Zum InhaltLandesbeauftragter für den Datenschutz Bremen
 
Sie befinden sich hier: >> Technik >> Windows NT >> Checkliste

Datenschutz bei Windows NT.

Checkliste zur Prüfung von Windows NT

Die folgenden Fragen bilden eine Zusammenfassung und dienen als Hilfestellung bei der Prüfung und Bewertung von NT-Systemen.

Bootschutz-Massnahmen

NT-Installation

NT-Administration

Remote Access Service (RAS)

Internetzugang

System Management Service (SMS)

Bootschutz-Massnahmen

  • Wird das Laden eines anderen Betriebssystems durch entsprechende BIOS-Einträge verhindert?
  • Können die BIOS-Einträge nur nach erfolgreicher Eingabe eines BIOS-Passworts geändert werden?
  • Wird das unbefugte Öffnen des Gerätes durch ein Gehäuseschloss verhindert?

Zum Seitenanfang

NT-Installation

  • Ist NTFS als Dateisystem installiert?
  • Wird das NT-Netz als Domäne betrieben?
  • Sind Mail-Server in einer eigenen Domäne untergebracht?
  • Existieren Vertrauensbeziehungen zwischen fremden Domänen, in denen sensible personenbezogene Daten verarbeitet werden?
  • Stehen den Benutzern Disketten- oder CD-ROM-Laufwerke zur Verfügung?
  • Steht elektronische Post internetweit bzw. intranetweit am Arbeitsplatz zur Verfügung?
  • Steht Web-Zugriff internetweit bzw. intranetweit am Arbeitsplatz zur Verfügung?
  • Kann der NT-Server nur von hierfür authorisierten Benutzern heruntergefahren werden?
  • Wird der Zugriff auf Systemressourcen durch den Systemrichtlinien-Editor (poledit) eingeschränkt?
  • Werden im Client-Server-Netzwerk sensible personenbezogene Daten lokal gespeichert?

Zum Seitenanfang

NT-Administration

  • Beträgt die Mindestlänge der Passwörter 6 Zeichen?
  • Beträgt die Gültigkeitsdauer der Passwörter maximal 90 Tage?
  • Enthalten die Passwörter Sonderzeichen?
  • Werden neue Passwörter mit den letzten 5 zurückliegenden Passwörtern verglichen?
  • Haben Benutzer Leserechte auf die Kopie der SAM-Datei im Verzeichnis winnt\repair?
  • Wird das Programm Syskey zur zusätzlichen Verschlüsselung der SAM-Datei ein-gesetzt?
  • Ist die Administratorkennung umbenannt worden?
  • Ist die Gast-Kennung deaktiviert worden?
  • Sind die Posix- und OS/2-Subsysteme gelöscht worden?
  • Ist der Zugriff auf die Registry-Editoren regedt32.exe und regedit.exe für Benutzer gesperrt?
  • Können Kennungen mit privilegierten Systemverwalterrechten nur von bestimmten Arbeitsplätzen aus aufgerufen werden?
  • Können Kennungen, mit denen auf sensible personenbezogene Daten zugegriffen werden kann, nur von bestimmten Arbeitsplätzen aus aufgerufen werden?
  • Welche Ereignisse werden protokolliert?
    • fehlerhaftes An- und Abmelden
    • fehlerhafte Dateizugriffe
    • fehlerhafte Verwendung von Benutzerrechten
    • erfolgreiche und fehlerhafte Aktivitäten der Benutzer- und Gruppenverwaltung
    • erfolgreiche und fehlerhafte Änderungen der Sicherheitsrichtlinien
    • erfolgreiches und fehlerhaftes Neustarten und Herunterfahren des Servers
    • sämtliche Remote-Zugriffe
    • Zugriffe auf die Server-Registry
    • Zugriffe auf Unterverzeichnisse bzw. Dateien, in denen sensible Dokumente gespeichert sind

  • Werden die Systemprotokolle unter einer eigens hierfür eingerichteten Revisorkennung ausgewertet?
  • Welche Systemverwalterkennungen sind eingerichtet worden und werden auch benutzt?

    • Domain-Administratoren
    • Abteilungsadministratoren (Eigentümer von Inhaltsverzeichnissen und Dateien)
    • Sicherungs- und Replikations-Operatoren Revisoren

  • Ist den Domain-Administratoren der Zugriff auf sensible Daten entzogen worden?

Zum Seitenanfang

Remote Access Service (RAS)

  • Erfolgt ein Remote-Zugriff auf die Administratorkennung?
  • Erfolgt der Verbindungsaufbau per CHAP-Verfahren?
  • Wird die RAS-Verbindung verschlüsselt?
  • Ist der Remote-Zugriff nur über bestimmte Endgeräten erlaubt?
  • Erfolgt der Remote-Zugriff über den RAS-Server hinaus auch auf andere Rechner?
  • Wird er Remote-Zugriff protokolliert?

Zum Seitenanfang

Internetzugang

  • Kann während der Nutzung von elektronischer Post auf sensible personenbezogene Daten zugegriffen werden?
  • Erfolgt die Nutzung von elektronischer Post unter einer eigenen Benutzerkennung?
  • Kann während der Internetnutzung auf sensible personenbezogene Daten zugegriffen werden?
  • Erfolgt der Internetzugang unter einer eigenen Benutzerkennung?
  • Werden TCP/IP-Ports für einzelne IP-Adressen durch Router oder Firewall gefil-tert?
  • Werden TCP/IP-Ports für einzelne Benutzer durch Router oder Firewall gefiltert?

Zum Seitenanfang

System Management Service (SMS)

  • Muss der Remote-Zugriff auf den Arbeitsplatz-PC explizit durch den Benutzer freigegeben werden?
  • Wird der Remote-Zugriff auf den Arbeitsplatz-PC deutlich erkennbar angezeigt?
  • Hat der Software-Installierer Zugriff auf den Installations-Ordner?
  • Sind die Programme des Package-Control-Managers installiert?

Zurück zur Übersicht Windows NT

Zum Seitenanfang

Zur Seitennavigation

 Startseite 
 LfDI 
 Sicherheit 
 Kontakt 
 Übersicht 
 Suchen  
 Impressum