|
|
Microsoft und Ihre Sicherheit
Aus diesem Grund werde ich hier auch nur kurz auf DOS oder ältere Versionen des Windows-Betriebssystems eingehen. Hier bekommen Sie Einsicht zu den wenigen Informationen, die zum Knacken eines Rechners erforderlich sind, auf dem ein anderes Microsoft-Betriebssystem als NT installiert ist.
DOSMicrosofts Betriebssystem DOS ist das meistgenutzte Betriebssystem aller Zeiten. Es ist klein, erfordert wenig Speicher und kommt mit wenigen Befehlen aus. DOS 6.22 hat nur ca. 1/16 der Befehle eines vollständigen Unix. Obwohl die Popularität von DOS in den letzten Jahren nachgelassen hat, benutzen es immer noch sehr viele. (Ich begegne auf Netzwerk-Computern oft einer Mischung aus DOS und Windows 3.11. Und das, obwohl diese Kombination von Natur aus unsicher ist.) Ich möchte die Schwachstellen solcher Systeme im folgenden kurz aufzeigen.
IBM-kompatible SystemeMicrosoft DOS läuft nur auf IBM-kompatibler Hardware. Bei der Entwicklung der IBM- Architektur stand die Sicherheit nicht an erster Stelle. Deshalb ist jedes DOS-basierte System sehr leicht zu attackieren. Das fängt schon beim BIOS- Passwort an. Das BIOS-PaßwortBIOS- Passwörter (die auf den 286er zurückdatieren) können von jedem deaktiviert werden, der physikalischen Zugang zum Rechner hat. Tipp:
Um den BIOS- Passwortschutz zu deaktivieren, müssen Sie nur die CMOS- Batterie auf dem Mainboard außer Betrieb setzen, indem Sie sie z.B. entfernen oder kurzschließen. Wenn das BIOS- Passwort gelöscht ist, kann ein Cracker auf das System zugreifen. Netzwerk-Workstations sind auf diese Weise leicht zu knacken. Dabei ist es nicht einmal unbedingt erforderlich, dass der Angreifer den Rechner auseinander pflückt. Er kann auch ein Hilfsprogramm zum Stehlen des Passworts (Password Capturing Utility) benutzen. Damit kann jeder das BIOS- Passwort auslesen, während der Rechner läuft. Nachdem er einmal drin ist, wird der Cracker sich weiteren bzw. privilegierten Zugriff verschaffen wollen. Um auf einem vernetzten DOS-Rechner privilegierten Zugriff zu erhalten, muss der Cracker Benutzerkennungen und Passwörter herausfinden. Dazu wird er sich wahrscheinlich eines Utilities zum Tastatur- Recording (Key-capture Utility) bedienen.
Tastatur-RecorderTastatur-Recorder zeichnen Tastatureingaben auf, die nach einem bestimmten Ereignis gemacht werden. (Der üblichste Auslöser ist das Einloggen.) Diese Tastatureingaben werden dann in einer verborgenen Datei gespeichert. Das Verzeichnis, in dem die Tastatureingaben gespeichert werden,
kann ebenfalls verborgen werden. Die beliebteste Methode, ein Verzeichnis zu
verbergen, ist die Verwendung des
Tipp:
Es gibt einige Tastatur-Recorder für DOS. Die beliebtesten und ihre Dateinamen stehen in Tabelle 16.1. Um diese Utilities zu finden, geben Sie am besten in der Suchmaske von http://altavista.digital.com/ den Dateinamen ein.
Im allgemeinen brauchen Cracker aber keine Tastatur-Recorder. DOS hat keine obligatorische oder gar freiwillige Zugriffskontrolle. Deshalb ist das Spiel schon vorbei, sobald ein Cracker an einen Prompt gelangt ist. Die einzige Möglichkeit, dies zu verhindern, ist die Installation von Zusatzprogrammen zur Zugriffskontrolle.
