Hilfsmittel zum Baustein Windows 8

Transkript

1 Hilfsmittel zum Baustein Windows 8 Dieses Dokument enthält ergänzende Implementierungshinweise zum IT-Grundschutzbaustein Client unter Windows 8, die über die Betrachtung des Betriebssystems selbst hinausgehen. Es behandelt Sicherheitsfragen beim Umgang mit "Apps", die sichere Nutzung des Internet Explorer 10/11 und das Sicherheitstool EMET. Inhaltsverzeichnis Einsatz von Apps unter Windows Cloud-Nutzung...2 Sicherheitseigenschaften von Apps...3 Datenschutz- und Vertraulichkeitsaspekte...4 Sicherheitsrichtlinie für den Einsatz von Apps im Unternehmen...4 Aufstellung der freigegebenen Apps...5 Lock-in-Effekte...5 Bereitstellen von Windows-Apps via Sideload...5 Kiosk-Modus (Assigned Access)...6 Einbindung privater Geräte/Bring your Own Device (BYOD)...6 Microsoft Application Virtualization...8 Sichere Nutzung des Internet-Explorers unter Windows Einstellungen für den Internet Explorer...9 Sicherheit...11 Erweiterter geschützter Modus (EPM)...11 Datenschutz...12 Roaming...12 Plug-Ins...12 Enhanced Mitigation Experience Toolkit (EMET)

2 Einsatz von Apps unter Windows 8 Mit Einführung des Betriebssystems Windows 8 wurden an den Benutzer neue Anforderungen im Umgang und der Planung der bereitgestellten Anwendungen gestellt. Neben der klassischen Desktop-Anwendung, wie sie aus früheren Windows-Versionen bekannt ist, gibt es nun auch das Konzept der sogenannten "Apps". Die Apps unterscheiden sich von klassischen Desktop-Anwendungen durch folgende Punkte: - Alle Windows-Apps werden innerhalb des neuen Modern User Interface (UI) ausgeführt. - Windows-Apps werden in einem App-Container nach dem "Sandbox"-Prinzip ausgeführt, das das Betriebssystem vor ungewollten Eingriffen durch die App schützt. Dadurch können die Apps einfach installiert, ausgeführt und entfernt werden, ohne dass sich dies auf das gesamte System auswirkt. - Alle Windows-Apps müssen mit einem von Windows als gültig anerkannten Zertifikat digital signiert sein. - Apps können über den Windows Store oder bei Einsatz von Windows 8 Enterprise auch durch direkte Bereitstellung ("Side-Loading") heruntergeladen und so den Benutzern zur Verfügung gestellt werden. Die nachfolgend aufgeführten Themenschwerpunkte sollten in die Planung von Apps mit einfließen: Cloud-Nutzung Beim Einsatz von Windows-Apps ist zu beachten, dass die Entwickler durch Microsoft aufgefordert sind, eine geräteübergreifende konsistente Oberfläche zu erstellen. Durch diese Anforderung seitens Microsoft kann der Benutzer Aufgaben unabhängig vom verwendeten Gerät an der Stelle fortsetzen, an der diese zuvor unterbrochen wurden. Dies erfordert in aller Regel die Nutzung von Cloud-Funktionalitäten durch die Apps. Für den Zugriff auf die Cloud-Funktionen verwenden die Apps eine einheitliche Benutzer ID, die vom Identitätsdienst "Microsoft Account" einheitlich bereitgestellt wird. Benutzer des "Microsoft Accounts" können sich mit diesem an ihrem PC mit Windows 8 ebenso anmelden wie beim neuen Windows Store, ihrem Windows Phone oder bei Xbox Live. Im Internet bietet Microsoft diesen Dienst unter der Adresse Meldet sich ein "Microsoft Account"-Nutzer an einem Gerät an, werden dort automatisch die von ihm genutzten Microsoft-Cloud-Dienste eingerichtet. Dies umfasst beispielsweise Kontaktlisten, Kalender, den Posteingang, Instant Messaging und Cloud-Speicher. So stehen auf dem PC, dem Windows Phone und über den Browser auf anderen Geräten die eigenen Daten zur Verfügung. Da Microsoft Account den Authentisierungsstandard OAuth unterstützt, und auch die anderen Dienste mit passenden APIs ausgestattet sind, können auch Apps Dritter auf die Inhalte zugreifen, wenn der Nutzer dies erlaubt. Da Windows 8 die Benutzeranmeldung per "Microsoft Account" auch dazu nutzt, Profile zwischen verschiedenen Geräten auszutauschen, können Nutzer, die an einem anderen PC eingeloggt sind, nahtlos weiterarbeiten. 2

3 OneDrive Durch die Aktivierung des "Microsoft Account" erhält jeder Benutzer automatisch einen Account für Microsofts Cloud-Speicherdienst OneDrive. Dort können durch den Benutzer Dokumente, Fotos und Einstellungen gespeichert werden. Ebenfalls die Kamera-App von Windows Phone ist mit OneDrive automatisch verbunden und damit auch auf jedem mit dem "Microsoft Account" verbunden PC zur Verfügung stehen. Kalender, Kontakte Die Daten der Kalender-App von Windows 8 und Windows Phone stehen dem Benutzer unter zur Verfügung. Ähnlich sieht es mit Kontakten aus, können unter Skype (Messenger) Die bisher bekannte Messaging-App wurde für Windows 8.1 durch Skype ersetzt. Mit Skype können Benutzer chatten und Skype-zu-Skype-Audio- und Videoanrufe mit Ihren Skype- und Messenger-Kontakten führen. Für das Verschieben der Messenger-Kontakte nach Skype muss sich der Benutzer von Windows 8 mit seinem Microsoft-Konto bei Skype anmelden. Verbundene Dienste Microsoft bindet auch andere Dienste wie Social Networks mit ein, die nach einer Anmeldung per "Microsoft Account" so auch auf anderen Geräten zur Verfügung stehen. Anwender mit mehr als einem Gerät müssen sich durch den "Microsoft Account" nicht auf allen Geräten in jeden einzelnen Dienst nochmals einloggen. Verbindet sich ein Anwender mit seinem "Microsoft-Account" beispielsweise mit LinkedIn, Facebook oder Twitter, erscheinen auch alle in diesen Diensten gespeicherten Kontakte in der Kontaktliste von Windows 8. Sicherheitseigenschaften von Apps Während bei Desktop-Anwendungen unter Windows 8 weiterhin mittels der Benutzerkontensteuerung die volle bzw. eingeschränkte Berechtigung des ausführenden Benutzers gesteuert werden kann, existiert für die Windows-Apps eine solche Rechtesteuerung nicht. Auf der anderen Seite werden Apps in einer Virtualisierungsschicht, sogenannten "App-Container", ausgeführt. Der Zugriff auf Betriebssystemfunktionen durch die App ist dadurch stark eingeschränkt. Gelingt es daher einem Angreifer, eine Schwachstelle in einer App zu finden und auszunutzen, so sind die Konsequenzen für das zugrundeliegende Betriebssystem daher in aller Regel geringer als bei einer vergleichbaren Desktop-Anwendung. Ein erfolgreicher Angriff auf das System über eine App wird deutlich erschwert. Ein weiteres nicht zu vernachlässigendes Problem stellt die Überwachung von Windows-Apps durch eine Antiviren-Anwendung dar. Weil Apps nicht über die Windows-Desktop-Oberfläche ausgeführt werden, kann eine vorhandene Virenschutz-Anwendung die Windows-App und deren Aktivitäten nicht oder nur eingeschränkt mit den für Desktop-Anwendungen vorgesehenen Mechanismen überwachen. Windows-Apps müssen mindestens die folgenden Anforderungen erfüllen: 3

4 - Apps dürfen keinen direkten Datenaustausch mit anderen Apps über Protokolle oder Dateitypen vornehmen. Dies begründet sich darin, dass Windows bei der mehrfachen Zuordnung von Protokollen oder Dateitypen zu Apps und Desktop-Anwendungen nicht klar regelt, ob die App oder die Desktop-Anwendung aufgerufen wird, so dass hier ungewollte Nebeneffekte eintreten können. - Windows-Apps dürfen nicht über lokale Mechanismen (einschließlich Dateien und Registrierung) mit klassischen lokalen Desktop-Anwendungen kommunizieren, um das Sandbox-Prinzip nicht zu unterlaufen. - Windows-Apps dürfen nicht versuchen, sich selbst über das dynamische Einfügen von Code oder Daten zu ändern oder zu erweitern. Es ist beispielsweise nicht zulässig, ein Remote-Skript herunterzuladen und dieses anschließend im lokalen Kontext des Windows-App-Pakets auszuführen. - Wenn die Windows-App Gerätetreiber von Drittanbietern aufruft, muss diese eine privilegierte Windows-App sein. Eine privilegierte Windows-App ist eine vom Gerätehersteller für die Ausführung von Gerätevorgängen autorisierte Windows-App. - Eine Windows-App muss alle Anmeldeinformationen, Sicherheitsfragen oder sonstigen Informationen übertragen, die zum Authentifizieren eines Benutzers mittels sicherer und verschlüsselter Übertragung dienen. Datenschutz- und Vertraulichkeitsaspekte Jede Windows-App muss angeben, auf welche Daten diese zugreifen möchte. Sofern die Windows-App über die technischen Möglichkeit zur Datenübertragung verfügt, benötigt diese eine Datenschutzrichtlinie. Dazu muss sie in der Windows-App-Einstellung (Windows-Charm "Einstellungen") Zugriff auf ihre Datenschutzrichtlinie ermöglichen. Die Datenschutzrichtlinie muss den Benutzer darüber informieren, ob persönliche Daten von der Windows-App übermittelt werden. Ebenfalls muss darüber informiert werden, wie diese Daten verwendet, gespeichert, geschützt und offengelegt werden. Schließlich müssen die Einstellungsmöglichkeiten dargelegt werden, die den Benutzern hinsichtlich der Nutzung und Weitergabe ihrer Daten sowie für den Zugriff auf diese Daten zur Verfügung stehen. Sie müssen mit dem anwendbaren Recht und den anwendbaren Regelungen in Einklang stehen. Eine Windows-App darf die persönlichen Informationen eines Benutzers nur dann an einen Dienst oder an eine andere Person weitergeben, wenn zuvor eine Einverständniserklärung eingeholt wurde. Die Berechtigungsliste einer Windows-App muss vor der Installation entsprechend überprüft werden. Nicht jede Windows-App benötigt zwingend alle Informationen, die diese einholen will. Sind die gewünschten Berechtigungen der Windows-App zu umfangreich, sollte die Installation der Windows-App nicht durchgeführt werden. Sicherheitsrichtlinie für den Einsatz von Apps im Unternehmen Zunächst ist für die Institution eine grundlegende Entscheidung über die Zulässigkeit des Einsatzes von Apps zu treffen. Apps können nicht zentral (über Gruppenrichtlinien) in dem Umfang abgesichert werden wie Desktop-Apps. Ebenfalls unterliegen die Windows-Apps anderen 4

5 Sicherheitsparametern und vergrößern in einen nicht unerheblichen Umfang den Kreis der Dienstleister, die in die Datenverarbeitung einbezogen sind, insbesondere durch die genutzten Cloud-Funktionen. Microsoft definiert in den Sicherheitsrichtlinien für Apps grundlegende Anforderungen an Apps, die über den Windows Store, Windows Phone Store, Office Store oder auch Azure Marketplace vertrieben werden. So müssen Entwickler beispielsweise Sicherheitslücken in ihren Apps schnellstmöglich schließen. Für die Entwicklung eines Sicherheitspatches räumt Microsoft den Entwicklern eine Frist von 180 Tagen ein. Sollte der Entwickler nicht in der Lage sein, in der eingeräumten Zeit die Sicherheitslücke zu schließen, behält sich Microsoft vor, die App zu entfernen. Sollte eine Schwachstelle bereits aktiv durch Angreifer ausgenutzt werden, kann die eingeräumte Frist von 180 Tagen auch durch Microsoft verkürzt werden. Ebenso ist im begründeten Einzelfall eine Verlängerung der Frist möglich. Der Einsatz von Apps bedeutet dennoch besondere Risiken für die Organisation, die betrachtet und in einer Sicherheitsrichtlinie behandelt werden sollten. Die dabei zu berücksichtigen Aspekte werden in den folgenden Abschnitten vorgestellt. Aufstellung der freigegebenen Apps Wird der Einsatz von Apps nicht grundsätzlich ausgeschlossen, ist im nächsten Schritt zu prüfen, in welchem Umfang der Einsatz von Apps in der Organisation erforderlich und gewünscht ist. Dazu ist anhand der fachlichen Anforderungen zu prüfen, welche Desktop-Anwendungen und welche Apps jeweils für den Einsatz in Frage kommen. Auf dieser Grundlage sollte eine Entscheidung über die generelle Zulässigkeit des Einsatzes von zusätzlichen Apps getroffen und eine Liste der freigegebenen Apps erstellt werden. Im Rahmen der Freigabe von Apps sind jeweils die Sicherheitseigenschaften sowie Datenschutzaspekte zu berücksichtigen. Lock-in-Effekte Durch die immer stärkere Verzahnung der von Microsoft angebotenen Produkte sowie der Möglichkeit mit dem "Microsoft Account" alle von Microsoft angebotenen Online-Dienste systemübergreifend zu nutzen und Daten zwischen diesen zu synchronisieren, besteht die Gefahr eines sogenannten "Lock-in". Dieser Effekt bezeichnet eine Situation, in der die Abhängigkeit einer Institution von einem Hersteller so weit entwickelt ist, dass der Einsatz alternativer Produkte technisch oder wirtschaftlich nicht mehr sinnvoll möglich ist. Welche Gefahren und Bedingungen durch diesen Effekt für spätere Migrationen oder Systemumstellungen ausgehen, sollte bereits in der Planungsphase analysiert und gegebenenfalls als Risiko ausgewiesen werden. Bereitstellen von Windows-Apps via Sideload Windows-Apps werden im Regelfall aus dem Microsoft-eigenen "Windows Store" bezogen. Für Institutionen besteht alternativ dazu die Möglichkeit, ihren Mitarbeitern Apps mit dem als "Sideload" bezeichneten Verfahren direkt zur Verfügung zu stellen. Damit entfällt insbesondere auch das Erfordernis, die App im Windows Store zu veröffentlichen. Folgende Grundbedingen müssen hierfür erfüllt sein: 5

6 - ein der Domäne beigetretenes Endgerät mit Windows 8 Enterprise ist vorhanden, - die Gruppenrichtlinieneinstellung "Installation aller vertrauenswürdigen Anwendungen zulassen" wurde aktiviert und - die Windows-App ist mit einem vertrauenswürdigen Codesignaturzertifikat signiert. Sind die drei genannten Anforderungen erfüllt, kann eine Windows-App für einen einzelnen Benutzer mit der Windows PowerShell via Sideload bereitgestellt werden. Alternativ besteht die Möglichkeit, für einen Gerätetyp durch Verwendung des Deployment Image Servicing and Management (DISM) ein Abbild anzufertigen und auf die Geräte dieses Typs zu verteilen. Zusätzlich kann der Sideload für Windows-Apps mithilfe des SCCM oder des MDT automatisiert werden. Geräte, die nicht der Domäne beigetreten sind, oder auf denen Windows 8 Pro ausgeführt wird, müssen den Aktivierungsschlüssel für den Sideload von Windows-Apps verwenden. Dies kann zum Beispiel in Bring-your-own-Device-Szenarien erforderlich sein. Kiosk-Modus (Assigned Access) Sollten Windows-8-Systeme als öffentlich zugängliche Informationsterminals in einem Unternehmen eingesetzt werden, besteht seit Windows 8.1 die Möglichkeit, den sogenannten Kiosk-Modus einzurichten. Es ist zu beachten, - dass der Kiosk-Modus an ein lokales Benutzerkonto geknüpft ist. - dass der Kiosk-Modus nur für Windows-Apps gilt. - dass der lokale Benutzer der Gruppe Standardbenutzer angehören muss. - dass der lokale Benutzer sich mindestens einmal am System angemeldet haben muss. - dass die durch den lokalen Benutzer ausführbaren Windows-Apps seinem lokalen Konto zugewiesen sind. - dass die Anmeldung ohne Eingabe des Benutzerpasswortes erfolgt. Dies bedeutet, bei einem zuvor in einer Windows-Domäne gebundenen System muss die Datei "secpol.msc" entsprechend angepasst werden. Diese Datei ist nicht beim Einsatz von Windows 8 Home aufrufbar. Einbindung privater Geräte/Bring your Own Device (BYOD) Unter dem Stichwort "Bring your Own Device (BYOD)" werden Konzepte verstanden, die es den Mitarbeitern erlauben, ihre privaten mobilen Geräte auch für dienstliche Aufgaben zu nutzen. Dadurch sollen die Produktivität der Mitarbeiter gesteigert und gleichzeitig Kosten für physische Geräte in der Institution reduziert werden. Aus Sicherheitssicht sind solche Konzepte problematisch, insbesondere auch, was den Zugriff auf dienstliche Daten bei der Aufklärung von Vorfällen betrifft. Im Regelfall ist daher von der Umsetzung eines BYOD-Konzeptes abzuraten. Fällt aus anderen Gründen eine Entscheidung für ein BYOD-Konzept, so unterstützt Windows das mit den folgenden 6

7 Möglichkeiten: Einbinden in die Unternehmensdomäne Um Benutzern mit Windows-8-Systemen die Anmeldung an der Windows-Domäne zu ermöglichen, müssen diese dazu in der Regel der Unternehmensdomäne beitreten. Für Benutzer ohne Verbindung zum internen Netzwerk kann der Offline-Domänenbeitritt hierfür verwendet werden. Verwalten von Computer- und Benutzereinstellungen Auf BYOD-Systemen mit Windows 8, die der Domäne beigetreten sind, können Administratoren die Computer- und Benutzereinstellungen mithilfe einer Gruppenrichtlinie erzwingen. Windows 8 (nicht die Home-Version) bietet viele neue Richtlinieneinstellungen, die zum Verwalten von BYOD-Systemen verwendet werden können. Die Dokumentation der Einstellungen in der Gruppenrichtlinie wurde durch Microsoft entsprechend aktualisiert. Laufwerksverschlüsselung mit BitLocker Mit der BitLocker-Laufwerkverschlüsselung (BitLocker) können die BYOD-Systeme vor Datendiebstahl und -offenlegung der zu schützenden Informationen abgesichert werden. BitLocker wird seit Windows Vista mit jeder Windows-Version ausgeliefert. Eine neue Funktion ist, dass der BitLocker-Wiederherstellungsschlüssel in OneDrive durch den Benutzer abgelegt werden kann. Dadurch erfolgt die Schlüsselablage aber auf Cloud-Servern außerhalb der Organisation (und außerhalb Deutschlands). Ein Missbrauch durch Dritte ist damit technisch nicht ausgeschlossen. Microsoft BitLocker Administration and Monitoring (MBAM) vereinfacht die Bereitstellung und die Wiederherstellung der Schlüssel, zentralisiert die Compliance-Überwachung und das -Reporting. MBAM umfasst ein Self-Service-Portal, über dieses Portal können die Benutzer ihre eigenen Wiederherstellungsschlüssel abrufen und auf diese Weise ohne einen Anruf beim IT-Support eine Wiederherstellung anstoßen. Der Umgang mit dem Self-Service-Portal vom MBAM muss durch Anpassungen der bisherigen Regelungen organisiert und geregelt werden. Einsatz von AppLocker Auf BYOD-Systemen kann mittels AppLocker die Ausführung von Anwendung erlaubt oder gesperrt werden. Die AppLocker-Einstellungen können durch die Konfiguration von einzelnen Ausnahmen oder Gruppenausnahmen weiter an die Bedürfnisse des Unternehmens angepasst werden. Seit Windows 8 unterstützt AppLocker neben Desktop-Anwendungen auch Windows-Apps. Verwalten der Internet-Explorer-Konfiguration Um den Internet Explorer auf BYOD-Systemen verwalten zu können, verfügt der Internet Explorer über zahlreiche Gruppenrichtlinieneinstellungen, die an die Anforderungen von BYOD angepasst wurden. Seit dem Internet Explorer 10 wird nicht mehr die Erweiterung für die Internet-Explorer-Wartung unterstützt. Über das Internet Explorer Administration Kit (IEAK) können die verantwortlichen Administratoren eine verfeinerte Konfiguration der IE-Einstellungen unabhängig von einer Windows-Domäne umsetzen. 7

8 Bereitstellen eines portablen Windows-Arbeitsbereichs Mit "Windows-To-Go" ist es möglich, ein Windows-Betriebssystem auf einem speziell vorbereiteten mobilen Datenträger bereitzustellen und von diesem zu starten, ohne die stationäre Festplatte eines Systems zu nutzen. Die Verwendung von Windows-To-Go ist eine praktische Funktion bei der Integration von BYOD-Systemen, denn das zugrunde liegende installierte Betriebssystem wird nicht beeinflusst. Zur Trennung von geschäftlichen und persönlichen Daten wird beim Start des Windows-To-Go-Arbeitsbereiches der lokale Datenträger des Betriebssystems in den Offline-Modus geschaltet. Microsoft Application Virtualization Beim Einsatz von Microsoft Application Virtualization können Apps von einem zentralen Server aus auf Endgeräten in einer eigenen, virtualisierten Umgebung ausgeführt werden, ohne dass die App vorher lokal installiert wird. Dadurch und durch die Virtualisierungsumgebung kann die App keinen Einfluss auf das umgebende Windows-Betriebssystem nehmen. Auch Konflikte bei der Nutzung verschiedener Apps können auf diesem Wege vermieden werden, da die einzelnen Apps durch die Virtualisierungsschicht voneinander getrennt ablaufen. Nachdem der Microsoft-Application-Virtualization-Client auf dem Windows-Endgerät installiert wurde, müssen die Anwendungen mithilfe eines Freigabevorgangs zur Verfügung gestellt werden. Durch den Freigabeprozess werden die App-Pakete, die Symbole und Verknüpfungen der virtuellen App sowie die Paketdefinition und die Informationen zur Dateitypenzuordnung auf das lokale System kopiert. Der Inhalt des virtuellen App-Pakets kann auf einem oder mehreren Applikation-Virtualisieren-Servern bereitgestellt werden. Sichere Nutzung des Internet-Explorers unter Windows 8 Mit Einführung von Windows 8 wird der Internet Explorer in zwei unterschiedlichen Varianten (Betriebsmodi) zur Verfügung gestellt: - als Desktop-Anwendung und - als Windows-App. Die Oberfläche der Windows-App wurde für die Benutzung von Windowssystemen mit berührungsempfindlicher Oberfläche optimiert. Die Benutzer des Systems sind grundsätzlich in der Lage, beide Varianten des Browsers zu starten. Ob der Benutzer eine Website mit dem Internet Explorer als Windows-App oder als Desktop-Anwendung aufruft, kann vom Webserver nicht erkannt werden, da die übermittelte Browser-Kennung für beide Varianten gleich ist. Hyperlinks werden standardmäßig vom Internet-Explorer-Kontext gesteuert geöffnet. Dies bedeutet, dass Hyperlinks von anderen installierten Windows-Apps nur vom Internet Explorer als Windows-App geöffnet werden, und Hyperlinks von Desktop-Anwendungen entsprechend nur vom Internet Explorer als Desktop-Anwendung. Das Standardverhalten des Internet Explorers kann über die Registerkarte Internetoptionen im Reiter Programme angepasst werden. Folgende Einstellungsmöglichkeit stehen unter "Öffnen von Internet Explorer" zur Verfügung: - Internet Explorer entscheiden lassen (Default) 8

9 - Immer mit Internet Explorer (Windows-App) oder - Immer mit Internet Explorer auf dem Desktop (Desktop-Anwendung). Hier sollte die Einstellung "Immer mit Internet Explorer auf dem Desktop" gewählt werden, weil nur für die Desktop-Variante eine Absicherung mit GPOs möglich ist. Für die Windows-App und die Desktop-Anwendung des Internet Explorers können die gleiche Startseite bzw. die gleichen Startseiten-Registerkarten eingerichtet werden. Dies erfolgt über die Systemsteuerung der Desktop-Anwendung unter Internetoptionen auf der Registerkarte Allgemein. RSS-Feeds stehen nur in der Desktop-Anwendung des Internet Explorers zur Verfügung. Die Favoriten, häufig besuchten Websites, der Verlauf und zuvor eingegebene URLs werden für die Windows-App und die Desktop-Anwendung gemeinsam vom Betriebsystem verwaltet. Einstellungen für den Internet Explorer Die Internet-Explorer-Einstellungen wirken in der Regel gleichermaßen für die Desktop-Anwendung und die App. Sie sind über die Desktop-Anwendung in der Registerkarte Internetoptionen zugänglich. Um Sicherheitsvorgaben für den Internet-Explorer im Unternehmenseinsatz zu machen, bestehen zwei grundsätzliche Möglichkeiten: - Absicherung mittels GPO oder - Absicherung mittels dem Internet Explorer Administration Kit (IEAK). Internet Explorer Administration Kit (IEAK) Das IEAK wendet sich vor allem an Benutzer, Administratoren und Unternehmen, in denen die Windows-8-Systeme sich nicht als Mitglieder in einer Microsoft Active Directory Domain befinden. In den Anfangszeiten des IEAK war dieses stark auf das Deployment des Internet Explorers ausgerichtet, dies bedeutet alle Einstellungen mussten als eine Programmdatei verteilt werden. Diese Ausrichtung des IEAK wurde mit Version 7 geändert. Ab der Version 7 des IEAK können für das unternehmensspezifische Branding des Internet Explorers separate Pakete erstellt werden, die können unabhängig von der eigentlichen Internet-Explorer-Installation den Benutzern zur Verfügung gestellt werden. Administratoren, die das IEAK zur Anpassung der Einstellungen des Internet Explorers an die Sicherheitsanforderungen der Institution einsetzen, sollten beachten, dass die damit verteilten Einstellungen sich nicht über gpresult.exe ermitteln lassen. Die mit IEAK verteilten Einstellungen können auf den betroffenen Systemen aus der Log-Datei brndlog.txt ausgelesen werden. Einsatz von Gruppenrichtlinien (GPOs) Mit Einführung des Internet Explorer 10 wurden den verantwortlichen Administratoren fast Einstellungen zur Verfügung gestellt, die über Gruppenrichtlinien zentral verwaltet und die Konfiguration zentral gesteuert werden kann. Beim Einsatz von Gruppenrichtlinien-Objekten sollte beachtet werden, dass nur ein Teil der Einstellungen auf den Internet Explorer als App 9

10 Wirkung entfaltet. Sicherheit Ab Version 10 wurde der Internet Explorer mit weiteren Sicherheitsmaßnahmen ausgestattet. Insbesondere nutzt der IE 10 die mit Windows 8 verfügbaren Verbesserungen im Speicherschutz (ASLR), der jetzt vom Betriebssystem für die Speicherorte aller Module erzwungen wird (ForceASLR). Mit HTML-5-Sandboxen kann der Internet Explorer ab Version 10 auch eingebundene iframes in einer Sandbox einbinden. Diese Funktionalität muss jedoch vom Entwickler der Webseite aufgerufen werden, indem das Sandbox-Attribut für die iframes entsprechend gesetzt wird. HTML-5-Inhalte in einer Sandbox dürfen unter anderem keine Skripte mehr ausführen und keine Popus öffnen. Erweiterter geschützter Modus (EPM) Mit dem Erweiterten Geschützten Modus (englisch Enhanced Protected Mode, EPM) wurde der Internet Explorer um eine Sicherheitstechnik erweitert, bei der die einzelnen Tabs jeweils in sogenannten App-Containern laufen, die nach dem Sandbox-Prinzip Zugriffe auf das umgebende System abschirmen. So wird zum Beispiel der Zugriff auf lokale Dateien oder in anderen Tabs geöffnete Intranet-Seiten durch EPM eingeschränkt. Der EPM ist seit Windows 8.1 für den Internet Explorer 11 (als Desktop-Anwendung und als App) standardmäßig aktiviert. Mit Windows 8 und dem Internet Explorer 10 ist der EPM nur für die App standardmäßig aktiv. Es wird empfohlen, in dieser Konfiguration den EPM auch für die Desktop-Anwendung zu aktivieren. Datenschutz Ab Version 10 unterstützt der Internet Explorer die "Do-Not-Track"-Kennung, über die den besuchten Webseiten mitgeteilt wird, dass der Benutzer eine Aufzeichnung von Daten aus dem Webseitenbesuch nicht wünscht. Inwieweit die Webseiten diesen Wunsch respektieren und umsetzen, ist dabei den Webseitenbetreibern selbst überlassen. Do-Not-Track wird aktiviert, wenn beim Einrichten von Windows 8.1 die Option Express-Einstellungen ausgewählt wurde, und gilt für die Desktop-Anwendung des IE ebenso wie für die App. Die Einstellung wird in der Systemsteuerung der Desktop-Anwendung unter Internetoptionen im Abschnitt Sicherheit auf der Registerkarte Erweitert verwaltet. Es wird empfohlen, die Einstellung zu aktivieren, soweit dadurch nicht die Funktionsfähigkeit der genutzten Web-Angebote eingeschränkt wird. In beiden Varianten des IE ist die bereits vom Internet Explorer 9 bekannte Funktion InPrivate-Browsen verfügbar, mit der einzelne Registerkarten in einen Modus geschaltet werden, bei denen die in dieser Registerkarte aufgerufenen Inhalte keine Spuren auf dem Rechner hinterlassen (Browserhistorie, Suchvorgänge, etc.) Mit dem IE 11 unter Windows 8.1 können Cookies von Drittanbietern (z. B. Werbebannern oder Tracking-Diensten) blockiert werden, ohne die Funktionsfähigkeit von Cookies zu beeinträchtigen, die eine Webseite selbst 10

11 verwendet. Dadurch kann auch für Anwendungen, die Cookies erfordern, ein gewisses Maß an Datenschutz realisiert werden. Roaming Ist der Benutzer eines Windows-8-Gerätes mit seinem Microsoft-Konto angemeldet, werden alle angehefteten Webseiten des Internet Explorers, alle Favoriten, der Verlauf, alle gespeicherten Passwörter und alle besuchte URLs mit allen Geräten synchronisiert, bei denen der Benutzer ebenfalls mit seinem Microsoft-Konto angemeldet ist. Bei Verwendung des Internet Explorer 11 unter Windows 8.1 werden ebenfalls die geöffneten Registerkarten synchronisiert. Nicht synchronisiert werden Registerkarten, für die das "InPrivate-Browsen" aktiviert wurde, sowie alle Einstellungen des Browsers selbst. Im Synchronisierungscenter werden alle Einstellungen für die Synchronisierung zwischen PCs und geräteübergreifend aufgezeigt. Diese Effekte müssen berücksichtigt werden, wenn eine Entscheidung über die Verwendung von Microsoft-Live-IDs für den Windows-Login getroffen wird. Plug-Ins Plug-Ins werden nur vom Internet Explorer als Desktop-Anwendung unterstützt. Für den Internet Explorer als App kommt nur der systemeigene Flash-Player zur Wiedergabe von Flash-Inhalten zum Einsatz. Mit dem Element requiresactivex im Header kann ein Web-Entwickler erreichen, dass Webseiten mit Plugins den Anwender auffordern, von der App in die Desktop-Anwendung zu wechseln. Enhanced Mitigation Experience Toolkit (EMET) Das EMET ist ein Hilfsprogramm, das dazu dient, die Ausnutzung von Sicherheitsrisiken in Anwendungssoftware zu verhindern oder zu erschweren. EMET stellt spezielle Schutztechnologien bereit, die ein Angreifer zusätzlich überwinden muss. EMET kann auf den folgenden Windows-8-Varianten eingesetzt werden: - Windows 8, - Windows 8 Enterprise und - Windows 8 Pro. Die aktuelle Version von EMET unterstützt die Verwaltung und Konfiguration via Gruppenrichtlinien oder mit dem System Center Configuration Manager (SCCM). Über EMET können Schutzmechanismen für das Betriebssystem und Anwendungen nachträglich aktiviert werden. Dies ist insbesondere sinnvoll, wenn die entsprechenden Mechanismen zum Zeitpunkt der Entwicklung noch nicht verfügbar waren, oder wenn sie Implementierung durch den Hersteller nicht umgesetzt wurden. Die erfolgreiche Ausnutzung von vorhandenen Schwachstellen in der geschützten Anwendung kann hierdurch deutlich erschwert werden. EMET umfasst die im Folgenden beschriebenen Schutzfunktionen. 11

12 Data Execution Prevention (DEP) Anwendungen dürfen Code nur in den dafür vorgesehenen Speicherbereichen ausführen. Angreifern kann es gelingen, durch Fehler in der Anwendung einen Pufferüberlauf zu erzeugen und Code in den Datenbereich zu schreiben. DEP verhindert die Ausführung von Programmcode in Speicherbereichen, die für die Datenablage vorgesehen sind. Structure Exception Handler Overwrite Protection (SEHOP) Wenn eine Anwendung mit ungültigen Informationen befüllt wird, muss die Anwendung hierauf reagieren. Der Benutzer erhält normalerweise eine entsprechende Fehlermeldung, wenn der Anwendungs-Entwickler dies Verhalten vorausgesehen hat. Aus technischer Sicht verzweigt die Anwendung dabei auf ein Unterprogramm, das den Fehler auswertet und darauf reagiert, indem es zum Beispiel eine Meldung ausgibt (Exception Handling). Ein Angreifer kann die Liste der Fehlerbehandlungsabläufe verändern und dadurch bei hervorgerufenen Programmfehlern auf Schadcode verzweigen. Der Einsatz von SEHOP soll die Liste der Fehlerbehandlungsabläufe vor solchen Manipulationen schützen. Heap Spray Allocation Heap Spray Allocation reserviert beim Programmstart Speicherbereiche, die von bekannten Angriffen häufig für das Einbringen von Schadcode verwendet werden, und wehrt diese Angriffe dadurch wirksam ab. Null Page Allocation Diese Schutzfunktion arbeitet ähnlich wie bei Heap Spray beschrieben, indem sie die erste Speicherseite beim Programmstart reserviert und dadurch Angriffe verhindert, die auf fehlerhaften Nullwerten in Pointern basieren. Export Address Table Access Filtering (EAF) Schadhafter Code muss nach sinnvollen Systemfunktionen in den geladenen Modulen suchen, um tatsächlich wirksam zu werden. EAF sorgt mit einer Filterfunktion dafür, dass die Suche nach sinnvollen Systemfunktionen fehlschlägt. Madantory Address Space Layout Randomization (ASLR) Durch eine nicht vorhersagbare Zuordnung von Speicherbereichen zu Anwendungen sorgt EMET dafür, dass Anwendungen bei wiederholter Ausführung immer an unterschiedlichen Adressen im Speicher landen. Angreifer können dadurch nicht mehr wissen, auf welche Speicheradressen ihr schadhafter Code verzweigen muss. Bottom Up ASLR ASLR wirkt sich nicht auf den gesamten Speicherbereich aus, der einer Anwendung zur Verfügung steht. Einzelne Speicherbereiche, die über spezielle Programmfunktionen ("VirtualAlloc", "VirtualAllocEx") reserviert werden, befinden sich nach wie vor an voraussagbaren Positionen. Mithilfe von Bottom Up ASLR "verwürfelt" EMET auch diese Adressen und erschwert Angriffe somit zusätzlich. 12