Anleitung zur Verringerung von Sicherheitsbedrohungen unter Windows NT 4.0 und Windows 98

Kapitel 8: Schlussfolgerung

Veröffentlicht: 13. Sep 2004

In diesem Leitfaden wurden zahlreiche Herausforderungen erläutert, die sich bei der Bereitstellung älterer Clients unter Microsoft® Windows NT® 4.0 und Microsoft Windows® 98 in Unternehmensumgebungen stellen. Im Leitfaden wurde auf die Erfahrungen von Trey Research verwiesen, einem fiktiven Unternehmen, das sich gezwungen sah, Sicherheitslücken zu identifizieren und zu verringern. Viele der von Trey gelösten Probleme gelten für Unternehmen, die ihre eigene sichere Netzwerkumgebung implementieren müssen.

Mithilfe der Informationen in diesem Leitfaden können Sie eine sichere Netzwerkinfrastruktur identifizieren, Basiskonfigurationen für Server und Arbeitsstationen mit älteren Betriebssystemen erstellen, Verfahren für eine effektive Patchverwaltung definieren und eine proaktive Strategie für den Virusschutz entwickeln. Zusammen helfen diese Methoden, die Lebensdauer wichtiger Ressourcen zu verlängern, bis Unternehmen in der Lage sind, auf aktuellere und sicherere Betriebssysteme umzustellen.

Wenn das Beispiel von Trey Research möglicherweise nicht die für Sie zutreffende Umgebung widerspiegelt, so können die hier dargestellten Methoden doch auf Unternehmen jeglicher Größenordnung angewendet und in den meisten Umgebungen umgesetzt werden. Als wichtigstes Konzept gilt, dass eine gute Sicherheitsstrategie einen kontinuierlichen Prozess darstellt, der in den Geschäftsalltag eines IT-Unternehmens integriert werden sollte. Sicherheit beinhaltet die Installation, grundlegende Umsetzung, Überwachung und Aktualisierung von Prozessen.

Auf dieser Seite
Bedrohungen für TreyBedrohungen für Trey
ZusammenfassungZusammenfassung

Bedrohungen für Trey

Die von Trey im Zuge der Risikoanalyse festgestellten Bedrohungen erfordern einen umfassenden Plan zur Identifizierung und Vorbeugung. In den folgenden Abschnitten wird erläutert, auf welche Weise die IT-Mitarbeiter von Trey die Absicherung des Unternehmensnetzwerks planen und umsetzen konnten.

Physische Sicherheitsbedrohungen

Die größte physische Sicherheitsbedrohung für die Systeme von Trey besteht darin, dass der räumliche Zugang zu den Computern nicht überwacht wird. Viele wichtige Server und Arbeitsstationen befinden sich in verhältnismäßig ungeschützten Bereichen. Trey hat dieses Risiko teilweise verringert, indem Schlösser angebracht und bessere Zugangskontrollen eingeführt wurden. Außerdem wurden die wichtigsten Server in sicherere Bereiche verlagert. Andere physische Sicherheitsrisiken, z. B. Beschädigung durch Umwelteinflüsse, wurden durch nicht technische Maßnahmen ausreichend verringert.

DoS-Bedrohungen

Den meisten DoS-Bedrohungen (Denial-of-Service), denen das Trey-Netzwerk ausgesetzt ist, kann durch Absicherung des Netzwerks und mithilfe von Filterfunktionen unter Windows NT 4.0 entgegengetreten werden. Um diesen Schutz weiter auszubauen, wurden auf allen Computern unter Windows 98 und Windows NT persönliche Firewalls installiert. Neben einer ordnungsgemäßen Konfiguration der Server und Arbeitsstationen halfen dem Unternehmen auch die richtige Netzwerksegmentierung und Firewallkonfiguration beim Ermitteln der Datenverkehrsarten, die an bestimmte Computer durchgelassen werden dürfen. Allerdings konnte Trey die Bedrohung durch Manipulation des Netzwerkverkehrs und durch Spoofing nicht komplett beseitigen. Während Microsoft Windows 2000, Windows XP und Windows Server™ 2003 den Einsatz von IPsec-Erweiterungen (Internet Protocol Security) zum Schutz von vertraulichem Netzwerkverkehr unterstützen, ist diese Unterstützung unter Windows 98 und Windows NT nicht gegeben.

Bedrohungen durch bösartigen Code

Trey hat drei wichtige Arten der Bedrohung durch bösartigen Code identifiziert: Ausführung von bösartigem Code durch Benutzer, Virusangriffe und Wurmangriffe. Diese Bedrohungen werden auf drei verschiedene Arten bekämpft:

Um zumindest teilweise zu verhindern, dass Benutzer bösartigen Code ausführen, hat Trey seine Arbeitsstationen auf Internet Explorer 6.0 SP1 aktualisiert und striktere Sicherheitseinstellungen angewendet. Ein wirksamerer Ansatz, nämlich die Verwendung von Windows-Richtlinien für Softwareeinschränkungen, durch die nur vertrauenswürdige Anwendungen ausgeführt werden können, ist nicht möglich, da Windows NT und Windows 98 diese Richtlinien nicht unterstützen.

Zum Schutz gegen eine mögliche Virusinfizierung hat Trey Research zentral verwaltete Antivirussoftware installiert, durch die sämtliche Server und Arbeitsstationen geschützt werden. Virusdefinitionen werden nun täglich aktualisiert, und Virenprüfungen können manuell von der Antiviruskonsole aus gestartet oder so geplant werden, dass sie einmal wöchentlich ausgeführt werden. Wenn ein infizierter Computer, eine infizierte heruntergeladene Datei oder ein anderes Medium an das Netzwerk angeschlossen wird, sind die geschützten Clients einer wesentlich geringeren Infektionsgefahr ausgesetzt.

Zum Schutz gegen Würmer hat Trey das Netzwerk so segmentiert, dass alle älteren Computer zu einem separaten Netzwerksegment gehören und durch eine separate Firewall geschützt sind. Es wurden Verfahren zur Patchverwaltung entwickelt, damit neue Patches frühzeitig für alle Systeme bereitgestellt werden. Die Firewallkonfiguration wurde geprüft und eingeschränkt, so dass nur erforderliche Anschlüsse offen sind.

Die Bemühungen von Trey, diesen Bedrohungen vorzubeugen, wurden dadurch noch komplizierter, dass weder Windows NT noch Windows 98 die gesamte Gruppe der Patchverwaltungstools unterstützt, die von Microsoft und anderen Drittanbietern erhältlich sind. Trey kann insbesondere nicht MBSA (Microsoft Baseline Security Analyzer) zum Prüfen der Computer unter Windows 98 verwenden. Daher müssen Mitarbeiter diese Computer inventarisieren und anschließend Patches manuell anwenden. Dies stellt ein ernsthaftes Problem für Trey dar, das erst nach abgeschlossener IT-Modernisierung des Unternehmens gelöst werden kann.

Letztendlich besteht der beste Schutz vor bösartigem Code darin, die Benutzer zu guten Sicherheitsmaßnahmen anzuhalten. Dazu gehört, die richtigen Sicherheitseinstellungen für Internet Explorer auszuwählen und beim Herunterladen und Ausführen von Programmen und Anhängen Vorsicht walten zu lassen.

Bedrohungen durch Informationsenthüllung

Trey hat im Wesentlichen drei Maßnahmen ergriffen, um die in Kapitel 2 beschriebenen Bedrohungen durch Informationsenthüllung zu verringern. Zunächst führte das Unternehmen ein, dass auf allen Computern eine obligatorische NTLMv2-Authentifizierung durchgeführt wird. Diese Anforderung hatte bedeutende Auswirkungen auf die Kompatibilität, und das Verfahren ist immer noch nicht so sicher wie die reine Bereitstellung von Kerberos. Diese Methode stellt jedoch eine angemessene Notlösung dar, bis Trey die IT-Modernisierung abgeschlossen hat und IPsec einsetzen kann.

Als zusätzliche Schutzmaßnahme hat Trey die Verwendung der SMB-Signierung (Server Message Block) für Computer unter Windows NT, Windows 2000 und Windows Server 2003 aktiviert. Durch diesen Ansatz wird sichergestellt, dass ältere Computer die Authentizität aller Netzwerkübertragungen garantieren. Es wurde ein Plan erstellt, um Computer auf Leistungsengpässe zu überwachen. Ein Leistungsabfall zwischen 10 und 15 Prozent wird erwartet. Wenn sich dies zu nachteilig auf einige der Server auswirkt, kann Trey die RequireSecuritySignature-Einstellung von den betroffenen Clients entfernen. Ein entsprechendes Gruppenrichtlinienobjekt des Microsoft Active Directory®-Verzeichnisdienstes steuert die SMB-Signierung für native Active Directory-Server und -Arbeitsstationen. Diese Einstellung muss von Trey unter Umständen zurückgesetzt werden.

Als weiteren Schutz gegen Offlineangriffe gegen die SAM-Datenbank (Security Account Manager) legte Trey die Verwendung des Dienstprogramms Syskey auf allen Windows NT-, Windows 2000- und Windows 2003-Servern als obligatorisch fest. Dadurch wird das Risiko reduziert, dass ein Angreifer vertrauliche Daten von diesen Computern abrufen kann.

Trey konnte das Risiko des Datendiebstahls von tragbaren Computern des Unternehmens nicht wirksam verringern. Das EFS (Encrypting File System, verschlüsselndes Dateisystem) ist unter Windows 2000 und Windows XP verfügbar und bietet die Möglichkeit, vertrauliche Daten auf dem Computer gezielt zu verschlüsseln. Wenn ein Angreifer einen Computer stiehlt, kann er die verschlüsselten Daten nicht wiederherstellen. Auf diese Weise würde das EFS das Unternehmen wirksam schützen.

Bedrohungen durch Kontenkompromittierung

Für Trey besteht die größte Bedrohung in Bezug auf Konten darin, dass ein Angreifer Konten über nicht sichere Kennwörter gefährdet. Da die maximale Kennwortlänge unter Windows 98 nur 8 Zeichen beträgt, konnte Trey dieses Risiko nicht wirksam verringern. Durch die Verwendung der NTLMv2-Authentifizierung konnte das Risiko, dass Kennwort-Hashes vom Netzwerk wiederhergestellt werden, jedoch teilweise reduziert werden. Es besteht immer noch ein gewisses Risiko, dass ein Angreifer das lokale Kennwort für einen Computer zurücksetzt. Unter Windows 2000, Windows XP und Windows Server 2003 werden Funktionen bereitgestellt, die einen derartigen Angriff verhindern.

Zusammenfassung

In diesem Leitfaden wurde erläutert, wie Sicherheitsrisiken in Netzwerkumgebungen mit Computern unter Windows 98 und Windows NT 4.0 Workstation bzw. Server identifiziert und verringert werden können.

In Kapitel 1 wurde die Infrastruktur von Trey beschrieben und auf diese Weise eine recht typische Netzwerkumgebung dieser Größenordnung dargestellt.

Kapitel 2 befasste sich mit dem Verfahren und den Komponenten von SRMD und nannte Beispiele für deren Integration in die IT-Umgebung von Trey. Außerdem wurde festgestellt, wie anhand von SRMD Sicherheitslücken im Unternehmensnetzwerk überwacht und identifiziert werden können.

In Kapitel 3 wurden Entwürfe für eine sichere Netzwerkinfrastruktur vorgestellt, die die erforderlichen Kommunikationswege unterstützt und überflüssigen bzw. schädlichen Datenverkehr verhindert.

Kapitel 4 und 5 haben gezeigt, wie Sicherheitsrisiken bei Windows NT 4.0-Servern und -Arbeitsstationen bzw. Windows 98-Arbeitsstationen verringert werden können. Zu den wichtigsten Themen gehörten die Computerkonfiguration zur Unterstützung von Active Directory, das Anwenden von Sicherheitsrichtlinien sowie die Auswahl zuverlässiger und sicherer Authentifizierungs- und Kommunikationsprotokolle.

In Kapitel 6 wurden Verfahrensweisen zum Implementieren einer kontinuierlichen Patchverwaltung erläutert, und es wurden die Themen Überwachung, grundlegende Umsetzung, Patchinstallation und Prozessautomatisierung besprochen.

Kapitel 7 enthielt nicht nur eine Analyse der wachsenden Bedrohung durch Viren, Würmer und Trojanische Pferde, sondern erläuterte auch zuverlässige Methoden zur Bekämpfung dieser Arten von Bedrohung.

Unternehmen, die diese Arten von Aufgaben als regelmäßigen Bestandteil ihres Geschäftsalltags übernehmen, können die Vorteile im Hinblick auf höhere Systembetriebsbereitschaft, Benutzerzufriedenheit und längere Lebensdauer wichtiger älterer Computergeräte genießen.


**
**