Bewährte Methoden für die Schadensbegrenzung bei RPC- und DCOM-Sicherheitsanfälligkeiten
Dieses Whitepaper soll Sie unterstützen, Schäden abzuwenden, die eventuell durch Sicherheitsanfälligkeiten in den RPC- und DCOM-Subsystemen der Microsoft Windows-Betriebssysteme entstehen können. Mehrere dieser Anfälligkeiten wurden in den Microsoft Security Bulletins MS03-026 und MS03-039 beschrieben. Sie betreffen die meisten zurzeit unterstützten Windows-Versionen.
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
(Engl. Originaltitel: Best Practices for Mitigating RPC and DCOM Vulnerabilities)
Dieses Dokument richtet sich hauptsächlich an Systemadministratoren und Mitarbeiter des technischen Supports, die in Unternehmen für die Unterstützung der Netzwerke verantwortlich sind. Endbenutzer sollten die Website "Schützen Sie Ihren PC" besuchen, um weitere Informationen zu den drei Schritten zu erhalten, die zum Schutz vor dieser und anderen Sicherheitsgefährdungen erforderlich sind.
Bezugsquellen für den Patch
In Anbetracht der Wichtigkeit dieses Sicherheitsrisikos empfiehlt Microsoft seinen Kunden dringend die schnellstmögliche Installation der erforderlichen Patches. Zwar kann Schadensbegrenzung in gewissem Umfang durchgeführt werden, um die Ausnutzung eines gefährdeten Systems zu verhindern, Microsoft empfiehlt jedoch dringend, dass alle Systeme so schnell wie möglich mit Patches versehen werden. Die aktuellsten Patches sind unter Windows Update (http://v4.windowsupdate.microsoft.com/de/default.asp) sowie unter den folgenden Adressen verfügbar:
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
Die meisten Kunden verfügen über die 32-Bit-Version des Betriebssystems. Wenn Sie nicht sicher sind, welche Version Sie verwenden, installieren Sie zuerst den Patch für die 32-Bit-Version.
Hintergrund
Am 16. Juli 2003 hat Microsoft für mehrere Microsoft-Betriebssysteme im Microsoft Security Bulletin MS03-026 einen Patch für eine Sicherheitsanfälligkeit durch einen Pufferüberlauf in einer Komponente des DCOM-Dienstes (Distributed Component Object Model) veröffentlicht. Am 10. September 2003 hat Microsoft dann MS03-039 veröffentlicht, ein Security Bulletin, das die Verfügbarkeit von Patches für weitere Sicherheitsanfälligkeiten in den DCOM-Aktivierungsroutinen ankündigte. Die in MS03-039 veröffentlichten Patches ersetzen die in MS03-026 veröffentlichten Patches und sollten an deren Stelle verwendet werden. Bitte beachten Sie, dass ein System, auf dem die in MS03-026 veröffentlichten Patches installiert wurden, auch weiterhin von den in MS03-039 veröffentlichten Sicherheitsanfälligkeiten betroffen ist.
Die Patches beseitigen zwar effektiv alle bekannten Sicherheitsanfälligkeiten in DCOM, Microsoft ist jedoch über die möglicherweise große Anzahl von Systemen ohne installierte Patches beunruhigt, die auch weiterhin gefährdet sein könnten. Am 25. Juli 2003 veröffentlichten im Internet mehrere Hackerorganisationen Programmcode für die Ausnutzung der in MS03-026 genannten Sicherheitsanfälligkeiten. Es wird erwartet, dass Angriffscode für die Ausnutzung der in MS03-039 beschriebenen Sicherheitsanfälligkeiten kurz nach der Ankündigung der Patches veröffentlicht werden wird. Öffentlich verfügbarer Angriffscode erleichtert Angreifern das Erstellen voll funktionsfähiger Würmer und anderer Angriffsverfahren und erhöht daher die Dringlichkeit, mit der die Patches installiert werden müssen. Viele der Beispielprogramme zum Ausnutzen dieser Sicherheitsanfälligkeit sind wahrscheinlich nicht funktionsfähig oder es handelt sich um "Trojanische Pferde". Diese greifen Systeme nicht zufällig remote an, sondern schädigen den lokalen Computer, auf dem sie ausgeführt werden. Einige dieser Werkzeuge werden jedoch möglicherweise als breit angelegte Angriffsverfahren funktionieren. Ein solcher voll funktionsfähiger Angriffscode könnte genutzt werden, um ein Zielsystem oder Netzwerk umfassend zu schädigen. Aus diesem Grund ist es zwingend notwendig, die Systeme so schnell wie möglich zu schützen.
