[Tip] Einige Hinweise für den sicheren Betrieb von Windows NT und 2000

JensusUT

Senior Member
Einige Hinweise für den sicheren Betrieb von Windows NT und 2000

Eine interessante Seite, habe ich grade zufällig beim gooooglen gefunden.... AreaSec. Die schreiben dort zum allgemeinen Umgang mit Windows 2000/XP unter Anderem:

Oberste Regeln in Verbindung mit dem Internet und im Intranet:

Jeder Administrator sollte unbedingt wissen, was auf seinem Server für Dienste angeboten werden. Das heißt, daß zumindest der Administrator wissen muß, welche Dienste eingerichtet sind und damit, welche möglichen Sicherheitsrisiken bestehen können.

Es sollten nur die für den Betrieb des Servers unbedingt notwendigen Services angeboten werden. Jeder überflüssig angebotene Dienst kann wieder ein Sicherheitsrisiko in sich bergen. Die Dienste, die angeboten werden, sollten auch dokumentiert sein.

Als Regel, von der ausgegangen wird, sollte angesetzt werden:
Alles, was nicht explizit erlaubt ist, ist verboten!
Nur mit diesem Ansatz kann sichergestellt werden, daß bei der Einrichtung der Maschine nicht vergessen wird, einen Dienst zu verbieten. Der Administrator befindet sich bei diesem Ansatzpunkt immer auf der 'sicheren Seite'. Es ist besser, daß interne Benutzer feststellen, daß ein benötigter Dienst u.U. nicht funktioniert als eine Öffnung aller Dienste, die dann auch in Richtung Internet angeboten werden.

Halten Sie Ihr System auf dem aktuellen technischen Stand:

Natürlich sollte bei Windows NT 4 die aktuellen Service Packs installiert sein. Aber selbst wenn er installiert ist, gibt es noch keine Garantie, daß das System gegenüber Angriffen auf technischer Ebene sicher ist. Seit Erscheinen der Service Packs sind meist schon wieder diverse Hotfixes herausgegeben worden, die auf jeden Fall installiert werden sollten. Da diese Hotfixes für die US- Version von Windows NT meist sehr schnell nach Auftreten einer Lücke erscheinen und die Hotfixes für die Länderversionen (z.B. deutsch) zum Teil sehr lange brauchen, wird dringend empfohlen, im Internet nur Server unter der US-Version von NT zu betreiben. Besonders gilt dieses auch, wenn der IIS eingesetzt wird. Es vergeht kaum ein Monat, in dem nicht ein Hotfix für den IIS erscheint.

Für Windows NT 4 sind folgende Service Packages aktuell:

Windows NT 4.0 Service Pack 6a
Security Update (Post SP6a)

Für Windows 2000 sind folgende Service Packages aktuell:

Windows 2000 Service Pack 2
Windows 2000 Security Rollup Package 1 (Post SP2)

Eine weitergehende und empfohlene Suche nach aktuellen Hotfixes ist hier möglich: Microsoft/Downloads/Search


Bennennen Sie den Usernamen des Administrators um:

Unter NT sind die einzelnen User-Accounts vor Angriffen in der Weise geschützt, daß sie nach einer festgelegten Anzahl falsch eingegebener Passworte gesperrt werden. Dieses gilt nicht für den Account 'Adminstrator'. Er kann im Normalfall nicht gelöscht, außer Betrieb gesetzt oder wegen mehrfach falsch eingegebener Passworte gesperrt werden. Daher ist dieser Account, den es per Voreinstellung auf allen Systemen gibt, brute-force Angriffen auf diesem Bereich (z.B. Raten von Passworten mit Lexikon) ausgeliefert.
Besser ist es, diesen Account umzubenennen: Dann ist für potentielle Angreifer neben dem Passwort zusätzlich der für die Administration eingerichtete Account herauszufinden (z.B. 8Hkm§kH&Vr!). Zum Umbenennen dieses Accounts ist in der Menüauswahl des UserManagers die Option User>Rename auszuwählen und der neue Name einzugeben.
Bei Windows NT 4.0 kann mit Hilfe des Resource Kit der Administrations-Account gegenüber Angriffen aus dem Netzwerk geschützt werden, indem die Möglichkeit genutzt wird, auch diesen Account nach X falschen Passworten zu sperren - der Zugang zur Maschine ist in einem solchen Fall nur noch über die Console möglich.


Löschen Sie alle Accounts, die für den Betrieb der Maschine nicht zwingend notwendig sind:

Jeder Account, der auf einer Maschine eingerichtet ist, birgt wegen der Passwortproblematik ein potentielles Sicherheitsrisiko. Besonders gilt dieses für Maschinen, die für die Öffentlichkeit Dienste im Internet anbieten. Hier sollte neben dem für die Adminstration eingerichteten Account möglichst kein anderer eingerichtet sein - auch nicht der Gast-Account. Dieser wird bei der Default-Installation genauso wie der Administratior-Account eingerichtet.


Benutzen Sie das Dateisystem NTFS und nicht das FAT-System:

NTFS bietet neben der auch für FAT eingesetzten Möglichkeit, die freigegebenen Verzeichnisse zu schützen, zusätzlich die ACLs (Access Control Lists). Mit diesen können, ähnlich wie bei UNIX, die genauen Schreib- und Leserechte für Verzeichnisse und auch einzelne Dateien eingestellt werden. Damit läßt sich auch der Nur-Lese Zugriff auf einzelne Dateien verhindern. Und: Doppelt hält besser ;)
Wenn Sie bereits FAT einsetzen, können Sie bei x86-Systemen eine Boot-Partition einrichten, die dann unter NTFS läuft (CONVERT). Vorher sollte allerdings unbedingt ein Backup gemacht werden.
Wichtig ist aber auch, daß Sie sich nicht alleine darauf verlassen können, daß der Zugriffschutz unter NT gewährleistet ist: Es gibt einige Tools, mit denen von einer DOS-Bootdiskette auf NTFS-Partitionen zugegriffen werden kann.


Legen Sie verschiedene NTFS Partitionen an

Es sollten aus Sicherheitsgründen die NT Systemdateien nicht auf der gleichen Partition sein wie z.B. die Dateien, die vom Web Server abgerufen werden können. Gleiches gilt für die Dateien des FTP Servers oder CGI-Skripten.
Falls ein Einbruch erfolgreich gewesen sein sollte, ist es leicht, auf der gleichen Partition in andere Verzeichnisse zu gelangen. Schwieriger ist es, als Einbrecher auf eine andere Partition bzw. Festplatte zu kommen.


Benutzen Sie ein reines TCP/IP Netzwerk und schalten Sie NetBIOS aus

Die Nutzung von NetBIOS, auch über TCP/IP, ist gefährlich, speziell wenn Ihr Netzwerk auch an das Internet angeschlossen ist. Alle freigegebenen Services sind im Prinzip für jede Maschine erlangbar, die über das Netzwerk erreichbar ist (also u.U. auch das gesamte Internet). Wenn es nicht vermeidbar ist, beides zu nutzen und Sie einen Firewall gegenüber dem Internet einsetzen, sollten die Ports 137/udp, 138/udp und 139/tcp nicht hindurchgelassen werden. Zusätzlich sollten Sie durch den Einsatz eines Proxy Servers die interne TCP/IP-Struktur des Netzwerkes verstecken.
Wenn Sie NetBIOS nicht unbedingt brauchen, sollten Sie dieses auf jeden Fall komplett entfernen. Hierzu ist neben dem Löschen aller nicht benötigter Dienste auch gemeint, daß Sie den WINS Client sowie den TCP/IP NetBIOS Helper deaktivieren. Keine Sorge, wenn Sie über Systemsteuerung/Netzwerk vom NT die Meldung bekommen, daß kein Netzwerk installiert ist! Auf die Frage von NT, ob es jetzt installiert werden soll, einfach mit "nein" antworten und dann TCP/IP konfigurieren.


Vermeiden Sie möglichst, den FTP Serverdienst anzubieten

Gerade FTP Server bergen immer wieder Sicherheitsrisiken in sich. Außerdem gibt bei einer Standardinstallation die Begrüßungsmeldung Außenstehenden bereits Informationen über das System (z.B. welcher FTP Server, welches Betriebssystem). Damit können dann bekannte (Ihnen aber unbekannte) Sicherheitslücken für einen Einbruch genutzt werden. Zusätzlich ist bei vielen FTP Servern die Anzahl der Versuche, mit Usernamen und Passwort in das System zu kommen, nicht beschränkt. Daher kann über FTP z.T. beliebig lange nach einer passenden Kombination gesucht werden. Wurde eine gefunden, ist das System offen - mit allen Folgen.
Wenn wirklich ein FTP Server notwendig ist, dann sollte sich dieser auf einer speziellen Partition befinden und im Root-Verzeichnis des Servers keine Schreibrechte für Benutzer eingerichtet sein. Besser wäre, den FTP Server auf einer dedizierten Maschine zu betreiben, die sich nicht direkt im internen Netzwerk des Unternehmens befindet.


Benutzen Sie den Web Server nicht als File Server

Auch Web Server können Sicherheitsrisiken in sich bergen. Falls auf die Maschine, auf der der Web Server läuft, eingebrochen werden sollte, sind damit gleichzeitig Ihre unternehmensinsternen Daten kompromittiert. Die Maschine mit dem öffentlichen Web Server sollte in einem Netzwerk betrieben werden, das vom internen Netzwerk durch einen Firewall oder zumindest einem Router mit entsprechenden Paketfiltern abgegrenzt ist.


Schalten Sie das Mapping für .bat- und .cmd-Dateien aus und benutzen Sie diese nicht als CGI-Skripten

Dieses gilt insbesonders, wenn Sie den IIS benutzen: Hier sind bereits einige Sicherheitslücken offengelegt worden. Auch Schadcode hat diese Lücken schon ausgenutzt.


Entfernen Sie Programme, die gefährlich werden können (z.B. rasdial.exe, telnet.exe, ftp.exe)

Jeder Serverdienst, der angeboten wird, kann Sicherheitsrisiken in sich bergen. Auch wenn heute das System nach dem neuesten Stand der Technik sicher ist, kann bereits Minuten später eine neue Sicherheitslücke bekannt sein. Daher sollten wirklich nur die notwendigsten Serverdienste angeboten und die Diskussionen über Sicherheit verfolgt werden.


Installieren Sie auf einer Maschine im Internet niemals Beispielprogramme

Hier sind in letzter Zeit einige Sicherheitslücken bekanntgeworden, durch die von außen "eingestiegen" werden kann. Ein Beispiel hierfür ist der IIS: Wenn hier z.B. die Beispiele für asp's installiert sind, kann ein geschickter Besucher des Servers aus dem abgetrennten Bereich herauskommen und sämtliche Dateien, die sich auf der Maschine befinden, lesen.


Überwachen Sie die Maschine

Durch das Einschalten der Loggingmechanismen ist die Möglichkeit gegeben, die sich auf der Maschine ereignenden Vorkommnisse zu dokumentieren. Die Logs sollten regelmäßig kontrolliert werden. Da Einbrecher meist versuchen, ihre in den Logfiles hinterlassenen Spuren zu verwischen, sollten kurz aufeinander folgende, regelmäßige Backups dieser Dateien erfolgen. Die Lagerung der gesicherten Dateien sollte aus den obigen Gründen nicht auf der gleichen Maschine geschehen.


Verlassen Sie sich nicht darauf, daß alle Angriffe von außen kommen

Es sind im Internet sowie im Buchhandel sehr viele Tools bekannt, die Sicherheitslücken auch für Laien ausnutzbar machen. Der Anteil "interessierter Mitarbeiter", die im Grunde nicht wissen was sie tun, ist sehr hoch und keinesfalls zu unterschätzen. Auch im Intranet sollten die Maschinen so sicher wie möglich aufgesetzt sein. Starten Sie als Administrator selber derartige Tools und beheben Sie die gefundenen Sicherheitslücken - bevor ein Mitarbeiter von Ihnen oder gar ein Unbekannter von außen dieses tut! Wir helfen Ihnen hierbei gerne.


Absicherung von Windows 2000 Terminal Services
Microsoft stellt ein Dokument bereit, das die Absicherung von Windows 2000 Terminal Services beschreibt.
 
aaargh ich halte das für übertrieben.....
nur ein ausgeschalteter pc ist ein sicherer pc ;)
 
hehe.

Noch ein Tip ...

deaktivieren sie die automatische Login Funktion .. und aktivieren sie das Drücken von Strg Alt Entf zum Anmelden.
 
@JensusUT

Halte den Artikel für grundvernünftig und habe mich gleich mal bei

Windows 2000 Security Rollup Package 1 (Post SP2)

bedient, da ich nicht sicher war, ob ich alle hotfixes "erwischt" hatte. Herzlichen Dank.

mfg
bluecdr
 
Oben