesamt für Sicherheit in der Informationstechnik ISi ProjektgruppePostfach 20 03 6353133 BonnTel. +49 (0) 228 99 9582-0E-Mail: [email protected]: http://www.bsi.bund.de

© Bundesamt für Sicherheit in der Informationstechnik 2011

2 Bundesamt für Sicherheit in der Informationstechnik

http://www.bsi.bund.de/

http://www.isi-reihe.de/

mailto:[email protected]



http://www.isi-reihe.de/

mailto:[email protected]




ISi-Check - Absicherung eines PC-Clients unter Windows 7 Enterprise ISi-Reihe

Inhaltsverzeichnis

1 Einleitung..........................................................................................................................................4

1.1 Funktion der Checklisten.......................................................................................................................4

1.2 Benutzung der Checklisten....................................................................................................................4

2 Konzeption........................................................................................................................................6

3 Auswahl sicherer Komponenten........................................................................................................7

4 Konfiguration....................................................................................................................................8

4.1 Installation des Betriebssystems............................................................................................................8

4.2 Konfigurieren von Windows Komponenten..........................................................................................9

4.3 Einbinden des PC-Clients in die Domänen-Struktur............................................................................13

4.4 Konfiguration von Windows-Updates.................................................................................................14

4.5 Dienste minimieren..............................................................................................................................14

4.6 Restriktive Berechtigungsvergaben.....................................................................................................17

4.7 Windows Firewall................................................................................................................................19

4.8 Zentrales Logging................................................................................................................................20

4.9 Hardware administrieren......................................................................................................................23

4.10 Autostart- und Autorun-Funktionen...................................................................................................23

4.11 Ergänzende Ausführungskontrolle.....................................................................................................24

4.12 Speicherschutzmechanismen.............................................................................................................264.13 An- und Abmelden durch den Benutzer.............................................................................................27

5 Betrieb.............................................................................................................................................28

6 Literaturverzeichnis.........................................................................................................................29

Bundesamt für Sicherheit in der Informationstechnik 3




1 Einleitung

Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren, Sicherheitsrevi-soren und IT-Fachleute, die sich mit der Einrichtung, dem Betrieb und der Überprüfung vonArbeitsplatz-PCs (APC) befassen. Grundlage für diese Checkliste ist Windows 7 Enterprise. AlleEinstellungen beziehen sich auf die in der Studie Absicherung eines PC-Clients vorgestellte Grund-architektur.

1.1 Funktion der Checklisten

Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Absicherung eines PC-Clients[ISi-Client] zum Thema Installation, Konfiguration und Betrieb in kompakter Form zusammen. Siedienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicher-heitsmaßnahmen im Detail überprüft werden kann.

Die Kontrollfragen beschränken sich auf die Empfehlungen des BSI-Standards zur Internet-Sicher-heit für PC-Clients [ISi-Client]. Allgemeine IT-Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene ISi-Client-Architektur und ihre Komponenten sind, werden von den Fragen nichterfasst. Solche grundlegenden Empfehlungen sind den BSI-IT-Grundschutzkatalogen [ITGSK] zuentnehmen. Sie bilden das notwendige Fundament für ISi-Check. Auch Kontrollfragen, die bereitsdurch die Checklisten zu den BSI-Studien Sichere Anbindung lokaler Netze an das Internet [ISi-LANA], Sichere Nutzung von E-Mail [ISi-Mail-Client] und Sichere Nutzung von Web-Angebo-ten [ISi-Web-Client] abgedeckt sind, werden hier nicht wiederholt.

Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. Die Anwendung vonISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der PC-Technik, der Betriebssysteme und der

IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischenund organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients.

Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten unddie korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allge-meinen IT-Grundschutzmaßnahmen zu beurteilen.

Der Zweck dieser Kontrollfragen besteht darin, den IT-Fachleuten, -Experten, -Beratern sowieAdministratoren in Behörden und Unternehmen bei der Konzeption, der Realisierung und dem spä-teren Betrieb von PC-Clients die jeweils erforderlichen Maßnahmen und die dabei verfügbarenUmsetzungsvarianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten,dass kein wichtiger Aspekt vergessen wird.

1.2 Benutzung der Checklisten

Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Client-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit denInhalten der ISi-Client-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfa-spekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumenteerforderlich.

Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie ISi-Client ab, ohne diese

zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontroll-frage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können





vertiefende Informationen in der zugehörigen Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können.

Format der Kontrollfragen

Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. ZusammenhängendeKontrollfragen sind – soweit sinnvoll – hierarchisch unter einer übergeordneten Frage gruppiert.Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass einBejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impli-ziert.

Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontroll-frage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender

unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchischeStruktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwich-tige oder offensichtliche Prüfaspekte schnell zu übergehen.

Iterative Vorgehensweise

Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beant-wortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellenÜberblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordneteFrage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden imzweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet.

Normaler und hoher Schutzbedarf

Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorischeAnforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf natürlich auch

berücksichtigt werden. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind,ist der entsprechenden Kontrollfrage ein „[hoher Schutzbedarf]“ zur Kennzeichnung vorangestellt.Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, solautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel „[hohe Verfügbarkeit]“.Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragenaußer Acht lassen.

Varianten

Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eineKontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein„ – oder – “ miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also min-destens eine der untergeordneten Kontrollfragen bejaht werden.

Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung„[hoher Schutzbedarf]“, so muss mindestens eine der so gekennzeichneten Varianten bejaht wer-den, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen.





2 Konzeption

Die Konzeptionsphase gemäß [ISi-E] wird in der allgemeinen Checkliste zur Absicherung einesPC-Clients betrachtet. Zum Zeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen.





3 Auswahl sicherer Komponenten

Die Auswahl wird in der allgemeinen Checkliste zur Absicherung eines PC-Clients betrachtet. ZumZeitpunkt der Konfiguration ist diese Phase bereits abgeschlossen.





