computerwoche.de

Security

Ratgeber Security

Best Practices für mehr Sicherheit unter Windows

02.06.2009
Von Matthias Fraunhofer

Durchgängiges Patch-Management - ein Muss

Wichtig ist auch die sichere Bereitstellung eines Servers, die immer offline oder in einem geschützten Segment erfolgen sollte - immerhin ist sie später die Basis für die angestrebte Zielfunktionalität. Auch hier gilt: Handelt es sich um Software von Drittherstellern, ist sie vor dem produktiven Einsatz unbedingt auf die neueste Version zu bringen. Das Patch-Management muss durchgängig sein. Es schadet auch nichts, sich im Vorfeld einen Überblick über die bereits bekannten Sicherheitslücken zu verschaffen.

Der MBSA liefert einen Überblick etwa zum Patch-Status oder zu Defiziten in Sachen Security-Best-Practises im Unternehmen. Quelle: Secaron AG
Der MBSA liefert einen Überblick etwa zum Patch-Status oder zu Defiziten in Sachen Security-Best-Practises im Unternehmen. Quelle: Secaron AG

Wie erwähnt, basiert die Verwundbarkeit eines Servers auf seiner Angriffsfläche. Da die Vielzahl der installierten Funktionen und laufenden Dienste nicht leicht überschaubar ist, bietet Microsoft mit dem "Security Configuration Wizard" (SCW) einen einfach zu bedienenden Assistenten, mit dem sich Sicherheitseinstellungen und Servicekonfiguration eines Servers untersuchen und anhand einer Wissensbasis konfigurieren lassen. Durch die Ausgabe als XML-Datei gehen sowohl die Übertragung auf andere Server als auch die manuelle Nachbearbeitung gut von der Hand. Allerdings ist hier wie bei allen sicherheitsspezifischen Einstellungen Vorsicht geboten, um am Ende nicht vor einem zwar gehärteten, aber funktionsunfähigen System zu stehen.

Empfehlenswert für Administratoren kleiner und mittlerer Firmen ist auch der "Microsoft Baseline Security Analyzer" (MBSA), der einen Überblick über eine Fülle von Informationen bietet. So lassen sich damit unter anderem die Versorgung mit Updates und das Einhalten von Best Practices schnell und übersichtlich anzeigen. Gerade Unternehmen mit sehr wenigen Systemen können damit notfalls die teureren Lösungen ersetzen.

Keine Server ohne Clients

Für Clients gelten dieselben Regeln wie für Server: Mehr Dienste, mehr Prozesse und mehr Software führen zu einem höheren Risiko. Die Fülle von Anwendungssoftware, die auf Clients läuft, stellt den größten Teil der Angriffsfläche dar. Hier gilt es, Adobe Reader, Flash, Office und Co. schnell und vor allem sorgfältig mit Security-Patches zu versorgen. Dazu benötigt der Administrator einen umfassenden und detaillierten Überblick über die im Unternehmen eingesetzte Software. Besitzen manche Anwender lokale Administratorrechte (was sie natürlich nicht sollten), müssen sie besonders auf ihre Software achten und regelmäßig Updates einspielen. Was hierbei gerne übersehen wird, sind die Treiber, die ebenfalls Sicherheitslücken aufweisen können und beim Bekanntwerden einer Sicherheitslücke möglichst schnell aktualisiert werden sollten.