Problembeschreibung
Die RPC-Dienste (Remote Procedure Call) in Microsoft Windows-Systemen werden zum Bereitstellen der nahtlosen Kommunikation zwischen lokalen und Remoteprozessen genutzt. RPC wird zum Vereinfachen der Implementierungsdetails des Netzwerks für den Programmierer verwendet; auf diese Weise kann sich der Programmierer auf die Implementierung des Programms im Netzwerk konzentrieren, statt sich um die Details kümmern zu müssen. RPC stellt eine Kommunikationsplattform für viele verschiedene Dienste einschließlich DCOM zur Verfügung. Sicherheitsanfälligkeiten durch Pufferüberläufe in der DCOM-Implementierung wurden in den meisten Versionen von Windows entdeckt. Die Sicherheitsanfälligkeit betrifft im Speziellen die RPCSS-Aktivierungsschnittstellen von DCOM-Komponenten. Diese Pufferüberläufe sind insofern ausnutzbar, als sie für das Ausführen beliebigen Codes verwendet werden können, wenn ein geeigneter Angriff erfolgt. Der Code für solche Angriffe ist im Allgemeinen nicht einfach zu erstellen. Zurzeit sind jedoch mehrere Codebeispiele für Angriffe auf mindestens eine dieser Sicherheitsanfälligkeiten verfügbar. Der Blaster-Wurm nutzt z. B. eine dieser Sicherheitsanfälligkeiten aus.
Was ist ein Pufferüberlauf?
Ein Pufferüberlauf ist ein Programmierfehler, der auf mehreren verschiedenen Ursachen beruhen kann. Wie schon der Name besagt, liegt das Kernproblem darin, dass ein Programm versucht, eine größere Menge von Daten in einem Puffer zu speichern, als es der Aufnahmefähigkeit des Puffers entspricht. Dieser Fehler kann viele verschiedene Formen annehmen. Einige der Konstrukte, die diese Art eines Problems verursachen, sind leicht erkennbar, andere dagegen können nur äußerst schwer zu finden sein.
Zum Ausnutzen eines Pufferüberlaufs müsste ein Angreifer eine besonders gestaltete Nachricht erstellen, die bewirkt, dass mehr Daten in einem Puffer gespeichert werden, als der Puffer aufnehmen kann. Diese überzähligen Daten überschreiben schließlich verschiedene andere Bereiche des Arbeitsspeichers. Wenn der betreffende Bereich des Arbeitsspeichers auszuführende Anweisungen enthält, versucht der Computer, die vom Angreifer gesendeten Daten als Anweisungen zu interpretieren und dann auszuführen. In einigen Fällen ist es möglich, den Puffer mit Daten zu überschreiben, bei denen es sich in Wahrheit um ausführbaren Programmcode handelt. Der Computer wird dann veranlasst, beliebigen Code auszuführen. Dies wird als "ausnutzbarer Pufferüberlauf" bezeichnet. Bei den in den Patches der Security Bulletins MS03-026 und MS03-039 behandelten Pufferüberläufe handelt es sich um ausnutzbare Pufferüberläufe.
Welche Systeme wurden getestet?
Microsoft testet alle zurzeit unterstützten Betriebssysteme auf alle bekannten Sicherheitsanfälligkeiten. Folgende Systeme wurden getestet:
| • | Windows Server 2003 "Gold" |
| • | Windows Server 2003 64-Bit-Version |
| • | Windows 2000 Service Pack 4 |
| • | Windows 2000 Service Pack 3 |
| • | Windows 2000 Service Pack 2 |
| • | Windows XP Service Pack 1 |
| • | Windows XP 64-Bit-Version 2003 |
| • | Windows XP "Gold" |
| • | Windows XP 64-Bit-Version 2002 |
| • | Windows NT 4.0 Server Service Pack 6a |
| • | Windows NT 4.0 Workstation Service Pack 6a |
| • | Windows NT 4.0 Terminal Services Edition |
"Gold" bezieht sich in diesem Fall auf die ursprüngliche Version eines Produkts ohne Service Packs.
