Windows-Plattformen dienen einer Vielzahl von Firmen als Basis sowohl für Clients als auch für Server. Das und der große Marktanteil auch im Privatanwenderbereich macht sie für Angreifer besonders interessant. Daher gilt es für Unternehmen, in Windows-Umgebungen einige Sicherheitsgrundregeln zu beachten. Sie betreffen die Bereiche Clients und Server sowie das Active Directory als grundlegenden Verzeichnisdienst in Windows-Umgebungen. Dieser Ratgeber liefert einen Einblick, wie sich die eigene Windows-Umgebung - fernab von zugekauften Extras - mit bordinternen Mitteln sicherer gestalten lässt.
Um hierfür die Basis zu schaffen, ist, unabhängig von den betrachteten Systemen, zudem auf folgende Aspekte zu achten: das Patch-Management, proaktive Schutzmaßnahmen, Schulung und Berechtigung der Benutzer.
Die Verfahren - nur bekannt oder auch gelebt?
Selbst wenn es bereits hinlänglich bekannt ist: Updates sind unbedingt zeitnah, flächendeckend und kontrolliert einzuspielen. Als Grund für das oft wochenlange Aussetzen eines Patchs werden häufig fehlende Ressourcen und die Angst vor Betriebsstörungen angeführt. Dabei tritt oft genau das Gegenteil ein, wie die explosive Verbreitung des Conficker-Wurms deutlich machte: Selbst lange Zeit nach dem Erscheinen des Microsoft-Patchs am 23. Oktober 2008, der die von dem Schädling ausgenutzte Windows-Schwachstelle beheben sollte, waren viele Systeme noch nicht aktualisiert und somit angreifbar. Noch Monate später legte Conficker Unternehmen und Behörden lahm und verursachte hohe Schäden - Microsoft-Emea-Sicherheitschef Roger Halbheer bezeichnete dies als "russisches Roulette mit dem Netzwerk". Als Beispiel, wie aus Zero-Day-Attacken dann "Three-Month"-Attacken werden, verdeutlicht dieser Fall, wie sehr es beim Kampf gegen Sicherheitslücken auf Tempo ankommt. Unternehmen müssen in diesem Kontext auch auf ein lückenloses Auditing der Systeme achten, um durchgängig aktuelle Patches installiert zu haben. Erreichen lässt sich dies mit Hilfe integrierter Systeme wie den "Microsoft Windows Server Update Services" (WSUS) oder dem "Software Update Management" in Microsofts neuem "System Center Configuration Manager" (SCCM).
Erst wenn alle Systeme auf einem angemessenen Versionsstand sind, kommen proaktive Maßnahmen überhaupt zum Tragen. Was hier nicht fehlen darf, ist ein Virenschutzkonzept für Clients und Server samt umfassender Strategie sowie eine geeignete technische Umsetzung. So sind Malware-Scanner nur so viel wert wie ihre Signaturen. In Kombination bieten sich weitere proaktive Schutzmaßnahmen an - etwa die Konfiguration und Aktivierung der lokalen Firewall über die "Gruppenrichtlinien".