So machen Sie Windows sicherer Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.01.2010 Matthias Fraunhofer*

So machen Sie Windows sicherer

Microsoft-Betriebssysteme sind das Lieblingsziel für Angreifer. Wer aber einige einfache Grundregeln beachtet, kann die eigene Windows-Umgebung deutlich sicherer machen.

Die weite Verbreitung von Windows macht dieses Betriebssystem für Angreifer besonders interessant. Deshalb sollten Unternehmen und Anwender unbedingt einige Sicherheitsgrundregeln beachten. Unsere Ratschläge betreffen die Bereiche Clients und Server sowie das Active Directory als grundlegenden Verzeichnisdienst in Windows-Umgebungen. Praktisch: Unser Ratgeber konzentriert sich darauf, wie man Windows ohne zugekaufte Software mit bordinternen Mitteln sicherer macht.

BEISPIEL UPDATES Updates sind unbedingt zeitnah, flächendeckend und kontrolliert auf dem Windowssystem zu installieren. Als Grund für das mitunter Wochen dauernde Aussetzen eines Patchs nennen Adminis oft fehlende Ressourcen und die Angst vor Betriebsstörungen. Doch oft tritt genau das Gegenteil ein, wie die massive Ausbreitung des Conficker-Wurms verdeutlichte: Sogar lange nach dem Erscheinen des Microsoft-Patchs am 23. Oktober 2008, der diese Windows-Schwachstelle schloss, waren viele Windows-Systeme noch nicht aktualisiert und daher angreifbar.

Noch Monate später legte Conficker Unternehmen und Behörden lahm und verursachte Riesen-Schäden. Conficker ist ein trauriges Beispiel dafür, wie aus Zero-Day-Attacken "Three-Month"-Attacken werden. Dieser Fall macht klar, wie sehr es beim Kampf gegen Sicherheitslücken auf die Geschwindigkeit ankommt. Unternehmen müssen zudem in diesem Zusammenhang auf ein lückenloses Auditing der Systeme achten, damit durchgängig die aktuellen Patches installiert sind. Das geht mit Hilfe integrierter Systeme wie den "Microsoft Windows Server Update Services" (WSUS) oder dem "Software Update Management" in Microsofts "System Center Configuration Manager" (SCCM).

Sofern alle Systeme auf einem angemessenen Versionsstand sind, können proaktive Maßnahmen zum Tragen kommen. Beispielsweise ein Virenschutzkonzept für Clients und Server samt umfassender Strategie sowie eine dazu passende technische Umsetzung. Denn Malware-Scanner sind nun einmal nur so viel wert wie ihre Signaturen. Weitere dazu passende proaktive Schutzmaßnahmen sind etwa die Konfiguration und Aktivierung der lokalen Firewall über die "Gruppenrichtlinien".

BALANCE ZWISCHEN SICHERHEIT UND BENUTZBARKEIT Sicherheit ist aber nicht nur ein technisches Problem. Häufig ist es der Mensch, der Angriffen Tür und Tor öffnet. Die Gründe hierfür sind mangelndes Bewusstsein für sicheres Verhalten oder Neugier, nicht selten aber auch die Benutzbarkeit der verwendeten Software. Das beste technische Konzept versagt, wenn der Benutzer die Tragweite seiner Aktionen nicht kennt oder mit allzu restriktiven Regeln nicht umgehen kann (Beispiel: das 30-Zeichen-Passwort).

BEACHTEN SIE DAS LEAST-PRIVILEGE-PRINZIP Auch geschulte Benutzer brauchen klar definierte Grenzen - schließlich soll Malware die Rechte des Benutzers ausnutzen. Ein Wurm mit administrativen Rechten hat gute Chancen, seiner fragwürdigen Bestimmung nachzugehen. Daher ist stets das Least-Privilege-Prinzip anzuwenden: Jeder Benutzer, jeder Dienst und jedes System erhält demnach nur die Rechte, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind. Hier gilt es, besonders strikt vorzugehen, was eine genaue Kenntnis der Arbeitsabläufe und Systeme voraussetzt. Die Umsetzung des Least-Privilege-Paradigmas gehört zu den besten Methoden, ein grundlegendes Fundament für sichere Systeme zu schaffen - allerdings ist es dazu häufig erforderlich, mit alten Gewohnheiten zu brechen. Auch hier ist die Balance zwischen Sicherheit und Benutzbarkeit wichtig: Vistas lärmende User Account Control (UAC) ist ein Beispiel dafür, wie eine gute Idee ins Gegenteil verkehrt wurde.

ZERO-DAY-ATTACKS - DAS ENDE IHRES NETZES? Sind die Rechte erst einmal möglichst restriktiv vergeben, die Systeme aktuell und durch proaktive Maßnahmen abgesichert sowie die Benutzer geschult, müssen weitere Schutzmaßnahmen ergriffen werden. So genannte Zero-Day-Angriffe, sprich: die Ausnutzung noch unbekannter Sicherheitslücken, lassen sich häufig auch mit den beschriebenen Methoden nicht verhindern.

Um diese Art von Attacken effektiv bekämpfen zu können, hat Microsoft (ab Vista) neue Funktionen in seine Betriebssysteme implementiert. Ein Beispiel ist die "Kernel Patch Protection" (auch "PatchGuard" genannt) auf x64-Vista-Systemen: Verändern Treiber einen geschützten Bereich des Kernels, wird das System sofort kontrolliert herunterfahren (BSoD). Da Systemtreiber und Kernel in allen Windows-Betriebssystemen by Design in demselben Kernel-Ring und mit gleichen Berechtigungen laufen, würde ansonsten Attacken aller Art Tür und Tor geöffnet.

Viele Zero-Day-Attacken beruhen auf Buffer Overflows - eine der am häufigsten ausgenutzten Schwachstellen in Betriebssystemen. Vereinfacht ausgedrückt versucht der Angreifer, zu viele Daten in einen zu kleinen reservierten Speicherbereich (Buffer) zu schreiben, um ihn zum Überlaufen zu bringen. Techniken, die dies verhindern sollen, sind in Nicht-Microsoft-Betriebssystemen schon länger im Einsatz. Seit Vista sind solche Schutzmechanismen auch in die Windows-Betriebssysteme für Clients und Server eingebaut.

Ein Beispiel hierfür ist die "Address Space Layout Randomization" (ASLR). Das Funktionsprinzip: Buffer Offerflows nutzen die streng sequenzielle Struktur von Heap, Stack und Co., um Adressen für Angriffe zu berechnen. Durch die zufällige Anordnung von Speicherbereichen (Randomization) wird die Ausnutzung von Overflows schwieriger. In Kombination damit sollte Data Execution Prevention (DEP) eingesetzt werden. Diese Funktion soll das Ausführen von Code aus bestimmten Speicherbereichen verhindern und wird von modernen CPUs in Hardware beherrscht (NoeXecute-Bit). Doch bislang, selbst Jahre nach der Einführung, wird sie nur sehr sporadisch genutzt.

Die wirkliche Schwachstelle - die häufig zu große Angriffsfläche von Systemen - können jedoch auch diese Techniken nicht schließen. Wer ihren Schutz möchte, sollte sie sorgfältig evaluieren und aktivieren, denn aus Gründen der Kompatibilität sind sie meist nicht aktiv.

DAS BETRIEBSSYSTEM ALS DIREKTER ANGRIFFSPUNKT Techniken wie das beschriebene ASLR sollen auch vor unbekannten Schwachstellen schützen. Deren Anzahl lässt sich in Relation zur Angriffsfläche eines Systems betrachten, die sich im Wesentlichen aus laufenden Prozessen und Diensten, offenen Ports, aber auch der Menge an installierter Software zusammensetzt.

Um dem Angreifer möglichst wenig Ansatzpunkte zu liefern, sollte die Angriffsfläche im Idealfall so minimal sein, dass Techniken wie ASLR und DEP gar nicht erst zum Tragen kommen.

Eine gute Systemhärtung etwa kann viele Angriffe abwehren, da sie die Grundlage für den Angriff entzieht. Aber sie erfordert auch viel Know-how und Zeit. Ein Beispiel hierfür ist die Core-Installation des Windows Server 2008, die ohne Benutzeroberfläche und sonstige Spielereien auskommen muss und damit eine neue Richtung in Microsofts Politik bedeutet.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • mic customs solutions (Gruppe)

    mic customs solutions (Gruppe) Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: