Auch Windows kann sicher sein! [ Teil 4: Sicherheitskonfiguration ]

Hier findest Du Teil 1 des Guides [Installation]
Hier findest Du Teil 2 des Guides [Hardening]
Hier findest Du Teil 3 des Guides [Windows Komponenten]

In diesem Kapitel soll es nun um die Sicherheitskonfiguration gehen. Diese findest du bereits wie in Teil 3 dieses Guides beschrieben unter Start > Verwaltung > Lokale Sicherheitsrichtlinie.

Bitte beachte jedoch, dass es sich bei den hier gemachten Einstellungen lediglich um Empfehlungen handelt!

Wenn wir das Programm Lokale Sicherheitsrichtlinie gestartet haben, navigieren wir zu dem Punkt Lokale Richtlinien / Überwachungsrichtlinie. Dort werden wir nun folgende Änderungen anwenden:

• Anmeldeereignisse überwachen: Erfolgreich und fehlgeschl.
• Kontenverwaltung überwachen: Erfolgreich und fehlgeschl.
• Anmeldeversuche überwachen: Erfolgreich und fehlgeschl.
• Verzeichnisdienstzugriff überwachen: Erfolgreich und fehlgeschl.
• Richtlinienänderungen überwachen: Erfolgreich
• Rechteverwendung überwachen: Keine Überwachung
• Prozessverfolgung überwachen: Keine Überwachung
• Systemereignisse überwachen: Erfolgreich

Sobald Du diese Einstellungen übernommen hast geht es auch schon weiter. Einen weiteren wichtigen Teil des Hardenings macht nämlich das Zuweisen von Benutzerrechten aus (Lokale Richtlinien/Zuweisen von Benutzerrechten). Bitte rufe diese jetzt auf!

• Zugriff vom Netzwerk auf diesen Computer verweigern: SUPPORT_388945a0, ANONYMOUS-ANMELDUNG
• Anmeldung als Batchauftrag verweigern: GAST
• Anmeldung über Terminaldienste verweigern: Administrator , Gast, SUPPORT_388945a0
• Wiederherstellung von Dateien und Verzeichnissen: Administratoren

Hätten wir das also auch geschafft :-)

Auch Windows kann sicher sein! [ Teil 3: Windows Komponenten ]

Hier findest Du Teil 1 des Guides [Installation]
Hier findest Du Teil 2 des Guides [Hardening]

Wie bereits zu Anfang dieses Kapitels beschrieben, ist es unabdingbar für eine sichere IT-Infrastruktur nur das anzubieten, was wirklich benötigt wird. Dies wirkt sich nicht nur positiv auf die Performance des Systems aus, sondern minimiert auch die Einbruchchancen. Hierbei kann z.B. auf Systemkomponenten wie DHCP, WINS und RIS getrost verzichtet werden.

Es sollten folgende Windows Komponenten entfernt werden, da diese nicht benötigt werden:

• Aktualisierung von Stammzertifikaten
• MSN Explorer
• Netzwerkdienste
• Outlook Express
• Windows Messenger

Einschränkungen der administrativen Zugriffe
Nach der erfolgreichen Installation von Windows Server 2003 sollte der Administrator-Account sowie der Gast-Account umbenannt werden. Ebenso darf nicht vergessen werden, die entsprechende Benutzerbeschreibung so zu ändern, dass nichts darauf hinweist, wer oder was sich hinter den geänderten Benutzernamen befindet.

Als weiteren Schritt sollte man einen weiteren administrativen Account erstellen und diesem ein sehr langes, kryptisches Passwort zuordnen, an denen sich Hacker dann mit Brute-Force Attacken austoben können.

Des Weiteren gilt für die tägliche Arbeit am Windows-Server, dass die Arbeit mit einem administrativen Account auf ein Minimum beschränkt werden sollte. Dies sollte nur geschehen, wenn es absolut notwendig ist. Weiterhin sollte das Surfen im Internet über den Windows Server möglichst vermieden werden, da die Rechte des aktuellen Benutzers sich auf einen evtl. eingefangenen Schädling vererben.

Erstellung und Einsatz von Sicherheitsvorlagen

Ein bewährtes Prinzip zur Sicherung einer Windows 2000 / 2003 Maschine nach einem festen Schema sind so genannte Sicherheitsvorlagen. Sicherheitsvorlagen sind strukturierte Textdateien (.INF Dateien) die als Basis für eine Sicherheitskonfiguration mit dem Security Configuration Editor (SCE) verwendet werden können. In den Sicherheitsvorlagen werden Einstellungen wie Kontenrichtlinien, Überwachungsrichtlinien, Registrierungseinstellungen, Konfiguration für Systemdienste uvm. definiert.

Nach erfolgter Definition kann man das aktuelle System anhand der Sicherheitsvorlage konfigurieren. Mit Hilfe der Sicherheitsvorlage ist sichergestellt, dass man immer ein und dieselbe Sicherheitskonfiguration auf Ihre Systeme anwendet.

Dies kann man konfigurieren, indem man Start > Verwaltung > Lokale Sicherheitsrichtlinie startet.

In dieser Konsole lassen sich nun sehr viele Sicherheitsaspekte einstellen und anschließend exportieren. Hier lassen sich z.B. auch einige empfohlene Einstellungen bezüglich der lokalen Accounts einstellen. Diese dienen primär dazu Brute-Force Attacken zu unterbinden.

Die folgenden Einstellungen bezüglich der Passwortsicherheit lassen sich einfach mit Hilfe des Tools „Lokale Sicherheitsrichtlinie“ ändern. Die folgenden Empfehlungen werden in Kontorichtlinien / Kennwortrichtlinien und Kontorichtlinien / Kontosperrungsrichtlinien gemacht.

• Kontosperrdauer: 30 Minuten
• Kontosperrungsschwelle: 5 Falsche Loginversuche
• Zurücksetzung des Konto-sperrungszählers: 30 Minuten
• Erzwingen einer Passwortchronik: 24 Passwörter
• Maximales Kennwortalter: 60 Tage
• Minimales Kennwortalter: 2 Tage
• Minimale Kennwortlänge: 8 Zeichen
• Kennwortkomplexität: Username oder Teile davon verboten
• Zeichen, die verw. werden müssen: A-Z, a-z, 0-9
• Passwortverschlüsselung: Keine umkehrbare Verschlüsselung verwenden

Hier geht es weiter mit Teil 4 des Guides

Auch Windows kann sicher sein! [ Teil 2: Hardening ]

Hier findest Du Teil 1 des Guides

Wenn Du alle Rätschläge befolgt hast, die ich hier gegeben habe, befolgt hast kann das eigentliche Hardening nun beginnen. Ich hoffe, Du lässt dich von dem Umfang des Guides nicht abschrecken. Es lohnt sich! Das Ergebnis ist ein sicherer Windows Server.

Beginnen wir nun mit den Basics.

Physikalische Sicherheit
Für einen sicheren ISA Server Betrieb muss man sich auch um die physikalische Sicherheit der Systeme kümmern. Unter den Begriff "Physikalische Sicherheit" fallen:

• Zugangsschutz zum Serverraum / IT-Infrastruktur (verstärkte Türen, Sicherheitsglas, Bewegungsmelder uvm.)

• Zutrittsschutz zum Serverraum / EDV-Raum (z. B. Zahlenschloss).

• Diebstahlschutz für die Server (zum Beispiel Montage in Racks mit abschließbaren Türen, spezieller Diebstahlschutz für Server)

Es gilt der Grundsatz: Kein System ist vor Angreifern sicher, wenn für den Angreifer ein physikalischer Zugriff auf die Systeme besteht.

Systemupdates für ISA und Windows

Der erste Schritt einer erfolgreichen Verteidigungslinie gegen potentielle Angriffe auf unsere Infrastruktur ist das zeitnahe einspielen von Updates sowohl für WindowS Server 2003 als auch für die darauf laufende Software wie z.B. den ISA Server. Diese Updates sollten zuerst auf einem Testserver überprüft werden, bevor sie auf dem Produktivsystem eingespielt werden. Desweiteren sollten die Updates dokumentiert werden um evtl. auftretende Probleme leichter eingrenzen zu können.

Deaktivierung nicht benötigter Dienste
Ein Grundsatz im Betrieb von Servern ist: Biete nichts an, dass du nicht wirklich brauchst. Dies wurde leider von Microsoft nicht konsequent umgesetzt und es werden viele Dienste angeboten, die nicht gebraucht werden und nur die Angriffsfläche erhöhen. Es folgt nun eine Liste von Diensten, die auf keinen Fall deaktiviert werden dürfen, da sie für das funktionieren des Systems unerlässlich sind.

• COM+ Event Manager
• Cryptographic Services
• Event Log
• IPSec Services
• Logical Disk Manager
• Logical Disk Manager Administrative Service
• Microsoft Firewall
• Micros. ISA Server Control
• Micros. ISA Server Job Scheduler
• Micros. ISA Server Storage
• MSSQL$MSFW
• Network Connections
• NTLM Security Support Provider
• Plug and Play
• Protected Storage
• Remote Access Connection Manager
• Remote Procedure Call (RPC)
• Secondary Logon
• Security Accounts Manager
• Server
• Smartcard
• SQLAgent$MSFW
• System Event Notification
• Telephony
• Virtual Disk Service (VDS)
• Windows Management Instrumentation (WMI)
• WMI Performance Adapter
  

Es gilt das Prinzip: deaktivieren, um die Angriffsfläche und unnötige Risiken zu minimieren. Möglicherweise sinkt dadurch die Flexibilität von Windows Server 2003 und der Administrationsaufwand steigt. Aus Sicherheitsgründen sollten deaktivierte Funktionen trotzdem nur mit entsprechender Begründung bzw. Dokumentation wieder aktiviert werden. Es sollte genau überlegt werden, welche Funktionen für den konkreten Einsatz eines Windows Servers 2003 benötigt werden, so dass nur diese aktiviert werden.


Hier gehts weiter mit Teil 3 des Guides

Auch Windows kann sicher sein! [ Teil 1: Installation ]

Ich als eingefleischter Linux-Fan bin zwar, was dies betrifft etwas voreingenommen allerdings muss ich zugeben, dass man auch ein Windows-Server System hinreichend absichern kann. Auf meiner Arbeit gab es nämlich die Aufgabe eine neue Firewall-Lösung in das Netzwerk zu integrieren. Hier fiel die Entscheidung auf Microsoft ISA 2006. Und ich muss gestehen: Ich bin begeistert! Nahezu unendliche Möglichkeiten und trotzdem eine sehr einfache Bedienung. Aber darum soll es hier nicht gehen. Vielmehr geht es um die Grundlage: Microsoft Windows Server 2003 R2. In Zeiten von Windows 2008 wird der ein oder andere einwenden, wieso noch so ein altes Betriebssystem eingesetzt wird. Dies liegt schlicht und ergreifend daran, dass sich Microsoft ISA 2006 zwar unter Windows 2008 installieren lässt, aber die Dienste starten nicht und die Software ist somit nicht nutzbar.

Ich werde hier nun hier einen Hardening Guide für Windows Server 2003 R2 veröffentlichen.

Bitte beachte: Sicherheit ist kein Zustand sondern ein ständiger Prozess! Ein System, das heute noch als relativ sicher galt kann schon morgen durch die Veröffentlichung einer Sicherheitslücke unsicher sein. Somit bedarf es einer ständigen Überwachung der IT-Infrastruktur bezüglich möglicher Sicherheitsrisiken. Bei den genannten Sicherheitsrisiken ist meist der Mensch das schwächste Glied in der Kette. Denn z.B. sein Geburtsdatum als Passwort zu benutzen ist für jemanden der sich Zutritt verschaffen will so gut wie keine Hürde.



Sichere Installation des Windows 2003 Servers

Auch bei der Installation des Servers gibt es schon einige wichtige Dinge in Bezug auf Sicherheit zu beachten. Eine saubere Installation ist nämlich eine notwendige Basis für alle weiteren Schritte. Diese werden in diesem Kapitel behandelt.

Kein Standart-Installationsverzechnis verwenden
Anstelle von C:\Windows sollte z.B.: C:\Win2k3 verwendet werden. Somit laufen viele Viren, die ohne Systemvariablen arbeiten schon ins Leere ( Oldie but goodie :-) ).

NTFS-Dateisystem für alle Partitionen einsetzen
Es sollte das NTFS-Dateisystem verwendet werden, um grundlegende Sicherheitsmechanismen auf Dateiebene zu implizieren. Des Weiteren werden erst unter NTFS Dateien, die größer als 4 Gigabyte sind unterstützt.

Keine Installation von Client-Software
Es sollte auf dem Server keine Client-Software wie z.B. Microsoft Office installiert werden. Hierdurch erhöht sich nur das Risiko einer Sicherheitslücke in der verwendeten Software. Auch das Surfen im Internet vom Server aus sollte wenn möglich vermieden werden

Installation des aktuellsten Service Packs
Ein Service Pack ist die Zusammenfassung aller bis dahin erschienenen Patches. Die Installation eines Service Packs noch bevor der Server mit dem Internet verbunden wird ist unumgänglich. Der Server sollte ohnehin erst mit dem Internet verbunden werden, wenn alle Sicherheitsratschläge aus diesem Sicherheitskonzept angewendet wurden.

Konfiguration der automatischen Updates
Dieser Punkt sollte für jeden sicherheitsbewussten Administrator selbstverständlich sein. Allerdings empfiehlt es sich, größere Updates erst auf einem Testserver zu installieren um evtl. Fehlfunktionen oder Wechselwirkungen mit anderen Systemkomponenten feststellen zu können ohne das Produktivsystem zu gefährden. Weiterhin sollten Updates dokumentiert werden, um eine spätere Fehlersuche zu beschleunigen.

Konfigurieren der Domänenweiten Zeitsynchronisation
Das Missachten dieser Option stellt zwar kein unmittelbares Risiko dar, allerdings würden Logs möglicherweise falsche Informationen liefern. Dies gilt nur, wenn sich der Server in einer Domäne oder Netzwerk befindet.

Einschalten des Remote-Desktop Zugriffs
Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Reiter „Remote“ -> Häkchen bei „Remotedesktop auf diesem Computer aktivieren“
Danach bei „Remotedesktopverbindung“ alle nicht benötigten Benutzer löschen.

Installation und Konfiguration eines Virenscanners
Hierbei sollte darauf geachtet werden, dass die Virendefinitionen mindestens 1-mal täglich automatisch aktualisiert werden.

Setzen eines starken Passwortes für den lokalen Administrator
Es gelten dieselben Sicherheitsbestimmungen für Passwörter, wie sie bereits hier erläutert wurden.


Hier gehts weiter mit Teil 2 des Guides

Ratgeber für Passwörter

Ein Passwort kann wie ein Schlüssel zu einem Haus angesehen werden. Mit dem Unterschied, dass ein Schlüssel nur mit verhältnismäßig großem Aufwand kopiert werden kann. Ganz anders bei Passwörtern. Hier reicht ein einfacher Blick auf die Tastatur bei der Eingabe eines Passwortes. Deswegen führt der leichteste Weg in ein System nicht etwa über Sicherheitslücken in einer Anwendung sondern so gut wie immer über ein bekannt gewordenes Passwort.

Um Euch hierbei ein wenig zu helfen, habe ich nun einige Ratschläge für Passwörter zusammengetragen:

Nutze alle verfügbaren Zeichen!
Nutze den kompletten Zeichenraum aus, der für das Passwort zur Verfügung steht. Darf das Passwort Zahlen und Buchstaben enthalten, kombiniere diese. Verwende explizit Groß- und Kleinschreibung, wenn dies möglich ist. Vermeide jedoch bei Kombinationen jegliche nachvollziehbare Systematik.

Mach es kompliziert!
Passwörter sollten für den Benutzer leicht zu merken, aber für den Fremden schwer zu erraten sein. Nimm in sensiblen Umgebungen lieber ein komplizierteres Passwort in Kauf. Nehme beispielsweise die Anfangsbuchstaben einer bestimmten Wortfolge als Passwort. Aus "Dies ist eine Wortfolge für ein Passwort" beispielsweise "DieWfeP".

Nutze die volle Länge, mindestens jedoch 8 Zeichen!
Je länger ein Passwort ist, desto schwieriger wird es, es einfach durch Ausprobieren von Zeichenfolgen herauszufinden. Darf ein Passwort beispielsweise acht Stellen haben, solltest Du auch diese acht Stellen dazu nutzen. Generell solltest Du ein Passwort mindestens acht Zeichen groß dimensionieren. Je länger, desto besser.

Keine Systematik bei Passwörtern!
Verzichte auf Systematik bei Passwörtern. Personennamen, Kosenamen, Telefonnummern, 0815, abfolgende Zahlen- und Buchstabenreihen sind unsicher. Benutze bei mehreren Passwörtern, die Du verwaltest, ebenfalls keine Systematik (z.B. alle benutzten Passwörter sind Autoteilenamen etc.).

Niemals Passwörter aufschreiben!
Passwörter gehören weder an einen Zettel, der an den Monitor geklebt wird, noch auf die Pinwand oder eine andere Stelle, die auch anderen ersichtlich sein könnte. Passwörter gehören in erster Linie in den Kopf derjenigen Personen, die sie kennen müssen und als Kopie mindestens in einen Safe.

Lies Passwörter nicht laut vor!
Gerade bei der Eingabe von Passwörtern passiert es schnell, dass man während der routinierten Zeicheneingabe das Passwort vor sich hinmurmelt. Das kann fatal sein, wenn Dir jemand, bemerkt oder unbemerkt, zuhört.

Niemals Passwörter auf dem Bildschirm stehen lassen!
Lasse Passwörter nie unbeaufsichtigt auf dem Bildschirm stehen, auch wenn sie mit Sternchen "verschlüsselt" sind. Viele Programme speichern so verschlüsselte Passworte während der Anzeige auf dem Bildschirm im Hintergrund in Klartext, außerdem gibt es Werkzeuge, die Inhalte von Texteingabefeldern anzeigen lassen können, auch von solchen, die eigentlich Passwörter verschlüsselt anzeigen.

Speicher Passwörter nicht ab!
Manche Programme bieten an, eingegebene Passwörter für die Zukunft lokal abzuspeichern. Mach dies nicht, wenn Du nicht genau weißt, dass dieses Passwort so verschlüsselt abgespeichert wird, dass es nicht mehr zurückübersetzt werden kann.

Ändere Passwörter!
Ändere Passwörter regelmäßig in unregelmäßigen Abständen. Gehe bei der Auswahl eines neuen Passwortes nicht systematisch vor (z.B. Passwörter mit Städtenamen). Ändere ein Passwort auch dann, wenn Du weißt, dass Unbefugte das Passwort kennen, auch beim leisesten Verdacht. Informiere bei Änderungen von Passwörtern nur die Personen, die die jeweiligen Passwörter kennen müssen oder verantwortlich für das betreffende System sind.

Keine Passwortlisten!
Verwende schon einmal verwendete Passwörter nie wieder und veröffentliche auch alte Passwörter nicht.



Ich hoffe mit dieser Aufstellung habe ich Euch bei dem Umgang mit Passwörtern etwas geholfen!

Neue Logindaten unter Gameranger nutzen

Viele von Euch werden GameRanger warscheinlich noch nicht kennen. Hierbei handelt es sich ähnlich wie bei Hamachi um eine Plattform, über die man Spiele über das Internet spielen kann, als wäre es ein Netzwerkspiel.

Doch leider gibt es bei GameRanger einen kleinen Haken: Sollte man sich mit einem anderen Account einloggen wollen, wie der, der bei der Installation genutzt wurde hat man ein kleines Problem. Dieser lässt sich auf normalem Wege nämlich nicht mehr ändern.

[Schritt 1] Herausfinden wohin GameRanger installiert wurde

Dies war in meinem Fall
%Homedrive%/%Appdata%/Gameranger

Für was %Homedrive% und %Appdata% steht könnt Ihr folgendermaßen herausfinden:

Start > Ausführen > "cmd" eingeben
Danach öffnet sie die Eingabeaufforderung von Windows. Dort gebt Ihr als Befehl set ein. Windows listet euch nun bereitwillig alle hinterlegten Variablen auf. Da der Ordner "Anwendungsdaten" aber normalerweiße nicht sichtbar ist, müsst Ihr dies folgendermaßen ändern:

Arbeitsplatz öffnen > Extras > Ordneroptionen
Dort wechselt Ihr nun oben auf den Reiter Ansicht. Hier aktiviert Ihr nun unter dem Punkt Versteckte Dateien und Ordner die Option Alle Dateien und Ordner anzeigen.

Nun müsstet Ihr unter C:\Dokumente und Einstellungen\DeinUsername einen Ordner namens Anwendungsdaten sehen. In diesem befindet sich ein Ordner GameRanger. Dieser wiederrum beinhaltet einen Ordner namens GameRanger Prefs.

Wenn Ihr diesen Ordner nun umbenennt oder löscht, so wird euch GameRanger beim nächsten Start wieder danach fragen, welche Login-Daten ihr benutzen wollt und das Problem ist gelöst :)