Basishärten von Windows Systemen
Das Härten von Windows Systemen ist, aufgrund der unzähligen Schwachstellen, die in der Vergangenheit und Gegenwart aufgetreten sind, kein leichtes Unterfangen. Nachfolgend ein Überblick. Einige Links verweisen für interessierte Windows-Administrationen auf gute Informationsquellen zum Thema.
Zur Einstimmung soll nachstehend kurz gelistet werden welche Microsoft-Dienste auf Windows Clients (XP, 2003 und Vista) generell abgestellt werden:
| Service name | display name | Enterprise Client desktop/laptop | Standalone desktop/laptop |
|---|---|---|---|
| Alerter | Alterter | Disabled | Disabled |
| ClipSvr | ClipBook | Disabled | Disabled |
| Browser | Computer Browser | Not defined | Disabled |
| Fax | Fax | Not defined | Disabled |
| MSFtpsvr | FTP Publishing | Disabled | Disabled |
| IISADMIN | IIS ADMIN | Disabled | Disabled |
| cisvc | Indexing Service | Not defined | Disabled |
| Messenger | Messenger | Disabled | Disabled |
| mnmsrvc | Net Meeting Remote Desktop Sharing | Disabled | Disabled |
| RDSessMgr | Remote Desktop Help Session Manager | Not defined | Disabled |
| Remote Access | Routing and Remote Access | Disabled | Disabled |
| SNMP | SNMP Service | Disabled | Disabled |
| SNMPTRAP | SNMP Trap Service | Disabled | Disabled |
| SSDPSrv | SSDP Discovery Service | Disabled | Disabled |
| Schedule | Task Scheduler | Not defined | Disabled |
| TlntSvr | Telnet | Disabled | Disabled |
| TermService | Terminal Service | Not defined | Disabled |
| Upnphost | Universal Plug and Play Device Host | Not defined | Disabled |
Die Liste zeigt bereits deutlich eines der grössten Probleme, welche zu einem Grossteil für die permanent aufkommenden Schwachstellen bei Windows Systemen verantwortlich sind: die tiefe Integration der Microsoft Applikationen und Services mit dem Betriebssystem.
Nachstehend soll auf das aktuellen Client-Betriebssystem der Windows-Reihe kurz eingegangen werden. Die Server-Versionen von Windows würden den Rahmen dieses Artikels sprengen.
Allgemeines – Patch Management
Einer der wichtigsten Punkte bei der Sicherung von Windows-Systemen ist das Patch-Management. Nachdem in den letzten Monaten etwas Ruhe eingekehrt ist, werden nun wieder fast auf täglicher Basis neue Sicherheits-Updates zur Verfügung gestellt. Während sich die Updates für nicht kritische Einzelgeräte relativ gut automatisieren lassen, muss man für die Server und Computerzimmer etwas mehr Aufwand betreiben.
Updates und Patches automatisieren
Für das Patch-Management in Schulen bieten sich die "Software Update Services" von Microsoft an. Das Tool ist kostenlos bei Microsoft erhältlich und kann als zentrales Update- und Patch Management System betrachtet werden. Der Vorteil hier ist vor allem in der zentralen Konfigurationsmöglichkeit zu sehen und der eingesparten Bandbreite – die Patches müssen nicht mehr für jedes System vom Internet heruntergeladen werden sondern nur einmal. Die Verteilung auf die Rechner im Computerzimmer erfolgt dann über das interne Netzwerk. Es lässt sich ausserdem festlegen, welche Sprachen und Windows-Versionen man überhaupt in Betracht ziehen will.
Eines ist jedoch eminent wichtig: Erst Testen, dann installieren. Es kommt immer wieder vor, dass sich Fehler in Sicherheits-Updates oder Service-Packs einschleichen, welche dann mehr Schaden verursachen als der Virus vor dem Sie hätten schützen sollen. Es empfiehlt sich hier, auf einem nicht-kritischen System zu testen, und dann erst in die Breite auszurollen.
Feststellen des Status Quo
Microsoft bietet für die Analyse des Sicherheits- respektive Patch-Status von Windows Systemen einige nützliche Tools an. Einerseits ist dies der MSBA (Microsoft Baseline Security Analyzer) und andererseits das "Office Update Inventory Tool".
Der MSBA kann ein einzelnes System oder eine Reihe von Systemen in einer Domäne auf übliche Fehlkonfigurationen und fehlende Sicherheits-Patches hin untersuchen. Das Tool bietet eine graphische Oberfläche, ist aber auch in einer Kommandozeilen-Version verfügbar (für Hardcore-Admins).
Rein für das Office Umfeld bietet sich das "Office Update Inventory Tool" an, welches einzelne Systeme oder ganze Netzwerke auf den Update-Status der installierten Office-Pakete hin untersucht. Das Tool zeigt an, was installiert und was an neuen Updates verfügbar ist.
