Absichern mit Bordmitteln

Die wichtigsten Sicherheitstipps für Windows

20.11.2012
Von Matthias Fraunhofer

Kinderkrankheiten von vorgestern

Gerade bei Einstellungen im Bereich Authentisierung zeigen sich die Tücken der Standardinstallationen. Generell gilt: Kann sich ein Angreifer (oder Malware) gültige Credentials eines Benutzers verschaffen, sind ihm Tür und Tor geöffnet. Besonders leicht wird ihm das gemacht, weil in Windows-Umgebungen grundsätzlich mehrere Authentisierungsvarianten zum Einsatz kommen. Die älteste unter ihnen, das LAN-Manager-Protokoll, wird in den meisten Umgebungen nicht mehr benötigt, jedoch nach wie vor konfiguriert und damit stets in Kombination mit sichereren Verfahren verwendet. Dabei ist das viel zitierte und angesprochene Berechnen von Kennwörtern in den meisten Fällen gar nicht interessant, weil Angreifer die abgefangenen Informationen immer wieder zur Authentisierung benutzen können. Daher sollten Unternehmen beim Aufbau einer sicheren Windows-Infrastruktur ausschließlich auf Kerberos und NTLMv2 setzen.

Vor allem im Bereich Active Directory entscheiden sich viele Unternehmen für eine Migration, da die Neuinstallation und das unter Umständen erforderliche Verschieben der DC-Rollen riskant sind. Daher sollten Administratoren, die ihre Domäne schon seit längerem auf neue Versionen aktualisieren, prüfen, ob bestimmte Berechtigungen und Einstellungen noch gewünscht sind. Ein Beispiel hierfür ist die "Prä-Windows-2000-Kompatibilität", die den anonymen Zugriff auf das Active Directory gestattet. Bei vielen Domänen lässt sich diese Funktion deaktivieren, um die Sicherheit zu erhöhen. Das erfordert wie alle Security-Maßnahmen allerdings viel Sorgfalt und die genaue Kenntnis der eigenen Applikationen und Prozesse.

Auch Service-Accounts sind in diesem Kontext erwähnenswert: Ein Service benötigt niemals Domain-Admin- oder Administratorrechte, um die Applikation, für die er verantwortlich ist, auszuführen. Hier darf das Least-Privilege-Prinzip nicht aus Bequemlichkeit gebrochen werden, was allerdings oft geschieht.