Erste Bilanz der Trustworthy-Initiative

Ist Microsoft besser als sein Ruf?

13.12.2002
MÜNCHEN (CW) - Die Trustworthy-Initiative von Microsoft soll Software- und Internet-Technologien so sicher und zuverlässig machen wie Telefone. Tools für Server und Clients sowie ein Software Update Service sorgen derzeit für die Sicherheit des Betriebssystems. Glaubt man manchen Experten, so ist Microsoft in Sachen IT-Security inzwischen besser als sein Ruf.

Kritiker bemängeln immer wieder, dass Microsoft-Produkte vor Sicherheitslücken nur so strotzen. Nach Angaben von Tech Republic jedoch schnitt das Betriebssystem Windows 2000 in einem Vergleich hinsichtlich der Anzahl entdeckter Schwachstellen im Jahr 2001 überraschend gut ab. Besser war nur SCO Open Server 5.0.6, das nicht mehr lange auf dem Markt sein wird. Die meisten Sicherheitslücken offenbarte dagegen Mandrake Soft Linux 7.2, gefolgt von Redhat Linux 7.0.

Über Bugs und andere Bedrohungen innerhalb von Windows-Umgebungen informiert der E-Mail-Notification Service (http://www.microsoft.com/Technet/security/bulletin/notify.asp). Laut Frank Fischer, Consultant - IT Security beim Microsoft-Partner Itacs, handelt es sich dabei um die erste Information, die man bekommen könne - eine Art "Tagesschau jedes Windows-Administrators". Ein Abonnement dieses Service sei daher lebensnotwendig.

Auch die Patches unterliegen einem gewissen Lebenszyklus. Nach dem Bekanntwerden eines Bugs kommt in der Regel ein einzelner Bug-Fix auf den Markt. Im Laufe der Zeit sammeln sich oft mehrere Fehler an, die dann in einem Multi-Patch zusammengefasst werden. Übersteigt die Menge der Patches ein gewisses Maß, oder ist eine Datei mehrfach betroffen, so veröffentlicht Microsoft ein "Security Rollup Package" (SRP). Ein Service Pack kann viele SRPs enthalten, daneben bietet es aber auch zusätzliche Funktionalität.

Neben den Patches existieren spezielle Werkzeuge für Server und Clients. Auf der Server-Seite gibt es folgende Tools: "Hfnetchk.exe" liest aus, welche Patches auf der Maschine sind. "Das kann man auch per Hand programmieren", argumentiert Fischer beim 17. Treffen der NT-Anwendergruppe für IT-Profis in Eching bei München. Allerdings nehme Hfnetchk.exe eine XML-Datei zur Hilfe, sei relativ mächtig und netzwerkfähig. Ein weiteres Tool, der "IIS Lockdown Wizard", sichert den Internet Information Server (IIS), indem er beispielsweise das Blockieren von Services erlaubt. Besonders positiv bewertet der Berater "URLscan". Dabei handelt es sich um eine 218 KB große Application Firewall. Seit NT 4.0 lassen sich damit gültige Web-Anfragen definieren.

Client-seitig gibt es den Microsoft Baseline Security Advisor (MBSA), der die Sicherheits-Konfiguration überprüft und Passwort-Sicherheit beinhaltet. Vom Software Update Service (SUS) war Fischer dagegen enttäuscht. Er kann zwar Security-Patches verteilen, aber keine Gerätetreiber wie der Windows Update Server. Windows Update Server hängen im Internet und beziehen Informationen direkt von Microsoft, Software Update Server dagegen befinden sich im Unternehmens-Intranet. Über Updates entscheidet dort der Administrator und stellt diese mittels interner Server allen Clients zur Verfügung. SUS sei sehr stabil, mache aber in kleineren Firmen wenig Sinn. (sra)

Abb: Gemeldete Sicherheitslücken der Betriebssysteme

Im Vergleich mit anderen Betriebssystemen schneidet Windows 2000 nicht schlecht ab. Quelle: John McCormick, Tech Republic