Monitoring - den Schwachstellen auf der Spur
Der AppLocker ist ein gutes Beispiel dafür, wie ein gezieltes Auditing den Einsatz eines Sicherheits-Features beeinflusst. Für eine umfassende Client-Sicherheitsstrategie müssen sicherheitskritische Vorfälle erkannt werden. Das Wissen um die Schwachstellen ist Grundlage sowohl für eine angemessene Reaktion als auch für eine Bewertung.
Die technische Basis hierfür bietet das Monitoring und Auditing der Windows-Clients. Auf den Windows-Systemen definieren so genannte Audit-Richtlinien, welche Ereignisse von Interesse sind. In der Vergangenheit bot Windows die Wahl zwischen verschiedenen Kategorien, die jedoch oft eine Unmenge an Hintergrundrauschen produzierten, so dass die Analyse schwerfiel. Um dies zu verbessern, hat Microsoft bereits in Vista ein feingranulares Auditing eingeführt, das eine gezielte Prüfung erlaubt. Allerdings unterstützte diese Version keine Gruppenrichtlinien zur Verwaltung. Es gab zwar einen umständlichen Umweg, die Lücke über Kommandozeile und Startup-Skripte zu schließen, doch das Provisorium unterstrich im Grund nur, dass die Lösung unausgereift war.
Auch hier bietet Windows 7 eine Weiterentwicklung. Der gute Ansatz von Vista wurde übernommen und für Unternehmen verbessert. Alle Konfigurationen sind nun über Gruppenrichtlinien verfügbar. Zusätzlich lässt sich jetzt das Auditing für den Zugriff kompletter Gruppen auf das Dateisystem aktivieren. Dies ist besonders dann hilfreich, wenn Zugriffe von zentralen Instanzen und sicherheitskritische Vorgänge wie Berechtigungsänderungen immer nachvollziehbar sein sollen.
Um Erbsünden zu tilgen, die der LAN Manager und NTLM (NT LAN Manager) in den Unternehmen hinterlassen haben, können deren Protokolle erstmals auditiert werden. Damit lassen sich die sicheren Protokolle NTLMv2 (NT LAN Manager Version 2) und Kerberos endlich als alleinige Authentisierungsprotokolle durchsetzen. Das Auditing in Windows 7 und dem zugehörigen Server ist eine wichtige Fortentwicklung und eines der wirksamsten Mittel, um eine umfassende Sicherheit zu schaffen.
Windows 7 - eine konsequente Weiterentwicklung
Windows 7 übernimmt viele sinnvolle Features von Windows Vista. Mit der konsequenten Weiterentwicklung kehrt die neue Version die guten Seiten des Vorgängers hervor. Das neue Betriebssystem ist durch eine sparsamere Auswahl von Softwaremodulen und Services nicht nur schlanker, sondern auch sicherer geworden. Aus diesen Gründen sollten Anwender den Betriebsystem-Wechsel erwägen. Für Unternehmen, die Windows Vista nicht eingeführt haben, ist Windows 7 ohnehin sinnvoll, damit die Benutzer und die IT nicht den Anschluss an die Entwicklung verpassen.
Glossar
Network Access Protection: Dieser Netzwerkzugriffsschutz für Client- und Serverkomponenten ist neu in Windows Vista und Windows Server 2008. Bevor ein Windows-System Netzwerkzugriff erhält, überprüft dieser Schutzmechanismus die Einhaltung der eingestellten Richtlinien.
Zwei-Faktor-Authentisierung: Im Rahmen der Zwei-Faktor-Authentisierung erfolgt die Authentisierung mittels Wissen (Password) und Besitz (USB-Token, oder Smartcard).
Credential-Provider-Systems: Diese Lösung ist eine von einem Third-Party-Provider entwickelte Anwendung, die die Benutzers authentifiziert und die dabei erhaltenen Credentials an das Windows Betriebssystem weiterreicht.
Windows-Biometric-Framework: Dieses Framework authentifiziert Anwender anhand ihres Fingerabdrucks. Hierzu muss ein entsprechendes Lesegerät mit dem System verbunden sein.
User Account Control: Die Funktion User Account Control (Benutzerkontensteuerung) erfordert eine zusätzliche Bestätigung des Anwenders, wenn administrative Aufgaben im System anfallen.
LAN Manager: Er authentifiziert Anwender mittels User-Name und Passwort.
NTLM: Der NT LAN Manager ist ein Challenge-Response basierendes Authentifizierungsverfahren.
Kerberos ist ein verteilter Authentifizierungsdienst, der im Umfeld von unsicheren Netzen zum Aufbau sicher Verbindungen eingesetzt werden kann.