BDD 2007: Sicherheit – Handbuch für das Feature-Team

Entwicklung

Veröffentlicht: 30. Nov 2006

Abbildung 7 zeigt die Hauptentwicklungsaktivitäten während der Entwicklungsphase. Ein Großteil dieser Aktivitäten umfasst das Überprüfen der spezifischen Einstellungen in den Sicherheitsdateien, deren Implementierung in Builds und das Analysieren der Ergebnisse.

Abbildung 7: Aktivitäten während der Entwicklungsphase
Auf dieser Seite

Rollen und Verantwortlichkeiten Rollen und Verantwortlichkeiten
Entwickeln von Sicherheitseinstellungen Entwickeln von Sicherheitseinstellungen
Definieren von Sicherheitseinstellungen Definieren von Sicherheitseinstellungen
Konfigurieren der Windows-Firewall Konfigurieren der Windows-Firewall
Sicherheitsanpassung von Internet Explorer und Installation Sicherheitsanpassung von Internet Explorer und Installation
Meilenstein: Bereitstellungsumgebung initiiert Meilenstein: Bereitstellungsumgebung initiiert

Rollen und Verantwortlichkeiten

Beachten Sie zusätzlich zu den Aufgaben, die in der folgenden Prozessbeschreibung definiert sind, die folgenden Verantwortlichkeiten, die den Rollenclustern zugeordnet sind. In Tabelle 4 werden die Schwerpunktbereiche für die verschiedenen Rollencluster während dieser Phase definiert.

Tabelle 4: Rollen und Verantwortlichkeiten während der Entwicklungsphase

Rolle

Schwerpunkt

Produktmanagement

  • Verwalten von Kundenerwartungen

Programm-Management

  • Verwalten der funktionalen Spezifikation

  • Verwalten des Projekts, Aktualisieren von Plänen

Entwicklung

  • Überprüfen und Anwenden von GPOs

  • Konfigurieren der Windows-Firewall

Testen

  • Funktionstests

  • Problemerkennung

  • Dokumentationsprüfung

Benutzerfreundlichkeit

  • Schulung, Benutzerfreundlichkeitstest

Release Management

  • Erstellen der Bereitstellungsserver, Bereitstellungschecklisten und aktualisierten Pilotpläne

  • Checklisten für die Standortvorbereitung

  • Betriebspläne

Entwickeln von Sicherheitseinstellungen

In der Entwicklungsphase kann das SicherheitsFeature-Team Probleme mit Sicherheitseinstellungen entdecken, die das Team in der Planungsphase nicht vorausgeahnt hat. Zunächst einmal ist es durchaus möglich, dass wichtige Sicherheitseinstellungen übersehen wurden, die zu Sicherheitsrisiken führen könnten. Zweitens schränken Berechtigungen oft zu sehr ein, um ein ordnungsgemäßes Ausführen von Anwendungen zu ermöglichen. In den folgenden Abschnitten werden Verfahren zum Erkennen von Sicherheitsrisiken bereitgestellt, die in der Planungsphase nicht identifiziert oder behandelt wurden. Außerdem werden Verfahren zum Beheben von Problemen bei Anwendungen beschrieben, die aufgrund fehlender Benutzerberechtigungen nicht ordnungsgemäß ausgeführt werden können.

Erkennen potenzieller Sicherheitsrisiken

Unternehmen, die die Clientsicherheit sorgfältig analysieren, müssen u. U. Hunderte verschiedener Konfigurationseinstellungen bewerten. Aufgrund menschlicher Fehlleistungen ist es äußerst wahrscheinlich, dass eine oder mehrere der Einstellungen, die in der Planungsphase angegeben wurden, verloren gehen, wenn in der Entwicklungsphase Testclientcomputer bereitgestellt werden. Erfreulicherweise können automatisierte Sicherheitsscantools Einstellungen erkennen, die u. U. entweder in der Planungsphase oder in der Entwicklungsphase übersehen wurden.

MBSA ist ein solches Scantool. Es wird von Microsoft unter http://www.microsoft.com/technet/security/tools/mbsahome.mspx gratis zur Verfügung gestellt. Wie in Abbildung 8 zu sehen ist, kann MBSA Client- und Servercomputer auf potenzielle Sicherheitsrisiken und fehlende Sicherheitsupdates hin untersuchen.

Abbildung 8: MBSA scannt auf Sicherheitsrisiken

Zusätzlich zum Scannen des Betriebssystems des Basisclients scannt MBSA 2.0 die folgenden optionalen Komponenten und Clientanwendungen auf potenziell anfällige Konfigurationen:

  • IIS

  • Microsoft SQL Server™

  • Internet Explorer 5.01 oder höher

  • Microsoft Office 2003, Office XP und Office 2000

  • Microsoft Data Access Components (MDAC)

  • Microsoft VM

  • Microsoft Extensible Markup Language (MSXML)

Auf den gescannten Computern müssen der Remoteregistrierungsdienst und die Serverdienste ausgeführt werden. Wenn das SicherheitsFeature-Team diese Dienste deaktiviert hat, um die Angriffsfläche des Computers zu verringern, oder wenn eine Firewall die Netzwerkkommunikation blockiert, versagt MBSA. Teammitglieder müssen Computer dann entweder lokal scannen oder ein anderes Verfahren zum Erkennen von Sicherheitsrisiken finden. Weitere Informationen zu MBSA finden Sie unter http://www.microsoft.com/technet/security/tools/mbsahome.mspx.

Beheben von Problemen durch übermäßig einschränkende Berechtigungen

Umgebungen, die Benutzerberechtigungen einschränken, haben häufig Probleme beim Ausführen einiger Anwendungen, insbesondere Legacyanwendungen. Diese Probleme treten häufig auf, weil Anwendungsentwickler ihre Anwendungen nur testen, während sie als Mitglieder der Administratorengruppe angemeldet sind. In der Regel benötigen Benutzer keine vollständigen Administratorrechte. Stattdessen benötigen sie im Allgemeinen nur ein paar Dateiberechtigungen, Registrierungsberechtigungen und einige zusätzliche Benutzerrechte zu jenen, die Mitgliedern der Benutzergruppe in der Regel gewährt werden.

Um zu identifizieren, welche Berechtigungen Benutzer benötigen, um eine bestimmte Anwendung auszuführen, aktivieren Sie die Sicherheitsüberwachung, und zeigen Sie dann das Sicherheitsereignisprotokoll an. Führen Sie das Verfahren in Abbildung 9 aus, um Berechtigungsprobleme bei der Verwendung eingeschränkter Benutzerkonten zu identifizieren und zu umgehen.

Abbildung 9: Problembehebung bei Anwendungsberechtigungen

Abbildung 9: Problembehebung bei Anwendungsberechtigungen

Wenn Mitglieder des SicherheitsFeature-Teams gezwungen sind, Benutzerberechtigungen zu ändern, um ein Problem mit übermäßig einschränkenden Berechtigungen zu beheben, müssen sie abschätzen, ob die angepassten Berechtigungen noch die Sicherheitsanforderungen des Unternehmens erfüllen. Identifizieren Sie ggf. eine alternative Möglichkeit, um das Risiko zu verringern, das die Implementierung der einschränkenden Berechtigung ursprünglich erforderlich machte.

Definieren von Sicherheitseinstellungen

Beginnen Sie beim Implementieren von während der Planungsphase ausgewählten Sicherheitseinstellungen mit den Standardeinstellungen des Betriebssystems in der Abbilddatei, und wenden Sie dann eine der Sicherheitsvorlagen an, die im Betriebssystem enthalten sind. Teammitglieder können diese Einstellungen mithilfe der lokalen Gruppenrichtlinie direkt auf das Abbild anwenden, oder sie können die Sicherheitsvorlagen in GPOs importieren, die mit Active Directory verknüpft sind.

Teammitglieder können Sicherheitsvorlagen jedoch nicht dazu verwenden, alle Sicherheitseinstellungen zu konfigurieren, die auf Clientplattformen angegeben sein müssen. Verbessern Sie die Einstellungen in den Sicherheitsvorlagen mithilfe von Gruppenrichtlinieneinstellungen. Außerdem müssen Teammitglieder u. U. mithilfe von Registrierungseinstellungen die Abbilddateien des Betriebssystems konfigurieren. Unter Umständen haben Anwendungen auch eindeutige Konfigurationsanforderungen. Beispielsweise werden Anwendungen in der Regel auf der Basis von Microsoft .NET Framework konfiguriert, indem XML-Dateien bearbeitet werden. Erörtern Sie mit dem Softwareanbieter oder dem Anwendungsentwickler die beste Möglichkeit für die Konfiguration einzelner Anwendungen.

Allgemeine Informationen zu

Konfigurieren der Windows-Firewall

Gruppenrichtlinien sind die bevorzugte Methode zum Konfigurieren der Windows-Firewall. Es gibt jedoch Situationen, in denen diese Methode nicht eingesetzt werden kann oder nicht verwendet wird. Wenn Gruppenrichtlinien nicht eingesetzt werden können oder nicht verwendet werden, stehen die folgenden Optionen zum Konfigurieren der Einstellungen für die Windows-Firewall zur Verfügung:

  • Konfigurieren Sie die Einstellungen für die Windows-Firewall mit der Datei „Unattend.xml“ (in Windows Vista) bzw. „Unattend.txt“ (in Windows XP). Die Datei „Unattend“ verfügt über Optionen zum Konfigurieren der Einstellungen für die Windows-Firewall, die beim Ausführen einer unbeaufsichtigten Installation von Windows verwendet werden können. Die Datei „Unattend.xml“ bzw. „Unattend.txt“ des BDD 2007- Projekts sind im Handbuch für das Feature-Team für das Computerabbilderstellungssystem beschrieben.

  • Mit der Datei „Netfw.inf“ konfigurieren Sie die Einstellungen für die Windows-Firewall unter Windows XP. Mit der Datei „Netfw.inf“ für Windows XP kann die Windows-Firewall konfiguriert werden, indem ein Satz von Registrierungseinstellungen angegeben wird, der den Optionen der Komponente Windows-Firewall in der Systemsteuerung und den Gruppenrichtlinieneinstellungen für die Windows-Firewall entspricht, wenn ein Benutzer eine interaktive Installation von Windows XP durchführt.

  • Führen Sie eine Skriptdatei aus, die Netsh -Befehle enthält, um die Einstellungen für die Windows-Firewall zu konfigurieren. Wenn Sie Computer unter Windows konfigurieren möchten, nachdem das Betriebssystem bereitgestellt wurde, lassen Sie die Benutzer eine Skriptdatei ausführen. Dies kann eine Batchdatei (*.bat) oder eine Befehlsdatei (*.cmd) sein, die die Netsh-Befehle enthält, mit denen der Betriebsmodus der Windows-Firewall, die zulässigen Programme und die zulässigen Ports konfiguriert werden.

Ausführliche Anweisungen zum Konfigurieren der Windows-Firewall finden Sie in „Anhang B: Konfigurieren der Einstellungen für die Windows-Firewall unter Windows XP“ oder „Anhang C: Konfigurieren der Einstellungen für die Windows-Firewall unter Windows Vista“.

Sicherheitsanpassung von Internet Explorer und Installation

Unternehmensadministratoren können Installationen von Internet Explorer mithilfe des Assistenten zum Anpassen von Internet Explorer, IEAK oder der Active Directory-Gruppenrichtlinie zentral verwalten. Wenn der Assistent zum Anpassen von Internet Explorer ausgeführt wird, um benutzerdefinierte Browserpakete zu erstellen, können Administratoren ermitteln, wie Internet Explorer installiert ist, wie die Browsingsoftware und Internet Explorer-Komponenten angepasst sind, und welche Browser- und Messagingoptionen Ihren Benutzern zur Verfügung stehen.

Wenn sich die Bedürfnisse des Unternehmens ändern, nachdem Internet Explorer installiert wurde, können Administratoren die Browsereinstellungen mit dem IEAK-Profil-Manager aktualisieren. Anschließend können sie die automatische Konfigurationsfunktion in Internet Explorer verwenden, um die aktualisierten Einstellungen den Desktops von Benutzern bereitzustellen, ohne ihr Büro zu verlassen. Sie können auch Richtlinien und Einschränkungen für den Browser festlegen, einschließlich Sicherheits-, Messaging- und Desktopeinstellungen. Diese Richtlinien und Einschränkungen können helfen, die Ressourcen des Unternehmens und die Bandbreite zu verwalten. Hat die Buchhaltung andere Bedürfnisse als die Marketingabteilung? Erstellen Sie unterschiedliche Profile mit Einstellungen und Einschränkungen, die auf die einzelnen Abteilungen zugeschnitten sind.

Weitere Informationen zum IEAK-Profil-Manager oder zum Assistenten zum Anpassen von Internet Explorer zum Vorkonfigurieren von Sicherheitseinstellungen finden Sie auf der Internet Explorer-Website unter http://www.microsoft.com/ie.

Meilenstein: Bereitstellungsumgebung initiiert

Meilensteine sind Synchronisierungspunkte für die Gesamtlösung. Weitere Informationen finden Sie im Handbuch zur Planung, Erstellungund Bereitstellung (möglicherweise in englischer Sprache).

Bei diesem Meilenstein hat das SicherheitsFeature-Team Sicherheitskonfigurationsdateien erstellt und dem Abbild hinzugefügt. Die für diesen Meilenstein erforderlichen Ergebnisse sind in Tabelle 5 aufgelistet.

Tabelle 5: Ergebnisse des Meilensteins „Bereitstellungsumgebung initiiert“

Ergebnis-ID

Beschreibung

Sicherheitskonfigurationsdateien

Die Sicherheitskonfigurationsdateien, die im Abbild enthalten sein sollen

Konfiguration der Windows-Firewall

Die Netfw.inf-Dateien oder Skriptdateien, die erforderlich sind, um die Windows-Firewall zu konfigurieren

Anzeigen: