Zehner Windows Vista Security Marcel Zehner Windows Vista Security Der Autor: Marcel Zehner, smart dynamic ag, Bern Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflich- tung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen oder Teilen davon entsteht. Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbe- zeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) auch nicht für Zwecke der Unterrichtsgestaltung reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, ver- vielfältigt oder verbreitet werden. © 2007 Carl Hanser Verlag München Gesamtlektorat: Fernando Schneider Sprachlektorat: Sandra Gottmann, Münster-Nienberge Herstellung: Monika Kraus Umschlagdesign: Marc Müller-Bremer, Rebranding, München Umschlaggestaltung: MCP · Susanne Kraus GbR, Holzkirchen Datenbelichtung, Druck und Bindung: Kösel, Krugzell Ausstattung patentrechtlich geschützt. Kösel FD 351, Patent-Nr. 0748702 Printed in Germany ISBN 978-3-446-41356-6 www.hanser.de/computer V Inhalt Einleitung . 1 1 Benutzerkontensteuerung . 5 1.1 Lokales Administratorenkonto deaktiviert! .6 1.2 Standardbenutzerrechte ein entscheidender Vorteil! .8 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! 9 1.4 Anwendungen mit Standardbenutzerrechten ausführen eine wahre Herausforderung! .13 1.5 Steuerung mittels Gruppenrichtlinien .21 1.6 Deaktivieren der Benutzerkontensteuerung 27 1.7 Für Entwickler 29 1.8 Rückblick .29 2 Integritätskontrolle mit Verbindlichkeitsstufen . 31 2.1 Der neue Schutzmechanismus von Windows Vista .31 2.2 Verfügbare Verbindlichkeitsstufen und Richtlinien .32 2.3 Verbindlichkeitsstufen für Objekte 33 2.4 Verbindlichkeitsstufen für Prozesse .38 2.5 Verbindlichkeitsstufen von Benutzerkonten 40 2.6 Rückblick .42 3 Internet Explorer 7 . 43 3.1 Umfassender Schutz durch mehrere Sicherheitsschichten .43 3.1.1 Schutzschicht 1 Adressleistensicherheit und IDN-Unterstützung 44 3.1.2 Schutzschicht 2 Sicherheitsstatusanzeige, Zertifikatsverwaltung und Phishing-Filter 45 3.1.3 Schutzschicht 3 Warnung bei unsicheren Einstellungen 52 3.1.4 Schutzschicht 4 Reduzierte Angriffsoberfläche .54 3.1.5 Schutzschicht 5 ActiveX Opt-In 54 3.1.6 Schutzschicht 6 Dateiausführungsverhinderung (Data Execution Prevention, DEP) 55 3.1.7 Schutzschicht 7 Geschützter Modus 56 Inhalt VI 3.1.8 Webseite mit IE7-Demos .57 3.2 Weitere Sicherheitseinstellungen .58 3.2.1 Sicherheitszonen 58 3.2.2 Datenschutzeinstellungen .61 3.2.3 Zertifikatsverwaltung .63 3.2.4 Löschen von persönlichen Informationen 65 3.3 Konfiguration über Gruppenrichtlinien 65 3.4 Installation von ActiveX-Elementen steuern .67 3.5 Rückblick .71 4 Schützen von Daten und Betriebssystemdateien . 73 4.1 Das NTFS-Dateisystem .73 4.1.1 Lokale Sicherheit auf Datei- und Ordnerebene Jumpstart und Refresh! .75 4.1.2 Besitzer von Systemobjekten .76 4.1.3 Umleitungen im Dateisystem .78 4.1.4 Verbindlichkeitsstufen Sie erinnern sich? .80 4.1.5 Kontrolle ist gut, Überwachung ist besser 81 4.2 Das verschlüsselte Dateisystem (Encrypting File System, EFS) 87 4.2.1 Lösungen ohne Zertifizierungsstelle 90 4.2.2 Lösungen mit einer Windows Server-Zertifizierungsstelle 98 4.2.3 Steuerung über Gruppenrichtlinien 112 4.2.4 Noch etwas zum Abschluss von EFS .116 4.3 Partitionsverschlüsselung mit BitLocker 116 4.3.1 BitLocker einrichten .120 4.3.2 BitLocker über die Kommandozeile verwalten 126 4.3.3 Wiederherstellung 127 4.3.4 Schlüsselspeicherung im Active Directory .128 4.3.5 Gruppenrichtlinien für BitLocker-Konfiguration .132 4.4 Rückblick .136 5 Update-Management . 137 5.1 Automatische Updates über Microsoft Update 138 5.2 Windows Server Update Services (WSUS) .142 5.2.1 Installation von WSUS .142 5.2.2 WSUS-Basiskonfiguration .147 5.2.3 Computergruppen .154 5.2.4 WSUS-Clients konfigurieren .155 5.2.5 WSUS-Clients registrieren .159 5.2.6 Updates verwalten 159 5.3 Rückblick .161 6 Sicherer Netzwerkbetrieb 163 6.1 Netzwerkverbindungen 163 6.1.1 LAN-Verbindungen .165 6.1.2 WLAN-Verbindungen 170 6.1.3 Virtuelle private Netzwerke (VPN) 180 Inhalt VII 6.2 Die Windows-Firewall .183 6.2.1 Netzwerktypen für Netzwerke festlegen .186 6.2.2 Die Standardkonsole der Windows-Firewall 188 6.2.3 Die erweiterte Konsole der Windows-Firewall 191 6.2.4 Firewall-Konfiguration mithilfe von Gruppenrichtlinien .205 6.3 IPsec ohne Firewall 205 6.3.1 IPsec-Konfiguration über Gruppenrichtlinien 210 6.4 Rückblick .211 7 Erweiterter Schutz vor Malware und Viren 213 7.1 Automatische Updates .217 7.2 Echtzeitschutz zum Erkennen neuer unerwünschter Programme .218 7.3 Manuelle Scans zum Suchen nach bereits installierten Spyware-Programmen 219 7.4 Verlauf .220 7.5 Extras .221 7.5.1 Optionen .222 7.5.2 Microsoft SpyNet .224 7.5.3 Unter Quarantäne .226 7.5.4 Software-Explorer 227 7.6 Informationen in der Ereignisanzeige 228 7.7 Konfiguration über Gruppenrichtlinien 229 7.8 Rückblick .232 8 Windows-Dienste absichern . 233 8.1 Dienst- und Systemkonten .233 8.2 Viele Dienste standardmäßig nicht ausgeführt .237 8.3 Dienste werden mit tiefstmöglichen Rechten und isoliert ausgeführt 237 8.4 Dienste können für den Netzwerkbetrieb eingeschränkt werden 241 8.5 Isolation der Session 0 242 8.6 Rückblick .244 9 Hardware und Treiber 245 9.1 Neue Gruppenrichtlinieneinstellungen .246 9.2 Treibersignaturen .253 9.3 Rückblick .255 10 Benutzerkonten und Kennwörter . 257 10.1 Übersicht zur Benutzerauthentifizierung 257 10.1.1 Kennwortspeicherung .258 10.1.2 Übertragung über das Netzwerk .259 10.2 Schutz der lokalen Benutzerdatenbank von Windows Vista 264 10.3 Kennwortrichtlinien und Kontosperrung 265 10.4 Dienstkonten 271 10.5 Ausbildung, Ausbildung, Ausbildung 271 10.6 Rückblick .272 Inhalt VIII 11 Verschiedene Sicherheitseinstellungen 273 11.1 Kernel Patch Protection (PatchGuard) .273 11.2 Code-Integrität .274 11.3 Address Space Layout Randomization (ASLR) .275 11.4 Remotedesktopverbindungen .276 11.5 Software Restriction Policies .279 11.6 Rückblick .285 Register 287 1 Einleitung Sicherheit, Sicherheit, Sicherheit. Überall in der Welt der Informationstechnologie geht es nur noch um dieses eine Thema. Nur noch? Natürlich nicht, aber Sicherheit ist mittlerweile zum Top Concern, also zum Thema Nummer eins, vieler Firmen geworden. In einer vernetzten Welt, in der jeder mit jedem kommunizieren kann, alle erdenklichen Informati- onen in öffentlichen Netzwerken abgerufen werden können und Firmennetzwerke von je- dem Punkt dieser Welt aus zugänglich sind, existiert auch eine Reihe von Risiken. Und diese Risiken sind enorm. Ereignisse wie beispielsweise das Täuschen von Benutzern, der Zugriff auf fremde Informationen oder das Außerkraftsetzen von Diensten gehören leider mittlerweile zur Tagesordnung. Unter dem Deckmantel des Internets lässt sich leicht eine kriminelle Tat begehen, ohne dass es möglich ist, jemals herauszufinden, woher und von wem ein Angriff ausgeübt worden ist. Aber damit müssen wir lernen zu leben, und in naher Zukunft wird sich das bestimmt nicht zum Besseren ändern. Was aber kann dagegen unternommen werden? Wie kann man sich schützen, um die Angriffsfläche der eigenen Firmeninfrastruktur zu minimieren? Wie kann ich meine Firma schützen und sicher machen? Die Kurzantwort auf diese Frage lautet: Ihr Netzwerk wird niemals sicher sein es lässt sich bestenfalls optimal schützen. Selbst wenn Sie jedes verfügbare Sicherheitstool dieser Welt installieren, wird das der Fall sein. Wes- halb das denn nun wieder? Nun, Sicherheit ist komplex, vielschichtig und dynamisch. In einem Sicherheitskonzept müssen deshalb verschiedenste Bereiche, Komponenten und Prozesse eingebunden werden, die weit über die Grenzen der Informationstechnologie hin- ausreichen. Technische Sicherheit in der IT reicht dabei bei Weitem nicht aus. Deshalb wird das Buch, das Sie in den Händen halten (oder natürlich das PDF, das Sie lesen), auch nicht alle Bereiche abdecken können. Das soll es aber auch nicht. Es soll sich auf einen einzigen Bereich fokussieren, und das ist das Client-Betriebssystem Windows Vista. Sicherheit bei Client-Betriebssystemen Mit diesem Buch möchte ich Ihnen, liebe Leserinnen und Leser, die neuen Abwehrmecha- nismen, die Windows Vista bietet, ein bisschen genauer aufzeigen und erklären, wie diese in einer Firmenumgebung eingesetzt werden können, um die Gesamtsicherheit der IT- Landschaft entscheidend zu erhöhen. Dabei geht es mir einerseits darum aufzuzeigen, wel- [...]... meisterwähntesten und aufsehenerregendsten Features von Windows Vista ist die Benutzerkontensteuerung (User Account Control, UAC) Bereits lange vor dem Launch von Windows Vista wurde viel über diese neue Funktion berichtet, die dem neuesten Clientbetriebssystem mehr Sicherheit einhauchen soll, und auch heute wird bei Aufzählungen der Windows Vista- Highlights oft zuerst die Benutzerkontensteuerung erwähnt... wahre Herausforderung! Die Virtualisierung gilt grundsätzlich für Legacy-Anwendungen, d.h für Anwendungen, die ursprünglich für andere Betriebssysteme als Windows Vista entwickelt worden sind Windows Vista- konforme Anwendungen, die über ein Windows Vista- Manifest mit dem Eintrag RequestExecutionLevel verfügen (und daher mit der Benutzerkontensteuerung interagieren können), benötigen keine Virtualisierung... werden Diese Anwendung ist selbstverständlich Windows Vistakonform entwickelt worden und arbeitet optimal mit der Benutzerkontensteuerung zusammen Sie verfügt über ein Windows Vista- Manifest, das den Eintrag RequestExecutionLevel enthält, sodass die Virtualisierung deaktiviert ist Wird nun versucht, mit Standardbenutzerrechten eine Datei im Windows- Ordner (c: \windows) anzulegen, schlägt dies fehl In diesem... schwieriger zu machen, erfolgreich zu werden Und genau hier setzt Windows Vista an Mit neuen Sicherheitsmechanismen, die Clients schützen können, um das Gesamtsicherheitskonzept eines Unternehmens zu vervollständigen Dazu hat Microsoft in den letzten Jahren einiges auf den Kopf gestellt, um mit Windows Vista wirklich das sicherste Windows- Betriebssystem aller Zeiten auf den Markt zu bringen Das hört... Was, wenn Benutzer Anwendungen ausführen müssen, die nicht Vista- konform programmiert worden sind und mit Standardrechten nicht auskommen, weil beispielsweise Schreibfunktionen fehlschlagen? Hier kommt jetzt endlich die Benutzerkontensteuerung zum Zug 8 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! Schauen wir uns zuerst das... lediglich aufzeigen, dass technische Sicherheit nicht alles ist Nichtsdestotrotz ist sie sehr wichtig, um den Schutz einer Infrastruktur zu vervollständigen Und jetzt kommt (endlich) Windows Vista zum Zug! Sicherheit mit Windows Vista Noch vor ein paar Jahren hat sich im Bereich Netzwerksicherheit alles fast ausschließlich um das Thema Firewall gedreht, andere Themen waren nicht oder nur begrenzt relevant... Kapitel ansehen Die meisten Aktionen, die unter Windows Vista ein Erhöhen der Rechte benötigen, werden auf der grafischen Oberfläche mit einem Schildsymbol dargestellt Somit ist sofort ersichtlich, für welche Aufgaben die Rechte von Standardbenutzern nicht mehr ausreichen Abbildung 1.5 Schildsymbole bedeuten Rechteerhöhung 10 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! Was aber läuft... deaktiviert! Eine wichtige Neuerung, die eigentlich nichts mit der Benutzerkontensteuerung zu tun hat, ist die Tatsache, dass das lokale Administratorenkonto unter Windows Vista standardmäßig deaktiviert ist Wie soll denn ein Windows Vista- Rechner ohne aktives Administratorenkonto administriert werden? Ganz einfach: Beim Setup des Betriebssystems wird ein zusätzliches Konto angelegt, das über Administratorenrechte... gewünschten Effekt bringt Aber bei Ihrem Windows Vista ist das ja kein Problem das Konto ist ja deaktiviert, und das effektive Administratorenkonto kann nicht so einfach ausfindig gemacht werden Abbildung 1.2 Deaktiviertes Standardadministratorenkonto 7 1 Benutzerkontensteuerung 1.2 Standardbenutzerrechte ein entscheidender Vorteil! Mit dem Release von Windows Vista haben Standardbenutzer neue und... lassen sich mit verschiedenen Methoden darstellen Ein Tool, das bei Vista standardmäßig mitgeliefert wird und Informationen aus den Access Tokens darstellen kann, ist Whoami.exe Mit einem einfachen Beispiel lässt sich besser nachvollziehen, wie das Split-Token-Verfahren genau funktioniert 1 Melden Sie sich mit einem Konto an einem Windows Vista- Rechner an, das sich in der lokalen Administratorengruppe . Zehner Windows Vista Security Marcel Zehner Windows Vista Security Der Autor: Marcel Zehner, smart dynamic. Infrastruktur zu vervollständigen. Und jetzt kommt (endlich) Windows Vista zum Zug! Sicherheit mit Windows Vista Noch vor ein paar Jahren hat sich im Bereich Netzwerksicherheit