Desktop-Strategien/Betriebssystem bringt zahlreiche neue Sicherheits-Features

Licht und Schatten bei Windows XP

24.05.2002
Windows ist das am weitesten verbreitete Desktop-Betriebssystem. Die Migration auf XP steht bei vielen Unternehmen in nächster Zeit an. Zahlreiche neue Merkmale, besonders im Bereich Sicherheit, machen das jüngste Produkt der Redmonder interessant. Doch für den Unternehmenseinsatz sind manche dieser Funktionen nur unzureichend ausgelegt. Von Michael Pietroforte*

Das Thema Sicherheit gewinnt in der IT-Branche zusehends an Bedeutung. Insbesondere Microsoft-Produkte stehen immer wieder im Visier von Attacken aller Art. Innerhalb der Sicherheitskette ist oft der Desktop-Rechner das schwächste Glied. Für den Einsatz im professionellen Umfeld hatte bereits Windows 2000 mit einer Reihe neuer sicherheitsrelevanter Funktionalitäten aufwarten können. Der Nachfolger Windows XP bringt einige interessante Verbesserungen im Detail, aber auch vollkommen neue Features, die den ein oder anderen Systemadministrator zum Upgrade bewegen könnten.

Ein Mehr an Sicherheit bringt oft auch ein Mehr an Konfigurationsaufwand mit sich. Gerade den an technischen Details nicht interessierten Anwender versuchten die Entwickler von Windows XP vor mühevoller Kleinarbeit zu verschonen. Ein typisches Beispiel hierfür ist die Internet-Verbindungs-Firewall ICF (Internet Connection Firewall), eine Personal Firewall, die Bestandteil der Home- und der Professional-Ausgabe ist. Sie wird beim Einrichten einer DFÜ-Verbindung standardmäßig aktiviert und erfordert normalerweise keinerlei weitere Eingriffe. Fungiert der PC als Internet-Gateway, stehen auch die anderen Computer im Netz hinter der Deckung der Firewall. Während Anwendungen hinter der Firewall benötigte Ports automatisch öffnen können, laufen alle aus dem Internet initiierten Verbindungsaufbauversuche ins Leere.

Mit Personal Firewalls von Drittanbietern kann es die ICF mit ihren spartanischen Konfigurationsmöglichkeiten nicht aufnehmen. So fehlt zum Beispiel eine Kontrolle darüber, welche Anwendungen des eigenen Computers Zugriff auf das Internet erhalten. Damit bietet die Firewall keinen Schutz gegen Trojaner. Auch gegen Würmer wie Nimda ist die ICF wirkungslos.

Für den Einsatz im Unternehmensnetz ist die Internet-Verbindungs-Firewall weniger geeignet, da sie auch Systemadministratoren den Zugriff auf die Arbeitsplatzrechner verwehrt, die sich nicht im selben Subnetz befinden. Eine zentrale Konfiguration, wie man sie von professionellen Personal-Firewall-Systemen kennt, ist mit der ICF nicht möglich. Immerhin kann man über Gruppenrichtlinien die Internet-Verbindungs-Firewall deaktivieren, wobei dies dann keinen Einfluss auf die Konfiguration der ICF außerhalb der Domäne hat.

Die ICF lässt also noch viel Spielraum für Verbesserungen. Dagegen hat das Encrypting File System (EFS) in Windows XP Professional bereits einige der Kinderkrankheiten abgelegt, die bei seiner Einführung in Windows 2000 den zusätzlichen Nutzen für die Sicherheit in Frage gestellt hatten (siehe CW 10/01, Seite 20). Neben einigen Detailverbesserungen wie der Anzeige der Wiederherstellungsagenten in den Eigenschaften einer verschlüsselten Datei oder der Warnung, die man jetzt beim Kopieren auf Dateisysteme ohne EFS-Unterstützung erhält, haben sich auch einige grundsätzliche Dinge geändert.

So kann man jetzt anderen Benutzern den Zugriff auf codierte Dateien erlauben, indem man deren Konten den Eigenschaften der Datei hinzufügt. Dabei lassen sich jedoch nur einzelne Benutzer und keine Gruppen freischalten.

EFS ist nun schwerer zu knacken

Um den Kollegen dann über das Netz den Zugriff auf die verschlüsselten Dateien zu ermöglichen, sollte man keine Netzwerkfreigaben über eine unsichere Internet-Verbindung verwenden, da die Daten hierbei unverschlüsselt übertragen werden. Sollen EFS-Dateien gemeinsam benutzt werden, empfiehlt sich der Einsatz von Webdav (Web Distributed Authoring and Versioning), da hier die Dateien erst nach der Netzübertragung decodiert werden. Nach wie vor verhindern EFS-codierte Dateien in einem Server-gespeicherten Profil die Synchronisierung des gesamten Profils mit den Daten auf dem Server. Immerhin kann EFS jetzt im Zusammenspiel mit Offline-Dateien eingesetzt werden. Über die Ordneroptionen wird hierzu die Verschlüsselung aller Offline-Dateien für den gesamten PC aktiviert.

Die wichtigsten Neuerungen in EFS betreffen die verbesserte Sicherheit. Auf einem Windows-2000-System, zu dem man physischen Zugang hat, ist es ein Leichtes, EFS zu knacken. So muss man lediglich über eine Zweitinstallation von Windows 2000 oder mit einem geeigneten Tool die SAM-Datenbank löschen, um das Administratorpasswort auf "leer" zu setzen. Da der Administrator standardmäßig Wiederherstellungsagent ist, hat man damit Zugang zu allen EFS-verschlüsselten Daten auf der Festplatte. In Windows XP wurde dieser Weg in zweifacher Weise verbaut: Löscht man die SAM-Datei von einem Fremdsystem aus, kann man sich an dieser Installation nicht mehr anmelden. Außerdem ist die Festlegung eines Wiederherstellungsagenten jetzt nicht mehr zwingend, und der Administrator hat standardmäßig keinen Zugriff mehr auf alle EFS-Dateien des Systems.

Auch mit den einschlägigen Tools ist EFS nicht mehr beizukommen. Zwar ermöglichen diese Programme auch unter Windows XP, ohne Anmeldung am System jedes Passwort neu zu setzen, Zugang zu EFS-verschlüsselten Daten erhält man so aber nicht mehr. Auch das Knacken von EFS-Dateien mit purer Gewalt wurde erschwert. Statt der DESX-Codierung, einem von Microsoft verbesserten DES-Algorithmus, kann man nun auch 3DES verwenden. Die effektive Schlüssellänge erhöht sich damit von 112 auf 156 Bit. Allerdings muss 3DES über die lokale Sicherheitsrichtlinie erst aktiviert werden.

Ähnlich wie EFS wies auch Wep (Wired Equivalent Privacy), der Algorithmus zur Sicherung von Funk-LANs, bei seinem Debüt schwerwiegende Sicherheitsmängel auf. Das Hauptproblem bei Wep stellt das statische Key-Management dar. Zwar wird der Wep-Schlüssel für jede Sitzung neu generiert, doch lässt sich dieser durch passives Belauschen des Funkverkehrs bei einer hinreichend großen Datenmenge leicht ermitteln. Ein neuer Standard der IEEE mit der Bezeichnung 802.1x soll diese Sicherheitslücke nun schließen. Microsoft hatte dieses Verfahren bereits vor seiner Verabschiedung in Windows XP implementiert.

Neuerungen bei Authentifizierung

Die entscheidende Neuerung ist die Einführung einer benutzerbasierten Authentifizierung im Gegensatz zur computerbasierten. Über EAP (Extensible Authentication Protocol) meldet sich der Benutzer an einem Radius-Server an. Das dafür notwendige Zertifikat kann unter Windows XP entweder aus dem Zertifikatsspeicher des Computers oder von einer Smartcard gelesen werden.

Nach erfolgreicher Anmeldung wird dem Client dynamisch ein eindeutiger Wep-Schlüssel für die jeweilige Sitzung zugeteilt. Auf diese Weise lassen sich Schlüssel häufig genug ändern, um Brute-Force-Attacken deutlich zu erschweren.

Neuerungen in Bezug auf zentrale Authentifizierungsmechanismen findet man in Windows XP noch an einigen anderen Stellen. Die Microsoft-Entwickler versuchen das Single-Sign-on-Problem von zwei Seiten anzugehen. Zum einen sollen Authentifizierungsinformationen in zentralen Datenbanken im Internet abgelegt werden - Stichwort .Net-Passport - und zum anderen bietet Windows XP ein verbessertes Credential-Management zur lokalen Ablage von Authentifizierungsdaten.

Unbefugter Netzzugriff erschwert

Zur Auswahl stehen für das letztere Verfahren wie schon bei Windows 2000 X.509-Zertifkate oder die klassische Benutzername-Passwort-Kombination. Anwendungen legen über die Credential-Prompting-API im Protected Storage Daten ab und können diese dann zur Authentifizierung heranziehen. Neu ist bei XP nun, dass der Anwender selbst seinem Konto Kennworte hinzufügen kann. Dabei werden ein Server oder eine Internet-Domain und der Benutzername nebst Passwort angegeben.

Neben diesen Erweiterungen, die dem Anwender den Umgang mit seinen Authentifizierungsdaten erleichtern sollen, werden in Windows XP einige neue Einschränkungen eingeführt, die den unberechtigten Zugriff über das Netz erschweren sollen. Hierzu gehört beispielsweise, dass Benutzerkonten mit leerem Passwort die Anmeldung an einem Windows-XP-System über das Netz verwehrt wird. So können sich Benutzer ohne Passwort zum Beispiel nicht auf dem Remote Desktop anmelden oder über das Run-As-Kommando Anwendungen mit einer anderen Benutzerkennung starten. Die Standardfreigaben auf Laufwerke gibt es nicht mehr. Bevor Verzeichnisse im Netz freigeben werden können, muss man dieses explizit aktivieren, und beim Zugriff darauf wird man standardmäßig nur mit Gastprivilegien angemeldet. Im Unternehmensnetz behindern Einschränkungen dieser Art freilich auch die Systemadministration, weshalb diese wohl bei der Einbindung in eine Domäne aufgehoben werden müssen.

Interessant für den Einsatz im Unternehmen sind die neuen Richtlinien zur Softwareeinschränkung. Während unter Windows NT/2000 dies nur über die Dateinamenerweiterungen möglich war und leicht umgangen werden konnte, lässt sich dies jetzt über den Pfad, einen Hash-Code, die Internet-Zone oder eine Signatur von Microsoft bewerkstelligen. Der Administrator hat dabei die Wahl zwischen zwei Strategien: Entweder werden die Anwendungen bestimmt, die ausgeführt werden dürfen, oder es werden jene Applikationen angegeben, die nicht gestartet werden sollen.

Windows XP bietet also eine Reihe interessanter sicherheitsrelevanter Neuerungen gegenüber Windows 2000. Dass trotz der deutlich verbesserten Sicherheit von Windows XP schon bald die ersten Sicherheitslücken auftauchen werden, gilt indes bereits als sicher. (js)

*Michael Pietroforte ist freier Autor in München.

Automatische UpdatesDas wichtigste neue Sicherheits-Feature ist die automatische Update-Funktion. Seit der Einführung von Windows XP im Oktober 2001 stellte Microsoft so immerhin schon elf Sicherheits-Updates zur Verfügung. Bei bestehender Internet-Verbindung wird regelmäßig auf neue Updates hingewiesen, die dann per Mausklick geladen und installiert werden können. Der Aktualisierungsaufwand für den Anwender reduziert sich so auf ein Minimum. Da nur Administratoren über die nötigen Installationsrechte verfügen, empfiehlt es sich, im Unternehmensnetz diese Funktion per Gruppenrichtlinie zu deaktivieren.