Zugriffskontroll-Software für DOSMit den folgenden Paketen kann man eine Zugriffskontrolle für DOS einrichten. Secure 1.0Secure 1.0 verhindert, dass unbefugte Benutzer auf ein bestimmtes Verzeichnis zugreifen können. Das Verzeichnis bleibt allerdings für den Benutzer sichtbar, er kann nur nicht darauf zugreifen. Die unregistrierte Version ermöglicht die Kontrolle über ein Verzeichnis. Sie finden sie hier: Secure File System (SFS)SFS ist eine exzellente Sammlung von Sicherheitsanwendungen für DOS. Sie bietet eine High-Level- Kryptographie für DOS- Volumes (bis zu fünf gleichzeitig), verbesserte Stealth- Eigenschaften und eine gute Dokumentation. Außerdem erfüllt SFS den Federal Information Processing Standard (FIPS). Seine Kompatibilität mit vielen Disk- Caching- und Speicherverwaltungsprogrammen macht das Programm recht vielseitig. Hier die Adresse: SentrySentry ist für ein Shareware-Produkt ziemlich vollständig und ermöglicht Ihnen sogar den Schutz einzelner Dateien. Außerdem bietet es Passwortalterung und einigen Support für Windows. Sie können Sentry an folgender Site finden: Encrypt-ItEncrypt-It bietet eine High-Level DES-Verschlüsselung für DOS, die auf einzelne Dateien oder eine Reihe von Dateien angewandt werden kann. Das Programm ermöglicht es Ihnen auch, Ihre Verschlüsselung über Makros von bis zu 1.000 Zeichen Länge zu automatisieren. Das Paket enthält ein Benchmark- Tool, mit dem Sie bestimmen können, wie gut eine bestimmte Datei verschlüsselt ist. Sehen Sie hier nach: LCK2LCK2 sperrt das Terminal, während Sie weg sind. Es erlaubt keinen Warmstart oder Interrupt- Tastenkombinationen ((Strg)+(Alt)+(Entf) oder (Strg)+(Pause)). Das könnte für Umgebungen nützlich sein, in denen es den Benutzern strengstens untersagt ist, die Rechner neu zu starten. Sie finden es hier: Gateway2Gateway2 fängt Reboot-Versuche mit (Strg)+(Alt)+(Entf) und den Funktionstasten (F5) und (F8) ab. (Das Drücken der (F5)- oder (F8)-Taste hält den Bootvorgang an und umgeht Konfigurationsdateien wie AUTOEXEC.BAT und CONFIG.SYS. Das ist eine Möglichkeit, an einen Prompt zu gelangen.) Gateway2 hat noch weitere Vorzüge, wie z.B. die Unterstützung eines Paßwortschutzes für bis zu 30 Benutzer auf einem einzigen Rechner. Sehen Sie hier nach: Seite mit DOS-SicherheitstoolsIm folgenden sind einige Sites aufgeführt, auf denen Sie Sicherheitstools für die DOS- Umgebung finden. Der Simtel-DOS-Security-IndexDiese Seite bietet Nützliches zu Paßwortschutz, Zugriffsbeschränkungen und Schutz des Bootvorgangs. Die CIAC-DOS-Security-Tools-SeiteDiese Seite enthält wichtige Informationen zum Thema Zugriffsbeschränkung und bietet ein Programm zum Schutz von bestimmten Zylindern einer Festplatte an. DOS-Sicherheitstools bei Cypher.netDiese Seite bietet Material zu Paßwortschutz, Zugriffskontrolle und Bootschutz.
Windows3.. und Windows 95Windows for Workgroups und Windows 95 bieten nur wenig mehr Sicherheit als DOS. Beide verlassen sich auf das PWL-Paßwortschema. PWL-Dateien werden erstellt, wenn Sie Ihr Paßwort erzeugen, und befinden sich per Voreinstellung im Verzeichnis C:\WINDOWS. Davon abweichende Speicherpfade finden Sie in der SYSTEM.INI. (In der SYSTEM.INI wird der PWL-Pfad festgelegt.)
Das Passwortlisten (PWL)- PasswortschemaDas PWL- Passwortschema ist nicht sicher und kann durch einfaches Löschen der Dateien überwunden werden. Tipp:
Bei komplexeren Cracking- Schemata muss der Angreifer das Passwort tatsächlich in Erfahrung bringen (z.B. wenn der Cracker ein lokales Windows-System verwendet, um einen entfernten Windows-NT- Server zu knacken). In solchen Umgebungen hat der Cracker zwei Möglichkeiten: Er kann entweder die PWL- Passwortdatei des Windows-95-Rechners knacken oder das Passwort aus dem Cache-Speicher ziehen, während das Ziel noch eingeloggt ist. Beide Techniken werden wir kurz vorstellen. Knacken von PWL-DateienNormale PWL- Dateien zu knacken, die auf dem durchschnittlichen Windows-95-Rechner erzeugt worden sind, ist einfach. Dafür brauchen Sie nur ein Utility namens Glide. GlideGlide dient zum Knacken von PWL- Dateien. Für Interessierte liegt der Quellcode des Programms bei. Um Glide zu verwenden, geben Sie den Dateinamen (PWL) und den damit verbundenen Benutzernamen ein. Herausziehen des Passworts aus dem Cache-SpeicherIn dem PWL- System werden zwei unterschiedliche Funktionen verwendet: eine zum Verschlüsseln und Speichern des Passworts und eine andere zum Abrufen. Diese Routinen sind:
Das Passwort verbleibt im Cache. Sie können in VC++ oder VB eine Routine schreiben, die sich das Passwort eines anderen Benutzers holt. Die einzige Einschränkung ist, dass der andere Benutzer eingeloggt sein muss, wenn das Programm ausgeführt wird (so dass sein Passwort abgefangen werden kann). Das Passwort kann dann in einen anderen Speicherbereich ausgelagert werden. Wenn Sie soweit gekommen sind, können Sie das Passwort- Sicherheitsschema umgehen, indem Sie die so gecachte Version des Passworts benutzen. (Diese Technik wird Cache Flushing genannt. Sie beruht auf demselben Prinzip wie die Verwendung eines Debuggers zur Aufdeckung von Authentifizierungsschemata in Client-Software.) Sie können auch erzwingen, dass das gecachte Passwort in der Auslagerungsdatei gespeichert wird. Das ist jedoch eine mühsame und aufwendige Methode; es gibt andere, leichtere Wege. Tipp:
Auf jeden Fall ist das PWL- System von Natur aus mangelhaft und bietet sehr wenig Schutz gegen Eindringlinge. Wenn Sie Windows 95 verwenden, müssen Sie Zugriffskontroll-Software von Drittanbietern installieren. Im folgenden sind einige solche Produkte und deren Hersteller aufgeführt.
Zugriffskontroll-Software für Windows 95Cetus StormWindowsCetus Software, Inc.
Insgesamt bietet Cetus StormWindows für Windows 95 eine sehr umfassende Zugriffskontrolle. (Dieses Produkt verhindert auch die meisten alternativen Boot-Versuche, wie Warmstarts, (Strg)+(Alt)+(Entf) und Funktionstasten.) Clasp 97Ryan Bernardini ConfigSafe 95 von Tech Assist, IncorporatedTech Assist, Inc. DECROS Security Card von DECROS, Ltd.DECROS, Ltd. Desktop Surveillance 97Omniquad FutureLock von Nerds UnlimitedNerds Unlimited Secure4UAdvanced Computer Research StopLock 95 von PCSLPCSL Windows Task-Lock von PosumPosum L.L.C. CyberWatchCyberWatch ist ein Programm zur Erkennung von Gesichtern. Die Software erkennt nur die Gesichter, die in ihrer Gesichterdatenbank abgelegt sind. Der Computer sieht sich also wirklich Ihr Gesicht an, um zu bestimmen, ob Sie ein autorisierter Benutzer sind. Das Unternehmen behauptet, dass CyberWatch auf dem Einsatz neuronaler Netze basiert. Sehen Sie sich es mal an: WP WinSafeWinSafe ist ein sehr vielversprechendes Utility, das Ihnen die Kontrolle einzelner Laufwerke ermöglicht. Dadurch können Sie zum Beispiel Unbefugte daran hindern, auf Ihr CD-ROM- Laufwerk zuzugreifen. Besonders interessant ist, daß WinSafe auch Netzwerk-Laufwerke schützt. Sie können das Utility testen, indem Sie sich die Shareware-Version besorgen. Tipp:
Sie finden WinSafe hier: SafeGuardDie SafeGuard-Reihe (darunter SafeGuard Easy, SafeGuard Pro und PC/DACS für DOS/ Windows) bietet Festplatten-Verschlüsselung, Schutz gegen Booten von Diskette, Passwortalterung und Authentifizierung und unterstützt pro Rechner bis zu 15 Benutzer. Safe Guard unterstützt mehrere wirksame Verschlüsselungsalgorithmen, darunter DES und IDEA. Besonders interessant ist, dass diese Produkte über ein Netzwerk installiert werden können (und damit der Aufwand von Einzelinstallationen entfällt). Secure ShellSecure Shell (SSH) ermöglicht eine sichere, verschlüsselte Kommunikation über das Internet. SSH ist ein ausgezeichneter Ersatz für Telnet oder rlogin. Es verwendet IDEA- und RSA- Verschlüsselung und ist daher extrem sicher. Es heißt, dass die Schlüssel jede Stunde verworfen und durch neue Schlüssel ersetzt werden. SSH schließt die Möglichkeit vollkommen aus, dass Dritte Ihre Kommunikation abfangen können (z.B. Passwörter, die ansonsten in Klartext übermittelt würden). SSH- Sitzungen können nicht übernommen oder gekidnappt werden und auch nicht ausspioniert werden. Der einzige Nachteil ist, dass auch Ihr Gegenüber SSH verwenden muss, damit es funktioniert. Sie denken vielleicht, dass eine so verschlüsselte Kommunikation schrecklich langsam sein muss, aber dem ist nicht so. Unter folgender Adresse finden Sie eine der Haupt-Distributionsseiten für SSH: Formlogic Surveillance AgentDer Surveillance Agent ist ein einfaches, aber mächtiges Werkzeug zur Überwachung von Systemprozessen. Es kann auf zwei Arten verwendet werden: Entweder wird Ihre Überwachung offenkundig vorgenommen oder sie erfolgt, ohne eine Spur zu hinterlassen. Das Programm wird normalerweise beim Hochfahren in den Speicher geladen und startet beim Einloggen. Alternativ dazu können Sie auch einen Auslöser bestimmen, so dass ein bestimmtes Ereignis den Überwachungsprozess anstößt. Wenn z.B. jemand versuchen sollte, auf Ihren persönlichen Kalender zuzugreifen, könnte dies eine Überwachung auslösen. Die Autoren dieser Software haben an alles gedacht. So können Sie z.B. den Überwachungsprozess auch als irgendeinen anderen Prozess tarnen (falls an Ihrem Arbeitsplatz ein paar schlaue Cracker herumlaufen). Dieses sehr vollständige Tool ist dafür maßgeschneidert, jemanden auf frischer Tat zu ertappen, und es ist wahrscheinlich gut dazu geeignet, Computer-Kriminalität am Arbeitsplatz auf die Spur zu kommen. Fortres 101Dieses Programm ist ein ausgezeichnetes Tool. Wie auf der Fortres- Homepage beschrieben, kann das Produkt Benutzer daran hindern:
Das Utility läuft unter Windows 3.11 und Windows 95. Der Preis schreckt Gelegenheitsanwender wahrscheinlich ab, aber Systemadministratoren, die mehrere Windows-basierte Systeme verwalten müssen, sollten sich das Programm zulegen. Mehr Informationen finden Sie hier: Auch wenn es unmöglich ist, unter Windows 98 die gleiche Qualität von Sicherheit herzustellen wie bei Unix- oder Linuxsystemen und Windows NT, gibt es doch einige Mittel und Regeln, die man einsetzen und beachten sollte um den Zeit- und Kostenaufwand des Angreifern zumindest maximal zu erhöhen.
