Kaum hängt ein Windows-System im Netz, ist es Sicherheitsrisiken ausgesetzt. Kommen im Unternehmen verschiedene Betriebssystemversionen zum Einsatz, kann sich die Absicherung der Windows-Systeme für den Administrator beinahe beliebig komplex entwickeln. Es ist ja in der Praxis keineswegs so, dass ausschließlich Windows-7-Clients mit Windows-Server-2008-R2-Systemen zusammenarbeiten.
Microsoft und Windows stellen einige Tools und Funktionen zur Verfügung, die Administratoren bei der Absicherung von Systemen helfen. Nachfolgend haben wir die Möglichkeiten der Absicherung von Windows-Computern zusammengefasst und dabei auch den Aufwand für Admins berücksichtigt. Manches mag banal klingen, aber die Erfahrung lehrt, dass auch die einfachen Dinge in der Praxis nicht immer beachtet werden.
Halten Sie Windows auf dem neuesten Stand
Microsoft macht es den IT-Verantwortlichen glücklicherweise recht einfach, die in der Firma eingesetzten Client-Computer und Serversysteme auf dem neuesten Stand zu halten. Die wichtigste Lösung hierzu ist die Windows-Komponente WSUS (Windows Server Update Services).
Dabei handelt es sich um eine von Microsoft bereitgestellte Patch- und Update-Software, die aus einer Server- und einer Client-Komponente besteht. WSUS unterstützt Administratoren dabei, die notwendigen Updates in lokalen Netzwerken zentral auszuliefern. Einfach ausgedrückt handelt es sich beim WSUS um die lokal zu installierende Variante des aus dem Internet bekannten "Microsoft Update"-Dienstes. Sobald der Hersteller ein Service Pack, Hotfix oder Patch für seine Produkte im Internet bereitstellt, wird dies in der lokalen Installation heruntergeladen. Wann diese Korrekturen auf welchen Computern installiert werden sollen, das entscheidet der Administrator.
Die WSUS-Software kann auf jedem Windows Server 2003 SP1 oder höher eingerichtet werden. Die Installation selbst dauert nur wenige Minuten, das Herunterladen der verschiedenen Updates kann, in Abhängigkeit von der Geschwindigkeit der Internetanbindung, mehrere Stunden in Anspruch nehmen. Dabei wird zunächst der Client über die Gruppenrichtlinie oder außerhalb einer Domänenstruktur über die Registry konfiguriert.
Zentrale Update-Steuerung
Danach können Administratoren die Verteilung aller durch Microsoft Update veröffentlichten Software-Updates auf Computern im Netzwerk zentral über ein Snap-In der Microsoft Management Console (MMC) steuern. Darüber hinaus kann ein WSUS Server als Update-Quelle für untergeordnete WSUS Server dienen, was den Aufbau einer Kaskade in einem verteilten Netzwerk ermöglicht.
Microsoft hat in die Betriebssysteme Windows 2000 mit SP3, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 und Windows 7 bereits eine Client-Komponente integriert. Sie ermöglicht es Server- und Client-Computern, Updates von Microsoft Update oder von einem Server zu beziehen, auf dem WSUS ausgeführt wird. Die korrekte Reihenfolge der Aktualisierung und die passende Version - x86- oder x64-Patch - legt der WSUS selbst fest. Der zuständige Administrator muss sich um derlei Details nicht selbst kümmern.
Die aktuell gebräuchliche Version 3 der Windows Server Update Services ist bereits seit dem Jahr 2007 auf dem Markt und wurde in vielen Details gegenüber den direkten Vorgängern verbessert. Verschachtelte Gruppen, sogenannte "Nested Target Groups", sind ebenso wie ein grundlegendes Reporting mit Export an Microsoft Excel und PDF und eine eingebaute E-Mail-Benachrichtigung möglich. Für ein ausführlicheres Aktivitäten-Monitoring ist WSUS jedoch auf die Zusammenarbeit mit dem kostenpflichtigen Microsoft Operations Manager 2005 (MOM) oder dem ebenfalls käuflich zu erwerbenden Microsoft SCCM (System Center Configuration Manager) angewiesen. Aber auch ohne diese Erweiterung bietet der WSUS die zentral gesteuerte Aktualisierung beinahe aller Microsoft-Programme, vom Betriebssystem über Serveranwendungen bis hin zu Microsoft Office und dem kleinen (bereits abgekündigten) Microsoft-Works-Paket.
Kostenloser Sicherheits-Check für Windows 7 und Windows Server
Welche Aktualisierungen einem Windows-PC fehlen, ermittelt eine Softwarekomponente, die auch zentral eingesetzt werden kann. Der Microsoft Baseline Security Analyzer (MBSA) ist ein kleines Tool, das Unternehmen dabei hilft, den Sicherheitsstatus der Maschinen mit den Sicherheitsempfehlungen des Herstellers abzugleichen.
Neben der einfachen Feststellung, welche Patches und Updates fehlen, analysiert der MBSA auch häufig vorkommende Fehler in der Sicherheitskonfiguration von PCs und Servern.
MBSA setzen laut Informationen seitens Microsoft viele Drittanbieter von Sicherheitsprodukten ein. Damit dürften pro Woche durchschnittlich mehr als drei Millionen Computer weltweit mit diesem Tool geprüft werden.
Aktuell wird MBSA kostenlos in der Version 2.2 angeboten, die Windows 7 und Windows Server 2008 R2 unterstützt. In dieser Version wurde erstmals auch die uneingeschränkte Unterstützung für die 64-Bit-Plattformen und Sicherheitsrisikobewertungen von 64-Bit-Plattformen und -Komponenten umgesetzt.
Ohne Virenschutz geht es nicht
Ohne einen adäquaten Virenschutz kommt kein Unternehmen aus - angesichts der geschätzten 40 Millionen digitaler Plagegeister kein Wunder: Zu groß ist das Risiko, das von malignen Programmen, seien es nun Würmer, Trojaner, Viren oder andere Schadsoftware, ausgeht.
Die AV-Lösungen für den Privat-PC sind mit vielen Zusatzfunktionen wie einer vermeintlich verbesserten Firewall oder einem Anti-Spam-Filter aufgewertet. Enterprise- oder Business-Varianten der Programme verzichten üblicherweise auf derlei Zusätze. Für den professionellen Einsatz gibt es ausgereiftere Lösungen. Beispielsweise wird eine Anti-Spam-Software durch den Administrator zentral in der DMZ eingesetzt und verhindert den Empfang von unerwünschter Post bereits an dieser Stelle. Für das Unternehmensumfeld bedarf es einer zentralen Managementlösung, die möglichst automatisiert die AV-Updates auf die Client-Systeme bringt.
Faktisch jeder namhafte Hersteller von AV-Programmen verfügt über eine Business-Variante, die über eine zentrale Konsole Client-Computer automatisch oder auf Mausklick mit dem AV-Agent ausstatten kann. Je nach Konfiguration aktualisieren sich bei derartigen Lösungen alle PCs im Netzwerk vollautomatisch, sobald der Hersteller die AV-Pattern aktualisiert. Der Administrator kann aber auch einen speziellen Testbereich anlegen, in dem dann alle Updates zunächst auf die Zusammenarbeit mit den gebräuchlichen Programmen hin geprüft werden.
Alte Rechner und Legacy-Awendungen schützen
Es ist sicher kein Problem, für aktuelle PCs einen Virenschutz bereitzustellen. Aber wie steht es um die Alt-Rechner, auf denen einzelne Legacy-Applikationen betrieben werden müssen? Oder um den alten Windows-NT4-Server mit einer mehr als zehn Jahre alten Datenbank, von der kein Mitarbeiter mehr weiß, wie sie überhaupt eingerichtet wurde? Viele Legacy-Applikationen können als virtuelle Applikationen oder in virtuellen Maschinen weiterbetrieben werden. Ohne direkten Netzwerkzugriff stellen sie dann keine Gefahr für die Sicherheit im Unternehmen mehr dar.
Bei den Alt-Servern ist das möglicherweise ein bisschen komplizierter. Für solche Fälle bieten sich Spezialvarianten des Virenschutzes an, wie die Norman-Network-Protection (NNP)-Appliance, die vom norwegischen Hersteller Norman 2006 erstmalig vorgestellt wurde. Sie ist eine integrierte Hard- und Softwarelösung zum Schutz der Kommunikationsinfrastruktur vor schädlichen Programmen wie Viren, Spyware, Würmern und Trojanern. Die NNP ist im Netzwerk so zu positionieren, dass der zu überwachende Datenstrom durch den Server fließt. Jedes Datenpaket wird durch den integrierten Scanner transparent auf Schädlinge überprüft.
Dass dieser Vorgang wirklich transparent ist, zeigt sich darin, dass die Netzwerk-Interfaces weder über IP-Adressen verfügen noch dass der Systemverwalter zum Einsatz der Appliance etwas an den Routing-Einstellungen verändern muss. Findet die NNP einen Virus oder sonstigen Schädling, so wird dieser aus den Datenpaketen entfernt oder eine Warnung an die Administration geschickt. Die NNP ist keine Firewall - trotzdem lässt sich der Datenverkehr über BitTorrent, FTP, POP, RPC, FTP, TFTP, CIFS oder SMTP als Protokoll durch sie mit wenigen Einstellungen unterbinden.
Nutzen Sie die Windows-Firewall
Die Zeiten des stets als unsicher verschrienen Betriebssystems Windows sind glücklicherweise vorbei. Microsoft hat mit dem Service Pack 2 von Windows XP einen entscheidenden Schritt zur Erhöhung der Betriebssicherheit vollzogen: Die Windows-Firewall ist in der Standardeinstellung aktiviert und muss nicht erst eingeschaltet werden. Dieser Schritt zu einem Mehr an Sicherheit betrifft jedoch in erster Linie die privat verwendeten Computer:
In vielen Unternehmen wird die Firewall über eine Gruppenrichtlinie deaktiviert, um Probleme mit verschiedenen Applikationen bereits im Vorfeld zu umgehen. Dieser Schritt ist zwar aus administrativer Sicht für den ungestörten Betriebsablauf absolut verständlich, mit Blick auf die Betriebssicherheit jedoch äußerst kurzsichtig. Das Argument, das komplette Netzwerk befinde sich ja hinter einer teuren und gut konfigurierten Firewall, greift zu kurz. Ein Schädling, der innerhalb des Unternehmensnetzwerks freigesetzt wird, hat so ungehindertes Spiel.
Die Windows-Firewall ist ein gut geeignetes Mittel, die allgemeine Sicherheit zu vergrößern. Ein großer Vorteil der eingebauten Variante besteht darin, dass sie sich über Gruppenrichtlinien sehr leicht und detailliert durch den Administrator steuern lässt. Der zeitliche Aufwand ist dabei weitaus geringer, als es auf den ersten Blick scheint.
Die Aufgabe des Administrators besteht darin, die für den Betrieb der Programme benötigten Port-Adressen für TCP und UDP zu ermitteln und entsprechend freizugeben. Eine weitere Variante ist, den jeweiligen Applikationen den Zugriff auf Netzwerkressourcen grundsätzlich zuzugestehen. Eine detaillierte Beschreibung zur Aktivierung und Steuerung der Firewall unter Windows XP und zum Verwalten der Vista-Firewall (gilt ebenfalls für Windows 7) bietet Microsoft auf der Technet-Website.
Aktualisieren Sie Browser und zugehörige Komponenten
Firewall einschalten, Windows auf dem neuesten Stand halten und mit aktuellen AV-Pattern versorgen - das allein ist leider nicht mehr ganz zeitgemäß. Nach mobilen Datenträgern und der E-Mail ist das Surfen im Internet nach wie vor das Haupteinfallstor für Schädlinge. Zwar erhöht die Antivirenlösung auch in diesem Fall die Sicherheit, aber es ist weitaus wichtiger, den Browser und dessen verwendete Komponenten auf dem neuesten Stand zu halten.
Ein veralteter Mozilla Firefox mit einer wohlbekannten Anzahl von Sicherheitslücken ist gegen einen gezielten Angriff deutlich weniger standhaft als ein frisch gepatchter Microsoft Internet Explorer. Viele Administratoren achten jedoch in erster Linie auf die Aktualisierung ihrer Microsoft-Produkte und übersehen die große Anzahl anderer Applikationen. Adobe Flash, Google Chrome, Mozilla Firefox und Adobe Acrobat bedürfen einer vergleichbaren Aufmerksamkeit, da es sich bei diesen Programmen ebenfalls um Standardanwendungen handelt, die faktisch in jedem Unternehmen eingesetzt werden.
Die für den Administrator einfachste Form der Aktualisierung ist eine Softwareverteilung. Doch: MSI-Pakete per GPO im Active Directory zu verteilen ist zwar kostenlos und relativ leicht umzusetzen, aber es mangelt an Kontrollmöglichkeiten und an einer brauchbaren Fehlerberichterstattung.
Die verschiedenen Freeware-Programme könnten sich auf lange Sicht als teuer herausstellen, da der Zeitaufwand bis zur effektiven Nutzung möglicherweise hoch ist. Professionelle Lösungen wie Microsoft SCCM, Matrix42 Empirum, Baramundi Deploy, Aagon ACMP oder Frontrange Desktop Management sind in vielen Konstellationen die besser geeigneten Programme, da sie Abhängigkeiten von der bisherigen Softwareausstattung prüfen und einen Überblick über die aktuell eingesetzten Versionen bieten.
Erweiterter Netzwerkschutz ab Windows-Server 2008
Mit Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Original als Network Access Protection (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk erheblich zu verbessern.
