Hinweise zur Erhöhung der Sicherheit von Windows-Rechnern

 

Absolut notwendige Maßnahmen:

  • Sofortiges und regelmäßiges Einspielen von Service Packs und Patches !

  • Einsatz von Virenscannern !
      Ständige Aktualisierung von Virendefinitionsmustern (empfohlen : täglich) !
      E-Mail-Attachments - Aufklärung von Nutzern
      Regelmäßige Scans des gesamten Rechners

  • Einsatz lokaler Firewalls !
      Windows-Firewall : auf allen Interfaces konfigurieren, keine Ausnahmen zulassen
      (Strategie :
      von aussen nach innen : erlaube nichts
      von innen nach aussen : erlaube alles
      Logging aktivieren !
      Third Party Products (z.B. Zonealarm -> Hinweis : Zonealarm deaktiviert in der Standardeinstellung die Windows-Firewall)

 

Weitere Maßnahmen: 

  • Verfolgen sicherheitsrelevanter Meldungen.
  • Bereits bei der Installation darauf achten, daß das Dateisystem NTFS verwendet wird !

  • Physikalische Sicherheit :
      Überlegen Sie, ob Sie Medien wie Diskettenlaufwerke, CD's, Zip-Drives erlauben wollen.
      Wenn ja, legen Sie in der Bootsequenz fest, dass immer von der Festplatte gebootet werden soll.
      Setzen Sie ein BIOS-Passwort. Sichern Sie das Gehäuse gegen Öffnen.
  • Nutzer und Accounts
      Sensibilisieren Sie Ihre Nutzer für Sicherheitsfragen.
      Jeder Nutzer muss seinen eigenen Account nutzen.
      Deaktivieren Sie nicht genutzte Accounts (Gast!).
      Jeder Nutzer muss ein Passwort haben.
      Sichern Sie ab, dass jeder Nutzer ein starkes, nicht leicht zu erratendes Passwort wählt, das den Allgemeinen Anforderungen an ein Passwort entspricht.
      Nutzer sollten ihr Passwort möglichst nicht schriftlich festhalten, und wenn doch, so nur an einem sicheren Ort und so, daß es nicht als Passwort erkennbar ist.
      Stellen Sie sicher, daß jeder Nutzer sein Passwort in regelmäßigen Abständen wechselt.
      Ändern Sie die Passworte von Default-Accounts.
      Insbesondere administrative Accounts sollten starke Passworte haben.
      Mittel:
    • Nutzung von Passwort-Policies ( MMC Snap-In, Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinien -> Kontorichtlinien -> Kennwortrichtlinien )
        Mindestlänge (Empfehlung : 10 Zeichen)
        Maximales Passwortalter (Empfehlung : 30-90 Tage)
        Minimales Passwortalter (Empfehlung : 0-1 Tage)
        Anzahl der gemerkten Passworte (Empfehlung : 4-12)
        Anzahl der möglichen Fehlversuche vor Sperren des Accounts (Empfehlung : 2-5 Versuche)
        Kontosperrdauer ((Empfehlung : 2-5 Minuten)
        Komplexitätsanforderungen (MS passfilt.dll, erweiterte Regeln für Passworte) :
        male Passwortlänge
        Welche Zeichenmengen müssen enthalten sein
        Passwort darf den eigenen Namen nicht enthalten
    • Nur NTLM-MD4-Passworte verwenden ! Keine LANMAN-Passworte, wenn keine Kompatibilität zu Win95, Netware, OS/2 oder Windows 3.11 nötig ist !
    • Mit Hilfe von Registry Keys die Art der verwendeten Authentisierung festlegen.
      gpedit -> Computerkonfiguration -> Windows-Einstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kenwortänderung speichern
    • Entfernen aller Rechte auf die SAM, Speicherung auf Emergency Recovery Disk, Rechte von Everyone auf Access denied setzen
    • Schedule-Service nicht starten
    • SAM - Verschlüsselung mit Syskey (MS KB 310105)
  • Kryptographie
      Einsatz von Kryptographie :   Ein Überblick

      Nutzung der BTU-CA

      Einsatz von Secure Shell als Ersatz für Telnet und FTP
      Es existieren Clients hierfür auf dem   FTP-Server der BTU. Das Programm  SSHSecureShellClient-3.2.9.exe installiert die Clients.

      EFS - Encrypted File System :
      Verschlüsselung von Dateien und Verzeichnissen unter NTFS
      Transparenter Zugriff
      Vom Benutzer konfigurierbar

  • Erhöhung der lokalen Sicherheit :

      Zuweisung von Benutzerrechten für Dateien und Verzeichnisse : Windows Explorer ->
      (Sicherstellen, dass unter "Extras" -> "Ordneroptionen" -> "Ansicht" der Punkt "einfache Dateifreigabe" deaktiviert ist)
      -> Datei oder Verzeichnis markieren -> rechte Maustaste -> Eigenschaften -> Sicherheit

      Aktivieren des Audit (Security Audit, System Audit, Application Audit);
      Aktivierung : Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie -> Lokale Richtlinien -> Überwachungsrichtlinie

      Nutzung des Security Configuration Toolkit : MMC -> Sicherheitskonfiguration und -analyse

      Nutzung von secedit (Kommandozeilentool)

      Browserproblematik : Nutzer dazu anhalten, Java, Javascript und ActiveX zu disablen
      Internet Explorer : Zonenmodell nutzen
      (Sehen Sie hierzu  einen Überblick über Browser-Schwachstellen und die sichere Konfiguration von Browsern auf Heise Security .

      E-Mail-Problematik : auch in E-Mail-Clients Scripting deaktivieren. Keine Attachments unbesehen öffnen. Nicht auf Links in E-Mails klicken, die nicht absolut sicher seriös sind.
      (Sehen Sie hierzu  einen Überblick über Schwachstellen von E-Mail-Clients und deren sichere Konfiguration auf Heise Security .

      Stets die letzte Version des Browsers und des E-Mail-Clients verwenden.

      Problematik Microsoft Office : 4 Sicherheitsstufen der Macro-Sicherheit beachten.
      Stets alle verfügbaren Updates installieren.

  • Erhöhung der Netzwerk-Sicherheit :
    • Installieren Sie nur Dienste, die Sie unbedingt benötigen. Wenn Sie kein NetBIOS benötigen, installieren Sie lediglich das TCP/IP-Protokoll für die Netzwerk-Interfaces.
    • Wenn Sie keine Shares einsetzen müssen, stoppen Sie den Serverdienst.
      Sollten sich File- oder Print-Shares nicht vermeiden lassen, konfigurieren Sie die Freigaben genau.
    • Absicherung durch richtige Konfiguration der Registry Keys)
    • Stets alle Sicherheitspatches installieren (Beseitigung von Bugs).
    • Stets das letzte Service Pack installieren (Beseitigung von Bugs).

Sie finden weiterhin Empfehlungen für die sichere Konfiguration von Registry Keys (Quelle : DFN CERT Services GMBH Tutorium "Windows Sicherheit, Oktober 2007) Zu den Themen Datensicherung, Schutz vor Bedrohungen durch Programme sowie Physikalische Sicherheit sehen Sie bitte ebenfalls auf die Seite UNIX-Sicherheit .

 


Sollten Sie einen Einbruch in Ihr Computersystem bemerken,
beachten Sie bitte folgende  Hinweise bzw. die des  CERT/CC in englischer Sprache.