Absichern mit Bordmitteln

Die wichtigsten Sicherheitstipps für Windows

Windows ist das beliebteste Angriffsziel für Hacker. Wer einige Grundregeln beachtet und die mitgelieferten Sicherheitsfunktionen konsequent nutzt, kann die Sicherheit des Microsoft-Betriebssystem aber deutlich erhöhen.

Sowohl im Privatbereich als auch in Firmen hat Windows den höchsten Marktanteil. Kein Wunder, dass sich auch die Angreifer auf Windows als Ziel eingeschossen haben. Aber Microsoft stellt auch etliche Tool und Funktionen bereit, mit denen man Attacken sicher verhindern kann. Für Unternehmen gilt es, einige Sicherheitsgrundregeln zu beachten. Sie betreffen die Bereiche Clients und Server sowie das Active Directory als grundlegenden Verzeichnisdienst in Windows-Umgebungen. Dieser Ratgeber liefert einen Einblick, wie sich eine Windows-Umgebung mit bordinternen Mitteln sicherer gestalten lässt. Aber auch Aspekte wie das Patch-Management, proaktive Schutzmaßnahmen, Schulung der Benutzer und eine vernünftige Vergabe von Rechten kommen zur Sprache.

Zeitnahe Patches

Selbst wenn es bereits hinlänglich bekannt ist: Updates sind unbedingt zeitnah, flächendeckend und kontrolliert einzuspielen. Als Grund für das oft wochenlange Aussetzen eines Patchs werden häufig fehlende Ressourcen und die Angst vor Betriebsstörungen angeführt. Dabei tritt oft genau das Gegenteil ein, wie die explosive Verbreitung des Conficker-Wurms deutlich machte: Selbst lange Zeit nach dem Erscheinen des Microsoft-Patchs am 23. Oktober 2008, der die von dem Schädling ausgenutzte Windows-Schwachstelle behebt, waren viele Systeme noch nicht aktualisiert und somit angreifbar.

Noch Monate später legte Conficker Unternehmen und Behörden lahm und verursachte hohe Schäden - Microsoft-Emea-Sicherheitschef Roger Halbheer bezeichnete dies als "russisches Roulette mit dem Netzwerk". Als Beispiel, wie aus Zero-Day-Attacken dann "Three-Month"-Attacken werden, verdeutlicht dieser Fall, wie sehr es beim Kampf gegen Sicherheitslücken auf Tempo ankommt. Unternehmen müssen in diesem Kontext auch auf ein lückenloses Auditing der Systeme achten, um durchgängig aktuelle Patches installiert zu haben. Erreichen lässt sich dies mit Hilfe integrierter Systeme wie den "Microsoft Windows Server Update Services" (WSUS) oder dem "Software Update Management" in Microsofts "System Center Configuration Manager" (SCCM).

Erst wenn alle Systeme auf einem angemessenen Versionsstand sind, kommen andere, proaktive Maßnahmen überhaupt zum Tragen. Was hier nicht fehlen darf, ist ein Virenschutzkonzept für Clients und Server samt umfassender Strategie sowie eine geeignete technische Umsetzung. So sind Malware-Scanner nur so viel wert wie ihre Signaturen. In Kombination bieten sich weitere proaktive Schutzmaßnahmen an - etwa die Konfiguration und Aktivierung der lokalen Firewall über die "Gruppenrichtlinien".

Balance zwischen Sicherheit und Benutzbarkeit

Sicherheit ist aber nicht nur ein technisches Problem. Häufig ist es der Mensch, der Angriffen Tür und Tor öffnet. Die Gründe hierfür sind mangelndes Bewusstsein für sicheres Verhalten oder Neugier, nicht selten aber auch die mangelnde Benutzbarkeit der verwendeten Software. Das beste technische Konzept versagt, wenn der Benutzer die Tragweite seiner Aktionen nicht erkennen kann. Auch allzu restriktive Regeln, wie etwa ein 30-Zeichen-Passwort, erhöhen die Sicherheit nicht. Hierbei ist der Anwender dann eher versucht, einen Zettel als Merkhilfe auf den Monitor zu kleben.

Selbst geschulte Benutzer brauchen klar definierte Grenzen - schließlich wird Malware zunächst die Rechte des Benutzers ausnutzen. Ein Wurm mit administrativen Rechten hat gute Chancen, seiner Bestimmung nachzugehen. Daher ist stets das Least-Privilege-Prinzip anzuwenden: Jeder Benutzer, jeder Dienst und jedes System erhält demnach nur die Rechte, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind. Hier gilt es, besonders strikt vorzugehen, was eine genaue Kenntnis der Arbeitsabläufe und Systeme voraussetzt.

Die Umsetzung des Least-Privilege-Paradigmas gehört zu den besten Methoden, ein grundlegendes Fundament für sichere Systeme zu schaffen - allerdings ist es dazu häufig erforderlich, mit alten Gewohnheiten zu brechen. Auch hier ist die Balance zwischen Sicherheit und Benutzbarkeit wichtig: Vistas lärmende User Account Control (UAC) ist ein Beispiel dafür, wie eine gute Idee ins Gegenteil verkehrt wurde.