Zum InhaltLandesbeauftragter für den Datenschutz Bremen
 
Sie befinden sich hier: >> Technik >> Windows NT >> Rahmenbedingungen

Datenschutz bei Windows NT.

Rahmenbedingungen einer sicheren NT-Installation

In diesem Kapitel wird auf Sicherheitsmechanismen eingegangen, die bereits sehr frühzeitig bei der Erstinstallation und Anfangskonfiguration von NT-Systemen beachtet werden sollten und die zu einem späteren Zeitpunkt nur umständlich zu korrigieren sind. Insbesondere sollten folgende Fragen beantwortet werden:

  • Welches Dateiformat soll benutzt werden?
  • Welches Domänenmodell (Ein-Dömänen- oder Master-Domänen-Modell) kommt für die Organisation in Frage?
  • Welche Programme bzw. Anwendungen sollen lokal oder zentral installiert werden?
  • Sollen die personenbezogenen Daten lokal oder ausschliesslich zentral abgelegt werden?

NTFS-Dateisystem

Domainstruktur

Lokale und globale Benutzergruppen

Eingeschränkter Zugriff auf Systemressourcen

Lokale versus zentrale Datenspeicherung


NTFS-Dateisystem

Ein wesentlicher Baustein innerhalb der NT-Sicherheitsarchitektur ist das Dateisystem. Windows NT ermöglicht die Arbeit mit drei verschiedenen Dateisystemen:

  • FAT ist das von MS-DOS übernommene Dateisystem. Dieser Kompatibilitäsvorteil stellt sich jedoch insofern als grosser Nachteil dar, als FAT-formatierte Datenträger aufgrund fehlender Dateiattribute ohne Zugriffsbeschränkung gelesen und verändert werden können.

  • HPFS ist das für das Betriebssystem OS/2 ab Version 1.2 entwickelte Dateisystem. Es weist zwar eini-ge Verbesserungen gegenüber dem Dateisystem FAT auf, bietet jedoch keine wesentlichen Sicherheitsvorteile gegenüber dem FAT-Dateisystem.

  • NTFS wurde speziell für Windows NT entwickelt. Neben längeren Dateinamen und einem schnelleren Zugriff auf grosse Dateien unterscheidet sich NTFS von den anderen Formaten vor allem durch die erweiterten Dateiattribute, mit denen die Zugriffsrechte individuell bis auf die Dateiebene gesteuert werden können. Ein datenschutzkonformer Betrieb kann folglich nur garantiert werden, wenn bei der Einrichtung eines NT-Systems das NTFS-Dateisystem benutzt wird.

Zum Seitenanfang


Domainstruktur

Domänen bilden die grundlegende Einheit beim Betrieb von NT-Netzen. Das Zusammenfassen von NT-Servern zu Domänen ist sowohl für Netzwerkadministratoren als auch für Benutzer vorteilhaft. Für jede Domäne wird eine gemeinsame Datenbank mit Benutzerkonten, Gruppenkonten und Sicherheitseinstellungen erstellt. Der Administrator muss innerhalb einer Domäne für jeden Benutzer nur ein Benutzerkonto verwalten, einzelne Server-Konten werden dadurch vermieden.

In einem Netzwerk können mehrere Domänen voneinander unabhängig oder durch Vertrauensbeziehungen mit einander verknüpft installiert werden. Durch Vertrauensbeziehungen lässt sich in einem Netzwerk mit vielen Domänen ein Duplizieren der Benutzerkonten vermeiden und das Risiko uneinheitlicher Kontoinformationen verringern. Gleichzeitig besteht jedoch die Gefahr, dass der Überblick über Berechtigungen sowohl für globale Gruppen als auch für einzelne Benutzer bei vielfältigen Vertrauensbeziehungen verloren geht.

Die Auswahl des Domänenmodells sollte bei der Planung eines NT-Netzes getroffen werden. Dabei sind unterschiedliche Domänen-Modelle denkbar.

  1. Ein-Domänen-Modell: Beim Ein-Domänen-Modell ist nur eine einzelne Domäne vorhanden; es bestehen keine Vertrauensbeziehungen zu anderen Domänen. Sämtliche Benutzer melden sich nur innerhalb dieser Domäne an. Das Ein-Domänen-Modell ist geeignet für kleine bis mittelgrosse Netze. Es ist dadurch gekennzeichnet, dass alle Benutzerdaten zentral verwaltet werden. In grossen Netzen stößt dieses Modell an technische und organisatorische Grenzen. Wenn zahlreiche Benutzer und Rechner in einer einzigen Domäne verwaltet werden, besteht das Risiko einer Fehladministration aufgrund zunehmender Unübersichtlichkeit.

  2. Master-Domänen-Modell: Beim Modell der Master-Domäne existieren mehrere Domänen, die sämtlich der sogenannten Master-Domäne vertrauen, die aber ihrerseits keiner der übrigen Domänen vertraut. Das Master-Domänen-Modell ermöglicht es, mehrere Domänen unabhängig voneinander einzurichten, sie jedoch zentral zu verwalten. Fachabteilungen haben in der Regel ausschließlichen Zugriff auf ihre eigenen Ressourcen; die Benutzerkonten müssen jedoch nur einmal in der Master-Domäne definiert werden. Um im Falle einer Fehlfunktion des Primary-Domain-Controler (PDC) die Funktionsfähigkeit des Netzes gewährleisten zu können, sollte beim Modell der Master-Domäne zumindest ein Backup-Domain-Controler (BDC) eingerichtet sein.

  3. Mehrfach-Master-Domänen: Bei diesem Modell werden mehrere Master-Domänen eingerichtet, die sich unter-einander vertrauen. Alle anderen Domänen vertrauen diesen Master-Domänen, allerdings vertraut in umgekehrter Richtung keine der Master-Domänen den restlichen Teildomänen. Das Mehrfach-Master-Domänenmodell wird häufig von grossen Unternehmen gewählt, um die Benutzerverwaltung in einer kleinen Anzahl von Masterdomänen, die als Kontendomänen fungieren, zu konzentrieren. Die eigentlichen NT-Ressourcen werden von Domänen verwaltet, die sich unterhalb dieser Master-Domänen befinden.

  4. Vollständiges Vertrauens-Modell: Alle Domänen vertrauen sich vollständig untereinander. Es existiert keine Master-Domäne, die die Benutzerverwaltung für alle anderen Domänen zentral übernimmt; die Verwaltung der Benutzer verteilt sich auf viele Domänen. Dieses Modell ist allerdings schwierig zu verwalten, sobald viele Domänen eingerichtet werden müssen, so dass das Modell aufgrund der Anzahl von Vertrauensstellungen für Grossunternehmen ungeeignet ist. Das vollständige Vertrauens-Modell lässt sich nur dann sicher administrieren, wenn wenige Netzwerk-Domänen existieren.


Neben der domänenorientierten Vernetzung auf Client-Server-Basis können unter Windows NT auch serverlose Peer-to-Peer-Netzwerke gebildet werden. Innerhalb einer solchen Arbeitsgruppe verwaltet jeder Computer seine eigenen Benutzer- und Gruppenkonten bzw. seine eigenen Sicherheitsrichtlinien und Datenbanken für Sicherkeitskonten; diese sind nicht für andere Computer freigegeben. Gegenüber anderen Rechnern der Arbeitsgruppe muss sich der Benutzer daher immer mit seiner NT-Kennung und seinem Passwort anmelden. Es findet kein Austausch der Authentisierungsinformationen zwischen den jeweiligen Rechnern statt. Arbeitsgruppen sind deshalb nur für kleine Gruppen von Computern mit relativ wenigen Benutzerkonten ohne zentrale Netzwerkverwaltung zu empfehlen.

NT-Netze, in denen sensible personenbezogene Daten verarbeitet werden, sollten möglichst nur als Domäne betrieben werden. Mail-Server sind von dieser Produktionsdomäne getrennt in einer eigenen Domäne unterzubringen. In einem solchen Domänenmodell können die Mail-Server der Produktionsdomäne zur Verwaltung der Anmeldekonten vertrauen, nicht jedoch umgekehrt. NT-Domänen, in denen sensible personenbezogene Daten verarbeitet werden, sollten möglichst nicht Domänen anderer Stellen vertrauen.

Zum Seitenanfang

Lokale und globale Benutzergruppen

Jede Person, die auf Ressourcen einer Domäne zugreifen möchte, benötigt ein Benutzerkonto in der Domäne des Netzwerkes. Zur Vereinfachung und übersichtlicheren Gestaltung der Netzwerkverwaltung sollten vom Administrator Benutzergruppen für solche Benutzer eingerichtet werden, die Anwendungsprogramme gemeinsam benutzen, ähnliche Aufgaben ausführen oder ähnliche Informationen benötigen. Die Rechte für die einzelnen Benutzer, die Mitglied in der Gruppe sind, müssen dann nur einmal pro Gruppe vergeben und gepflegt werden. Es empfiehlt sich, den einzelnen Gruppen separate Verzeichnisbereiche zuzuweisen. Ein Benutzer kann dabei auch Mitglied mehrerer Gruppen sein.

Bei Benutzergruppen unterscheidet man zwischen lokalen und globalen Gruppen. Eine lokale Gruppe steht nur auf dem jeweiligen PC zur Verfügung, auf dem sie eingerichtet wurde, während eine globale Gruppe in der eigenen und allen vertrauenden Domänen verfügbar ist. Eine globale Gruppe enthält lediglich einzelne Benutzerkonten, keine weiteren Gruppen aus der jeweiligen Domäne, in der sie eingerichtet wurde. Eine lokale Gruppe umfasst dagegen eine Anzahl von Benutzern und globalen Gruppen aus einer oder mehreren Domänen, die unter einem Gruppennamen zusammengefasst werden. Der Gruppe können nur Rechte und Privilegien innerhalb der eigenen Domäne zugewiesen werden.

Zum Seitenanfang

Eingeschränkter Zugriff auf Systemressourcen

Sofern sensible personenbezogene Daten verarbeitet werden, sollte der Benutzer möglichst nur diejenigen Anwendungen aufrufen bzw. Systemressourcen nutzen können, die zur eigentlichen Aufgabe benötigt werden. Ansonsten besteht die Gefahr, dass Software per Diskette oder CD-ROM oder per elektronischer Post nachgeladen und aufgerufen wird, mit deren Hilfe Sicherheitsmechanismen direkt oder indirekt unterlaufen werden können.

Die Forderung nach Sperrung nicht benötigter Arbeitsmittel sollte zwar nicht dazu führen, dass der PC nur noch sehr restriktiv genutzt werden kann und kaum mehr als flexibles Arbeitsmittel zur Verfügung steht. Umgekehrt darf das durchaus berechtigte Interesse eines jeden Beschäftigten, unabhängig vom konkreten Anwendungsbedarf elektronische Post und Internetzugang nutzen zu können, jedoch nicht zur Folge haben, dass ein derartiger Infrasturkturansatz mit allen damit verbundenen Sicherheitsrisiken sorglos an jedem Arbeitsplatz umgesetzt wird.

Die Frage, welche Arbeitsmittel zur Verfügung gestellt werden, sollte daher für jede Anwendung problembewusst entschieden werden. Dabei muss auch dem PC-Benutzer mehr Verantwortung hinsichtlich lokaler Sicherheit übertragen werden. Inwieweit dies möglich ist, kann allerdings nicht anwendungsübergreifend durch Standardlösungen vorgegeben werden.

Systemressourcen können auf Hardware- bzw. BIOS-Ebene oder auf NT-Ebene ein-geschränkt werden. Disketten- und CD-ROM-Laufwerke lassen sich im Registry-Teilschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ Winlogon sperren, indem die Werte AllocateFloppies bzw. AllocateCDRoms auf den DWORD-Wert 1 gesetzt werden. Das Deaktivieren ist jedoch nur für den gesamten Rechner möglich, nicht differenziert für einzelne Benutzer, so dass der Systemadministrator erst die entsprechenden Registry-Einträge zurücksetzen muss, wenn er über das CD-ROM-Laufwerk Software installieren will.

Ebenfalls im Registry-Teilschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon sollte die Möglichkeit eingeschränkt werden, NT-Server zu beenden. Sofern der Wert ShutdownWithoutLogon auf den Wert 1 gesetzt ist, kann das System nur von hierfür authorisierten Benutzern heruntergefahren werden.

NT-seitig kann der netzweite Zugriff auf Systemressourcen auch durch den Systemrichtlinien-Editor poledit definiert und eingeschränkt werden; dies gilt insbesondere für

  • den Zugriff auf die Systemsteuerung,
  • die Gestaltungsmöglichkeiten der Arbeitsumgebung,
  • bestimmte Teile der Netzwerkeinstellungen,
  • bestimmte Teile der Desktop-Anpassung,
  • den Zugriff auf Programme bzw. Anwendungen.

Die Arbeitsumgebung eines Benutzers sollte bei Anwendungen mit sensiblen personenbezogenen Daten derart einschränkt werden, dass dieser keinen Zugriff auf die Eingabeaufforderung Ausführen hat, sondern nur Zugriff auf bestimmte Anwendungen. Die Systemrichtlinie muss im Verzeichnis WINNT\SYSTEM32\REPL\IMPORT\ SCRIPTS unter dem Namen NTCONFIG.POL abgelegt werden.

Diese Richtlinien können auf den Standardbenutzer, einzelne Benutzer oder ganze Benutzergruppen angewandt werden. Ebenso können Richtlinien für den Standardcomputer oder für einzelne, mit einem Namen versehene Computer erzeugt werden. Die Standardcomputer-Einstellungen werden angewandt, wenn sich ein neuer Benutzer auf einem Rechner anmeldet, dem keine individuellen Richtlinien zugewiesen wurden.

Zum Seitenanfang

Lokale versus zentrale Datenspeicherung

Personenbezogene Daten sind auf einer räumlich ungesicherten NT-Workstation in der Regel nicht so sicher aufgehoben wie auf einem NT-Server, der in einem verschlossenen Raum untergebracht ist. Lokale Festplatten oder der gesamte Arbeitsplatz-PC können entwendet und die darauf hinterlegten Daten - sofern sie unver-schlüsselt gespeichert sind - von Aussenstehenden ausgelesen werden. Auch kann aufgrund der begrenzten Sicherheitsmechanismen, die auf BIOS-Ebene zur Verfügung stehen, ein Laden anderer Betriebssysteme und das Umgehen der Zugriffsbeschränkungen vor Ort nicht ausgeschlossen werden (siehe auch Boot-Schutz).

Angesichts dieser Risiken, sollten sensible personenbezogene Daten - sofern ein Client-Server-Netzwerk zur Verfügung steht - nicht lokal auf einem Arbeitsplatz-PC gespeichert werden. Die Daten sollten stattdessen auf einem NT-Server hinterlegt sein, der durch geeignete räumliche Sicherheitsmassnahmen vor fremdem Zugang geschützt ist. Bei unvernetzten Arbeitsplatz-PC sollte zusätzlich zu Windows NT geeignete Sicherheitssoftware eingesetzt werden, die es u.a. ermöglicht, die sensiblen personenbezogenen Daten lokal zu verschlüsseln.

Zurück zur Übersicht Windows NT

Zum Seitenanfang

Zur Seitennavigation

 Startseite 
 LfDI 
 Sicherheit 
 Kontakt 
 Übersicht 
 Suchen  
 Impressum