4 Konfiguration

Nach der Beschaffung der benötigten Komponenten erfolgt deren Konfiguration durch die Admi-nistratoren. Der folgende Abschnitt enthält die für eine sichere Konfiguration zu berücksichtigendenPunkte. Optionen, die bereits in den Standardeinstellungen auf einen sicheren Wert vorkonfiguriertsind, werden von der Checkliste nicht immer explizit abgefragt.

Die Reihenfolge der Menüpunkte in den Fragen entspricht der Vorgehensweise bei der Installation,Minimierung und Härtung eines sicheren Minimalsystems. Folgende Schreibweisen werden ver-wendet:

– Einzelne Menü-Optionen bzw. -Ebenen sind durch einen Rechtspfeil → voneinander getrennt.

– Ebenen in Registry-Einträgen sind durch einen umgekehrten Schrägstrich \ voneinander getrennt.

– In Gruppenrichtlinienobjekten sind Ebenen durch einen senkrechten Strich | voneinander getrennt.

Hintergrundinformationen zu den angeführten Fragestellungen sind in der zugehörigen Studie„Absicherung eines PC-Clients“ [ISi-Client] zu finden.

4.1 Installation des Betriebssystems

In den folgenden Kontrollfragen werden nur die sicherheitsrelevanten Dialoge abgefragt, die wäh-rend der Installation des Betriebssystems angezeigt werden. Diese müssen in der vorliegenden Rei-henfolge abgearbeitet werden, die durch die Installationsroutine vorgegeben wird.

Vorbereitung der Speichermedien

Wurden die Speichermedien für die Installation neu partitioniert und mit NTFS formatiert?

Installation des Betriebssystems

Wurde die Installationsart Benutzerdefiniert (erweitert) ausgewählt?

Wurden nur Speichermedien mit nicht zugewiesenem Speicherplatz zur Auswahl für dieSystempartition angezeigt?

Wurden die Speichermedien mit zugewiesenem Speicherplatz gelöscht?

Wurde die zum sicheren Betrieb von Windows 7 benötigte Partition für Systemdateien mit einer Größe von 100 MB von der Installationsroutine angelegt und als Datenträger System-reserviert aus-

gewiesen?

Wurde ein Standardnutzer eingerichtet? (Dieser wird in einem der nächsten Schritte wieder vom System entfernt.)

Wurde der Name des PC-Clients entsprechend der festgelegten Nomenklatur vergeben?

Wurde die Frage Windows Einrichten → Schützen Sie Windows automatisch mit Später

erneut nachfragen beantwortet?





Sind die Zeit- und Datumseinstellungen richtig?

Wurde ein lokales Administratorkonto eingerichtet?

Wurde ein Passwort nach Passwortrichtlinie für den lokalen Administrator vergeben?

Wurde das Konto des lokalen Administrators aktiviert?

War eine Anmeldung des lokalen Administrators erfolgreich?

Wurde das Konto des Standardbenutzers gelöscht?

Wurde der persönliche Ordner des Standardbenutzers gelöscht?

Wurde ein Neustart durchgeführt?

4.2 Konfigurieren von Windows Komponenten

In den folgenden Kontrollfragen wird das Deaktivieren nicht benötigter Windows Komponentenabgefragt.

Windows Funktionen

Wurden über Systemsteuerung → Programme und Funktionen → Windows Funktionen akti-vieren oder deaktivieren nicht benötigte Windows Funktionen deaktiviert?

Wurde der Internetdruckdienst deaktiviert?

Wurde Windows-FAX und -Scan deaktiviert?

[Optional] Wurde der Internet Explorer 8 deaktiviert?

Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker, Media Center und Media Player)deaktiviert?

[Optional] Wurde die Plattform zu Windows-Minianwendungen deaktiviert?

Wurde die Remoteunterschiedskomprimierung deaktiviert?

Wurde Tablet PC-Komponenten deaktiviert?

[Optional] Wurde Windows Search deaktiviert?

Wurde XPS-Dienste deaktiviert?

Wurde XPS-Viewer deaktiviert?

Wurde anschließend ein Neustart durchgeführt?





Windows Standardprogramme reglementieren

Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt?

Wurden nicht benötigte Windows Standardprogramme reglementiert?O Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die

Blacklist ( Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benut- zerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendun- gen nicht ausführen von der Ausführung ausgeschlossen? – oder –

O Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfi- guration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder –

O Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist ( Liste der

zugelassenen Windows-Anwendungen ) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführenaufgenommen? – oder –

O Wurden diese Programme durch die Verwendung von AppLocker von der Ausführungausgeschlossen?

Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgendenProgramme durchgeführt?

Windows Kalender

Windows Mail

Windows Media Center

Windows Messenger

Windows Slideshow

Windows Media Player

Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert?

O Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Ad-ministrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopmi-nianwendungen deaktivieren verhindert? – oder –

O Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Com-

puterkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminian-wendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert

sind, einschränken verhindert?





Wurde der Windows Scripting Host reglementiert?

O Wurde die Ausführung von Skripten generell mittels des neu anzulegendenRegistry-Schlüssels Enabled vom Typ REG_DWORD unter HKEY_LOCAL_MACHINE \

SOFTWARE \ Microsoft \ Windows Script Host \ Settings und Zuweisung des Werts nullunterbunden? – oder –

O Wurde die Ausführung von Scripten erlaubt und nur für signierte Scripte mittels des neuanzulegenden Registry-Schlüssels TrustPolicy als Typ REG_DWORD unter

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Script Host und Zuwei-sung des Werts zwei zugelassen? – oder –

O Wurde die Ausführung von Scripten erlaubt und nur lokal durch das Verhindern der Remote-Ausführung mittels des neu anzulegenden Registry-Schlüssels Remote als TypREG_DWORD unter HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows

Script Host \ Settings und Zuweisung des Werts null zugelassen?

Wesentliche Sicherheitsmaßnahmen

Die folgenden Fragen zur Windows Firewall gehen davon aus, dass der APC in eine Domäne eingebunden ist.

Ist die Windows Firewall aktiv?

Wurde über Systemsteuerung → Wartungscenter kontrolliert, ob die Firewall nicht bei den Sicher-heitsmeldungen aufgeführt ist?

Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Fire-walleigenschaften → Domänenprofil → Status der Firewallstatus auf Ein (empfohlen) konfiguriert?

Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Fire-walleigenschaften → Domänenprofil → Status der Parameter Eingehende Verbindungen auf AlleBlocken konfiguriert?

Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Fire-walleigenschaften → Domänenprofil → Status der Parameter Ausgehende Verbindungen auf Zulas-sen (Standard) konfiguriert?

Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Fire-

walleigenschaften → Domänenprofil → Protokollierung → Anpassen die Protokollierung für ver-worfene Pakete durch Setzen des Parameters Verworfene Pakete protokollieren auf Ja aktiviert?

Wurde über Systemsteuerung → Windows-Firewall → erweiterte Einstellungen → Windows-Fire-walleigenschaften für die Profile Privates Profil und Öffentliches Profil die Einstellung Alles Blo-cken für eingehende Verbindungen und die Protokollierung für verworfene Pakete aktiviert?

Ist der Schutz vor schädlicher Software aktiv?

[Optional] Wurde der Windows eigene Schutz vor Spyware und anderer schädlicher Software durchWindows-Defender unter Systemsteuerung → Windows Defender aktiviert?1

1 Einige Virenschutzprogramme deaktivieren den Windows-Defender bei ihrer Installation.





Wurde ein Virenschutzprogramm installiert?

Ist die Benutzerkontensteuerung aktiv?

Wurde unter Systemsteuerung → Benutzerkonten → Einstellungen der Benutzerkontensteuerung ändern auf die höchste Stufe (4) Immer benachrichtigen eingestellt?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Bei Eingabeaufforde-rung für erhöhte Rechte zum sicheren Desktop wechseln auf den Wert aktiviert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Datei- und Registrie-rungsschreibfehler an Einzelbenutzerorte virtualisieren auf den Wert aktiviert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Erhöhte Rechte nur für

UIAccess-Anwendungen, die an sicheren Orten installiert sind auf den Wert aktiviert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Nur ausführbare Dateienheraufstufen, die signiert und überprüft sind auf den Wert deaktiviert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: UIAccess-Anwendungendas Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben auf den Wert deak-tiviert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-

lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus auf denWert Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Benutzerkontensteuerung: Verhalten der Eingabe-aufforderung für erhöhte Rechte für Standardbenutzer auf den Wert Eingabeaufforderung zuAnmeldeinformationen auf dem sicheren Desktop konfiguriert?

Wurden die Einstellungen unter Systemsteuerung → Netzwerk- und Freigabecenter → Erwei-terte Freigabeeinstellungen ändern für das Netzwerkprofil Privat oder Arbeitsplatz (nicht dasaktive Profil Öffentlich) angepasst?

(Diese Einstellungen sind Voraussetzung zum Schutz des PC-Clients während der weiteren Konfiguration und als Vorstufe des nach der Einbindung in die Domäne neu hinzugekomme-nen Netzwerkprofils „Domänenprofil“ zu sehen.)

Wurde die Netzwerkerkennung ausgeschaltet?

Wurde die Datei- und Druckerfreigabe deaktiviert?

Wurde die Freigabe des öffentlichen Ordners deaktiviert?

Wurde für Dateifreigabeverbindungen die 128-bit Verschlüsselung aktiviert?

Wurde Kennwortgeschützes Freigeben eingeschaltet?





Wurde für Heimnetzgruppen-Verbindungen die Option Benutzerkonten und Kennwörter zum Her-stellen von Verbindungen mit anderen Computern verwenden aktiviert?

Wurden die Einstellungen für den bei der Installation angelegten Netzwerkadapter über Sys-temsteuerung → Netzwerk- und Freigabecenter → Adaptereinstellungen ändern angepasst?

Wurde der Client für Microsoft Netzwerke aktiviert?

Wurde der QoS-Paketplaner deaktiviert?

Wurde die Datei- und Druckerfreigabe für Microsoft Netzwerke deaktiviert?

Wurde das Internetprotokoll Version 4 (TCP/IPv4) aktiviert?

[Optional] Wurde bei ausschließlicher Nutzung von TCP/IPv4 das Internetprotokoll Version 6(TCP/IPv6) deaktiviert?2

Wurde der E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktiviert?

Wurde Antwort für Verbindungsschicht-Topologieerkennung deaktiviert?

Wurde über Systemsteuerung → System → Erweiterte Systemeigenschaften → Remote dieEinstellungen für Remote-Verbindungen angepasst?

Wurde die Einstellung für Remote-Desktop Verbindungen nur von Computern zulassen, auf denenRemotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (höhere Sicherheit) akti-viert?

Wurden berechtigte Benutzer über Systemsteuerung → System → Erweiterte Systemeigenschaften

→ Remote → Benutzer auswählen in die Liste aufgenommen?

Wurden über den neu anzulegenden Registry-Schlüssel DisabledComponents als TypREG_DWORD unter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \Tcpip6 \ Parameters ungewünschte IPv6-Tunnel deaktiviert?

O Wurde der Wert auf 0x1 gesetzt, um alle Tunnel zu deaktivieren? – oder –

O [Optional] Wurde der Wert auf 0xFF gesetzt, um IPv6 vollständig zu deaktivieren?

4.3 Einbinden des PC-Clients in die Domänen-Struktur

Die folgenden Fragen sind nur zu beantworten, wenn der APC in eine Domäne eingebunden wird.

Wurde der PC-Client in die Domäne aufgenommen?

War die Anmeldung an der Domäne erfolgreich?

Erscheint der PC-Client im Verzeichnisdienst?

2 Die Deaktivierung von IPv6 in den Netzwerkeinstellungen stellt nicht sicher, dass automatisch Ipv6-Tunnel aufge- baut werden. Diese Tunnel werden in einer späteren Frage deaktiviert.





Wurden die Einstellungen unter Systemsteuerung → Netzwerk- und Freigabecenter → Erwei-terte Freigabeeinstellungen ändern für das Netzwerkprofil Domänenprofil angepasst?

Wurde die Netzwerkerkennung ausgeschaltet?

Wurde die Datei- und Druckerfreigabe deaktiviert?

Wurde die Freigabe des öffentlichen Ordners deaktiviert?

Wurde für Dateifreigabeverbindungen die 128-bit-Verschlüsselung aktiviert?

4.4 Konfiguration von Windows-Updates

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows

Komponenten | Windows Update | Automatische Updates konfigurieren aktiviert und auf denWert 4 konfiguriert?

Die folgende Frage ist nur bei der Verwendung eines WSUS zu beantworten:

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Windows Update | Internen Pfad für den Microsoft Updatedienst angeben akti-viert und ein interner Update-Server angegeben?

4.5 Dienste minimieren

Der folgende Abschnitt enthält Prüffragen zur Deaktivierung der System-Dienste. Ziel diesesAbschnittes ist eine möglichst weitgehende Minimierung der laufenden Dienste, um so dieAngriffsfläche des APCs zu verringern. Es ist im Einzelfall zu prüfen, ob weitere Dienste benötigtwerden und welche Konsequenzen deren Verwendung hat.

Wurde über Systemsteuerung → Verwaltung → Computerverwaltung → Dienste der Starttypfolgender Dienste geändert?

Wurde der Dienst ActiveX-Installer (AxInstSV) deaktiviert?

Wurde der Dienst Adaptive Helligkeit deaktiviert?

Wurde der Dienst Anschlussumleitung für Remotedesktopdienst im Benutzermodus deaktiviert?

Wurde der Dienst Anwendungserfahrung deaktiviert?

Wurde der Dienst Automatische Konfiguration (verkabelt) deaktiviert?

Wurde der Dienst Automatische WLAN-Konfiguration deaktiviert?

[Optional] Wurde der Dienst Benachrichtigungsdienst für Systemereignisse deaktiviert (nicht Laptop)?

[Optional] Wurde der Dienst BitLocker-Laufwerkverschlüsselungsdienst deaktiviert, wenn er nicht

verwendet wird?





Wurde der Dienst Blockebenen-Sicherungsmodul deaktiviert?

Wurde der Dienst Bluetooth-Unterstützungsdienst deaktiviert?

Wurde der Dienst COM+-Ereignissystem mit dem Starttyp Manuell konfiguriert?

Wurde der Dienst COM+-Systemanwendung deaktiviert?

Wurde der Dienst Computerbrowser deaktiviert?

[Optional] Wurde der Dienst Designs deaktiviert?

Wurde der Dienst Diagnosediensthost deaktiviert?

Wurde der Dienst Diagnoserichtliniendienst deaktiviert?

Wurde der Dienst Diagnosesystemthost deaktiviert?

[Optional] Wurde der Dienst Druckwarteschlange deaktiviert, wenn er nicht benötigt wird?

Wurde der Dienst Enumeratordienst für tragbare Geräte deaktiviert?

Wurde der Dienst Funktionssuchanbieter-Host deaktiviert?

Wurde der Dienst Funktionssuche-Ressourcenveröffentlichung deaktiviert?

Wurde der Dienst Gatewaydienst auf Anwendungsebene deaktiviert?

Wurde der Dienst Heimnetzgruppen-Anbieter deaktiviert?

Wurde der Dienst Heimnetzgruppen-Listener deaktiviert?

Wurde der Dienst IKE- und AuthIP IPsec-Schlüsselerstellungsmodule deaktiviert?

Wurde der Dienst Intelligenter Hintergrundübertragungsdienst mit dem Starttyp Manuell konfigu-riert?

Wurde der Dienst IP-Hilfsdienst deaktiviert?

Wurde der Dienst IPsec-Richtlinien-Agent deaktiviert?

Wurde der Dienst Konfiguration für Remotedesktops deaktiviert?

Wurde der Dienst KtmRm für Distributed Transaction Coordinator deaktiviert?

Wurde der Dienst Leistungsprotokolle und -warnungen deaktiviert?

Wurde der Dienst Microsoft .NET Framework NGEN v2.0.50727_X86 auf den Starttyp manuell konfiguriert?

Wurde der Dienst Microsoft iSCSI-Initiator-Dienst deaktiviert?

Wurde der Dienst Multimediaklassenplaner deaktiviert?

Wurde der Dienst Offlinedateien deaktiviert?





Wurde der Dienst Parental Controls deaktiviert?

Wurde der Dienst Peer Name Resolution-Protokoll deaktiviert?

Wurde der Dienst Peernetzwerk-Gruppenzuordnung deaktiviert?

Wurde der Dienst Peernetzwerkidentitäts-Manager deaktiviert?

[Optional] Wurde der Dienst Plug & Play deaktiviert (wird von Smartcard benötigt)?

Wurde der Dienst PnP-X-IP-Busenumerator deaktiviert?

Wurde der Dienst PNRP-Computerveröffentlichungs-Dienst deaktiviert?

Wurde der Dienst Programmkompatibilitäts-Assistent-Dienst deaktiviert?

Wurde der Dienst RAS-Verbindungsverwaltung deaktiviert?

Wurde der Dienst Remoteregistrierung deaktiviert?

Wurde der Dienst Richtlinie zum Entfernen der Smartcard deaktiviert?

Wurde der Dienst Sekundäre Anmeldung deaktiviert?

Wurde der Dienst Server deaktiviert?

Wurde der Dienst Shellhardwareerkennung deaktiviert?

Wurde der Dienst Sitzungs-Manager für Desktopfenster-Manager deaktiviert?

[Optional] Wurde der Dienst Smartcard deaktiviert?

Wurde der Dienst SNMP-Trap deaktiviert?

Wurde der Dienst SSDP-Suche deaktiviert?

Wurde der Dienst SSTP-Dienst deaktiviert?

Wurde der Dienst Superfetch deaktiviert?

Wurde der Dienst Tablet PC-Eingabedienst deaktiviert?

Wurde der Dienst TCP/IP-NetBIOS-Hilfsdienst deaktiviert?

Wurde der Dienst Telefonie deaktiviert?

[Optional] Wurde der Dienst TPM-Basisdienste bei Nichtbenutzung von TPM deaktiviert?

Wurde der Dienst Überwachung verteilter Verknüpfungen (Client) deaktiviert?

Wurde der Dienst UPnP-Gerätehost deaktiviert?

Wurde der Dienst Verbessertes Windows-Audio/Video-Streaming deaktiviert?

Wurde der Dienst Verbindungsschicht-Topologieerkennungs-Zuordnungsprogrammdeaktiviert?





Wurde der Dienst Verschlüsselndes Dateisystem (EFS) deaktiviert?

Wurde der Dienst Verwaltung für automatische RAS-Verbindung deaktiviert?

Wurde der Dienst Virtueller Datenträger deaktiviert?

Wurde der Dienst Volumenschattenkopie deaktiviert?3

Wurde der Dienst WebClient deaktiviert?

[Optional] Wurde der Dienst Windows Defender deaktiviert (bei Verwendung einer anderen Viren- schutzsoftware)?

[hoher Schutzbedarf] Wurde der Dienst Windows Installer deaktiviert?

[Optional] Wurde der Dienst Windows-Audio deaktiviert?

Wurde der Dienst Windows-Audio-Endpunkterstellung deaktiviert?

Wurde der Dienst Windows-Bilderfassung deaktiviert?

Wurde der Dienst Windows-Biometriedienst deaktiviert?

Wurde der Dienst Windows-Fehlerberichterstattungsdienst deaktiviert?

[Optional] Wurde der Dienst Windows-Firewall bei Verwendung einer anderen Firewall-Anwen-dung deaktiviert?

Wurde der Dienst Windows-Sofortverbindung – Konfigurationsregistrierungsstelle deaktiviert?

Wurde der Dienst WinHTTP-Web Proxy Auto-Discovery-Dienst deaktiviert?

Wurde der Dienst WWAN - automatische Konfiguration deaktiviert?

Wurde der Dienst Zugriff auf Eingabegeräte deaktiviert?

4.6 Restriktive Berechtigungsvergaben

Basiseinstellungen für Benutzerrechte

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheits-einstellungen | lokale Richtlinien | Zuweisen von Benutzerrechten für folgende Gruppenrichtli-nienobjekte geändert?

Wurde das Benutzerrecht Ändern der Systemzeit nur der Gruppe der Administratoren zugewiesen?

Wurden alle Benutzer für das Benutzerrecht Ändern der Zeitzone entfernt?

3 Die Deaktivierung der Volumenschattenkopie kann zu einer Fehlermeldung führen, wenn Systemsteuerung → Sys-tem → erweiterte Systemeinstellungen → Computerschutz aufgerufen wird.





Wurde das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag den Benutzergruppen Adminis-tratoren und Sicherungsoperatoren zugewiesen?

Wurde das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung den Benutzergrup- pen Administratoren und Dienst zugewiesen?

Wurde das Benutzerrecht Arbeitssatz eines Prozesses vergrößern für vorhandene Benutzergruppenentfernt?

Wurde das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen den BenutzergruppenAdministratoren , Remotedesktopbenutzer und Sicherungsoperatoren zugewiesen?

Wurde das Benutzerrecht Auslassen der durchsuchenden Überprüfung nur der Benutzergruppe Jeder zugewiesen?

Wurde das Benutzerrecht Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwe-cke vertraut wird nur der Benutzergruppe Administratoren zugewiesen?

Wurde das Benutzerrecht Erstellen globaler Objekte nur der Benutzergruppe Administratoren zuge-wiesen?

Wurde das Benutzerrecht Generieren von Sicherheitsüberwachungen für vorhandene Benutzergrup- pen entfernt?

Wurde das Benutzerrecht Herunterfahren des Systems den Benutzergruppen Administratoren und Benutzer zugewiesen?

Wurde das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne nur der BenutzergruppeAdministratoren zugewiesen?

Wurden alle Benutzergruppen für das Benutzerrecht Lokal anmelden verweigern entfernt?

Wurde das Benutzerrecht Lokal anmelden zulassen den Benutzergruppen Administratoren, Benut-zern und Domänenbenutzern zugewiesen?

Berechtigungsvergabe für den Fernzugriff

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Verschlüs- selungsstufe der Clientverbindung festlegen aktiviert und der Wert auf höchste Stufe vergeben?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Bei der Ver-bindungsherstellung immer zur Kennworteingabe auffordern aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Sichere RPC-Kommunikation anfordern aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sitzungszeitlimits | Zeit-

limit für aktive Remotedesktopdienste-Sitzungen festlegen aktiviert und der Wert 2-Stundenvergeben?





Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Verbindungen | Regeln für Remotesteuerung von Remotedesktopdienste Benutzersitzungen festlegen aktiviert und der Wert Vollzugriff mit Erlaubnis des Benutzers vergeben?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | Speichern von Kennwörtern nicht zulassen aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Angeforderte Remoteunterstützung aktiviert und der Wert auf Helfer dürfen den Computer remote steuern vergeben?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Remoteunterstützung anbieten deaktiviert?

4.7 Windows Firewall

Die folgenden Fragen sind für die Verwendung der Windows Firewall vorgesehen. Werden Pro-dukte anderer Anbieter eingesetzt, so sind die Festlegungen der generischen Checkliste zu beachten.Des Weiteren wird davon ausgegangen, dass der APC in einer Domäne betrieben wird und die Pro-file Privat und Öffentlich nicht benötigt werden.

Wurden unter der Gruppenrichtlinienobjekte Computerkonfiguration | Windows-Einstellungen| Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt die Windows-Firewalleigenschaften für

das Domänenprofil angepasst?

Wurde Benachrichtigungen anzeigen aktiviert?

Wurde Unicastantwort zulassen aktiviert?

Wurde Lokale Firewallregeln anwenden aktiviert?

Wurde Lokale Sicherheitsverbindungsregeln anwenden aktiviert?

Wurde die Protokollierung für verworfene Pakete aktiviert?

Wurde die zentrale Ablage auf einem Logging-Server für die Logging-Datei und entsprechendeSchreibrechte für das Firewall-Dienstkonto eingerichtet?

Wurden unter der Gruppenrichtlinienobjekte Computerkonfiguration | Windows-Einstellungen| Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt Regeln konfiguriert?

Wurden Verbindungssicherheitsregeln für Zugriffe aus dem Management-LAN (siehe [ISi- LANA])eingerichtet?

Wurde die Verbindungssicherheitsregel Authentifizierungsmodus auf Eingehend und ausgehendanfordern konfiguriert?





Wurde die Verbindungssicherheitsregel dem Domänen-Profil zugeordnet?

Wurden ein- und ausgehende Regeln definiert?

Wurden die erstellten Regeln aktiviert?

Wurde die Regelzusammenführung von lokalen und GPO-Regeln für lokale Firewallregeln durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheits-einstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften | Domänenprofil | Einstel-lungen | Lokale Firewallregeln anwenden auf nicht konfiguriert unterbunden?

Wurde die Regelzusammenführung von lokalen und GPO-Regeln für lokale Verbindungssicherheits-regeln durch Konfigurieren der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall miterweiterter Sicherheit – Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften | Domänenprofil |Einstellungen | Lokale Verbindungssicherheitsregeln anwenden auf nicht konfiguriert unterbunden?

Wurde mittels der Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit – Gruppenrichtlinienobjekt | Windows-Firewalleigenschaften dieFirewall für die Profile Privates Profil und Öffentliches Profil aktiviert und alle eingehendenund ausgehenden Verbindungen auf Alle blockieren konfiguriert?

4.8 Zentrales Logging

Wurde der Abonnement-Manager-Server eingerichtet?

Wurde für die Kommunikation zwischen Abonnement-Manager-Server und Client die Gruppenricht-linie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Ereignisweiterlei-tung | Serveradresse, Aktualisierungsintervall und Ausstellerzertifizierungsstelle eines Abonnement-Managers konfigurieren aktiviert und der Wert als HTTPS konfiguriert?

Wurde der Port 443 in den Firewall-Einstellungen für die HTTPS-Kommunikation zwischen PC-Client und Abonnement-Server freigeschaltet?

Wurden die Einstellungen für die Überwachungsrichtlinie mittels der Gruppenrichtlinie Com- puterkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | lokale Richtlinien |Überwachungsrichtlinie konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Anmeldeereignisse überwachen auf Erfolg-reich, Fehler konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Anmeldeversuche überwachen auf Erfolgreich,Fehler konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Kontenverwaltung überwachen auf Erfolgreich,Fehler konfiguriert?





Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Objektzugriffsversuche überwachen auf Fehler konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Prozessverfolgung überwachen auf KeineÜberwachung konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Rechteverwendung überwachen auf Fehler konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Richtlinienveränderungen überwachen auf Erfolgreich, Fehler konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-

lungen | lokale Richtlinien | Überwachungsrichtlinie | Systemereignisse überwachen auf Erfolgreich,Fehler konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Überwachungsrichtlinie | Verzeichnisdienstzugriff überwachen auf Feh-ler konfiguriert?

Wurde die Verwendung erweiterter Überwachungsrichtlinien konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | lokale Richtlinien | Sicherheitsoptionen | Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der

Überwachungsrichtlinie außer Kraft zu setzen aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien4 | Kon-tenanmeldung | Überprüfen der Kontenanmeldung auf Erfolg, Fehler konfiguriert ?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Kon-tenverwaltung | Benutzerkontenverwaltung überwachen auf Erfolg, Fehler konfiguriert ?

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstel-lungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien1 | Kon-

tenverwaltung | Computerkontenverwaltung überwachen auf Erfolg, Fehler konfiguriert ?

Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungs-richtlinien1 | DS Zugriff | Verzeichnisdienstzugriff überwachen auf Fehler konfiguriert ?

Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungs-richtlinien1 | Anmelden/Abmelden | Abmelden überwachen auf Erfolg konfiguriert ?

4 Bei lokaler Anwendung handelt es sich um den Wert: Systemüberwachungsrichtlinien- Lokales Gruppenrichtlinien-objekt.





Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungs-richtlinien1 | Anmelden/Abmelden | Anmelden überwachen auf Erfolg, Fehler konfiguriert ?

Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungs-richtlinien1 | Objektzugriff | Registrierung auf Erfolg, Fehler konfiguriert ?

Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungs-richtlinien1 | Richtlinienänderung | Authentifizierungsrichtlinienänderung auf Erfolg konfiguriert ?

Wurden Einstellungen mittels Gruppenrichtlinie Computerkonfiguration | Windows-Einstellungen |Sicherheitseinstellungen | erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungs-richtlinien1 | System | Systemintegrität überwachen auf Erfolg, Fehler konfiguriert ?

Wurden die Parameter für die Ereignisprotokollierung konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Anwendung | Alte Ereignisse beibehalten aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Anwendung | Maximale Protokollgröße (kb) aktiviert und ein Wert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Anwendung | Volles Protokoll automatisch sichern aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-

nenten | Ereignisprotokolldienst | Setup | Alte Ereignisse beibehalten aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Setup | Maximale Protokollgröße (kb) aktiviert und ein Wert konfi-

guriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Setup | Volles Protokoll automatisch sichern aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Sicherheit | Alte Ereignisse beibehalten aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Sicherheit | Maximale Protokollgröße (kb) aktiviert und ein Wert konfiguriert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | Sicherheit | Volles Protokoll automatisch sichern aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | System | Alte Ereignisse beibehalten aktiviert?

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | System | Maximale Protokollgröße (kb) aktiviert und ein Wert kon-

figuriert?





Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows Kompo-nenten | Ereignisprotokolldienst | System | Volles Protokoll automatisch sichern aktiviert?

4.9 Hardware administrieren

Wurde die Verwendung von Wechselmedien reglementiert?

O Wird der Zugriff auf Wechseldatenträger mittels der Gruppenrichtlinien unter Computer-konfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Benutzerdefi-nierte Klassen nur für bestimmte Geräte erlaubt? – oder –

O [hoher Schutzbedarf] Wurde der Zugriff auf Wechselmedien mittels der Gruppenrichtli-nie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff |

Alle Wechselmedienklassen: Jeglichen Zugriff verweigern generell unterbunden?

Wurde die Installation von Gerätetreibern für neu hinzugefügte Hardware verhindert?

O Wurde die Installation von Wechseldatenträgern durch die Gruppenrichtlinie Computer-konfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungenbei der Geräteinstallation | Installation von Wechselgeräten verhindernunterbunden? – oder –

O [hoher Schutzbedarf] Wurde der Dienst Plug&Play-Dienst über Systemsteuerung →Verwaltung → Dienste zur Verhinderung der Erkennung neuer Hardware deaktiviert?

Wurden alle nicht benötigten Schnittstellen im BIOS und unter Systemsteuerung → System →

Geräte-Manager deaktiviert? Wurde die Bluetooth-Schnittstelle deaktiviert?

Wurde die Infrarot-Schnittstelle deaktiviert?

Wurde die Firewire-Schnittstelle deaktiviert?

Wurde die PC-Card-Schnittstelle (PCMCIA) deaktiviert?

4.10 Autostart- und Autorun-Funktionen

Wurde die Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows- Komponenten | Richtlinien für die automatische Wiedergabe | Autoplay deaktivieren aktiviertund auf den Wert Alle Laufwerke konfiguriert?

Befinden sich in den Autorun-Einträgen nur erwünschte Anwendungen?

Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Win-dows \ CurrentVersion \ Run nur erwünschte Anwendungen?

Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Win-

dows \ CurrentVersion \ RunOnce nur erwünschte Anwendungen?





Befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Win-dows \ CurrentVersion \ RunOnceEx nur erwünschte Anwendungen?

Befinden sich im Registry-Schlüssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \CurrentVersion \ Run nur erwünschte Anwendungen?

Befinden sich im Registry-Schlüssel HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \CurrentVersion \ RunOnce nur erwünschte Anwendungen?

Befinden sich in allen Registry-Schlüssel für HKEY_USERS \ SID5 \ Software \ Microsoft \ Win-dows \ CurrentVersion \ Run nur erwünschte Anwendungen?

Befinden sich in den Autostart-Ordnern nur erwünschte Anwendungen?

Befinden sich in allen auf dem PC-Client befindlichen Benutzerordnern %Userprofile% / AppData /Roaming / Microsoft / Windows / Startmenü / Programme / Autostart nur erwünschte

Anwendungen?

Befinden sich im Ordner %SYSTEMDRIVE% / ProgramData / Microsoft / Windows / Start Menü /Programme / Autostart nur erwünschte Anwendungen?

4.11 Ergänzende Ausführungskontrolle

Wurde der Menüeintrag Start → Ausführen mittels Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Startmenü und Taskleiste | Menüeintrag „Ausführen“ aus demMenü „Start“ entfernen ausgeblendet?

Wurde zur Verhinderung der unkontrollierten Dateiausführung über den Windows-Explorer das Ausblenden von Dateiergänzungsnamen über Systemsteuerung → Darstellung und Anpas-

sung → Ordneroptionen → Ansicht durch Entfernen der Auswahlmarkierung für die Option Erweiterungen bei bekannten Dateien ausblenden so konfiguriert, dass nunmehr die Dateier-weiterungen angezeigt werden?

Wurde zur Verhinderung der Ausführung von Wechselmedien die Gruppenrichtlinie Compu-terkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff | Wechseldaten-träger: Ausführungszugriff verweigern aktiviert?

Die folgenden Kontrollfragen werden bei der ausschließlichen Verwendung einer Whitelist auf Computerebene zur Ausführungskontrolle angewendet.

Wurde die Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen | Sicherheits-einstellungen | Richtlinien für die Softwareeinschränkungen | Sicherheitsstufen | Die Softwarewird trotz der Berechtigung des Benutzers nicht ausgeführt zum Standard erklärt?

Sind die Registrierungspfadregeln für den Standardzugriff auf das Systemverzeichnis (%Sys-temroot%) und das Programmverzeichnis (%ProgramData%) mittels der GruppenrichtlinieComputerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für die Softwareeinschränkungen | zusätzliche Regeln vorhanden und die Sicherheitsstufe auf

Nicht eingeschränkt konfiguriert?

5 Mit SID sind alle Benutzer unterhalb HKEY_USER spezifiziert.





Wurden die erlaubten Anwendungen über Regeln mittels der Gruppenrichtlinie Computerkon- figuration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für die Softwareein- schränkungen | zusätzliche Regeln konfiguriert?

Wurde der Selbstausschluss der Administratoren durch Setzen der Gruppenrichtlinie Com- puterkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Richtlinien für Soft-wareeinschränkungen | Erzwingen auf Alle Benutzer außer den lokalen Administratorenverhindert?

Die folgenden Kontrollfragen werden bei Verwendung einer Blacklist zur Ausführungskontrolleverwendet.

Wurden Anwendungen mittels der Gruppenrichtlinie Benutzerkonfiguration | AdministrativeVorlagen | System | Angegebene Windowsanwendungen nicht ausführen von der Ausführungausgeschlossen?

[hoher Schutzbedarf] Wurde die Ausführung von Code über die HTML Help Executabledurch die Aufnahme der Anwendung HH.EXE in die Blacklist verhindert?

Die folgenden Fragen werden bei der ausschließlichen Verwendung der Windows eigenen Anwen-dung AppLocker zur Ausführungskontrolle angewendet.

Wurde der Dienst Anwendungsidentität in seiner Ausführung nicht reglementiert?

Wurden ausführbare Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Ein- stellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Aus- führbare Regeln konfiguriert?

Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen |

Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Ausführbare Regeln und das über die rechte Maustaste erreichbare Kontextmenü sowie Auswahl von Standardregeln erstellendie Standardregeln für ausführbare Regeln generiert?

Wurden zusätzliche Regeln generiert, diese Benutzergruppen zugeordnet und die Regel als Regeler- zwingung für ausführbare Regel konfiguriert?

Wurde für die Standardregel Alle Dateien im Ordner Windows eine Ausführungsverhinderung für Dateien aus dem Ordner %Systemroot%\winsxs unter Ausnahmen generiert und somit die Ausfüh-rung von Anwendungen aus dem Ordner Winsxs verhindert?

Wurden Windows Installer-Regeln mittels Gruppenrichtlinie Computerkonfiguration | Win-

dows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Installer-Regeln konfiguriert?

Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen |Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Windows Installer-Regelnund das über die rechte Maustaste erreichbare Kontextmenü sowie Auswahl von Standardregelnerstellen die Standardregeln für Windows Installer-Regeln generiert?

Wurde die Standardregel Alle digital signierten Windows Installer Dateien der BenutzergruppeBenutzer zugewiesen, die Regel als verweigert definiert und die Regelerzwingung für Windows

Installer-Regeln konfiguriert?





Wurde die Standardregel Alle Windows-Installer Dateien unter %systemdrive%\Windows\Installer der Benutzergruppe Benutzer zugewiesen, die Regel als verweigert definiert und die Regelerzwin-

gung für Windows Installer-Regeln konfiguriert?

Wurde die Standardregel Alle Windows-Installer Dateien für die Benutzergruppe Administratorenunverändert übernommen?

Wurden Scriptregeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstellun- gen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Scriptregelnkonfiguriert?

Wurden durch Auswahl der Gruppenrichtlinie Computerkonfiguration | Windows Einstellungen |Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Scriptregeln und das über die rechte Maustaste erreichbare Kontextmenü sowie Auswahl von Standardregeln erstellen die Stan-dardregeln für Scriptregeln generiert?

Wurde die Standardregel Alle Scripts im Ordner „Programme“ der Benutzergruppe Benutzer zuge-wiesen, die Regel als verweigert definiert und die Regelerzwingung für Scriptregeln konfiguriert?

Wurde die Standardregel Alle Scripts im Ordner „Windows“ der Benutzergruppe Benutzer zuge-wiesen, die Regel als verweigert definiert und die Regelerzwingung für Scriptregeln konfiguriert?

Wurde die Standardregel Alle Scripts für die Benutzergruppe Administratoren unverändert über-nommen?

Wurden die DLL-Regeln mittels Gruppenrichtlinie Computerkonfiguration | Windows Einstel-lungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | DLL-Re-

geln konfiguriert?

Wurde die Ausführung von DLL-Regeln über die Gruppenrichtlinie Computerkonfiguration | Win-dows Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker |

Regelerzwingung konfigurieren | Erweitert | DLL-Regelsammlung aktivieren zugelassen?

Wurden durch Auswahl von Computerkonfiguration | Windows Einstellungen | Sicherheitseinstel-lungen | Anwendungssteuerungsrichtlinien | AppLocker | DLL-Regeln sowie das über die rechteMaustaste erreichbare Kontextmenü und Auswahl von Standardregeln erstellen die Standardregeln

für DLL-Regeln generiert?

Wurden zusätzliche Regeln generiert, diese Benutzergruppen zugeordnet und als Regelerzwingung für DLL-Regeln konfiguriert?

Wurde die Standardregel Alle DLLs für die Benutzergruppe Administratoren unverändert übernom-men?

4.12 Speicherschutzmechanismen

Wurde die Datenausführungsverhinderung (DEP) für alle Anwendungen aktiviert?

O Wurde die Datenausführungsverhinderung über Systemsteuerung → System → ErweiterteSystemeinstellungen → Erweitert → Einstellungen → Datenausführungsverhinderung der Parameter Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahmeder Ausgewählten einschalten aktiviert? – oder –





O Wurde unter Verwendung der Windows-Anwendung BCDEDIT.EXE die Aktivierung der Datenausführungsverhinderung über Kommandozeilenaufforderung mittelsbcdedit /set nx OptOut durchgeführt?

4.13 An- und Abmelden durch den Benutzer

Wurde für eine sichere Benutzeranmeldung die Gruppenrichtlinie Computerkonfiguration |Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen |

Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen aktiviert und somit die Anzeigedes letzten angemeldeten Benutzers verhindert?

Wurde die Übernahme einer nicht ordnungsgemäß beendeten Sitzung durch Dritte mittelsKonfiguration des Bildschirmschoners reglementiert?

Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung |Anpassung | Ändern des Bildschirmschoners verhindern aktiviert?

[Optional] Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System-steuerung | Anpassung | Bestimmten Bildschirmschoner erzwingen aktiviert und ein Dateiname einesverfügbaren Bildschirmschoners vergeben?

Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung |Anpassung | Bildschirmschoner aktivieren aktiviert?

Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung |Anpassung | Kennwortschutz für den Bildschirmschoner verwenden aktiviert?

Wurde die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | Systemsteuerung |Anpassung | Zeitlimit für den Bildschirmschoner aktiviert und ein Wert von 900 (Wert in Sekunden)konfiguriert?

Wurde die Kennworteingabe bei Reaktivierung aus dem Ruhezustand bzw. Standbymodusmittels Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Energie-verwaltung | Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Standby-modus aktiviert?





5 Betrieb

Im Betrieb sind bei Windows 7 Enterprise die gleichen Dinge zu beachten wie bei anderenBetriebssystemen. Aus diesem Grund sind lediglich die Anforderungen der allgemeinen Checklistezur Absicherung eines PC-Clients zu beachten.





6 Literaturverzeichnis

[ISi-Client] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standards zur Internet-Sicherheit: Absicherung eines PC-Clients, 2010

[ITGSK] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutzkataloge, Stand 2010

[ISi-LANA] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standards zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an dasInternet, 2007

[ISi-E] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standards zur Internet-Sicherheit: Einführung, Grundlagen,

Vorgehensweise; 2011

[ISi-Web-Client] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standards zur Internet-Sicherheit: Sichere Nutzung von Web-Angeboten,2008

[[ISi-Mail-Client] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standards zur Internet-Sicherheit: Sichere Nutzung von E-Mail, 2009


Documents

Isi Client Checkliste Windows-7