Es handelt sich hierbei nicht um einen Schutzmechanismus wie etwa eine Firewall, bei der Zugriffe von Netzwerkadaptern oder auf diese überwacht werden. NAP geht über die üblichen Sicherheitsfunktionen hinaus: Ein Computer, der sich mit dem Unternehmensnetzwerk verbinden möchte, wird zunächst darauf überprüft, ob alle benötigten Einstellungen vorhanden sind, ehe der Netzwerkkontakt überhaupt erlaubt wird. Fehlt beispielsweise ein entscheidender Sicherheits-Patch auf einem Computer, so wäre diese Maschine eine potenzielle Gefahr für andere Computer im Netzwerk - sie erhält dann keinen Zugang zum derart geschützten Firmennetzwerk!
Andere Sicherheitsfunktionen der Betriebssysteme waren im Vergleich zu NAP eher passiver Natur. WSUS verteilt zwar Patches im lokalen Netzwerk, doch gab es bisher keine Möglichkeit für Administratoren, die Existenz eines Patches als Voraussetzung für einen Netzwerkzugriff zu definieren. Dieser Missstand ist mit NAP für alle aktuellen Windowsversionen behoben worden. Vor der Einführung von NAP durch Microsoft war eine vergleichbare Funktionalität in Windows-Netzwerken nur durch Zuhilfenahme von Programmen von Drittherstellern, wie beispielsweise Cisco, möglich. Die verbreitete Bezeichnung für diese Technologie nennt sich, abweichend von der Produktbezeichnung von Microsoft, Network Admission Control (NAC).
Sinn und Zweck von NAP ist es, die Sicherheitsrichtlinien im Netzwerk zu erzwingen und nicht Computer plump vom Netz auszuschließen. Fehlt beispielsweise ein Patch auf einem Rechner, so soll diesem die Möglichkeit gegeben werden, ihn nachträglich zu installieren. Während dies geschieht, kann dann je nach Konfiguration ein eingeschränkter Netzwerkzugriff zulässig sein.
Windows-Security weitergedacht
Es gibt weit mehr Funktionen, die den Betrieb von Windows im Unternehmen sicherer machen: So unterbricht beispielsweise die Datenausführungsverhinderung (DEP) den Start von unerwünschten Programmen.
In absehbarer Zeit werden Administratoren deutlich mehr gefordert sein, die in ihren Umgebungen benötigten Programme exakt zu definieren und anderen Anwendungen den Start zu untersagen (Whitelisting). Der PC im Sekretariat muss einfach nicht mehr und nicht weniger können als Office-Programme auszuführen, den Browser zu öffnen und Ausdrucke anzufertigen.
Ob kleinere Unternehmen über das entsprechende Know-how für die Umsetzung von derlei Anforderungen verfügen, sei zunächst einmal dahingestellt. Möglicherweise ist es sinnvoller, einen externen Dienstleister als "Full Service" für das Hosting zu beauftragen. Ein solches Modell bietet beispielsweise schon heute die Firma Keepbit in Landsberg am Lech an: Das "All Inclusive"-Paket der Firma umfasst die Lieferung von ThinClients, den kompletten Betrieb der Serverumgebung nebst Softwarelizenzen, Antivirus und Backup.
Was Banken Windows-Nutzern raten
Wer könnte besser Ratschläge zur Sicherheit von Computern geben als die Institutionen, die täglich mit großen Mengen Geld zu tun haben? Der Bankenverband gibt eine Broschüre mit dem Titel "Online-Banking-Sicherheit" heraus, die in der Regel einmal jährlich neu aufgelegt wird. In der achten Auflage vom März 2009 sind zehn Sicherheitsregel für Bankkunden aufgeführt, von denen einige auch direkt auf jeden x-beliebigen Computer in Unternehmensnetzwerken anwendbar sind. Aktuelle Sicherheitssoftware, unter anderem ein Virenscanner, soll eingesetzt werden - so lautet der erste Sicherheitshinweis.
Weitere Sicherheitstipps sind dann: sichere Verbindungen bei der Übertragung von Informationen über das Internet nutzen durch Verwendung von Hypertext Transfer Protocol Secure (https), ein sicheres Passwort wählen und aktuelle Programmversionen einsetzen, sowohl beim Betriebssystem als auch beim Browser. Auch der oben erwähnte Tipp in der Aufzählung sollte außerhalb des Online-Bankings ebenfalls Beachtung finden: eine Sicherheits-Check durchführen. Insgesamt sind die in der Broschüre genannten Empfehlungen mit relativ geringem Aufwand in jedem Unternehmen umsetzbar.
Mittelfristig betrachtet spart der Einsatz von neuesten Programmversionen und Updates sogar Zeit und Geld. Denn durch sie wird die Wahrscheinlichkeit einer möglichen Unterbrechung der IT im Unternehmen durch eine Infektion mit Schadsoftware erheblich reduziert. (mje)
Dieser Beitrag basiert auf einem Artikel unserer Schwesterpublikation Computerwoche.