Anleitung zur Verringerung von Sicherheitsbedrohungen unter Windows NT und Windows 98

Kapitel 7: Antivirusschutz

Veröffentlicht: 13. Sep 2004

In den vorhergehenden Kapiteln dieses Leitfadens wurden die Risiken erwähnt, die Viren und andere Formen bösartiger Software, so genannter Malware, für die Server bei Trey Research, dem Unternehmen des hierin verwendeten Szenarios, darstellen. In diesem Kapitel wird Malware detailliert erläutert; zudem wird beschrieben, wie Trey seine Microsoft® Windows®-basierten Clients und Server vor diesem Risiko schützen kann.

Auf dieser Seite

	Einführung
	Lösungsentwurf
	Zusammenfassung

Einführung

In relativ kurzer Zeit haben sich Viren und andere Formen von Malware von einem untergeordneten, gelegentlich auftretenden Ärgernis zu einer massiven Sicherheitsbedrohung entwickelt. Ihre Verbreitung hat weltweit bereits beträchtlichen Schaden angerichtet und sogar manches unvorbereitete Unternehmen in die Pleite getrieben. Sich vor diesen Bedrohungen zu schützen, ist deshalb eine vorrangige Aufgabe für jedes Unternehmen, gleichgültig, ob es ältere Systeme oder die modernste Technologie verwendet.

Viren und Würmer können die Rechensysteme eines Unternehmens über zahlreiche Wege infizieren. Deshalb müssen Sie auf jedem dieser Wege wirksame Schutzmaßnahmen errichten, um ein Eindringen von bösartigem Code zu verhindern. In diesem Kapitel werden Schritte zur Abwehr von Viren und zur Reaktion im Falle einer Infektion beschrieben, mit denen Trey seine Datei-, Mail- und Webserver, Arbeitsstationen sowie andere Netzwerkgeräte vor diesen Bedrohungen schützen kann. Außerdem werden die möglichen Folgen von Viren und Würmern beschrieben, um die Notwendigkeit der Implementierung umfassender Lösungen zu verdeutlichen.

Hintergrund

Um angemessene Verteidigungsmaßnahmen gegen eine Bedrohung entwickeln zu können, müssen Sie zunächst das Wesen der Bedrohung kennen. Je mehr Sie darüber wissen, desto besser sind Sie darauf vorbereitet, eine wirksame Antwort zu entwickeln und umzusetzen. Bedrohungen fallen in drei wesentliche Kategorien: Trojanische Pferde, Viren und Würmer. Es ist entscheidend, dass Sie diese Bedrohungen voneinander abgrenzen können:

•	Trojanisches Pferd. Dies ist ein für den Benutzer nützlich oder harmlos erscheinendes Programm, das jedoch einen zur Ausnutzung oder Beschädigung des jeweiligen Systems konzipierten verborgenen Programmcode ("bösartige Nutzlast") enthält. Trojanische Pferde werden Benutzern meistens über E-Mail-Nachrichten zugestellt, in denen der Zweck und die Funktion des Programms falsch dargestellt werden. Trojanische Pferde werden auch als Trojaner oder trojanischer Code bezeichnet.
•	Wurm. Ein Wurm verwendet einen sich selbst propagierenden böswilligen Code, der sich automatisch über Netzwerkverbindungen von einem Computer auf andere verteilen kann. Ein Wurm kann schädliche Aktionen ausführen, z. B. Netzwerk- oder lokale Systemressourcen verbrauchen und sogar eine Dienstverweigerung verursachen (DoS-Angriff). Solche Würmer können sich ohne benutzerseitige Eingriffe ausführen und ausbreiten, während andere Wurmtypen die direkte Ausführung des Wurmcodes durch den Benutzer erfordern. Zusätzlich zur Replikation können Würmer auch eine Nutzlast zustellen.
•	Virus. Ein Virus verwendet einen mit der ausdrücklichen Absicht der Replikation geschriebenen Code. Viren infizieren Computer, indem sie sich an ein Hostprogramm heften, und beschädigen Hardware, Software oder Daten. Bei der Ausführung des Hosts wird auch der Viruscode ausgeführt, wodurch neue Hosts infiziert werden und in manchen Fällen zusätzliche Nutzlast gesendet wird.

Hinweis: Weitere Hintergrundinformationen zu Terminologie und Verteidigungsstrategien finden Sie im Leitfaden zur erfolgreichen Virenabwehr, der im Abschnitt "Weitere Informationen" am Ende dieses Kapitels aufgeführt ist.

Geschäftliche Aspekte

Zahlreiche Unternehmen unterschätzen die zerstörerische Kraft von Malware. Bei manchen Unternehmen ist noch nie eine Infektion aufgetreten, so dass sie sich der möglichen Konsequenzen nicht bewusst sind. Andere waren von dem Problem bislang nur in geringem Umfang betroffen. Aber auch ein Virus mit nur recht geringer Nutzlast kann eine verheerende Gesamtwirkung erzielen. Die möglichen Schäden sind nicht nur auf verlorene Daten oder Systeme beschränkt, die wieder hergestellt oder neu installiert werden müssen, sondern umfassen auch die folgenden Punkte:

•	Verlust des rechtzeitigen Datenzugriffs: Wenn eine netzwerkweite Infektion auftritt, können Dokumente, Datenbanken, E-Mail-Nachrichten oder sonstige wichtige Daten verloren gehen, sofern keine aktuelle, brauchbare Sicherung vorhanden ist. Dadurch entsteht ein erheblicher Zeitaufwand zum Wiedererstellen der verlorenen Daten, was die Produktionspläne durcheinander bringt und die Motivation der Mitarbeiter beeinträchtigt. Schon der Verlust eines einzigen wichtigen Dokuments kann sich erheblich auf die Geschäftsabläufe auswirken, etwa wenn ein Virus die Dokumentation einer Analyse zerstört, für die einer Ihrer Mitarbeiter einen ganzen Tag aufgewendet hat.
•	Produktivitätsverluste: Die Neuerstellung von Dokumenten und anderen aufgrund eines Malware-Angriffs verlorenen Dateien kann für ein Unternehmen einen enormen Aufwand darstellen. Wenn nach einem Notfall die Daten wiederhergestellt werden sollen, stellt sich nicht selten heraus, dass die Sicherungskopie unbrauchbar ist. Mitunter ist es schon äußerst schwierig, nur festzustellen, was überhaupt verloren gegangen ist. Und dabei ist in einer Notfallsituation das Wiederherstellen der Dateien nur ein Aspekt von vielen. Stets müssen Termine verschoben werden, da die Benutzer nicht mehr ihre normalen Aufgaben erfüllen können, sondern mit der Wiederherstellung der Daten beschäftigt sind. Außerdem müssen häufig externe Hilfskräfte beschäftigt werden, die die Daten wiederherstellen. Mit solchen Produktivitätsverlusten und Zusatzkosten ist ein Unternehmen schnell aus dem Geschäft, insbesondere, wenn es in einer Branche mit kleinen Gewinnspannen oder in sehr wettbewerbsintensiven Märkten tätig ist.
•	Offenlegung von Unternehmens- oder Kundendaten: Der Verlust vertraulicher Unternehmensdaten, etwa Quellcode, Geschäftsgeheimnissen oder Memoranden, kann verheerende Folgen für ein Unternehmen haben. Bei Trey Research hat ein Großteil der Daten, die von den Technikern zusammengestellt wurden, kommerziellen Wert. Darüber hinaus sind bestimmte Analysemethoden und Algorithmen, mit denen die Rohdaten ausgewertet werden, proprietärer Natur. Ein Verlust oder eine Offenlegung dieser Daten hätte erhebliche finanzielle Folgen.
•	Haftung: In Umgebungen, in denen rechtlich oder kommerziell vertrauliche Daten verarbeitet werden, spielt auch die Haftung eine Rolle. Angenommen, Trey wurde von einer Firma beauftragt, die Kontamination eines Schulgeländes zu überprüfen. Wenn diese Daten vorzeitig veröffentlicht würden, könnte der Kunde haftbar werden – und die klagende oder die beklagte Partei in einem Prozess könnte Trey in Mithaftung nehmen.

Technische Aspekte

Die wesentlichen technischen Aspekte beim Antivirusschutz betreffen die Frage, wo und wie Dateien, E-Mail-Nachrichten und Netzwerkdatenverkehr gescannt werden, um mögliche Viren zu entdecken. Mögliche Strategien:

•	Zunächst sollte serverbasiertes Scannen eingeführt werden. Bevor Sie jedoch die möglichen Schutzoptionen betrachten, sollten Sie für jeden einzelnen Server die Richtlinien und Vorgehensweisen zur Datenwiederherstellung im Notfall analysieren und gegebenenfalls verbessern. Sie sollten nicht nur die vorhandenen Sicherungskapazitäten analysieren, sondern auch, wie lange eine Wiederherstellung jeweils dauert. Wägen Sie die Zeitdauer, die Ihre Benutzer untätig verbringen, gegen die Kosten ab, die beim Aufrüsten Ihrer Sicherungsverfahren mit neuerer, schnellerer Hardware anfallen. Darüber hinaus sollte ein Mechanismus vorhanden sein, mit dem Sie im Rahmen Ihrer Sicherungsverfahren ausgewählte Tests zur Wiederherstellung durchführen. Eine Sicherung, die nicht erfolgreich wiederhergestellt werden kann, ist wertlos.
•	Die Dateiserver sollten jeweils mit Antiviruslösungen ausgestattet werden, die das Dateisystem aktiv überwachen. Wenn vorhandene Dateien geändert oder neue Dateien hinzugefügt werden, scannt die Antivirusanwendung die Dateien und stellt eine infizierte Datei vor einer möglichen Weiterverbreitung entweder in Quarantäne oder repariert sie.
•	Bei E-Mail-Servern sollten Scanner eingesetzt werden, die Warteschlangen, Transaktionsprotokolle und Nachrichtendatenbanken zielgerichtet prüfen. Antivirusprogramme, die solche Komponenten nicht richtig scannen und desinfizieren, können den E-Mail-Dienst beeinträchtigen und zu Datenverlust führen.
•	Alle Clients sollten mit Antivirussoftware ausgestattet sein. Unabhängig davon, welches Scantool verwendet wird, muss das Dateisystem des Clients stets proaktiv in Echtzeit gescannt werden, um mögliche Infektionen umgehend zu entdecken. Die Möglichkeit zu Einmalscans und geplanten Scans ist weniger wichtig, wenn die Anwendung Echtzeitscannen unterstützt. Dazu muss auf den Clients das Echtzeitscannen aktiviert sein. Ohne Echtzeitscannen müssen auf jeden Fall beim Systemstart und in regelmäßigen Abständen Scans durchgeführt werden.
•	Ebenfalls wichtig ist die Häufigkeit, mit der die Signaturdateien des Antivirusscanners aktualisiert werden, da die meisten Anbieter solche Updates kurz nach der Entdeckung neuer Viren veröffentlichen. Eine Antiviruslösung ohne aktuelle Signaturdatenbank ist nur von begrenztem Nutzen. Da jeden Tag neue Viren geschaffen werden, müssen Sie über eine möglichst aktuelle Signaturdatenbank verfügen, damit das Scannen wirksam ist. Wenn Sie Ihre Antivirusstrategie planen, sollten Sie den Zugriff auf Aktualisierungen und die Frage, wie oft Ihre Server aktualisiert werden müssen, beachten.
•	Es ist entscheidend, wie eine Antiviruslösung auf einen Virusausbruch im Netzwerk reagiert und die Administratoren benachrichtigt. Weiterhin wichtig sind ausführliche Protokollierung sowie Benachrichtigung per E-Mail, Pager oder auf andere Art, so dass das Team im Notfall rasch informiert ist.

Sicherheitsaspekte

Eine Antiviruslösung ist eindeutig ein zentraler Teil der Sicherheitsverwaltung und -verbesserung. Allerdings gelten bei Trey im Rahmen des Plans zur Verbesserung der Sicherheit auch andere Aspekte:

•	Ständige Aufmerksamkeit für die Patchverwaltung trägt dazu bei, die Wahrscheinlichkeit einer Infektion durch Viren und Würmer zu verringern. Trey arbeitet intensiv daran, einen Plan für die Patchverwaltung umzusetzen (siehe Kapitel 6, "Patchverwaltung"), um sicherzustellen, dass gefährdete Computer rasch gepatcht werden.
•	Über Antivirusscanner hinaus kann Software zum Erkennen von Eindringversuchen und zur Netzwerküberwachung notwendig sein, um ungewöhnliche Muster im Netzwerkdatenverkehr zu erkennen, die auf das Auftreten eines Virus oder Wurms hindeuten.
•	In Umgebungen, in denen vor allem Windows 2000 oder Windows XP auf Desktops installiert ist, kann mithilfe von Gruppenrichtlinienobjekten durchgesetzt werden, dass Antivirussoftware installiert wird und stets aktiv ist. In Microsoft Windows NT® oder Windows 98 gibt es keine entsprechende Methode.
•	Um die Angriffsfläche von Clients zu verringern, können weitere Maßnahmen erforderlich sein, etwa die Aktualisierung der installierten Versionen von Microsoft Internet Explorer und die Verwendung des Internet Explorer Administration Kit, von Gruppenrichtlinien oder von Windows NT-Systemrichtlinien, um angemessene Sicherheitsrichtlinien für den Browser durchzusetzen.

Anforderungen an die Lösung

Die Anforderungen an die Lösung sind bei den meisten Antivirusinstallationen überschaubar. Im Fall von Trey Research lauten sie wie folgt:

•	Automatisches Scannen auf Dateiebene bei allen Clients.
•	Automatisches Scannen auf Dateiebene bei allen Dateiservern.
•	Automatisches und manuell eingeleitetes Scannen (mittels Microsoft Exchange-fähiger Scantools) für alle Exchange-Mailbox-Server.
•	Erhalt automatischer Updates der Scansignaturen für alle Scanner innerhalb von 12 Stunden nach Veröffentlichung.
•	Beschränkungen für den Einsatz austauschbarer Medien (Disketten, CD-ROMs, USB-Miniaturlaufwerke), um die Verbreitung von Viren zu verhindern.

Aufgrund der aktuellen Zusammensetzung des Netzwerks von Trey gelten manche Anforderungen erst, wenn die Desktopumgebung aufgerüstet ist:

•	Automatische Erstinstallation der Antivirussoftware.
•	Durchsetzung der Trey-Sicherheitsrichtlinien, dass Antivirussoftware installiert und jederzeit ausgeführt werden muss.
•	Verwendung eines eigenen Antivirus/Antispamfilters für den Perimeter, so dass E-Mails überprüft werden, bevor sie an die Exchange-Server gesendet werden.

Zum Seitenanfang

Lösungsentwurf

Der Leiter der IT-Abteilung von Trey wünschte eine rasche Umsetzung der Antiviruslösung, um die Gefährdung des Unternehmens durch Viren und andere Formen von Malware zu verringern.

Lösungskonzept

Die Antiviruslösung von Trey bietet client- und serverseitigen Schutz. Trey wählte gezielt Scanner von zwei verschiedenen Anbietern, um die Wahrscheinlichkeit, dass während eines Virenausbruchs entsprechende Signaturen rechtzeitig verfügbar sind, zu erhöhen.

Voraussetzungen für die Lösung

Für diese Lösung müssen keine speziellen Voraussetzungen gegeben sein.

Lösungsarchitektur

Die Antiviruslösung von Trey umfasst mehrere Komponenten, die gemeinsam einen effektiven Antivirusschutz bieten.

Schutz der Server

Schutz vor Viren ist kein einmaliger Vorgang, bei dem die Installation einer einzigen Anwendung für sofortige und perfekte Sicherheit sorgt. Zunächst musste Trey sämtliche Server patchen, um eine solide Basis zu gewährleisten. Da Malware häufig bekannte Sicherheitslücken im Betriebssystem ausnutzt, sollten Sie zunächst das neueste Service Pack sowie nachträgliche Patches installieren. Bei Microsoft Windows Server™ 2003 erfordern Updates häufig keinen Neustart des Servers, im Gegensatz zu früheren Windows-Versionen. Wenn Sie einen Server aktualisieren, müssen Sie durch sorgfältige Planung sicherstellen, dass der Server vor Einleitung der Aktualisierung entsprechend gesichert ist und die Aktualisierung im Falle eines Fehlschlags wieder rückgängig gemacht werden kann. Außerdem müssen Sie einen geeigneten Zeitpunkt für die Aktualisierung wählen, um die Ausfallzeit möglichst kurz zu halten.

Um die zum Aktualisieren des Servers erforderliche Ausfallzeit so gering wie möglich zu halten, verwendeten die IT-Administratoren von Trey das Tool QChain.exe, mit dem auch bei Installation mehrerer Aktualisierungen nur ein einziger Neustart erforderlich ist. Dieses Tool ist auf der Website der Microsoft Knowledge Base in Artikel 815062 ("Bei Verkettung mehrerer Updates wird nicht die richtige Datei installiert") unter http://support.microsoft.com/?kbid=815062 verfügbar. Weitere Informationen über die Verwendung von QChain.exe finden Sie im Knowledge Base-Artikel 296861 ("Installieren von mehreren Windows-Updates oder Hotfixes mit nur einem Neustart") unter http://support.microsoft.com/?id=296861. Diese Patches wurden außerhalb der Geschäftszeiten installiert.

Außerdem verbesserte Trey seinen Perimeterschutz (siehe Kapitel 3, "Netzwerksicherheit und -absicherung"), um die Computer im Netzwerk besser zu schützen.

Neben dem Scannen des Dateiservers muss auch eine Analyse des vorhandenen Serverdateisystems erfolgen, um zu ermitteln, wie die Gefährdung des Servers minimiert werden kann. Zunächst einmal sollten sämtliche Server das Dateisystem NTFS verwenden, da FAT letztlich keine Sicherheit bietet. Mit NTFS können Administratoren Berechtigungen festlegen, die gewährleisten, dass nur das Betriebssystem selbst in zentrale Verzeichnisse und Dateien schreiben darf. Dadurch wird der Schaden, den ein Virus anrichten kann, nachdem er den Server infiziert hat, verringert.

Darüber hinaus überprüften die IT-Administratoren von Trey alle vorhandenen Dateiserverfreigaben und löschten unnötige Freigaben. Weiterhin fügten sie den Freigaben entsprechende NTFS- und Freigabeberechtigungen hinzu, um anonymen Zugriff auszuschließen. Diese Schritte schützen vor Würmern und Viren, die sich mithilfe ungeschützter Freigaben weiterverbreiten. Zudem können Sie verborgene Freigaben verwenden, um die Gefährdung der Server weiter zu verringern.

Alle Datei-, Druck-, Anwendungs- und Mitgliedsserver werden durch das gleiche Scanprodukt geschützt. Die Exchange-Server werden durch ein Exchange-fähiges Produkt desselben Anbieters geschützt. Durch diesen Ansatz können mit den Unternehmensverwaltungstools des Anbieters alle Server als eine Einheit verwaltet werden. Lokale Administratoren können die Scaneinstellungen nicht konfigurieren, jedoch manuelle Scans starten.

Schutz der Mailserver

Der häufigste Eintrittspunkt für Malware in ein Netzwerk ist das E-Mail-System. Aus diesem Grund muss jedes Verteidigungsschema auch die E-Mail-Server abdecken. Obwohl Antiviruslösungen, die das Dateisystem scannen, Viren häufig bereits beim Eintritt in das E-Mail-System aufspüren, ist es sinnvoller, eine Antiviruslösung zu installieren, die Nachrichten und Anlagen aktiv und gezielt prüft. Für Netzwerke, in denen Exchange Server installiert ist, können Sie zwischen mehreren Antiviruslösungen auswählen, die im Zusammenspiel mit Exchange eingehende und ausgehende Nachrichten prüfen. Diese Antiviruslösungen verwenden in der Regel die in Exchange Server integrierte Antivirus-API, um auf Nachrichten und Anlagen zuzugreifen und sie zu scannen.

Wenn im Netzwerk andere E-Mail-Server verwendet werden oder die Benutzer eine Verbindung zu einem externen E-Mail-Server herstellen, bieten sich Antiviruslösungen an, die den SMTP-Verkehr (Simple Mail Transfer Protocol) am Gateway prüfen. Dadurch verhindern sie Infektionen durch eingehende Nachrichten ebenso wie die Weiterverbreitung von Viren durch ausgehende Nachrichten. Diese gatewaybasierten Lösungen sind nicht in die E-Mail-Serversoftware eingebunden, sondern prüfen den SMTP-Verkehr beim Eintritt in das Netzwerk.

In bestimmten Szenarios kann durch die Verwendung mehrerer Antivirusmodule zusätzliche Sicherheit gewonnen werden. Solche Antiviruslösungen, etwa GFI MailSecurity (erhältlich auf der Website von GFi Security and Messaging Software: www.gfi.com), unterstützen mehrere, gleichzeitig agierende Antivirusmodule verschiedener Anbieter. Durch mehrere Module sinkt die Wahrscheinlichkeit, dass ein Modul eine infizierte Nachricht übersieht, weil der Anbieter noch keine aktualisierte Datei für die Antivirus-Signaturdatenbank bereitgestellt hat oder die Aktualisierungswebsite des Anbieters aufgrund eines DoS-Angriffs oder eines Netzwerkausfalls nicht verfügbar ist.

Wenn es Ihnen nicht möglich ist, mehrere Scanmodule zu verwenden, sollten Sie eine Kombination von Lösungen in Betracht ziehen. Zum Beispiel können Sie eine Exchange Server-basierte Lösung umsetzen, bei der der Server mit einem oder mehreren Antivirusmodulen gescannt wird, zusammen mit einer gatewaybasierten Lösung, die ein oder mehrere andere Antivirusmodule verwendet.

Die Erkennung von Ausnutzungen ist ein weiterer wichtiger Aspekt, wenn Sie Antiviruslösungen für Ihr E-Mail-System analysieren und umsetzen. Das Scannen nach bekannten Viren ist wichtig, ebenso wichtig ist aber auch das Scannen nach E-Mail-Ausnutzungen. Bei E-Mail-Ausnutzungen handelt es sich um ein Skript, eine ausführbare Datei, einen fehlerhaften MIME-Header (Multipurpose Internet Mail Extensions) oder sonstige Mechanismen, die eine Sicherheitslücke in der E-Mail-Anwendung oder dem Betriebssystem des Clients ausnutzen sollen. Die Viren Nimda und BadTrans.B sind Beispiele für Viren, die sich mithilfe von E-Mails verbreiten und Zielsysteme infizieren.

Eine Antiviruslösung, die die Entdeckung von E-Mail-Ausnutzungen umfasst, überprüft Nachrichten auf Methoden, die das Betriebssystem oder den E-Mail-Client ausnutzen. Durch das Scannen auf E-Mail-Ausnutzungen kann die Antiviruslösung eine große Bandbreite potenzieller Bedrohungen abdecken. Obwohl jeder Virus eine individuelle Signatur aufweist und diese erkannt werden muss, kann eine einzelne Ausnutzung von zahlreichen Viren verwendet werden, zum Beispiel von neuen Viren, die auf vorhandene Ausnutzungen zurückgreifen. Indem Sie die Ausnutzung blockieren, können Sie letzten Endes zahlreiche Virenarten abwehren.

Welche Antiviruslösungen Sie auch für Ihren E-Mail-Server und Ihr Netzwerk verwenden – aus zwei Gründen sollten Sie ausgehende Nachrichten genauso wie eingehende Nachrichten berücksichtigen. Zunächst ist eine ausgehende infizierte Nachricht ein klares Indiz dafür, dass das Clientsystem infiziert ist und ein Ausbruch im Netzwerk bevorsteht. Die Überprüfung ausgehender Nachrichten auf E-Mail-Ausnutzungen ist aus demselben Grund wichtig. Zudem haben ausgehende Viren, auch wenn sie keine größeren Schäden in Ihrem internen Netzwerk anrichten sollten, verheerende Folgen für den Ruf Ihres Unternehmens und Ihre Kundenbeziehungen. Kunden, deren Netzwerke durch einen Virus von Ihrem E-Mail-Server infiziert werden, verlieren das Vertrauen in Ihr Unternehmen. Darunter leidet rasch die gesamte Geschäftsbeziehung.

Auch wenn keine E-Mail-Lösung vorhanden ist, können Sie Maßnahmen ergreifen, um die Wahrscheinlichkeit einer durch E-Mails verursachten Virusinfektion zu senken. Und selbst wenn Sie bereits eine Lösung zum Scannen von E-Mails besitzen, können Sie zusätzlich bestimmte Anlagen blockieren lassen. Indem Sie verhindern, dass Benutzer ausführbare und andere Dateien, bei denen eine Infektion wahrscheinlich ist, erhalten, reduzieren Sie nicht nur die Wahrscheinlichkeit von Virusinfektionen, sondern Sie können auch E-Mail-Ausnutzungen verhindern, die auf Skripts oder sonstigen Dateitypen beruhen.

Im Knowledge Base-Artikel 235309 ("Outlook-Sicherheitsupdate für E-Mail-Anlagen") unter http://support.microsoft.com/?kbid=235309 finden Sie Informationen über erweiterten Schutz für Microsoft Outlook®, etwa das Blockieren von Anlagen sowie sonstige Funktionen, mit denen Sie verhindern können, dass bestimmte Arten von Anlagen durch die Benutzer geöffnet werden und dadurch das lokale System und schließlich das Netzwerk infizieren. Dieses Update ist auch für Outlook 98 erhältlich und ist in Outlook 2002 und höhere Versionen integriert. Administratoren für Exchange Server können das Blockieren von Anlagen und andere Optionen zur E-Mail-Sicherheit auf dem Server konfigurieren; sie können etwa bestimmte Dateitypen in die Liste zu blockierender Dateien aufnehmen oder daraus entfernen. Auf der CD-ROM mit dem Microsoft Office 2003 Resource Kit befindet sich auch das Outlook Security Features Administrative Package (AdminPak). Es steht zudem bei Microsoft Office Online unter http://office.microsoft.com/officeupdate/ zur Verfügung. Mit dem AdminPak können die Administratoren von Exchange Server nicht nur Optionen zum Blockieren von Anlagen konfigurieren, sondern auch festlegen, welche Anwendungen auf das Adressbuch eines Benutzers zugreifen, Nachrichten senden und andere Aktionen durchführen können.

Wenn Sie Exchange Server nicht verwenden oder die Sicherheitsoptionen nicht auf Serverebene steuern möchten, können Sie in Outlook das Blockieren von Anlagen lokal festlegen. Dazu müssen Sie lediglich eine Hand voll Registrierungseinstellungen für Outlook ändern. Weitere Informationen, wie Sie die Optionen von Outlook zum Blockieren von Anlagen lokal angeben können, finden Sie im Knowledge Base-Artikel 829982 ("Anlagen in Outlook 2003 lassen sich nicht öffnen") unter http://support.microsoft.com/?id=829982. Wenn Sie Outlook Express anstelle oder zusammen mit Outlook (oder einem anderen Client) als E-Mail-Client verwenden, müssen Sie Outlook Express patchen, um den Schutz vor Viren und Ausnutzungen per E-Mail zu gewährleisten. Der Sicherheitspatch für Outlook Express bietet viele der im Outlook-Sicherheitsupdate enthaltenen Funktionen zum Blockieren von Anlagen. Darüber hinaus löst er eine Reihe weiterer Probleme, etwa die Ausnutzung von Pufferüberläufen bei Outlook Express-Mailheadern.

Schutz der Clients

Alle Clients – Windows 98, Windows NT 4.0, Windows 2000 und Windows XP – werden mithilfe des gleichen Scanprodukts geschützt. Um einheitliche Einstellungen auf den Clients unter Windows 2000 und höher zu gewährleisten, wurde eine Gruppenrichtlinie konfiguriert. Außerdem wurde der in Kapitel 4, "Absichern von Windows NT 4.0", beschriebene Mechanismus für Windows NT-Systemrichtlinien verwendet, um auf den Clients unter Windows NT und Windows 98 einheitliche Einstellungen festzulegen. Darüber hinaus aktualisierte Trey Research seine schriftlichen Sicherheitsrichtlinien, um den Einsatz von Antivirussoftware auf allen Computern vorzuschreiben, mit denen eine Verbindung ins Unternehmensnetzwerk hergestellt wird. Dies gilt auch für Homecomputer, die über VPN-Funktionen (virtuelles privates Netzwerk) verfügen.

Aktualisiert

Antiviruslösungen bieten in der Regel Pläne für dynamische Aktualisierungen, entweder direkt vom Anbieter über das Internet oder von einem lokalen Netzwerkserver, auf dem die Aktualisierungen bereitgestellt werden. Sie können festlegen, ob alle Server ihre Aktualisierungen per Internet vom Anbieter abrufen oder ein einzelner Server (oder eine Auswahl an Servern) die Aktualisierungen vom Anbieter abruft und die verbleibenden Server dann wiederum diese Aktualisierung vom lokalen Server. Welche Methode Sie wählen, hängt davon ab, ob Sie den Internetdatenverkehr minimieren wollen bzw. müssen. In einem solchen Fall ist das Abrufen von einem lokalen Server eine sinnvolle Methode.

Die Verfügbarkeit von Aktualisierungen ist ein weiterer Faktor, der Ihre Entscheidung beeinflussen kann, ob Sie einen Einzelanbieter, eine Einzelmodullösung oder eine Lösung wählen, die Scanmodule mehrerer Anbieter einbindet. Durch einen verteilten DoS-Angriff kann ein bestimmter Anbieter unter Umständen über einen gewissen Zeitraum nicht verfügbar sein. Dieses Problem lässt sich vermeiden, wenn Sie Lösungen mehrerer Anbieter verwenden.

Trey stellt die Server so ein, dass die Virendefinitionen alle zwei Stunden aktualisiert werden; die der Clients täglich um 4 Uhr Ortszeit (US-Ostküste). Diese Zeit wurde gewählt, um sich vor Viren zu schützen, deren Verbreitung in Europa beginnt (ein Muster, dass sich schon bei mehreren Ausbrüchen gezeigt hat).

Funktionsweise der Lösung

Über das Installieren von Antivirustools auf Clients, Servern und Mailservern hinaus unternahm Trey im Rahmen seines Plans zur allgemeinen Verbesserung der Sicherheit weitere Schritte. Diese Schritte sind für den Virusschutz von Bedeutung, da sie die durch die Antivirustools gebotene Abwehr verstärken.

Trey setzte die folgenden Maßnahmen um, die an anderer Stelle dieses Leitfadens beschrieben werden:

•	Aktualisierung der Client- und Serverbetriebssysteme mit allen Updates und Patches.
•	Aktualisierung von Internet Explorer, Outlook Express und Outlook mit den neuesten Versionen und Patches.
•	Entwicklung und Umsetzung von Programmen, die das Bewusstsein der Benutzer für die Infektionsarten schärfen und ihnen vermitteln, mit welchen Schritten sie die Gefährdung des Netzwerks verringern können.
•	Absicherung von Servern und Clients durch das Entfernen oder Deaktivieren verzichtbarer und angreifbarer Dienste, durch das Entfernen von Freigaben und durch das Sperren von Diensten wie IIS.
•	Physische Sicherung der Server, um den Zugang unbefugter bzw. ungeschulter Personen zu verhindern.
•	Implementierung von Perimeterschutz mit Firewalls.
•	Umsetzung von Sicherheitsfunktionen für Internet Explorer mit dem unter http://www.microsoft.com/windows/ieak/evaluation/default.mspx verfügbaren Internet Explorer Administration Kit (IEAK), mit System- oder Gruppenrichtlinien, um Installationen auf Aufforderung, Microsoft ActiveX®-Skripting und andere potenzielle Bedrohungen auszuschließen.

Zum Seitenanfang

Zusammenfassung

Antivirusschutz ist ein zentraler Teil aller Sicherheitsbemühungen für vernetzte Computer. Wenn Sie die richtige Antiviruslösung wählen und entsprechend umsetzen, werden die bereits vorhandenen Sicherheitsmaßnahmen sinnvoll ergänzt.

In diesem Kapitel wurden die Grundlagen beschrieben, wie Trey Research Antivirusschutz erzielte. Der Ansatz von Trey umfasst client- und serverbasierte Antivirusscanner verschiedener Anbieter, zusammen mit strikten Richtlinien für das Scannen und die Signaturaktualisierung. Ergänzend wird in Richtlinien zur Sicherheit und zur Computerverwendung vorgeschrieben, dass stets Antivirussoftware zu verwenden ist.

Weitere Informationen

•	Weitere Informationen über Exchange Server- und Antiviruslösungen finden Sie im Knowledge Base-Artikel 823166 ("Überblick über Exchange Server 2003 und Antivirus-Software") unter http://support.microsoft.com/?kbid=823166.
•	Weitere Informationen über den Outlook Express-Sicherheitspatch finden Sie im Knowledge Base-Artikel 267580 ("OLEXP: Informationen zum Outlook Express-Sicherheitsupdate") unter http://support.microsoft.com/?kbid=267580.
•	Der Leitfaden zur erfolgreichen Virenabwehr von Microsoft bietet umfassende Informationen über die Konzeption einer erfolgreichen Antiviruslösung. Dieser Leitfaden ist unter http://www.microsoft.com/germany/technet/datenbank/articles/900000.mspx in englischer Sprache verfügbar.

Zum Seitenanfang

8 von 10

In diesem Beitrag

•	Leitfaden zur Verringerung von Sicherheitsbedrohungen unter Windows NT 4.0 und Windows 98
•	Kapitel 1: Einführung
•	Kapitel 2: Anwenden von SRMD Security Risk Management Discipline auf das Beispiel von Trey Research
•	Kapitel 3: Netzwerksicherheit und -absicherung
•	Kapitel 4: Absichern von Microsoft Windows NT 4.0
•	Kapitel 5: Absichern von Microsoft Windows 98
•	Kapitel 6: Patchverwaltung
•	Kapitel 7: Antivirusschutz
•	Kapitel 8: Schlussfolgerung
•	Danksagungen