Leitfaden zur erfolgreichen Virenabwehr
Kapitel 3: Erfolgreiche Virenabwehr
Auf dieser SeiteEinführungJede Organisation sollte eine Antiviruslösung entwickeln, die ein hohes Maß an Schutz liefert. Viele Organisationen werden jedoch auch nach der Installation einer Antivirussoftware noch immer infiziert. Dieser Leitfaden schlägt einen anderen Ansatz für das Problem der böswilligen Software oder Malware vor. Wie auch beim Netzwerksicherheitsentwurf empfiehlt Microsoft die Verwendung eines umfassenden Virenabwehrsystems, um die Zuverlässigkeit der von Ihrer Organisation implementierten Schutzfunktionen zu gewährleisten. Ein solcher Ansatz ist für die Sicherheit Ihres Unternehmensnetzwerkes entscheidend, da es leider immer Personen geben wird, die Sicherheitslücken zu finden und auszunutzen versuchen. Durch die Zusammenarbeit mit operativ arbeitenden Beratern und Systemtechnikern, die Microsoft® Windows Server™ 2003, Windows® XP Professional und Windows® 2000 in unterschiedlichen Umgebungen implementiert haben, konnten die neuesten Empfehlungen zum Schutz von Clients und Servern mit diesen Betriebssystemen gegen Malware entwickelt werden. Dieses Kapitel stellt Ihnen Empfehlungen auf Basis der gewonnen Informationen vor. In diesem Kapitel wird auch die Verwendung einer Virenabwehrstrategie für den Entwurf der Antivirus-Sicherheitslösung für Ihre Organisation erläutert. Dieser Ansatz soll sicherstellen, dass Sie jede Ebene des Modells und die zugehörigen spezifischen Bedrohungen verstehen und diese Informationen beim Implementieren Ihrer Verteidigungsstrategie anwenden können. Hinweis: Microsoft empfiehlt, einige der Schritte in diesem Leitfaden in die übergeordneten Sicherheitsverfahren und -richtlinien Ihrer Organisation zu integrieren. Diese Schritte sind entsprechend als vom Sicherheitsteam zu berücksichtigende Schritte gekennzeichnet. Wichtig: Wenn Sie vermuten, dass Ihr Unternehmensnetzwerk momentan einem Angriff ausgesetzt ist, lesen Sie vor der Lektüre dieses Kapitels bitte das Kapitel 4, Ausbruchskontrolle und Wiederherstellung, in diesem Leitfaden. Wenn Sie bereits einen Malwareangriff erlebt und die Systeme wiederhergestellt haben, können Ihnen die Informationen dieses Leitfadens dabei helfen, einen erneuten Angriff zu verhindern und den stattgefundenen Angriff besser zu verstehen. Wenn Sie bereits einen Malwareangriff erlebt und die Systeme wiederhergestellt haben, können Ihnen die Informationen dieses Leitfadens dabei helfen, einen erneuten Angriff zu verhindern und den stattgefundenen Angriff besser zu verstehen. Möglichkeiten der Bedrohung durch MalwareMalware kann ein Unternehmen mithilfe zahlreichen Methoden gefährden. Diese Methoden werden auch als Bedrohungsmöglichkeiten bezeichnet. Sie stellen die Bereiche in der Umgebung dar, denen beim Entwurf einer effektiven Antiviruslösung die meiste Aufmerksamkeit gewidmet werden muss. Die folgende Liste enthält typische Bereiche in Organisationen, die durch Malwareangriffe besonders gefährdet sind.
Verteidigung gegen MalwareBevor Sie versuchen, eine effektive Verteidigung gegen Malware zu organisieren, müssen Sie sich mit den verschiedenen gefährdeten Teilen der Organisationsinfrastruktur und dem Ausmaß des Risikos für jeden dieser Teile vertraut machen. Microsoft empfiehlt ausdrücklich, vor dem Entwurf der Antiviruslösung eine vollständige Sicherheitsrisikoanalyse durchzuführen. Denn die zum Optimieren des Lösungsentwurfs erforderlichen Informationen können nur durch eine vollständige Risikoanalyse ermittelt werden. Virenabwehr-SicherheitsmodellNachdem Sie die Risiken in Ihrer Organisationen erkannt und dokumentiert haben, müssen Sie die Verteidigungsfunktionen untersuchen und organisieren, die für die Antiviruslösung verwendet werden sollen. Das Virenabwehr-Sicherheitsmodell ist ein idealer Ausgangspunkt für diesen Prozess. Die sieben Sicherheitsverteidigungsebenen dieses Modells gewährleisten, dass Angriffe auf die Sicherheit einer Unternehmensnetzwerkumgebung durch einen robusten Satz von Verteidigungsmechanismen abgewehrt werden. Jeder Satz kann Angriffe auf vielen unterschiedliche Ebenen abweisen. Informationen zum Virenabwehr-Sicherheitsmodell finden Sie bei Bedarf auf der Seite "Security Content Overview" (in Englisch) auf der Microsoft TechNet-Website unter folgender Adresse: Weitere Informationen und hilfreiche Entwurfsbeispiele für diesen Prozess stehen Ihnen auch im MSA Reference Architecture Kit (in Englisch) auf der TechNet-Website unter folgender Adresse zur Verfügung: Die folgende Abbildung zeigt die im Virenabwehr-Sicherheitsmodell definierten Ebenen: Die Ebenen in der Abbildung zeigen, welche Bereiche Ihrer Umgebung beim Entwurf der Sicherheitsverteidigung für Ihr Netzwerk zu beachten sind. Sie können die detaillierten Definitionen jeder Ebene entsprechend den Sicherheitsprioritäten und -anforderungen Ihrer Organisation ändern. Im Rahmen dieses Leitfadens werden die folgenden einfachen Definitionen für die Ebenen des Modells verwendet:
Verwenden Sie die Sicherheitsebenen des Modells als Grundlage für Ihre erfolgreiche Virenabwehr, und optimieren Sie sie, um diese für Ihre Organisation entsprechend zu gruppieren. Die Details dieser Optimierung hängen gänzlich von den Prioritäten und den verwendeten Verteidigungsmaßnahmen Ihrer Organisation ab. Wichtig ist lediglich, dass keine der Sicherheitsebenen aus der Verteidigung ausgeschlossen wird, da Sie andernfalls einen unvollständigen oder geschwächten Antivirusentwurf erhalten. Die folgende Abbildung zeigt eine spezifischere Darstellung des Sicherheitsmodells zur Virenabwehr: Die Daten-, Anwendungs- und Hostebenen können zu zwei Verteidigungsstrategien kombiniert werden: eine zum Schutz der Clients und eine zum Schutz der Server der Organisation. Obwohl für die Client- und Serververteidigungsmechanismen z. T. die gleichen Strategien verwendet werden, bestehen dennoch genügend Unterschiede, um die Verwendung separater Verteidigungsansätze zu rechtfertigen. Die interne Netzwerkebene und die Perimeterebene können ebenfalls zu einer gemeinsamen Netzwerkverteidigungsstrategie kombiniert werden, da für beide Ebenen die gleichen Technologien verwendet werden. Die Implementierungsdetails auf jeder Ebene unterscheiden sich abhängig von der Position der Geräte sowie den verwendeten Technologien in Ihrer IT-Infrastruktur. ClientverteidigungWenn Malware einen Hostcomputer erreicht, müssen die Verteidigungssysteme das Hostsystem und die dort gespeicherten Daten schützen, um eine weitere Ausbreitung der Infektion zu verhindern. Diese Verteidigungsmechanismen sind genauso wichtig wie die physischen Netzwerkverteidigungseinrichtungen in der Umgebung. Die Hostverteidigung sollte basierend auf der Annahme entworfen werden, dass die Malware alle vorhergehenden Verteidigungsebenen durchbrochen hat. Dieser Ansatz eignet sich am besten, um maximalen Schutz zu gewährleisten. Schritte zum Virenschutz von ClientsFür Antiviruskonfigurationen von Clients stehen Ihnen zahlreiche Ansätze und Technologien zur Auswahl. In den folgenden Abschnitten werden die in diesem Zusammenhang von Microsoft ausgesprochenen Empfehlungen erläutert. Schritt 1: Reduzieren der AngriffsflächeDie erste Verteidigungslinie auf der Anwendungsebene dient dazu, die Angriffsfläche des Computers zu reduzieren. Alle nicht benötigten Anwendungen oder Dienste sollten entfernt oder deaktiviert werden, um die für einen Angreifer verfügbaren Möglichkeiten zur Ausnutzung des Systems zu minimieren. Die Standardeinstellungen für Windows XP Professional-Dienste finden Sie in der Windows XP Professional-Produktdokumentation (in Englisch) auf der Microsoft-Website unter folgender Adresse: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx. Nachdem die Angriffsfläche ohne Beeinträchtigung der erforderlichen Funktionen des Systems minimiert wurde, sollte als primäre Verteidigungsmaßnahme auf dieser Ebene ein Virenscanner verwendet werden. Die Hauptaufgabe des Scanners besteht nicht nur darin, einen Angriff zu erkennen und zu verhindern, sondern auch, den Benutzer sowie ggf. die Systemadministratoren der Organisation zu benachrichtigen. Schritt 2: Anwenden von SicherheitsupdatesDurch die große Anzahl und Vielfalt von Clientcomputern, die mit den Netzwerken einer Organisation verbunden werden können, kann sich die Bereitstellung eines schnellen und zuverlässigen Verwaltungsdienstes für Sicherheitsupdates als schwierig erweisen. Microsoft und andere Softwareanbieter haben eine Vielzahl spezieller Tools für dieses Problem entwickelt. Microsoft bietet zurzeit die folgenden Tools zur Patchverwaltung und Sicherheitsaktualisierung an:
Jedes dieser Sicherheitsupdate-Tools von Microsoft bietet für bestimmte Verwendungszwecke Vorteile. Der beste Ansatz ist vermutlich die Verwendung mehrerer dieser Tools. Ziehen Sie bei der Auswahl der Sicherheitsupdatelösungen für Ihr Unternehmen ggf. den Featurevergleich auf der Seite "Choosing a Security Update Management Solution" (in Englisch) zu Rate. Diesen Vergleich finden Sie auf der Microsoft-Website unter folgender Adresse: Schritt 3: Aktivieren einer hostgestützten FirewallDie hostgestützte oder persönliche Firewall ist eine wichtige Ebene in der Clientverteidigung. Diese sollte insbesondere auf Laptops aktiviert werden, die außerhalb des Unternehmensnetzwerks – also außerhalb der normalen physischen Verteidigungseinrichtungen sowie der Netzwerkverteidigung – verwendet werden können. Diese Firewalls filtern alle Daten, die in einen bestimmten Hostcomputer zu gelangen oder diesen zu verlassen versuchen. Windows XP enthält eine einfache als Internetverbindungsfirewall (ICF) bezeichnete persönliche Firewall. Nach ihrer Aktivierung überwacht die Internetverbindungsfirewall die gesamte durch sie übertragene Kommunikation. Die Internetverbindungsfirewall stellt auch anhand einer Überprüfung der Quell- und Zieladresse jedes verarbeiteten Datenpakets sicher, dass die Kommunikation zulässig ist. Weitere Informationen zur Internetverbindungsfirewall finden Sie in der Windows XP-Hilfe und auf der Seite "Use the Internet Connection Firewall" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Windows XP Service Pack 2 enthält eine Reihe bedeutender Verbesserungen der Internetverbindungsfirewall (jetzt bezeichnet als Windows-Firewall) sowie weitere sicherheitsspezifische Verbesserungen. Ein Service Pack ist ein getesteter, kumulativer Satz aller Hotfixes, Sicherheitsupdates, wichtiger Updates und Updates für seit dem Erscheinen des Produkts intern aufgedeckter Fehler. Service Packs können auch eine begrenzte Anzahl von Funktionen aufgrund von Kundenwünschen enthalten, etwa Änderungen an der Oberfläche. Informationen zu diesem Update für Windows XP finden Sie auf der Seite "Windows XP Service Pack 2" (in Englisch) auf der Microsoft TechNet-Website unter folgender Adresse: Windows-Versionen vor Windows XP enthalten keine integrierte Firewall. Zum Bereitstellen von Firewalldiensten auf älteren Versionen von Windows und zum Verbessern der Firewalldienste auf Windows XP-Clients können hostgestützte Firewalllösungen von Drittanbietern installiert werden. Informationen zu diesen Firewallprodukten finden Sie auf der Seite "Frequently Asked Questions About Internal Firewalls" (in Englisch) auf der Microsoft-Website "Schützen Sie Ihren PC" unter folgender Adresse: Schritt 4: Installieren von AntivirussoftwareViele Firmen stellen Antivirusanwendungen her, und all diese Produkte versuchen, den Hostcomputer bei minimaler Beeinträchtigung der Endbenutzer und mit möglichst wenig benutzerseitigen Eingriffen zu schützen. Die meisten dieser Anwendungen bieten diesen Schutz heute bereits auf sehr effektive Weise. Zur Anpassung an neue Malware sind jedoch regelmäßige Updates erforderlich. Jede Antiviruslösung sollte durch einen integrierten Mechanismus die schnelle und nahtlose Bereitstellung von Updates der erforderlichen Signaturdateien zum Schutz vor neuer Malware oder neuen Varianten gewährleisten. Eine Signaturdatei enthält Informationen, mit deren Hilfe Antivirusprogramme Malware während einer Prüfung erkennen können. Signaturdateien werden regelmäßig von den Herstellern der Antivirusanwendung aktualisiert und müssen dann auf den Clientcomputer heruntergeladen werden. Hinweis: Solche Updates bergen ein eigenes Sicherheitsrisiko in sich, da Signaturdateien von der Supportsite des Herstellers der Antivirusanwendung gesendet werden (normalerweise über das Internet). Wenn der Übertragungsmechanismus z. B. FTP (File Transfer Protocol) zum Abrufen der Datei verwendet wird, müssen die Perimeterfirewalls der Organisation diesen Zugriff auf den erforderlichen FTP-Server im Internet zulassen. Stellen Sie sicher, dass der Updatemechanismus für Ihre Organisation bei der Antivirus-Risikoanalyse überprüft wird und Ihren Sicherheitsanforderungen entspricht. Aufgrund der sich schnell ändernden Malwaremuster und -techniken verwenden einige Organisationen einen Ansatz, bei dem bestimmte besonders gefährdete Benutzer mehrere Antiviruspakete auf demselben Computer ausführen müssen. Auf diese Weise soll das Risiko minimiert werden, dass Malware nicht erkannt wird. Die folgenden Benutzertypen fallen normalerweise in diese Kategorie:
Beachten Sie, dass die Ausführung von Antivirusanwendungen mehrerer Anbieter auf demselben Computer Probleme verursachen kann, wenn die einzelnen Antivirusanwendungen nicht korrekt zusammenarbeiten. Die folgenden Systemprobleme können z. B. durch die gleichzeitige Ausführung mehrerer Antivirusanwendungen in der Umgebung verursacht werden:
Aus diesen Gründen wird von der Verwendung mehrerer Antivirusanwendungen auf demselben Computer abgeraten. Ein alternativer Ansatz besteht darin, für die Client-, Server- und Netzwerkverteidigungsmaßnahmen jeweils Antivirussoftware unterschiedlicher Anbieter zu verwenden. Dieser Ansatz ermöglicht eine konsistente Überprüfung dieser verschiedenen Bereiche der Infrastruktur mit unterschiedlichen Scanmodulen. Auf diese Weise verringert sich das Risiko für die gesamte Virenabwehr, wenn das Produkt eines Herstellers einen Angriff nicht erkennt. Weitere Informationen zu Anbietern von Antivirusprodukten finden Sie auf der Seite "Microsoft Antivirus Partners" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Weitere Informationen zur Antivirussoftware für Windows XP finden Sie auf der Seite "Microsoft Windows Catalog Antivirus" (in Englisch) auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=28506. Schritt 5: Test mit SicherheitslückenscannernNachdem Sie ein System konfiguriert haben, sollten Sie durch regelmäßige Tests sicherstellen, dass keine Sicherheitslücken vorhanden sind. Für diesen Vorgang stehen Ihnen mehrere Anwendungen zur Verfügung, die nach Sicherheitslücken suchen, die Malware und Hackern ausnutzen. Die besten dieser Tools aktualisieren regelmäßig ihre eigenen Scanroutinen, um die jeweils neuesten Sicherheitslücken in Ihrem Computersystem zu erkennen. Der Microsoft Baseline Security Analyzer (MBSA) ist z. B. ein Sicherheitslückenscanner, der allgemeine Sicherheitskonfigurationsprobleme erkennen kann. Der Scanner überprüft auch, ob der Host mit den neuesten Sicherheitsupdates konfiguriert ist. Weitere Informationen zu diesem kostenlosen Konfigurationstool finden Sie auf der Seite "Microsoft Baseline Security Analyzer V1.2" (in Englisch) auf der TechNet-Website unter http://www.microsoft.com/technet/security/tools/mbsahome.mspx. Schritt 6: Vorgabe von Richtlinien, dass Benutzer nur geringe Berechtigungen besitzenEin weiterer wichtiger Aspekt der Clientverteidigung sind die den Benutzern beim normalen Betrieb zugewiesenen Berechtigungen. Um die Auswirkung einer auf die Ausnutzung von Benutzerberechtigungen abzielenden Malware zu minimieren, empfiehlt Microsoft die Verwendung einer Richtlinie, die möglichst geringe Berechtigungen gewährt. Eine solche Richtlinie ist insbesondere für Benutzer mit lokalen Administratorrechten wichtig. Entfernen Sie ggf. Berechtigungen für alltägliche Operationen, und verwenden Sie stattdessen den Befehl RunAs zum Starten der erforderlichen Verwaltungstools. Muss ein Benutzer z. B. eine Anwendung installieren, die Administratorrechte erfordert, kann er an der Eingabeaufforderung den folgenden Installationsbefehl ausführen, um das Setupprogramm mit entsprechenden Berechtigungen zu starten: runas /user:mydomain\admin "setup.exe" Sie können direkt über den Microsoft Windows-Explorer auf dieses Feature zugreifen, indem Sie die folgenden Schritte ausführen: So führen Sie ein Programm mit Administratorrechten aus
