Technische Sicherheit in Microsoft Produkten. Hintergrundpapier für Journalisten

Transkript

1 Technische Sicherheit in Microsoft Produkten Hintergrundpapier für Journalisten

2 INHALT 1 EINFÜHRUNG 2 TRUSTWORTHY COMPUTING 2.1 WINDOWS SERVER 2003 ALS ERSTES SICHERES SERVERPRODUKT 2.2 SICHERHEIT AUF DER CLIENT-SEITE UND FÜR COMPUTER VON ENDANWENDERN 3 PATCHMANAGEMENT FÜR UNTERNEHMEN 4 SICHERHEIT FÜR KLEINE UNTERNEHMEN 5 EXCHANGE SERVER 6 IDENTITÄTSMANAGEMENT 6.1 IDENTITY LIFECYCLE MANAGER (ILM) ACTIVE DIRECTORY FEDERATION SERVICES 7 MICROSOFT FOREFRONT SECURITY 7.1 CONTENT SECURITY VIRENSCHUTZ FÜR SERVER FOREFRONT CLIENT SECURITY 7.2 INTERNET SECURITY UND ACCELERATION (ISA) SERVER APPLICATION GATEWAY (IAG) SICHERHEIT IN WINDOWS VISTA 8.1 SECURE DEVELOPMENT LIFECYCLE (SDL) 8.2 SYSTEMDIENSTE IN WINDOWS VISTA 8.3 SICHERUNG DES LOKALEN ADMINISTRATORENKONTOS 8.4 BENUTZERKONTENSTEUERUNG 8.5 VIRTUALISIERUNG VON SYSTEMORDNERN UND DER REGISTRY 8.6 WINDOWS DEFENDER 8.7 MICROSOFT WINDOWS-TOOL ZUM ENTFERNEN BÖSARTIGER SOFTWARE 8.8 SICHERHEITSCENTER 8.9 WINDOWS-FIREWALL 8.10 AUTOMATISCHE WINDOWS-UPDATES 8.11 BITLOCKER 8.12 NEUE GRUPPENRICHTLINIEN 8.13 RICHTLINIENGESTEUERTE GERÄTEINSTALLATIONEN 8.14 INTERNET EXPLORER 7 IM PROTECTED MODE 8.15 JUGENDSCHUTZ 9 VIRENSCHUTZ MIT WINDOWS LIVE ONECARE 10 MICROSOFT CARDSPACE 11 SICHERE S MIT OUTLOOK 2007 UND WINDOWS MAIL / LIVE MAIL 12 DIE NEUE SICHERHEIT IN WINDOWS SERVER NEUERUNGEN FÜR IPSEC 12.2 NETWORK ACCESS PROTECTION (NAP) 12.3 DOMÄNEN-CONTROLLER 12.4 CORE-VERSION ALS OPTION 12.5 INTERNETINFORMATIONSDIENSTE VERSION 7 13 BENUTZERFREUNDLICHKEIT UND SICHERHEIT 13.1 SICHERHEIT DARF NICHT STÖREN 13.2 SICHERHEITSCENTER UND STUFENKONZEPT 13.3 WARNUNGEN 13.4 EXTENDED-VALIDATION-ZERTIFIKATE 14 SICHERHEIT ALS PROZESS 14.1 VERWALTUNG VON DESKTOPS, SERVERN UND MOBILEN GERÄTEN 14.2 NETZWERK- UND PERIMETERSCHUTZ 14.3 IDENTITÄTS- UND ZUGRIFFSVERWALTUNG

3 1 EINFÜHRUNG Microsoft-Produkte sind unter Technikern für übersichtliche Bedienung und leichte Verwaltung bekannt. Im Vergleich zu den meisten Open-Source-Produkten bestand beispielsweise der Vorteil von Windows NT 4.0 und Windows 2000 darin, dass die meisten Funktionen bereits ohne große Maßnahmen der Systemverwalter automatisch direkt nach der Installation funktionierten. Dies gilt etwa für die Internetinformationsdienste, die unter Windows 2000 Server bei jeder Standardinstallation eingerichtet und gestartet wurden. So war es auch weniger erfahrenen Administratoren möglich, einen Webserver in Betrieb zu nehmen. Microsoft hatte die meisten Serverdienste unter Windows NT 4.0 und Windows 2000 Server und unter Backoffice-Produkten wie Exchange 5.5 oder Exchange Server 2000 entsprechend leicht bedienbar und funktional gestaltet. Die Produkte für Endanwender folgten ähnlichen Prinzipien. Gerade deshalb ist etwa Windows 98 noch heute bei vielen Usern im Einsatz. Die Funktionen reichen aus, und die Bedienung ist auch für unerfahrene Anwender sehr leicht zu erlernen. Der Nachteil dieser Philosophie lag anfangs in der leichteren Angreifbarkeit der Produkte. Auf Servern etwa waren oft viele Dienste installiert und aktiviert, die sich zwar als hilfreich erwiesen, aber nicht zwingend benötigt wurden. Sie stellten Ziele von Angreifern dar. Zu dieser Kategorie gehörten auch die erwähnten Internetinformationsdienste unter Windows 2000 Server. Der starken Verbreitung der Microsoft-Produkte wegen lohnte es sich für Angreifer besonders, diese Produkte zu fokussieren und bei ihnen gezielt nach Schwachstellen zu suchen. Andere Produkte, die durchaus ebenfalls Sicherheitslücken aufwiesen, wurden weniger beachtet und erschienen dadurch nicht immer gerechtfertigt als besser abgesichert. Prüft man die im Internet verfügbaren, zahlreichen Vergleichslisten von Sicherheitslücken in den Produkten der verschiedenen Hersteller, zeigt sich recht schnell, dass Microsoft-Produkte nicht als negative Ausreißer bezeichnet werden können. Alle Produkte im Markt weisen Sicherheitslücken auf. Die Qualität des einzelnen Produkts zeigt sich vor allem darin, wie schnell und zuverlässig die Lücken geschlossen werden. Microsoft gelingt es inzwischen im Allgemeinen recht schnell, Schwachstellen zu beseitigen. Informationssicherheit spielt heute in Privathaushalten und Unternehmen eine immer wichtigere Rolle. Es ist nicht mehr allein wichtig, dass ein Produkt funktioniert und leicht zu bedienen ist. Vor allem die Verbreitung von Breitband-Internetanschlüssen und die damit einhergehende, immer selbstverständlichere Verbindung von Endanwender-PCs und Unternehmen zum Internet machen es notwendig, die Produkte gegen Angriffe von außen, aber auch aus internen Netzen heraus gründlicher als je zuvor abzusichern. Viren und andere Schadprogramme werden dabei immer effizienter und sind immer schwieriger zu entdecken. Microsoft hat dies erkannt und die Konzeption der Produkte entsprechend weiterentwickelt. Software und Server sollen zwar immer noch leicht bedienbar und benutzerfreundlich sein, aber zugleich weniger angreifbar und damit sicherer. Sicherheit ist für Microsoft deshalb auch über die stetige Verbesserung seiner Produktlinien hinaus ein zentrales Thema geworden. 3

4 2 TRUSTWORTHY COMPUTING Im Juli 2002 erklärte Bill Gates, dass sich Microsoft zukünftig verstärkt auf die Sicherheit konzentrieren wolle. War in der Vergangenheit der Fokus noch auf die Funktionalität der Produkte gerichtet, so sollte zukünftig die Sicherheit sogar Vorrang vor der Funktionalität erhalten. Microsoft war es von nun an also erklärtermaßen wichtiger, ein sicheres Produkt zu veröffentlichen, als zu viele Funktionen zu integrieren oder standardmäßig zu aktivieren, die Sicherheitsprobleme schaffen könnten. Diese Strategie wurde offiziell Trustworthy Computing genannt. Man schulte die Programmentwickler gezielt darin, auf die Sicherheit und die Wahrung der Privatsphäre der Anwender zu achten. Bereits zwölf Monate später, im Juli 2003, gab der bekannte Sicherheitsexperte Bruce Schneier zu Protokoll, dass Microsoft zwar noch viel Arbeit vor sich, aber auch bereits viel erreicht habe. Die Sicherheitsberater der Microsoft-Entwicklerteams spielten von nun an bei der Entwicklung neuer Funktionen und Programme eine zentrale Rolle. Im zweiten Jahr der Trustworthy-Computing-Initiative ( twc/default.mspx) wurde von Microsoft ein wissenschaftlicher Beirat geschaffen. Das sogenannte Microsoft Trustworthy Computing Academic Advisory Board rekrutiert sich aus 14 Experten im Bereich Computersicherheit und Softwareentwicklung, unter anderem von den Universitäten Stanford, Cornell, London und Mailand. Außerdem gibt es ein mehrköpfiges Team von Rechtsexperten, das sich um Datenschutzrecht und -technik kümmern soll. 2.1 WINDOWS SERVER 2003 ALS ERSTES SICHERES SERVERPRODUKT Erste Früchte erntete diese Arbeit bereits mit der Veröffentlichung von Windows Server Die Neuauflage des Serverbetriebssystems brachte erstmals bei einem Microsoft-Produkt keine grundlegenden Funktionsänderungen mit sich, sondern eine Reihe von Verbesserungen im Bereich Sicherheit. Während bei den Vorgänger-Produkten noch viele Sicherheitseinstellungen standardmäßig deaktiviert waren, galt dies bei Windows Server 2003 im Hinblick auf die Risikoverminderung nicht mehr. Beim Hauptangriffspunkt von Servern, den Internetinformationsdiensten (Internet Information Services, IIS), wurde deutlich nachgebessert. Microsoft trennte den Kernel von den Web-Applikationen, und die kritischen Dienste wurden standardmäßig nicht installiert oder aktiviert. Administratoren mussten Funktionen, die Sicherheitsprobleme aufwerfen konnten, von nun an bewusst aktivieren auch nach der Installation der Internetinformationsdienste. Technische Details Die IIS 5 von Windows 2000 Server waren noch vom Prozess inetinfo.exe abhängig. Dieser Prozess steuerte den Kern des Servers und die installierten Anwendungen. Stürzte eine Anwendung ab, konnte dies den ganzen Server in Mitleidenschaft ziehen. In der neuen Version musste dieses Problem behoben werden. IIS 6, die Version der Internetinformationsdienste unter Windows Server 2003, baut auf zwei neuen Prozessen auf. Ein Prozess, http.sys, steuert den Kernel, der Prozess WWW Service Administration and Monitoring Component dient zur Verwaltung der Benutzerzugriffe. Durch diese Trennung wurde die Stabilität deutlich erhöht, da ein fehlerhafter Code den Kernel 4

5 nicht beeinträchtigen kann. Stürzt eine Webanwendung ab, so funktionieren die anderen Anwendungen weiterhin ohne Beeinträchtigung. Web-Applikationen laufen in Windows Server 2003 in sogenannten Application Pools, also komplett getrennten Speicherbereichen. Jede Anwendung befindet sich in einem logisch getrennten Pool, sodass eine Anwendung eine andere nicht in Mitleidenschaft ziehen kann. Der Kernel und http.sys können nicht beeinträchtigt werden, da der Code immer in den Application Pools ausgeführt wird, niemals im Kernel selbst. Die IIS 6 führen keine Kommandozeilenprogramme auf dem Webserver aus. Mit Kommandozeilenprogrammen wurden die IIS 5 (Windows 2000 Server) und IIS 4 (Windows NT 4 Server) oft attackiert. Zwar konnten diese Angriffe durch entsprechende Schutzprogramme blockiert werden, aber die Standardkonfiguration des Servers war nicht so sicher, wie es von vielen Anwendern gewünscht wurde. Mit Windows Server 2003 gehören Attacken dieser Art bereits in den Standardeinstellungen der Vergangenheit an. Viele Hacker stellen eine Verbindung zu einem Webserver her und verändern dann die dort abgelegten Seiten. Dieser Angriff ist mit den IIS 6 nicht mehr ohne Weiteres möglich: Anonyme Benutzer dürfen nur noch lesend auf Webseiten zugreifen. Administratoren können darüber hinaus steuern, wie viele Daten auf den Server hochgeladen werden. Nach der Installation laufen die IIS zunächst nur mit minimaler Funktionalität und deshalb sehr sicher. Einzelne Funktionen sind nachträglich zu aktivieren. Standardmäßig unterstützen die IIS 6 nach der Installation nur statische HTML-Seiten. ASP und XML müssen ausdrücklich eingeschaltet werden. Die Installation der IIS lässt sich mithilfe von Windows-Server-2003-Gruppenrichtlinien unterbinden. Auf diesem Weg können Administratoren zentral sicherstellen, dass kein Windows-Server-2003-Computer zum Sicherheitsleck im Netzwerk wird. Die IIS laufen außerdem mit einem Benutzerkonto mit eingeschränkten Rechten. Wird also ein Webserver gehackt, kann das Netzwerk trotzdem nicht kompromittiert werden, da auch der Hacker nur über die eingeschränkten Rechte verfügt. Mit dem Service Pack 1 für Windows Server 2003 wurden die Rechte der einzelnen Systemdienste, ebenfalls ein häufiger Angriffspunkt, extrem eingeschränkt. Diese Dienste erhalten von nun an nicht mehr so viele Rechte wie möglich, sondern nur noch so viele Rechte wie nötig. Auch die kritischen Systemdienste RPC (Remote Procedure Call) und DCOM (Distributed Component Object Model) wurden in ihren Rechten deutlich beschnitten. Der RPC-Dienst hat die Aufgabe, auf anderen Systemen Prozeduren und Befehle aufzurufen, und war daher in der Vergangenheit oft Opfer von Hackerangriffen. Weitere Beispiele der erweiterten Sicherheit sind der neue Security Configuration Wizard (SCW) und die neue Dateiausführungsverhinderung. Mit dem SCW kann ein Windows Server gegen Angriffe gehärtet werden. Mithilfe des Assistenten kann der Administrator gezielt nur die Serverdienste zulassen, die benötigt werden, alle anderen sind deaktiviert. Der SCW konfiguriert dazu nicht nur die Firewall und aktiviert sie, sondern führt auch Änderungen in der Registry durch, die einen Server weiter absichern. Alle Änderungen, die der SCW an einem System durchführt, lassen sich in einem Schritt auch wieder rückgängig machen. Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Serverdiensten eingebaut. 5

6 Das Befehlszeilenprogramm scwcmd.exe dient zum Automatisieren des SCW. Mit diesem Tool können Skripte erstellt werden, bei denen mehrere Server gleichzeitig mit einer Sicherheitsrichtlinie versorgt werden. Mit dem Tool lassen sich auch Richtlinien wieder rückgängig machen, wenn Probleme auftreten. Technische Details Nach der Installation des SCW findet sich im Verzeichnis \Windows\Security\Msscw\ KBs eine Sammlung von XML-Dateien. Diese Dateien enthalten alle wichtigen Informationen über Dienste, Serverrollen und Ports, mit deren Hilfe ein Windows Server 2003 effizient abgesichert werden kann. Neue Produkte lassen sich über XML-Erweiterungen leicht in den Assistenten integrieren. Die Erweiterungen für Exchange Server 2007 zum Beispiel werden aus dem Exchange-Installationsverzeichnis gezogen. Die Dateiausführungsverhinderung (Data Execution Protection, DEP) kann einen schädlichen Programmcode an der Ausführung hindern. Die DEP markiert innerhalb des Arbeitsspeichers den gefährlichen Programmcode und hindert den Server an der Ausführung. Diese Funktion arbeitet mit den integrierten Sicherheitsfunktionen der neuen AMD- und Intel-Prozessoren zusammen. Seit dem Service Pack 1 besteht die Möglichkeit, VPN-Clients bei der Einwahl in einen speziellen Quarantänebereich zu verschieben. Nur Clients, die bestimmte Bedingungen erfüllen, die also beispielsweise einen aktuellen Virenscanner oder einen aktuellen Patch-Stand haben, dürfen sich ins Netzwerk einwählen. Bei dieser Funktion handelt es sich um den direkten Vorgänger des Netzwerkzugriffsschutzes von Windows Server Nach der Installation eines Servers verfügt dieser noch nicht über alle aktuellen Sicherheits-Patches und ist daher angreifbar. Seit dem SP1 für Windows Server 2003 kann durch die Windows-Firewall allerdings jede eingehende Netzwerkverbindung automatisch blockiert werden, bis der Server alle aktuellen Patches installiert hat. Diese Option wird aktiviert, wenn ein Server mit einer Windows-Server-2003-CD installiert wird, die bereits das SP1 enthält. Dies ist ein Beispiel dafür, dass Microsoft mit den Service Packs nicht nur Patch-Sammlungen veröffentlicht, sondern gezielt an der Sicherheit der Be- Nach der Installation eines Servers mit Windows Server 2003 SP1 werden eingehende Verbindungen blockiert, bis aktuelle Patches installiert sind oder ein Administrator den Zugriff gestattet 6

7 triebssysteme arbeitet. Inzwischen hat Microsoft auch das Service Pack 2 für Windows Server 2003 mit weiteren Security-Mechanismen herausgebracht. Durch die neue Unterstützung für WPA2 (WiFi Protected Access 2) lassen sich erweiterte Sicherheitsfunktionen bei der Verbindung mit drahtlosen Netzwerken nutzen. Zudem soll SP2 die Verbindungsaufnahme mit gesicherten Hotspots deutlich vereinfachen. Ein neu aufgenommenes Verschlüsselungsverfahren mit der Bezeichnung AES- CCM (Advanced Encryption Standard Counter with CBC-MAC) konnte die Sicherheit gegenüber WPA nochmals erheblich verbessern. Firewall Ports lassen sich nach einer Authentifizierung öffnen: Erst wenn der entfernte Rechner sich gegenüber dem Server authentifiziert, gibt die Firewall den angeforderten Port frei. Dies ermöglicht es, die Sicherheit in Windows-Server-2003-Netzwerken granularer zu steuern. 2.2 SICHERHEIT AUF DER CLIENT-SEITE UND FÜR COMPUTER VON ENDANWENDERN Auf der Client-Seite führte Microsoft mit Windows ME die automatischen Updates für Betriebssysteme ein. Durch die Möglichkeit, Updates direkt aus dem Internet selbsttätig installieren zu lassen, wurden zum Beispiel das Service Pack 2 für Windows XP und das Service Pack 1 für Windows Server 2003 sehr viel schneller auf den Systemen installiert als vergleichbare Updates unter Windows NT oder Die Integration der automatischen Updates wurde dann für Windows XP, Vista und Windows Server 2008 weiter verbessert und optimiert. Microsoft hat außerdem den Patch Day eingeführt jenen Tag, an dem das Unternehmen monatlich wichtige Sicherheits-Patches veröffentlicht. Mit Erscheinen der Windows XP Home Edition hat Microsoft die MS-DOS-Linie seiner Betriebssysteme komplett eingestellt, sodass jetzt auch Heimanwender vom wesentlich sichereren NT-Code profitieren. Die Veröffentlichung von Service Pack 2 für Windows XP stellt einen weiteren, wichtigen Meilenstein bei der Implementierung größerer Sicherheit dar. Neben fast 900 Patches integrierte Microsoft zahlreiche Sicherheitsfunktionen. Mit dem Service Pack wird beispielsweise erstmalig eine Firewall für Windows automatisch installiert und aktiviert. Sie schützt Windows vor Zugriffen von außen. Seit Windows ME gibt es die automatische Update-Funktion in Windows, die in Windows Vista weiter optimiert wurde Natürlich stellt die Windows-Firewall von SP2 allein noch keinen ultimativen Schutz dar. Microsoft musste neben der Sicherheit auch dem Faktor Bedienbarkeit die notwendige Bedeutung zukommen lassen. Mit dem Service Pack 2 erhielt Windows XP eine Firewall 7

8 Unerfahrenen Anwendern ist es nicht zuzumuten, erst eine Firewall konfigurieren zu müssen, bevor eine Online-Kommunikation stattfinden kann. Dies gilt speziell im privaten Bereich. Durch die Installation des SP2 wurden die meisten PCs erst einmal vor Hackerangriffen aus dem Internet geschützt. Von Bedeutung ist auch, dass die Firewall für den Betrieb mit und ohne Windows-Domäne unterschiedliche Filtereinstellungen verwendet. So kann ein Rechner innerhalb der Domäne relativ offen konfiguriert sein, im eigenständigen Betrieb zum Beispiel über WLAN aber besser abgesichert werden. Microsoft arbeitet eng mit Drittherstellern zusammen, die sich darauf spezialisiert haben, den Firewall- und Virenschutz in Windows XP zu verbessern. Diese Strategie berücksichtigt auch die Rechtssituation. Würden eine noch ausgefeiltere Firewall und ein ebensolcher Virenschutz implementiert, wäre dem Unternehmen eine kartellrechtliche Verfolgung durch die EU nahezu sicher. Schon aus diesem Grund hält es Microsoft für wesentlich effizienter, andere Hersteller bei der Entwicklung von Sicherheitsprodukten zu unterstützen. Mit Windows XP SP2 wurden auch Sicherheitsfunktionen für die immer weiter verbreiteten Drahtlosnetzwerke implementiert. Microsoft führte außerdem das Sicherheitscenter ein, mit dem der Anwender den Virenschutz und die Firewall zentral überwacht. Neu ist die Voreinstellung bei den Automatischen Updates, heruntergeladene Aktualisierungen auch automatisch zu installieren. Viele Anwender hatten in der Vergangenheit zwar die Updates automatisch herunterladen lassen, diese aber dann nicht über das Tray-Icon installiert. Bereits mit diesem Betriebssystemstand hatte Microsoft eine Menge erreicht. Windows XP mit SP2 war das bis dahin sicherste Windows. Auch für den zu diesem Zeitraum aktuellen Internet Explorer 6 hatte Microsoft zahlreiche Sicherheits-Patches und einen Pop-up-Blocker geliefert und mit dem Service Pack installiert. Das in Windows XP enthaltene -Programm Outlook Express gewann durch die Installation von SP2 ebenfalls an Sicherheit. Gefährliche Dateianhänge wurden standardmäßig blockiert, sodass Viren deutlich schwerer auf den PC gelangten als sonst. Alles in allem lässt sich festhalten, dass das SP2 für Windows XP das Betriebssystem ohne Aufpreis wesentlich besser absichert. Viele Experten bezeichnen das Service Pack 2 für Windows XP sogar als Windows XP Second Edition in Anlehnung an Windows 98 Second Edition (SE). Von den Verbesserungen in Windows XP SP2 profitieren Unternehmen genauso wie Privatanwender. 3 PATCHMANAGEMENT FÜR UNTERNEHMEN Sicherheits-Patches sind ein wichtiger Faktor der IT-Sicherheit im Unternehmen, von der Handhabung her aber auch ein Ärgernis. Da immer wieder neue Lücken auftauchen und dementsprechend viele Patches angeboten werden, ist die manuelle Installation für die Systemverwalter fast nicht mehr zu bewältigen. Auch die Aktualisierung einzelner PCs über individuelle Verbindungen zu Updateseiten hat Nachteile, da der Internet-Datenverkehr stark erhöht wird und die Konfiguration von einzelnen Computern sehr aufwendig ist. 8

9 Mithilfe einer Patchmanagement-Lösung werden Sicherheits-Patches auf einem Server zentral bereitgestellt. Der Administrator muss sie für sein Unternehmen also nur einmal vom Hersteller herunterladen und kann dann eventuell nach einem Test festlegen, welche Patches er in seinem Netzwerk für die Installation freigibt. Für das zentrale Patchmanagement in Organisationen stellt Microsoft seit 2003 eine kostenlose Software zur Verfügung, die die Bezeichnung Software Update Services (SUS) trägt. Sie beschafft die Patches via Internet und verteilt sie im internen Netz zentral an die Clients. Als wichtiges Element einer zentralen Sicherheitsinfrastruktur entwickelt Microsoft diese Lösung permanent weiter. Aktuell steht bereits die Version 3.0 der inzwischen in Windows Server Update Services (WSUS) umbenannten Lösung zur Verfügung ( wsus/default.mspx). Die neue Version erreicht durchaus das Niveau mancher kostenpflichtiger, separat entwickelter Patchmanagement-Lösungen. SUS konnte nur systemkritische Betriebssystemupdates verteilen, WSUS bewältigt eine Reihe weiterer Aufgaben. Das Tool kann beispielsweise Statistiken darüber führen, welche Patches bereits installiert wurden. Es unterstützt nicht nur kritische Updates des Betriebssystems, sondern auch solche für andere Microsoft-Produkte und bewältigt Patches aller Art. Microsoft aktualisiert ständig die Liste der Programme, die WSUS auf dem neuesten Stand halten kann, und stellt Drittherstellern eine Schnittstelle zur Integration ihrer Produkte zur Verfügung. Windows Server Update Services 3.0 unterstützt Windows Vista als Betriebssystem für das Verwaltungsterminal und Windows Server 2008 als Server für die Patches. WSUS 3.0 lässt sich auch auf einem 64-Bit-System installieren. Microsoft unterstützt Unternehmen bei der Verteilung von Patches mit den Windows Server Update Services Ebenfalls neu ist der eingebaute -Benachrichtigungsdienst, über den sich Berichte an bestimmte -Adressen im Unternehmen senden lassen. Wenn neue Updates eintreffen, kann der Server einen Administrator via benachrichtigen, der so kein kritisches Patch mehr verpasst. WSUS 3.0 unterstützt bis zu Clients und ein verkürztes Aktualisierungsintervall. Während sich ein WSUS-2.0-Server nur einmal am Tag mit Microsoft Update synchronisieren konnte, kann dies ein WSUS-3.0- Server stündlich tun. 9

10 Nur vom Administrator genehmigte Updates werden an die angebundenen Clients verteilt. Der Systemverwalter kann aber auch Regeln definieren, auf deren Basis bestimmte Installationen automatisch vorgenommen werden. Auf diesem Weg lassen sich neue Versionen von bereits genehmigten Patches vollkommen automatisiert im Unternehmen verteilen, ohne dass ein Administrator eingreifen muss. Administratoren können über den aktuellen Patch-Stand im Unternehmen regelmäßig per informiert werden Im Hinblick auf den Datenschutz sind die Microsoft-Update-Dienste zertifiziert: Der Microsoft Update Service 6.0 sowie der Windows Server Update Service 2.0 erhielten ein Gütesiegel vom renommierten Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Ein weiteres ULD-Gütesiegel hat Microsoft im September 2007 für das Produkt Microsoft Windows Genuine Advantage (WGA) für Windows XP verliehen bekommen. WGA überprüft Computer, die mit dem Betriebssystem Windows XP oder Windows Server ausgestattet sind, auf autorisierte Lizenzen. Die Gutachter haben im Auftrag des ULD vor allem untersucht, welche Daten WGA vom Rechner des Anwenders an Microsoft übermittelt und wie diese Informationen dort verarbeitet werden. Dabei wurde laut ULD-Pressemeldung festgestellt, dass zwar Daten zur Identifizierung des Rechners übertragen werden, unterschiedliche Hash-Verfahren und organisatorische Bestimmungen innerhalb der Microsoft Corporation aber verhindern, dass die Rechnerdaten zu Personen in Beziehung gesetzt werden können. Auch im Nachhinein ist eine Identifizierung von Nutzern durch Microsoft nicht möglich. Ein weiteres wertvolles Tool für Einzelplatz-Computer und Netzwerke ist der Microsoft Baseline Security Analyzer (MBSA). Mit dem MBSA können Windows-Rechner eines Netzwerkes auf Sicherheitslücken und fehlende Patches untersucht werden. Das Tool liefert ausführliche und leicht nachvollziehbare Informationen darüber, welche Sicherheitseinstellungen auf den geprüften Computern nachgebessert und welche Patches unbedingt nachgeholt werden sollten. Auch der MBSA steht kostenlos zur Verfügung 10

11 ( Das Tool untersucht auch große Netzwerke effizient auf Sicherheitslücken. 4 SICHERHEIT FÜR KLEINE UNTERNEHMEN Die Small-Business-Server-Produktlinie soll kleineren Unternehmen, die keine eigene IT-Abteilung haben, möglichst die kompletten Microsoft-Produktlinien zugänglich machen. Während der Einrichtung helfen Assistenten dabei, das System zu installieren und zu konfigurieren. In der aktuellen Version Small Business Server 2003 R2 hat Microsoft viel Wert darauf gelegt, dass die Assistenten die Einrichtung nicht nur einfach und stabil, sondern auch mit dem Ziel eines möglichst sicheren Betriebs durchführen. Für die Anbindung an das Internet kommt ein ISA Server zum Einsatz, dessen Dienste die Assistenten mit dem Ziel hoher Sicherheit konfigurieren. Sogar der Webzugriff auf den Server wird automatisch mit SSL-Verschlüsselung eingerichtet, ohne dass ein Administrator hierzu manuell eingreifen muss. Für Small Business Server 2003 R2 stellt Microsoft eine speziell angepasste Version der Windows Server Update Services (WSUS) bereit. Durch diese Erweiterung kommen auch kleine Unternehmen in den Genuss der automatischen Installation von Sicherheits-Patches. Vor allem die Mit dem Small Business Server 2003 R2 stellt Microsoft Unternehmen eine Installation und die einfach zu bedienende, aber sehr sichere Server-Infrastruktur zur Verfügung Überwachungsfunktionen wurden an Small Business Server 2003 R2 angepasst und die Konfiguration der Aktualisierungsdienste in die Serververwaltungskonsole von Small Business Server 2003 R2 integriert. WSUS wird so zum größten Teil automatisch eingerichtet und muss nicht mehr gesondert heruntergeladen und installiert werden. Auch die Berichte des WSUS sind speziell an die Berichtekonsole des Small Business Server 2003 R2 angepasst worden, sodass der Geschäfteinhaber auch ohne große IT- Erfahrung immer sicherstellen kann, dass aktuelle Patches auch installiert werden. Die Aktualisierungsdienste können jedes in Small Business Server 2003 R2 enthaltene Produkt, also auch etwa Outlook 2003 und Frontpage 2003, automatisch aktuell halten. Microsoft verfolgt außerdem die Strategie, System- und Sicherheitsmanagement mit Rücksicht auf die Bedürfnisse kleinerer Unternehmen besser aufeinander abzustimmen (> siehe Abschnitt 14). 11

12 5 EXCHANGE SERVER Eines der wichtigsten Produkte von Microsoft ist der Exchange Server. Dieser steht derzeit in der Version Exchange Server 2007 zur Verfügung und wurde über die Versionen Exchange 5.0, 5.5, 2000 und 2003 ständig verbessert. Da die erste öffentlich vertriebene Version, Exchange 4.0, erstens vergleichsweise preisgünstig und zweitens eines der ersten -Systeme war, die unter Windows NT liefen, setzte sie sich schnell und erfolgreich bei zahlreichen Firmen durch, die bisher mit den wesentlich komplexeren und teureren Unix- -Systemen gearbeitet hatten. Das Standardprotokoll war noch X.400, der Client hieß noch Exchange Client. Mit der Weberweiterung war es erstmals möglich, mit einem Webbrowser auf die öffentlichen Ordner zuzugreifen, jedoch noch nicht auf das eigene Postfach. Ein Jahr nach der ersten Exchange-Version brachte Microsoft die Version 5.0 auf den Markt, die zusätzlich die Internetstandards NNTP, SMTP und POP3 unterstützte. Als Clientsoftware wurde jetzt Outlook angeboten und erstmalig die Abfrage des Postfachs via HTTP Outlook Web Access ermöglicht. Einige Monate später, Anfang 1998, schob Microsoft dann die Version 5.5 nach, die Fehler der Version 5.0 behob und die Sicherheit des Systems deutlich verbesserte. Auch jetzt setzen viele Firmen noch Exchange 5.5 ein, das erstmals Clustering unterstützte. Anfang 2000 kam Exchange 2000 auf den Markt. Für dieses System wurde Outlook Web Access komplett neu entwickelt, Active/Active-Clustering eingeführt und die komplette interne Struktur von Exchange verändert. Der größte Vorteil von Exchange 2000 ist die Integration des Exchange-eigenen Verzeichnisses in das Active Directory. Dadurch findet die Authentifizierung mit dem neuen Kerberos-Protokoll statt, das das Ausspionieren von Benutzerkennwörtern effektiv verhindert. Seit 2003 steht die Version Exchange Server 2003 zur Verfügung, bei der die - Sicherheit ein weiteres Mal deutlich verbessert wurde. Outlook Web Access 2003 arbeitet zum Beispiel mit dem Verschlüsselungsstandard S/MIME. Meldet sich ein Benutzer an Outlook Web Access an, wird das Anmeldeticket in einem Cookie gespeichert. Dieses Cookie verliert beim Abmelden oder spätestens nach 30 Minuten seine Gültigkeit. So wird verhindert, dass ein Angreifer Outlook-Web-Access-Verbindungen allzu leicht für seine eigenen Zwecke nutzen kann, etwa wenn ein Mitarbeiter von einem öffentlichen Computer aus aufs Firmennetz zugegriffen hat. Ebenfalls eingeführt wurde die Möglichkeit, mit Pocket-PCs und Smartphones von unterwegs Postfächer aufzurufen. Die Installation von Exchange Server 2007 kann rollenbasiert erfolgen 12

13 Das Service Pack 2 für Exchange Server 2003 brachte weitere Fortschritte im Bereich Sicherheit. Microsoft integrierte Richtlinien, die zum Beispiel den Schutz von mobilen Clients deutlich verbessern. So kann der Exchange Server die mobilen Endgeräte mit der Remote-Wipe-Funktionalität löschen, wenn sie verloren gehen oder gestohlen werden. Eine weitere neue Security-Funktion für Endgeräte ist das PIN-Lock. s, die auf Pocket-PCs geschrieben werden, können mit S/MIME verschlüsselt oder signiert werden. Die Authentifizierung der Pocket-PCs erfolgt mit Zertifikaten, ohne dass Daten lokal gespeichert werden müssen. Mit dem Service Pack 2 führte Microsoft auch einen Spamschutz für Unternehmen ein und stellte diesen Dienst kostenlos zur Verfügung. Mit dem Intelligent Message Filter (IMF) 2.0 können Unternehmen Spam- s ausfiltern, ohne zusätzliche Software kaufen zu müssen. Der IMF integriert Filtermethoden in Exchange Server 2003, die an jedes Unternehmen individuell angepasst werden können: Filterung der Nachrichtengröße und Anzahl der Empfänger, Absenderfilterung und Reverse-DNS-Auflösung hier wird überprüft, ob der absendende -Server auf der MX-Liste (Mailexchanger) der Domäne im Internet aufgeführt ist. Spam- und Virenabsender verwenden oft offene Relays im Internet; aus diesem Grund kann die beschriebene Funktion erheblichen Schutz bieten. Weitere Filter sind die Empfängerfilterung, Verbindungsfilterung also Sperrlisten für einzelne -Server, die auf schwarzen Listen stehen und die Absenderkennungsfilterung (SenderID). Hier werden s nur von Absendern angenommen, die verifiziert werden können. Mit der SenderID lässt sich also verhindern, dass Exchange Spam- und Virenabsender akzeptiert, die s mit einer gefälschten -Adresse abgesendet haben. Mit Exchange Server 2007 geht Microsoft noch einen Schritt weiter, um die Sicherheit im Bereich zu verbessern. Die Installation von Exchange Server 2007 kann rollenbasiert erfolgen. Vor allem Unternehmen, die mehrere Exchange Server einsetzen, können auf den einzelnen Servern nun ausschließlich diejenigen Funktionen installieren, die auch gebraucht werden. Dadurch werden Sicherheitslücken und Fehler in der Konfiguration vermieden. Technische Details In Exchange 2007 ist es zum Beispiel möglich, nur die Funktionen eines -Routing-Servers zu installieren. Es ist nicht mehr nötig, alle Exchange-Funktionalitäten auf dem Server erst zu installieren und später nach und nach wieder abzuschalten. Bisher war es auch nicht vorgesehen, Bridgehead-Server als selbstständige Funktion zu installieren. Ein sogenannter Edge-Transport-Server, der zum Beispiel für den - Versand ins Internet oder das Scannen von s zuständig ist, kann unter Exchange 2007 als Standalone-Server betrieben werden. Diese Server müssen keine Mitglieder einer Active-Directory-Domäne sein und können komplett abgesichert in einer eigenständigen DMZ betrieben werden. Mithilfe der Funktion Local Continuous Replication (LCR), deutsch fortlaufende lokale Sicherung, legt Exchange 2007 parallel zu seiner produktiven Datenbank ein Replikat an, das zum Beispiel bei einer Wiederherstellung genutzt werden kann. Fällt die Festplatte auf dem Server aus, auf der die Exchange-Datenbank gespeichert wurde, kann ein Administrator ohne Zeit- und Datenverlust auf das Replikat umschalten. Die Anwender arbeiten ohne Ausfall weiter. Diese Funktion wird in der Standard Edition und der Enterprise Edition unterstützt, ist also nicht nur großen Unternehmen vorbehalten. 13

14 6 IDENTITÄTSMANAGEMENT Identitätsmanagement gehört zu den Basistechniken moderner Informationssicherheit. Microsoft bietet hier nicht nur Lösungen für den internen Bedarf von Unternehmen, sondern auch für die Zusammenarbeit zwischen Partnerunternehmen an. 6.1 IDENTITY LIFECYCLE MANAGER (ILM) 2007 Die Verwaltung der digitalen Identitäten ihrer Anwender und die schnellstmögliche Vergabe von Rechten (Provisioning) sowie deren ebenso verzögerungsfreier Entzug werden für viele Unternehmen zu einem immer wichtigeren Part ihres Risikomanagements. Um diese sicherheitsrelevanten Aufgaben zu erleichtern, hat Microsoft auf der Basis des Microsoft Identity Integration Servers (MIIS) 2003 und des Certificate Lifecycle Managers (CLM) den Identity Lifecycle Manager (ILM) 2007 entwickelt. Er systematisiert und erleichtert das Management der digitalen Identitäten, Zertifikate und Smartcards über ihre gesamte Lebensdauer hinweg und vereint Zertifikats- und Kennwortmanagement mit Metadirectory-Funktionen. ILM 2007 arbeitet eng mit den Microsoft-Serverprodukten und dem Active Directory zusammen, stellt einen zentralen Zugang zu den Identitätsdaten im Unternehmen zur Verfügung und synchronisiert Einträge, die sich in verschiedenen Repositories befinden, auch in einer heterogenen Umgebung. ILM richtet Postfächer, Zugriffsrechte und Konten ein, sodass neue Mitarbeiter im Unternehmen ohne Verzug ihre Tätigkeiten aufnehmen können. ILM erlaubt es aber auch, die gesamten Rechte genauso schnell wieder zurückzuziehen, etwa wenn ein Anwender eine Organisation verlässt. Zusätzlich entdeckt ILM automatisch Anomalien, beispielsweise aktive Konten für bereits ausgeschiedene Anwender. Soweit es möglich und sicherheitstechnisch akzeptabel ist, können die Endanwender ihre Identitätsdaten selbst verwalten, sodass Support und Administration entlastet werden. ILM arbeitet nicht nur mit Microsoft-Produkten zusammen, sondern auch mit Systemen vieler anderer Hersteller. Im Bereich Betriebssysteme und Directory Services sind dies zum Beispiel der IBM Tivoli Directory Server, Novell edirectory und Sun Directory Server (Netscape/iPlanet/SunONE). Bei den Mainframes werden IBM Resource Access Control Facility sowie Computer Associates etrust ACF2 und etrust Top Secret unterstützt. Im Bereich Anwendungen verfügt ILM über Konnektoren zu Lotus Notes, SAP, diversen Telefon-Switches, XML- und DSML-gestützten Systemen sowie zu Datenbanken wie IBM DB2 und Oracle 10g, 9i und 8i. ILM 2007 besteht aus zwei zentralen Komponenten einer, die das Metadirectory und die Provisioning-Ressourcen umfasst, und einer für das Zertifikats- und Smartcardmanagement. Die Identitätsinformationen werden über Konnektoren von den angeschlossenen Repositories und Anwendungen an das ILM-eigene Metaverse Repository übermittelt. Änderungen dort werden dann an die anderen Repositories und Anwendungen zurückübermittelt. Architektur des Identity Lifecycle Managers (ILM)

15 6.2 ACTIVE DIRECTORY FEDERATION SERVICES Zu den lästigsten Hindernissen der modernen, webgestützten Wirtschaft gehört die immer neue Anmeldung an verschiedenen Webressourcen im Rahmen derselben Transaktion etwa bei der Buchung eines Mietwagens im Zusammenhang mit der Registrierung für einen Flug oder bei der Arbeit mit den Bestellsystemen kooperierender Unternehmen. Damit die Betreiber entsprechender Systeme ihren Anwendern die Mehrfachanmeldung ersparen können, stellt Microsoft die Active-Directory-Verbunddienste (Active Directory Federation Services, ADFS) zur Verfügung. Sie ermöglichen unter anderem die webgestützte Extranetauthentifizierung und -autorisierung sowie Web Single Sign-on (SSO) und bieten Identity Federation für Serverumgebungen unter Windows. Funktionen vorhandener Active-Directory-Implementierungen lassen sich so auf ganze B2C-Extranets, unternehmensinterne Verbände mit mehreren Gesamtstrukturen sowie Szenarien mit B2B-Internetverbänden ausdehnen. Unternehmen können auf diese Weise im Active Directory gespeicherte Identitätsinformationen eines Anwenders über sogenannte Federation Trusts gemeinsam nutzen, was die produktive Zusammenarbeit mit Partnern und die Delegierung der Benutzerverwaltung deutlich vereinfacht. ADFS arbeitet mit anderen Sicherheitsprodukten zusammen, die die WS-Web- Services-Architektur unterstützen (WS-Federation). Die Architektur von ADFS unterstützt außerdem SAML-Tokens (Security Assertion Markup Language), Kerberos- Authentifizierung, X.509-Zertifikate, Smartcards und Lightweight Directory Access Protocol (LDAP) Bind. 7 MICROSOFT FOREFRONT SECURITY Mit Forefront Security for Exchange kann eine Exchange Server Infrastruktur effizient vor Viren geschützt werden Damit Microsoft-Netzwerke noch sicherer werden, hat Microsoft kontinuierlich neue Lösungen entwickelt, um Viren und andere schädliche Software zu identifizieren und zu entfernen. Bei Microsoft Forefront handelt es sich um eine Sammlung von Sicherheitslösungen für Unternehmen. Von Forefront Security geschützt werden spezielle Microsoft-Server-Lösungen wie zum Beispiel der Groupware- und -Server Exchange Server 2007 und das Dokumentenmanagement System SharePoint. Forefront Client Security dient dem zentral verwalteten Virenschutz von Client-PCs und Servern im Netzwerk. 15

16 7.1 CONTENT SECURITY Die Forefront-Produktfamilie enthält die folgenden Content-Security-Lösungen: Microsoft Forefront Client Security (vormals bekannt als Microsoft Client Protection), Microsoft Forefront Security for Exchange Server (früher Sybari Antigen for Exchange), Microsoft Forefront Security for SharePoint (früher Sybari Antigen for SharePoint) und Microsoft Forefront Security for Office Communications Server (Antigen for Instant Messaging) VIRENSCHUTZ FÜR SERVER Forefront Security for Exchange und Forefront Security for SharePoint haben ihren Ursprung also im Produkt Antigen des Unternehmens Sybari, das Microsoft im Juni 2005 übernommen hat. Microsoft hatte zuvor schon über einen längeren Zeitraum mit Sybari zusammengearbeitet. Microsoft Forefront Security for Exchange Server hat die Aufgabe, s bei der Zustellung auf Viren oder Spams zu prüfen. Dabei unterstützt die Lösung sowohl das Scannen des SMTP-Verkehrs zum Beispiel von einem ISA Server oder einem anderen Internet-Gateway als auch den direkten Zugriff auf die Exchange-Datenbanken, um den Server frei von Schädlingen zu halten. Die Lösung setzt auf die von Microsoft lizenzierten Engines der Unternehmen AhnLab, Authentium, CA (VET und Innoculate), Kaspersky Labs, Norman Data Defense, Sophos und VirusBuster. Eingehende s können auf diese Weise von mehreren Scan Engines unterschiedlicher Hersteller gleichzeitig geprüft werden. Forefront Security scannt aber standardmäßig nicht jede mit allen verfügbaren Engines, sondern setzt einen intelligenten Mechanismus ein, um den Server nicht zu stark zu belasten. Dieser steuert, mit wie vielen und welchen Engines eine gescannt werden soll. Technische Details Während eine einzelne Scan Engine durchaus einen Virus übersehen kann, ist dies beim Scannen mit verschiedenen Engines nahezu unmöglich. Forefront verwaltet die verschiedenen Engines mit dem Multiple Engine Manager (MEM). Der MEM legt fest, mit welchen Scan-Engines und in welcher Reihenfolge Dateien gescannt werden. Basierend auf dem Scan Ergebnis einer Engine entscheidet der MEM, ob das Scannen durch weitere Engines erforderlich ist oder ob die an das Postfach weitergeleitet werden kann. Sobald eine einzelne Scan Engine den Verdacht hegt, dass eine Datei einen Virus enthalten könnte, veranlasst Forefront das Scannen der Datei mit weiteren Engines. Der MEM ordnet die verschiedenen Engines in einer Reihenfolge an, die auf der Aktualität der jeweiligen Definitionsdateien, der Performance und den internen Ergebnissen der Scan-Vorgänge beruht. 16

17 Die SharePoint-Lösung von Forefront Security funktioniert analog und verwendet die gleichen Scan Engines. Beide Module ähneln sich in Konzept und Arbeitsweise. Forefront Security for SharePoint unterstützt Microsoft Office SharePoint Server 2007 und die kostenlose Lösung Microsoft Windows SharePoint Services Version FOREFRONT CLIENT SECURITY Bei Forefront Client Security handelt es sich um eine zentral verwaltete Antivirenlösung für Client-PCs. Forefront Client Security basiert auf derselben Technologie, die auch in Windows Live OneCare verwendet wird, der neuen Antivirenlösung für Heim- PCs. Bei der zentralen Verteilung von neuen Virensignaturen arbeitet Forefront Client Security zusammen mit den Windows Server Update Services (WSUS). Mit Forefront Client Security können Unternehmen auch Sicherheitsrichtlinien für Client-PCs auf der Basis der Gruppenrichtlinien im Active Directory durchsetzen. 7.2 INTERNET SECURITY UND ACCELERATION (ISA) SERVER 2006 Ebenfalls Bestandteil der Forefront-Security-Lösung ist der bereits erhältliche Internet Security and Acceleration Server 2006 (ISA). Beim ISA Server handelt es sich um einen Webproxy mit integrierten Firewall- und VPN-Server-Funktionen. Auch im Bereich Routing ist der ISA Server eine Weiterentwicklung zum Windows Server RAS- und Routing-Dienst. Mit ISA Server 2006 kann ein Unternehmen stabil und sicher mit dem Internet verbunden werden Die Bedienung des ISA Servers erfolgt über eine grafische Oberfläche. Mit ihrer Hilfe konfiguriert der Systemverwalter Firewall-Regeln, Proxy-Einstellungen und die VPNs. Viele Unternehmen setzen den ISA Server aufgrund der nahtlosen Integration in das Active Directory ein. Es ist für sie von Vorteil, dass die Benutzerauthentifizierung am Proxy über die Domänenanmeldung durchgeführt werden kann. 17

18 Der ISA Server enthält Assistenten, mit deren Hilfe sich die einzelnen Exchange-Funktionalitäten wie Outlook Web Access, Exchange ActiveSync und Outlook Anywhere sicher und verschlüsselt über das Internet zur Verfügung stellen lassen. Oft wird der ISA Server auch als -Gateway genutzt und kann daher ebenfalls über Forefront Security geschützt werden. Der ISA Server 2006 enthält viele Verbesserungen im Bereich der Server- und Webserververöffentlichungen sowie eine Reihe neuer und erweiterter Authentifizierungsverfahren. Für authentifizierten und verschlüsselten Client- Zugriff bietet ISA Server 2006 End-to-End- ISA Server 2006 arbeitet eng mit Exchange Server 2007 Sicherheit und Filterung auf der Anwendungsebene unter Verwendung von SSL-to- SSL-Bridging. Verschlüsselte Daten werden hierbei untersucht, bevor sie den Exchange Server erreichen. Die ISA-Server-2006-Firewall entschlüsselt den SSL-Strom, überprüft dessen Zustand, verschlüsselt die Daten anschließend erneut und leitet sie an den Webpublishingserver weiter. Bei der erwähnten Zustandsüberprüfung kommt eine Firewall-Architektur auf Netzwerkebene zum Einsatz. Im Gegensatz zur statischen Paketfilterung, bei der ein Paket basierend auf den Kopfzeileninformationen untersucht wird, werden hier alle Verbindungen über die Firewall-Schnittstellen und deren Gültigkeit getestet. ISA Server 2006 implementiert die Unterstützung für SSL-Bridging automatisch bei der Konfiguration von Webpublishing. 7.3 APPLICATION GATEWAY (IAG) 2007 Ein weiteres Produkt ist das Microsoft Intelligent Application Gateway (IAG) IAG 2007 bietet eine Single-Sign-on-Lösung für Unternehmen und erlaubt es, VPNs auf SSL-Basis aufzubauen. Browser-basiert können Mitarbeiter über SSL auf interne Anwendungen und sogar auf das komplette Netzwerk zugreifen. Hauptsächlich handelt es sich bei IAG 2007 um eine Erweiterung des ISA Servers IAG 2007 liefert zusätzliche Sicherheitsfunktionen und lässt strengere Authentifizierungsmechanismen zu. Der Zugriff auf die Applikationen des Unternehmens erfolgt über ein komplett individuell anpassbares Portal. 18

19 8 SICHERHEIT IN WINDOWS VISTA Mit Windows Vista bringt Microsoft ein Betriebssystem auf den Markt, das in großem Maße von der Trustworthy-Computing-Initiative und den damit verbundenen Prinzipien für sicheres Programmieren (Security Development Lifecycle, SDL) profitiert. 8.1 SECURE DEVELOPMENT LIFECYCLE (SDL) Die Entwicklung von Windows Vista baut auf dem Secure Development Lifecycle (SDL) auf. Microsoft schult seine Entwickler im Rahmen dieses Modells regelmäßig darin, wie man schon bei der Programmierung für Sicherheit sorgt. SDL fußt hauptsächlich auf den Trustworthy-Computing-Grundsätzen (> siehe Abschnitt 2) von Microsoft und erweitert diese um zusätzliche Sicherheitsaspekte. Windows Vista wurde nicht auf der Codebasis von Windows XP entwickelt, sondern auf der von Windows Server Es ist deshalb deutlich stabiler und sicherer, da beim Server 2003 von vornherein der Trustworthy-Computing-Ansatz zum Zuge kam (> siehe Abschnitt 2.1). Wurden die bisherigen Windows-Versionen noch hauptsächlich auf hohe Funktionalität und ansprechendes Design hin entwickelt, stand die Sicherheit bei Windows Vista von Beginn an im Mittelpunkt. Alle neuen Funktionen in Windows Vista wurden bereits während der Entwicklung auf Angriffsmöglichkeiten hin überprüft und in Bezug auf die Sicherheit optimiert. Microsoft testet die einzelnen Funktionen regelmäßig auf Sicherheit und lässt sie von Spezialisten sicherheitstechnisch zertifizieren. Als erste deutsche Buchpublikation zur sicheren Programmierung ist im September 2007 bei entwickler.press ein Sammelband erschienen, der in enger Zusammenarbeit mit der Microsoft Deutschland GmbH entstand: Sichere Software mit Microsoft.NET entwickeln. Ausgewählte Beiträge. Hrsg. von Dr. Said Zahedani. ISBN-10: ISBN-13: Der Band befasst sich mit Themenbereichen wie den Fundamenten und der Praxis sicherheitsorientierter Softwareentwicklung, Smart Clients und Web Security. Dr. Said Zahedani ist seit 2003 Direktor der Developer Platform & Strategy Group und Mitglied der Geschäftsleitung der Microsoft Deutschland GmbH. Er ist vor allem verantwortlich für die Belange der Softwareentwickler in Deutschland und unterhält Kontakte zur deutschen Softwareindustrie, zu Hochschulen und Forschungseinrichtungen sowie zu Microsoft Research. 8.2 SYSTEMDIENSTE IN WINDOWS VISTA In Windows Vista hat Microsoft die Berechtigungen der Systemdienste weiter deutlich eingeschränkt. Die Dienste dürfen grundsätzlich nur noch diejenigen Aktionen durch- 19

20 führen, für die sie auch tatsächlich vorgesehen sind. Nicht benötigte Dienste werden gar nicht erst gestartet. In Windows Vista erhält jeder Dienst einen sogenannten Service Security Identifier (SID) und verfügt damit über eine eigene Identität. Für jeden Dienst wird auf Basis dieses SID festgelegt, auf welche Bereiche des Netzwerks, des Dateisystems und der Registry er zugreifen darf. Versucht sich ein Dienst Zugang zu Bereichen außerhalb seines Sicherheitsprofils zu verschaffen, wird dieser Vorgang blockiert. Diensten werden darüber hinaus Firewall-Richtlinien zugewiesen, die einen Netzwerkzugriff außerhalb ihrer normalen Grenzen verhindern. Jede dieser Firewall-Richtlinien ist direkt mit dem SID verknüpft. Angreifer können Systemdienste unter Windows Vista deshalb so gut wie nicht mehr für Angriffe auf das System nutzen, weil den Diensten die dazu nötigen Rechte fehlen. 8.3 SICHERUNG DES LOKALEN ADMINISTRATORENKONTOS Das lokale Administratorenkonto in Windows Vista ist standardmäßig deaktiviert. Einzige Ausnahme: Wenn Windows Vista während der Aktualisierung von Windows XP nach Vista erkennt, dass der Administrator das einzig aktive lokale Konto mit administrativen Berechtigungen ist, bleibt das Konto in dieser Form aktiv. In Windows Vista werden den Standardbenutzerkonten zusätzliche Berechtigungen zugeteilt, damit die Anwender Aufgaben erfüllen können, die sich anders nicht erledigen lassen. Die neuen Berechtigungen ermöglichen den Zugriff auf die Systemuhr und den Kalender, die Änderung der Zeitzone, die Bearbeitung der Sicherheitseinstellungen für Drahtlosnetzwerke, die Änderung der Energieeinstellungen sowie den Download und die Installation von wichtigen Aktualisierungen mittels Windows Update. Darüber hinaus ist die Festplattendefragmentierung in Windows Vista ein automatischer Prozess. Es ist bei diesem System also nicht mehr notwendig, einem normalen Benutzerkonto Administratorenrechte zu gewähren, nur weil einige Aktionen erhöhte Rechte benötigen. Maßnahmen, die Administratorenrechte erfordern, sind in der Benutzeroberfläche durch ein Schild-Symbol gekennzeichnet, sodass es für Benutzer ersichtlich ist, welche Konfigurationen sie ändern dürfen und welche nicht. Technische Details Solange auf Computern, die keiner Domäne angehören, weitere aktive, administrative Konten existieren, kann das Standard-Administratorenkonto nicht im abgesicherten Modus genutzt werden. Diese Möglichkeit, quasi durch die Hintertür einzubrechen, ist in Windows Vista somit blockiert. Wird allerdings das letzte lokale Konto mit administrativen Berechtigungen herabgestuft, gelöscht oder deaktiviert, lässt sich das Administratorenkonto im abgesicherten Modus für eine komplette Wiederherstellung des PCs nutzen (Disaster Recovery). Computer, die Mitglied einer Domäne sind, werden anders behandelt. Hier kann der standardmäßig deaktivierte, lokale Administratoren-Account nie zur Anmeldung im abgesicherten Modus benutzt werden, auch nicht nach der Aktivierung. Dies verhindert, dass sich Standardbenutzer lokal mehr Rechte verschaffen, als ihnen zentral zugeteilt wurden. Ein Mitglied der Gruppe der Domänen-Administratoren allerdings darf sich an jedem Rechner anmelden, der Domänenmitglied ist, und dort lokale administrative Konten für die weitere Verwaltung erzeugen, falls keine existieren. Sollte sich kein Domänenadministrator lokal angemeldet haben, muss ein Computer, der 20