Von Eric Tierling*
Sicherheit ist ein kontinuierlicher Prozess, sagt Microsoft. Dies gilt nicht nur für Administratoren und Benutzer, die ihre PCs etwa durch das ständige Einspielen von neuen Virensignaturen auf aktuellem Stand halten sollten, sondern auch für Microsoft selbst. Diesen Vorsatz hat der Hersteller auch bei der Entwicklung seiner derzeitigen Windows-Betriebssysteme für Server und Clients berücksichtigt - stärker als in früheren Versionen.
Schon bei der Installation von Windows Server 2003 zum Beispiel erscheint nun ein Warnhinweis, falls für den lokalen Administrator ein Kennwort definiert wird, das weniger als sieben Zeichen lang ist oder nicht den standardmäßigen Komplexitätskriterien entspricht. Im Rahmen dessen darf der Benutzername nicht Teil des Kennworts sein, während das Kennwort Zeichen aus drei von vier Kategorien (Kleinbuchstaben, Großbuchstaben, Ziffern und Symbole) enthalten muss. Automatisch werden diese zu mehr Schutz beitragenden Kennwortvorgaben auch auf alle Benutzer einer anschließend eingerichteten Active-Directory-Domäne angewendet. Wenig bekannt ist hierbei die Option, eigene Kennwortfilter mit abweichenden Komplexitätskriterien zu erstellen und auf den Firmen-PCs einzusetzen. Details hierzu finden Programmierer auf der Microsoft-Website unter dem Stichwort "passfilt.dll".
Mit Windows XP hat Microsoft die Möglichkeit abgeschafft, zur Anmeldung für Netzzugriffe auf den PCs einen Benutzernamen verwenden zu können, der kein schützendes Kennwort aufweist. Anonyme Zugriffe etwa zum Abrufen aller existierenden Freigaben sind in einer Windows-Server-2003-Domäne ebenfalls passé. Hacker haben somit keine Möglichkeit mehr, sich leicht einen Überblick über die Freigaben aller Computer im Netz zu verschaffen, um diese gezielt anzugreifen.
Bis einschließlich Windows 2000 laufen Systemdienste noch im Sicherheitskontext des mit weit reichenden Berechtigungen ausgestatteten Dienstkontos "LocalSystem". Durch die Einführung der beiden Benutzer-Dienstkonten "LocalService" und "NetworkService" in Windows Server 2003 und XP ergibt sich mehr Sicherheit für systemnahe Dienste. Diese neuen, eigens für Betriebssystem-Dienste reservierten Benutzerkonten sind nur mit sehr geringen Privilegien für lokale sowie Netzzugriffe versehen und lassen sich daher kaum mehr für andere Zwecke missbrauchen. Unwichtige Dienste werden in Windows Server 2003 nicht mehr automatisch gestartet, was die Angriffsfläche verringert. Windows XP lernt in dieser Hinsicht erst ab dem Service Pack 2 dazu: Nachrichten- und Warndienst sind ausgeschaltet.
Eingeschränkte Freigaben
Die eingeschränkten Standardberechtigungen in der aktuellen Betriebssystem-Generation haben auch zur Folge, dass normale Benutzer nicht mehr automatisch über die volle Kontrolle für Laufwerke, Ordner und Freigaben verfügen. Einen komfortableren Weg, mehrere Vorgaben auf einmal zu aktivieren, offerieren die (schon seit Windows 2000) mitgelieferten Sicherheitsvorlagen. Diese befinden sich im Ordner "%systemroot%securitytemplates" und lassen sich mit dem gleichnamigen Snap-in für die MMC (Microsoft Management Console) individuell konfigurieren. Passend dazu erlaubt es das MMC-Snap-in "Sicherheitskonfiguration und -analyse", die aktuelle Konfiguration eines PCs mit einer Sicherheitsvorlage zu vergleichen und diese bei Bedarf per Mausklick auf den Computer anzuwenden.
Für die Absicherung der Kommunikation im LAN und über das Internet sind ebenfalls eine Reihe von Funktionen in das Betriebssystem eingebaut. Ein VPN-Server zum Aufbau virtueller Netzwerke etwa, der mit unterschiedlichen Protokollen - allen voran das verbreitete PPTP (Point-to-Point Tunneling Protocol) - zurechtkommt, befindet sich bereits serienmäßig im Lieferumfang.
Um eine hohe Sicherheit zu erzielen, beherrscht Windows Server 2003 zudem IPsec (IP Security). Neuerungen in dieser Betriebssystem-Version gestatten es VPN-Clients, IPsec-Verbindungen auch dann zu etablieren, wenn sich dazwischen eine mit dem Verfahren "NAT" (Network Address Translation) operierende Firewall befindet. Aufgrund seiner komplexen Konzeption ist IPsec allerdings alles andere als einfach einzurichten und erfolgreich in Betrieb zu nehmen. Obwohl Microsoft die Konfigurations- und Verwaltungs-Tools hierfür gegenüber Windows 2000 aufgefrischt hat, bleibt IPsec für den durchschnittlichen Administrator immer noch zu kompliziert. Auch mit Windows Server 2003 ist IPsec daher vielfach ein Buch mit sieben Siegeln beziehungsweise ein Thema für Spezialisten.
Gruppenrichtlinien
Mit Windows 2000 hat Microsoft die "Gruppenrichtlinien" eingeführt und diese bei Windows XP sowie Windows Server 2003 nochmals erweitert. Dank ihrer Hilfe braucht sich ein Administrator nicht mehr in die Tiefen der Registry zu begeben, um bestimmte Einstellungen vorzunehmen. Durch die Verknüpfung des zugehörigen Gruppenrichtlinien-Objekts mit den gewünschten Hierarchieebenen im Active Directory - Organisationseinheiten, Domänen und Standorte - ist es dann ein Leichtes, diese Vorgaben auf mehreren oder allen Computern des Unternehmens umzusetzen.
Windows XP Professional und Windows Server 2003 warten mit weiteren Gruppenrichtlinien auf, die für einen zusätzlichen Schutz des Unternehmens-LAN sorgen. Richtlinien für die drahtlose Kommunikation zum Beispiel ermöglichen es Administratoren, Clients für die sichere Teilnahme am Firmen-WLAN passend vorzukonfigurieren.
Wirkungsvolle Instrumente
Ferner sind in diesem Zusammenhang die "Softwareeinschränkungs-Richtlinien" zu nennen. Hierüber kann ein Administrator exakt definieren, welche Programme auf einem Computer laufen beziehungsweise von einem Benutzer nicht ausgeführt werden dürfen. Auf diese Weise verfügt die IT-Abteilung über ein wirkungsvolles Instrument, um zum Beispiel nur Programme aus bestimmten Ordnern oder von bestimmten Herausgebern auf den Arbeitsplatz-PCs der Firma zuzulassen. Genauso denkbar ist es, Anwendungen mit bestimmten Namen zuverlässig auszuschließen. Ein Hash-Code verhindert hierbei, dass Benutzer die betreffenden Programme einfach umbenennen und die Software auf diesem Umweg dennoch zur Ausführung bringen können.
Manche Schwachstelle bei der IT-Sicherheit geht auf ältere Techniken zurück, die aus Gründen der Abwärtskompatibilität auch in den aktuellen Windows-Betriebssystem-Versionen noch unterstützt werden. Ein Bei- spiel hierfür ist das Authenti- fizierungsprotokoll "NTLM" (Windows NT LAN Manager), das im Grunde genommen aus zwei verschiedenen Protokollen zur Authentifizierung - dem älteren LAN Manager sowie dem neueren NT-Verfahren - besteht. Beide greifen zur chiffrierten Speicherung von Benutzerkennwörtern auf unterschiedliche Hash-Methoden zurück. Das Problem liegt darin, dass für die Kompatibilität zu Windows-95/98/ME- und NT-Clients beide Kennwort-Hashes gespeichert werden, die NT-Chiffrierungsmethode aber Sicherheitsschwächen aufweist.
Mit Tools wie "LC5" (dem ehemaligen "L0phtCrack") lässt sich das Benutzerkennwort dann relativ leicht aus dem NT-Hash ermitteln. Dies funktioniert vor allem dann sehr gut, wenn das Kennwort sehr kurz ist und keine Sonderzeichen aufweist. Durch einen Registry-Eintrag oder die Aktivierung einer Gruppenrichtlinie legt ein Administrator fest, dass keine LM-Hashes mehr gespeichert werden, sobald der Benutzer sein Kennwort ändert. Diese Einstellung ist auf allen Domänen-Controllern vorzunehmen. (ue)
*Eric Tierling
ist IT-Fachjournalist in Leichlingen und hat mehrere Bücher zu Netz-Betriebssystemen und Verzeichnisdiensten verfasst.
Systemsicherheit
- Strenge Anwendung komplexer Kennwortrichtlinien;
- "LocalService" und "NetworkService" als neue, eigens für sichere Betriebssystem-Dienste reservierte Benutzerkonten;
- Verbesserung des Remote-Zugriffs;
- erweiterte Gruppenricht- linien;
- Richtlinien für Softwareeinschränkungen.
Vorbeugen für den Notfall
Immer wieder gefährden menschliche Bedienungsfehler sowohl von Benutzern als auch von Administratoren die Sicherheit und den Schutz wichtiger Daten. Oftmals zeigt sich erst im Ernstfall, dass gar kein Notfallplan existiert, der dokumentiert, wie beispielsweise nach einem erfolgreichen Wurmangriff oder dem Ausfall eines wichtigen Servers richtig zu verfahren ist. Wer vorbeugt und sich rechtzeitig beispielsweise mit Windows-Server-2003-Funktionen wie der automatischen Systemwiederherstellung ("ASR" = Automated System Recovery) beschäftigt, ist hier auf der richtigen Seite, um die Beeinträchtigung von Geschäftsbetrieb und IT-Sicherheit so schnell wie möglich zu beseitigen.