Anleitung zur Verringerung von Sicherheitsbedrohungen unter Windows NT 4.0 und Windows 98

Kapitel 5: Absichern von Microsoft Windows 98

Veröffentlicht: 13. Sep 2004

Ein Großteil der Organisationen, die frühere Versionen des Windows-Betriebssystems nutzen, verfügen über eine beträchtliche Anzahl von Desktop- und tragbaren Computern, auf denen Microsoft® Windows® 98, Windows 98 Second Edition (SE) oder Windows Millennium Edition (Me) ausgeführt wird. (In diesem Kapitel wird auf diese Versionen generell als "Windows 98" verwiesen.) Dieses Kapitel befasst sich mit den Vorgehensweisen zur Verbesserung der Sicherheit (oder Absicherung) solcher Clients, um dadurch die Sicherheit des gesamten Netzwerks zu erhöhen.

Windows 98-Clients werden für viele Aufgaben bereitgestellt, für die ein Aktualisieren des Betriebssystems nicht sinnvoll ist. So dient Windows 98 z. B. als Plattform für eine Vielzahl von Kiosken und POS-Terminals, angepassten Anwendungen sowie Arbeitsstationen für Studierende. Durch die ordnungsgemäße Konfiguration der Sicherheitseinstellungen auf diesen Computern kann eine anhaltende und zuverlässige Verfügbarkeit von Geschäftsbereichsanwendungen gewährleistet werden, ohne die Arbeitsstation selbst oder andere Computer im Netzwerk unnötigen Risiken auszusetzen.

In diesem Kapitel wird die Durchführung der folgenden Aufgaben erläutert:

•	Installieren von Windows 98 und einer Patchbasis
•	Installieren einer Internetfirewall
•	Absichern der Startsequenz
•	Bereitstellen von Basiskonfigurationen für Microsoft Internet Explorer
•	Installieren der Microsoft Active Directory® Client Extensions für Verzeichnisdienste
•	Konfigurieren der SMB-Signatur (Server Message Block)
•	Auswählen der Windows NT LAN Manager- (NTLM-)Authentifizierungsebene
•	Definieren geeigneter Systemrichtlinien

Auf dieser Seite

	Sicherheitsentwurf für Windows 98
	Implementierung
	Testen der Lösung
	Zusammenfassung

Sicherheitsentwurf für Windows 98

Ein Schwerpunkt beim Entwurf einer sicheren Windows 98-Installation liegt in der Berücksichtigung von Konfigurationseinstellungen, die sich einfach ändern lassen. In einer sicheren Umgebung weisen diese Einstellungen eine unternehmensspezifische Konfiguration auf und sind gesperrt, so dass die Konfiguration nicht geändert werden kann.

Installieren von Windows 98 und einer Patchbasis

Eine Basisbereitstellung von Windows 98 mit aktuellen Sicherheitspatches stellt einen bewährten Ausgangspunkt für die Implementierung einer sicheren Plattformrichtlinie dar. Eine vollständige Liste der Patches für Windows 98 finden Sie auf der Microsoft Windows 98-Downloadsite unter http://www.microsoft.com/windows98/downloads/corporate.asp. (Kapitel 6, "Patchverwaltung", in diesem Leitfaden enthält eine detaillierte Beschreibung der Patches.) Die erstmalige Bereitstellung von Windows 98-Arbeitsstationen in einem Netzwerk sollte eine Sicherheitsüberprüfung hinsichtlich bekannter Schwachstellen umfassen. Beispiel:

•	Alle Windows 98-Arbeitsstationen sollten nur mit den für einen ordnungsgemäßen Netzwerkbetrieb erforderlichen Optionen konfiguriert werden. Wenn z. B. Freigaben für lokale Dateien und Drucker nicht benötigt werden, sollten in der Netzwerkkonfiguration keine Datei- und Druckerfreigabeoptionen festgelegt werden.
•	Vergewissern Sie sich, dass alle wichtigen Updates von der Microsoft Website auf die Arbeitsstationen angewendet und die für die lokale Computerumgebung empfohlenen Updates installiert wurden.
•	Microsoft Internet Explorer 6 Service Pack 1 (SP1) umfasst die aktuellsten Verbesserungen und Problembehebungen für sicheres Browsen. Es sollte auf allen Computern mit Verbindung zum Internet installiert werden. Sie können es direkt von der Microsoft Internet Explorer-Website unter http://www.microsoft.com/ie herunterladen, auf CD-ROM bestellen oder unter Verwendung einer angepassten Konfiguration mit dem Internet Explorer Administration Kit (IEAK) installieren.

Trey hat sich für die Verwendung eines gemeinsamen Images für seine Computer entschieden, das mit Ghost, einer Anwendung zur Imageerstellung, auf neue Arbeitsstationen angewendet wurde. Dieses Image wurde durch Installation von Windows 98, Internet Explorer 6.0, allen veröffentlichten Patches und Service Packs sowie von Inhalten der Windows-Sicherheitsupdate-CD erstellt.

Installieren einer Internetfirewall

Bei einer Firewall handelt es sich um eine Sicherheitslösung, die verschiedene Netzwerkbereiche voneinander trennt, wodurch ausschließlich autorisierter Netzwerkverkehr anhand von Filterregeln zugelassen wird. Es gibt hardware- und softwarebasierte Firewalls. Eine Internetfirewall befindet sich zwischen einem lokalen Computernetzwerk und dem Internet und verhindert böswillige Angriffe durch Unterbindung des Zugriffs auf eingehenden Netzwerkverkehr, der nicht ausdrücklich zugelassen wird. In einer Netzwerkumgebung sollte das Netzwerk selbst zum Schutz vor externen Bedrohungen eine Hardwarefirewall oder ein ähnliches Produkt aufweisen, etwa Microsoft ISA-Server (Internet Security and Acceleration). Einzelne Arbeitsstationen können durch Installation einer Softwarefirewall von verschiedenen Anbietern geschützt werden. Nähere Angaben hierzu finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Absichern der Startsequenz

Eine potenzielle Sicherheitslücke in Windows 98 stellt die Startsequenz dar, die unterbrochen werden kann, um vor der Richtlinienaktivierung Zugriff auf das System zu erhalten. Um eine derartige Gefährdung des Systems auszuschließen, müssen Sie den Startprozess durch Bearbeiten der Systemdatei Msdos.sys im Editor oder einem anderen Texteditor sichern (spezifische Anleitungen finden Sie weiter unten in diesem Kapitel). Systemadministratoren sollten bedenken, dass durch diese Einstellung der Computer nicht mehr im abgesicherten Modus gestartet werden kann. Dies ist wünschenswert, um böswillige Benutzer daran zu hindern, die Sicherheitsmaßnahmen zu umgehen. Allerdings gestaltet sich hierdurch auch die Systemfehlerbehebung schwieriger. Um im Rahmen der Systemverwaltung alternative Startsequenzen nutzen zu können, muss diese Einstellung zurückgesetzt werden.

Da der Startprozess durch das Starten mittels Wechselmedien unterbrochen werden kann, sollte die BIOS-Konfiguration (Basic Input/Output System) der Computer auf ausschließliches Starten von der primären Festplatte aus eingestellt werden. Bei den meisten Computern ist es möglich, die BIOS-Einstellungen während des Systemstarts mit einer bestimmten Taste aufzurufen. Nach Einstellung des sicheren Systemstarts im BIOS können Sie die Sicherheit durch Festlegen eines Verwaltungskennworts noch weiter erhöhen. Diese Vorgehensweise ist nicht völlig sicher, da viele BIOS-Systemeinstellungen durch eine Notfalltastenkombination zurückgesetzt werden können, die gelegentlich auf Websites angegeben wird. Fast alle Einstellungen lassen sich darüber hinaus durch Öffnen des Computergehäuses und Ändern der Jumperpositionen zurücksetzen. Bei Einstellungen, deren physische Sicherheit nicht gewährleistet ist, sollte das Computergehäuse physisch abgesperrt werden.

Die Techniker bei Trey haben den Wert für die Anzeigedauer des Systemstartmenüs für jeden Windows 98-Computer in der Domäne geändert. Sämtliche Benutzer von Desktop- und tragbaren Computern haben außerdem Kabelschlösser für die Computer erhalten. Darüber hinaus wurden die BIOS-Einstellungen auf Computern, die dies unterstützen, so geändert, dass keine alternativen Systemstarts möglich sind.

Bereitstellen von Basiskonfigurationen für Internet Explorer

Das Internet Explorer Administration Kit (IEAK) enthält eine Vielzahl von Tools zur Anpassung, Bereitstellung und Verwaltung von Internet Explorer 6. Mit ihm können Netzwerkadministratoren sichere Konfigurationen identifizieren, um sie auf Netzwerkclients bereitzustellen. Bereitstellungen können benutzerdefinierte Anwendungen, voreingestellte Favoritenlisten, Datenschutz- und Sicherheitseinstellungen, Angaben zum Proxyserver sowie nahezu jede beliebige Anpassung von Internet Explorer umfassen. Die Verwaltung solcher Konfigurationen ermöglicht problemlose Aktualisierungen von Sicherheitskomponenten beim Auftreten neuer Internet-Sicherheitslücken.

Internet Explorer ermöglicht die Konfiguration von Sicherheitszonen, durch die Downloads oder aktive Inhalte zugelassen oder blockiert werden können. Es können vier Zonen konfiguriert werden:

•	Das Internet. Enthält alle Websites, die sich in keiner der anderen Zonen befinden.
•	Lokale Intranets. Enthält alle Sites innerhalb von lokalen Netzwerken.
•	Vertrauenswürdige Sites. Enthält Websites, die mit hinreichender Sicherheit keine bösartigen Inhalte aufweisen.
•	Eingeschränkte Sites. Enthält Websites, die potenziell bösartige Inhalte aufweisen könnten.

Sie können die Sicherheitskonfigurationen für diese vier Sicherheitszonen anpassen oder voreingestellte Sicherheitsstufen von "Niedrig" bis "Hoch" aus einer Dropdownliste auswählen.

Zur Bereitstellung von Internet Explorer 6.0 hat Trey eine angepasste Konfiguration mit dem IEAK erarbeitet (dieser Vorgang wird in der IEAK-Dokument unter http://www.microsoft.com/windows/ieak/ detailliert beschrieben), die eine umfassende Liste der Sicherheitszoneneinstellungen für vertrauenswürdige Hosts enthält.

Bösartiger Code kann aus aktiven Inhalten stammen, durch die neue Internet Explorer-Sitzungen oder Popupfenster geöffnet werden. Viele Popups sollen Benutzer dazu verleiten, Trojanische Pferde (scheinbar nützliche Programme, die verborgenen Code zum Missbrauch oder zur Beschädigung von Computersystemen enthalten), Viren (Programme, die sich auf einer Vielzahl von Computern selbst replizieren) oder Spyware (Programme, die ohne Genehmigung des Benutzers bestimmte Aktivitäten auf einem Computer ausführen) zu installieren. Die Flut von Popupfenstern lässt sich auf einfache Weise durch Installation eines Popupblockierers eindämmen. Ein geeigneter Popupblockierer ist kostenlos von Microsoft als Teil der MSN Toolbar unter http://toolbar.msn.com erhältlich. Trey hat diese Symbolleiste als Teil des Image-Updates für Windows 98 bereitgestellt.

Installieren von Active Directory Client Extensions

Windows 98-Clients verfügen nicht über die volle Bandbreite der in neueren Betriebssystemen enthaltenen Funktionen, die zur Nutzung von Active Directory-Diensten dienen. Microsoft hat das Active Directory Client Extension-Add-On (DSClient) für den Zugriff von Windows 98 auf Active Directory-Netzwerke veröffentlicht. Die folgenden Active Directory-Funktionen stehen unter Windows 98-Clients durch Verwendung von DSClient zur Verfügung:

•	Erkennung von Active Directory-Standorten. Dank dieser Funktion kann sich ein Client bei dem im Netzwerk nächsten Domänencontroller anstatt beim PDC (primären Domänencontroller) oder einem anderen Computer, der die Rolle eines PDC emuliert, anmelden. Außerdem kann der Client Kennwörter für einen beliebigen Domänencontroller zurücksetzen. In Domänen von Windows NT, Version 4.0, werden sämtliche Kennwortänderungen vom PDC vorgenommen, während in Active Directory jeder Domänencontroller solche Anforderungen bearbeiten kann. Durch DSClient wird diese Funktionalität auf Windows 98-Clients ausgeweitet. Mit diesen Verbesserungen können der Netzwerkverkehr und die Auslastung auf dem PDC reduziert werden.
•	Authentifizierung durch NTLM, Version 2 (NTLMv2). Die NTLMv2-Authentifizierung stellt eine sehr viel sicherere Authentifizierung als die in Windows 98 enthaltene LAN Manager- (LM-)Authentifizierung dar. Sie bietet allerdings nicht die gleiche Sicherheit wie die Kerberos-Authentifizierung.
•	Active Directory Services Interface (ADSI). ADSI bietet eine gemeinsame Anwendungsprogrammierschnittstelle (API) und stellt eine Skriptschnittstelle für Active Directory bereit.
•	Verteiltes Dateisystem (Distributed File System, DFS) – Fehlertoleranz. DSClient gewährt Zugriff auf DFS-Failover-Freigaben in Windows 2000 und Microsoft Windows Server™ 2003 entsprechend der Festlegung in Active Directory.
•	Eigenschaften des Windows-Adressbuchs (WAB) in Active Directory. DSClient erweitert die Windows 98-Umgebung so, dass Active Directory-Schemaelemente im Befehl Suchen des Menüs Start angezeigt werden. Außerdem können Benutzer mit entsprechender Berechtigung Eigenschaften von Benutzerobjekten in Active Directory bearbeiten.

Die folgenden Active Directory-Funktionen werden nicht durch die Active Directory Client Extensions verfügbar gemacht:

•	Kerberos-Unterstützung. Vollständige Kerberos-Unterstützung ist ausschließlich unter Windows 2000 und späteren Clients verfügbar.
•	Unterstützung von Gruppenrichtlinien. Die Nutzung von Gruppenrichtlinien und der IntelliMirror-Objektverwaltung steht für Clients mit früheren Versionen des Betriebssystems nicht zur Verfügung.
•	Unterstützung von Internet Protocol Security (IPSec) und L2TP. Diese erweiterten Sicherheitsprotokolle für Netzwerke sind nicht verfügbar.
•	SPN-Authentifizierung (Service Principle Name, Dienstprinzipalnamen) oder gegenseitige Authentifizierung. Diese Funktionen werden von DSClient nicht aktiviert.

Es ist wichtig, sich stets die neueste DSClient-Version vom Microsoft Support Service zu besorgen. DSClient 2003 steht als Hotfix zur Verfügung. Weitere Informationen hierzu finden Sie im englischsprachigen Knowledge Base-Artikel 323455 ("Directory Services Client Update for Windows 98") unter http://support.microsoft.com/?id=323455. Vergewissern Sie sich vor der Installation von DSClient, dass auf allen Arbeitsstationen Internet Explorer 6 mit SP1 oder höher ausgeführt wird.

Die IT-Mitarbeiter bei Trey haben DSClient manuell auf allen Computern in der Domäne bereitgestellt, auf denen Windows 98 ausgeführt wird. Dies erfolgte, um die Nutzung der Kerberos-Authentifizierung sowie einer höheren NTLM-Authentifizierungsebene für Windows 98-Computer zu ermöglichen.

Konfigurieren der SMB-Signatur

Bei der SMB-Signatur handelt es sich um eine Verschlüsselungstechnik, bei der jedes zwischen einem Client und einem Server gesendete Paket zur Überprüfung der Authentizität digital signiert wird. Dadurch werden Identitätswechsel bei Clients oder Servern im Netzwerk durch Computer, die sich bei der Kommunikation zwischenschalten, verhindert und die Quelle der gesamten Netzwerkkommunikation überprüft.

Die SMB-Signatur wurde mit Windows NT 4.0 Service Pack 3 (SP3) eingeführt und wird in Knowledge Base-Artikel 161372 ("Aktivieren von SMB-Signaturen in Windows NT") unter http://support.microsoft.com/?id=161372 beschrieben. Zu deren Aktivierung unter Windows 98 muss der Registrierungseintrag DWORD im Schlüssel HKLM\SYSTEM\CurrentControlSet\Services\VxD\VNetsup so erstellt werden, dass die Signatur entweder erforderlich ist oder unterstützt wird, sofern dies vom Kommunikationspartner angefordert wird. Es gibt zwei DWORD-Werte, die gemeinsam die Verwendung der SMB-Signatur steuern:

•	Bei Einstellung von EnableSecuritySignature auf 1 und von RequireSecuritySignature auf 0 wird die SMB-Signatur verwendet, sofern sowohl der Client als auch der Server dies unterstützen. Mit dieser Einstellung kann die Signatur nutzbringend verwendet werden, wobei der Client weiterhin die Verbindung zu anderen Clients und Servern aufnehmen kann, die die Signatur nicht unterstützen.
•	Bei Einstellung von RequireSecuritySignature auf 1 und von EnableSecuritySignature auf 0 kommuniziert der Client ausschließlich mit Servern, die die SMB-Signatur unterstützen.

Sofern die SMB-Signatur verwendet wird, sollte sie auf allen Computern konfiguriert werden, die Teil des Netzwerks sind. Computer ohne diese Registrierungseinträge können nicht mit anderen Netzwerk-Hosts kommunizieren. Die zusätzliche Last durch Verwendung der SMB-Signatur führt typischerweise zu einem Netzwerkleistungsverlust von 10 bis 15 Prozent.

Trey hat sich für die Deaktivierung der SMB-Signatur für seine Windows 98-Clients entschieden, um die vollständige Kompatibilität mit der vorhandenen Umgebung sicherzustellen. Die SMB-Signatur ist für Server und Domänencontroller sowie für Windows NT- und Windows 2000-Clients zwar aktiviert, aber nicht erforderlich. Die auf den Windows 98-Clients verwendeten Einstellungen lauteten EnableSecuritySignature=0 und RequireSecuritySignature=0, wodurch Windows 98-Clients keine signierten Verbindungen anfordern oder annehmen können. Zwar verfügen diese Clients nicht über die zusätzliche Sicherheit vor Spoofing und Man-in-the-Middle-Angriffen, jedoch wird bei deaktivierter SMB-Signatur die Kompatibilität beibehalten, was von Trey als wichtiger für den Geschäftsbetrieb als die zusätzliche Sicherheit bewertet wurde. Für diese Änderung war außerdem eine Konfigurationsänderung auf den Windows Server 2003-Domänencontrollern erforderlich, da Windows Server 2003 die SMB-Signatur standardmäßig aktiviert.

Auswählen der NTLM-Authentifizierungsebene

Unter Windows 98 wird standardmäßig die ältere und weniger sichere LM-Authentifizierungsverschlüsselung verwendet. Es kam zu Sicherheitslücken und Angriffen gegen diese Verschlüsselung, so dass Microsoft die Authentifizierungssicherheitsprotokolle zur Verminderung dieser Risiken verstärkt hat. Nachdem das DSClient-Add-On konfiguriert wurde, können Sie es zur Verwendung der sichereren NTLMv2-Authentifizierungsmethode einstellen.

Bei installiertem DSClient unterstützt Windows 98 zwei Ebenen der NTLM- und NTLMv2-Authentifizierung, die durch den weiter unten in diesem Kapitel beschriebenen Registrierungseintrag LMCompatibility gesteuert werden. Verwendbare Werte sind:

•	0 (LM- und NTLM-Antworten senden). Bietet ein Höchstmaß an Interoperabilität. Clients können LM oder eine beliebige NTLM-Version für die Authentifizierung verwenden.
•	3 (Nur NTLMv2-Antworten senden). Verwenden Sie diesen Wert nur dann, wenn auf allen Clients mit älteren Betriebssystemversionen DSClient installiert wurde.

Trey hatte anfangs den Wert 0 für den Registrierungsschlüssel festgelegt, was der vorhandenen Umgebung entsprach. Nach Aktualisierung der Windows NT 4.0-Server bei Trey, wie in Kapitel 4 ("Absichern von Microsoft Windows NT 4.0") beschrieben, hat das Unternehmen den Wert LMCompatibility auf allen Windows 98-Computern auf 3 zurückgesetzt.

Durch die standardmäßige Installation der NTLMv2-Verschlüsselung wird eine Schlüssellänge von 56 Bit auf Systemen mit der 56-Bit-Version von Internet Explorer bereitgestellt. Systeme mit einer nach 1999 installierten Version von Internet Explorer verfügen wahrscheinlich über die 128-Bit-Version, während ältere Clients wie im vorigen Kapitel beschrieben auf die 128-Bit-Verschlüsselung aktualisiert werden können. Falls die 128-Bit-Version von Internet Explorer vor DSClient installiert wird, wird die 128-Bit-Authentifizierung von NTLMv2 aktiviert. Trey hat, wie in Kapitel 4 ("Absichern von Microsoft Windows NT 4.0") beschrieben, das 128-Bit-Update auf seinen Windows 98-Computern und Unterstützung für die NTLMv2-Authentifizierung auf sämtlichen Computern installiert. Nachdem diese Änderungen vorgenommen wurden, konnte Trey die NTLMv2-Unterstützung auf Servern und Domänencontrollern aktivieren.

Definieren geeigneter Systemrichtlinien

Mit Systemrichtlinien können Sie Sicherheitsrichtlinien zentral anwenden, mit denen Standardeinstellungen in der Registrierung lokaler Computer überschrieben werden. Netzwerkadministratoren können Schwachstellenbereiche auf Windows 98-Computern identifizieren und viele Einstellungen zur Gewährleistung eines Höchstmaßes an Sicherheit konfigurieren.

Windows 98-Clients wenden Richtlinien in der Datei Config.pol an, die sich auf der NETLOGON-Freigabe des PDC befindet (da Windows 98-Computer die Gruppenmitgliedschaft eines Domänenbenutzers nur vom PDC auflisten können, nicht jedoch von Reservedomänencontrollern). Weil auf den Domänencontrollern bei Trey Windows Server 2003 ausgeführt wird, stellt dies kein Problem für die Umgebung dar. Standorte, an denen nach wie vor Windows NT® 4.0-Domänencontroller ausgeführt werden, könnten die im englischsprachigen Knowledge Base-Artikel 150687 ("Group Policies Not Applied on Windows NT Domain") unter http://support.microsoft.com/?id=150687 enthaltenen Empfehlungen zur Bereitstellung benutzerspezifischer Richtlinien verwenden.

Der Großteil der Windows 98-Richtlinien ist darauf ausgerichtet, die Fähigkeit von Benutzern zur Änderung der Desktopumgebung einzuschränken. Trey hat sich gegen die Verwendung dieser Richtlinien entschieden, da sie nur ein geringes Maß and effektiver Sicherheit bieten. Stattdessen wendet Trey Richtlinieneinstellungen an, durch die die Möglichkeit zur Beschädigung durch böswillige Angreifer erschwert oder die Gefahr der unbeabsichtigten Funktionalitätszerstörung durch unerfahrene Benutzer gemindert wird. Trey hat sich für die Richtlinienanwendung für folgende Zwecke entschieden:

•	Anfordern von Anmeldesicherheit und Anzeigen eines Anmeldebanners mit den Unternehmensrichtlinien
•	Festlegen einer Kennwortrichtlinie, durch die Benutzerkennwörter während der Eingabe nicht angezeigt werden und lange alphanumerische Kennwörter erforderlich sind
•	Deaktivieren von Datei- und Druckerfreigaben sowie des Zugriffs durch Ferneinwahl
•	Unterbinden der Ausführung von Registrierungsbearbeitungstools durch unautorisierte Benutzer

Beachten Sie, dass ein Fehler schnell dazu führen kann, dass ein Computer zu stark gesichert wird und für die Verwendung oder Verwaltung des Computers erforderliche Funktionalitäten gesperrt werden könnten. Die Verwendung eines Computers, der keine primäre Arbeitsstation ist und neu konfiguriert werden kann, ist daher eine bewährte Vorgehensweise. Es empfiehlt sich außerdem, gruppen- oder benutzerspezifische Richtlinien für Administratoren festzulegen, mit denen einige der Einschränkungen gelockert werden, so dass Administratoren problemlos auf die Registrierungsbearbeitungs- und Problembehandlungstools zugreifen können. Trey hat einen Testzeitplan ausgearbeitet, anhand dessen die vorgeschlagenen Richtlinieneinstellungen in einer Testumgebung mit Computern bereitgestellt wurden, die den Hosts in der Produktion exakt entsprechen. Anhand des Zeitplans wurde überprüft, ob die Richtlinien ordnungsgemäß und ohne unerwünschte Nebeneffekte funktionieren.

Zum Seitenanfang

Implementierung

Die meisten in späteren Windows-Versionen verfügbaren Konfigurations- und Verwaltungstools sind in Windows 98 nicht enthalten. Diese Einschränkung brachte es mit sich, dass das Forschungsteam bei Trey eine Entscheidung zwischen der Einrichtung einer sicheren Windows 98-Konfiguration und deren Bereitstellung durch Images auf allen aktuellen Arbeitsstationen oder der manuellen Anwendung von Sicherheitseinstellungen treffen musste. Da ohnehin die Bereitstellung von Windows XP Service Pack 2 für alle Computer als Teil des IT-Modernisierungsplans vorgesehen war, hat sich das Team für die manuelle Konfiguration entschieden, um das erneute Einrichten betroffener Computer zu vermeiden, auch wenn dies kurzfristig mit erhöhter Komplexität verbunden ist.

Implementierungsvoraussetzungen

Um die korrekte Funktionsfähigkeit dieser Implementierung zu gewährleisten, muss eine grundlegende Trey Research-Infrastruktur implementiert worden sein, wie in Kapitel 2, "Anwenden von SRMD (Security Risk Management Discipline) auf das Beispiel von Trey Research" beschrieben.

Implementierungsübersicht

Für die Implementierung dieses Lösungsszenarios ist die Durchführung folgender Aktivitäten erforderlich:

•	Installieren von Windows 98 und einer Patchbasis
•	Installieren einer Internetfirewall
•	Absichern der Startsequenz
•	Bereitstellen von Internet Explorer
•	Installieren der Active Directory Client Extensions für Windows 98
•	Konfigurieren der SMB-Signatur
•	Auswählen der NTLM-Authentifizierungsebene
•	Definieren geeigneter Systemrichtlinien

Installieren von Windows 98 und einer Patchbasis

Trey hat eine standardmäßige Windows 98-Konfiguration durch erneutes Installieren von Windows 98 mit den Standardvorgaben auf einem Testcomputer, Installieren von Patches aus dem Security Update Kit und Hinzufügen der aktuellsten Patches von Windows Update entwickelt. Nach Abschluss der Installation hat Trey den Windows Update-Katalog zur Analyse des Testsystems und zum Drucken eines Berichts mit den angewendeten Patches verwendet. Anhand dieser Patchliste wurden anschließend weitere Windows 98-Systeme auf die gleiche Basis aktualisiert.

Installieren einer Internetfirewall

Nach der Beurteilung unterschiedlicher Firewall-Produkte hat sich der Leiter der IT-Abteilung bei Trey für eine Lösung entschieden, die zentralisierte Konfigurationsmöglichkeiten und Berichte zu Angriffs- und Eindringversuchen bietet. Die Firewall wurde anschließend auf allen Desktop- und tragbaren Computern bereitgestellt, auf denen Windows 98 ausgeführt wird. Microsoft hat keine besonderen Empfehlungen oder Vorgaben hinsichtlich Firewalls, einige der verfügbaren Produkte werden jedoch im Abschnitt "Weitere Informationen" am Ende dieses Kapitels angegeben.

Absichern der Startsequenz

Um einen Windows 98-Computer vor Unterbrechungen des Betriebssystemstarts zu sichern, ist die Systemdatei Msdos.sys zu bearbeiten und das Computer-BIOS so zu konfigurieren, dass der Zugriff auf Wechselmedien als Startgeräte unterbunden wird.

Sichern des Startprozesses

Um zu verhindern, dass die Startsequenz vor dem Wirksamwerden der Sicherheitsrichtlinien unterbrochen werden kann, sollten Sie die Systemdatei Msdos.sys dahingehend bearbeiten, dass ein Ändern des Systemstartverhaltens und ein Umgehen von Richtlinien nicht mehr möglich ist. Eine Erläuterung zum Auffinden und Bearbeiten dieser Datei finden Sie im Knowledge Base-Artikel 118579 ("Inhalt der Windows-Datei Msdos.sys") unter http://support.microsoft.com/?kbid=118579.

Da es sich bei Msdos.sys um eine versteckte und schreibgeschützte Datei handelt, entfernen Sie diese Attribute, bis die Datei fertig bearbeitet ist.

So ändern Sie Msdos.sys im Editor

Klicken Sie auf Start, zeigen Sie auf Suchen, und klicken Sie danach auf Dateien/Ordner.

Geben Sie msdos.sys im Feld Name ein.

Klicken Sie im Feld Suchen in auf das Startlaufwerk (i.d.R. Laufwerk C).

Klicken Sie auf die Schaltfläche Jetzt suchen.

Klicken Sie mit der rechten Maustaste auf die Datei Msdos.sys, und wählen Sie Eigenschaften aus.

Deaktivieren Sie die Kontrollkästchen Schreibgeschützt und Versteckt, um diese Attribute aus der Datei zu entfernen, und klicken Sie danach auf OK.

Klicken Sie mit der rechten Maustaste auf die Datei Msdos.sys, und wählen Sie Öffnen mit aus.

Klicken Sie im Feld Wählen Sie das gewünschte Programm auf Editor und danach auf OK.

Fügen Sie die folgenden zwei Zeilen zum Abschnitt [Options] hinzu:

•	BootKeys=0
•	BootSafe=0

Mit dem Booleschen Wert BootKeys wird festgelegt, ob die Funktionstasten der Tastatur während des Systemstarts verwendet werden können. Da einige dieser Tasten zur Unterbrechung des Startvorgangs verwendet werden können, sind sie in einem sicheren System durch Zuweisen des Werts 0 deaktiviert.

BootSafe ist eine weitere Boolesche Einstellung, mit der Systemstarts im abgesicherten Modus möglich sind. Durch Einstellen des Werts 0 für BootSafe kann der Computer nicht im abgesicherten Modus gestartet werden.

10.

Speichern Sie die Datei, und beenden Sie den Editor.

11.

Klicken Sie mit der rechten Maustaste auf die Datei Msdos.sys, und wählen Sie Eigenschaften aus.

12.

Aktivieren Sie die Kontrollkästchen Schreibgeschützt und Versteckt, um diese Attribute für die Datei festzulegen, und klicken Sie danach auf OK. Schließen Sie das Dialogfeld Suchen.

13.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Hinweis: Weitere Informationen zum Inhalt von Msdos.sys finden Sie im weiter oben angegebenen Knowledge Base-Artikel.

Verweigern des Zugriffs auf Wechselmedien als Startgeräte

Durch Starten eines Computers mit Wechselmedien können die Systemsicherheitseinstellungen vollständig umgangen und neu konfiguriert werden. Anleitungen zum Zugriff auf das System-BIOS finden Sie in der Dokumentation zu Ihrem Computer.

So deaktivieren Sie die Möglichkeit des Startens von Wechselmedien

1.	Legen Sie die primäre Festplatte als erstes Startgerät fest.
2.	Deaktivieren Sie die Funktion zum Starten von Diskette und CD-ROM.
3.	Deaktivieren Sie ggf. die USB- und FireWire-Ports, wenn diese in Ihrer Geschäftsumgebung nicht unbedingt erforderlich sind.
4.	Legen Sie ein BIOS-Kennwort (sofern verfügbar) fest, um ein Rücksetzen der entsprechenden Sicherheitseinstellungen zu verhindern.

Bereitstellen von Internet Explorer

Administratoren umfangreicher Netzwerke können Installationen von Internet Explorer 6.0 SP1 mit dem Internet Explorer Administration Kit (IEAK; verfügbar unter http://www.microsoft.com/windows/ieak/) anpassen, um so sicherzustellen, dass auf Arbeitsstationen der aktuellste sichere Build von Internet Explorer ausgeführt wird. Mit IEAK können Administratoren Verwaltungsprofile zur Vorkonfiguration der Sicherheitseinstellungen von Internet Explorer, zum Deaktivieren von Microsoft NetMeeting® und Microsoft Outlook® Express sowie zur Steuerung der vom Benutzer veränderbaren Funktionen einrichten.

Hinweis: Für die aktuellste Version der Active Directory Client Extensions ist Internet Explorer 6.0 erforderlich, wie im englischsprachigen Knowledge Base-Artikel 555038 ("How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains") unter http://support.microsoft.com/?kbid=555038 beschrieben.

Installieren der Active Directory Client Extensions für Windows 98

Microsoft hat Erweiterungen für Windows 98 erstellt, mit denen die Teilnahme an Active Directory-Domänen möglich ist. Dieser Client sollte auf allen Windows 98-Arbeitsstationen in solchen Umgebungen installiert werden. Die Active Directory Client Extensions für Windows 98 sind in Windows 2000 enthalten, es steht jedoch ein neues Update als kostenloses Hotfix vom Microsoft Software Service zur Verfügung.

Konfigurieren der SMB-Signatur für die Netzwerkkommunikation

Die SMB-Signatur sorgt für die digitale Signatur jedes über ein Netzwerk gesendeten Pakets, wodurch ein hohes Maß an Sicherheit gewährleistet ist, das jedoch mit einer Minderung der Netzwerkleistung um 10 bis 15 Prozent einhergehen kann. Sofern die SMB-Signatur konfiguriert wird, sollten alle Systeme im Netzwerk zur Verwendung der SMB-Signatur konfiguriert werden. Um die größtmögliche Kompatibilität auf Kosten eines Teils der Sicherheit zu gewährleisten, hat sich Trey für die Deaktivierung der SMB-Signatur auf allen Windows 98-Clients entschieden. Die Konfiguration lässt sich wie nachfolgend beschrieben implementieren.

So deaktivieren Sie die SMB-Signatur auf dem Windows 98-Client

Starten Sie den Registrierungs-Editor durch Eingabe von Regedit.exe an einer Eingabeaufforderung und Drücken der EINGABETASTE.

Gehen Sie zum Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Services\VxD\VNetsup.

Fügen Sie zwei Werte zu diesem Schlüssel hinzu:

•

Wertname: EnableSecuritySignature

Datentyp: REG_DWORD

Wert: 0 (deaktiviert die Verwendung der Signatur, sofern dies vom Server unterstützt wird)

•

Wertname: RequireSecuritySignature

Typ: REG_DWORD

Wert: 0 (lässt die Kommunikation zu, auch wenn der Server die Signatur nicht unterstützt)

Schließen Sie den Registrierungs-Editor.

Starten Sie den Computer neu.

So ändern Sie die Windows Server 2003-Standardeinstellung, für die die SMB-Signatur erforderlich ist

1.	Melden Sie sich beim Windows Server 2003-Domänencontroller mit einem Konto an, das über Administratorberechtigungen auf der Domäne verfügt.
2.	Starten Sie die Microsoft Management Console (MMC.exe), und fügen Sie das Gruppenrichtlinien-Snap-In hinzu. Legen Sie als Ziel des Gruppenrichtlinien-Snap-Ins das Standard-Domänencontroller-Richtlinienobjekt für die Domäne fest, und klicken Sie danach auf Fertig stellen.
3.	Erweitern Sie das Standard-Domänencontroller-Richtlinienobjekt und danach Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
4.	Doppelklicken Sie auf Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).
5.	Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, und vergewissern Sie sich, dass die Schaltfläche Deaktiviert ausgewählt ist. Klicken Sie auf OK.
6.	Schließen Sie das Fenster der Microsoft Management Console.

Auswählen der NTLM-Authentifizierungsebene

Aktivieren Sie nach der Installation der Active Directory Client Extensions die NTLMv2-Authentifizierung. Anleitungen zur Aktivierung dieser Einstellungen finden Sie im Knowledge Base-Artikel 239869 ("Aktivieren der NTLM 2-Authentifizierung für Windows 95/98/2000 und NT").

So legen Sie die NTLMv2-Authentifizierungsebene fest

1.	Starten Sie den Registrierungs-Editor durch Eingabe von Regedit.exe an einer Eingabeaufforderung und Drücken der EINGABETASTE.
2.	Klicken Sie in der Registrierung auf den folgenden Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\.
3.	Erstellen Sie einen neuen Teilschlüssel für Control mit der Bezeichnung LSA.
4.	Erstellen Sie einen DWORD-Wert mit der Bezeichnung LMCompatibility, und setzen Sie ihn auf 3 (Informationen zu zulässigen Werten finden Sie unter "Auswählen der NTLM-Authentifizierungsebene" weiter oben in diesem Kapitel).
5.	Starten Sie den Computer neu.

Hinweis: Setzen Sie den Wert für LMCompatibility erst auf 3, nachdem Sie die Windows NT-Server zur Verwendung von NTLMv2 aktualisiert haben. Sollten sich in der Umgebung Computer befinden, die nicht zur Verwendung von NTLMv2 konfiguriert wurden, schlägt die Kommunikation fehl. Planen Sie diese Einstellungen unternehmensweit, um eine ununterbrochene Kommunikation zu gewährleisten. Weitere Informationen zur Einschränkung der LM-Kompatibilitätsebene unter Windows NT finden Sie in Kapitel 4, "Absichern von Microsoft Windows NT 4.0".

Konfigurieren von Systemrichtlinien für die Sicherheit

Der Systemrichtlinien-Editor ist ein leistungsstarkes Tool, mit dem der Zugriff auf einen Windows 98-Computer präzise beschränkt werden kann. Mit diesem Tool werden Benutzer daran gehindert, Sicherheitseinstellungen zu ändern, können aber trotzdem ihre Arbeit normal verrichten. Es empfiehlt sich, Systemrichtlinien zu erstellen, mit denen Arbeitsstationen besser vor Manipulationen geschützt und angepasste Sicherheitseinstellungen leichter umgesetzt werden können.

Installieren des Systemrichtlinien-Editors

Sie müssen den Systemrichtlinien-Editor auf derjenigen Plattform installieren, für die Sie auch die Richtlinien erstellen wollen. Wenn Sie also Richtlinien für Windows 98-Systeme erstellen möchten, muss die Richtliniendatei auf einer Windows 98-Arbeitsstation bearbeitet und gespeichert werden.

So installieren Sie das Systemrichtlinien-Editor-Dienstprogramm von der Windows 98-CD-ROM aus

1.	Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Klicken Sie auf Software.
3.	Klicken Sie auf die Registerkarte Windows Setup und danach auf Diskette.
4.	Legen Sie den Windows 98-Datenträger in das CD-ROM-Laufwerk ein.
5.	Gehen Sie im Dialogfeld Installation von Diskette zum Ordner \Tools\Reskit\Netadmin\Poledit auf der CD, wählen Sie die Datei Poledit.inf aus, und klicken Sie auf OK.
6.	Wählen Sie im Dialogfeld Diskette die Systemrichtlinien-Editor-Komponente aus, und klicken Sie auf Installieren.

Während der Installation werden Poledit.exe in den Windows-Ordner und Windows.adm, Common.adm und Poledit.inf in den Ordner \Windows\Inf kopiert. Außerdem werden die notwendigen Änderungen an der Registrierung vorgenommen und ein neues Startmenüelement im Ordner Programme\Zubehör\Systemprogramme hinzugefügt.

Warnung: Vor der Bearbeitung der Registrierung sollten Sicherungskopien der Registrierungsdateien (System.dat und User.dat), bei denen es sich um versteckte Dateien im Windows-Systemordner handelt, angefertigt werden.

Empfohlene Richtlinieneinstellungen

Nachdem Sie den Systemrichtlinien-Editor installiert haben, können Sie mit ihm eine Richtlinie für lokale Installationen und Verteilungen erstellen. Bei der Bearbeitung von Richtlinieneinstellungen können die Kontrollkästchen für jede Richtlinie einen von drei Zuständen aufweisen: aktiviert, deaktiviert oder ausgeblendet. Bei aktiviertem Kontrollkästchen wird die Richtlinie wie angegeben angewendet. Bei ausgeblendetem Kontrollkästchen wird die Richtlinieneinstellung ignoriert. Bei deaktiviertem Kontrollkästchen könnten die Registrierungseinstellungen für diese Richtlinie unbeabsichtigt gelöscht werden.

So richten Sie eine Richtlinie anhand empfohlener Einstellungen auf Computerebene ein

Doppelklicken Sie auf C:\Windows\poledit.exe.

Klicken Sie auf Datei und danach auf Neue Richtlinie.

Doppelklicken Sie auf das Symbol Standard-Computer. Daraufhin wird das Dialogfeldmit den Eigenschaften des Standard-Computers angezeigt.

Erweitern Sie den Knoten Windows 98-Netzwerk. Die folgenden Einstellungen werden für die Netzwerkeigenschaften empfohlen.

Aktivieren Sie unter Anmeldung die folgenden Kontrollkästchen:

•	Anmeldenachricht. Zeigt beim Systemstart einen Banner mit Unternehmensrichtlinien zur Computerverwendung an.
•	Netzwerkbestätigung für Windows-Zugriff fordern. Benutzer müssen sich über das Netzwerk anstatt auf ihren lokalen Computern authentifizieren.
•	Letzten Benutzernamen nicht anzeigen. Benutzer müssen einen gültigen Benutzernamen eingeben, der zuvor verwendete Wert wird nicht angezeigt.
•	Anmeldefortschritt nicht anzeigen. Blendet den Fortschritt der Anmeldesitzung aus.

Aktivieren Sie unter Kennwort die folgenden Kontrollkästchen:

•	Freigabekennwörter verschlüsseln ("*"-Anzeige). Gibt Kennwörter während der Eingabe durch Sternchen wieder.
•	Kennwortverschlüsselung deaktivieren. Zwingt den Client zur Authentifizierung auf einem sichereren Netzwerkcontroller, anstatt das Kennwort lokal in einem weniger sicheren Cachespeicher abzulegen.
•	Alphanumerisches Windows-Anmeldekennwort fordern. Erzwingt einen höheren Komplexitätsgrad für lokale Kennwörter.
•	Minimale Länge für Windows-Kennwort. Dient zur Angabe der für ein Kennwort erforderlichen Anzahl an Zeichen. Durch den Wert 8 ist eine relativ sichere Kennwortlänge gegeben.

Aktivieren Sie unter Microsoft-Client für Windows-Netzwerke die folgenden Kontrollkästchen:

•	Windows NT-Anmeldung. Mit dieser Option kann der Administrator die Domäne, bei der sich die Arbeitsstation anmelden darf, hartcodieren.
•	Verschlüsselung des Domänenkennworts deaktivieren. Minimiert die Gefährdung lokal gespeicherter Kennwörter.
•	Arbeitsgruppe. Ermöglicht Administratoren die Hartcodierung der Domäne, bei der sich die Arbeitsstation anmeldet. Diese Einstellung ist für die Domänenanmeldung erforderlich.
•	Deaktivieren Sie das KontrollkästchenAlternative Arbeitsgruppe, damit sich Benutzer nicht bei den angegebenen Arbeitsgruppen anmelden können.

Deaktivieren Sie unter Datei- und Druckerfreigabe für Microsoft-Netzwerke sämtliche Kontrollkästchen. Auf lokalen Arbeitsstationen sollten Datei- und Druckerfreigaben generell deaktiviert sein. Wenn Benutzer in der Lage sein sollen, Dateien und Drucker freizugeben, müssen dedizierte Server verwendet und ordnungsgemäß gesichert werden.

Aktivieren Sie unter DFÜ-Netzwerk das Kontrollkästchen DFÜ-Zugriff deaktivieren, um den Remotezugriff auf Computer zu verhindern.

Klicken Sie auf OK.

So richten Sie eine Richtlinie anhand empfohlener Einstellungen auf Benutzerebene ein

Für diesen Vorgang ist es erforderlich, dass Sie den vorherigen Vorgang abschließen und der Systemrichtlinien-Editor bereits geöffnet ist. Windows 98 unterstützt nur das Herunterladen einer einzelnen Richtlinie vom Domänencontroller, so dass Einstellungen auf Benutzer- und auf Computerebene kombiniert werden müssen.

1.	Doppelklicken Sie auf Standardbenutzer.
2.	Doppelklicken Sie im Dialogfeld mit den Standardbenutzereigenschaftenauf Windows 98-System.
3.	Doppelklicken Sie auf Systemsteuerung.
4.	Erweitern Sie Netzwerk, und klicken Sie auf Zugriff auf Systemsteuerungsoption "Netzwerk" beschränken.
5.	Erweitern Sie System, und klicken Sie auf Zugriff auf Systemsteuerungsoption "System" beschränken.
6.	Erweitern Sie Zugriffsbeschränkungen, und klicken Sie auf Programme zum Bearbeiten der Registrierung deaktivieren.
7.	Klicken Sie auf OK.
8.	Speichern Sie die Richtlinie an einem geeigneten Speicherort.

Bereitstellen von Richtlinien

Wenn Sie die Richtlinien für Ihre Organisation konfiguriert haben, führen Sie folgende Schritte aus, um der Richtliniendatei den Namen Config.pol zu geben und sie am geeigneten Netzwerkspeicherort zu speichern, so dass Client-Arbeitsstationen die Einstellungen automatisch herunterladen und anwenden können.

So stellen Sie Richtlinien bereit

Wählen Sie im Menü Datei die Option Speichern unter aus.

Geben Sie der Datei den Namen Config.pol, und speichern Sie sie an einem der folgenden Speicherorte:

•	Speichern Sie die Datei für Windows NT 4.0-Domänencontroller unter %systemroot%\WINNT\System32\Repl\Import\Scripts\Config.pol.
•	Speichern Sie die Datei für Windows 2000- und Windows Server 2003-Domänencontroller unter %systemroot%\sysvol\sysvol\domainName\scripts\Config.pol.

So aktivieren Sie automatische Richtliniendownloads für den Windows 98-Client

1.	Melden Sie sich bei dem Computer an, auf dem Windows 98 ausgeführt wird.
2.	Öffnen Sie die Systemsteuerung.
3.	Doppelklicken Sie auf Netzwerk.
4.	Vergewissern Sie sich, dass in der Dropdown-Liste Primäre Netzwerkanmeldung die Option Client für Microsoft-Netzwerke ausgewählt ist.
5.	Klicken Sie auf die Registerkarte Identifikation, vergewissern Sie sich, dass der Wert im Feld Arbeitsgruppe mit dem Namen der Domäne übereinstimmt, und klicken Sie auf OK.

Zum Seitenanfang

Testen der Lösung

Nachdem die Szenario-Implementierung abgeschlossen ist, können Sie überprüfen, ob sie Ihren Anforderungen gerecht wird.

Überprüfung

Anhand der Informationen in der folgenden Tabelle können Sie das Trey-Szenario testen und den Erfolg der Umsetzung dieses Leitfadens überprüfen.

Tabelle 5.1: Überprüfungstests

Beschreibung	Testschritte	Erwartetes Ergebnis
Überprüfen der Installation der Hotfixes	Führen Sie das Dienstprogramm QFECheck.exe aus (im Windows-Installationsordner).	Sie können eine Liste der aktuellen Hotfixes abrufen, die der festgelegten Basis entsprechen.
Überprüfen der Installation von Internet Explorer 6 SP1	Starten Sie Internet Explorer, und klicken Sie im Menü ? auf Info.	Die Version sollte 6.0.2800.xxxx lauten.
Überprüfen der erfolgreichen DSClient-Installation	Klicken Sie auf Start, danach auf Suchen und anschließend auf Nach Personen.	Wenn Active Directory durchsucht werden kann, wurde DSClient erfolgreich installiert.
Überprüfen der NTLMv2-Authentifizierung	Richten Sie für den Domänencontroller die NTLMv2-Authentifizierung ein.	Die Anmeldung durch den Client ist erfolgreich.
Überprüfen der SMB-Signatur	Legen Sie fest, dass Netzwerkressourcen für die Kommunikation die SMB-Signatur benötigen.	Der Client kann erfolgreich auf Netzwerkressourcen zugreifen.
Überprüfen der Systemrichtlinien	Versuchen Sie auf Ressourcen zuzugreifen, die durch Systemrichtlinien eingeschränkt wurden.	Sie können nicht auf verbotene Ressourcen zugreifen.
Überprüfen der System-BIOS-Sicherheit	Versuchen Sie, mit der vom Hersteller festgelegten Escape-Zeichenfolge auf das System-BIOS zuzugreifen.	Sie werden zur Angabe eines Kennworts aufgefordert.
Versuch, das Startgerät zu umgehen	Legen Sie eine startfähige Diskette und CD ein.	Der Client wird nicht von den Wechselmedien gestartet.
Versuch, die Startsequenz zu umgehen	Drücken Sie während des Systemstarts F5 oder F8.	Der Client zeigt kein Menü für alternative Systemstarts an.
Versuch, die Netzwerkanmeldung zu umgehen	Drücken Sie bei Anzeige des Anmeldebildschirms die ESC-Taste.	Der Windows 98-Desktop ist erst nach Eingabe gültiger Anmeldeinformationen für die Domäne verfügbar.

Zum Seitenanfang

Zusammenfassung

Viele Organisationen haben in bedeutendem Maß in Windows 98-Systeme investiert und können aus verschiedenen Gründen nicht auf neuere Betriebssysteme mit stärkeren integrierten Sicherheitseinrichtungen umsteigen. Mit den geeigneten Vorsichtsmaßnahmen können diese Systeme relativ sicher vor Schwachstellen geschützt werden, die sich anderenfalls negativ auf eine Organisation auswirken könnten. Bewährte Praktiken bestehen in einer proaktiven Einstellung zur Sicherheitsverwaltung und zur Verringerung von Sicherheitsbedrohungen, indem nach einer anfänglichen, gut durchdachten Installation und Konfiguration stets die aktuellsten Sicherheitspatches für das Betriebssystem und die Anwendungen berücksichtigt werden. Die Active Directory Client Extensions für Windows 98 ermöglichen es, dass einige der Vorteile der Teilnahme an einer Active Directory-Domäne für diese Arbeitsstationen genutzt werden können, indem sichere Authentifizierungen mit NTLMv2 bereitgestellt werden. Darüber hinaus können Man-in-the-Middle-Angriffe von Computern, die als gültige Clients ausgegeben werden, anhand der SMB-Signatur gestoppt werden. Sie können auch den Systemrichtlinien-Editor für Windows 98 zur Implementierung sicherer Richtlinien verwenden, die es Computerarbeitskräften ermöglichen, ihre Arbeit normal zu verrichten, während ihre Computer gleichzeitig vor unbeabsichtigten oder böswilligen Fehlkonfigurationen geschützt werden.

Nach Schaffung einer sicheren Basis können Sie Ihre Investition mit geeigneten Patchverwaltungspraktiken und Antivirustechnologien schützen, die in Kapitel 6 ("Patchverwaltung") und Kapitel 7 ("Antivirusschutz") dieses Leitfadens beschrieben werden.

Weitere Informationen

•	Eine aktuelle Liste der Sicherheitsupdates für Windows 98 finden Sie auf der Microsoft Windows 98-Downloadsite unter http://www.microsoft.com/windows98/downloads/corporate.asp.
•	Weitere Informationen zu Internet Explorer finden Sie auf der Internet Explorer-Website von Microsoft unter http://www.microsoft.com/windows/ie/.
•	Weitere Informationen zum IEAK finden Sie auf der Internet Explorer Administration Kit-Website unter http://www.microsoft.com/windows/ieak/.
•	Eine Liste mit Anbietern von Internetfirewallsoftware finden Sie auf der Seite "Verwenden Sie eine Internetfirewall" unter www.microsoft.com/germany/athome/security/content/protect/windows2000/firewall.aspx.
•	Weitere Informationen zu Systemrichtlinien finden Sie in "Chapter 8, System Policies" des Microsoft Windows 98 Resource Kit unter http://www.microsoft.com/resources/documentation/windows/98/all/reskit/en-us/part2/wrkc08.mspx.

Zum Seitenanfang

6 von 10

In diesem Beitrag

•	Leitfaden zur Verringerung von Sicherheitsbedrohungen unter Windows NT 4.0 und Windows 98
•	Kapitel 1: Einführung
•	Kapitel 2: Anwenden von SRMD Security Risk Management Discipline auf das Beispiel von Trey Research
•	Kapitel 3: Netzwerksicherheit und -absicherung
•	Kapitel 4: Absichern von Microsoft Windows NT 4.0
•	Kapitel 5: Absichern von Microsoft Windows 98
•	Kapitel 6: Patchverwaltung
•	Kapitel 7: Antivirusschutz
•	Kapitel 8: Schlussfolgerung
•	Danksagungen