Schritt 7: Einschränken von nicht autorisierten AnwendungenWenn eine Anwendung einen Dienst für das Netzwerk bereitstellt, z. B. Microsoft Instant Messenger oder einen Webdienst, kann sie theoretisch zum Ziel eines Malwareangriffs werden. Sie können im Rahmen Ihrer Virenabwehr ggf. eine Liste der autorisierten Anwendungen für die Organisation erstellen. Durch die Installation einer nicht autorisierten Anwendung auf einem der Clientcomputer werden möglicherweise alle Clients und die auf ihnen gespeicherten Daten einem höheren Risiko von Malwareangriffen ausgesetzt. Wenn Ihre Organisation die Verwendung von nicht autorisierten Anwendungen einschränken möchte, können Sie Benutzern mithilfe entsprechender Windows-Gruppenrichtlinien die Ausführung von nicht autorisierter Software verweigern. Die Verwendung von Gruppenrichtlinien wurde bereits umfassend dokumentiert. Ausführliche Informationen stehen Ihnen im Windows Server 2003 Group Policy Technology Center (in Englisch) auf der Microsoft-Website unter folgender Adresse zur Verfügung: Der spezifische Gruppenrichtlinienbereich für dieses Feature wird als "Richtlinien für Softwareeinschränkung" bezeichnet und ist über das Gruppenrichtlinien-MMC-Snap-In verfügbar. Das Gruppenrichtlinienfenster in der folgenden Abbildung zeigt, wo Sie jeweils für Computer und Benutzer die Richtlinien für Softwareeinschränkung einstellen können:  Abbildung 3.3 "Richtlinien für Softwareeinschränkung" im Gruppenrichtlinien-MMC-Snap-In Führen Sie die folgenden Schritte aus, um direkt über einen Windows XP-Client auf dieses Snap-In zuzugreifen:
Eine detaillierte Erläuterung aller möglichen Einstellungen geht über den Rahmen dieses Leitfadens hinaus. Der Artikel "Using Software Restriction Policies to Protect Against Unauthorized Software" (in Englisch) auf der TechNet-Website unter: Warnung: Gruppenrichtlinien sind eine extrem leistungsfähige Technologie und erfordern für die erfolgreiche Implementierung eine sorgfältige Konfiguration und umfassende Kenntnisse. Nehmen Sie nur dann direkte Änderungen an diesen Einstellungen vor, wenn Sie mit den Richtlinieneinstellungen vertraut sind und die Ergebnisse einer Änderung auf einem Nicht-Produktivsystem getestet haben. Antiviruseinstellungen für ClientanwendungenDie folgende Abschnitte enthalten Richtlinien zur Konfiguration spezifischer Clientanwendungen, die das Opfer von Malware werden können. E-Mail-ClientsAuch wenn es Malware gelingt, die Verteidigungsmaßnahmen auf der Netzwerk- und E-Mail-Serverebene zu durchbrechen, können Sie mit entsprechenden Einstellungen einen zusätzlichen Schutz für den E-Mail-Client erzielen. Die Fähigkeit des Benutzers, E-Mail-Anlagen direkt zu öffnen, ist generell einer der zwei wichtigsten Propagierungswege für Malware auf dem Client. Diese Fähigkeit sollte in den E-Mail-Systemen Ihrer Organisation eingeschränkt werden. Wenn dies nicht möglich ist, können in einigen E-Mail-Clients zusätzliche Schritte konfiguriert werden, die der Benutzer vor dem Öffnen einer Anlage ausführen muss. In Microsoft Outlook® und Outlook Express stehen Ihnen z. B. folgende Funktionen zur Verfügung:
Informationen zum Konfigurieren dieser Features finden Sie im Microsoft Knowledge Base-Artikel "291387 - OLEXP: Using Virus Protection features in Outlook Express 6" (in Englisch) unter folgender Adresse: Microsoft Outlook 2003 enthält zusätzliche Features zum Schutz vor Malware und Junk-E-Mail (oder Spam-E-Mail). Informationen zur Konfiguration dieser Features finden Sie auf der Seite Customizing Outlook 2003 to Help Prevent Viruses (in Englisch) auf der Microsoft-Website unter folgender Adresse: DesktopanwendungenDa die Leistungsfähigkeit von Desktopanwendungen im Laufe der Zeit zugenommen hat, sind sie auch zu einem Ziel für Malware geworden. Makroviren verwenden von Textverarbeitungs- und Tabellenkalkulationsanwendungen oder von anderen makrofähigen Anwendungen erstellte Dateien, um sich selbst zu replizieren. Sie sollten möglichst durch entsprechende Maßnahmen sicherstellen, dass in allen mit diesen Dateien arbeitenden Anwendungen in Ihrer Umgebung die am Besten geeigneten Sicherheitseinstellungen aktiviert sind. Informationen zum Schützen von Microsoft Office 2003-Anwendungen finden Sie auf der Seite "Best practices for protection from viruses" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Instant Messaging-AnwendungenDas Phänomen des Instant Messaging hat dazu beigetragen, die Benutzerkommunikation in der ganzen Welt zu verbessern. Leider ist dadurch aber auch eine weitere Anwendungsform entstanden, die Malware das Eindringen in Ihr System ermöglichen kann. Textnachrichten stellen zwar keine direkte Malwarebedrohung dar, die meisten Instant Messenger-Clients bieten aber zusätzliche Dateiübertragungsfunktionen, um die Kommunikationsmöglichkeiten des Benutzers zu verbessern. Das Zulassen von Dateiübertragungen bietet potenziellen Malwareangriffen eine direkte Route in das Netzwerk eines Unternehmens. Netzwerkfirewalls können diese Dateiübertragungen blockieren, indem sie einfach die für diese Kommunikation verwendeten Ports filtern. Microsoft Windows- und MSN® Messenger-Clients verwenden z. B. einen Bereich von TCP-Ports zwischen 6891 und 6900 zum Übertragen von Dateien. Wenn die Perimeterfirewall diese Ports blockiert, kann folglich keine Dateiübertragung über Instant Messaging stattfinden. Mobile Clientcomputer sind jedoch nur geschützt, während sie sich im Netzwerk des Unternehmens befinden. Aus diesem Grund können Sie ggf. die hostgestützte Firewall auf Ihren Clients zum Blockieren dieser Ports konfigurieren und dadurch einen Schutz für die mobilen Clients der Organisation bereitstellen, wenn diese sich außerhalb Ihrer Netzwerkverteidigung befinden. Wenn Ihre Organisation diese Ports nicht blockieren kann, da sie von anderen erforderlichen Anwendungen verwendet werden oder die Dateiübertragung benötigt wird, sollten Sie sicherstellen, dass alle Dateien vor der Übertragung einer Malwareprüfung unterzogen werden. Wenn Ihre Clientarbeitsstationen keinen Echtzeitvirenscanner verwenden, sollten Sie die Instant Messaging-Anwendung so konfigurieren, dass übertragene Dateien unmittelbar nach ihrem Empfang zur Prüfung an eine Antivirusanwendung weitergeleitet werden. Sie können z. B. MSN Messenger zum automatischen Überprüfen von übertragenen Dateien konfigurieren. Die folgenden Schritte zeigen, wie Sie dieses Sicherheitsfeature aktivieren: Hinweis: Die mit Windows XP gelieferte Windows Messenger-Anwendung unterstützt dieses Feature nicht. Für diese Anwendung sollte ein Echtzeitvirenscanner verwendet werden. So überprüfen Sie von MSN Messenger übertragene Dateien
Nachdem Sie diese Schritte ausgeführt haben, überprüft Ihre Antivirussoftware automatisch alle über MSN Messenger auf dem Client empfangenen Dateien. Hinweis: Ihr Virenscantool erfordert u. U. weitere Konfigurationsschritte zur Absicherung der Instant Messaging-Anwendung. Weitere Informationen finden Sie in den Anweisungen für die Software. WebbrowserBevor Sie Code aus dem Internet downloaden oder ausführen, müssen Sie sicherstellen, dass dieser aus einer bekannten und zuverlässigen Quelle stammt. Die Benutzer sollten sich nicht nur auf das Erscheinungsbild oder die Adresse der Site verlassen, da sowohl Webseiten als auch Adressen gefälscht sein können. Eine Reihe unterschiedlicher Techniken und Technologien wurden entwickelt, um der Webbrowseranwendung eines Benutzers das Überprüfen der Zuverlässigkeit einer besuchten Website zu ermöglichen. Microsoft Internet Explorer verwendet z. B. die Microsoft Authenticode®-Technologie, um die Identität von heruntergeladenem Code zu bestätigen. Die Authenticode-Technologie überprüft, ob der Code über ein gültiges Zertifikat verfügt, die Identität des Softwareherausgebers mit dem Zertifikat übereinstimmt und das Zertifikat noch gültig ist. Durch diese Tests werden die Chancen eines Angreifers reduziert, böswilligen Code auf Ihr System zu übertragen. In den meisten gängigen Webbrowseranwendungen kann die Stufe des automatisierten Zugriffs für Code, der von einem Webserver ausgeführt wird, beschränkt werden. Internet Explorer verwendet Sicherheitszonen, um zu verhindern, dass Webinhalt potenziell schädliche Operationen auf dem Client ausführt. Die Sicherheitszonen basieren auf der Quelle (Zone), von denen der Webinhalt stammt. Wenn Sie z. B. sicher sind, dass alle im Intranet Ihrer Organisation heruntergeladenen Inhalte sicher sind, können Sie die Sicherheitseinstellungen der Clients für die lokale Intranetzone auf eine niedrige Stufe einstellen, um Benutzern das Downloaden von Inhalt aus dem Intranet mit wenigen oder sogar ohne Einschränkungen zu erlauben. Wenn sich die Quelle des Downloads jedoch in der Internetzone oder der Zone für eingeschränkte Sites befindet, können Sie die Sicherheitseinstellungen der Clients auf eine mittlere oder hohe Stufe einstellen. Bei Verwendung dieser Einstellungen zeigen die Clientbrowser vor dem Download Informationen zum Zertifikat des Inhalts an, oder sie verhindern den Download des Inhalts. Peer-to-Peer-AnwendungenDurch die Einführung von internetweiten Peer-to-Peer-Anwendungen (P2P) ist es einfacher denn je, Dateien ausfindig zu machen und mit anderen Personen auszutauschen. Unglücklicherweise hat diese Situation zu einer Reihe von Malwareangriffen geführt, bei denen diese Anwendungen verwendet wurden, um Dateien auf die Computer anderer Benutzer zu replizieren. Würmer wie "W32.HLLW.Sanker" versuchten, P2P-Anwendungen wie Kazaa zu Replikationszwecken zu nutzen. Für Malware, die auf die Verwendung von Peer-to-Peer-Anwendungen ausgerichtet ist, gibt es viele weitere Beispiele, z. B. "Morpheus" und "Grokster". Die Sicherheitsprobleme von P2P-Anwendungen haben nur wenig mit den Clientprogrammen selbst zu tun. Diese Probleme hängen vielmehr mit der Tatsache zusammen, dass diese Anwendungen direkte Routen zwischen Computern bereitstellen können, über die Inhalt ohne geeignete Sicherheitsprüfungen übertragen werden kann. Microsoft empfiehlt, die Anzahl der mit diesen Anwendungen arbeitenden Clients in der Organisation möglichst zu beschränken. Sie können die zuvor beschriebenen Windows-Richtlinien für Softwareeinschränkung verwenden, um Benutzer an der Ausführung von Peer-to-Peer-Anwendungen zu hindern. Wenn dies in Ihrer Umgebung nicht möglich ist, muss das durch diese Anwendungen erhöhte Risiko für die Clients in der Umgebung in den Sicherheitsrichtlinien zur Virenabwehr berücksichtigt werden. SerververteidigungDie Serververteidigungsmaßnahmen in Ihrer Umgebung haben viel mit den Clientverteidigungsmaßnahmen gemeinsam: Beide versuchen, dieselbe grundlegende PC-Umgebung zu schützen. Der wichtigste Unterschied besteht darin, dass hinsichtlich der Zuverlässigkeit und Leistung im Allgemeinen höhere Anforderungen an die Serververteidigung gestellt werden. Zudem führen die von vielen Servern in der Infrastruktur einer Organisation ausgeführten dedizierten Rollen häufig zu einer spezialisierten Verteidigungslösung. In den folgenden Abschnitten werden die wichtigsten Unterschiede zwischen der Serververteidigung und der zuvor erläuterten Clientverteidigung beschrieben. Schritte zum Virenschutz von ServernAntiviruskonfigurationen für Server variieren abhängig von der Rolle und den bereitgestellten Diensten des jeweiligen Servers erheblich. Das Minimieren der Angriffsfläche eines Servers wird häufig als Härten bezeichnet. Zum Härten von Windows Server 2003 mit verschiedenen typischen Rollen in einer Organisation ist eine hervorragende Anleitung verfügbar. Weitere Informationen zu diesem Thema finden Sie auf der Seite "Serversicherheit - Übersicht" auf der Microsoft-Website unter folgender Adresse: Vier der grundlegenden Schritte zum Virenschutz der Server in der Organisation sind mit denen für die Clients identisch.
Neben diesen allgemeinen Schritten zum Virenschutz sollten Sie die Verwendung der folgenden serverspezifischen Software für die Virenverteidigungslösung Ihrer Server in Erwägung ziehen. Allgemeine Antivirussoftware für ServerDer wichtigste Unterschied zwischen Antivirusanwendungen für die Clientumgebungen (z. B. Windows XP) und denen für die Serverumgebungen (z. B. Windows Server 2003) liegt in der Integration zwischen dem servergestützten Scanner und servergestützten Diensten wie Messaging- oder Datenbankdiensten. Viele servergestützte Antivirusanwendungen bieten zudem Remoteverwaltungsfunktionen, um die Notwendigkeit des physischen Zugriffs auf die Serverkonsole zu minimieren. Die folgenden weiteren wichtigen Faktoren sind bei der Auswahl der Antivirussoftware für die Serverumgebung zu berücksichtigen:
Eine Liste der für die Verwendung mit Windows Server 2003 zertifizierten Antivirusanwendungen finden Sie auf der Seite "Business Solutions, Security" (in Englisch) des Windows Server-Katalogs unter http://go.microsoft.com/fwlink/?linkid=28510. Rollenspezifische Antiviruskonfigurationen und -softwareFür spezifische Serverrollen im Unternehmen stehen spezialisierte Antiviruskonfigurationen, -tools und -anwendungen zur Verfügung. Die folgenden Serverrollen können z. B. von dieser spezialisierten Virenabwehr profitieren:
Anwendungsspezifische Antiviruslösungen bieten im Allgemeinen einen besseren Schutz und eine höhere Leistung, da sie nicht unterhalb des Dienstes auf der Dateisystemebene arbeiten, sondern für die Integration mit einem spezifischen Dienst konzipiert sind. Alle in diesem Abschnitt beschriebenen Serverrollen sind für Informationen verantwortlich, die für einen auf der Dateisystemebene arbeitenden Virenscanner nicht zugänglich sind. Dieser Abschnitt enthält auch Informationen zu jeder dieser Serverrollen und zu den von Microsoft empfohlenen spezifischen Antiviruskonfigurationen, -tools und -anwendungen für diese Rollen. WebserverEine Zeit lang waren Webserver in allen Organisationstypen das Ziel von Sicherheitsangriffen. Unabhängig davon, ob ein Angriff von Malware wie "CodeRed" oder einem Hacker stammt, der die Website einer Organisation zu verunstalten versucht, müssen die Sicherheitseinstellungen auf den Webservern entsprechend konfiguriert werden, um die Verteidigung gegen diese Angriffe zu maximieren. Mit dem Schutz von IIS-Servern im Netzwerk betraute Systemadministratoren finden eine spezielle Anleitung zu diesem Thema in "Kapitel 8 - Sichern von IIS-Servern" des Windows Server 2003 – Sicherheitshandbuchs auf der Microsoft-Website unter folgender Adresse: Neben dieser Anleitung sind einige kostenlose Tools zum Download verfügbar. Diese Tools führen eine Reihe von Sicherheitskonfigurationen automatisch für IIS aus. Das IIS Lockdown-Tool ist z. B. auf der Microsoft-Website unter folgender Adresse verfügbar: Mit diesem Tool wird der Webserver angepasst, um nur die für seine Rolle erforderlichen Dienste bereitzustellen und somit die Angriffsfläche des Servers zu reduzieren. UrlScan ist ein weiteres Sicherheitstool, das die von IIS verarbeiteten HTTP-Anforderungstypen beschränkt. Durch die Blockierung bestimmter HTTP-Anforderungen verhindert UrlScan, dass potenziell schädliche Anforderungen den Server erreichen. Sie können UrlScan 2.5 auf normalem Wege auf Servern mit IIS 4.0 oder höher installieren. Weitere Informationen zu UrlScan finden Sie auf der Seite "UrlScan Security Tool" (in Englisch) auf der Microsoft-Website unter folgender Adresse: MessagingserverBeim Entwerfen einer effektiven Antiviruslösung für die E-Mail-Server in der Organisation müssen zwei Ziele im Auge behalten werden. Das erste Ziel ist der Schutz der Server selbst vor Malware. Das zweite Ziel besteht darin, Malware daran zu hindern, vom E-Mail-System in die Postfächer der Benutzer zu gelangen. Die auf Ihren E-Mail-Servern installierte Antiviruslösung muss die Umsetzung beider Ziele gewährleisten. Im Allgemeinen können standardmäßige mittels Dateiprüfung arbeitende Antiviruslösungen nicht verhindern, dass ein E-Mail-Server Malware als Anlagen an Clients weiterleitet. Auch die einfachsten E-Mail-Dienste speichern E-Mail-Nachrichten in einer Datenbank (auch bezeichnet als der Nachrichtenspeicher). Eine typische Antiviruslösung mit Dateiprüfung kann nicht auf den Inhalt einer solchen Datenbank zugreifen. In der Tat könnte eine solche Antiviruslösung einen Nachrichtenspeicher beschädigen, wenn ihr das Durchführen einer Prüfung über eine Laufwerkszuordnung erlaubt wird (z. B. das Laufwerk "M:" in Exchange Server 5.5 und Exchange Server 2000). Die Antiviruslösung muss daher entsprechend der verwendeten E-Mail-Lösung ausgewählt werden. Viele Hersteller von Antivirussoftware bieten dedizierte Versionen ihrer Software für spezifische E-Mail-Server an. Diese Programme überprüfen, ob die durch das E-Mail-System gesendeten Nachrichten Malware enthalten. Zwei grundlegende Typen von Antiviruslösungen sind verfügbar:
Microsoft Exchange enthält eine Virus-API (VAPI) benannte, spezifische Antivirus-API (Anwendungsprogrammierschnittstelle), auch als Antivirus-API (AVAPI) oder Virenscan-API (VSAPI) bezeichnet. Diese API wird von spezialisierten Exchange Server-Antivirusanwendungen verwendet, um auf sichere und zuverlässige Weise einen vollständigen Messagingschutz auf Exchange-E-Mail-Servern bereitzustellen. Weitere Informationen zu dieser API finden Sie im Microsoft Knowledge Base-Artikel "328841 – XADM: Exchange and Antivirus Software" (in Englisch) auf der Microsoft-Website unter folgender Adresse: DatenbankserverVier Hauptelemente müssen beim Planen der Virenabwehrstrategie für einen Datenbankserver bedacht werden:
Da die Daten im Datenspeicher nicht direkt ausführbar sind, wird im Allgemeinen davon ausgegangen, dass für die Datenspeicher selbst keine Prüfungen erforderlich sind. Zurzeit sind keine bedeutenden speziell für Datenspeicher konzipierten Antivirusanwendungen verfügbar. Der Host, die Datenbankdienste und die Datenkommunikation des Datenbankservers müssen beim Planen der Antiviruskonfigurationen jedoch berücksichtigt werden. Die Hostplatzierung und -konfiguration sollten speziell im Hinblick auf die Malwarebedrohungen überprüft werden. Im Allgemeinen rät Microsoft davon ab, Datenbankserver im Perimeternetzwerk der IT-Infrastruktur zu platzieren. Dies gilt insbesondere dann, wenn auf den Servern wichtige Daten gespeichert werden. Wenn jedoch ein solcher Datenbankserver im Perimeternetzwerk platziert werden muss, konfigurieren Sie ihn entsprechend, um das Risiko einer Malwareinfektion zu minimieren. Wenn Ihre Organisation SQL Server verwendet, finden Sie in der folgenden Anleitung weitere Informationen zu spezifischen Konfigurationsrichtlinien gegen Malwareangriffe:
Der Wurm "Slammer" richtete seinen Angriff direkt gegen SQL Server. Dieser Angriff hat gezeigt, wie wichtig der Schutz der Computer mit SQL Server-Datenbanken ist – unabhängig davon, ob sie sich im Perimeternetzwerk oder im internen Netzwerk befinden. Informationen und Software zum Schützen Ihrer SQL Server-Systeme vor dem Wurm "Slammer" finden Sie auf der Seite "Finding and Fixing Slammer Vulnerabilities" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Collaboration-ServerCollaboration-Server sind für Malwareangriffe aufgrund ihrer Funktion und Beschaffenheit besonders gefährdet. Wenn Benutzer Dateien auf die Server und von den Servern kopieren, werden Server und andere Benutzer im Netzwerk dadurch möglicherweise einem Malwareangriff ausgesetzt. Microsoft empfiehlt, die Collaboration-Server in Ihrer Umgebung (z. B. die Server, auf denen die Windows SharePoint Services oder SharePoint Portal Server 2003 ausgeführt werden) durch eine Antivirusanwendung zu schützen, die alle aus dem und in den Collaboration-Speicher kopierten Dateien überprüfen kann. Ausführliche Anweisungen zum Schutz dieser Dienste finden Sie auf der Seite "Configuring Antivirus Protection" des Administrators Guide for Windows SharePoint Services (in Englisch) auf der Microsoft-Website unter folgender Adresse: Informationen zu spezieller Antivirussoftware für die Integration mit Windows SharePoint Services und SharePoint Portal Server 2003 finden Sie auf der Seite "Solutions Directory" (in Englisch) auf Microsoft Office Online unter folgender Adresse: NetzwerkverteidigungsebeneBei der Mehrzahl der bekannten Malwarezwischenfälle handelt es sich um über das Netzwerk ausgeführte Angriffe. Normalerweise werden Malwareangriffe unternommen, um Sicherheitslücken in der Netzwerkperimeterverteidigung auszunutzen und der Malware den Zugriff auf Hostgeräte innerhalb der IT-Infrastruktur der Organisation zu ermöglichen. Diese Geräte können Clients, Server, Router oder sogar Firewalls sein. Eines der schwierigsten Probleme der Virenabwehr auf dieser Ebene ist das Herstellen eines Gleichgewichts zwischen den Featureanforderungen der Benutzer der IT-Systeme einerseits und den zum Erstellen einer effektiven Verteidigung erforderlichen Beschränkungen andererseits. Wie viele der letzten Angriffe verwendete der Wurm "MyDoom" z. B. eine E-Mail-Anlage, um sich selbst zu replizieren. Aus der Perspektive einer IT-Infrastruktur betrachtet ist das Blockieren aller eingehenden Anlagen die einfachste und sicherste Option. Aufgrund der Anforderungen der E-Mail-Benutzer in Ihrer Organisation ist dies jedoch wahrscheinlich nicht realisierbar. Die Anforderungen der Organisation müssen gegen das akzeptable Risiko abgewägt werden, um einen geeigneten Kompromiss zu finden. Viele Organisationen wählen für ihren Netzwerkentwurf einen aus mehreren Ebenen bestehenden Ansatz, der sowohl interne als auch externe Netzwerkstrukturen verwendet. Microsoft empfiehlt diesen mehrstufigen Ansatz, da er dem Virenabwehr-Sicherheitsmodell direkt entspricht. Hinweis: Heutzutage wird das interne Netzwerk vermehrt in Sicherheitszonen unterteilt, um einen Perimeter für jede Zone zu schaffen. Microsoft empfiehlt auch diese Option, da sie die Gefährdung des internen Netzwerks durch Malwareangriffe insgesamt reduziert. In diesem Leitfaden wird jedoch nur eine Netzwerkverteidigungslösung beschrieben. Wenn Sie die Verwendung eines Perimeters und mehrerer interner Netzwerke planen, können Sie diese Anleitung direkt auf jedes Netzwerk anwenden. Die primären Netzwerkverteidigungsmaßnahmen für die Organisationen werden als Perimeternetzwerkverteidigung bezeichnet. Diese Verteidigungsmaßnahmen sollen verhindern, dass Malware über einen externen Angriff in das Netzwerk Ihrer Organisation gelangt. Wie zuvor in diesem Kapitel beschrieben, zielt der typische Malwareangriff darauf ab, Dateien auf einen Zielcomputer zu kopieren. Dementsprechend muss die Virenabwehr mit den allgemeinen Sicherheitsmaßnahmen des Unternehmens zusammenarbeiten, um sicherzustellen, dass der Zugriff auf die Daten der Organisation nur für korrekt autorisierte Personen und auf sichere Weise möglich ist (z. B. über eine verschlüsselte VPN-Verbindung). Weitere Informationen zum Erstellen eines sicheren Perimeternetzwerkentwurfs finden Sie in der Microsoft Systems Architecture 2.0-Anleitung (in Englisch) auf der TechNet-Website unter folgender Adresse: Hinweis: WLANs (drahtlose lokale Netzwerke) und VPNs (virtuelle private Netzwerke) sollten ebenfalls als Perimeternetzwerke betrachtet werden. Wenn Ihre Organisation diese Technologien verwendet, müssen sie unbedingt gesichert werden. Andernfalls kann ein Angreifer u. U. direkten Zugriff auf das interne Netzwerk erhalten (indem er die standardmäßige Perimeterverteidigung umgeht) und einen Angriff durchführen. Weitere Informationen zum Schützen von WLANs finden Sie in den folgenden Artikeln auf der TechNet-Website:
Eine Anleitung zum Schützen von VPN-Netzwerken finden Sie im folgenden Artikel auf der Microsoft-Website:
In diesem Leitfaden wird davon ausgegangen, dass der Netzwerksicherheitsentwurf ausreichende Identifizierungs-, Autorisierungs-, Verschlüsselungs- und Schutzmaßnahmen bietet, um direkte Eindringungsversuche eines nicht autorisierten Angreifers abwehren zu können. An diesem Punkt sind die Maßnahmen für die Virenabwehr jedoch nicht vollständig. Der nächste Schritt ist die Konfiguration der Verteidigung auf Netzwerkebene, um auch solche Malwareangriffe zu erkennen und zu filtern, die zulässige Netzwerkkommunikationswege wie E-Mail, das Internet und Instant Messaging nutzen. Antiviruskonfiguration des NetzwerksViele speziell zum Bereitstellen von Netzwerksicherheit für Organisationen entwickelte Konfigurationen und Technologien sind verfügbar. Obwohl sie wesentliche Bestandteile des Sicherheitsentwurfs einer Organisation sind, werden in diesem Abschnitt nur die direkt mit der Virenabwehr zusammenhängenden Bereiche behandelt. Die Netzwerksicherheits- und Entwurfsteams müssen festlegen, wie die im Folgenden beschriebenen Techniken in Ihrer Organisation verwendet werden. System zur Erkennung von NetzwerkeindringungsversuchenDa das Perimeternetzwerk einen besonders gefährdeten Teil des Netzwerks darstellt, ist es extrem wichtig, dass Ihre Netzwerkverwaltungssysteme Angriffe so schnell wie möglich erkennen und melden können. Ein System zur Erkennung von Netzwerkeindringungsversuchen gewährleistet lediglich die schnelle Erkennung und Meldung von externen Angriffen. Obwohl ein System zur Netzwerkeindringungserkennung kein spezifisches Antivirustool ist, sondern ein Bestandteil des gesamten Systemsicherheitsentwurfs, sind viele der ersten Anzeichen für System- und Malwareangriffe identisch. Einige Malwaretypen scannen z. B. IP-Adressen, um verfügbare zu infizierende Systeme ausfindig zu machen. Daher sollte das Eindringungserkennungssystem mit den Netzwerkverwaltungssystemen der Organisation zusammenarbeiten, um Warnungen über ungewöhnliches Netzwerkverhalten direkt an das Sicherheitspersonal der Organisation zu senden. Bedenken Sie hierbei, dass der Schutz jedes Systems zur Netzwerkeindringungserkennung nur so gut sein kann wie der auf die Erkennung einer Eindringung folgende Prozess. Dieser Prozess sollte Verteidigungsmaßnahmen auslösen, mit denen ein Angriff blockiert werden kann. Die Verteidigungseinrichtungen sollten ständig in Echtzeit überwacht werden. Nur dann kann der Prozess als Teil einer Verteidigungsstrategie betrachtet werden. Andernfalls fungiert das System zur Netzwerkeindringungserkennung lediglich als ein Tool, das nach dem Auftreten eines Angriffs eine Überwachungsliste liefert. Netzwerkdesignern stehen zahlreiche Systeme zur Erkennung von Netzwerkeindringungsversuchen auch in großen IT-Umgebungen zur Verfügung. Dabei kann es sich um eigenständige Geräte oder in Netzwerkdienste (z. B. die Firewalldienste der Organisation) integrierte Systeme handeln. Microsoft Internet Security and Acceleration Server 2000 und 2004 (ISA) enthalten z. B. Funktionen zur Erkennung von Netzwerkeindringungsversuchen sowie Firewall- und Proxydienste. Eine Liste der Microsoft ISA-Server-Partner, die weitere Dienste zur Netzwerkeindringungserkennung für ISA-Server anbieten, finden Sie auf der Seite "Intrusion Detection" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Filterung auf AnwendungsebeneUnternehmen empfinden es nicht nur als nützlich, sondern auch als erforderlich, die Netzwerkkommunikation mithilfe von Internetfilterungstechnologien zu überwachen und unzulässige Inhalte wie Viren herauszufiltern. In herkömmlichen Lösungen wurde diese Filterung mit der von den Firewalldiensten bereitgestellten Filterung auf Paketebene durchgeführt. Bei diesem Ansatz kann der Netzwerkverkehr jedoch nur anhand einer Quell- oder Ziel-IP-Adresse oder eines bestimmten TCP- oder UDP-Netzwerkports gefiltert werden. Die Filterung auf der Anwendungsebene (Application-Layer Filtering) hingegen arbeitet auf der Anwendungsebene des OSI-Netzwerkmodells und ermöglicht somit eine auf dem Inhalt basierende Untersuchung und Filterung der Daten. Wenn die Filterung auf Anwendungsebene zusätzlich zur standardmäßigen Filterung auf Paketebene verwendet wird, kann eine sehr viel höhere Sicherheit erzielt werden. Mit der Paketfilterung können Sie z. B. Netzwerkverkehr über Port 80 durch die Firewall der Organisation filtern, damit dieser Verkehr nur an Ihre Webserver geleitet werden kann. Dieser Ansatz bietet jedoch möglicherweise keine ausreichende Sicherheit. Die zusätzliche Verwendung der Filterung auf Anwendungsebene ermöglicht Ihnen die Überprüfung aller über Port 80 an die Webserver gesendeten Daten. Auf diese Weise können Sie sicherstellen, dass die Daten gültig sind und keinen verdächtigen Code enthalten. ISA-Server kann die Filterung auf Anwendungsebene für Datenpakete ausführen, während diese durch die Firewall einer Organisation gesendet werden. Internetaktivitäten und E-Mail können gescannt werden, um sicherzustellen, dass die jeweiligen Inhalte keine verdächtigen Daten wie Spam oder Malware enthalten. Die Filterung auf Anwendungsebene in ISA-Server ermöglicht eine umfassende Inhaltsanalyse. Dies beinhaltet auch die Erkennung, Überprüfung und Bestätigung von Verkehr über beliebige Ports und Protokolle. Eine Liste der Hersteller, die Filter zum Verbessern der Sicherheit und Interoperabilität für unterschiedliche Protokolle und Webverkehr anbieten, finden Sie auf der Seite "Partner Application Filters" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Eine detaillierte Beschreibung der Funktionsweise der Filterung auf Anwendungsebene in ISA-Server 2000 finden Sie auf der Seite "Introducing the ISA Server 2000 Application Layer Filtering Kit" (in Englisch) unter folgender Adresse: InhaltsprüfungDie Inhaltsprüfung ist als Feature in erweiterten Firewalllösungen oder als Komponente eines separaten Dienstes wie E-Mail verfügbar. Bei der Inhaltsprüfung werden Daten abgefragt, denen die Übertragung in das oder aus dem Netzwerk einer Organisation über gültige Datenkanäle erlaubt ist. Wenn die Inhaltsprüfung für E-Mail ausgeführt wird, arbeitet sie im Allgemeinen mit E-Mail-Servern zusammen, um bestimmte Eigenschaften von E-Mails zu überprüfen, z. B. Anlagen. Diese Technik kann in Echtzeit nach Malware suchen und diese identifizieren, während die Daten durch den Dienst geleitet werden. Microsoft arbeitet mit mehreren Partnern zusammen, um erweiterte Sicherheitsfeatures für Microsoft Exchange Server und ISA-Server anzubieten, wie z. B. die in Echtzeit stattfindende Prüfung von Inhalten. Weitere Informationen zu den für Microsoft Exchange Server 2003 verfügbaren Antivirusprodukten von Partnern finden Sie im Microsoft Knowledge Base-Artikel "823166 "Overview of Exchange Server 2003 and Antivirus Software" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Eine Liste der Partner von Microsoft, die Inhaltsprüfungsprodukte für ISA-Server entwickelt haben, finden Sie auf der Seite "Partners" (in Englisch) auf der Microsoft-Website unter folgender Adresse: URL-FilterungEine weitere, ggf. für Netzwerkadministratoren verfügbare Option ist die URL-Filterung, mit der problematische Websites blockiert werden. Sie können die URL-Filterung z. B. dafür verwenden, um bekannte Hackerwebsites, Downloadserver und persönliche HTTP-E-Mail-Dienste zu blockieren. Hinweis: Die großen Websites mit HTTP-E-Maildiensten (z. B. Hotmail und Yahoo) enthalten Virenscandienste. Kleinere Sites bieten z. T. jedoch keinerlei Virenschutz. Dies ist ein schwerwiegendes Problem für die Virenabwehrrstrategie einer Organisation, da solche Dienste eine direkte Route vom Internet zu Clients bereitstellen. Netzwerkadministratoren können zwei grundlegende Ansätze für die URL-Filterung verwenden:
Der erste Ansatz beruht auf einem aktiven Prozess, bei dem potenziell problematische Websites identifiziert und der Liste hinzugefügt werden. Aufgrund der Größe und Vielfältigkeit des Internets erfordert dieser Ansatz entweder eine automatisierte Lösung oder einen erheblichen Verwaltungsaufwand. Er eignet sich daher im Allgemeinen nicht zum Bereitstellen einer umfassenden Schutzlösung, sondern nur zum Blockieren einer kleinen Anzahl von bekannten problematischen Sites. Der zweite Ansatz bietet mehr Schutz, da die für die Benutzer des Systems verfügbaren Sites exakt kontrolliert werden können. Ohne entsprechende Untersuchungen zum Identifizieren aller von den Benutzern benötigten Sites ist dieser Ansatz für viele Organisationen jedoch zu einschränkend. Microsoft ISA-Server unterstützt die manuelle Erstellung beider Listen mittels der Standort- und Inhaltsregeln. Microsoft-Partner bieten erweiterte und automatisierte Lösungen an, die durch eine direkte Zusammenarbeit mit ISA-Server sicherstellen, dass erforderliche URLs mit minimalem Verwaltungsaufwand blockiert oder genehmigt werden können. Eine Liste dieser Lösungen finden Sie auf der Seite "Microsoft Internet Security and Acceleration (ISA) Server Partners URL Filtering" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Beide Ansätze bieten nur Schutz, wenn sich ein Client innerhalb der Verteidigungsgrenzen der Organisation befindet. Dieser Schutz ist nicht verfügbar, wenn ein mobiler Client außerhalb des Büros eine direkte Verbindung mit dem Internet herstellt. In diesem Fall ist das Netzwerk möglichen Angriffen ausgesetzt. Wenn Sie in Ihrem Unternehmen eine URL-Filterlösung für mobile Clients benötigen, sollten Sie die Verwendung eines clientgestützten Verteidigungssystems in Erwägung ziehen. Dieser Ansatz kann jedoch insbesondere in Umgebungen mit vielen mobilen Clients einen erheblichen Verwaltungsaufwand mit sich bringen. QuarantänenetzwerkeEine weitere Technik zum Sichern von Netzwerken ist das Einrichten eines Quarantänenetzwerks für Computer, die den minimalen Sicherheitsanforderungen Ihres Unternehmens nicht entsprechen. Hinweis: Diese Technik ist nicht zu verwechseln mit dem in einigen Antivirusanwendungen verfügbaren Quarantänefeature, das eine infizierte Datei in einen sicheren Bereich auf dem Computer verschiebt, bis sie gelöscht werden kann. Ein Quarantänenetzwerk sollte den Zugriff auf die internen Ressourcen des Unternehmens einschränken oder sogar blockieren, aber ausreichende Verbindungsmöglichkeiten (auch mit dem Internet) bereitstellen, um Besuchern die produktive Arbeit zu erlauben. Die Sicherheit des internen Netzwerks darf durch diese Verbindungsmöglichkeiten jedoch nicht riskiert werden. Wenn ein mit Malware infiziertes Laptop eines Besuchers mit dem Netzwerk verbunden wird, verhindert das Quarantänenetzwerk die Infektion anderer Computer im internen Netzwerk. Ein ähnlicher Ansatz wurde vor einiger Zeit erfolgreich auf VPN-Remoteverbindungen angewendet. VPN-Clients werden während der Ausführung von Systemtests an ein temporäres Quarantänenetzwerk umgeleitet. Wenn der Client die Tests besteht (z. B., weil er über die erforderlichen Sicherheitsupdates und Antivirus-Signaturdateien verfügt), wird ihm der Zugriff auf das interne Netzwerk der Organisation gewährt. Kann der Client die Anforderungen nicht erfüllen, wird entweder seine Verbindung getrennt, oder er erhält Zugriff auf das Quarantänenetzwerk, in dem er dann die zum Bestehen der Tests erforderlichen Updates abrufen kann. Heute verwenden Netzwerkdesigner diese Technologie, um die Sicherheit von internen Netzwerken zu verbessern. Weitere Informationen zu dieser Technik finden Sie auf der Seite "Planning for Network Access Quarantine Control" (in Englisch) des Microsoft Windows Server 2003 Deployment Kit auf der Microsoft-Website unter folgender Adresse: ISA Server Feature PackWenn Ihre Organisation ISA Server 2000 verwendet, empfiehlt Microsoft auch die Verwendung der zusätzlichen Features im ISA Server Feature Pack 1. Dieses kostenlose Add-On enthält zusätzliche Features, mit denen Sie die Sicherheit von Kommunikationsvorgängen (einschließlich E-Mail) über die Firewalls in Ihrem Netzwerkverteidigungssystem verbessern können. Die folgenden Features stehen Ihnen zum Verbessern der Virenabwehr des Netzwerkes zur Verfügung:
Informationen zum Abrufen des Feature Packs finden Sie auf der Seite "How to Obtain Feature Pack 1" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Weitere Informationen zur Verwendung dieser Features zum Sichern einer ISA-Server-Perimeterfirewall finden Sie auf der Seite "ISA Server Feature Pack 1" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Physische AbsicherungObwohl die physische Sicherheit kein spezifisches Malwareproblem, sondern vielmehr ein allgemeines Sicherheitsproblem darstellt, ist ein Malwareschutz ohne einen effektiven physischen Verteidigungsplan für alle Client-, Server- und Netzwerkgeräte in der Infrastruktur der Organisation nicht möglich. Ein effektiver physischer Verteidigungsplan umfasst mehrere kritische Elemente:
Jedes dieser Elemente muss bei der Sicherheitsrisikoanalyse für die Organisation berücksichtigt werden. Wenn ein Angreifer eines dieser Elemente gefährdet, besteht ein erhöhtes Risiko, dass Malware die externen und internen Netzwerkverteidigungsgrenzen umgehen und einen Host im Netzwerk infizieren kann. Der Zugriffsschutz für Ihre Einrichtungen und Computersysteme sollte ein grundlegender Bestandteil der Gesamtsicherheitsstrategie Ihrer Organisation sein. Eine ausführliche Erläuterung dieser Aspekte geht über den Umfang dieses Leitfadens hinaus. Informationen zu diesen grundlegenden Elementen eines fundierten physischen Sicherheitsplans finden Sie im Artikel "5-Minute Security Advisor - Basic Physical Security" (in Englisch) auf der Microsoft TechNet-Website unter folgender Adresse: Richtlinien, Verfahren und Sicherheitsbewusstsein.Betriebsrichtlinien und -verfahren für Clients, Server und das Netzwerk sind wesentliche Aspekte der verschiedenen Ebenen der Virenabwehr. Microsoft empfiehlt die Verwendung der folgenden Richtlinien und Verfahren als Teil der Virenabwehrstrategie Ihrer Organisation:
Microsoft empfiehlt die Verwendung der im Folgenden beschriebenen Richtlinien und Verfahren für alle Geräte auf der Netzwerkverteidigungsebene der Organisation. Dies sind die mindestens erforderlichen Richtlinien bzw. Verfahren.
Zum Verbessern der Sicherheit von Netzwerkgeräten stehen viele weitere Richtlinien und Verfahren zur Verfügung. Die in diesem Abschnitt genannten Richtlinien und Verfahren sollten als Ausgangspunkt betrachtet werden. Da zusätzliche Richtlinien jedoch keine virenspezifischen Einstellungen, sondern allgemeine Sicherheitseinstellungen definieren, gehen sie über den Umfang dieses Leitfadens hinaus. SicherheitsupdaterichtlinieAlle Client-, Server- und Netzwerkverteidigungsmaßnahmen sollten über ein Verwaltungssystem für Sicherheitsupdates verfügen. Ein solches System kann als Teil einer weiter gefassten Unternehmenslösung für die Patchverwaltung implementiert werden. Für die Betriebssysteme von Hosts und Geräten sollte regelmäßig überprüft werden, ob vom Hersteller neue Updates bereitgestellt wurden. Die Sicherheitsupdaterichtlinie sollte auch die Betriebskriterien für den Prozess zum Rollout der Sicherheitsupdates auf die Systeme der Organisation definieren. Dieser Prozess sollte aus den folgenden Phasen bestehen:
Wenn keine Testphase für die in Ihrer Umgebung aktualisierten Systeme erforderlich ist, können Sie ggf. den gesamten Prozess automatisieren. Mit der Option Automated Updates (automatisierte Updates) auf der Microsoft Windows Update-Website können Clientcomputer z. B. ohne Benutzereingriffe benachrichtigt und aktualisiert werden. Diese Option gewährleistet, dass neue Sicherheitsupdates so früh wie möglich auf Ihren Systemen installiert werden. Bei diesem Ansatz wird das Update vor der Installation jedoch nicht getestet. Sollten in Ihrem Unternehmen Tests erforderlich sein, wird von der Verwendung dieser Option abgeraten. Die Aktualisierung der Systeme in der Organisation mit den neuesten Sicherheitsupdates sollte in jedem Fall ein routinemäßiger Bestandteil der Systemverwaltung sein. Risikobasierte RichtlinienWenn viele Clients, Server und Netzwerkgeräte auf den Ebenen des Virenabwehr-Sicherheitsmodells mit dem Perimeternetzwerk und dem internen Netzwerk verbunden sind, kann sich das Erstellen einer einzigen effektiven Sicherheitsrichtlinie zur Verwaltung aller Anforderungen und Konfigurationen als schwierig erweisen. Ein Ansatz zum Organisieren der Richtlinien besteht darin, die Hosts in der Organisation basierend auf ihrem Typ und ihrem potenziellen Sicherheitsrisiko in Kategorien zusammenzufassen. Die Risikostufe für einen Host oder ein Gerät kann mithilfe einer Risikoanalyse bestimmt werden. Eine detaillierte Anleitung zur Durchführung solcher Risikoanalysen finden Sie in "Kapitel 3 – Einführung in die Sicherheitsrisikenverwaltung (SRMD - Security Risk Management Discipline)" der Microsoft-Lösung zum Sichern von Windows 2000 Server auf der TechNet-Website unter folgender Adresse: Microsoft empfiehlt die folgenden Konfigurationskategorien für die clientspezifischen Risikoanalyserichtlinien der Organisation:
Microsoft empfiehlt außerdem die Verwendung von Risikokategorien für Serverrollen. Darüber hinaus wird für Server und Clients die gleiche Risikoanalyse empfohlen. Die folgenden Konfigurationskategorien können als Ausgangspunkt für Ihre Serverrichtlinien dienen:
Die Planungsteams der Organisation entscheiden, ob risikobasierte Richtlinien zum Einsatz kommen. Die oben genannten Konfigurationsklassifikationen können als Grundlage für weitere Entwicklungen herangezogen werden. Letztendlich gilt es hierbei, die von Ihren Verwaltungssystemen zu unterstützende Anzahl von Konfigurationen zu reduzieren. Im Allgemeinen ist ein standardisierter Ansatz besser geeignet, eine sichere Konfiguration hervorzubringen, als die unabhängige Konfiguration der Sicherheit auf jedem einzelnen Host. Automatisierte Überwachung und BerichterstattungsrichtlinienWenn das automatisierte Überwachungssystem oder die Antivirusanwendung Ihrer Organisation vermutete Malwareinfektionen einer zentralen Stelle melden kann, lässt sich dieser Prozess automatisieren, so dass durch jede Warnung automatisch alle Benutzer in der IT-Infrastruktur benachrichtigt werden. Ein automatisiertes Benachrichtigungssystem minimiert die Verzögerung zwischen einer anfänglichen Warnung und der Kenntnisnahme der Malwarebedrohung durch die Benutzer. Das Problem dieses Ansatzes ist jedoch, dass er "falsche positive" Warnungen generieren kann. Wenn niemand die Warnungen filtert und die Liste mit den gemeldeten ungewöhnlichen Aktivitäten überprüft, werden wahrscheinlich Warnungen über nicht vorhandene Malware ausgegeben. Werden zu häufig Warnungen generiert, besteht schnell die Gefahr, dass die Benutzer desensibilisiert und dadurch leichtsinnig werden. Microsoft empfiehlt, den Mitgliedern des Netzwerkverwaltungsteams die Verantwortung für den Empfang aller automatisierten Malwarewarnungen von sämtlicher Systemüberwachungssoftware und den verwendeten Antiviruspaketen zu übertragen. Das Team kann dann die falschen positiven Warnungen der automatisierten Systeme herausfiltern, bevor diese an die Benutzer weitergeleitet werden. Für diesen Ansatz ist an sieben Tagen in der Woche rund um die Uhr eine Überwachung erforderlich, um sicherzustellen, dass alle Warnungen überprüft und bei Bedarf an die Netzwerkbenutzer weitergegeben werden. Sicherheitsbewusstsein der Benutzer und des SupportteamsDas Sicherheitsbewusstsein der Verwaltungs- und Supportteams in der Organisation muss durch Schulungen gefördert werden. Schulungen für IT-Spezialisten sind in allen IT-Bereichen eine grundlegende Anforderung. Für die Virenabwehr sind sie jedoch besonders wichtig, da sich die Methoden und Techniken von Malwareangriffen und -verteidigungsmaßnahmen fortlaufend ändern können. Ein neuer Malwareangriff kann die Effektivität eines Verteidigungssystems quasi über Nacht in Frage stellen und die Verteidigungslösungen Ihrer Organisation gefährden. Wenn die zuständigen Supportmitarbeiter nicht in der Erkennung von neuen Malwarebedrohungen und der Reaktion auf diese Bedrohungen geschult sind, ist es nur eine Frage der Zeit, bis es zu einer schwerwiegenden Sicherheitsverletzung im Virenabwehrsystem kommt. Sicherheitsbewusstsein der BenutzerDie Benutzerschulung wird beim Entwurf der Virenabwehrstrategie häufig von Organisationen vernachlässigt. Da jedoch jede mit IT-Ressourcen arbeitende Person in der Organisation eine Rolle für die Sicherheit des Netzwerks spielt, ist die Unterweisung der Benutzer in den mit Malwareangriffen zusammenhängenden Risiken maßgeblich für die Reduzierung solcher Risiken. Die Benutzer sollten daher in den grundsätzlichen und eindeutigen Risiken geschult werden, zu deren Eindämmung sie selbst beitragen können. Hierzu zählen z. B. folgende Risiken:
Da sich Malwaretechniken häufig ändern, müssen sich Virenabwehrsysteme anpassen und ständig aktualisiert werden. Unabhängig davon, ob die Signaturdatei eines Antivirusprogramms oder das Programm selbst aktualisiert werden muss, nimmt das Erstellen und Bereitstellen von Updates Zeit in Anspruch. Die zum Erstellen von Updates benötigte Zeit wurde in den letzten Jahren deutlich reduziert, sodass dies in der Regel nur eine Frage von Stunden geworden ist. In seltenen Fällen kann es jedoch noch immer Tage dauern, bis nach dem Auftreten eines neuen Malwareangriffs eine effektive Abwehrmaßnahme verfügbar ist. Die beste Verteidigung für eine Organisation sind während dieser Zeit Benutzer, die sich der Malware und ihrer Risiken bewusst sind. Die Schulung der Benutzer in grundlegenden Antivirusrichtlinien kann verhindern, dass ein neuer Malwareangriff Ihre IT-Verteidigungssysteme durchbricht und sich in der Umgebung ausbreitet. Die Benutzerschulung muss kein komplexer Prozess sein. Grundlegende Virenabwehrrichtlinien beruhen weitgehend auf Prinzipien des gesunden Menschenverstands. Die Anwendung und Kommunikation dieser Richtlinien kann sich allerdings als problematisch erweisen. Benutzer von mobilen Geräten benötigen wahrscheinlich eine zusätzliche Schulung, um die Risiken der Verwendung des Geräts außerhalb des internen Netzwerkes und des dortigen Virenabwehrsystems zu verstehen. Zum Schutz dieser mobilen Geräte sind ggf. zusätzliche Verteidigungsmaßnahmen erforderlich. Aus diesem Grund benötigen Sie u. U. eine zusätzliche Konfiguration und Schulung für die Benutzer dieser Geräte. Hinweis: Hilfreiche Informationen zur Endbenutzerkonfiguration finden Sie in der Anleitung Schützen Sie Ihren PC auf der Microsoft-Website unter folgender Adresse: Sicherheitsbewusstsein des SupportteamsDie für die Konfiguration und den Support der Server, Clients und Netzwerkgeräte der Organisation zuständigen IT-Spezialisten benötigen eine Antivirusschulung, damit sie die Systeme optimal zum Schutz vor Malwareangriffen und zu deren Abwehr konfigurieren und entsprechend verwalten können. Fehler in der Konfiguration dieser Computer oder Geräte können Routen für Malwareangriffe öffnen. Wenn ein ungenügend geschulter Firewalladministrator z. B. alle Netzwerkports an einem Perimeterfirewallgerät standardmäßig öffnet, entsteht dadurch ein schwerwiegendes Sicherheits- und Malwarerisiko. Die für die mit dem Perimeternetzwerk der Organisation verbundenen Geräte verantwortlichen Administratoren sollten eine spezifische Sicherheitsschulung erhalten, damit sie die für Netzwerkgeräte relevanten Angriffstypen besser verstehen. Viele Events, Seminare und Webcasts zu Sicherheitsthemen sind direkt von Microsoft verfügbar. Weitere Informationen zu diesen Themen finden Sie unter "Your Security Program Guide" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Sicherheitsschulungen und -bücher sind ebenfalls von Microsoft Learning erhältlich. Weitere Informationen zu diesen Veröffentlichungen finden Sie auf der Seite "Microsoft Learning Security Resources" (in Englisch) auf der Microsoft-Website unter folgender Adresse: BenutzerfeedbackMalwarebewusste Benutzer können ein hervorragendes Frühwarnsystem sein, wenn ihnen ein einfacher und effektiver Mechanismus zum Melden von ungewöhnlichem Verhalten in den von ihnen verwendeten Systemen zur Verfügung gestellt wird. Ein solcher Mechanismus kann z. B. in Form einer Telefonhotline, eines E-Mail-Alias oder eines schnellen Eskalationsprozesses über den Helpdesk der Organisation bereitgestellt werden. Proaktive interne KommunikationDie Mitglieder der IT-Abteilung sollten möglichst ein proaktives Antivirus-Krisenteam bilden, das externe Sites überwacht, auf denen frühzeitige Warnungen vor Malwareangriffen veröffentlicht werden. Gute Beispiele für solche Sites sind:
Durch eine regelmäßige Überprüfung solcher Referenzsites sollte das Supportteam in der Lage sein, Systemadministratoren und Benutzer über aktuelle Malwarebedrohungen zu benachrichtigen, bevor diese in das Netzwerk der Organisation eindringen. Der Zeitpunkt dieser Überprüfungen ist entscheidend. Eine den Systembenutzern morgens vor dem Überprüfen ihrer E-Mail zugestellte proaktive Warnung kann darüber entscheiden, ob lediglich die Entfernung einiger verdächtiger E-Mails verwaltet oder ein Malwareausbruch unter Kontrolle gebracht werden muss. Wenn sich die Mehrzahl der Systembenutzer morgens um 9.00 Uhr anmeldet, ist die Einrichtung eines Mechanismus zu empfehlen, der neue Malwarebedrohungen vor diesem Zeitpunkt kommuniziert. Interne MalwarewarnungenDie Auswahl des effektivsten Mechanismus zur rechtzeitigen und umfassenden Benachrichtigung aller Benutzer über die Möglichkeit eines Malwareangriffs ist entscheidend. Die verfügbaren Kommunikationssysteme variieren abhängig von der Infrastruktur des Unternehmens erheblich, sodass die Bereitstellung eines für alle Organisationen funktionierenden Malwarewarnsystems unmöglich ist. Die folgenden Mechanismen können jedoch z. B. für diesen Zweck verwendet werden:
ZusammenfassungZur Verteidigung gegen Viren reicht heute die bloße Installation einer Antivirusanwendung nicht mehr aus. Die jüngsten Malwareangriffe haben gezeigt, dass ein umfassenderer Verteidigungsansatz erforderlich ist. In diesem Kapitel wurde beschrieben, wie Sie unter Verwendung des Virenabwehr-Sicherheitsmodells die Basis eines Virenabwehransatzes schaffen, um eine effektive Antiviruslösung zu erstellen. Denken Sie daran, dass Malwareautoren ihre Methoden fortlaufend zum Angreifen neuer (möglicherweise von Ihrer Organisation verwendeter) IT-Technologien aktualisieren und dass fortlaufend Antivirustechnologien zum Eindämmen dieser neuen Bedrohungen entwickelt werden. Mithilfe der Strategie zur erfolgreichen Virenabwehr können Sie sicherstellen, dass Ihre IT-Infrastruktur gegen alle Malwareangriffsmöglichkeiten geschützt ist. Die Verwendung dieses aus mehreren Ebenen bestehenden Ansatzes vereinfacht die Erkennung von Schwachstellen im gesamten System – vom Perimeternetzwerk bis hin zu den einzelnen Benutzern und deren Computern in der Umgebung. Wird eine der im Virenabwehr-Sicherheitsmodell beschriebenen Ebenen nicht berücksichtigt, sind Ihre Systeme möglicherweise nicht ausreichend vor Angriffen geschützt. Überprüfen Sie Ihre Antiviruslösung ständig, damit Sie sie bei Bedarf aktualisieren können. Alle Aspekte des Virenschutzes – angefangen bei einfachen Maßnahmen wie dem automatisierten Download von Virussignaturen bis hin zu vollständige Änderungen in den Betriebsrichtlinien – sind wichtig. Da auch die Informationen in diesem Leitfaden Aktualisierungen unterliegen, sollten Sie die Microsoft Security Antivirus Information-Website (in Englisch) unter http://www.microsoft.com/security/antivirus/ regelmäßig besuchen, um die neuesten Antivirusinformationen und Anleitungen zu erhalten. Microsoft kennt die mit Malware einhergehenden Betriebsunterbrechungen und Kosten und engagiert sich sehr dafür, das Erstellen und Verteilen von Malware zu erschweren. Microsoft arbeitet zudem an neuen Techniken, um Netzwerkdesignern, IT-Spezialisten und Endbenutzern die Sicherheitskonfiguration der Systeme zu erleichtern und die Auswirkungen auf die Geschäftsabläufe zu minimieren. Auch wenn es nicht möglich ist, böswilligen Code vollständig auszurotten, können Sie die Auswirkungen eines Malwareangriffs auf die Geschäftsabläufe Ihrer Organisation durch eine konsequente Überwachung der in diesem Leitfaden zur erfolgreichen Virenabwehr genannten Bereiche doch weitgehend minimieren.
|
In diesem Beitrag
|
