Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Normalerweise erlaubt Windows NT allen Programmen den Zugriff auf Disketten und CD-ROMs. Es ist empfehlenswert, diesen Zugriff auf den gerade interaktiv eingeloggten Benutzer zu beschränken, indem die Geräte diesem Benutzer beim Anmelden exklusiv zugeordnet werden.
Der Zugriff auf Diskettenlaufwerke sollte unter Windows NT 4.0 durch Eintrag/Veränderung des Wertes " AllocateFloppies " im Schlüssel " SOFTWARE\Microsoft\Windows NT\Current Version\ Winlogon " des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert REG_Zeichenfolge = 1 eingeschränkt werden. Hinweis: der Typ "REG_Zeichenfolge" , wie er in dem Programm Regedt32.exe verwandt wird, entspricht dem Typ "REG_SZ" im Programm "Regedt32.exe".
Analog sollte der Zugriff auf CD-ROM-Laufwerke durch Eintrag/Veränderung des Wertes " AllocateCdRoms " im Schlüssel " SOFTWARE\Microsoft\Windows NT\Current Version\ Winlogon " des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert REG_Zeichenfolge = 1 bei Bedarf eingeschränkt werden.
Hinweis: Da die Geräte beim Abmelden wieder für den allgemeinen Zugriff freigegeben werden, müssen die Datenträger vor dem Abmelden aus den Geräten entfernt werden.
Sofern Diskettenlaufwerke vollständig abgeschaltet werden sollen, kann dies auch dadurch geschehen, daß in der Systemsteuerungsoption " Geräte " das Laden des Treiberprogramms dadurch unterbunden wird, daß dem Gerät " Floppy " die Startart " Deaktiviert " zugewiesen wird. Nach dem nächsten Systemstart steht dann das Diskettenlaufwerk überhaupt nicht mehr zur Verfügung, und es kann nur von einem Administrator durch Zuweisen der Startart " System " wieder nutzbar gemacht werden. Auf Servern sollte davon abgesehen werden, da das Laden des Treiberprogramms für das Diskettenlaufwerk zu unterbinden. Sofern das Diskettenlaufwerk doch einmal z. B. zum Zwecke der Administration gebraucht wird, muß dem Gerät Floppy die Startart "System" zugewiesen werden und der Server muß heruntergefahren werden, da der Treiber erst beim Neustart wieder geladen wird. Dies kann zu Störungen des Dienstbetriebs führen. Server müssen in einer gesicherten Umgebung aufgestellt werden, vorhandene Diskettenlaufwerke sollten durch ein entsprechendes Schloß verschlossen werden.
Weiterhin erlaubt Windows NT allen Benutzern den Zugriff auf Bandlaufwerke, so daß jeder Benutzer den Inhalt jedes Bandes lesen und schreiben kann. Normalerweise bringt dies keine Probleme mit sich, da zu einem gegebenen Zeitpunkt jeweils nur ein Benutzer interaktiv angemeldet ist. Sofern dieser jedoch ein Programm laufen läßt, das auch nach dem Ausloggen noch auf das Bandlaufwerk zugreift, so kann dieses Programm möglicherweise auf ein Band zugreifen, das der nächste Benutzer, der sichanmeldet, auflegt. Aus diesem Grund sollten Rechner, die sich nicht in einer kontrollierten Umgebung befinden, neu gestartet werden, ehe das Bandlaufwerk genutzt wird.
Hinweis: Der Einsatz von selbstladenden Bandgeräten, die mehrere Bänder aus einem Reservoir laden können, darf nur unter sehr genau kontrollierten Randbedingungen zugelassen werden. In der Regel sollten derartige Geräte nur zur Datensicherung an einem Server installiert werden. Der interaktive Zugriff normaler Benutzer auf diesen Server ist nicht zulässig (siehe auch M 6.32 Regelmäßige Datensicherung ).
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .