Erste Rückmeldungen bescheinigen Microsoft Windows 7 einen guten Start. Dieser dürfte in Teilen auf das liberale Beta-Programm von Microsoft und eine aufgestaute Nachfrage nach neuen Betriebssystemen seitens Vista- und XP-Usern zurückzuführen zu sein. Windows 7 kann bereits einen Marktanteil von 6% verzeichnen. Ein Wert, der laut Marktforschungsinstitut Net Applications nicht zuletzt auf verbesserte Sicherheitsfeatures, ein schnelleres Hochfahren, höhere Stabilität und erhöhte Benutzerfreundlichkeit zurückzuführen ist. Autoren: Jonathan Tait, Product Marketing Manager, Sophos Jason De Lorme, ISV Architect Evangelist, Microsoft Sophos White Paper Februar 2010
Einleitung Erste Rückmeldungen bescheinigen Microsoft Windows 7 einen guten Start. Dieser dürfte in Teilen auf das liberale Beta-Programm von Microsoft und eine aufgestaute Nachfrage nach neuen Betriebssystemen seitens Vista- und XP- Usern zurückzuführen zu sein. Windows 7 kann bereits einen Marktanteil von 6% verzeichnen. Ein Wert, der laut Marktforschungsinstitut Net Applications nicht zuletzt auf verbesserte Sicherheitsfeatures, ein schnelleres Hochfahren, höhere Stabilität und erhöhte Benutzerfreundlichkeit zurückzuführen ist. Die besten Tipps zur effektiven Sicherung von Windows 7 Wenn Sie eine Einführung von Microsoft Windows 7 planen, sollten Sie Ihre bisherigen Verfahren zum Schutz von Windows-Endpoints und Ihrer Daten unabhängig vom eingesetzten Betriebssystem einer strategischen Prüfung unterziehen. Es gibt eine Reihe von Tipps, die jedes Unternehmen, ob groß oder klein, beherzigen sollte, um seine Windows-Systeme vor den verheerenden Konsequenzen zu schützen, die bei einem Angriff durch Viren, Spyware oder sonstige Malware drohen: 1. Bedrohungen effektiv stoppen Ein Schritt, der auf der Hand liegt, deshalb aber nichts an seiner Wichtigkeit einbüßt, ist die Verwendung von Anti-Virus-Software. Diese schafft Malware im Idealfall bereits im Vorfeld aus dem Weg, erkennt Schädlinge zuverlässig und entfernt Malware-Varianten, die Ihren Systemen und Daten erheblichen Schaden zufügen könnten. Beim Aufspüren von Viren zählt die Suche nach bekannten Mustern oder Kennungen in ausführbarem Code noch immer zu einer der beliebtesten Methoden. Aufgrund der hohen Komplexität heutiger oft noch unbekannter Malwarebedrohungen kann ein User jedoch auch schon vor einer Veröffentlichung von Bedrohungskennungen infiziert werden. Um sich auch gegen solche sogenannten Zero- Day -Bedrohungen zu wappnen, sollten Sie Ihre Plattformen mit einer Virenschutz-Lösung sichern, die proaktiven Schutz vor neuen Bedrohungen bereitstellt, indem das Verhalten von Code noch vor seiner Ausführung analysiert und so eine tatsächliche Infektion verhindert wird. Um sicherzustellen, dass Ihre Virenschutz- Lösung die an sie gestellten Erwartungen erfüllt, muss diese stets auf dem neuesten Stand gehalten werden. Da sich neue Viren in Windeseile ausbreiten können, ist es wichtig, eine automatische Infrastruktur einzurichten, über die sämtliche Computer in Ihrem Unternehmen nahtlos, regelmäßig und zeitnah aktualisiert werden können, um auch den neuesten Bedrohungen stets einen Schritt voraus zu sein. Eine weitere einfache Methode, um zu verhindern, dass Bedrohungen Ihre Systeme behindern, besteht darin, sich beim Thema IT-Sicherheit stets auf dem neuesten Stand zu halten. Tragen Sie sich in die Mailing-Listen von Virenschutz-Herstellern ein und lesen Sie Blogs zum Thema IT-Security, um stets aktuelle Informationen zu Virenbedrohungen, Support, technischen Informationen und neuen Produkt-Entwicklungen zu erhalten. 1
Data Execute Prevention (DEP) unterbindet Code-Ausführungen in zur Datenspeicherung vorgesehenen Bereichen. Wir empfehlen Ihnen, Ihre BIOS-Einstellungen zu prüfen und DEP-Support (NX aktivieren) und DEP für sämtliche Anwendungen zu aktivieren. Address Space Layout Randomization (ASLR) ändert Speicherorte von Windows-Systemdateien nach dem Zufallsprinzip. Gemeinsam mit DEP eingesetzt, erschwert ASLR die Ausnutzung von Sicherheitslücken in Browser, Plug-ins und Anwendungen. Indem Sie Sophos Endpoint Security and Data Protection gemeinsam mit Windows 7 installieren, profitieren Sie von einem noch höheren Maß an Sicherheit. Sophos stellt Ihnen ein Laufzeit-Host Intrusion Prevention System (HIPS) zur Verfügung, welches das Verhalten Ihrer Anwendungen bei deren Ausführung überwacht. So wird Ihr Schutz vor Zero-Day-Malware entscheidend erhöht, da bereits nach schädlichen Verhaltensweisen gesucht wird, bevor Kennungen bereitstehen. Mit der Management-Konsole Sophos Enterprise Console überwachen, aktualisieren und ergreifen Sie Maßnahmen von zentraler Stelle und können sichergehen, dass Ihr Virenschutz ordnungsgemäß arbeitet, aktuell ist und Ihre Unternehmensrichtlinien einhält. So stellen Sie sicher, dass Ihre Windows 7-Systeme geschützt sind, und problemlos zeitgesteuerte Scans definieren, die Malware-Prüfungen zu Zeiten durchführen, in denen die Computer nicht verwendet werden. 2. Gestalten Sie Internet-Browsing sicher Das Internet ist heutzutage für die allermeisten Unternehmen unverzichtbar geworden. Daher konzentrieren sich Malware-Autoren und Hacker mit zunehmender Häufigkeit auf unschuldige Websites und versuchen, Besucher mit dem Ziel, Unternehmensinterna zu stehlen, schädlichen Code zu verbreiten oder Botnets zur Aussendung von noch mehr Spam und Malware aufzubauen, zu infizieren. Tausende Systeme werden täglich infiziert, weil nichts ahnende User auf ehemals seriöse, durch SQL- Injection-Angriffe verseuchte und mit schädlichem Code gespickte Websites surfen. Den Balanceakt zwischen Mitarbeiter-Produktivität und einer liberalen Internet-Politik zu meistern und gleichzeitig lückenlosen Schutz vor potenziellen Bedrohungen zu garantieren, ist eine echte Herausforderung. Einige unterstützende Maßnahmen sind jedoch einfach zu treffen und vereinfachen den beschwerlichen Weg hin zu einem sicheren und produktiven Internet-Zugang. Windows 7 wird standardmäßig mit Internet Explorer 8 ausgeliefert und ist mittels DEP und ASLR bestens geschützt. Zusätzlich verfügt die Software über ein neues Sicherheitsfeature namens SmartScreen, welches ein Surfen auf schädliche Websites unterbinden soll. SmartScreen warnt vor Cross-Site-Scripting, Phishing und anderen bekannten Malwareschleudern. In Kombination mit dem Schutzmodus des IE8 sorgt SmartScreen für erhöhte Sicherheit beim Internet-Browsing. Sophos verstärkt diesen positiven Effekt zusätzlich, indem es ein Browser Helper Object (BHO) bereitstellt, welches in den IE eingebunden wird und dynamische Website-Inhalte auf schädlichen Code und Schwachstellen untersucht. Wird schädlicher Internet-Code gefunden, kann ein Alarm an den User versendet werden, welcher zur zentralen Erfassung und Berichterstattung zurück an die Enterprise Console gemeldet wird. Zusätzlich können Sie Ihre Computer mit einer Web Security Appliance schützen, welche Malware stoppt und anonymisierende Proxy-Server sowie andere unerwünschte Anwendungen bereits am Gateway blockiert. Indem Sie einen mehrschichtigen Ansatz bei der Sicherung Ihres Internet-Zugangs verfolgen, schützen Sie Ihre Computer sowohl in, als auch außerhalb des Unternehmens. 2
3. Installieren Sie stets neueste Patches Rogue-Hacker konzentrieren sich immer stärker darauf, Sicherheitsschwachstellen in Plug-ins von Drittanbietern und solchen Anwendungen auszunutzen, die Inhalte aus dem Internet abrufen. Angreifer attackieren auch weiterhin das Betriebssystem, suchen jedoch im Besonderen nach Anwendungen, die Ihr Browser lädt, um Medien, Dokumente und andere Dateitypen einzusehen. Besuchen Sie daher regelmäßig die Websites Ihrer Anbieter von Drittanwendungen und prüfen Sie, ob neue Updates veröffentlicht worden sind. Viele Software-Anbieter geben außerdem Sicherheits- Ratgeber heraus. Microsoft hat beispielsweise eine Mailing-Liste im Einsatz, die vor Sicherheitslücken und anderen Problemen mit Microsoft-Software warnt und Patches zur Behebung zur Verfügung stellt. Sprechen Sie mit Ihren Anbietern und setzen Sie sich auf die Empfängerliste für Benachrichtigungen, damit Sie über potenzielle Probleme informiert werden. Wenn in einer Anwendung oder einem Betriebssystem eine neue Sicherheitslücke gefunden wird und ein Patch zur Verfügung steht, sollten Unternehmen über die erforderliche Infrastruktur verfügen, um die einwandfreie Funktion des Patches zu testen und diesen so schnell wie möglich unternehmensweit anzuwenden. Windows Update hilft Ihnen dabei, Ihre Computer sicher und Ihre Software aktuell zu gestalten, indem es die neusten Sicherheits- und Funktionsupdates von Microsoft über das Internet abruft. In Windows 7 ist Windows Update nun sogar in das Action Center integriert, wodurch der Update-Vorgang noch weiter vereinfacht wird. Um sicherzustellen, dass Windows Update aktiv ist, wenn Computer mit Ihrem Netzwerk verbunden werden, bieten sich die Network Access Control- Funktionen von Sophos Endpoint Security and Data Protection an. Diese können nicht nur verwaltete und unverwaltete Computer prüfen, sondern auch ermitteln, ob entscheidende Sicherheitssoftware-Komponenten aktiviert und aktuell sind. 4. Stocken Sie Ihren Datenschutz auf Früher dienten Malware-Bedrohungen geltungssüchtigen Hackern dazu, zu zweifelhaftem Ruhm und in die Schlagzeilen zu gelangen. Heute ist Malware zum lukrativen Geschäft von Kriminellen geworden, die sich am Handel mit personenbezogenen Daten finanziell bereichern. Vor diesem Hintergrund sollten Sie Schritte in Erwägung ziehen, um zu verhindern, dass Ihre Daten versehentlich in die falschen Hände geraten. Ein erfolgreiches Datenschutzkonzept basiert auf vier Grundelementen, deren Einrichtung Sie in Ihrem Netzwerk in jedem Fall in Erwägung ziehen sollten.»» Application Control ermöglicht Ihnen, die Anwendungen, die Sie für die Verwendung in Ihrem Unternehmen zulassen, zu verwalten. So stellen Sie nicht nur sicher, dass Ihre Sicherheitsrichtlinien eingehalten werden, sondern verhindern auch, dass sensible Daten das Unternehmen über Anwendungen wie Peer-to-Peer, Tools zur Dateifreigabe oder Instant Messaging verlassen.»» Device Control stellt das Rahmenwerk zur Definition und Anwendung unternehmensübergreifender Richtlinien bereit, mit deren Hilfe kontrolliert werden kann, welche Geräte Mitarbeiter benutzen dürfen und welche nicht. Mitarbeiter erhalten die gewünschte Flexibilität, ohne ihr Unternehmen einem Risiko auszusetzen.»» Data Control verhindert, dass User sensible Daten versehentlich auf eigene Geräte und Anwendungen übertragen. Die Implementierung einer Datenschutzlösung kann kostenintensiv und komplex sein. Daher sollten Sie sich nach einem Anbieter umsehen, der diese Funktionalität im Rahmen seiner Endpoint-Lösung anbietet.»» Verschlüsselungsverfahren sorgen dafür, dass Daten auf Laptops und USB-Sticks gegen sämtliche Eventualitäten gewappnet sind denn Menschen sind alles andere als unfehlbar und verlieren Gegenstände. Die Einrichtung von Verschlüsselungsverfahren ist komplizierter, als die meisten erwarten. Zahlreiche Faktoren müssen beachtet werden: Zunächst gilt es sicherzustellen, dass die Erstimplementierung erfolgreich verläuft. 3
Ferner müssen die Verschlüsselungsrichtlinien innerhalb des Unternehmens leicht zu verwalten und abzuändern sein. Und zu guter letzt ist es von entscheidender Bedeutung, dass die Lösung die täglichen Arbeitsabläufe Ihrer User in keiner Weise negativ beeinträchtigt. Windows 7 verfügt über die gleichen Datenschutzverfahren wie Windows Vista, u.a. Encrypting File System (EFS) und integrierte Active Directory Rights Management Services. Diese Verfahren bieten die idealen Voraussetzungen zum Schutz von gespeicherten Daten. Für übertragene Daten bietet Sophos die direkt in seine Endpoint-Client-Software integrierte Data Loss Prevention an. Dank der zentralen Managementfunktionen von Sophos können sämtliche Sicherheitsrichtlinien über nur eine Konsole verwaltet werden. Über nur einen Scan und parallel zu der Suche nach Malware und anderen verdächtigen Inhalten setzt Sophos Endpoint Security and Data Protection auch DLP- Regeln durch. Windows 7 bietet durch den Einsatz von Group Policy Objects (GPOs) engmaschigere USB-Port- Kontrollen, welche Sie bei der Sicherung sensibler Daten aktiv unterstützen können. Windows 7 hat seine BitLocker-Technologie außerdem durch die Einführung von BitLocker To Go entscheidend verbessert. Damit können nun auch Verschlüsselungsverfahren auf FAT32- basierten Wechsellaufwerken (z.b. USB-Sticks und portable Festplatten) angewendet werden. Sophos Device Control baut auf diesem Ansatz auf, indem es engmaschigere Kontrollen jetzt auch auf einzelnen Geräten ermöglicht und Ihre Richtlinien unter Verwendung von Gruppen verwaltet, die ursprünglich für andere Sicherheitsfunktionen definiert wurden. Windows 7 ergänzt die bereits in Windows XP und Vista verfügbaren Anwendungskontrollen mit der Einführung von AppLocker. AppLocker verwaltet Anwendungen nach dem Whitelist/Blacklist-Prinzip und entbindet Administratoren so von der Bürde, auf Hashes oder Anwendungskennungen vertrauen zu müssen. So werden Aktualisierung und Einsatz der Software vereinfacht, da nicht jede kleine Änderung offiziell abgesegnet werden muss. Mit Sophos sind außerdem Anwendungsupdates ohne GPOs möglich. Sophos Richtlinien werden über die Enterprise Console verwaltet. Die zeitaufwendige Aufgabe, Anwendungen zu definieren, übernehmen die SophosLabs. Ist eine Richtlinie einmal erstellt, sorgen die SophosLabs für eine regelmäßige Aktualisierung der Software-Definitionsliste und können sogar Anwendungen aufspüren, die bereits installiert wurden bzw. keiner Installation bedürfen. Eine solche Anwendungskontrolle erkennt Anwendungen nicht nur bei ihrer Installation, sondern auch ihrer Ausführung. Sophos Richtlinien können gleichermaßen auf Windows XP, Vista und Windows 7 durchgesetzt werden. So ist ein Wechsel auf ein neueres Betriebssystem problemlos möglich. Bei Microsoft BitLocker handelt es sich um eine in die Ultimate- und Enterprise-Editionen von Microsoft Windows Vista und Windows 7 integrierte Funktion zur Festplattenverschlüsselung. Mit der Veröffentlichung von Windows 7 ermöglicht Microsoft über BitLocker nun ferner die Verschlüsselung von Wechselmedien. Mit Sophos erwartet Kunden ein Management Framework, mit dem Unternehmen sowohl Windows XP-Desktops als auch BitLocker-verschlüsselte Laufwerke auf Windows Vista und Windows 7 zentral verwalten können. 5. Verwalten Sie User-Privilegien Mit Windows 7 ist es einfacher denn je, eine sichere Computer-Umgebung zu schaffen. Dank des neuen Features User Account Control (UAC) bietet Microsoft Netzwerkadministratoren mehr Kontrolle und macht Standard-Usern die Verwendung von Basisaccounts schmackhafter, da zur Durchführung ausgewählter Aktionen erweiterte Rechte angefordert werden können. Bei Aktivierung von UAC ist es Usern nicht möglich, Änderungen auf Systemebene ohne die Zustimmung des Administrators durchzuführen. So werden Desktops effektiver vor Drive-by-Malwarenangriffen geschützt und Administratoren können bekannt sichere Verhaltensweisen einfacher autorisieren. 4
Um noch besser von den neuen Sicherheitsfeatures von Windows 7 profitieren zu können, empfiehlt Sophos, außer der Maßnahme, User von administrativen Privilegien zu entbinden, einige zusätzliche Änderungen Ihrer Windows 7-Installation. Microsoft hat beispielsweise eine Funktion zur besseren Kennwort-Rotation eingeführt. Zusätzlich zu Einstellungen, die eine Änderung des Kennworts alle X Tage vorsehen (90 Tage sind ein gutes Standardintervall) und eine Wiederverwendung von bis zu X Kennwörtern verbieten (5 werden empfohlen), können Sie nun auch ein GPO einsetzen, welches eine Kennwort-Änderung vor dem Ablaufdatum unterbindet. Sophos empfiehlt, diese Funktion zu nutzen, da so eine ständige Kennwort-Rotation durch Einzelpersonen verhindert wird, welche anderenfalls immer wieder zu ihrem ursprünglichen Kennwort zurückkehren und so geltende Richtlinien unterwandern. 6. Verhindern Sie, dass Ihr Schutz untergraben wird Da immer mehr Mitarbeiter mobil arbeiten möchten, wird es für Sie zunehmend schwierig sicherzustellen, dass sämtliche Computer (auch Roaming-Laptops) die Sicherheitsstandards erfüllen, welche zum Schutz Ihres Unternehmens unerlässlich sind (z.b. aktueller Virenschutz und aktivierte Firewall). Sophos empfiehlt daher die Einrichtung umfassender Sicherheitsrichtlinien, um zu überprüfen, dass alle Systeme, die versuchen, auf Ihr Netzwerk zuzugreifen selbst unternehmenseigene vollständig richtlinienkonform sind. Solche Richtlinien stellen sicher, dass lediglich Systeme Zugriff auf Ihr Unternehmensnetzwerk erhalten, die Ihren Standards entsprechen. Sollte dies nicht der Fall sein, besteht die Möglichkeit, Systeme vom Zugriff auszuschließen. Windows 7: Network Access Protection (NAP) wurde mit Windows Vista eingeführt und bleibt auch in Windows 7 eine wichtige Komponente. NAP wurde entwickelt, um Administratoren bei der Aufrechterhaltung der Sicherheit auf Netzwerkcomputern zu unterstützen, wodurch im Gegenzug die übergreifende Integrität des Netzwerks gewahrt bleibt. NAP schützt Netzwerke hingegen nicht vor schädlichen Usern. Um verwaltete und unverwaltete Computer mit potenziellen Schwachstellen identifizieren zu können, hat Sophos Network Access Control (NAC) in seinen Endpoint-Schutz integriert. So können nicht richtlinienkonforme Computer blockiert oder angepasst werden, bevor Zugriff auf das Netzwerk gewährt wird. Sophos Application Control kann Unternehmen außerdem unterstützen, indem es sicherstellt, dass lediglich genehmigte Anwendungen auf dem Netzwerk verwendet werden. So können Sie z.b. festlegen, welche Versionen Anwendungen und Dateien ausführen dürfen (z.b. Internet Explorer 8 und Firefox 3, aber keine älteren Versionen). So schützen Sie Ihre Umgebung vor veralteten und als unsicher geltenden Programmen. 7. Erziehen Sie Ihre User Eine sichere Nutzungsrichtlinie sollte Regeln vorsehen, die folgende Handlungen unterbinden:»» Download ausführbarer Dateien und Dokumente direkt aus dem Internet oder per E-Mail»» Öffnen und Ausführen unerwünschter ausführbarer Dateien, Dokumente und Tabellenkalkulationen»» Spielen von Computer-Spielen bzw. Verwendung von Betriebssystem-fremden Bildschirmschonern Bitte führen Sie sich vor Augen, dass eine schriftlich niedergelegte Nutzungsrichtlinie nur so stark ist, wie die technologischen Verfahren, die Sie zum Schutz Ihrer Systeme und zur Verhinderung risikoreichen Verhaltens von Seiten Ihrer Mitarbeiter einsetzen. 5
Unsere en Falls Sie dies nicht bereits getan haben, wird es höchste Zeit, Sicherheitsrichtlinien zu definieren und auf sämtliche Mitarbeiter anzuwenden. Stellen Sie hierbei sicher, dass Ihre Mitarbeiter die Richtlinien lesen und verstehen und darüber informiert werden, an wen sie sich bei Fragen, Malware-Angriffen und -Infektionen auf ihren Computern wenden können. Wann immer möglich sollte der Zugriff auf bekannte Übertragungswege (z.b. E-Mail oder Internet-Download), über die Malware ins Unternehmen gelangt, blockiert werden. So ist es beispielsweise sinnvoll, den Download und die E-Mail-Zustellung von Dateiformaten wie.exe,.com,.msi,.vbs und.bat schon im Vorfeld zu unterbinden. Technologien wie die Sophos E-Mail Appliance und die Sophos Web Appliance können außerdem den tatsächlichen Dateityp einer Datei bestimmen, unabhängig davon, ob dieser durch Umbenennung verschleiert wurde. Fazit In Enterprise-Umgebungen baut Sophos auf den neuen Sicherheitsfunktionen von Windows 7 auf und verbessert das Sicherheitsmanagement in Ihrem gesamten Unternehmen, damit Sie maximal von Ihren Investitionen und der Neuveröffentlichung profitieren können. Durch Kombination von Microsoft und Sophos erfüllen Sie Compliance- und Gesetzesvorschriften mühelos, erhöhen Ihre Sicherheit und stellen Präsenz und Know-how zur Verfügung, welche in heutigen, technisch hoch anspruchsvollen IT- Umgebungen unerlässlich sind. Sophos ist ein unabhängiger, Microsoft Goldzertifizierter Softwarehersteller mit Expertise und Know-how in den Bereichen Sicherheit, Mobilität, Information Worker, ISV/Software und Netzwerkinfrastruktur. Sophos hat sich Microsoft- Standards verschrieben und lieferte bereits am Tag der Veröffentlichung der neuesten Windows- Plattform Windows 7-zertifizierte Produkte aus. Sophos ist ferner auch mit älteren Windows- Plattformen bis hin zu Windows 98 kompatibel. So können Sie sämtliche Windows-Systeme mit umfassendem und einheitlichem Schutz sichern. 6
Boston, USA Oxford, UK Copyright 2009 Sophos GmbH Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert oder übertragen werden.