CMS Journal
Nr. 30
25.06.2008
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 30 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/30
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

Sicherheitsprinzipien in neuen Windows-Systemen


Manuel Selling
Manuel.Selling@cms.hu-berlin.de

Abstract

Gut ein Jahr nach dem Erscheinen des aktuellen Windows-Desktop-Betriebssystems und kurz nach der Veröffentlichung des neuen Server-Betriebssystems von Microsoft ist die Zeit gekommen, einen Blick auf die sicherheitsrelevanten Neuerungen von Windows Vista und Windows Server 2008 zu werfen. Dieser Artikel zeigt ausgewählte Neuerungen auf und beleuchtet die Möglichkeiten des Zusammenspiels von Server- und Client-Systemen. Aufgrund des kleinen Zeitfensters zwischen dem Erscheinen des Windows Servers 2008 und dieses Artikels konnten bis jetzt noch keine umfangreichen Tests durchgeführt werden, um die Neuerungen auf ihren praktischen Einsatz und Nutzen hin zu prüfen. Deshalb stützt sich dieser Artikel auf die Vorstellung der eingeführten Konzepte und deren Bewertung


Die Benutzerkontensteuerung

Am 30.01.2007 ist Windows Vista in sechs verschiedenen Versionen erschienen. Die in diesem Artikel betrachteten Sicherheitsfeatures sind in der Windows Vista Business Version integriert, welche auch die bevorzugte Installationsgrundlage im HU-Netz bildet.

Bei der Entwicklung von Windows Vista hat Microsoft verstärkt den Faktor Sicherheit berücksichtigt, der bei vergangenen Versionen des Betriebssystems nicht so starken Einfluss auf die Entwicklung hatte. Man ist von der bisherigen Linie der bedingungslosen Benutzerfreundlichkeit, bei der dem Benutzer grundsätzlich wichtige Entscheidungen abgenommen wurden, abgewichen.

Bis Windows XP war der erste angelegte Benutzer auch gleichzeitig der Administrator, der alles darf bzw. sich die Rechte verschaffen kann, alles zu dürfen. Er konnte also standardmäßig Software installieren, in wichtigen Systemverzeichnissen Änderungen vornehmen und das System gewollt bzw. ungewollt manipulieren. Das öffnete natürlich Schadsoftware (Malware) Tür und Tor. Bei Windows Vista ist der erste Benutzer zwar immer noch Mitglied der Administratoren- Gruppe, aber im Gegensatz zu älteren Versionen arbeitet dieser mit minimalen Rechten. Das ist auch ein Kernelement des Prinzips der neu eingeführten UAC (User Account Control). Diese steuert den Zugriff auf geschützte Ressourcen. Versucht beispielsweise der Administrator eine Aktion auszuführen, die höhere Rechte benötigt, wird er durch eine Bestätigungsaufforderung auf diesen Sachverhalt aufmerksam gemacht und zu einer Bestätigung dieser Aktion gezwungen. Erst nach der ausdrücklichen Erlaubnis wird die Aktion ausgeführt. Unter einem einfachen Nutzeraccount wird man aufgefordert, einen privilegierten Nutzer inklusive Passwort einzugeben, um fortfahren zu können. Das Verhalten ist individuell über Richtlinien konfigurierbar.

Dieser neue Handlungsablauf verringert die Gefahr, dass sich unbemerkt Schadsoftware installiert. Im Zuge der Einführung der UAC hat man auch die Privilegien der Standardbenutzer (einfache Nutzer) erweitert. Nun ist es möglich, als „normaler“ Nutzer Standardaufgaben, die nur minimale Auswirkungen auf das System haben, auszuführen. Diese sind z. B. Anzeigen der Systemuhr/ Kalender, Hinzufügen von Druckern oder anderen Geräten, die die Installation von Treibern voraussetzen, und auch das Erstellen und Konfigurieren einer VPN- Verbindung ist nun als Standardbenutzer möglich. Ein wichtiger Bestandteil der UAC ist auch die Beschränkung des Windows-Messaging-Systems. In alten Windows-Versionen durfte jede Anwendung Nachrichten an alle anderen Anwendungen auf dem gleichen Rechner senden, ohne dass von der Empfänger- Anwendung geprüft wurde, ob der Sender dafür autorisiert war. Somit war es möglich, Schad-Code auszuführen oder administrative Prozesse zu überschreiben. Durch die gezielte Überprüfung und das Erlangen von Privilegien ist es nun für Schadsoftware schwerer, das Windows-System zu schädigen.

Das Verhalten der UAC lässt sich über Gruppenrichtlinien vom Administrator konfigurieren, eine Veränderung der voreingestellten Werte sollte aber vor der Verbreitung sorgfältig überdacht und getestet werden, da sonst unter Umständen das System instabil läuft. Die entsprechenden Einstellungen können im folgenden Zweig der Richtlinie vorgenommen werden. (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options). Die Anwendung der definierten Richtlinie wird dann bei der Anmeldung der Clients an der Domäne automatisch erzwungen. Auch wenn das ständige Nachfragen der UAC die Geduld der Anwender strapaziert, sollte man die durch das Popup-Fenster gelieferten Informationen stets kontrollieren, um aktiv am Schutz des Systems beteiligt zu sein. Bei einem System, welches installiert und konfiguriert wurde, sinken die UACNachfragen spürbar, so dass ein Arbeiten ohne lästige Nachfragen möglich wird.

Mein persönliches Fazit ist, dass die UAC eine sinnvolle Neuerung ist und vom Konzept die Sicherheit eines Windows-Systems sicherlich erhöht. Man sollte sie deshalb aktiviert lassen und keine unüberlegten Änderungen an der Konfiguration vornehmen. Inwieweit sich diese Einschätzung bestätigt, hängt aber davon ab, wie sie sich im Alltag bewährt.

Inhaltsverzeichnis

Die Benutzerkontensteueru...

Anwendungskompatibilität...

Windows-Defender, Schatte...

Windows Firewall...

Network Access Protectio...

Weitere Neuerungen des Wi...

Literatur...


Anwendungskompatibilität

Ein weiterer Bestandteil, um den sich die UAC kümmert, ist die Virtualisierung der Registry und des Dateisystems, um eine Kompatibilität zu älteren Windows-Systemen und deren Anwendungen zu ermöglichen. Eine Anwendung kann trotz Zugriff auf – unter Vista – geschützte Bereiche (z. B. Registry-Zweig, Systemordner) ordnungsgemäß funktionieren, indem die benötigten Ressourcen benutzerspezifisch virtualisiert werden (unter %UserProfile%\Anwendungsdaten\ Lokale\VirtualStore). Microsoft hat aber angekündigt, dieses Feature in nachfolgenden Windows-Versionen nicht mehr anzubieten. Das zwingt die Anwendungsentwickler, (endlich) so zu programmieren, dass die Software auch mit einfachen Benutzerrechten funktioniert.


Windows-Defender, Schattenkopien und Backup

Weiterhin neu in Windows Vista ist die integrierte Anti-Spyware-Lösung Windows-Defender, welche den Rechner vor Spyware jeglicher Art schützen soll. Durch einen Test eines australischen Sicherheitsunternehmens (Enex Testlab) im Februar 2007 wurde festgestellt, dass der Windows-Defender lediglich 46% aller aktuellen Bedrohungen erkennt. Das ist im Vergleich zu anderen AntiSpyware-Lösungen (z. B. Spybot Search & Destroy von Patrick M. Kolla) zu wenig. Microsoft versprach damals, die Erkennungsrate verbessern zu wollen, eventuell hat sich da in der Zwischenzeit schon was getan.

Des Weiteren hat man in Windows Vista die Möglichkeit, bei ungewollten Veränderungen, Beschädigungen oder Löschungen von Dateien zu deren Vorgängerversionen „zurückzugehen“.

Dies kann einerseits direkt über das Kontextmenü der Datei oder aber über das „Sichern und Wiederherstellen“ – Snap-In der Systemsteuerung vorgenommen werden. Dort hat man auch die Möglichkeit, sehr einfach Sicherungskopien von Dateien/Verzeichnissen oder des gesamten Rechners anzulegen bzw. wiederherzustellen.

image

Abb. 1: MMC-Snap-In zur erweiterten Konfiguration der Windows-Firewall

Inhaltsverzeichnis

Die Benutzerkontensteueru...

Anwendungskompatibilität...

Windows-Defender, Schatte...

Windows Firewall...

Network Access Protectio...

Weitere Neuerungen des Wi...

Literatur...


Windows Firewall

Die neue Windows Firewall wurde erheblich erweitert; mit ihr kann man nun auch den ausgehenden Datenverkehr kontrollieren und Einstellungen, selbst für IPSecVerbindungen (unter „Verbindungssicherheitsregeln“), feingranular vornehmen. Durch eine profilgesteuerte Konfiguration lassen sich auch mobile Rechner je nach Aufenthaltsort bzw. Sicherheitsanspruch gesondert absichern. Entsprechende Assistenten helfen dem Nutzer bei der Einrichtung und Konfiguration der Firewall. Das erweiterte Konfigurationsmenü findet man nicht in der Systemsteuerung, dort existiert nur die von Windows XP bekannte vereinfachte Variante, sondern als MMC-Snap-In (Microsoft-ManagementConsole). Aufgerufen wird es am einfachsten im Suchfeld durch Eingabe des Befehls „wf.msc“ (siehe Abb. 1).

Das Problem, dass das Einrichten der Firewall den Benutzer überfordert und er diese falsch konfiguriert, wurde durch die Erhöhung der Komplexität der neuen Firewall-Schnittstelle sicherlich nicht gelöst. Deshalb sollte die Firewall-Konfiguration mit Bedacht erfolgen. Eine zentrale Konfiguration für Windows-DomänenClients kann über die entsprechenden Gruppenrichtlinien vorgenommen werden, die aber erst der Windows Server 2008 integriert hat.

Inhaltsverzeichnis

Die Benutzerkontensteueru...

Anwendungskompatibilität...

Windows-Defender, Schatte...

Windows Firewall...

Network Access Protectio...

Weitere Neuerungen des Wi...

Literatur...


Network Access Protection (NAP)

Im Hinblick auf das Zusammenspiel von Windows Vista und Windows Server 2008 unter sicherheitskritischen Aspekten lohnt es sich, die mit den neuen Versionen der Windows-Systeme eingeführte Network Access Protection (NAP) genauer anzusehen. Microsoft ist hierfür mit Cisco eine Allianz eingegangen, um ein Zusammenspiel mit deren NAC (Network Admission Control)-Lösung zu ermöglichen und zu fördern.

Gerade die Problematik des Zugriffs von außen mit potentiell unsicheren Clients (z. B. Notebooks) auf interne Ressourcen hat in der Vergangenheit zu zahlreichen regen Diskussionen geführt. Die durch Microsoft eingeführte NAPTechnologie könnte hier einen Ansatzpunkt bieten, um einen sicheren Umgang mit mobilen Clients zu ermöglichen. Die „Netzwerkrichtlinien und Zugriffsdienste“ (Bezeichnung von Microsoft) haben die Aufgabe, nur Rechnern, die vordefinierte sicherheitsrelevante Bedingungen erfüllen, den Zugriff auf das Intranet und dessen Ressourcen zu gewähren. Der Windows Server 2008 kennt fünf verschiedene Typen von Bedingungen, die Microsoft „Richtlinien für die Windows-Sicherheitsintegrationsprüfung“ nennt.

  1. Richtlinie für den Antivirenschutz: Mit dieser Richtlinie wird geprüft, ob der Antivirenschutz auf dem Client aktiviert ist und ob die Virensignaturen aktuell sind. Anwendungen, die zum Windows-Sicherheitscenter kompatibel sind, können geprüft werden.
  2. Richtlinie für den AntiSpyware-Schutz: Diese Richtlinie prüft, ob der SpywareSchutz aktiviert ist und ob die Signaturen aktuell sind. Geprüft werden sämtliche Anwendungen, die kompatibel zum Windows-Sicherheitscenter sind.
  3. Richtlinie für automatische Updates: Diese Richtlinie erfüllt der Client, sobald die automatischen Updates auf seinem System aktiviert wurden.
  4. Richtlinie für den Sicherheitsupdateschutz: Mit Hilfe dieser Richtlinie kann festgelegt werden, welche Updates auf dem Client zwingend installiert sein müssen. Weiterhin kann bestimmt werden, wann die letzte Prüfung auf Sicherheitsupdates stattgefunden haben sollte.
  5. Richtlinie für die Windows-Firewall: Hier wird nur der Status der Firewall, nicht der aktivierte Regelsatz geprüft.

image

Abb. 2: Konfiguration der NAP-Richtlinien

Wurde der Client erfolgreich geprüft, wird ihm der Zugang zum internen Netz erlaubt. Nach einer negativen Prüfung kann dem Client ein eingeschränkter Zugriff auf das Netzwerk gewährt werden (Quarantänenetzwerk), in welchem sich sogenannte Wartungs-Server befinden können, die z. B. aktuelle Virensignaturen oder Updates bereitstellen. Hat der Client sich mit den fehlenden Elementen versorgt, meldet der NAP-Agent die Kompatibilität zu den Richtlinien und ein voller Zugriff auf das Netzwerk kann gewährt werden. Vor der Einführung von NAP empfiehlt es sich, das Verfehlen von Richtlinien zu protokollieren und auszuwerten, um so einen Überblick über den Stand der Clients und den Umgang mit der doch komplexen Konfiguration zu trainieren.

Die NAP-Unterstützung ist von Haus aus in Windows Vista integriert, für Windows XP wird sie mit der Veröffentlichung des Service Packs 3 realisiert.

Die eingeführte NAP bietet die Möglichkeit, aus einem Windows-Server-System, ohne Zukauf von properitären Lösungen, das Netzwerk vor unsicheren Clients zu schützen und den Umgang mit solchen Clients zu managen. Inwieweit sich die neue Serverrolle durchsetzen wird, ist einerseits von der unterstützten Hard-ware abhängig (Inwieweit wird Netzwerk-Technik unterstützt, die nicht von Cisco stammt?) und anderseits von der Zuverlässigkeit im Vergleich zu Lösungen anderer Anbieter.

Inhaltsverzeichnis

Die Benutzerkontensteueru...

Anwendungskompatibilität...

Windows-Defender, Schatte...

Windows Firewall...

Network Access Protectio...

Weitere Neuerungen des Wi...

Literatur...


Weitere Neuerungen des Windows Servers 2008

Auf sämtliche Neuerungen der WindowsSysteme einzugehen, die unter dem Aspekt „Verbesserung der Sicherheit“ zu beleuchten wären, würde den Rahmen dieses Artikels sprengen. Somit möchte ich zum Abschluss nur kurz weitere Features nennen. Zum einen wurde im Windows Server 2008 das Modell der Server-Rollen und Features eingeführt (eigentlich schon mit Windows Server 2003 R2). Ein neuinstallierter Server kann erst einmal keine Funktionen erfüllen, erst mit einer zugewiesenen Rolle (Basisdienst) erhält der Server die nötige Funktionalität. Somit werden, im Vergleich zu früheren Versionen, keine Applikationen, wie z. B. die Internet Information Services oder die Dateifreigabedienste, standardmäßig installiert.

Bei der Installation des Windows Servers 2008 hat man nunmehr die Möglichkeit, die Server-Core-Option zu wählen. Bei dieser Wahl installiert sich ein abgespecktes Server-Betriebssystem ohne grafische Benutzeroberfläche und mit einer minimalen Auswahl an Serverrollen (7 Rollen) und deren Dienste. Durch die Reduzierung der Dienste und Funktionen verringert sich erheblich die Fläche, die für Angriffe ausgenutzt werden könnte.

Weiterhin wurden die Terminal Services (hinsichtlich der Verwaltung von Terminalserveranwendungen und des Webzugriffs) grundlegend erneuert. Im Zuge dessen wurde auch ein so genanntes TS-Gateway realisiert, welches den externen Zugriff auf interne Terminalserver mittels RDP über HTTPS (HTTP mit SSL-Verschlüsselung) ermöglicht. Somit muss der RDP-Port in der Firewall nicht geöffnet werden.

Auch die Grundlagen der Virtualisierung bringt das neue Server-Betriebssystem mit der Hyper-V-Virtualisierungstechnologie mit, diese steht aber (vorerst) nur in der 64-Bit-Version mit einem entsprechenden Prozessor (Intel VT oder AMD-V) zur Verfügung. Da Microsoft davon ausgeht, dass die Betriebssysteme für den Betrieb unter Hyper-V vorbereitet sind (spezielle Treiber usw.), wird momentan nur Windows Server 2008 offiziell unterstützt, da er die entsprechende Code-Basis implementiert hat. Zum heutigen Zeitpunkt wird eine RCVersion von Microsoft mit dem Windows Server 2008 ausgeliefert. Die RTM (Release to Manufacturing) – Version soll dann im August 2008 folgen. Die HyperV-Technologie scheint also eine große Baustelle zu sein, an der Microsoft wohl noch ein wenig arbeiten muss.

Inhaltsverzeichnis

Die Benutzerkontensteueru...

Anwendungskompatibilität...

Windows-Defender, Schatte...

Windows Firewall...

Network Access Protectio...

Weitere Neuerungen des Wi...

Literatur...

 

Literatur

[1] Windows Vista Sicherheitseinstellungen Teil 1. http://zone.ni.com/devzone/ cda/tut/p/id/5702
[2] The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC). http://msdn2.microsoft.com/en-us/library/aa905330.aspx
[5] Windows-Defender Test. http://www.testlab.com.au/
[10] Windows Server 2008: Mega-Update nach fünf Jahren. c’t 7/2008, 17.03.2008, S.142 ff.
[11] Betriebssysteme: Windows Server 2008.ix 3/2008, März 2008, S. 48 ff.
[12] Microsoft Windows Vista – Die technische Referenz. ISBN 978-3-86645-913-7
[14] Windows Server 2008: Hyper-V Release Candidate Key Features. http://www.microsoft.com/windowsserver2008/ en/us/hyperv-features.aspx