Sicherheit im Internet - Vertiefung -

Transkript

1 Sicherheit im Internet - Vertiefung - von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, Göttingen Fon: Fax: gwdg@gwdg.de Themen Bits und Bytes zu ausgewählten Themen Personal Firewalls Betriebssystem Windows XP - Anpassung der Installation - Software Update Service (SUS) Browser-Konfiguration Mailprogramme Virenscanner Was tun mit kompromittierten Systemen? 2 1

2 Hintergrund: IP-Adressen Internet Protocol (IP) Basis der weltweiten Kommunikation im Netz Verbindungen im Internet erfolgen über IP-Adressen vergleichbar Telefonnummern bestehen aus 4 Zahlen zwischen 0 und 255 Beispiel: Namen von Internetservern nur eine Hilfe für Nutzer Beispiel: Umsetzung über Domain Name Service (DNS) automatische Telefonauskunft Über die IP-Adressen, das IP-Protokoll und die Netzwerkinfrastruktur aus Routern und Kabeln wird die Erreichbarkeit von Rechnern sichergestellt. 3 Hintergrund: Ports Rechner haben verschiedene Funktionen (Dienste) Zusätzliche Angabe des Dienstes nötig Spezielle Protokolle zusätzlich zu IP ( höhere Protokollschichten ) Gängige Protokolle: - TCP (Transmission Control Protocol) - UDP (User Datagram Protocol) Bei beiden Spezifikation von Diensten über Portnummern zwischen 1 und (2 16-1) Jedem Dienst wird im Internet eine Nummer zugeordnet. - Beispiel: Der Dienst http erhält immer die Nummer

3 Hintergrund: Beispiel bekannter Ports Beispiele bekannter Portnummern (Windows-typisch): 22 SSH (Verschlüsselte Dialogzugänge unter UNIX) 25 SMTP (Mail verschicken, Mailempfang auf Servern) 53 DNS (Umsetzung zwischen IP-Adressen und Domänennamen 80 HTTP (WWW-Seiten ansehen) 110 POP3 (Mail aus Postfach abholen) 135 Microsoft RPC Service (Blaster-Virus u.a.) 137 netbios name service (Netbios-Namensauflösung, WINS) 138 netbios datagram service (Browsing, Net Send, Benachrichtigungen) 139 NETBIOS Session Service (Netzlaufwerke u.a.) 443 HTTPS (WWW-Seiten über verschlüsselte Kommunikation ansehen) 445 CIFS (Netzlaufwerke u.a. ab Windows 2000 Sasser-Wurm u.a.) 1214 KAZAA (Tauschbörse) 1026 mstask (MS-Taskplaner) 1900 Simple Service Discovery Protocol, z. B. upnp 3389 RDP (Remote Desktop unter Windows) 5000 upnp (Universal Plug & Play) IRC (Chat) Ports unter 1024 sind privilegiert, d.h. nur Systemprozess dürfen diese verwenden. Listen von Ports im Internet z. B.: 5 Hintergrund: Ports - Anwendung Feste und dynamische Portnummern Dienste eine Servers benutzen vordefinierte, feste Portnummern. Auch Klienten verwenden auf ihrer Seite Portnummern, wählen diese aber dynamisch. Sockets ein Paar aus IP-Adresse + Port wird Socket genannt eine Verbindung wird durch ein Paar (Client + Server) von Sockets beschrieben. Einige Anwendungen verwenden getrennte Verbindungen für Steuerung der Kommunikation und für die Datenübertragung FTP (File Transfer Protocol) einige Formen von Video- und Sprachanwendungen Portnummern für Datenverbindungen werden dabei im Steuerkanal dynamisch ausgehandelt - kann für Firewalls ein Problem werden 6 3

4 Portscans Angreifer testen über das Netz, auf welche Ports ein Rechner antwortet. Programme für solche Portscans sind frei verfügbar Portscans finden permanent statt Portscans liefern Hinweise auf Betriebssysteme 7 Welche Dienste horchen auf meinem Rechner ins Netz? netstat betriebssystem-eigenes Programm in der Kommandozeile netstat a zeigt alle Verbindungen an netstat an zeigt Nummern statt Namen Inhalte: Sockets, Zustand Option o zeigt ab Windows XP auch die lokale Prozessnummer tcpview fensterorientiertes Programm von Sysinternals ( zeigt auch Namen des Programms an fport Programm für Kommandozeile zeigt auch den vollen Pfad des laufenden Programms an - nützlich bei forensischen Untersuchungen von Foundstone ( 8 4

5 Aufgaben einer Personal Firewall Grundfunktion: Filtern eingehender Verbindungen Einschränkung auf Basis von IP-Adressen und Ports, z. B. um Dienste nur bestimmten Rechnern zu ermöglichen Schutz gegen Portscans Filtern ausgehender Verbindungen (nicht immer vorhanden) Kann vor Trojanern, Spyware und anderen unerwünschten Programmaktivitäten schützen Zusatzfunktionen einiger Produkte Überprüfung ob Programme geändert werden (kryptographische Prüfsummen) Prüfung, welche Programme andere Programme starten (regelbasiert, ggf. mit Rückfrage an Nutzer) 9 Probleme der Personal Firewall Problem der Definition der Regeln nur einfache Regeln ohne gute Netzwerkkenntnisse zu verstehen - z. B. das Verbieten aller eingehenden Verbindungen in Windows-eigener Firewall komplexere Regeln überfordern normalen Nutzer - bei Verbindungen, zu denen keine Regel existiert, fragt die Firewall den Anwender - Was soll der Anwender machen? Alles erlauben? Alles verbieten? Personal Firewalls lassen sich relativ leicht ausschalten (auch von Viren und Trojanern) Verteidigung durch Personals Firewalls erst auf dem gefährdeten System 10 5

6 Personal Firewall Für r und Wider Argumente gegen Personal Firewall Überforderung der Nutzer mit Bedienung, zu leicht auszuhebeln, statt Angriffe blockieren besser die Angriffstellen entfernen (Dienste gar nicht installieren), wiegt Nutzer in falscher Sicherheit, kann zu unerwarteten Fehlfunktionen führen (insbesondere mit neuer, nicht richtig berücksichtigter Software) Argumente für Personal Firewall zusätzlicher Schutz ist immer gut, bei doppelter Absicherung bleibt noch eine Sicherung, wenn eine einmal versagt, Schutzfunktion auch im lokalen Netz (in dem eine zentrale Firewall nicht mehr helfen kann), Schutz eines neu installierten Systems vor/während Installation der Patches, 11 Personal Firewall Ja oder nein? Unbedingt ja direkt nach der Installation eines neuen Systems bevor es erstmals ans Netz geht, um die aktuellsten Patches einzuspielen! Ansonsten: in der Regel ja die Internet Verbindungsfirewall (Internet Connection Firewall, ICF) von Windows XP in der Standardkonfiguration bietet zusätzlichen Schutz ohne wesentliche Nachteile der Benutzer wir bei der einfachen Grundkonfiguration nicht überfordert bei älteren Systemen lässt sich eine ähnliche Grundkonfiguration z. B. mit Kerio aufbauen Bei Notebooks und mobilen Rechner: ja insbesondere in fremden Netzen aber auch im Institut (sonst vergisst man zu schnell das Reaktivieren) 12 6

7 Kostenlose Produkte Für Einsteiger geeignet, da sie über kein kompliziertes Regelwerk verfügen: Internet Connection Firewall (ICF) in XP eingebaute Firewall ZoneAlarm Deutsche Oberfläche! Eher für fortgeschrittene Anwender: Kerio Personal Firewall Kerio Personal Firewall ICF Internet Connection Firewall = Internet Verbindungsfirewall integriert in Windows XP, verbessert und automatisch aktiviert ab Service Pack 2 unterstützt den Stealth-Mode: die Rechner sind von außen unsichtbar sie schützt aber nur von außen nach innen, nicht jedoch vor Verbindungsversuchen lokaler Software (Trojaner, Spyware) guter Schutz gegen Würmer wie Blaster und Sasser Konfiguration Start > Systemsteuerung > Windows-Firewall Einstellung: Aktiv (empfohlen) über das Registermenü Ausnahmen können verschieden Dienste erlaubt werden über das Registermenü Erweitert lassen sich die Netzwerkverbindungen angeben, für die die ICF gelten soll 14 7

8 ICF (2) wichtig: für die IFC wird der Dienst "Gatewaydienst auf Anwendungsebene benötigt erstellt Protokoll-Datei in <Lw>:\Windows\pfirewall.log Programm zur besseren Betrachtung dieses Logfiles: XP Firewall Logger 2.1a v. Robert McBride 15 Testen einer Personal Firewall Penetrationstest: Leaktest v. Gibson Research Corp. FireHole v. Robin Keir Scans von außen mit Portscannern wie nmap 3.0 oder SuperScan 3.0 Tests mit einem der Security-Scanner wie nessus, Languard,

9 Betriebssystem Windows Windows-Systeme als Angriffsziel weite Verbreitung = Große Erfolgsaussichten weite Verbreitung = bekannte Systeme und Schwächen Sicherheitskonzept Microsoft - Software-Update - Personal Firewall - Virenschutz und zusätzlich - sichere Konfiguration - Sicherheitsbewusstsein - Angriffsfläche minimieren durch Entfernen unnötiger Komponenten - externe Sicherheitsmaßnahmen (z.b. Firewall, Netzwerkstrukturen) 17 Windows-Versionen Hier Konzentration auf Windows XP (Professional) Ältere Windows-Versionen? Win9x kennt eigentlich keinerlei lokale Sicherheit - keine Benutzerverwaltung - FAT-Dateisystem kann nicht sicher konfiguriert werden (Vollzugriff für jeden) - Als professionelles System eigentlich ungeeignet Win9x-Sicherheit im Netz - Geringere Angriffsfläche (z.b. kein Angriff von Blaster- Wurm) - solange keine Freigaben vorhanden! - Durch schlechte lokale Sicherheit höhere Gefahr bei Netzwerkanwendungen (Explorer, Outlook, ) Auslaufende Unterstützung für Win9x, Windows NT bei Microsoft Windows 2000 in vielem ähnliche wie Windows XP 18 9

10 Startpunkt Standardinstallation Nach Installation von Windows XP plus SP2 von CD Benutzerverwaltung neue Benutzer in der Installation ohne Kennwörter eingerichtet Administrator-Konto fehlt auf Anmeldebildschirm Dateisystem Alle Partitionen mit NTFS einrichten Konvertierung von FAT zu NTFS ist problematisch - CONVERT konfiguriert keine Restriktionen in den Zugriffsrechten (Vollzugriff für Jeder )! - Zugriffsrechte der Systempartition muss dann nachbearbeitet (mit Sicherheitsvorlagen oder Tools aus Ressource Kit oder manuell) Nächste Schritte Computerverwaltung (Systemsteuerung > Verwaltung) Lokale Sicherheitsrichtlinie (dto.) 19 Benutzerkonten Die Standardinstallation enthält überflüssige Konten SUPPORT_nnnnnnnn Hilfedienstkonto zumindest das Support-Konto löschen Gast-Konto deaktivieren (nach der Installation schon deaktiviert) umbenennen Löschen nicht möglich und von Microsoft nicht vorgesehen mit delguest-tool möglich Zusätzliches Konto mit Administrator-Recht Möglichst wenige Personen mit Administratorrechten Keine gemeinsam genutzten Konten Option: Kennwort des Kontos mit RID 500 im Safe (möglichst lang und komplex) für Notfälle Unterschiedliche Konten für jeden Rechner? Normale Arbeiten am Rechner nur mit Benutzerrechten Schadensminimierung, wenn doch mal Viren, Würmer, Trojaner geladen werden Was der Benutzer nicht darf, darf ein vom Benutzer gestarteter Schädling auch nicht Ggf. Ausführen als nutzen 20 10

11 Probleme des Kontos Administrator Das Administrator-Konto ist das erste Angriffsziel Das Konto ist hat höchste Privilegien Der Benutzername ist bekannt, nur das Kennwort muss geraten werden Das vordefinierte Administrator-Konto unterliegt keinen Sperrungen! - Kennwortrateangriffe können beliebig lange laufen Administrator umbenennen Eine Hürde mehr, aber die SID (Security Identifier) des Administrator behält ihren bekannten Wert (SID des Rechner mit RID 500) mit Tools zum Auslesen der SIDs kann man den neuen Namen ermitteln trotzdem umbenennen, denn viele Angriffe zielen nur auf den Namen Administrator auch die Beschreibung ändern Dummy-Administrator einrichten neuer Benutzer mit Name Administrator ohne Gruppenzugehörigkeiten (und Rechte) mit der Standardbeschreibung Vordefiniertes Konto sehr langes und komplexes Kennwort wählen beschäftigt einen Angreifer erstmal ohne große Gefahr für das System aber Angriffsversuch wird ggf. sichtbar 21 Kontorichtlinien Kennwortrichtlinien Komplexität der Kennwörter sollte aktiviert werden Minimale Kennwortlänge: 6-8 mindestens (Problem LM-Hash= 2x7) Maximales Kennwortalter zwingt zu Änderungen des Kennwort (Kennwörter sollten regelmäßig geändert werden!) Minimales Kennwortalter verhindert sofortige Änderung auf alten Wert Kennwortchronik verhindert zu schnelle Wiederverwendung von Kennwörtern Kontosperrungsrichtlinien Schutz gegen Kennwortrateangriffe (online) Vorübergehende Sperrung nach N Anmeldefehlversuchen innerhalb eines definierbaren Zeitraums t Dauer der Sperrung für Zeitraum S Üblich N=5, t=s=30 Minuten S=0 bedeutet Sperrung kann nur manuell aufgehoben werden (für besonders sensible Systeme/Konten erwägen) Seiteneffekt der Kontosperrung Falsches Kennwort gibt nach Sperrung andere Meldung 22 11

12 Überwachungsrichtlinien Steuerung der Aufzeichnungen im Ereignisprotokoll Sicherheit In Standardinstallation komplett deaktiviert Zumindest Fehler überwachen (außer Prozessverfolgung) Richtlinie Active Directory-Zugriff überwachen Anmeldeereignisse überwachen Anmeldeversuche überwachen Kontenverwaltung überwachen Objektzugriffsversuche überwachen Prozessverfolgung überwachen Rechteverwendung überwachen Richtlinienänderungen überwachen Systemereignisse überwachen Erfolg?? Fehler 23 Sicherheitsoptionen Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen: aktivieren Herunterfahren des Systems ohne Anmeldung zulassen: deaktivieren Interaktive Anmeldung: Anzahl zwischengespeicherter Anmeldungen: 0 bei Domäneneinbindung Keine STRG-ALT-ENTF erforderlich: deaktivieren Letzten Benutzernamen nicht anzeigen: aktivieren Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden: deaktivieren Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern: aktivieren (soweit nicht von älteren Clienten benötigt) LAN Manager-Authentifizierungsebene: Nur NTLMv2-Antworten senden\lm & NTLM verweigern (soweit nicht von älteren Clienten benötigt) Win9x mit DSClient NTLMv2-fähig machen (W2k-CD \Support) 24 12

13 Anmeldebildschirm Administrator sichtbar machen Registry-Wert erzeugen HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Special Accounts/UserList/kontoname (Typ DWORD) Wert =1 Geht auch mit TweakUI-Programm Alte Anmeldeprozedur (statt Willkommensseite ) nutzen Willkommensbildschirm zeigt gleich alle Benutzer an und umgeht die Sicherheit, die eine Aktivierung der Anmeldung mit Alt-Strg-Entf bietet Unter Start > Systemsteuerung > Benutzerkonten Art der Benutzeranmeldung ändern wählen und dort Willkommenseite verwenden abwählen. Damit entfällt allerdings auch die schnelle Benutzerumschaltung. Letzten Benutzernamen nicht anzeigen auch ohne die Willkommensseite wird zunächst der letzte Benutzername im Anmeldebildschirm angezeigt Einstellung über Sicherheitsrichtlinien Bildschirmschoner mit Kennwortschutz nutzen, damit erneuter Zugang nur über Anmeldebildschirm möglich ist. 25 Grundeinstellungen für f r Windows Explorer Einstellungen im Explorer unter Extras > Ordneroptionen > Ansicht Automatisch nach Netzwerkordnern und Druckern suchen deaktivieren Kann in großen Netzen zuviel Last (und Ergebnisse) bringen. Wohin werden dabei Anmeldeversuche gemacht (Benutzername/Kennwort übertragen)? Ist gar die Übertragung von Kennwörtern im Klartext erlaubt? Einfache Dateifreigabe verwenden (empfohlen) deaktivieren Auf Arbeitsplätzen besser gar nichts freigeben Unsicherheit der Methode Dateisystemrechte lassen sich sonst nicht über die graphische Oberfläche einstellen Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren Wird von gern von -Viren in Dateianhängen verwendet um harmlose Dateien vorzutäuschen Wurm.txt.vbs wird dann nur als wurm.txt angezeigt Zumindest Administratoren werden Geschützte Systemdateien ausblenden (empfohlen) deaktivieren, Inhalte von Systemordnern anzeigen aktivieren, Versteckte Dateien und Ordner > Alle Dateien und Ordner anzeigen auswählen Ordnerfenster im eigenen Prozess starten Aktivieren, wenn man später ein privilegiertes Fenster mit Ausführen als erzeugen will

14 Dateisystemrechte Root (?:\ ): Jeder entfernen, Benutzer auf einschränken Systemverzeichnisse %systemroot%\repair Administratoren, System: Vollzugriff %systemroot%\debug Administratoren, System: Vollzugriff %systemroot%\security Administratoren, System: Vollzugriff %systemroot%\system32\grouppolicy Administratoren, System: Vollzugriff Benutzer: Lesen %Systemroot%\System32\Config Administratoren, System: Vollzugriff Benutzer: Lesen Alle anderen Rechte löschen / ändern Die Gruppe Hauptbenutzer hat zu viele Rechte - Rechte einschränken - oder die Gruppe nicht verwenden Zugriff auf Systemprogramme für Benutzer verbieten regedit.exe, regedt32.exe, usrmgr.exe, mmc.exe (Administratoren, System: Vollzugriff) Zugriffsrechte auf Registrierungsschlüssel Auch hier sind Einschränkungen möglich Allgemeine Richtlinien sind aber schwer zu definieren (insbesondere falls eine Vielzahl von Anwendungen benutzt wird). 27 Dateienverschlüsselung sselung NTFS schützt die Festplatteninhalte vor unautorisierten Zugriffen Aber nur solange das Betriebssystem läuft! Sensible Daten sollten verschlüsselt werden Notebooks sind besonders gefährdet Zwei Varianten EFS als Teil von Windows 2000 / Windows XP - Als Attribut im Dateisystem - Für Benutzer transparent - Automatische Ver- und Entschlüsselung bei Dateisystemzugriffen - Kopieren im Netz unverschlüsselt! - Problem Speicherung der Benutzer- und Wiederherstellungsschlüssel Zusatzprogramme (z.b. GnuPP) - Vom Betriebssystem unabhängig - Verschlüsselung ändert sich nicht beim Kopieren - Schlüsselmanagementproblem bleibt auch hier 28 14

15 Dienste In der Standardinstallation sind viele Dienste gestartet, die nicht benötigt werden Klassifizierung der Dienste: Name Name Name Ablagemappe Kryptografiedienste Systemereignisbenachrichtigung Anmeldedienst Leistungsdatenprotokolle und Warnungen Systemwiederherstellungsdienst Anwendungsverwaltung MS Software Shadow Copy Provider Taskplaner Arbeitsstationsdienst Nachrichtendienst TCP/IP-NetBIOS-Hilfsprogramm Automatische Updates NetMeeting-Remotedesktop-Freigabe Telefonie COM+-Ereignissystem Netzwerk-DDE-Dienst Telnet COM+-Systemanwendung Netzwerk-DDE-Serverdienst Terminaldienste Computerbrowser Netzwerkverbindungen Treibererweiterungen für Windows-Verwaltungsinstrum Designs NLA (Network Location Awareness) Überwachung verteilter Verknüpfungen (Client) DHCP-Client NT-LM-Sicherheitsdienst Universeller Plug & Play-Gerätehost Distributed Transaction Coordinator Plug & Play Unterbrechungsfreie Stromversorgung DNS-Client QoS-RSVP Upload-Manager Druckwarteschlange RAS-Verbindungsverwaltung Verwaltung für automatische RAS-Verbindung Eingabegerätezugang Remoteprozeduraufruf (RPC) Verwaltung logischer Datenträger Ereignisprotokoll Remote-Registrierung Verwaltungsdienst für die Verwaltung logischer Datent Fehlerberichterstattungsdienst Routing und RAS Volumeschattenkopie Gatewaydienst auf Anwendungsebene RPC-Locator Warndienst Geschützter Speicher Sekundäre Anmeldung WebClient Hilfe und Support Seriennummer der tragbaren Medien Wechselmedien IMAPI-CD-Brenn-COM-Dienste Server Windows Audio Indexdienst Shellhardwareerkennung Windows Installer Intelligenter Hintergrundübertragungsdienst Sicherheitskontenverwaltung Windows-Bilderfassung (WIA) Internetverbindungsfirewall/Gemeinsame Nutzung dsitzungs-manager für Remotedesktophilfe Windows-Verwaltungsinstrumentation IPSEC-Dienste Smartcard Windows-Zeitgeber Kompatibilität für schnelle Benutzerumschaltung Smartcard-Hilfsprogramm WMI-Leistungsadapter Konfigurationsfreie drahtlose Verbindung SSDP-Suchdienst nötig möglicherweise überflüssig, prüfen verzichtbar, aber nicht sicherheitsrelevant problematisch (Übertragung von Inhalten) problematisch (Sicherheit) 29 Netzwerkdienste Nach Standardinstallation aktive Ports: svchost.exe: 1124 UDP : 123 *:* svchost.exe: 1080 TCP : :0 LISTENING svchost.exe: 1080 UDP : 135 *:* System: 4 TCP : :0 LISTENING System: 4 UDP : 445 *:* lsass.exe: 912 UDP : 500 *:* svchost.exe: 1124 TCP : :0 LISTENING svchost.exe: 1124 UDP : 1026 *:* msmsgs.exe: 1852 UDP : 1029 *:* svchost.exe: 1356 UDP : 1900 *:* svchost.exe: 1356 TCP : :0 LISTENING msmsgs.exe: 1852 UDP : *:* (Ausgabe von tcpview.exe, Sysinternals) Entfallen können (soweit nicht benötigt): Messenger (msmsgs), Windows-Zeitgeber (Port 123), lsass (IPSEC-Dienst, Port 500), UPnP (1900, 5000). in homogener Windows-2000/XP-Umgebung NetBIOS über TCP/IP deaktivieren (Eigenschaften von Netzwerkverbindung > Internetprotokoll (TCP/IP) > Eigenschaften > Erweitert > WINS) Automatische DNS-Aktualisierung abschalten, wenn nicht benötigt (Eigenschaften von Netzwerkverbindung > Erweitert > DNS Adressen dieser Verbindung in DNS registrieren deaktivieren) Universal Plug & Play abschalten mit unpnp.exe (

16 Null Sessions Anonyme Zugriffe auf Netzwerkressourcen z.b. zur Abfrage aller existierenden Freigaben gedacht In der Standardinstallation aktiviert Test: net use \\rechner\ipc$ /user: Nutzung von Null Session durch Angreifer Auslesen aller Benutzerkonten, Richtlinieneinstellungen und Freigabenamen Unterbinden HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnon ymous=2 Wert 1 reicht bei Windows 2000 / XP nicht Sicherheitsoptionen - RestrictAnonymous=0: Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben deaktiviert - RestrictAnonymous=1: Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben aktiviert - RestrictAnonymous=2: Anonyme SID-/Namensumsetzung zulassen deaktiviert - RestrictAnonymousSam=1: Anonyme Aufzählung von SAM-Konten nicht erlauben aktiviert Aber: Windows NT kann auf einen Server mit RestrictAnonymous=2 nicht mehr zugreifen 31 Remotedesktop Zwei Arten Remoteunterstützungsanforderung: Für Unterstützung durch Helpdesk Remotedesktopverbindung: Nutzung des Rechners aus der Ferne Unter Systemsteuerung > System > Remote konfigurieren Dienst Terminaldienste Potentielles Problem RDP bietet Hackern den optimalen Zugriff Abschalten, falls nicht wirklich benötigt - In Systemsteuerung beide Optionen ausschalten - Dienst deaktivieren Falls benötigt, Zugriff über Personal Firewall oder Firewall im Netz einschränken - Verwendet wird TCP-Port

17 XP-Antispy Freeware Tool u.a. zum Einstellen (reduzieren) der Gesprächigkeit von Windows XP Automatische Updates müssen aktiviert sein, wenn SUS-Server genützt werden soll. Zeitsynchronisation auf lokalen Server einstellen (unter Spezial > Timeserver festlegen) Remotedesktop abschalten, falls nicht wirklich genutzt Microsoft Messenger (MSN) deinstallieren, falls nicht wirklich genutzt 33 Netzwerkkonfiguration Internetverbindungsfirewall Spätestens Blaster lehrt: Einschalten, bevor man versucht die Softwareupdates per Netz zu laden! Gemeinsame Nutzung der Internetverbindung Z.B. Verbindung eines lokalen Netzes über Modem, FunkLAN über den Computer Weder Nutzung noch Steuerung erlauben Standardfreigaben Alle Laufwerke und das Windows-Verzeichnis sind für Administratoren freigegeben - Deaktivieren, falls nicht für Remotemanagement benötigt - Einfaches Aufheben der Freigabe wirkt aber nur bis zum nächsten Reboot - In HKEY_LOCAL_MACHINE/System/CurrentControlSet/Servic es/lanmanserver/parameters DWORD-Wert AutoShareWks bzw. AutoShareServer erzeugen und auf 0 setzen Gemeinsame Dokumente ist als SharedDocs freigegeben: deaktivieren 34 17

18 Updates System unbedingt aktuell halten Überprüfung mit Microsoft Baseline Security Analyzer fehlende Softwarekorrekturen unsichere Einstellungen fehlende und schlechte Kennwörter für Microsoft-Produkte - Windows NT/2000/XP/ Office - Internet Information Server (IIS) - Microsoft SQL-Server Nutzung von eigenem SUS-Server (z.b. GWDG) Windows-Update bei Microsoft manuelle Updates (ggf. über Windows-Updatekatalog zusammenstellen 35 Software Update Service (SUS) Was ist SUS Kopie des Windows-Update-Dienstes von Microsoft auf eigenem Server, daher keine Bedenken, dass Microsoft Informationen über die eigenen Rechner sammelt. Patches müssen vom SUS-Administrator freigegeben werden - Möglichkeit zum Testen vor Freigabe Verfügbarkeit Windows 2000 ab SP3 Windows XP ab SP1 Windows

19 SUS-Einrichtung Als Administrator gpedit.msc über Start -> Ausführen aufrufen, Unter Computerkonfiguration -> Administrativen Vorlagen im Kontextmenü (rechte Maustaste) Vorlagen hinzufügen/entfernen aufrufen. Administrative Vorlage wuau.adm einbinden. 37 SUS-Einrichtung (2) Jetzt lässt sich Windows Update in der Gruppenrichtlinie konfigurieren 38 19

20 SUS-Einrichtung (3) Einstellmöglichkeiten ab Windows XP stark erweitert Einige Einstellungen müssen nicht konfiguriert werden Automatische Updates konfigurieren 2 = Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachrichtigen 3 = (Standardeinstellung) Updates automatisch downloaden und über installierbare Updates benachrichtigen 4 = Updates automatisch downloaden und laut angegebenem Zeitplan installieren 4 ist zu empfehlen Täglich und zu einer Uhrzeit, zu der der Rechner eingeschaltet ist. 39 SUS-Einrichtung (4) Internen Pfad für den Microsoft Updatedienst angeben hier wird die URL des lokalen SUS-Servers festgelegt. für den SUS-Server der GWDG

21 SUS-Einrichtung (5) Clientseitige Zielzuordnung wird erst mit der nächsten SUS-Server- Version unterstützt erlaubt dann nach Clientengruppen Patches freizugeben 41 SUS-Einrichtung (6) Zeitplan für geplante Installationen neu erstellen Wartezeit nach dem Systemstart, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wenn der Status deaktiviert ist, wird eine verpasste geplante Installation zum nächsten geplanten Installationszeitpunkt ausgeführt. Wenn der Status nicht konfiguriert ist, wird eine verpasste geplante Installation eine Minute nach dem Neustart ausgeführt

22 SUS-Einrichtung (7) Keinen automatischen Neustart für geplante Installationen ausführen Aktivieren, damit der Update-Prozess nicht nach der Installation der Updates den Computer ohne Rückfrage beim Benutzer automatisch (nach 5 Minuten) neu startet 43 SUS-Einrichtung (8) Automatische Updates sofort installieren Aktivieren Sonst werden die Updates nur heruntergeladen Die Installation müsste dann von Nutzer gestartet werden

23 SUS-Einrichtung (9) Probleme bei Benutzern mit Administrator-Rechten Änderung des Ablaufs keine automatische Installation nur Download Hinweissymbol in der Taskleiste: Weitere Informationen zur weniger komfortablen Einrichtung unter älteren Windows-Versionen Registry-Schlüssel Sonderfälle unter 45 Internet Explorer Gefährdung Internetseiten enthalten nicht mehr nur Text und Bilder, sondern immer mehr aktive Inhalte (Programme), die im Browser / auf dem lokalen Rechner ausgeführt werden ActiveX-Controls, VB-Scripten, Java-Applets werden über IE gesteuert (Sicherheitskontrolle) IE im Betriebssystem integriert und dort intern vielfältig verwendet: - kommt also nicht nur zum Einsatz, wenn explizit aufgerufen! Zonenkonzept Zone 0: Lokaler Computer (als Zone nicht angezeigt) Zone 1: Lokales Intranet (Sites explizit zu definieren) Zone 2: Vertrauenswürdige Sites (Sites explizit zu definieren) Zone 3: Internet (Standardzone für sonst nicht klassifizierte Sites im IE) Zone 4: Eingeschränkte Sites (Sites explizit zu definieren) Vorlagen für Sicherheitseinstellungen (Stufen) sehr niedrig, niedrig, mittel, hoch Möglichst IE 6.0 SP2 mit aktuellsten Patches einsetzen 46 23

24 IE Zonensicherheitseinstellungen Wegen immer wieder auftretenden Sicherheitproblemen sollte die Internetzone restriktiver eingestellt werden: ActiveX-Steuerelemente und Plugins - ActiveX-Steuerelemente ausführen, die für Scripting sicher sind: Eingabeaufforderung - ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind: Deaktivieren - ActiveX-Steuerelemente und Plugins ausführen: Eingabeaufforderung - Download von signierten ActiveX-Steuerelementen: Eingabeaufforderung - Download von unsignierten ActiveX-Steuerelementen: Deaktivieren Benutzerauthentifizierung - Automatische Anmelden nur in der Intranetzone Download - Dateidownload: Aktivieren - Schriftartdownload: Aktivieren Microsoft VM - Java-Einstellungen: Hohe Sicherheit Scripting - Active Scripting: Deaktivieren - Einfügeoperationen über ein Skript zulassen: Eingabeaufforderung - Scripting von Java-Applets: Eingabeaufforderung Verschiedenes - Auf Datenquellen über Domänengrenzen hinweg zugreifen: Deaktivieren - Dauerhaftigkeit von Benutzerdaten: Aktivieren - Gemischte Inhalte anzeigen: Deaktivieren - Installation von Desktopobjekten: Deaktivieren - Keine Aufforderung zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist: Deaktivieren - META REFRESH zulassen: Aktivieren - Programme und Daten in einem IFRAME starten: Eingabeaufforderung - Subframes zwischen verschiedenen Domänen bewegen: Eingabeaufforderung - Unverschlüsselte Formulardaten übermitteln: Eingabeaufforderung - Ziehen und Ablegen oder Kopieren und Einfügen von Dateien: Eingabeaufforderung - Zugriffsrechte für Softwarechannel: Hohe Sicherheit Dann müssen einige Sites bei Bedarf unter Vertrauenswürdige Sites aufgenommen werden Alternativ: Eingeschränkte Sites zur Standardzone machen? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults 47 IE weitere Sicherheitseinstellung Einstellungen in Internetoptionen > Erweitert Automatische Überprüfung auf Aktualisierung von IE: deaktivieren Auf zurückgezogene Serverzertifikate überprüfen: aktivieren Auf zurückgezogene Zertifikate von Herausgebern überprüfen: aktivieren Bei ungültigen Sitezertifikaten warnen: aktivieren Bei Wechsel zwischen sicherem und nicht sicherem Modus warnen: aktivieren Warnen, falls Formulardaten umgelenkt werden: aktivieren Auf zurückgezogene Serverzertifikate überprüfen: aktivieren Cookie-Behandlung in Internetoptionen > Datenschutz > Erweitert Automatische Cookiebehandlung aufheben Cookies von Erstanbietern - entweder Sperren oder Annehmen, je nach dem ob man Cookies für bestimmte Internetdienste benötigt werden Cookies von Drittanbietern - Sperren Sitzungscookies immer zulassen 48 24

25 Alternative Firefox Eigenschaften Freie Software, z. B. von - aus Mozilla ausgekoppelter Browser die meisten Angreifer zielen auf den Internet Explorer daher ist Firefox sicherer Sicherheitsrelevante Konfiguration in Extras > Einstellungen Datenschutz - Formulardaten nicht speichern - Passwörter nicht speichern - Cookies einschränken Web-Features - Popup-Fenster blockieren - Websites das Installieren von Software erlauben: Nur eingeschränkt - Grafiken laden: nur von der ursprünglichen Webseite - Java aktivieren? - JavaScript aktivieren? (Punkte unter Erweitert abwählen) weiter Beschreibungen unter 49 Outlook Express Mitgeliefertes Mailprogramm, sicherheitstechnisch nicht optimal Sicherheit von Internet Explorer (Patches, Zonenkonfiguration) abhängig HTML-Mails (prinzipiell, nicht nur OE) Sicherheitsrisiko, also wenigstens nicht selbst welche verschicken ( nur Text verwenden) Dateianhänge (prinzipiell, nicht nur OE) immer erst speichern, dann gespeicherte Version öffnen damit Virenscanner die Datei untersucht oder bei unklarer Quelle gar nicht öffnen Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!) Extras > Konten > Eigenschaften > Erweitert Vorschaufenster vermeiden Extras > Optionen > Lesen Nachrichten im Vorschaufenster automatisch downloaden deaktivieren Sicherheitseinstellungen (Extras > Optionen > Sicherheit) Internet-Explorer-Sicherheitszone: Zone für eingeschränkte Sites Warnung anzeigen, wenn andere Anwendungen versuchen, unter meinem Namen zu versenden aktivieren Schutz vor Dialer Hinweis beim Wechsel der DFÜ-Verbindung aktivieren (Extras > Optionen > Verbindungen) 50 25

26 Outlook XP / Outlook 2003 Sicherheitstechnisch Outlook Express überlegen Wenn möglich Outlook statt Outlook Express einsetzen Teil von Office XP bzw. Office 2003 Achtung: Service Packs von Office XP / Office 2003 einspielen Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!) Mail in Zone Eingeschränkte Site verarbeiten Vorschaufenster nicht nutzen Im Menü Ansicht Vorschaufenster und Autovorschau deaktivieren HTML-Mails in Text umwandeln HKEY_Current_User\Software\Microsoft\Office\10.0\Outlook\Option\Mail\ReadAsPlain=1 setzen (ggf. DWORD-Wert erzeugen) Bei Outlook 2003 integriert: Extras > Optionen > -Format > Internetformat > In-Nur- Text-Format konvertieren Viele Dateianhänge werden von Outlook XP nicht angezeigt Freischaltung bei Bedarf mit OutlookTuner2002.exe ( Ansonsten Regeln wie bei OE Spam-Filter in Outlook 2003 Aktion > Junk > Junk Optionen Schutz: hoch 51 Alternative Thunderbird Eigenschaften Freie Software, z. B. von - aus Mozilla ausgekoppelter Mailclient die meisten Angreifer zielen auf den Outlook daher kann Thunderbird sicherer sein Konfiguration (sicherheitsrelevante Teile) Verfassen - Sende- und HTML-Optionen/Sende-Optionen...: Nachrichten in reinen Text konvertieren Anhänge - Anhänge speichern unter: Immer fragen, wohin Anhänge gespeichert werden sollen Erweitert - Datenschutz: Blockiere das Laden von externen Grafiken in Nachrichten: ja - Doch laden, wenn Absender im Adressbuch ist: nein (denn es könnte ja sein, dass die Absenderadresse missbraucht wurde) - Erlaube JavaScript in Nachrichten: nein Extras > Konten >Server-Einstellungen - Sichere Verbindung (SSL) verwenden: ja Spam-Filter - Extras > Junk-Filter Einstellungen 52 26

27 Sichere Mail Absenderadressen von Mails können beliebig gefälscht werden Das Internet-Mail-Protokoll SMTP sieht keine Authentifizierung vor Erweiterung durch kryptographische Signaturen von Mails - PGP - X.509 / SMIME - Probleme der Signaturprüfung Verschlüsselung von Mails mit gleichen Programmen möglich Grundlage: Public-Key-Kryptographie Public Key Infrastruktur (PKI) der GWDG / MPG integriert in PKI des DFN-Vereins seit 2004 für GWDG in Kürze für MPG (im eigenen Namensraum, DFN muss MPG noch zertifizieren) Informationen unter Mit verschiedensten Mail-Programmen kompatibel 53 Zentrales Management von Windows XP Viele Aufgaben lassen sich über automatisieren über (lokale oder globale) Gruppenrichtlinien Sicherheitsvorlagen (Snap-In für MMC) - von Microsoft (\Windows\security\templates) - Ggf. eigene Anpassungen Sicherheitskonfiguration und analyse (Snap-In für MMC) - Vergleich mit Sicherheitsvorlagen (Analyse) - Anwendung von Sicherheitsvorlagen (Konfiguration) 54 27

28 Viren, Würmer, W Trojanische Pferde, Hoax Viren Zumeist sehr kleine Programme, die in der Lage sind, sich an andere Programme zu hängen, sich so zu reproduzieren und zeitgesteuert Schäden zu verursachen Würmer braucht im Gegensatz zu Viren keinen Wirt! besteht aus einem eigenständigen Programm, welches auf dem Rechner selbständig Prozesse startet er repliziert (kopiert) sich auf andere Rechner (z. B. über oder direkt über das Netz) Trojanische Pferde Programme, die harmlose Funktionen vortäuschen, aber sich in ein Rechnersystem einschleusen, es kompromittieren und dort Daten ausspähen oder den Rechner fernsteuern verkürzt (und historisch-philologisch falsch) auch Trojaner genannt Hoax "Scherz-Mails" mit Warnungen vor angeblichen oder vermeintlichen Viren, meist mit der Aufforderung diese Mail an alle Bekannten weiterzugeben 55 Virenscanner Funktionen OnDemand: - der Virenscanner wird von dem Benutzer explizit angewiesen, bestimmte Verzeichnisse oder Dateien zu überprüfen OnAccess: - der Virenscanner springt automatisch an, sobald eine Datei auf den Massenspeicher des Rechners gespeichert wird (Hintergrundwächter) - Der Hintergrundwächter überwacht nur bestimmte Betriebssystemschnittstellen - Viele Würmer können sich daher unbemerkt einschleichen! - Daher: Regelmäßiger OnDemand-Scan notwendig! Erkennung erfolgt durch Signaturen: - für jeden Virus hat der Virenscanner im Idealfall ein passendes Erkennungsmuster in seiner Datenbank, woran dieser Schädling eindeutig zu identifizieren ist - diese Signaturen müssen ständig aktualisiert werden Heuristik: - falls der Virenscanner keine geeigneten Signaturen für den betreffenden Virus hat, soll er diesen wenigstens anhand seines typisch virulenten Verhaltens erkennen 56 28

29 Sophos Anti-Virus Lizenz für Mitarbeiter niedersächsischer Hochschulen, für Studierenden niedersächsischer Hochschulen, für Mitarbeiter der Institute der Max-Planck- Gesellschaft Automatische Updates zeitweise unbefriedigenden gelöst, aber mit Sophos Enterprise Manager im Hintergrund über Remote Update Tool jetzt eine gute Lösung Installation über Remote Update Tool z. B. von 57 Installation von Sophos Remote Update Tool herunterladen z. B. von dtsfx.exe rupdtsfx.exe laden, auspacken in temporäres Verzeichnis Installation starten (Arbeitsplatzinstallation) nach Installation Konfigurieren Aufruf über Icon im Systemtray 58 29

30 Konfiguration von Sophos Einstellung des Server Benutzername Kennwort Einstellung des Update- Intervalls Das Symbol zeigt im übrigen an, dass ein Update fehlgeschlagen ist 59 Konfiguration OnDemand-Scan Einstellung des OnDemand-Scans in Sophos Anti- Virus Register Zeitgesteuerte Aufträge 60 30

31 Wenn der Virenscanner nichts mehr findet Folgerung: Rechner ist virenfrei? Falsch! Viren können das Betriebssystem soweit verändern, dass der Virenscanner bestimmte Teile des Rechners gar nicht mehr sehen kann (Rootkits) - Dateien - Prozesse - Registry-Schlüssel - Offene Ports z. B. einige Varianten von Agobot-, SDBot-, RBot-Viren integrieren den Trojaner/Rootkit Hackdefender Für zuverlässige Virenscans: Virenscanner aus einem garantiert sauberen System starten - Knoppicillin - ERD-Commander - WinPE-CDs 61 Hacker Die gleichen Schwachstellen (und mehr), über die Würmer eindringen, werden auch von Hackern genutzt Ziele der Hacker sind z. B.: Nutzung von Festplattenplatz (Raubkopien legaler Dateien wie Filme, Musik und Software bis zu illegalen Inhalten wie Kinderpornographie) Nutzung von Übertragungsbandbreite Nutzung als Mailserver für Spam-Verteilung Stützpunkte für weitere Einbrüche Stützpunkte für Angriffe auf Internet-Server (Denial of Service DoS, Distributed Denial of Service DDoS) Spionage Gefährdung Hacker suchen heute selten nach geheimen Informationen auch unser Umfeld ist zunehmend gefährdet und häufig sind wir zu leichte Beute! Nicht auf die leichte Schulter nehmen! Können Sie der Polizei beweisen, dass Sie selbst Opfer und nicht Täter sind? Haftung bei (grober) Fahrlässigkeit! Rufschaden Hackertools werden (meist) nicht von Virenscanner gefunden. Viele sind ganz normale Programme, die nur missbraucht werden

32 Verdacht auf kompromittierte Systemintegrität Was tun? Ruhe bewahren! Vorgesetzte / EDV-Betreuer informieren Informationen zum aktuellen Zustand sichern laufende Prozesse, offene Ports Rechner vom Netz nehmen von nicht kompromittierten System booten (z.b. Knoppicillin) Analyse - Alle Dateien mit Größe und Modifikationsdaten erfassen - Virenscan Datensicherung - Komplettsicherung der Festplatte (bei Verdacht auf größeren Vorfall) oder - Sicherung wichtiger Teile (verdächtige Dateien, Registry und Eventlog in C:\Windows\System32\Config) 63 Verdacht auf kompromittierte Systemintegrität Was tun? (2) Untersuchung von Registry und Eventlog auf anderem Rechner (mühsam) Untersuchung der gestarteten Programme am infizierten Rechner autoruns.exe Gestartete Dienste (in Computerverwaltung -> Dienste und Anwendungen -> Dienste hilfreich, wenn der Normalzustand dokumentiert ist. evtl. erst möglich, wenn Rootkits entfernt sind nicht möglich, wenn System wegen Beweissicherung nicht modifiziert werden soll 64 32

33 Verdacht auf kompromittierte Systemintegrität Was tun? (3) Wiederherstellung der Systemintegrität Die sicherste Methode ist Formatierung der gesamten Festplatte(n). Einige Viren lassen sich auch gut mit einem Virenscanner entfernen. Die komplexeren Viren (mit integrierten Hintertüren) sind nicht so sicher zu entfernen. Nach einem Hackereinbruch kann man kaum übersehen, was der Hacker alles modifiziert hat, also dringende Empfehlung, alles neu zu installieren Wichtig: Backup Regelmäßige Sicherung oder Speicherung aller Daten auf einem (gesicherten) Server, ggf. mit Synchronisation wichtiger Dateien auf die lokale Festplatte 65 Spyware Nutzerverhalten kann im Internet beobachtet werden Ausnutzung zur Erstellung von Profilen, gezielte Werbung Verlust der Privatsphäre Bandbreitenverlust bei langsamen Anbindungen Nutzung von Cookies und Web-Bugs Einige Programme telefonieren nach Hause z. B. FlashGet, GoZilla, Getright und einige P2P-Programme Informationen hierzu: Alexa: Spione im Internet Explorer Extras -> verwandte Links anzeigen zeigt ähnliche Seiten an Diese Information wird von der Suchmaschine Alexa gespeist, die in dem Ruf steht, das Surfverhalten mitzuprotokollieren Deaktivierung durch löschen eines Registry-Schlüssels HKLM\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b- 00aa003c157a (oder XP-Antispy) 66 33

34 Spyware-Scanner Scanner Beispiele Ad-Aware SE Personal Edition von Lavasoft ( Microsoft AntiSpyware (z. Z. Betaversion verfügbar) Eigenschaften Durchsuchen von Dateien, Registry, Cookies nach Auffälligkeiten, wie Virenscanner signatur-basiert, Signaturen müssen ebenso aktualisiert werden Microsoft AntiSpyware erste Erfahrungen positiv erkennt auch einige Trojaner und Dialer Gibt auch Informationen zur Systemkonfiguration Stellt Modifikationen von Programmen fest (hier insbesondere Sophos) Abhilfe mit Personal Firewalls falls diese ausgehende Verbindungen überwachen 67 34