Vista Security – Zumutung oder Chance?
Wie schon beim Erscheinen von Windows 2000 oder Windows XP stellt sich die Frage, welchen Nutzen Windows Vista dem Unternehmen bringt. Geht es nach Microsoft, ist Vista das sicherste Betriebssystem, das jemals die Firma verlassen hat.
Viele der neuen Funktionen sind allerdings noch nicht ganz ausgereift und teilweise auch nicht für den Unternehmenseinsatz geeignet.
Beispielsweise ist die „User Account Control“ (UAC), die den Benutzer bei jeder nicht erlaubten Aktion mit einem Dialog auffordert sich als Administrator anzumelden, kaum für ein größeres Unternehmen geeignet und sollte daher lieber abgeschaltet werden. Auch die neue Treiberintegration, die mit verschiedenen Sicherheitsmodi vor unberechtigten Zugriffen auf Systemprozesse schützen soll, bringt derzeit den IT-Abteilungen eher Sicherheitsprobleme als Nutzen. Für Furore sorgte kürzlich zudem ein Bericht der Symantec , der die Implementierung des Vista Kernelschutzes „Patchguard“ schwer in Frage stellte. Diese Situation vermag so mancher IT-Verantwortliche als Zumutung empfinden.
Trotz dieser Hürden, bieten die Sicherheitsfeatures von Vista gegenüber Windows XP aber auch einen erheblichen Mehrwert. Bisher mussten viele Sicherheitsprodukte wie z.B. Festplattenverschlüsselung, Personal Firewall, Antispyware zusätzlich gekauft und ergänzt werden, da diese Funktionalität gar nicht oder nur rudimentär in WindowsXP vorhanden war.
Natürlich muss man die Grenzen dieser neuen Sicherheitsmodule kennen und respektieren. Der vorgestellte Artikel beleuchtet einige ausgewählte Sicherheitsmodule, die bei geeigneter Konfiguration einen Mehrwert für die Unternehmenssicherheit bieten können.
Microsofts sicherer Entwicklungs-Prozess Michael Howard, Senior Security Manager bei Microsoft beschreibt in seinem Blog den Security Development Lifecycle, der schon für SQL Server und Windows XP SP2 eingesetzt worden ist.
Durch den neuen Prozess und die Schulung seiner Entwickler sollte Vista erheblich weniger Fehler enthalten als noch Windows XP. Dabei ist Vista das erste Betriebssystem, das komplett durch diesen Sicherheitsprozess von Anfang bis Ende durchlaufen hat. Erstmals durften auch viele externe unabhängige Sicherheitsexperten bereits vorab an der Sicherheit von Vista mitarbeiten, die sogar Einblick in interne Dokumente erhalten haben.
Für die Unternehmen ist es u.a. ein entscheidendes Kriterium, wie resistent ein neues Betriebssystem gegenüber Viren ist. Dabei spielt neben der Entwicklungsqualität natürlich auch der Verbreitungsgrad eines Systems, der bei Vista noch eher gering ist, eine entscheidende Rolle. Bisher dürften sich noch eher wenige Malware-Programmierer an Vista herangewagt haben.
Windows Defender
Windows Defender ist ein neues in Vista eingebautes Modul, das auch schon für Windows XP verfügbar war. Es soll helfen den Computer gegen Spyware, Ad-Ware und andere unliebsame Software zu schützen. Dabei führt Vista eine Echtzeit-Überwachung des Systems durch und überprüft typische Punkte im Dateisystem und der Registry, wie z.B. den Schlüssel „/AutoRun“. Dieser Schutz verbessert die Systemstabilität der Windows Clients und verhindert die Datenspionage durch Trojaner.
Selbstverständlich ist Defender kein Ersatz für eine Antiviren-Lösung, was auch Microsoft betont, sondern wird eher als Ergänzung für den umfassenden Schutz gesehen. Dies ist besonders hinsichtlich der steigenden Zahl von Zero-Day Attacken zu sehen, die den Virenscanner-Herstellern nicht mehr genügend Zeit für die Erkennung von Viren und der Erstellung passender Pattern-Updates geben. Defender kann neue Schädlinge sofort durch ein komplexes Regelwerk erkennen, das die Benutzer der „Microsoft SpyNet Community“ durch Meldungen ständig verbessern sollen.
Nachteilig ist leider, dass der Endbenutzer oft durch Dialoge gefragt wird, ob erkannte Schadsoftware trotzdem ausführen möchte. Hier ist auf jeden Fall notwendig diese Funktionalität durch Group-Policies anzupassen. Defender hat als neues Produkt aber noch klare Grenzen. Wer zentrales Management oder eine Autokonfiguration (Selbstlernmodus) sucht, wird nicht vermeiden können das Produkt eines Drittherstellers einzukaufen.
Die Zukunft wird zeigen, ob Defender vielleicht in Verbindung mit der Microsoft Virenschutzlösung „Forefront Client Security“ mehr überzeugen kann.
Bitlocker
Die Vista Profi-Versionen „Enterprise“ und „Ultimate“ bieten eine eingebaute Festplattenverschlüsselung, die komplette Laufwerke verschlüsselt. Ausnahme bei der Verschlüsselung bilden die Startdateien, die notwendig sind, um die Verschlüsselungstreiber zu laden und den Benutzer nach dem Kennwort zu fragen.
Idealerweise werden die Schlüssel im TPM (Trusted Platform Module) abgelegt, wo sie sicher vor Brute Force-Attacken gespeichert werden. Denn gerade bei einer Verschlüsselungstechnologie, die von Microsoft auf den Markt gebracht wird, muss fest damit gerechnet werden, dass ein Re-Engineering stattfindet, um die Startdateien zu analysieren und den Verschlüsselungsmechanismus zu brechen. Die Daten selbst dürften dagegen kaum zu entschlüsseln sein, da hier das AES-128 bzw. AES-256 Verfahren zum Einsatz kommt.
Falls eine Festplatte nicht mehr zu entschlüsseln ist, kann ein Recovery-Key zum Entschlüsseln der Daten verwendet werden, der vom Active Directory automatisch auf alle Vista-Clients verteilt wird. Leider gibt es noch kein Challange/Response-Verfahren um den Recovery-Prozess auch per Telefon offline durchzuführen. Mittels zusätzlicher Mangementsoftware kann dieser Nachteil aber behoben werden.
Im Unternehmensumfeld hat Bitlocker zwei große Vorteile:
- Die Verschlüsselung erfolgt völlig transparent und fügt sich nahtlos in die Clientadministration und den neuen Group-Policies ein.
- Die Anschaffung teurer Verschlüsselungssoftware nebst USB-Tokens (falls ein TPM vorhanden ist) kann entfallen.
Vermutlich wird Bitlocker sich in Unternehmen als Standard etablieren, da sich mit den Computerkonten auch gleich die gesamte Festplattenverschlüsselung mitverwalten lässt.
Device Control
Die Möglichkeit für Benutzer eigene Plug and Play (PnP) Hardware wie z.B. USB Geräte anzuschließen, führt zu einem beträchtlichen Sicherheitsrisiko im Unternehmen. Falls ein defekter Hardwaretreiber zum Ausfall eines Clientsystems führt, müsste es die IT-Administration unter hohem Supportaufwand wiederherstellen. Es kann dazu kommen, dass über nicht kontrollierbare Schnittstellen, wie z.B. Active Sync, Daten aus dem Unternehmen geschleust werden.
Außerdem könnte ein Angreifer durch die Autorun-Funktionalität von USB-Geräten Schadsoftware in den Computer einschleusen, um an firmeninterne Daten heranzukommen.
Windows Vista ermöglicht dem Administrator durch Einsatz neuer Gruppenrichtlinien den Einsatz von PNP-Geräten einzuschränken. Es ist dann beispielsweise möglich, nur bestimmte Geräte zuzulassen, oder bestimmte Geräteklassen ganz zu verbieten. Bei WindowsXP ist es nicht möglich, einen Hardware-Treiber einem bestimmten User zuzuordnen. Vielmehr haben alle User Zugriff auf diese Hardware. Unter Vista dagegen ist es nun möglich, den Zugriff auf bestimmte User einzuschränken. Zum Beispiel könnte man den Zugriff auf USB-Drives auf bestimmte Benutzer nur Read-Only erlauben, während andere Benutzer vollen Zugriff haben.
Da keine zentrale Serverinstanz für Device Control vorhanden ist, gibt es aber keinerlei Feedback von den Clients. Daher sollte die eingesetzte Policy sorgfältig geplant werden, um vermeintlichen „Hardwareausfällen“ vorzubeugen. Bei USB-Festplatten bzw. USB-Sticks ist es außerdem oft besser, wenn bestimmte Verschlüsselungs- und Virenschutzpolicies durchgesetzt werden, bevor man diese Devices pauschal verbietet.
System Backup
Vista bietet nun endlich ein eigenes Imaging-Tool, das sektorbasierende Sicherungen der Systemplatte ermöglicht. Wer kennt nicht das Problem, dass ein User mit zerstörten System nicht mehr arbeiten kann und eine schnelle Wiederherstellung durchgeführt werden muss. Dabei kann ein Image, das auf einer getrennten Partition liegt, schnell wiederhergestellt werden. Das Image-Backup kann zuvor sogar im Online-Betrieb ohne Zutun des Users im Hintergrund erfolgen.
Natürlich ersetzt die Vista-Backup Funktion kein zentrales Backup-Konzept. Die Backupfunktion auf Dateibasis ist hier leider eher dürftig gelöst. Für eine schnelle Wiederherstellung von Clients ist die Image-Sicherung aber allemal geeignet.
Gerade bei den bald auf den Markt kommenden Longhorn-Servern wird dieses Feature ein interessantes Produkt zur Systemwiederherstellung komplexer Server-Systeme.
Das fehlende zentrale Management muss aber in diesem Fall durch strikte organisatorische Regelungen ersetzt werden, um im Disaster-Fall entsprechende Maßnahmen ergreifen zu können.
Windows Firewall
Wie auch bei anderen Firewalls ist es keine leichte Aufgabe, die Konfiguration von Adressen und Ports durchzuführen um den Anwendungen Zugriff zu erlauben. Microsoft-Typisch übernehmen diese Aufgabe Group Policies, die sich neuerdings im Zweig „Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advance Security“ befinden. Die Vista-Firewall besitzt signifikante Vorteile, die sie für Unternehmen interessant macht:
Filterung von ein- und ausgehenden Netzwerkverkehr
Die beidseitige Filterung war unbedingt erforderlich, um Unternehmensclients von privaten Verbindungen abzuhalten, die nicht über die unternehmenseigene zentrale Firewall gehen. Windows XP konnte nur einseitig Verbindungen filtern.
MMC-Snap in
Das neue MMC-Snap-In wf.msc ermöglicht eine umfangreiche Konfiguration der Firewall und IP-Sec Einstellungen (siehe Bild unten).
Konfiguration auf Benutzer und Gruppenebene
Es ist möglich je nach angemeldeten Benutzer bestimmte Firewallregeln zu konfigurieren. Beispielsweise könnte man Administratoren den Zugang zum Internet sperren, um Gefahren durch Trojaner zu vermindern.
Konfiguration von Quell- und Zieladressen
Mit der Firewall der aktuellen Version von Vista ist es nun möglich bestimmte Anwendungen und Ports aufgrund bestimmter IP-Adressen, oder IP-Adressbereiche zu erlauben. Die Administration könnte beispielsweise Verbindungen auf einen Serverbereich erlauben, während Peer- to Peerverbindungen verboten sind.
Freigaben für Servicenamen
Die bisherige XP-Firewall kann nur auf Task-Ebene filtern. In Vista ist es möglich bestimmte Servicenamen unabhängig von gestarteten Tasks freizugeben.
Natürlich kann die Microsoft-Firewall noch nicht mit Firewalls andere Hersteller mithalten. Insbesondere zentrale Steuerungsmöglichkeiten und Logging-Optionen sind dort weiter fortgeschritten. Auf der anderen Seite benötigen viele Unternehmen oft nur wenig Funktionalität, die in Vista bereits vorhanden ist. Zu dieser Funktionalität gehört beispielsweise die Sperrung aller Verbindungen von außen auf den Client.
Wenn ein vernünftiges Sicherheitsniveau erreicht werden soll, müssen sorgfältig Firewallregeln erstellt werden, die auf der einen Seite den Benutzer nicht unnötig behindern, auf der anderen Seite auf allen Schnittstellen ausreichenden Schutz bieten.
Resümee
Unsere Untersuchung hat gezeigt, dass man bei näherem Hinschauen eine Menge Vorteile aus den neuen Vista Sicherheitsmodulen gewinnen kann. Natürlich kann Vista oft nicht mit den uns bekannten Produkten von Drittherstellern mithalten. Dies zeigte sich besonders bei der Antispyware „Defender“.
Wer aber bereit ist mit dieser Grundfunktionalität auszukommen und die mitgegebenen Sicherheitsmodule sorgfältig an die eigenen Bedürfnisse anpasst, kann durch Vista mit relativ geringen Kosten und Zeitaufwand einen beachtlichen Sicherheitsgewinn fürs Unternehmen erzielen.
Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Secaron hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER