Login: Support | Partner    
 
Home » Learning Center » Task: IT-Grundschutz 

Task: IT-Grundschutz

Über den Greenbone Security Manager können automatische Prüfungen zu den IT-Grundschutz-Katalogen des Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgeführt werden.

Unterstützt wird die aktuelle 12. Ergänzungslieferung mit Prüfungen für über 100 Maßnahmen. Das ist die maximale Zahl von Maßnahmen die sich überhaupt mit automatischen Test unterstützen lassen.

Einige Maßahmen sind recht umfangreich, so dass weitaus mehr als 100 Einzeltests pro System ausgeführt werden. Die Anzahl der geprüften Systeme spielt für den Greenbone Security Manager dabei keine Rolle.

Damit wird der Greenbone Security Manager zum schnellen Mitarbeiter bei der Durchführung eines IT-Grundschutz Audits und erlaubt überhaupt erst eine automatische Prüfung auf Verstöße als regelmäßiger Vorgang im Hintergrund.

Prüfung IT-Grundschutz

top^

Dieses Beispiel führt eine einfache Prüfung gemäß der IT-Grundschutz-Kataloge durch.

  1. Importieren Sie die Scan Configuration IT-Grundschutz Scan (12. EL)
    (veraltet: IT-Grundschutz Scan für 11. EL)

    Sie beinhaltet die Einstellungen um sämtliche Prüfungen auszuführen. Die eigentlichen Prüfungen sind nicht direkt einzeln ausgewählt sondern es wird ein Gesamtresultat erstellt.

  2. Der größte Teil der Maßnahmenprüfungen basiert auf lokalen Sicherheitstests. Dafür muss ein entsprechender Zugang konfiguriert werden. Falls noch nicht geschehen, erstellen Sie dafür einen ensprechenden Anwender auf den Zielsystemen (je höher das Benutzer-Konto privilegiert ist, desto mehr Maßnahmen können geprüft werden).

  3. Legen Sie die Zielsysteme (Targets) fest und verknüpfen Sie sie ggf. mit den eben erstellten Credentials.

  4. Nun können Sie die Aufgabe (Task) erstellen. Dafür kombinieren Sie die oben importierte Scan Configuration mit den entsprechend erstellten Zielsystemen.

  5. Die Prüfung wird gestartet in dem Sie für den eben erstellten Task auf klicken. Es kann einige Zeit dauern, bis der Scan abgeschlossen ist. Den aktuellen Stand des Scans erhalten Sie indem Sie auf klicken.

  6. Sobald der Status auf "Done" wechselt, ist der vollständige Bericht verfügbar. Sie können aber auch schon während des Scans die bereits gefundenen Ergebnisse einsehen. Beachten Sie, dass für die Textform des Berichtes im Filter die Kategorie "Low" eingeschaltet werden muss.

    Mit der importierten Scan Configuration werden 2 Varianten des Ergebnisses erstellt: eine Übersicht in Textform (unter "general/IT-Grundschutz") und eine Tabelle für weitere Verarbeitung (unter "general/IT-Grundschutz-T"). Für letztere muss im Filter die Kategorie "Log" eingeschaltet werden.

Übernahme der Ergebnisse in eine Tabellenkalkulation

top^

  1. Wählen Sie entweder im Report-Filter oder in der Task-Übersicht das Download-Format "ITG". Hinweis: Bei Verwendung über den Report-Filter muss unbedingt die Kategorie "Log" aktiviert sein.

    Bei diesem Download werden die Tabellarischen Ergebnisse für sämtliche Zielsysteme automatisch herausgesucht und zusammengeführt.

  2. Importieren Sie nun die ITG-Datei als sogennante CSV-Tabelle in Ihre Tabellenkalkulation.

    Obiges Beispiel zeigt den Import in OpenOffice 3.2. Beachten Sie insbesondere, dass Sie folgende Einstellungen vornehmen sofern nicht bereits vorausgewählt:

    • Zeichensatz: UTF-8
    • Trenner: Das "Pipe"-Symbol (senkrechter Strich)
    • Texttrenner: Das doppelte Anführungszeichen
    • Letzte Spalte vom Typ "Text"

  3. Nun stehen die Ergebnisse in der Tabellenkalkulation zur Verfügung:

  4. Daraus lassen sich je nach belieben einfache (wie im folgenden Screenshot) oder natürlich auch recht umfangreiche, individuelle Analysen oder Berichte gestalten.

Übernahme der Ergebnisse in IT-Grundschutz Tools

top^

Es gibt eine Reihe von Anwendungen die dabei Helfen das Vorgehen gemäß IT Grundschutz zu strukturieren, zu erfassen und zu steuern.

Das Bundesamt für Sicherheit in der Informationstechnik bietet auf dessen Website eine Übersicht über IT-Grundschutz Tools an.

Für einen Import der Resultate des IT-Grundschutz-Scans in das jeweilige Tool kontaktieren Sie bitte den Hersteller des Tools und bei weitergehenden Fragen auch gerne den Support von Greenbone.

Ergebnis-Klassen der IT-Grundschutz Prüfung

top^

Die folgenden Ergebnis-Klassen können bei der Prüfung entstehen:

  • nicht erfüllt (FAIL): Für das Zielsystem wurde festgestellt, dass die Maßnahme nicht erfüllt ist.

  • erfüllt (OK): Für das Zielsystem wurde festgestellt, dass die Maßnahme erfüllt ist.

  • Fehler (ERR): Die Prüfroutine konnte nicht ordnungsgemäß ausgeführt werden. Z.B. benötigen die Prüfungen einiger Maßnahmen wie etwa M4.001 einen installierten Agenten auf den Zielsystemen. Ist der Agent nicht installiert, kann die Prüfung aus technischen Gründen nicht ausgeführt werden. Falls keine Credentials mitgegeben werden, dann werden recht viele Prüfungen diesen Status haben.

  • Prüfung für diese Maßnahme ist nicht verfügbar (NI): Grundsätzlich wird davon ausgegangen, dass diese Maßnahme automatisiert prüfbar ist. Es ist jedoch noch keine Implementierung erfolgt. Bei neu erschienenen Ergänzungslieferungen gilt dies zunächst für eine Reihe von Maßnahmen. Der Greenbone Security Feed wird jedoch zügig aktualisiert bis diese Ergebnis-Klasse nicht mehr vorkommt.

  • Prüfung dieser Maßnahme ist nicht implementierbar (NA): Eine Reihe von Maßnahmen der IT-Grundschutzkataloge sind zu allgemein gehalten um eine konkrete automatische Prüfung durchzuführen. Andere Maßnahmen beschreiben eine rein manuell machbare Prüfung und fallen damit ebenfalls in die Klasse der nicht implementierbaren Tests.

  • Prüfung für das Zielsystem nicht passend (NS): Einige Maßnahmen beziehen sich ausschließlich auf einen konkreten Betriebssystem-Typ. Ist das Zielsystem ein anderes, so wird die Kennzeichnung NS gesetzt.

  • Diese Maßnahme ist entfallen (DEP): Im Rahmen neuer Ergänzungslieferungen kommt es vor, dass einige Maßnahmen ersatzlos entfallen. Maßnahmen-Nummern werden dabei prinzipiell nicht neu vergeben. Mit DEP gekennzeichnete Einträge sind also nur der Vollständigkeit halber vorhanden und können ansonsten ignoriert werden.

Unterstützte Maßnahmen

top^

Die Übersicht bezieht sich auf die 11. Ergänzungslieferung. Die Maßnahmen-Kennungen verweisen auf die auf den Webseiten des BSI angebotenen Detailinformationen.

Folgende Test-Typen werden unterschieden:

  • Remote: Für Prüfung ist lediglich eine Netzwerkverbindung zum Zielsystem notwendig.

  • Credentials: Für Prüfung ist ein Zugangskonto auf dem Zielsystem notwendig.

  • Agent: Für Prüfung ist die Installation eines Agenten (SLAD oder WinSLAD) auf dem Zielsystem notwendig.

TitelTest-TypHinweis
M4.1Passwortschutz für IT-SystemeCredentialsVista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich.
M4.2BildschirmsperreCredentialsWindows: Kann nur für Lokale Konten getestet werden. Linux: Nur voreingestellte Bildschirmschoner bei Gnome und KDE.
M4.3Einsatz von Viren-SchutzprogrammenCredentials
M4.4Geeigneter Umgang mit Laufwerken für Wechselmedien und externen DatenspeichernCredentials
M4.5Protokollierung der TK-AdministrationsarbeitenCredentials
M4.7Änderung voreingestellter PasswörterRemoteTest nur über SSH und Telnet.
M4.9Einsatz der Sicherheitsmechanismen von XWindowCredentials
M4.14Obligatorischer Passwortschutz unter UnixCredentials
M4.15Gesichertes LoginCredentials
M4.16Zugangsbeschränkungen für Accounts und oder TerminalsCredentials
M4.17Sperren und Löschen nicht benötigter Accounts und TerminalsCredentials
M4.18Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-ModusCredentials
M4.19Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissenCredentials
M4.20Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissenCredentials
M4.21Verhinderung des unautorisierten Erlangens von AdministratorrechtenCredentials
M4.22Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-SystemCredentials
M4.23Sicherer Aufruf ausführbarer DateienCredentials
M4.23Sicherer Aufruf ausführbarer DateienAgent
M4.25Einsatz der Protokollierung im Unix-SystemAgent
M4.26Regelmäßiger Sicherheitscheck des Unix-SystemsAgent
M4.33Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und DatenübertragungCredentials
M4.36Sperren bestimmter Faxempfänger- RufnummernCredentialsCisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen.
M4.37Sperren bestimmter Absender-FaxnummernCredentialsCisco Geräte können nur über telnet getestet werden, da sie SSH blowfish-cbc encryption nicht unterstützen.
M4.40Verhinderung der unautorisierten Nutzung des RechnermikrofonsCredentialsNur für Linux Umgesetzt. Es ist unter Windows nicht möglich den Status des Microfons über Registry/WMI auszulesen.
M4.48Passwortschutz unter NT-basierten Windows-SystemenCredentials
M4.48Passwortschutz unter NT-basierten Windows-SystemenAgent
M4.49Absicherung des Boot-Vorgangs für ein NT basiertes Windows-SystemCredentials
M4.52Geräteschutz unter NT-basierten Windows-SystemenCredentials
M4.57Deaktivieren der automatischen CD-ROM ErkennungCredentials
M4.80Sichere Zugriffsmechanismen bei FernadministrationRemote
M4.93Regelmäßige IntegritätsprüfungAgent
M4.94Schutz der WWW-DateienRemote
M4.96Abschaltung von DNSCredentials
M4.97Ein Dienst pro ServerRemote
M4.98Kommunikation durch Paketfilter auf Minimum beschränkenCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert.
M4.106Aktivieren der SystemprotokollierungCredentials
M4.135Restriktive Vergabe von Zugriffsrechten auf SystemdateienCredentials
M4.146Sicherer Betrieb von Windows 2000/XP / Sicherer Betrieb von Windows Client-BetriebssystemenAgentVista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich.
M4.147Sichere Nutzung von EFS unter WindowsCredentialsDie Maßnahme ist in der 11. EL technisch fehlerhaft. Eine Korrektur ist für die kommende 12. EL bereits berücksichtigt. Der Test führt abweichend von der Maßnahme den korrekten Test aus.
M4.178Absicherung der Administrator- und Benutzerkonten beim IIS-EinsatzCredentialsEs wird ledliglich ein Hinweis auf SYSKEY und Passpro.exe gegeben.
M4.179Schutz von sicherheitskritischen Dateien beim IIS-EinsatzCredentials
M4.186Entfernen von Beispieldateien und Administrations-Scripts des IISCredentials
M4.189Schutz vor unzulässigen Programmaufrufen beim IIS-EinsatzCredentials
M4.190Entfernen der RDS-Unterstützung des IISCredentials
M4.192Konfiguration des Betriebssystems für einen Apache-WebserverCredentials
M4.195Konfiguration der Zugriffssteuerung beim Apache-WebserverCredentials
M4.196Sicherer Betrieb eines Apache-WebserversCredentials
M4.197Servererweiterungen für dynamische Webseiten beim Apache-WebserverCredentials
M4.200Umgang mit USB-SpeichermedienCredentials
M4.227Einsatz eines lokalen NTP-Servers zur ZeitsynchronisationCredentials
M4.238Einsatz eines lokalen PaketfiltersCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert.
M4.244Sichere Systemkonfiguration von Windows Client-BetriebssystemenCredentials
M4.249Windows XP Systeme aktuell halten / Windows Client-Systeme aktuell haltenAgentVista und Windows 7 bei aktiviertem UAC zur Zeit noch nicht möglich.
M4.277Absicherung der SMB-, LDAP- und RPCKommunikation unter Windows Server 2003Credentials
M4.284Umgang mit Diensten unter Windows Server 2003Credentials
M4.285Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003Credentials
M4.287Sichere Administration der VoIP-MiddlewareRemote
M4.288Sichere Administration von VoIP-EndgerätenAgentTest muss explizit über Voreinstellungen aktiviert werden.
M4.300Informationsschutz bei Druckern, Kopierern und MultifunktionsgerätenRemote
M4.305Einsatz von Speicherbeschränkungen (Quotas)Credentials
M4.310Einrichtung des LDAP-Zugriffs auf VerzeichnisdiensteRemote
M4.313Bereitstellung von sicheren Domänen-ControllernCredentials
M4.315Aufrechterhaltung der Betriebssicherheit von Active DirectoryAgent
M4.325Löschen von AuslagerungsdateienCredentials
M4.326Sicherstellung der NTFS-Eigenschaften auf einem Samba-DateiserverCredentials
M4.328Sichere Grundkonfiguration eines Samba-ServersCredentials
M4.331Sichere Konfiguration des Betriebssystems für einen Samba-ServerCredentials
M4.332Sichere Konfiguration der Zugriffssteuerung bei einem Samba-ServerCredentials
M4.333Sichere Konfiguration von Winbind unter SambaCredentials
M4.334SMB Message Signing und SambaCredentials
M4.338Einsatz von Windows Vista File und Registry VirtualizationCredentialsNur ein genereller Test, ob Vista File und Registry Virtualization aktiviert ist.
M4.339Verhindern unautorisierter Nutzung von Wechselmedien unter Windows VistaCredentials
M4.340Einsatz der Windows Vista Benutzerkontensteuerung - UACCredentials
M4.341Integritätsschutz unter Windows VistaCredentialsSoweit technisch möglich umgesetzt (aktiviertes UAC und geschützter Modus in verschiedenen Zonen).
M4.342Aktivierung des Last Access Zeitstempels unter Windows VistaCredentials
M4.344Überwachung eines Windows Vista SystemsCredentialsDie Maßnahme ist in der 11. EL technisch fehlerhaft. Eine Korrektur ist für die kommende 12. EL bereits berücksichtigt. Der Test führt abweichend von der Maßnahme den korrekten Test aus.
M5.8Regelmäßiger Sicherheitscheck des NetzesRemoteEs wird lediglich ein Meldung ausgegeben, dass mit aktuelleten Plugins getestet werden soll.
M5.9Protokollierung am ServerAgent
M5.17Einsatz der Sicherheitsmechanismen von NFSCredentials
M5.18Einsatz der Sicherheitsmechanismen von NISCredentials
M5.19Einsatz der Sicherheitsmechanismen von sendmailRemote
M5.19Einsatz der Sicherheitsmechanismen von sendmailCredentials
M5.20Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcpCredentials
M5.21Sicherer Einsatz von telnet, ftp, tftp und rexecCredentials
M5.34Einsatz von EinmalpasswörternCredentials
M5.37Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten NetzCredentials
M5.53Schutz vor MailbombenRemote
M5.55Kontrolle von Alias-Dateien und VerteilerlistenCredentials
M5.59Schutz vor DNS-SpoofingCredentials
M5.63Einsatz von GnuPG oder PGPCredentials
M5.64Secure ShellRemote
M5.66Verwendung von SSLRemote
M5.72Deaktivieren nicht benötigter NetzdiensteAgentLediglich Anzeige der in Frage kommenden Dienste.
M5.90Einsatz von IPSec unter WindowsCredentials
M5.91Einsatz von Personal Firewalls für Internet-PCsCredentialsGetestet wird auf die Microsoft Windows Firewall. Für Vista und Windows 7 auf jegliche Firewall die sich systemkonform installiert. Auf Linux, soweit möglich, anzeige der iptables Regeln.
M5.101Entfernen nicht benötigter ODBC-Treiber beim IIS-EinsatzCredentials
M5.102Installation von URL-Filtern beim IIS-EinsatzCredentials
M5.103Entfernen sämtlicher Netzwerkfreigaben beim IIS-EinsatzCredentials
M5.104Konfiguration des TCP/IP-Filters beim IIS EinsatzCredentials
M5.105Vorbeugen vor SYN-Attacken auf den IISCredentials
M5.107Verwendung von SSL im Apache-WebserverRemote
M5.109Einsatz eines E-Mail-Scanners auf dem MailserverRemote
M5.123Absicherung der Netzkommunikation unter WindowsCredentials
M5.131Absicherung von IP-Protokollen unter Windows Server 2003Credentials
M5.145Sicherer Einsatz von CUPSCredentials
M5.147Absicherung der Kommunikation mit VerzeichnisdienstenRemote

Greenbone Networks GmbH © 2009-2013
Alle Rechte vorbehalten. Impressum. Datenschutzerklärung. AGB.
Kontakt
FAQ