Windows-Security: Windows 7 richtig absichern Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.05.2011 Thomas Bär*, Frank-Michael Schlede*

Windows-Security: Windows 7 richtig absichern

Erfahren Sie, wie Sie Windows 7, Windows XP und Windows-Server im Netz wirksam gegen Viren, Würmer, Trojaner und andere Bedrohungen absichern.

Ohne eine Netzwerkverbindung zu anderen Maschinen dürfte die Sicherheit eines Computers in vielen Szenarien eher unwichtig sein. Ältere Systeme, die ausschließlich für die Ansteuerung von Maschinen oder die Steuerung einer Anlage ohne Kontakt zur Infrastruktur betrieben werden, arbeiten nicht selten jahrelang ohne ein einziges Update. Im krassen Gegensatz dazu ist der gewöhnlichen Client-PC oder der stark frequentierte Terminal-Server einem tatsächlich existierendem Risiko ausgesetzt. Welche Möglichkeiten der Absicherung von Windows-Computern gibt es und mit welchem administrativen Aufwand ist dabei zu rechnen?

Tipp 1: Halten Sie Windows auf dem neuesten Stand Microsoft macht es den IT-Verantwortlichen glücklicherweise recht einfach, die in der Firma eingesetzten Client-Computer und Server-Systeme auf dem neuesten Stand zu halten. Die wichtigste Lösung hierzu ist die Windows-Komponente WSUS (Windows Server Update Services). Dabei handelt es sich um eine von Microsoft bereitgestellte Patch- und Updatesoftware, die aus einer Server- und einer Client-Komponente besteht. WSUS unterstützt Administratoren dabei, die notwendigen Updates in lokalen Netzwerken zentral auszuliefern. Einfach ausgedrückt handelt es sich beim WSUS um die lokal zu installierende Variante des aus dem Internet bekannten "Microsoft Update"-Dienstes. Sobald der Hersteller ein Service Pack, Hotfix oder Patch für seine Produkte im Internet bereitstellt, wird dies in der lokalen Installation heruntergeladen. Wann diese Korrekturen auf welchen Computern installiert werden sollen, das entscheidet der Administrator.

Die WSUS-Software kann auf jedem Windows Server 2003 SP1 oder höher eingerichtet werden. Die Installation selbst dauert nur wenige Minuten, das Herunterladen der verschiedenen Updates kann, in Abhängigkeit von der Geschwindigkeit der Internetanbindung, mehrere Stunden dauern. Dabei wird zunächst der Client über die Gruppenrichtlinie oder außerhalb einer Domänenstruktur über die Registry konfiguriert. Danach können Administratoren die Verteilung aller durch Microsoft Update veröffentlichten Softwareupdates auf Computern im Netzwerk zentral über ein Snap-In der Microsoft Management Console (MMC) steuern. Darüber hinaus kann ein WSUS Server als Updatequelle für untergeordnete WSUS Server dienen, was den Aufbau einer Kaskade in einem verteilten Netzwerk ermöglicht. Microsoft hat in die Betriebssysteme Windows 2000 mit SP3, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 und Windows 7 bereits eine Client-Komponente integriert. Sie ermöglicht es Server- und Client-Computern, Updates von Microsoft Update oder von einem Server zu beziehen, auf dem WSUS ausgeführt wird. Die korrekte Reihenfolge der Aktualisierung und die passende Version, ob x86- oder x64-Patch, legt der WSUS selbst fest. Der zuständige Administrator muss sich um derlei Details nicht selbst kümmern.

Die aktuell gebräuchliche Version 3 der Windows Server Update Services ist bereits seit dem Jahr 2007 auf dem Markt und wurde in vielen Details gegenüber den direkten Vorgängern verbessert. Verschachtelte Gruppen, so genannte "Nested Target Groups", sind ebenso wie ein grundlegendes Reporting mit Export an Microsoft Excel und PDF und eine eingebaute E-Mail-Benachrichtigung möglich. Für ein ausführlicheres Aktivitäten-Monitoring ist WSUS jedoch auf die Zusammenarbeit mit dem kostenpflichtigen Microsoft Operations Manager 2005 (MOM) oder dem ebenfalls käuflich zu erwerbenden Microsoft SCCM (System Center Configuration Manager) angewiesen. Aber auch ohne diese Erweiterung bietet der WSUS die zentral gesteuerte Aktualisierung beinahe aller Microsoft-Programme, vom Betriebssystem über Server-Anwendungen bis hin zu Microsoft Office und dem kleinen (bereits abgekündigten) Microsoft Works Paket.

Tipp 2: Kostenloser Sicherheitscheck für Windows 7 und Windows Server Welche Aktualisierungen einem Windows-PC fehlen, ermittelt eine Software-Komponente, die auch zentral eingesetzt werden kann. Der Microsoft Baseline Security Analyzer (MBSA) ist ein kleines Tool, das Unternehmen dabei hilft, den Sicherheitsstatus der Maschinen mit den Sicherheitsempfehlungen des Herstellers abzugleichen. Neben der einfachen Feststellung, welche Patches und Updates fehlen, analysiert der MBSA auch häufig vorkommende Fehler in der Sicherheitskonfiguration von PCs und Servern. MBSA wird laut Informationen von Microsoft von vielen Drittanbietern von Sicherheitsprodukten eingesetzt. Damit dürften pro Woche durchschnittlich mehr als drei Millionen Computer weltweit mit diesem Tool geprüft werden.

Aktuell wird MBSA kostenlos in der Version 2.2 angeboten, die Windows 7 und den Windows Server 2008 R2 unterstützt. In dieser Version wurde erstmals auch die uneingeschränkte Unterstützung für die 64-Bit-Plattformen und Sicherheitsrisikobewertungen von 64-Bit-Plattformen und -Komponenten umgesetzt.

Tipp 3: Ohne Virenschutz geht es nicht Ohne einen adäquaten Virenschutz kommt kein Unternehmen aus. Angesichts der geschätzten 40 Millionen digitaler Plagegeister kein Wunder. Zu groß ist das Risiko, welches von malignen Programmen, seien es nun Würmer, Trojaner, Viren oder andere Schadsoftware, ausgeht. Die AV-Lösungen für den Privat-PC sind mit vielen Zusatzfunktionen wie einer vermeintlich verbesserten Firewall oder einem Anti-Spam-Filter aufgewertet. Enterprise- oder Business-Varianten der Programme verzichten üblicherweise auf derlei Zusätze. Für den professionellen Einsatz gibt es ausgereiftere Lösungen. Beispielsweise wird eine Anti-Spam-Software durch den Administrator zentral in der DMZ eingesetzt und verhindert den Empfang von unerwünschter Post bereits an dieser Stelle. Für das Unternehmensumfeld bedarf es einer zentralen Management-Lösung, die möglichst automatisiert die AV-Updates auf die Client-Systeme bringt. Faktisch jeder namhafte Hersteller von AV-Programmen verfügt über eine Business-Variante, die über eine zentrale Konsole Client-Computer automatisch oder auf Mausklick mit dem AV-Agent ausstatten kann. Je nach Konfiguration aktualisieren sich bei derartigen Lösungen alle PCs im Netzwerk vollautomatisch sobald der Hersteller die AV-Pattern aktualisiert. Der Administrator kann aber auch einen speziellen Testbereich anlegen, in dem dann alle Updates zunächst auf die Zusammenarbeit mit den gebräuchlichen Programmen hin geprüft werden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr

Hosted by:    Security Monitoring by: