|
Sie sind Hier:
Startseite
Service
Viren und Sicherheit
sicheres Windows
Sicheres Windows 2000:
Einführung :
Jedem technisch versierten Anwender, der Windows 2000 zum ersten Mal zu
Gesicht bekommt, dem werden neben den witzigen und unnötigen grafischen
Gimmicks sofort die veränderte Sicherheitsarchitektur des Betriebssystems
von Microsoft auffallen. Die neuen Sicherheitsmerkmale kann man sich
hervorragend auf der Zunge zergehen lassen: Es wird Public Key
Infrastructure (PKI), IP Security (IPSec), CryptoAPI, SSL 3.1, Encrypting
File System (EFS) und Kerberos-Beglaubigung neben den schon altbekannten
Sicherheitsvorkehrungen von Windows NT angekündigt. Windows 2000 verlässt
sich auf sehr starke Sicherheitsstandards, die in jenem Punkt nur noch sehr
wenig mit Windows NT zu tun haben. Da Windows 2000 auf den Kernel von
Windows NT aufbaut, so ist für dessen Verständnis das Wissen der alten
NT-Versionen von unschätzbarem Vorteil, denn vieles erinnert noch an alte
Zeiten.
Profile erstellen :
Die meisten Angreifer beginnen als erstes mit dem Erstellen eines Profils
ihres Ziels, und sie sammeln möglichst viele Informationen, ohne das Ziel
direkt anzusprechen, um eventuelle Schwachstellen unauffällig schon im
voraus in Erfahrung zu bringen. Die erste Quelle für so genannte
Footprinting-Informationen ist DNS (Domain Name Service), welches
bekanntlich im Internet für das Umwandeln der IP-Adressen in Host-Namen
zuständig ist. Da der Namespace des neuen Features AD (Active Directory) auf
DNS aufbaut, hat Microsoft die Implementierung des DNS bei Windows
2000 komplett überarbeitet, um das Level der Sicherheit ein bisschen in die
Höhe zu schrauben.
Laut RFC 2052 baut ein Client-Zugriff auf die Domain-Services von Windows
2000 wie AD und Kerberos auf den in der Spezifikation festgelegten DNS
SRV-Datensatz auf, der das Aufspüren eines Servers über den Service-Typ
beziehungsweise über das Protokoll ermöglichen soll:
Service.Proto.Name TTL Class SRV Priority Weight Port
Target
Aus diesem Grunde können
sich viele interessante und relevante Informationen durch einen einfachen
Zonetransfer durch das Nutzen von "nslookup"
oder der Eingabe "ls -d <Domain-Name>"
auslesen lassen, wenn man die Daten aus der übertragenen Zone genau
analysiert.
Eine simple Beobachtung, die der Angreifer machen würde, wäre zum
Beispiel der Standort des globalen Katalogdienstes der Domäne ("gc._tcp"),
die Domänen-Controller, die eine Kerberos-Beglaubigung durchführen ("_kerberos._tcp"),
die LDAP-Server ("_ldap._tcp")
und die damit verbundenen Port-Adressen.
Erfreulicherweise läßt die Implementierung des DNS von Microsoft
in der jüngsten Windows-Generation ein einfaches und sicherheitsrelevantes
Handling zu, um Zone-Transfers beliebig einzuschränken. Die
Einstellungen
werden in den Optionen für die Lookup-Zone
definiert, welche sich
unterhalb der "Microsoft Management-Konsole"
des Snap-In-Modus
bei Computerverwaltung unter
"\Serveranwendungen und Dienste\DNS\[Servername]"
findet.
Scanning :
Die Windows 2000-Domaincontroller (DC) sind bei TCP-Port-Scans ziemlich
auffällig und verraten ihre Identität sofort. Neben den ursprünglichen
Windows NT-Standartports 135 (Endpoint-Mapper) und 139 (NetBIOS-Session)
tauchen nun ein paar erwähnenswerte Neuerscheinungen auf:
|
Port-Nummer |
Dienst |
|
TCP-Port 88 |
Kerberos |
|
TCP-Port 389 |
LDAP |
|
TCP-Port 445 |
Microsoft-DS |
|
TCP-Port 464 |
Secure LDAP |
|
TCP-Port 593 |
Secure LDAP |
|
TCP-Port 636 |
Secure LDAP |
|
TCP-Port 3268 |
Globaler Katalog |
|
TCP-Port 3269 |
Globaler Katalog |
|
TCP-Port 3372 |
Globaler Katalog |
|
TCP-Port 6586 |
Globaler Katalog |
Wie immer kann also auch bei Win2k ein Port-Scan die
Betriebssystem-Version und die aktiven Dienste herausfinden, um eine
mögliche Tür ins System aufzuzeigen. Ich werde versuchen, die möglichen
Angriffe auf diese neu hinzugekommenen Dienste in diesem Dokument zu
erläutern. Die unbrauchbaren oder hinlänglich bekannten Attacken aus den
NT-Tagen werde ich hier zwar nicht außer Acht lassen, jedoch zur Ergänzung
jeweils nur kurz anschneiden.
Obwohl es unter Windows NT nicht sonderlich einfach war, NetBIOS
anstandslos zu deaktivieren, bietet Windows 2000 endlich diese Funktion ohne
Hürden. Unter "Netzwerk"
bzw. "DFÜ-Netzwerk"
können die gewünschten Parameter ganz einfach und ohne Probleme gesetzt
werden: Einfach auf die Schaltfläche
"Eigenschaften für Internet Protokoll (TCP/IP)"
klicken, und in den
erweiterten Einstellungen im "WINS"-Register
das "NetBIOS über TCP/IP deaktivieren".
Somit wird die Fähigkeit geschaffen, ein natives TCP/IP zu benutzen, wobei
die Ports 135 und 139 bei einem TCP-Portscan nicht mehr auftauchen würden.
Die Deaktivierung von NetBIOS, besonders bei Rechnern mit direkter
Anbindung zum Internet, lohnt sich immer, wenn die Möglichkeit dazu besteht:
Neben einer Steigerung der Performance wird weniger Angriffs-Fläche für
Datenklau und DoS-Attacken geboten, da die meisten Angriffe auf
NT-basierende Systeme erfahrungsgemäß auf NetBIOS-Verbindungen aufbauen.
Auswertung :
Es ist hinlänglich bekannt, wie freundlich Windows NT 4 sein kann, wenn
es um das Einsammeln von Informationen über das vermeintliche Ziel geht: Die
Benutzernamen und Dateifreigaben waren für einen Angreifer meist Gold wert,
und erlaubten erst einen effizienten Remote-Angriff. Windows 2000 hat bei
der Lösung dieser markanten Sicherheitsprobleme einige beachtliche
Fortschritte gemacht, aber ganz neue Informationen sind nun aus dem Active
Directory-Dienst heraus erspähbar: Wie so oft bei Microsoft ist ein
Fortschritt auch wieder ein Rückschritt.
5.1
LDAP (Leightweight Directory Access Protocol)
Eine für den Endverbraucher grundlegendste Änderung im neuen
Windows-System ist die Einführung eines auf LDAP (Leightweight Directory
Access Protocol) basierenden Dienstes, der von Microsoft liebevoll
Active Directory genannt wird. Da dieser Zusatz einfach zu handhaben und
dementsprechend praktisch ist, wird die Installation und der Nutzen dieses
Features bald großflächig in Unternehmensnetzwerken Einzug halten. Doch
nicht nur Freunden wird damit die Arbeit erleichtert, sondern auch den
eigenen Feinden, da sie informellen Nutzen aus diesem Dienst ziehen werden
können.
AD wurde für die Weitergabe einer einheitlichen logischen Darstellung
aller für die technische Infrastruktur eines Netzwerkes nötigen
Objektdaten entwickelt. Wie so oft enthält das Windows NT Resource Kit
eine beachtliche Menge an Tools, um aus diesem Dienst wertvolle
Informationen zu gewinnen. Das Standard-Werkzeug für den Umgang mit AD ist
ein einfacher LDAP-Client mit dem Namen "ldp",
der eine Verbindung zum AD-Server aufbaut und den Inhalt des Directories
anzeigen kann.
Die ausgelesenen Informationen unterscheiden sich nach der
Konfiguration des angesprochenen Systems. Doch ein Problem tritt bei
dieser Schnüffelei zu Tage: Windows-NT4-RAS-Server (Remote Access Service)
müssen in der Lage sein, ein Benutzerobjekt im AD abzufragen, um
herauszufinden, ob es für einen vermeintlichen Zugriff die Berechtigung
besitzt. Die Windows-2000-Installation führt den Benutzer an einer Abfrage
vorbei, die es erlaubt, die Sicherheit dieser Directories für die
angerissene Abwärtskompatibilität herunterzuschrauben, so dass die
Suchoperation für traditionelle RAS-Server zugelassen wird. Wird die
schwächere Option beim Installationsvorgang gewählt, sind die
Benutzerobjekte auch bei den "ldp"-Abfragen
ersichtlich: Die Namen aller eingerichteten Benutzerkonten sind ohne
größere Umschweife für einen Angreifer sichtbar.
Die Gegenmaßnahme geht von netsh aus: Dieses Windows-2000-Utility
bereinigt die geschwächte Sicherheit von den zuvor vorgenommenen
Einstellungen während der Installation, sobald es in der Kommandozeile
ausgeführt wird. Natürlich verlieren alle NT4-RAS-Server nach diesem
Vorgang ihren Nutzen im Zusammenspiel mit den 2000-Rechnern. Der Synthax
für das kleine Shell-Tool liest sich wie folgt:
netsh ras set domainaccess [legacy | standard]
domain = [Domänen-Name]
Wird die Option
legacy gesetzt,
können Windows-NT4- und Windows-2000-RAS-Server in vertrauten NT4-Domänen
Benutzer aus der angegebenen Domain beglaubigen. Wird der Standard-Modus
gewählt, sind die Benutzerobjekte auch dann vor einer gelegentlichen
Auswertung geschützt, wenn der Schalter legacy
später
aktiviert wird. Die Benutzerobjekte sind erst ab dann wieder gefährdet,
wenn die Lese-Berechtigung manuell wieder umgestellt wird. Für weitere
Informationen zu dieser Berechtigung geben Sie "netsh
ras set domainaccess /?"
ein.
Null-Sitzungen :
Eine der beliebtesten Methoden, ein System aus dem Hause Microsoft
anzugreifen, bleibt seit NT erhalten: Die bekannte Null-Sitzung. Das
einzige Manko beim neuen System ist der Verlust der Fähigkeit, die
Registry-Informationen über differente "Reg..."-API-Aufrufe
auszulesen. Die Auswertung von Benutzern und Freigaben ist weiterhin mit
DumpACL über eine Null-Sitzung möglich. Auch "user2sid"
kann noch immer die SID der Benutzer und Gruppen identifizieren, und die
Inversion "sid2user"
kann auch weiterhin das Gegenteil: Somit bleibt es auch unter Windows 2000
mit einer einfachen Null-Sitzung ein Kinderspiel, Standardbenutzer und
-gruppen in Erfahrung zu bringen, auch wenn sie umbenannt wurden.
Die Gegenmaßnahme beinhaltet eine Manipulation des Registry-Werts
"RestrictAnonymous",
welcher standardmässig auf 0
(deaktiviert) eingestellt
wird. Zwar sind auch dann noch Null-Sitzungen zum System möglich, doch
verlieren die meisten Angriffe, wie zum Beispiel "user2sid"
und "sid2user"
ihre Gefährlichkeit. Die beste Lösung gegen Null-Sitzungen ist und bleibt
die NetBIOS-Ports 135 bis 139 (UDP und TCP) an der Netzwerkgrenze zu
filtern.
Eindringen :
Die bösen Buben werden sich freuen zu hören, dass die NT-LANMan-Sequenz (NTLM)
auch noch weiterhin bei Microsofts neuestem Streich vertreten ist und
quicklebendig eine breite Angriffs-Fläche bietet.
NetBIOS-Freigaben
Die beliebten Brute-Force-Tools wie das NetBIOS Auditing Tool (NAT)
sind noch immer nützlich, wenn es um das Erraten von Passwörtern auf
Windows-2000-Systemen geht.
Doch viel gefährlicher sind aus meiner Sicht die inkompetenten
Benutzer, die ihre gesamte Festplatte der Außenwelt freigeben, manchmal
sogar mit kompletten Schreibrechten ohne Passwort-Restriktionen.
Wann immer es möglich ist, sollte auf die NetBIOS-Freigabe verzichtet
werden. Dies gilt besonders bei jenen Systemen, die direkt vom Internet
aus ansprechbar sind, denn im Netz der Netze tummeln sich über 260
Millionen potentielle Angreifer in über 250 Ländern.
Abfangen der Passwort-Sequenzen
Das L0phtcrack SMB Paket-Abfang-Utility kann nach wie vor die
NTLM-Beglaubigngen abfangen und knacken, die zwischen einem NT4-Client und
einem 2000-Server übertragen werden. Auch die Kerberos-Authentifizierung
wurde vom Unternehmen aus Redmond so konzipiert, daß die Beglaubigung auf
NTLM herabgesetzt werden kann, wenn einer der Kommunikations-Parteien
Kerberos nicht unterstützt: Alle Windows-NT4-Rechner machen also indirekt
auch die Windows-2000-Systeme unsicher.
Ein Angreifer könnte nun die starke Authentifizierung in einer
Windows-2000-Domäne mittels SYN-Flooding auf TCP-Port 88 (Kerberos) am
Domänen-Controller unterlaufen, da alle Clients auf die wackelige
NT-Beglaubigungsroutine herabgesetzt werden. Das Schnüffeln ist dann nur
noch ein Kinderspiel.
Buffer-Overflows
Kaum ist Windows 2000 professionell in-the-wild im Einsatz, tritt schon
der erste Remote-Bufferoverflow hervor: Der Index-Dienst von Windows 2000
indexiert HTML-, Word-, Excel- und PowerPoint-Dokumente, und er stellt
über den Internet Information Server (IIS) eine Suchmaschine zur
Verfügung. Die sogenannte Hit-Highlighting-Funktion enthält jedoch einen
Fehler, über den Internet-Benutzer auch Zugriff auf Dokumente erhalten
können, die nicht im Internet-Verzeichnis liegen und dementsprechend nicht
ins Web sollen. Um Zugriff zu erhalten, muss der Angreifer lediglich den
Pfad- und Dateinamen definieren. Der Indexserver liefert dann automatisch
die Textstelle mit dem gefundenen Schlüsselwort.
Abhilfe zu diesem Problem schafft ein
Patch.
DoS (Denial of Service) :
Erfreulich ist, daß viele der alten Tricks gegen das neue System nicht
mehr funktionieren, und ohne Zucken abprallen. Dazu zählen teardrop und
land, die schon vor langer Zeit ihre Wirkung verloren. Auch die Überflutung
von aktiven Ports beeinträchtigte das System nicht. Die RPC-Spoofing-Attacke
(snork) und Named Pipes Over RPC-Schwachstelle (nprpc) kann auch nicht mehr
genutzt werden. Befinden sich jedoch in fragmentierten Sendungen korrupte
Pakete, wird die Auslastung des Systems extrem in die Höhe getrieben. In
Extremfällen kann das gesamte System sogar abstürzen.
Die jüngste DoS-Attacke kann durch das Versenden von binären Nullen an
einen offenen Port – betroffen sind die TCP Ports 7, 9, 21, 23, 7778 und die
UDP Ports 53, 67, 68, 135, 137, 500, 1812, 1813, 2535, 3456 – des Systems
heraufbeschworen werden. Diese Attacke hat dann sogleich eine
hunderprozentige Auslastung der CPU zur Folge. Ein Angriff kann sehr einfach
von einem Linux-System aus durchgeführt werden, indem man netcat mit einem /dev/zero
Input verwendet:
Für die TCP-Variante zum Beispiel "nc
ziel.host 7 < /dev/zero"
und die UDP-Variante beispielsweise "nc -u
ziel.host 53 < /dev/zero".
SMTPD
Das Witzige ist auch, dass der hauseigene SMTP-Server das ganze System
ausbremsen kann, sobald eine größere Menge unzustellbarer Mails im Ausgang
liegt. Diese unzustellbaren Mails blockieren Filehandles, wodurch für
andere Mails unnötig viele Dateioperationen ausgeführt werden müssen.
Diese Operationen kosten Rechenzeit und verlangsamen das System.
Microsoft gab umgehend einen Patch zu diesem Problem heraus, der den
ganzen Ablauf beim Eintreten eines solchen Problemfalls besser managen
können soll. Der Patch ist bisher nur auf Anfrage bei Microsoft
erhältlich.
HTTPD: IIS 5.0
Auch der IIS 5.0 von Windows 2000 ist gegen Remote-DoS-Attacken nicht
gefeilt: Sobald bestimmte Zeichen im HTTP-Header auftauchen, stürzt das
besagte System ab. Der Fix für dieses Problem ist leider auch nur wieder
auf direkte Anfrage beim Hersteller erhältlich.
FTPD
Der interne FTP-Server weist auch ein kleines Manko auf: Er ignoriert
einfach die festgelegten Time-Out-Werte für Sitzungen, wodurch künstlich
ein hohes Ausmaß an Systemauslastung erzwungen werden könnte. Ein Patch
ist auf Anfrage bei Microsoft erhältlich.
SMB
Werden SMB Anfragen an Port 445 oder 139 gesendet, und werden die
Antworten nicht bestätigt, läßt Windows 2000 alle auf SMB vertrauenden
Services für 20 Sekunden deaktivieren. Abgehende Verbindungen von Windows
2000 sind nicht betroffen.
Ausbau der Privilegien :
Eine erfreuliche Erkenntnis: Windows 2000 scheint auf den ersten Blick
rustikaler als die NT-Vorgänger zu sein, wenn es darum geht, Angriffe auf
das Administrator-Konto abzuwehren.
getadmin und sechole
Den Erweiterungen der eigenen Privilegien mit den Tools
"getadmin"
und "sechole"
wurde schon mit der Veröffentlichung von Service Pack 3 Einhalt während
der NT-Epoche geboten und erzielt auch gegen das neue System keine
Erfolge. Einzig kann eine DLL-Einschleusung den Gewinn für den Angreifer
bedeuten, da "pwdump2"
nach wie vor anstandslos funktioniert.
Passwörter knacken
Die rundum überarbeitete Sicherheitsarchitektur schränkt den Einsatz
von Tools aus alten NT-Tagen drastisch ein. Einen besonderen Betrag dazu
leistet die Standard-Nutzung von SYSKEY bei Windows 2000 Advanced Server.
Das "pwdump2"-Utility
ist das einzige, das in der Lage war, einige Passwortsequenzen aus der
Registry auszulesen; nämlich die, die über einen "msv1_0.dll"-API-Aufruf
ansprechbar sind, der vom besagten Programm gekapert wird. Bei
Domänen-Controllern mit aktiviertem AD können die Passwörter von
"pwdump2"
nicht angesprochen werden, da die Benutzerkonten direkt im AD gespeichert
werden. Bei allen Servern, die auf AD verzichten, können die einzelnen
Passwörter ausgelesen werden.
Die SAM-Datei selbst wird weiterhin im lokalen Unterverzeichnis
"\system32\config"
gespeichert und ist noch immer vom Betriebssystem direkt gesperrt. Trotz
dem neuen NTSF-v.5-Dateisystem kann noch immer von einer alten
DOS-Bootdiskette mit dem NTFSDOS-Utility gebootet werden, um die
geschützten Daten ungehindert auf Diskette ausgelagert zu lassen. Da die
neue SAM-Version jedoch mit SYSKEY verschlüsselt wurde, verlieren
logischerweise die alten Tools wie L0phtcrack ihre Wirkung. Eine exakte
und aktuelle Sicherungskopie der SAM-Datei taucht weiterhin im
Unterverzeichnis "\repair"
auf, obwohl sie nicht mehr "SAM._"
genannt wird. Das "rdisk"-Programm
wird durch die Microsoft Backup-Anwendung ersetzt, die eine
Funktion zur Erstellung einer Rettungsdiskette enthält. Mit diesem Utility
kann nur noch die SAM-Datei auf Diskette gespeichert werden, um eine
lokale Kopie im Repair-Subdirectory zu verhindern.
Vom heutigen Standpunkt aus betrachtet und mit dem aktuellen Wissen
bewaffnet, kann über die Sicherheit der Passwort-Verschlüsselung unter
Windows 2000 gesagt werden, dass sie sehr sicher zu sein scheint. Doch
kann diese Anfangs-Euphorie schnell verfliegen, wenn sich herausstellt,
dass das Auslesen der Passwörter aus den ADs keine Utopie mehr ist: Die
Zeit wird es zeigen...
Ausplündern :
Hat ein Eindringling erst einmal den Status des Administrators erreicht,
ist er primär auf das Herunterladen möglichst vieler Informationen und Daten
aus, die für die Eroberung weiterer (angebundener) Systeme von Vorteil sein
können. Eine der beliebtesten Strategien ist das anfängliche Aufspüren von
Domänenbenutzerkonten. Mit den dadurch erreichbaren Privilegien kann der
Angreifer problemlos von einem System zum anderen hüpfen: Auf alle Rechner
in der Domäne, auf andere Domänencontroller und sogar über die Domänengrenze
hinaus. Der LSA-Secrets-Bug von Windows NT 4 war eine zentrale Schwachstelle
(die zum Glück nach dem Einspielen von Service Pack 3 behoben werden
konnte), die als Schlüsselmechanismus zum Aufspüren von Konten der letzten
Benutzer, die sich am System angemeldet hatten und dadurch enttarnt wurden,
diente. Diese alte Verwundbarkeit funktioniert natürlich auch beim neuen
Windows nicht mehr, doch schützt dies kaum vor einem Systemverwalter, der
sich aus Versehen an einem Einzelsystem mit dem Passwort des
Domänen-Controllers anmeldet.
Bidirektionale Vertrauensbeziehungen
Aus der Sicht eines Sicherheitsexperten ist die Abschaffung von
unidirektionalen Vertrauensbeziehungen innerhalb eines Windows-2000-Netzes
ein Geschenk Gottes. In einer reinen Windows-2000-Umgebung bestehen nun
glücklicherweise nur bidirektionale transitive Vertrauensbeziehungen, die
durch Kerberos-Implementierungen bedingt sind. Die Vertrauensbeziehung zu
Windows-NT-Rechnern läuft aus Kompatibilitätsgründen noch immer
unidirektional ab.
Seit Windows 2000 Build 2031 sind alle Mitglieder der Gruppe "Domain
Admins" (eine globale Gruppe der Domain in der Win2k-Terminologie) bis zu
einem bestimmten Grad in allen Domänen des eigenen Netzes berechtigt. Dies
gilt besonders für die vollständige Kontrolle der AD-Konfiguration, die
aus einem gemeinsamen Satz von Replikations-Beziehungen administriert
wird. Ein kompromittiertes Konto dieser Superuser-Gruppe könnte daher
verheerende Folgen für ein gesamtes Unternehmensnetzwerk haben, wenn ein
Angreifer sich darin mit bösen Absichten zu tummeln pflegt. Aus diesem
Grund empfehle ich, Partner-Netzwerke oder Netze mit großer Angriffsfläche
einer eigenen Domain zuzuteilen, um übergreifende Schäden durch Attacken
zu verhindern.
Spuren verwischen :
Die alteingesessenen Tools funktionieren meist auch in der neuen Umgebung
wie gewohnt, wobei jedoch einige Umstrukturierungen dieses Vorhaben
erschweren können.
Dateien verstecken
Der beliebte Trick aus den alten DOS-Tagen, als noch FAT16 im Einsatz
war, hieß "Dateien mittels 'attrib'
verstecken". Die versteckten Daten sind aber mit einigen kleinen Kniffen
trotzdem einsehbar: Zum Beispiel wenn die Option "Alle Dateien anzeigen"
auf der grafischen Oberfläche aktiviert wurde, oder in der
DOS-Eingabeaufforderung der Befehl "dir /A H"
ausgeführt wird.
Eine andere Möglichkeit besteht im Nutzen des NTRK cp-Posix-Utility,
das auch unter Windows 2000 seinen Dienst verrichten kann, obwohl NTFS V.5
benutzt wird, um Dateien in den Datenströmen hinter anderen Dateien zu
verstecken. Möchte man die Daten wiederherstellen, sind administrative
Rechte nötig.
Die Revision deaktivieren
Die Revision kann über das MMC-Snap-In für Gruppenrichtlinien unter
"\Computerverwaltung\Windows-Einstellungen\Sicherheitseinstellungen\
Lokale Richtlinie\Richtlinie überwachen"
eingestellt werden.
Da wohl im Moment eine zentrale Protokollierung nicht in den absehbar
kommenden Versionen von Windows vorgesehen ist, werden alle Protokolle
weiterhin auf lokalen Systemen gespeichert, womit das System in dieser
Hinsicht weiterhin einen Minuspunkt im Gegensatz zum Syslog-Daemon unter
Unix bekommt.
Neben der Schnittstelle für das Einstellen der Überwachung von
Gruppenrichtlinien funktioniert das "auditpol"-Programm
aus dem NTRK noch genau so gut wie vor der neuen Epoche.
Das Ereignisprotokoll bereinigen
Zwar werden die Protokolle unter Windows 2000 über eine neue
Schnittstelle verarbeitet, doch ist es noch immer möglich, die Protokolle
zu bereinigen. Die unterschiedlichen Protokolle werden im MMC-Snap-In
"Computerverwaltung"
unter "\Systemwerzeuge\Ereignisanzeige"
bearbeitet. Hinzugekommen sind drei komplett neue Protokolle:
Verzeichnisdienst, DNS-Server und Dateireplizierdienst. Mittels einem
Mausklick auf der rechten Maustaste kann im Kontextmenü der Eintrag
"Alle Ereignisse löschen"
gefunden werden.
Das "elsave"-Utility kann alle – auch die neuen – Protokolle über einen
Remote-Zugriff löschen, sofern die entsprechenden Privilegien auf dem
Ziel-System eingeholt werden konnten:
elsave -s \\marc -l "File Replication Service" -C
Hintertüren & Trojanische Pferde:
Konnte ein Angreifer sein Ziel erst einmal kompromittieren, steht
schlußendlich auf der letzten Position seiner Wunsch-Liste eine Hintertür,
die ihm jederzeit unbemerkt Zugang zum System ermöglichen soll.
Manipulation der
Startdateien
Da dem Angreifer am liebsten während der ganzen Uptime des Systems eine
Hintertür bereitstehen soll, binden sie deren Aufstarten oft unbemerkt in
den Startdateien ein. Diese Verstecke sind in der Regel bestimmte
Schlüssel in der Registry ( "HKLM\SOFWTARE\Microsoft\Windows\
CurrentVesion\Run*")
und der Autostart-Ordner, der sich nun neu als Subdirectory mit dem Namen
"\Dokumente\Username\Startmenü\
Programme\Autostart"
versteckt.
Remote-Control & Trojanische Pferde
Alle Remote-Control-Software (Hacker-Tools) aus den Windows-NT-Zeiten
reagiert anstandslos korrekt bei einem Einsatz auf einem
Windows-2000-Rechner: NetBus, Back Orifice 2000 und WinVNC haben brav
ihren Dienst verrichtet. Da der Quelltext der neuesten Version von Back
Office von den Machern "Cult of the dead Cow" freigegeben wurde, könnten
zur Anfangsphase einige Mutationen durch die allgemeinen Scan-Vorgänge der
üblichen Anti-Viren-Software schlittern.
Mit NetBus lassen sich auch in der aktuellen 2000er Umgebung die
Tastaturschläge problemlos aufzeichnen, genau wie mit dem Invisible
Keylogger Stealth (IKS). Eine Verschlüsselung des Datenstroms zwischen
Tastatur und Betriebssystem wird irgendwie verständlicherweise von den
Microsoft-Programmierern auch nicht in Betracht gezogen.
Die neuen
Windows-Sicherheitstools :
Windows 2000 hat einige Tools von Haus aus im Repertoire, die die
Verwaltung der Sicherheit dezentral und komfortabel durchführen können.
Gruppenrichtlinien
Gruppenrichtlinien-Objekte (GPO) können im AD oder an einem lokalen
Computer gespeichert werden, um bestimmte Konfigurationsparameter für eine
ganze Domäne oder das eigene System festzulegen. GPO können auf Standorte,
Domains oder Organisationseinheiten (OU) beschränkt werden, um den darin
befindlichen Benutzern oder Computer vererbt zu werden, wie man das aus
der Unix-Welt kennt.
GP lassen sich in jedem MMC-Fenster anzeigen und mit administrativen
Rechten auch bearbeiten. Die GPO, die mit Windows 2000 standardmäßig
eingerichtet werden, sind Richtlinien für den lokalen Computer, die
Standard-Domäne und den Standart-Domänencontroller. Eine weitere
Möglichkeit, ein GPO anzuzeigen, besteht darin, die Eigenschaften eines
bestimmten Verzeichnis-Objekts (Domain, OU, Standort) anzuzeigen und dann
auf das Gruppenrichtlinien-Register zu klicken. Danach öffnet sich ein
übersichtliches Fenster, das die gegenwärtige GPO nach Prioritäten
geordnet veranschaulicht. Auch kann dadurch ermittelt werden, ob die
Vererbung explizit unterdrückt wurde.
Ein GPO kann bei der Anpassung eine Vielzahl an Sicherheitsoptionen zur
Verfügung stellen, um ganz individuell die Rechte des Objekts zu
editieren. Besonders interessant ist der Zweig
"Computerverwaltung\Windows-Einstellungen\
Lokale Richtlinien\Sicherheitsrichtlinie\
Sicherheitsoptionen"
des GPO. Es finden sich über 30 Parameter, die – richtig eingesetzt –
markant zur Verbesserung der Sicherheit von allen Computer-Objekten, die
Mitglied der GPO sind, konfiguriert werden können. Unter anderem kann dort
auch die Auswertung von Benutzerkonten und Freigaben durch anonyme
Benutzer unterdrückt oder das Administrator-Konto umbenannt werden. Diese
wichtigen Einstellungen wurden bei NT 4 noch »primitiv« in der Registry
verewigt. Im Zweig "Sicherheitseinstellungen"
können des weiteren die Einstellungen der Richtlinien für die
Benutzerkonten, die Überwachung, das Ereignisprotokoll, den Public Key und
IPSec konfiguriert werden. Diese Festlegungen können zentral durchgeführt
werden, wenn die Ebene der Vererbung dementsprechend gesetzt wurde.
Die Idee hinter GPO ist genial, doch traten zum Teil unzuverlässige
Ereignisse bei der Aktivierung von speziellen Kombinationen aus lokalen
und zentralen Richtlinien auf. Auch die Verzögerung, bis die neuen
Einstellungen aktiviert sind, ist nervend: Erst nach einer Ab- und neuer
Anmeldung an der lokalen Konsole werden die Änderungen wirksam: Ein Reboot
ist zum Glück in der Form nicht mehr nötig. Die Änderungen werden jedoch
beim Anwenden des mitgelieferten Security-Tools "secedit"
sofort wirksam. Folgender Syntax aktualisiert die Richtlinie im selben
Augenblick:
secedit /refreshpolicy MACHINE_POLICY
Um die Richtlinien für die Benutzerkonfiguration im selben Atemzug
wirksam zu machen, muss man sich folgender Eingabe bedienen:
secedit /refreshpolicy USER_POLICY
Mitgelieferte Sicherheits-Tools
Neben den schon zuvor erklärten Gruppenrichtlinien sind einige weitere
Sicherheitskonfigurations-Tools eng im System verflochten worden, welche
die Administration und Auswertung um einige Ecken erleichtern und
vereinfachen können. Das Sicherheitskonfigurations- und Analyse-Tool gibt
dem Administrator die Kompetenz, lokale Systemkonfigurationen nach
fehlenden Übereinstimmungen mittels zuvor definierter Schablone
abzusuchen. Das Utility ist als MMC-Snap-In aufrufbar, kann jedoch auch
auch als Befehlszeilen-Programm mit dem Namen "secedit"
ausgeführt werden. Leider lässt sich diese Methode nur auf lokalen Systemen
ausführen und kann nicht auf die komplette Domäne übertragen werden. Doch
kann die Shell-Version des Tools auch in das Start-Skript eingebunden
werden, damit bei jedem Neustart die Sicherheit des Systems automatisch
überprüft wird. Hier können die Entwickler jedoch noch ein bischen Hand
anlegen und den vielen Administratoren einen ehrenwerten Dienst mittels
mehr Komfort erweisen.
Fazit & Schlusswort :
Die ersten Test-Angriffe auf Rechner, die mit Windows 2000 ausgestattet
wurden, sehen nicht schlecht aus, und lassen seit langem die Riege der
Männer und Frauen um Bill Gates gut aussehen, wenn man in ihrem Zusammenhang
von Sicherheit spricht. Wenn sich Microsoft ranhält, dürfte ihnen
bald ein ziemlich ausgeklügeltes Betriebssystem gelingen, das nicht mehr
vergleichbar mit dem anfälligen Microsoft-Rechner vergangener Tage ist.
Trotzdem muss sich Windows noch einige Zeit im stürmischen Alltag
herumschlagen, um über seine Sicherheit ein kompetentes Urteil fällen zu
können, denn auch bei Windows NT wurden erst später die Schwärmereien durch
die aufgedeckten Bugs überschattet. Ein Umstieg auf Windows 2000 lohnt sich
jedoch auf alle Fälle, wenn die Anschaffung neuer Hardware wegen der
erhöhten System-Anforderungen und einige Abstriche in Punkto Kompatibilität
mit älterer Hard- und Software gemacht werden können. Einen eingefleischten
Unix-User kann das Microsoft-Datenmonster noch immer nicht für sich
gewinnen: Dazu fehlt die komplexe Shell - Ob die jemals von MS realisiert
werden wird...?
Deaktivieren von Diensten unter W2K
Windows 2000 Professional – Schließen der Ports 135-139, 445, 500 Beenden der
Dienste epmap, isakmp, microsoft-ds, netbios-ssn, netbios-ns und netbios-dgm
|