Beachten Sie, dass der Produktzyklus von Windows 2000 Service Pack 2 und Windows NT Workstation Service Pack 6a beendet ist. Aufgrund der Art dieser Sicherheitsanfälligkeit, der Tatsache, dass der Produktzyklus erst vor sehr kurzer Zeit beendet wurde, und der Anzahl der zurzeit aktiv verwendeten Systeme hat sich Microsoft dazu entschieden, für die Sicherheitsanfälligkeiten auf diesen beiden Plattformen eine Ausnahme zu machen. Wir gehen nicht davon aus, dass wir bei zukünftig auftretenden Sicherheitsanfälligkeiten ebenfalls so handeln werden, behalten uns jedoch das Recht vor, bei Bedarf Patches zu entwickeln und zur Verfügung zu stellen. Benutzer, die Patches für nicht mehr unterstützte Produkte benötigen, können solche Patches möglicherweise über einen Supportvertrag beziehen. Wenden Sie sich an den Vertreter von Microsoft Support Services, um weitere Informationen zu erhalten. Kunden mit vorhandenen Installationen auf diesen Plattformen werden dringend dazu aufgefordert, diese auf unterstützte Plattformen zu migrieren, um einen Schutz vor zukünftig auftretenden Sicherheitsanfälligkeiten zu erreichen.
Neben den oben genannten Produkten wurde auch Windows Me getestet. Dieses Produkt ist von diesem Problem nicht betroffen. Dies umfasst alle unterstützten Versionen der Microsoft-Betriebssysteme. Andere, nicht unterstützte Versionen des Betriebssystems wurden nicht getestet; diese können jedoch ebenfalls von dieser Sicherheitsanfälligkeit betroffen sein. Weitere Informationen zu den Microsoft-Supportrichtlinien finden Sie auf der Windows Life Cycle-Seite unter http://www.microsoft.com/windows/lifecycle/default.mspx (englischsprachig).
Wie sollten Administratoren vorgehen?
Installieren Sie Patches auf den Systemen!
Der weitaus wichtigste Faktor beim Beheben dieser Probleme besteht im schnellstmöglichen Installieren von Patches auf allen betroffenen Systemen in Ihrer Umgebung. Es sind zwar mehrere schadensbegrenzende Strategien verfügbar, diese können jedoch nicht die Patchinstallation ersetzen. Selbst wenn ein System nicht direkt mit dem Internet verbunden ist, kann es Angriffen von Systemen ausgesetzt sein, die unter anderen Umständen vertrauenswürdig sind. Diese Systeme umfassen normalerweise andere Hosts in einem Firmenintranet, Hosts, die sich in ein Organisationsnetzwerk über VPN oder DFÜ einwählen, sowie beliebige andere Hosts, die hinter die Firewall oder die Firewalls gelangen können, welche das Netzwerk vom Internet abschirmen. Schadensbegrenzungen wie z. B. das Deaktivieren von RPC und/oder DCOM in einem Intranet stören die Funktionalität vieler Features erheblich und verhindern, dass Teile des Systems normal betrieben werden können. Aus diesem Grund besteht die bevorzugte Vorgehensweise im schnellstmöglichen Installieren von Patches auf allen Systemen. Weitere Informationen zur Verfügbarkeit von Patches finden Sie im Abschnitt "Bezugsquellen für den Patch". Für den Fall, dass ein Patch nicht installiert werden kann oder das System vor der Patchinstallation angegriffen wird, lesen Sie den Abschnitt "Schadensbegrenzung", in dem mehrere Strategien zur Schadensbegrenzung genannt werden.
Erkennen gefährdeter Systeme
Es gibt mehrere Verfahren, mit denen ermittelt werden kann, ob ein System mit einem Patch versehen wurde. Die einfachste Methode zum Untersuchen eines einzelnen Systems besteht in der Verwendung von Windows Update (http://v4.windowsupdate.microsoft.com/de/default.asp). Für Kunden, die große Installationen betreiben, sind jedoch auch bequemere Methoden verfügbar. In großen Netzwerken mit vorhandener Netzwerkverwaltungsinfrastruktur können Administratoren den Patch durch die Untersuchung folgender Registrierungsschlüssel erkennen:
| • | Windows Server 2003 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146 |
| • | Windows XP "Gold" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146 |
| • | Windows XP SP1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146 |
| • | Windows XP 64-Bit-Version 2003 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146 |
| • | Windows 2000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146 |
| • | Windows NT 4.0 Workstation, SP6a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q824146 |
| • | Windows NT 4.0 Server, SP6a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q824146 |
| • | Windows NT 4.0, Terminal Services Edition, SP6a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q824146 |
Identifizieren gefährdeter Systeme
Netzwerkadministratoren können das Scanningwerkzeug KB824146scan.exe verwenden, um im Netzwerk Hostcomputer zu identifizieren, auf denen die Sicherheitspatches 823980 (MS03-026) oder 824146 (MS03-039) nicht installiert sind. Ausführliche Informationen zu diesem Werkzeug und den entsprechenden Optionen zum Herunterladen finden Sie im Microsoft Knowledge Base-Artikel 827363 unter http://support.microsoft.com/default.aspx?scid=kb;de;827363.
Vor diesem Tool hat Microsoft bereits das Werkzeug KB823980scan.exe veröffentlicht. Beachten Sie, dass dieses Werkzeug nur nach Systemen sucht, auf denen der Patch MS03-026 nicht vorhanden ist, und fälschlicherweise meldet, dass auf einem System, auf dem MS03-039 installiert ist, MS03-026 fehlt. Bitte verwenden Sie das aktualisierte Werkzeug KB824146scan.exe, um gefährdete Systeme zu identifizieren.
Das Werkzeug KB824146scan.exe kann Remotehostcomputer durchsuchen, ohne dass eine Authentifizierung erforderlich ist (d. h., Sie müssen auf dem Remotehostcomputer keine gültigen Anmeldeinformationen angeben). Sie können das Werkzeug von einem auf Windows Server 2003, Windows XP oder Windows 2000 basierenden Computer aus verwenden. Beachten Sie, dass dieses Werkzeug nicht die Registrierungs- oder Dateiinformationen für den Patch überprüft, sondern eine RPC-Sitzung mit dem Zielcomputer einrichtet, um den Status des Zielcomputers zu ermitteln (mit installiertem Patch, ohne installierten Patch oder unbekannt). Das Werkzeug versucht jedoch nicht, die DCOM-Sicherheitsanfälligkeiten auszunutzen, die in MS03-026 oder MS03-039 behandelt werden. Aus diesem Grund sollte das Werkzeug nicht zu Instabilitäten auf den Zielcomputern führen.
Das Werkzeug steht unter folgender Adresse zur Verfügung: http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=de
Microsoft Baseline Security Analyzer (MBSA) kann ebenfalls zum Überprüfen von Systemen verwendet werden, auf denen der Patch MS03-0039 oder ein anderer Patch fehlt. MBSA verlangt Verwaltungszugriff auf dem Zielcomputer, das Werkzeug KB824146scan.exe hingegen nicht. Obwohl Microsoft in höchstem Maße die Verwendung von MBSA empfiehlt, um den allgemeinen Patchstatus eines Netzwerks zu ermitteln, sollten Sie anhand der folgenden Tabelle die Entscheidung treffen, welches Werkzeug für die Überprüfung der Installation von MS03-039 bevorzugt zu verwenden ist.
| MBSA | KB824146scan.exe | |
Überprüfung auf 824146 (MS03-039) | Ja | Ja |
Überprüfung auf 823980 (MS03-026) | Ja | Ja |
Ausführung ohne Administratorrechte auf dem Zielcomputer | Nein | Ja |
Überprüfung auf andere Probleme als 824146 und 823980 | Ja | Nein |
Überprüfung auf einige Sicherheitskonfigurationsprobleme | Ja | Nein |
Überprüfung auf unsichere Kennwörter | Ja | Nein |
Weitere Informationen zu MBSA und den entsprechenden Optionen zum Herunterladen finden Sie unter http://support.microsoft.com/default.aspx?scid=kb;de;320454.
Schadensbegrenzung
Wie bereits ausgeführt wurde, besteht die einzige sichere Schadensbegrenzung für diese Sicherheitsanfälligkeit im Installieren des Patches auf allen gefährdeten Systemen. Bis zur Patchinstallation kann die von der Sicherheitsanfälligkeit drohende Gefahr durch Blockieren der gefährdeten Ports verringert werden. Folgende Ports müssen blockiert werden:
| • | UDP |
| • | 135 |
| • | 137 |
| • | 138 |
| • | 445 |
| • | TCP |
| • | 135 |
| • | 139 |
| • | 445 |
| • | 593 |
Wenn CIS (COM Internet Services) oder RPC über HTTP installiert ist, kann die Sicherheitsanfälligkeit außerdem über die Ports 80 und 443 ausgenutzt werden. Neben Port 80 sollten diese Ports durch jede Firewallbereitstellung blockiert werden. Zu diesem Zeitpunkt wäre eine Überprüfung ratsam, ob die Blockierung durch die Firewall auch tatsächlich erfolgt. Jeder beliebige Standard-Portscanner, wie z. B. PortQry von Microsoft sowie SuperScan oder ScanLine von Foundstone, kann für diese Überprüfung verwendet werden.
Um eine Ausnutzung der Sicherheitsanfälligkeit über Port 80 oder 443 zu verhindern, sollten CIS und RPC über HTTP auf allen Systemen deaktiviert werden, die diese Dienste nicht benötigen. Diese Dienste werden auf Systemen nicht standardmäßig installiert. Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819 (englischsprachig). Weitere Informationen zum Schützen eines Systems, das RPC über HTTP, jedoch nicht DCOM erfordert, finden Sie im Abschnitt "Schützen von Systemen, die RPC über HTTP, jedoch nicht DCOM erfordern".
Netzwerkfirewalls bieten möglicherweise keinen vollständigen Schutz
Eine Netzwerkfirewall, die ein Netzwerk vor dem Internet abschirmt, verhindert Angriffe auf diese Sicherheitsanfälligkeiten möglicherweise nicht vollständig. Die Ursache liegt darin, dass Systeme häufig zwischen dem geschützten Netzwerk und einem ungeschützten Netzwerk verschoben werden. Viele Mitarbeiter nehmen ihre Notebooks z. B. mit nach Hause und schließen sie dann an ein Kabelmodem oder eine DSL-Leitung an. Sobald eine Verbindung zu einem solchen Netzwerk hergestellt ist, befinden sich diese Systeme außerhalb des Schutzes durch die Firewall der Organisation und können angegriffen werden. Wenn ein gefährdetes System anschließend erneut mit dem geschützten Netzwerk verbunden wird, verbreitet es den Wurm im geschützten Netzwerk, obwohl die Firewall externe Angriffe blockiert. Außerdem könnten durch E-Mail übertragene Viren diese Sicherheitsanfälligkeit ausnutzen, nachdem ein System innerhalb der Firewall infiziert wurde. Aus diesen Gründen ist es unbedingt erforderlich, alle Hosts zu schützen. Organisationen sollten sich nicht einfach auf Firewalls zum Blockieren des Angriffs verlassen.
Hostbasierte Firewalls
Windows XP und Windows Server 2003 enthalten eine integrierte Firewall, die alle betroffenen Ports in der Standardkonfiguration blockiert. Wenn Sie überprüfen möchten, ob die integrierte Firewall aktiviert ist und diese Ports blockiert, wechseln Sie in der Systemsteuerung zu Netzwerkverbindungen (Network Connections), klicken Sie mit der rechten Maustaste nacheinander auf die einzelnen Netzwerkverbindungen, wählen Sie Eigenschaften (Properties) aus, und klicken Sie dann auf die Registerkarte Erweitert (Advanced).
Vergewissern Sie sich, dass das Kontrollkästchen unter Internetverbindungsfirewall (Internet Connection Firewall) aktiviert ist. Selbst wenn sich ein System in einem geschützten Netzwerk befindet, kann das Aktivieren der Internetverbindungsfirewall eine geeignete Vorsichtsmaßnahme sein, denn das Netzwerk ist zwar vor Angriffen von außen geschützt, nicht jedoch vor internen Angriffen, bei denen die Sicherheitsanfälligkeit bereits ausgenutzt wurde. Beachten Sie jedoch bitte, dass viele Unternehmen Richtlinien einsetzen, die die Verwendung von ICF (Internet Connection Firewall oder Internetverbindungsfirewall) innerhalb der Firewall verbieten, da die Remoteverwaltung dieser Systeme auf diese Weise blockiert wird. Weitere Informationen zu ICF finden Sie im Microsoft Knowledge Base-Artikel 317530.
In Windows NT 4.0 und Windows 2000 sind keine Firewalls integriert. Firewallsoftware für Privatbenutzer ist jedoch zumeist kostenlos oder in Testversionen verfügbar. Weitere Informationen zu persönlichen Firewalls finden Sie in den folgenden Quellen (englischsprachig):
| • | |
| • | |
| • | ZoneAlarm Pro (Zone Labs) |
| • | Tiny Personal Firewall (Tiny Software) |
| • | Outpost Firewall (Agnitum) |
| • | Kerio Personal Firewall (Kerio Technologies) |
| • | BlackICE PC Protection (Internet Security Systems) |
Alternativ kann eine Hardwarefirewall zum Schützen eines kleinen Netzwerks vor Angriffen verwendet werden. Solche Firewalls sind relativ preiswert und im Allgemeinen sehr einfach einzurichten. Ein Beispiel für ein solches Gerät ist Microsoft Wireless Base Station MN-500. Sie können dieses Gerät in den meisten Elektronikfachgeschäften sowie im Microsoft-Onlineshop erwerben. Es ist immer empfehlenswert, die tatsächliche Blockierung der Ports als Sicherheitsmaßnahme zu überprüfen, nachdem eine hostbasierte Firewalllösung bereitgestellt wurde. Die oben aufgeführten Portscanner können für diese Überprüfung verwendet werden.
Verwenden von IPSec zum Blockieren von Angriffen
Unter Windows 2000, Windows XP und Windows Server 2003 ist es auch möglich, IPSec zum Blockieren dieser Ports zu verwenden. Um effektiv zu sein, müsste eine Richtlinie jedoch alle gefährdeten Ports vollständig blockieren oder zumindest Sicherheit über diese Ports mit Hosts verlangen, die uneingeschränkt vertrauenswürdig sind und mit Patches versehen wurden. Eine Richtlinie, die allen Computern in einer Domäne vertraut oder nur Sicherheit fordert, nicht jedoch verlangt, ist nur eingeschränkt effektiv. Dies liegt daran, dass eine solche Richtlinie ermöglicht, dass infizierte Computer, die fälschlicherweise für sicher gehalten werden, ungehindert kommunizieren und so den als geschützt geltenden Host angreifen können.
Eine einfache IPSec-Sicherheitsrichtlinie ist zum Download verfügbar. Diese Richtlinie blockiert den gesamten Netzwerkverkehr über den gefährdeten Port. Wenn Sie diese Richtlinie verwenden möchten, laden Sie zuerst die Datei IPSecTools.exe an einen bekannten Speicherort auf dem System herunter, und extrahieren Sie sie dann. Öffnen Sie die lokale Sicherheitsrichtlinie, klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf Lokaler Computer, zeigen Sie auf Alle Tasks, und wählen Sie dann Richtlinien importieren aus. Öffnen Sie anschließend die Richtlinie DCOM.IPSEC, eine der ersten Dateien, die aus dem Archiv IPSecTools.exe extrahiert wurden.
Nachdem die Richtlinie importiert wurde, muss sie zugewiesen werden. Eine Richtlinie hat erst Auswirkungen, nachdem sie zugewiesen wurde. Klicken Sie zum Zuweisen der Richtlinie mit der rechten Maustaste auf die gewünschte Richtlinie, und klicken Sie dann auf Zuweisen. Die Richtliniendatei DCOM.IPSEC enthält zwei Richtlinien. Die eine Richtlinie blockiert den gesamten DCOM-Datenverkehr mit Ausnahme des CIS-Datenverkehrs. Die andere Richtlinie blockiert den gesamten DCOM-Datenverkehr einschließlich des CIS-Datenverkehrs. Verwenden Sie die Richtlinie, die auch den CIS-Datenverkehr blockiert, nicht auf einem System, das HTTP-Datenverkehr verwenden muss, weil diese auch HTTP- und HTTPS-Datenverkehr blockiert.
Beachten Sie, dass durch diesen Vorgang die Zuweisung aller anderen ggf. zurzeit zugewiesenen Richtlinien aufgehoben wird. Wenn eine Gruppenrichtlinie eine IP-Sicherheitsrichtlinie angibt, besitzt die Gruppenrichtlinie Vorrang vor lokal zugewiesenen Richtlinien. In einer Umgebung, in der eine Gruppenrichtlinie zum Verteilen der IP-Sicherheitsrichtlinie verwendet wird, kann die DCOM-Richtlinie über die Gruppenrichtlinie an alle betroffenen Computer verteilt werden, die Windows 2000 oder höher ausführen.
Wenn Sie detailliertere Steuerungsmöglichkeiten für die IPSec-Richtlinie wünschen, können Sie das Werkzeug IPSec_RPC_Blocker verwenden, das im Archiv IPSecTools.exe enthalten ist. Mit diesem Werkzeug können Sie eine Richtlinie einrichten, die ein- und ausgehende Anforderungen blockieren und auch einige Ausnahmen festlegen kann. Weitere Informationen zu diesem Werkzeug finden Sie in der Datei readme.txt im Verzeichnis IPSec_RPC_Blocker. Beachten Sie bitte, dass die Remoteverwaltung nach dem Anwenden der IPSec-Richtlinien ebenfalls blockiert sein kann. Die Datei readme.txt enthält weitere Informationen zum Entfernen der IPSec-Richtlinien, nachdem ein System mit einem Patch versehen wurde.
Weitere Informationen zum Blockieren von Protokollen und Ports mit Hilfe von IPSec finden Sie im Microsoft Knowledge Base-Artikel 813878: Blockieren bestimmter Netzwerkprotokolle und Ports mit Hilfe von IPSec unter http://support.microsoft.com/default.aspx?scid=kb;de;813878.
Deaktivieren von DCOM
Auf einigen Systemen können Sie DCOM deaktivieren, um diese Sicherheitsanfälligkeiten zu verhindern. Das Deaktivieren von DCOM beeinträchtigt jedoch auch einige Funktionen, z. B. die Möglichkeit, DCOM remote erneut zu aktivieren. Um DCOM erneut zu aktivieren, benötigen Sie einen physikalischen Zugriff auf das System.
Wenn Sie DCOM deaktivieren, sind folgende Funktionen nicht verfügbar:
| • | Alle COM-Objekte, die remote aktiviert werden können, funktionieren möglicherweise nicht einwandfrei. |
| • | Das lokale COM+-Snap-In kann keine Verbindung zu Remoteservern herstellen, um den COM+-Katalog aufzulisten. |
| • | Die automatische Registrierung von Zertifikaten funktioniert möglicherweise nicht einwandfrei. |
| • | WMI-Abfragen (Windows Management Instrumentation) auf Remoteservern funktionieren möglicherweise nicht einwandfrei. |
Wenn Sie DCOM dennoch deaktivieren möchten, können Sie diesen Vorgang entweder mit Hilfe des Registrierungs-Editors oder des Werkzeugs dcomcnfg.exe durchführen.
Bearbeiten der Registrierung
1. | Starten Sie den Registrierungs-Editor. |
2. | Suchen Sie folgenden Pfad: |
3. | Ändern Sie den EnableDCOM-Zeichenfolgenwert in N. |
4. | Starten Sie das Betriebssystem neu, damit die Änderungen wirksam werden. |
Sie können auch folgenden Befehl verwenden:
reg add \\Hostname\HKLM\Software\Microsoft\OLE /v EnableDCOM /t REG_SZ /d N /f
Ersetzen Sie Hostname durch den Namen des Computers, auf dem DCOM deaktiviert werden soll. Wenn Sie DCOM auf dem lokalen System deaktivieren möchten, verwenden Sie "localhost" (ohne die doppelten Anführungszeichen).
Verwenden von "DCOMCNFG.EXE"
1. | Führen Sie Dcomcnfg.exe aus. | ||||||||||||
2. | Wenn Sie Windows XP oder Windows Server 2003 verwenden, führen Sie die folgenden zusätzlichen Schritte durch:
| ||||||||||||
3. | Klicken Sie auf die Registerkarte Standardeigenschaften. | ||||||||||||
4. | Aktivieren (oder deaktivieren) Sie das Kontrollkästchen DCOM (Distributed COM) auf diesem Computer aktivieren. | ||||||||||||
5. | Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, klicken Sie auf Übernehmen, um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe zu beenden. | ||||||||||||
6. | Starten Sie das Betriebssystem neu, damit die Änderungen wirksam werden. |
Bitte beachten Sie, dass unter Windows 2000 mindestens Windows 2000 Service Pack 3 ausgeführt werden muss, um DCOM deaktivieren zu können. Weitere Informationen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750 unter http://support.microsoft.com/default.aspx?scid=kb;de;825750.
Schützen von Systemen, die RPC über HTTP, jedoch nicht DCOM erfordern
In einigen Umgebungen ist DCOM erforderlich, z. B., wenn ein Exchange 2003-Server für Clients außerhalb der Firewall mittels RPC über HTTP veröffentlicht wird. Auch ein solches System kann gegen Angriffe über DCOM geschützt werden, indem der Zugriff auf TCP-Port 593 blockiert wird. Weitere Informationen zur diesbezüglichen Vorgehensweise erhalten Sie, wenn Sie die im Microsoft Knowledge Base-Artikel 836382 unter http://support.microsoft.com/default.aspx?scid=kb;en-us;826382&sd=tech (englischsprachig) beschriebenen Schritte befolgen.
Vorgehensweise beim Bereinigen infizierter Systeme
In allen Fällen eines Wurm- oder anderen Angriffs ist es empfehlenswert, das System aus einer einwandfreien Sicherung neu zu erstellen. Bestimmte Würmer wie z. B. der MSBlast-Wurm und seine Varianten fügen dem System selbst keine zusätzlichen Sicherheitsanfälligkeiten (backdoors) hinzu und können daher entfernt werden. Wenn das System jedoch durch MSBlast infiziert wurde, könnte es über die gleiche Sicherheitsanfälligkeit mit Werkzeugen angegriffen worden sein, die das System so beschädigt haben, dass eine Wiederherstellung unmöglich ist. Wenn Sie jedoch sicher sind, dass eine solche Beschädigung nicht stattgefunden hat, können Sie zum Entfernen des Wurms die von verschiedenen Antivirenherstellern angebotenen und im Folgenden genannten Werkzeuge zum Entfernen verwenden:
| • | |
| • | |
| • | |
| • |
Wenn Sie unsicher sind, ob weitere Beschädigungen stattgefunden haben, sollte das System mit einwandfreien Medien wiederhergestellt werden.
Installieren eines Patches während eines aktuellen Wurmangriffs
Wenn ein sich schnell verbreitender Wurm wie z. B. der MSBlast-Wurm im Internet aktiv ist, tritt häufig der Fall ein, dass ein System angegriffen wird, bevor der betreffende Patch installiert werden konnte. Ein solcher Angriff mag zwar das System nicht tatsächlich beschädigen, kann jedoch dazu führen, dass das System instabil wird oder letztendlich ausfällt. Der MSBlast-Wurm kann z. B. zwei Systemtypen erfolgreich angreifen - Windows 2000 und Windows XP. Wenn der Wurm mit dem Infizieren von Systemen beginnt, wählt er nach dem Zufallsprinzip eine von zwei Angriffsarten aus. Der Windows 2000-Angriff kann z. B. ein Windows 2000-System erfolgreich infizieren, führt jedoch bei allen anderen gefährdeten Systemen zu einem Absturz, wenn er gegen diese gerichtet wird. Auf dem Höhepunkt der Wurmverbreitung kann dieser Absturz so schnell eintreten, dass es unmöglich ist, den Patch auf dem System zu installieren, bevor dieses abstürzt. Dieser Fall kann auch eintreten, wenn ein Virenscanner auf dem System installiert ist. Der Virenscanner verhindert, dass der Wurm das System tatsächlich infizieren kann. Der Angriff selbst bewirkt jedoch einen Absturz des RPC-Untersystems und führt damit zu einem Neustart des Systems, obwohl der Virenscanner die Infektion verhindert. Ein Virenscanner kann keine Angriffe verhindern, sondern nur Infektionen. Daher ist das Installieren eines Patches auf einem System sehr schwierig, bevor dieses angegriffen wird.
Es gibt drei Möglichkeiten, einen Patch auf einem solchen System zu installieren. Alle drei Möglichkeiten umfassen den vorübergehenden Schutz des Systems, bis dieses mit einem Patch versehen werden kann. Führen Sie die folgenden Schritte aus:
1. | Trennen Sie das Netzwerkkabel vom Computer. Wenn Sie ein drahtloses Netzwerk verwenden, entfernen Sie entweder die Netzwerkkarte, oder deaktivieren Sie das drahtlose Netzwerk. Zu diesem Zweck können Sie die Netzwerkeigenschaften verwenden. | ||||||||
2. | Starten Sie das System neu. | ||||||||
3. | Melden Sie sich als Administrator an. Beachten Sie, dass Sie für die Anmeldung lokale Anmeldeinformationen für das System benötigen, wenn das System Mitglied einer Arbeitsgruppe ist oder die zwischengespeicherte Anzahl der Anmeldeinformationen in einen anderen Wert als den Standardwert 10 geändert wurde. | ||||||||
4. | Verwenden Sie eine der vier nachstehend beschriebenen Methoden.
|
Diese Anweisungen gelten nur für Systeme, die mit Sicherheit nicht durch einen Angreifer über eine dieser Sicherheitsanfälligkeiten beschädigt wurden. Wurde ein System beschädigt, wird das System durch das Installieren des Patches nicht wiederhergestellt. In diesem Fall besteht die einzige Möglichkeit im Neuformatieren der Festplatte des Systems und der anschließenden Wiederherstellung aus einer einwandfreien Sicherung.
Technische Unterstützung
Wenden Sie sich an Ihren Antivirenhersteller, um Unterstützung beim Erkennen oder Entfernen von Viren- oder Wurminfektionen zu erhalten. Wenn Sie weitere Hilfe zu virenbezogenen Problemen benötigen, wenden Sie sich an die Microsoft Support Services. Sicherheitsbezogene Supportanfragen sind immer kostenlos.