Einige Hinweise für den sicheren Betrieb von Microsoft Windows NT und 2000

Jeder Administrator sollte unbedingt wissen, was auf seinem Server für Dienste angeboten werden. Das heißt, daß zumindest der Administrator wissen muß, welche Dienste eingerichtet sind und damit, welche möglichen Sicherheitsrisiken bestehen können.

Es sollten nur die für den Betrieb des Servers unbedingt notwendigen Services angeboten werden. Jeder überflüssig angebotene Dienst kann wieder ein Sicherheitsrisiko in sich bergen. Die Dienste, die angeboten werden, sollten auch dokumentiert sein.

Als Regel, von der ausgegangen wird, sollte angesetzt werden:
Alles, was nicht explizit erlaubt ist, ist verboten!
Nur mit diesem Ansatz kann sichergestellt werden, daß bei der Einrichtung der Maschine nicht vergessen wird, einen Dienst zu verbieten. Der Administrator befindet sich bei diesem Ansatzpunkt immer auf der 'sicheren Seite'. Es ist besser, daß interne Benutzer feststellen, daß ein benötigter Dienst u.U. nicht funktioniert als eine Öffnung aller Dienste, die dann auch in Richtung Internet angeboten werden.

Natürlich sollte bei Windows NT 4 die aktuellen  Service Packs installiert sein. Aber selbst wenn er installiert ist, gibt es noch keine Garantie, daß das System gegenüber Angriffen auf technischer Ebene sicher ist. Seit Erscheinen der Service Packs sind meist schon wieder diverse Hotfixes herausgegeben worden, die auf jeden Fall installiert werden sollten. Da diese Hotfixes für die US-Version von Windows NT meist sehr schnell nach Auftreten einer Lücke erscheinen und die Hotfixes für die Länderversionen (z.B. deutsch) zum Teil sehr lange brauchen, wird dringend empfohlen, im Internet nur Server unter der US-Version von NT zu betreiben. Besonders gilt dieses auch, wenn der IIS eingesetzt wird. Es vergeht kaum ein Monat, in dem nicht ein Hotfix für den IIS erscheint.

Für Windows NT 4 sind folgende Service Packages aktuell:

• Windows NT 4.0 Service Pack 6a
• Security Update (Post SP6a)

Für Windows 2000 sind folgende Service Packages aktuell:

• Windows 2000 Service Pack 4  (Vergessen Sie aber nicht, die geänderten Lizenzbedingungen genau durchzulesen, diese sorgten für einige Diskussionen)
• Danach "Windows Update" durchführen, um alle nachträglich erschienenen Fixes zu installieren.

Eine weitergehende und empfohlene  Suche nach aktuellen Hotfixes ist hier möglich: Microsoft/Downloads/Search

Unter NT sind die einzelnen User-Accounts vor Angriffen in der Weise geschützt, daß sie nach einer festgelegten Anzahl falsch eingegebener Passworte gesperrt werden. Dieses gilt nicht für den Account 'Adminstrator'. Er kann im Normalfall nicht gelöscht, außer Betrieb gesetzt oder wegen mehrfach falsch eingegebener Passworte gesperrt werden. Daher ist dieser Account, den es per Voreinstellung auf allen Systemen gibt, brute-force Angriffen auf diesem Bereich (z.B. Raten von Passworten mit Lexikon) ausgeliefert.
Besser ist es, diesen Account umzubenennen: Dann ist für potentielle Angreifer neben dem Passwort zusätzlich der für die Administration eingerichtete Account herauszufinden (z.B. 8Hkm§kH&Vr!). Zum Umbenennen dieses Accounts ist in der Menüauswahl des UserManagers die Option User > Rename auszuwählen und der neue Name einzugeben.
Bei Windows NT 4.0 kann mit Hilfe des Resource Kit der Administrations-Account gegenüber Angriffen aus dem Netzwerk geschützt werden, indem die Möglichkeit genutzt wird, auch diesen Account nach X falschen Passworten zu sperren - der Zugang zur Maschine ist in einem solchen Fall nur noch über die Console möglich.

Jeder Account, der auf einer Maschine eingerichtet ist, birgt wegen der Passwortproblematik ein potentielles Sicherheitsrisiko. Besonders gilt dieses für Maschinen, die für die Öffentlichkeit Dienste im Internet anbieten. Hier sollte neben dem für die Adminstration eingerichteten Account möglichst kein anderer eingerichtet sein - auch nicht der Gast-Account. Dieser wird bei der Default-Installation genauso wie der Administratior-Account eingerichtet.

NTFS bietet neben der auch für FAT eingesetzten Möglichkeit, die freigegebenen Verzeichnisse zu schützen, zusätzlich die ACLs (Access Control Lists). Mit diesen können, ähnlich wie bei UNIX, die genauen Schreib- und Leserechte für Verzeichnisse und auch einzelne Dateien eingestellt werden. Damit läßt sich auch der Nur-Lese Zugriff auf einzelne Dateien verhindern. Und: Doppelt hält besser ;-)
Wenn Sie bereits FAT einsetzen, können Sie bei x86-Systemen eine Boot-Partition einrichten, die dann unter NTFS läuft (CONVERT). Vorher sollte allerdings unbedingt ein Backup gemacht werden.
Wichtig ist aber auch, daß Sie sich nicht alleine darauf verlassen können, daß der Zugriffschutz unter NT gewährleistet ist: Es gibt einige Tools, mit denen von einer DOS-Bootdiskette auf NTFS-Partitionen zugegriffen werden kann.

Es sollten aus Sicherheitsgründen die NT Systemdateien nicht auf der gleichen Partition sein wie z.B. die Dateien, die vom Web Server abgerufen werden können. Gleiches gilt für die Dateien des FTP Servers oder CGI-Skripten.
Falls ein Einbruch erfolgreich gewesen sein sollte, ist es leicht, auf der gleichen Partition in andere Verzeichnisse zu gelangen. Schwieriger ist es, als Einbrecher auf eine andere Partition bzw. Festplatte zu kommen.

Die Nutzung von NetBIOS, auch über TCP/IP, ist gefährlich, speziell wenn Ihr Netzwerk auch an das Internet angeschlossen ist. Alle freigegebenen Services sind im Prinzip für jede Maschine erlangbar, die über das Netzwerk erreichbar ist (also u.U. auch das gesamte Internet). Wenn es nicht vermeidbar ist, beides zu nutzen und Sie einen Firewall gegenüber dem Internet einsetzen, sollten die Ports 137/udp, 138/udp und 139/tcp nicht hindurchgelassen werden. Zusätzlich sollten Sie durch den Einsatz eines Proxy Servers die interne TCP/IP-Struktur des Netzwerkes verstecken.
Wenn Sie NetBIOS nicht unbedingt brauchen, sollten Sie dieses auf jeden Fall komplett entfernen. Hierzu ist neben dem Löschen aller nicht benötigter Dienste auch gemeint, daß Sie den WINS Client sowie den TCP/IP NetBIOS Helper deaktivieren. Keine Sorge, wenn Sie über Systemsteuerung/Netzwerk vom NT die Meldung bekommen, daß kein Netzwerk installiert ist! Auf die Frage von NT, ob es jetzt installiert werden soll, einfach mit "nein" antworten und dann TCP/IP konfigurieren.

Gerade FTP Server bergen immer wieder Sicherheitsrisiken in sich. Außerdem gibt bei einer Standardinstallation die Begrüßungsmeldung Außenstehenden bereits Informationen über das System (z.B. welcher FTP Server, welches Betriebssystem). Damit können dann bekannte (Ihnen aber unbekannte) Sicherheitslücken für einen Einbruch genutzt werden. Zusätzlich ist bei vielen FTP Servern die Anzahl der Versuche, mit Usernamen und Passwort in das System zu kommen, nicht beschränkt. Daher kann über FTP z.T. beliebig lange nach einer passenden Kombination gesucht werden. Wurde eine gefunden, ist das System offen - mit allen Folgen.
Wenn wirklich ein FTP Server notwendig ist, dann sollte sich dieser auf einer speziellen Partition befinden und im Root-Verzeichnis des Servers keine Schreibrechte für Benutzer eingerichtet sein. Besser wäre, den FTP Server auf einer dedizierten Maschine zu betreiben, die sich nicht direkt im internen Netzwerk des Unternehmens befindet.

Auch Web Server können Sicherheitsrisiken in sich bergen. Falls auf die Maschine, auf der der Web Server läuft, eingebrochen werden sollte, sind damit gleichzeitig Ihre unternehmensinsternen Daten kompromittiert. Die Maschine mit dem öffentlichen Web Server sollte in einem Netzwerk betrieben werden, das vom internen Netzwerk durch einen Firewall oder zumindest einem Router mit entsprechenden Paketfiltern abgegrenzt ist.

Dieses gilt insbesonders, wenn Sie den IIS benutzen: Hier sind bereits einige Sicherheitslücken offengelegt worden. Auch Schadcode hat diese Lücken schon häufiger ausgenutzt.

Jeder Serverdienst, der angeboten wird, kann Sicherheitsrisiken in sich bergen. Auch wenn heute das System nach dem neuesten Stand der Technik sicher ist, kann bereits Minuten später eine neue Sicherheitslücke bekannt sein. Daher sollten wirklich nur die notwendigsten Serverdienste angeboten und die Diskussionen über Sicherheit verfolgt werden.

Hier sind in letzter Zeit einige Sicherheitslücken bekanntgeworden, durch die von außen "eingestiegen" werden kann. Ein Beispiel hierfür ist der IIS: Wenn hier z.B. die Beispiele für asp's installiert sind, kann ein geschickter Besucher des Servers aus dem abgetrennten Bereich herauskommen und sämtliche Dateien, die sich auf der Maschine befinden, lesen.

Durch das Einschalten der Loggingmechanismen ist die Möglichkeit gegeben, die sich auf der Maschine ereignenden Vorkommnisse zu dokumentieren. Die Logs sollten regelmäßig kontrolliert werden. Da Einbrecher meist versuchen, ihre in den Logfiles hinterlassenen Spuren zu verwischen, sollten kurz aufeinander folgende, regelmäßige Backups dieser Dateien erfolgen. Die Lagerung der gesicherten Dateien sollte aus den obigen Gründen nicht auf der gleichen Maschine geschehen.

Es sind im Internet sowie im Buchhandel sehr viele Tools bekannt, die Sicherheitslücken auch für Laien ausnutzbar machen. Der Anteil "interessierter Mitarbeiter", die im Grunde nicht wissen was sie tun, ist sehr hoch und keinesfalls zu unterschätzen. Auch im Intranet sollten die Maschinen so sicher wie möglich aufgesetzt sein. Starten Sie als Administrator selber derartige Tools und beheben Sie die gefundenen Sicherheitslücken - bevor ein Mitarbeiter von Ihnen oder gar ein Unbekannter von außen dieses tut! Wir helfen Ihnen hierbei gerne.

Microsoft stellt ein Dokument bereit, das die Absicherung des Windows 2000 Terminal Services beschreibt.