| Anonymer Zugriff
Anonyme Zugänge über das Netzwerk sollten grundsätzlich nicht möglich sein (sogenannte NULL SESSIONS). Unter Windows XP ist es standardmäßig vorgesehen, bestimmte Aktivitäten wie z. B. das Aufzählen von SAM-Konten anonym durchzuführen. Diese Funktionalität ist durch das Aktivieren der Richtlinien Netzwerkzugriff: Anonyme SID-/Namensübersetzung nicht erlauben, Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben und Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben (unter Computereinstellungen | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen) explizit abzuschalten. Die Richtlinie Netzwerkzugriff: Die Verwendung von ‘Jeder’-Berechtigungen für anonyme Benutzer ermöglichen ist zu deaktivieren. Unter Windows Vista ist Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer bereits in der Standardeinstellung deaktiviert.
Prüffragen:
- Sind alle nicht verwendeten Netzwerkkomponenten von existierenden Schnittstellen entfernt worden?
- Wird das Kennwort für das Computer-Konto regelmäßig geändert?
- Werden alle Daten, die über den Sicheren Kanal übertragen werden, signiert und verschlüsselt?
- Werden anonyme Zugänge über das Netzwerk verhindert?
- Ist die Optionen für NTLMv2-Authentisierung und 128-Bit-Verschlüsselung aktiviert, wenn auf allen Rechnern Client-Betriebssysteme ab Windows XP bzw. Server-Betriebssysteme ab Windows Server 2003 mit aktivierter 128-Bit-Verschlüsselung ausgeführt werden?
- Wurde gewährleistet, dass auch ältere Clients das NTLMv2 Verfahren zur Authentisierung verwenden (z. B. durch das Einspielen entsprechender Service Packs oder zusätzlicher Software)?
- Wurde anonymen Zugängen über das Netz die Berechtigung "Jeder" entzogen?
- Wurden die Sicherheitseinstellungen auf die Kompatibilität mit Diensten und Anwendungen getestet?
IT-Grundschutz-Kataloge: 11. EL Stand 2009
| 