Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Saturday, July 31, 2010

Windows-Dienste sicher(er) konfigurieren

Source  News

  • Windows 7: Projekt "Windows 7 sicher konfigurieren" offiziell gestartet, Dienstekonfiguration in Vorbereitung (English Beta, January 27th 2010 >>).
  • Twitter: Alle News jetzt noch direkter - auf Twitter.com (6. Dezember 2009 >>).
Einführung
Windows 2000 und XP gehören, ebenso wie Windows NT4 und Windows 2003 Server, zur Windows NT Familie. NT ist die Abkürzung für "New Technology" und wurde von Microsoft 1993 zusammen mit dem neuentwickelten 32bit-(Server)-Betriebssystem Windows NT 3.1 eingeführt.
Jedoch beging Microsoft hierbei einen folgenschweren Fehler: (nichtbenötigte) Netzwerk-Dienste waren standardmäßig aktiviert, von außen erreichbar und somit auch angreifbar. Somit wurde eine wichtige Grundregel der Netzwerksicherheit mißachtet: "Biete keine Dienste an, die Du nicht brauchst". Dienste (engl.: services) sind Programme, die beim Laden des Betriebssystems mitgestartet werden, ohne dass ein Benutzer sich anmelden muss. Sie stellen Funktionen bereit, die von anderen Programmen genutzt werden können.
Ein Einzelplatzrechner benötigt beispielsweise keine Netzwerk-Dienste. Daher ist es wichtig, Rechnersysteme sicherer zu konfigurieren, um Angreifern nur geringe Möglichkeiten zu geben, Schäden an der IT-Infrastruktur im Unternehmen oder am Privat-PC anzurichten.
Achtung: Für Computer in Netzwerken (LANs) ist dieses Script NICHT geeignet!
Um diese Sicherheit auch in der Praxis anwenden zu können, wurden unter kssysteme.de zwei Anleitungen veröffentlicht, die eine sicherere Konfiguration der Dienste (Services) unter Windows 2000 und Windows XP ermöglichen. Es wurde unter anderem die Umkonfiguration der NT-Dienste hinsichtlich Starttyp beschrieben, um nicht benötigte Dienste über das Netzwerkinterface nach außen erst gar nicht anzubieten und somit das Sicherheitsrisiko zu minimieren.
Da in den o.g. Artikeln fast alle Dienste aufgelistet sind, ist es bei mehreren NT-Systemen sehr mühsam, die immer wiederkehrenden Abläufe manuell durchzuführen. Oft fügen sich Flüchtigkeitsfehler bei der Umsetzung hinzu. Um dies komfortabler zu gestalten, und Konfigurationsfehler weitestgehend zu vermeiden, wird im nachfolgenden Abschnitt ein Script vorgestellt, welches
  • den Starttyp (automatisch, manuell, deaktiviert) jedes Dienstes anpaßt,
  • kritische Dienste nach Möglichkeit sofort beendet,
  • DCOM deaktiviert und Standardprotokollbindungen entfernt,
  • SMB ("Server Message Block") abschaltet und somit Port 445 schliesst (nur zutreffend, wenn Option 2 entsprechend dem Schalter "/std" oder Option 3 entsprechend Schalter "/all" verwendet wird),
  • "Distributed Transaction Coordinator" und "Nachrichtendienst" beendet und auf "deaktiviert" setzt,
  • DHCP bei Nichtverwendung deaktiviert,
  • NetBios an allen Netzwerk-Interfaces deaktiviert (ausser bei Option 1 entsprechend dem Schalter "/lan").
Wichtiger Hinweis: Es werden ausschliesslich windowseigene Dienste konfiguriert, sodaß diese, in Abhängigkeit der gewählten Option 1, 2 oder 3 entsprechend den Schaltern "/lan", "/std" oder "/all", von außerhalb nicht mehr erreichbar sind. Jedoch entbindet die Ausführung des Scripts einen NICHT von der zeitnahen Einspielung sicherheitsrelevanter Updates und Patches.
Was die Aufgaben eines Dienstes sind, wird unter http://www.different-thinking.de/windows_2000_dienste.php erklärt.
Desweiteren wird unter http://www.microsoft.com/germany/technet/datenbank/articles/900048.mspx ("Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP") ein PDF-Dokument zum Download angeboten, in dessen Kapitel 7 genauere Informationen zu den jeweiligen Diensten nachzulesen sind.
Im nachfolgenden Abschnitt werden Parameter/Voreinstellungen näher erläutert, welche durch das Script angeboten werden.
svc2kxp.cmd - Version 2.2
Ansicht der Programmoberfläche der Datei svc2kxp.cmd (v2.2) Seit Januar 2004 stand die bisherige Version 2.0 zum Download bereit, welche gegenüber der Vorgängerversion vor allem in den Punkten Übersichtlichkeit, Anpassung, Sicherheit sowie Umfang deutlich verbessert wurde.
Nach Version v2.1 liegt nun die aktuelle Fassung v2.2 vor und soll diese Maßstäbe weiter fortsetzen. Diese ist auf die Änderungen durch Service Pack 2 für Windows XP abgestimmt. So deckt die aktuelle Fassung des Scripts ein noch breiteres Einsatzspektrum ab. Nachfolgende Tabelle soll einen Überblick über die Möglichkeiten der neuen Version geben:
(1) LAN oder "/lan" Mit dieser Einstellung wird versucht, alle offenen Ports zu schließen. Einige Dienste wie "Automatische Updates" oder "Taskplaner" sowie SMB-Funktionen bleiben unberührt. Verwenden Sie diese Einstellung, wenn Sie auf Netzwerkfreigaben oder -drucker zugreifen müssen. Komfortfunktionen der Netzwerkumgebung (z.B. browsing) gehen hierbei jedoch verloren. Es werden aber weiterhin grundlegende Funktionalitäten (u.a. Netzlaufwerke im Format \\$IP\SHARENAME) unterstützt.
(2) Standard oder "/std" Im Gegensatz zu (1) LAN wird zusätzlich SMB deaktiviert. Alle Ports sind nun geschlossen. Einige Dienste wie "Automatische Updates" oder "Taskplaner" bleiben aber unberührt. Daher ist diese Option geeignet, falls keine (Standard-)Dienste nach aussen angeboten werden sollen, man auf "Automatische Updates" sowie den "Taskplaner" nicht verzichten möchte.
(3) ALL oder "/all" Setzt die Vorschläge von www.ntsvcfg.de vollständig um, dh. alle Dienste + SMB werden beendet bzw. deaktiviert. (dieser Punkt empfiehlt sich zum "hardening" für Einzelplatzrechner, welche sich NICHT in einem Netzwerk befinden.).
(4) Restore oder "/restore" Nimmt die letzten Änderungen zurück. Es erscheint möglicherweise eine Fehlermeldung, das es während des Rücksicherns Probleme beim Schreiben der Registry gegeben hat. Dies lässt sich aufgrund gestarteter Dienste nicht vermeiden. Ignorieren Sie bitte diese Fehlermeldung mittels "OK".
"/reLAN" Setzt für LAN-Betrieb benötigte Dienste auf "automatisch" und startet diese anschließend neu (Re-Aktivierung). Diese Option ist nur über Kommandozeile aufrufbar.
"/fix" Behebt ein Problem mit dem Taskplaner ("falscher Parameter"), welches nach Ausführung früherer Script-Versionen auftrat. Diese Option ist nur über Kommandozeile aufrufbar.
/? Zeigt eine Hilfsübersicht über die Aufrufparameter an.

Alle vorgenommenen Einstellungen werden erst nach einem Neustart wirksam!

No comments: