Absichern mit Bordmitteln

Die wichtigsten Sicherheitstipps für Windows

20.11.2012 von Matthias Fraunhofer
Windows ist das beliebteste Angriffsziel für Hacker. Wer einige Grundregeln beachtet und die mitgelieferten Sicherheitsfunktionen konsequent nutzt, kann die Sicherheit des Microsoft-Betriebssystem aber deutlich erhöhen.
Die wichtigsten Sicherheitstipps für Windows.
Foto: fotolia.com/nightfly84

Sowohl im Privatbereich als auch in Firmen hat Windows den höchsten Marktanteil. Kein Wunder, dass sich auch die Angreifer auf Windows als Ziel eingeschossen haben. Aber Microsoft stellt auch etliche Tool und Funktionen bereit, mit denen man Attacken sicher verhindern kann. Für Unternehmen gilt es, einige Sicherheitsgrundregeln zu beachten. Sie betreffen die Bereiche Clients und Server sowie das Active Directory als grundlegenden Verzeichnisdienst in Windows-Umgebungen. Dieser Ratgeber liefert einen Einblick, wie sich eine Windows-Umgebung mit bordinternen Mitteln sicherer gestalten lässt. Aber auch Aspekte wie das Patch-Management, proaktive Schutzmaßnahmen, Schulung der Benutzer und eine vernünftige Vergabe von Rechten kommen zur Sprache.

Zeitnahe Patches

Selbst wenn es bereits hinlänglich bekannt ist: Updates sind unbedingt zeitnah, flächendeckend und kontrolliert einzuspielen. Als Grund für das oft wochenlange Aussetzen eines Patchs werden häufig fehlende Ressourcen und die Angst vor Betriebsstörungen angeführt. Dabei tritt oft genau das Gegenteil ein, wie die explosive Verbreitung des Conficker-Wurms deutlich machte: Selbst lange Zeit nach dem Erscheinen des Microsoft-Patchs am 23. Oktober 2008, der die von dem Schädling ausgenutzte Windows-Schwachstelle behebt, waren viele Systeme noch nicht aktualisiert und somit angreifbar.

Noch Monate später legte Conficker Unternehmen und Behörden lahm und verursachte hohe Schäden - Microsoft-Emea-Sicherheitschef Roger Halbheer bezeichnete dies als "russisches Roulette mit dem Netzwerk". Als Beispiel, wie aus Zero-Day-Attacken dann "Three-Month"-Attacken werden, verdeutlicht dieser Fall, wie sehr es beim Kampf gegen Sicherheitslücken auf Tempo ankommt. Unternehmen müssen in diesem Kontext auch auf ein lückenloses Auditing der Systeme achten, um durchgängig aktuelle Patches installiert zu haben. Erreichen lässt sich dies mit Hilfe integrierter Systeme wie den "Microsoft Windows Server Update Services" (WSUS) oder dem "Software Update Management" in Microsofts "System Center Configuration Manager" (SCCM).

Erst wenn alle Systeme auf einem angemessenen Versionsstand sind, kommen andere, proaktive Maßnahmen überhaupt zum Tragen. Was hier nicht fehlen darf, ist ein Virenschutzkonzept für Clients und Server samt umfassender Strategie sowie eine geeignete technische Umsetzung. So sind Malware-Scanner nur so viel wert wie ihre Signaturen. In Kombination bieten sich weitere proaktive Schutzmaßnahmen an - etwa die Konfiguration und Aktivierung der lokalen Firewall über die "Gruppenrichtlinien".

Die größten Security-Sünden12
Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Balance zwischen Sicherheit und Benutzbarkeit

Sicherheit ist aber nicht nur ein technisches Problem. Häufig ist es der Mensch, der Angriffen Tür und Tor öffnet. Die Gründe hierfür sind mangelndes Bewusstsein für sicheres Verhalten oder Neugier, nicht selten aber auch die mangelnde Benutzbarkeit der verwendeten Software. Das beste technische Konzept versagt, wenn der Benutzer die Tragweite seiner Aktionen nicht erkennen kann. Auch allzu restriktive Regeln, wie etwa ein 30-Zeichen-Passwort, erhöhen die Sicherheit nicht. Hierbei ist der Anwender dann eher versucht, einen Zettel als Merkhilfe auf den Monitor zu kleben.

Selbst geschulte Benutzer brauchen klar definierte Grenzen - schließlich wird Malware zunächst die Rechte des Benutzers ausnutzen. Ein Wurm mit administrativen Rechten hat gute Chancen, seiner Bestimmung nachzugehen. Daher ist stets das Least-Privilege-Prinzip anzuwenden: Jeder Benutzer, jeder Dienst und jedes System erhält demnach nur die Rechte, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind. Hier gilt es, besonders strikt vorzugehen, was eine genaue Kenntnis der Arbeitsabläufe und Systeme voraussetzt.

Die Umsetzung des Least-Privilege-Paradigmas gehört zu den besten Methoden, ein grundlegendes Fundament für sichere Systeme zu schaffen - allerdings ist es dazu häufig erforderlich, mit alten Gewohnheiten zu brechen. Auch hier ist die Balance zwischen Sicherheit und Benutzbarkeit wichtig: Vistas lärmende User Account Control (UAC) ist ein Beispiel dafür, wie eine gute Idee ins Gegenteil verkehrt wurde.

Zero-Day-Attacks – das Ende Ihres Netzes?

Sind die Rechte erst einmal möglichst restriktiv vergeben, die Systeme aktuell und durch proaktive Maßnahmen abgesichert sowie die Benutzer geschult, müssen weitere Schutzmaßnahmen ergriffen werden. So genannte Zero-Day-Angriffe, sprich: die Ausnutzung noch unbekannter Sicherheitslücken, lassen sich häufig auch mit den beschriebenen Methoden nicht verhindern.

Um diese Art von Attacken effektiv bekämpfen zu können, hat Microsoft (ab Vista) neue Funktionen in seine Betriebssysteme implementiert. Ein Beispiel ist die "Kernel Patch Protection" (auch "PatchGuard" genannt) auf x64-Vista-Systemen: Verändern Treiber einen geschützten Bereich des Kernels, wird das System sofort kontrolliert herunterfahren (BSoD, Blue Screen of Death). Da Systemtreiber und Kernel in allen Windows-Betriebssystemen im Kernel-Ring und mit gleichen Berechtigungen laufen, würde ansonsten Attacken aller Art Tür und Tor geöffnet.

Viele Zero-Day-Attacken beruhen auf Buffer Overflows - eine der am häufigsten ausgenutzten Schwachstellen in Betriebssystemen. Vereinfacht ausgedrückt versucht der Angreifer, zu viele Daten in einen zu kleinen reservierten Speicherbereich (Buffer) zu schreiben, um ihn zum Überlaufen zu bringen. Techniken, die dies verhindern sollen, sind in Nicht-Microsoft-Betriebssystemen schon länger im Einsatz. Seit Vista sind solche Schutzmechanismen auch in die Windows-Betriebssysteme für Clients und Server eingebaut.

Ein Beispiel hierfür ist die "Address Space Layout Randomization" (ASLR). Das Funktionsprinzip: Buffer Offerflows nutzen die streng sequenzielle Struktur von Heap, Stack und Co., um Adressen für Angriffe zu berechnen. Durch die zufällige Anordnung von Speicherbereichen (Randomization) wird die Ausnutzung von Overflows schwieriger. In Kombination damit sollte Data Execution Prevention (DEP) eingesetzt werden. Diese Funktion soll das Ausführen von Code aus bestimmten Speicherbereichen verhindern und wird von allen modernen CPUs unterstützt (NoeXecute-Bit). Doch bislang, selbst Jahre nach der Einführung, wird sie nur sehr sporadisch genutzt. Wer ihren Schutz möchte, sollte sie sorgfältig evaluieren und dann aktivieren, denn aus Gründen der Kompatibilität sind sie meist nicht aktiv.

Sechs Schritte zur Abwehr intelligenter Angreifer
Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.
Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden.
Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten.
Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden.
Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen?
IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.

Das Betriebssystem als direkter Angriffspunkt

Techniken wie das beschriebene ASLR sollen auch vor unbekannten Schwachstellen schützen. Deren Anzahl lässt sich in Relation zur Angriffsfläche eines Systems betrachten, die sich im Wesentlichen aus laufenden Prozessen und Diensten, offenen Ports, aber auch der installierten Software zusammensetzt. Um dem Angreifer möglichst wenig Ansatzpunkte zu liefern, sollte die Angriffsfläche im Idealfall so minimal sein, dass Techniken wie ASLR und DEP gar nicht erst zum Tragen kommen.

Eine gute Systemhärtung etwa kann viele Angriffe abwehren, da sie die Grundlage für den Angriff entzieht. Aber sie erfordert auch viel Know-how und Zeit. Ein Beispiel hierfür ist die Core-Installation des Windows Server 2008, die ohne Benutzeroberfläche und sonstige Spielereien auskommen muss und damit eine neue Richtung in Microsofts Politik bedeutet.

Microsoft hat seit den ersten Gehversuchen mit Windows NT viel Detailarbeit bei den Einstellungen der neuen Betriebssysteme geleistet. So wurde das Sicherheitsniveau neuer Installationen von Server NT bis Windows Server 2008 R2 stark angehoben. Die Betonung liegt hier auf "neue Installation", denn im Gegensatz dazu ist eine Migration, so vorteilhaft sie für ein Unternehmen auch scheinen mag, aus Sicherheitssicht bedenklich.

Durch die Migration von Systemen werden unsichere Einstellungen und mögliche Sicherheitslücken auf das neue System übertragen. Einstellungen wie der berüchtigte LM-Hash (LAN Manager) können durchaus gewünscht sein. Im Gros der Fälle handelt es sich jedoch um Erblasten, die den potenziell sichereren neuen Systemen und Infrastrukturen die Chance nehmen, ihr Potenzial auszuspielen. Ein Server, der seit Jahren immer wieder auf neuere Betriebssysteme migriert wurde, wird nie das Maß an Sicherheit bieten wie ein neues System, dessen Einstellungen bekannt sind.

Top100-2012 Security
Top100-2012 Security
In die Angaben zu den Security-Anbietern und deren Umsätze rechnet Gartner sämtliche Erlöse mit Sicherheitslösungen hinein.
Auch bei den Angaben zu den Security-Anbietern ist es interessant zu verfolgen, wie erfolgreich die Hersteller in den jeweiligen geografischen Regionen sind. Symantec allerdings ist in Emea genauso wie in Deutschland...
... und weltweit sehr deutlich die Nummer eins.
Ähnliches gilt es zusagen bei den Marktanteilen. Auch hier liegt Symantec in allen Regionen klar vorne.
Und auch hier ist auffallend, dass etwa eine Sophos in Deutschland noch Nummer zwei ist, in Emea allerdings schon auf Rang fünf abrutscht.
Weltweit findet Sophos in den Top-10 nicht mehr statt. Umgekehrt CA Technologies: Auf dem alten Kontinent nicht unter den besten zehn Anbietern platziert, rangiert das Unternehmen weltweit wenigstens auf Platz acht.

Durchgängiges Patch-Management – ein Muss

Wichtig ist auch die sichere Erstinstallation eines Servers, die immer offline oder in einem geschützten Segment erfolgen sollte. Während Windows bei der Installation auf den Download neuer Patches hinweist, muss Software von Drittherstellern manuell vor dem produktiven Einsatz auf den aktuellen Stand gebracht werden. Das Patch-Management muss durchgängig sein. Es schadet auch nichts, sich im Vorfeld einen Überblick über die bereits bekannten Sicherheitslücken zu verschaffen.

Wie erwähnt, basiert die Verwundbarkeit eines Servers auf seiner Angriffsfläche. Da die Vielzahl der installierten Funktionen und laufenden Dienste nicht leicht überschaubar ist, bietet Microsoft mit dem "Security Configuration Wizard" (SCW) einen einfach zu bedienenden Assistenten, mit dem sich Sicherheitseinstellungen und Servicekonfiguration eines Servers untersuchen und anhand einer Wissensbasis konfigurieren lassen. Durch die Ausgabe als XML-Datei gehen sowohl die Übertragung auf andere Server als auch die manuelle Nachbearbeitung gut von der Hand. Allerdings ist hier wie bei allen sicherheitsspezifischen Einstellungen Vorsicht geboten, um am Ende nicht vor einem zwar gehärteten, aber funktionsunfähigen System zu stehen.

Der MBSA liefert einen Überblick etwa zum Patch-Status oder zu Defiziten in Sachen Security-Best-Practises im Unternehmen.

Empfehlenswert für Administratoren kleiner und mittlerer Firmen ist auch der "Microsoft Baseline Security Analyzer" (MBSA), der einen Überblick über eine Fülle von Informationen bietet. So lassen sich damit unter anderem die Versorgung mit Updates und das Einhalten von Best Practices schnell und übersichtlich anzeigen. Gerade Unternehmen mit sehr wenigen Systemen können damit notfalls die teureren Lösungen ersetzen.

Security-Mythen
Mythos 1
Mehr Sicherheit ist immer besser.
Mythos 2
Das DDoS-Problem ist mit Bandbreite zu lösen.
Mythos 3
Der Passwort-Ablaufzyklus (typischerweise 90 Tage) schützt die IT-Systeme.
Mythos 4
Auf die Intelligenz der Masse ist Verlass.
Mythos 5
Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen.
Mythos 6
Die IT sollte die Anwender dazu ermutigen, zufällig generierte Passwörter zu benutzen und diese alle 30 Tage zu ändern.
Mythos 7
Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar.
Mythos 8
Wir sind kein Angriffsziel.
Mythos 9
Neue Software ist nicht sicherer als alte.
Mythos 10
Der Transfer von sensiblen Daten via SSL ist sicher.
Mythos 11
Endpoint-Security-Software ist Commodity geworden.
Mythos 12
Mit einer Firewall ist ein Netzwerk geschützt.

Keine Server ohne Clients

Für Clients gelten dieselben Regeln wie für Server: Mehr Dienste, mehr Prozesse und mehr Software führen zu einem höheren Risiko. Die Fülle von Anwendungssoftware, die auf Clients läuft, stellt den größten Teil der Angriffsfläche dar. Hier gilt es, Adobe Reader, Flash, Office und Co. schnell und vor allem sorgfältig mit Security-Patches zu versorgen. Dazu benötigt der Administrator einen umfassenden und detaillierten Überblick über die im Unternehmen eingesetzte Software.

Besitzen manche Anwender lokale Administratorrechte (was sie natürlich nicht sollten), müssen sie besonders auf ihre Software achten und regelmäßig Updates einspielen. Was hierbei gerne übersehen wird, sind die Treiber, die ebenfalls Sicherheitslücken aufweisen können und beim Bekanntwerden einer Sicherheitslücke möglichst schnell aktualisiert werden sollten.

Die Infrastruktur einer Windows-Umgebung ist grundlegend durch das Active Directory und die bereitstellenden Domain-Controller geprägt. Hier gilt: Ist die Sicherheit eines Domain-Controllers kompromittiert, ist auch die Domäne kompromittiert. Um die Angriffsfläche zu reduzieren, sollten Unternehmen auch auf jedem Domain-Controller Microsofts Security Configuration Wizard anwenden.

Kinderkrankheiten von vorgestern

Gerade bei Einstellungen im Bereich Authentisierung zeigen sich die Tücken der Standardinstallationen. Generell gilt: Kann sich ein Angreifer (oder Malware) gültige Credentials eines Benutzers verschaffen, sind ihm Tür und Tor geöffnet. Besonders leicht wird ihm das gemacht, weil in Windows-Umgebungen grundsätzlich mehrere Authentisierungsvarianten zum Einsatz kommen. Die älteste unter ihnen, das LAN-Manager-Protokoll, wird in den meisten Umgebungen nicht mehr benötigt, jedoch nach wie vor konfiguriert und damit stets in Kombination mit sichereren Verfahren verwendet. Dabei ist das viel zitierte und angesprochene Berechnen von Kennwörtern in den meisten Fällen gar nicht interessant, weil Angreifer die abgefangenen Informationen immer wieder zur Authentisierung benutzen können. Daher sollten Unternehmen beim Aufbau einer sicheren Windows-Infrastruktur ausschließlich auf Kerberos und NTLMv2 setzen.

Vor allem im Bereich Active Directory entscheiden sich viele Unternehmen für eine Migration, da die Neuinstallation und das unter Umständen erforderliche Verschieben der DC-Rollen riskant sind. Daher sollten Administratoren, die ihre Domäne schon seit längerem auf neue Versionen aktualisieren, prüfen, ob bestimmte Berechtigungen und Einstellungen noch gewünscht sind. Ein Beispiel hierfür ist die "Prä-Windows-2000-Kompatibilität", die den anonymen Zugriff auf das Active Directory gestattet. Bei vielen Domänen lässt sich diese Funktion deaktivieren, um die Sicherheit zu erhöhen. Das erfordert wie alle Security-Maßnahmen allerdings viel Sorgfalt und die genaue Kenntnis der eigenen Applikationen und Prozesse.

Auch Service-Accounts sind in diesem Kontext erwähnenswert: Ein Service benötigt niemals Domain-Admin- oder Administratorrechte, um die Applikation, für die er verantwortlich ist, auszuführen. Hier darf das Least-Privilege-Prinzip nicht aus Bequemlichkeit gebrochen werden, was allerdings oft geschieht.

Sicherheit auch bei der Administration

Eine sichere Verwaltung durch geschulte Administratoren ist Grundvoraussetzung für eine sichere Infrastruktur. Dabei dürfen Active Directory Service Accounts wie der Domain Admin niemals zur Administration eines Rechners oder Servers verwendet werden. Technisch lässt sich das durchsetzen, indem man das Privileg "Deny logon locally" für diese Accounts auf oberster Ebene der Domäne setzt und alle administrativen Rechner in eine eigene Organisationseinheit verschiebt.

Hintergrund ist, dass diese Accounts so weitreichende Berechtigungen besitzen, dass ihre Credentials in keinem Fall auf Systemen landen dürfen, die nicht vollständig kontrollierbar sind. Das nur als Hinweis darauf, dass ein klares Rechtekonzept mit der Aufteilung administrativer Tätigkeiten erforderlich ist und alle Prozesse genau dokumentiert und auch gelebt werden müssen.

Fazit

Natürlich gibt es keinen perfekten Schutz – aber auch keinen Grund, nicht mit vertretbarem Aufwand und den angebotenen Windows-Bordmitteln die größtmögliche Sicherheit zu erreichen. Microsoft liefert mit seinen Security Guides und Tools mehr als genug Informationen, um technische Herausforderungen anzupacken.

Doch technische Vorkehrungen (und die kleine Untermenge der angesprochenen Maßnahmen) sind keine umfassende Lösung. Für eine umfassende Sicht auf die IT-Security bietet es sich an, Windows-Sicherheit eingebettet in ein Informationssicherheits-Management-System (ISMS) zu betrachten – denn ohne organisatorisch gelebte Sicherheit ist Windows-Security das kleinste Problem im Unternehmen.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)