data security management Blog

Drehen Sie an der Windows Sicherheitsschraube?!

Windows Client bzw. Server Software kann unter der Haube mehr als Sie vielleicht erahnen.
Microsoft versucht seit einigen Jahren (und das mM. nach durchaus erfolgreich), die Sicherheit in seinen Produkten immer weiter zu verbessern.

Installiert man ein Windows oder Serverbetriebssystem, sind aber sehr viele der möglichen „Schrauben“ (sprich Einstellungen) auf Standardwerten, welche eine möglichst hohe Kompatibilität ermöglichen. Abseits der Systemsteuerung gibt es eine Unzahl von möglichen Konfigurationen, die so genannten Richtlinien.

Mit den Standardeinstellungen schenkt man sehr viel an möglicher, zusätzlicher Sicherheit her. Die Frage ist allerdings, welche Einstellungen problemlos möglich sind und welche tatsächlich eine Einschränkung seiner Systeme verursacht (bis zu „ich habe mich selbst ausgesperrt“). Im Wald der Richtlinien verliert man schnell den Überblick. Denn ganz ungefährlich ist die Sache dann doch wieder nicht. Man muss schon genau wissen was man konfiguriert.

Vor allem für Netzwerke bzw. Infrastrukturen bietet sich ein Review der Gruppenrichtlinien an. Ein sachtes anziehen der „Sicherheitsschrauben“ ist relativ leicht möglich.

Eine große Hilfe ist dabei der „Microsoft Security Compliance Manager“. Mit diesem lassen sich Baselines verschiedener Produkte laden. Dieses Tool zeigt an, was es alles für Einstellungen gibt, wie sich diese auswirken und was bei den einzelnen Einstellungen für Werte empfohlen werden. (für Laptops, Desktops, kritische Umgebungen udgl.)

Am besten geht man mit den Richtlinien sachte um. Nicht alles auf einmal, sondern schrittweise, um den Überblick zu behalten. Wichtig dabei ist, dass man sich notiert bzw. merkt, welche Einstellungen wann getroffen und „ausgerollt“ wurden, um etwaig auftretende Probleme besser zuordnen zu können. So kann es schon mal passieren, dass diverse Multifunktionsdrucker nicht mehr auf Freigaben zugreifen können, weil man die minimale Sicherheit für die Authentifizierung „nach oben“ gestellt hat… nur ein Beispiel von vielen.

Im Zweifelsfall lieber Finger weg und Standardwerte belassen. Viele der möglichen Einstellungen haben die Tendenz, mehr Schaden anzurichten als Nutzen zu bringen. Andere wiederrum sind sehr verständlich und bringen einen echten Mehrwert! Leider sind alle diese Richtlinien (obwohl es Untergruppen gibt) bunt gemischt.

Fazit: als Laie bittet man am besten einen Profi um ein Review der (Domänen-) Richtlinien. Und für Profis gibt es Tools, welche einem das Leben sehr viel leichter machen.

Windows kann (sicherheitstechnisch) sehr viel mehr als es auf den ersten Blick scheint. Mit den Standardeinstellungen wird einiges an Sicherheit leichtfertig liegengelassen. Und nicht vergessen: einige der möglichen Einstellungen sind auch für den Endbenutzer sicht- bzw. spürbar. Ordentliche Planung mit Einbeziehung der User ist ein MUSS!

Wie komplex ist Ihr Passwort? Sieht es vielleicht so ähnlich aus: “@C&-WKgesF”

Das im Beispiel gezeigte Passwort ist ziemlich komplex. Aber wie sicher ist es? Zugegeben, diese Phrase steht bestimmt in keinem Wörterbuch bzw. ist mit einigen Versuchen auch nicht schnell zu erraten. Doch wie schnell schafft es ein Computerprogramm dieses Passwort zu knacken?

Ein “Brute-Force” Programm bräuchte bei 500 Mrd. Versuchen in der Sekunde ca. 126 Tage um das Passwort zu knacken (siehe obige Grafik). Heutige Systeme schaffen ca. 100 Mrd. Versuche in der Sekunde. Bei der rasanten Entwicklung in der IT sind die 500 Mrd./Sek. aber sicherlich bald möglich.

10 Zeichen bestehend aus Zahlen + Groß/Kleinbuchstaben + Sonderzeichen sollten also reichen. Doch wer merkt sich das so einfach? Zum Vergleich: wie lange dauert es eine ganz normale Satzphrase zu knacken?

Im Beispiel verwenden wir das Passwort “mycompanyisthebest”. Nur Kleinbuchstaben, leicht zu merken – da tun auch die 18 Zeichen Länge nicht “weh”. Diese 18 Zeichen haben aber einen riesigen Effekt. Wie man sieht, würde es ca. 1 Million Jahre dauern dieses Passwort zu knacken! So lange wartet keiner…

Natürlich sind Passwörter mit Zahlen und Sonderzeichen bzw. Klein- UND Großbuchstaben bei gleicher Länge stärker. Ein ausreichend starkes Passwort hat aber mindestens 12 Zeichen.
Also lieber eine einfach zu merkende, individuelle Passwortphrase verwenden welche länger ist, als ein irre kompliziertes Passwort mit lediglich 10 Zeichen (oder weniger).

Leicht zu merken aber effektiv wäre beispielsweise: “SoeinleichtesPasswort!”

Fazit: längere Passphrasen mit etwas Fantasie sind ungleich mehr wert, als irre komplizierte Kennwörter welche zu kurz sind!

Nach längerer Zeit wieder mal ein wenig technisches:
Schnell mal auf die Firmendaten über das verbundene Server-Netzlaufwerk von unterwegs aus zugreifen – und wie oft habe ich mich selbst darüber geärgert, dass dies per VPN Verbindung so extrem langsam (wenn überhaupt) funktioniert!

Als jemand der nach Lösungen sucht wenn ein Problem auftritt, habe ich lange Zeit in Suchmaschinen und Foren verbracht um diesem Phänomen des langsamen Datenzugriffs über VPN auf die Schliche zu kommen. Mit mäßigem Erfolg! Irgendwann habe ich mich damit abgefunden, dass der Zugriff entweder gar nicht oder nur quälend langsam möglich war (oder ich alternative Wege gehen muss z.B. über RDP, FTP oä.)

Mittlerweile habe ich Abhilfe gefunden:

Wenn man über das Internet bzw. VPN auf die Firmendaten interner Server zugreift, bedient man sich (wie am Firmenstandort auch) oftmals an den verbundenen Netzlaufwerken. Bis zu inkl. Windows XP und Server 2003 R2 funktionierte dies mittels des “SMB1″ Protokolls. Dieses ist für interne LAN Kommunikation zwar ausreichend schnell, leider ist es für VPN bzw. Verbindungen mit höheren Latenzzeiten überhaupt nicht geeignet – siehe oben.

Ab Microsoft Server 2008 bzw. Windows Vista inkl. SP1 fand das Protokoll “SMB2″ still und heimlich Einzug. Dieses ist an vielen Stellen im Vergleich zu SMB1 optimiert bzw. stark verbessert worden. Wenn ich heute also auf meinem Windows 7 Rechner per VPN auf Firmendaten per Netzlaufwerk des internen MS Server2008 R2 zugreife, passiert das endlich in einer annehmbaren Geschwindigkeit mit der auch endlich sinnvoll gearbeitet werden kann – SMB2 machts möglich.

Um SMB1 bzw. eine etwas ältere Infrastruktur hinsichtlich dieses Szenario flott zu bekommen, gibt es durchaus Mittel und Wege. (WAN Optimization etc.) Die Frage ist nur, ob man diesen Aufwand in eine Infrastruktur stecken will welche wahrscheinlich ohnehin bald aktualisiert wird.

Mir wäre viel Ärger erspart geblieben, wenn dieser Artikel schon vor einigen Jahren in dieser Form verfügbar gewesen wäre: Wikipedia – SMB
Aber so ist das nun mal; manche Antworten lassen längere Zeit auf sich warten!

PS: für Linux Profis -> Samba 3.6 enthält mittlerweile einen stabilen SMB2 Stack

Webseiten bzw. jegliche Webportale welche hinsichtlich des Datenverkehrs abgesichert werden sollen, bedienen sich dafür an Zertifikaten. Diese schützen die Verbindung zwischen Client und Server mittels HTTPS. Sie als arbeiten sicher täglich damit und es ist Ihnen evtl. schon hin und wieder aufgefallen.

Solch Zertifikate kann man selbst generieren, allerdings erscheint im Browser dann die Nachricht, dass das vom Server bereitgestellte Zertifikat nicht verifiziert werden konnte. Für den User etwas ärgerlich bzw. aus technischer Sicht teilweise bedenklich.

Offizielle Zertifikate, damit sowas nicht passiert, kauft man beispielsweise bei VeriSign, Thawte oä. Die Kosten für ein Serverzertifikat sind durchaus erwähnenswert bzw. kann es je nach Typ teuer werden.
Für Betreiber von beispielsweise kleinen Foren ist oft nicht das Geld da, um in solche Sicherungsmaßnahmen zu investieren. Somit melden sich, um beim Foren Beispiel zu bleiben, die Foren-User ungesichert über http an. Tür und Tor für einen evtl. “Lauschangriff” sind somit weit geöffnet. Das muss nicht sein:

StartSSL bietet kostenlose „Einsteigerzertifikate“ an! D.h. Sie können sich dort registrieren und wenn Sie Inhaber einer Domain sind, können Sie sich dafür Web- und/oder E-Mail Zertifikate generieren, welche von den Webbrowsern als gültig erkannt werden. Natürlich gibt es auch die Möglichkeit, je nach Anforderung, seine Identität bei der Registrierungsstelle zu belegen um damit erhöhte Validierung bzw. entsprechend erweiterte Zertifikate zu erhalten. Dieser Service kostet dann allerdings etwas, im Vergleich zu anderen „Zertifikatsherstellern“ sind diese aber immer noch sehr günstig!

StartSSL ist ein seriöses Angebot einer israelischen Firma, auch wenn die Einsteigerzertifikate, welche in vielen Fällen ausreichend sind, kostenlos angeboten werden! Datasec nutzt den Service selbst um so die Vielzahl der Firewall Zugriffsportale uä. mittels offiziellen Zertifikaten abzusichern.

Die Einrichtung von Zertifikaten ist allerdings nicht allzu trivial – wer in seiner Funktion als Administrator noch nie damit gearbeitet hat wird anfangs etwas ratlos sein. Natürlich unterstützen wir Sie dabei, Zertifikate richtig einzusetzen.

Gehen wir davon aus Ihre Firma besitzt einen Plan zur Behebung bzw. Wiederanlauf im Falle eines “Desasters”. Fachlich sprechen wir in diesem Bereich von “Business Disaster Recovery” bzw. “Business Continuity Management”.

Ein Desaster kann viele Gründe haben und verschiedene Ausmaße annehmen. Wichtig ist, zu wissen, wie die notwendigen IT Services nach einem “Katastrophenfall” wiederhergestellt werden können. Normalerweise geht man davon aus, dass nach einer Katastrophe oder dem eingetretenen Desaster, die Umgebung in welcher man das “Disaster Recovery” ausführt wieder weitgehend stabil ist und die Recovery Schritte entsprechend durchgeführt werden können.

Was aber passiert, wenn es “Nachbeben” gibt, welche den Recovery Prozess empfindlich stören oder wieder auf Null zurücksetzen? Kann der Wiederherstellungsprozess wieder angestartet werden oder könnte dieser durch unvorhergesehene Nachfolgeprobleme geschädigt werden (und somit das Recovery unmöglich machen?)

Wie so oft gilt, dass man nicht für alle möglichen Szenarien einen 100%igen Plan haben kann. Aber, man kann sich Gedanken darüber machen und verschiedene Szenarien rasch (im Kopf) skizzieren. Viele große Stolpersteine fallen einem alleine durch dieses einfache “sich Gedanken machen” schon auf.

Verlassen Sie sich als Verantwortlicher im Unternehmen nicht darauf, dass Ihre IT bzw. deren Betreuer Ihre Anforderungen (vor allem hinsichtlich Wiederherstellbarkeit im Schadensfall) genau kennen. Stellen Sie lieber zuviele Fragen, als die Ungewissheit im Raum stehen zu lassen. “Schlafende Hunde” weckt man viel eher durch das Ignorieren schwelender Konflikt- bzw. Problempotentiale als durch konkretes nachfragen.