BetriebssystemInstallation
Deinstallationen
Startverhalten
Mit diesen Einstellungen muß der Rechner geöffnet und entweder der BIOS
Baustein oder die Festplatte ausgebaut oder das CMOS RAM durch Junperumsetzung
geleert werden, um ohne Passwort an Daten zu gelangen. Ein Wort zu den vielen Pseudosicherheitstools, die eine Passwortabfrage vor
den Startvorgang schalten: Ich habe noch kein Tool auf dem Shareware- und
Freewaremarkt gefunden, dass sich nicht umgehen liesse. Browser Die hier angesprochenen Hinweise wenden sich an Einzelplatzbenutzer und nicht
an Benutzer, die sich innerhalb eines Netzwerkes befinden. InternetExplorerWichtige Optionen
Mail-ReaderOutlook Express
Menü Extras\Optionen
Outlook 2000
Menü Extras\Optionen
Allgemeines
InternetzugangNetzwerkeinrichtung in der Systemsteuerung
Konfiguration der Verbindung im DFÜ-Netzwerk
Datenverkehr
Lokale Daten
Sicherheitslücken in Microsoft?!In dem nun folgenden Abschnitt möchte ich Schwachstellen einiger häufig verwendeter Microsoft-Anwendungen aufführen. Der Microsoft Internet Explorer (Microsofts Webbrowser) und Microsoft Exchange (ein Paket zur Mail-Verwaltung) sind zwei wichtige Netzwerkanwendungen. Deshalb möchte ich mit ihnen beginnen.
Der Internet ExplorerEs gibt mehrere ernstzunehmende Schwachstellen im Internet Explorer. Solche, die als kritisch oder ernst eingestuft sind, können zu einer Gefährdung des Systems führen und dürften deshalb für Systemadministratoren besonders interessant sein. Schwachstelle Passwort- AuthentifizierungMicrosoft Internet Explorer, Version 3.x unter Windows NT 4.0 Auswirkungen: Der MSIE offenbart Ihren Benutzernamen, Passwort, Domain etc. Einstufung: kritisch Abhilfe: Der ursprüngliche Patch verursachte zusätzliche, in anderem Zusammenhang stehende Probleme und wurde wieder entfernt; regelmäßig unter http://support.microsoft.com/nachschauen. Beschreibung: Der MSIE sendet Ihr Passwort, Ihren Benutzernamen, Domainnamen und Ihre Arbeitsgruppe an jeden entfernten Server, der diese anfordert. Diese Werte werden in Klartext gesendet - dies ist eine kritische Sicherheitslücke. Böswillige Webmaster können sich auf diese Weise wichtige Informationen verschaffen. Schwachstelle IconsMicrosoft Internet Explorer, Version 3.01 Auswirkungen: Entfernter Code kann auf Ihrem Rechner ausgeführt werden. Einstufung: äußerst ernst Abhilfe: http://www.microsoft.com/ie/ oder Upgrade Beschreibung: In Windows NT 4.0 können Bösewichte ein Icon auf Ihrem Desktop plazieren, das, wenn Sie es anklicken, Code von einem beliebigen entfernten Rechner aufrufen und ausführen kann. Schwachstelle ISP- ScriptsMicrosoft Internet Explorer, Version 3.01 Auswirkungen: Unautorisierter Code kann auf Ihrem Rechner ausgeführt werden. Einstufung: äußerst ernst Abhilfe: Upgrade Beschreibung: ISP- Scriptdateien werden vom MSIE automatisch heruntergeladen. Böswillige Webmaster können dies ausnutzen, um ein beliebiges Programm auf Ihrem Rechner laufen zu lassen. So könnten sie sogar Ihre gesamte Festplatte löschen, wenn die Berechtigungen dies erlauben. Schwachstelle LNK (CyberSnot)Microsoft Internet Explorer, Version 3.01 Auswirkungen: Entfernte Rechner können unautorisierten Code auf Ihrem Rechner ausführen. Einstufung: ernst Abhilfe: Upgrade Beschreibung: Webmaster mit bösen Absichten können MSIE veranlassen, mit einer LNK- Erweiterung verbundene Befehle zur Bearbeitung an den lokalen Rechner zu senden. Das bedeutet, dass eine LNK-Anweisung, die als URL ausgedrückt ist, auf dem lokalen Rechner ausgeführt wird. Fies. Schwachstelle HTMLMicrosoft Internet Explorer, Version 3.01 Auswirkungen: Böswillige Webmaster können Batch-Dateien auf Ihrem Rechner ausführen. Einstufung: ernst Abhilfe: Upgrade Beschreibung: HTML-Code kann so geschrieben werden, dass er, wenn er heruntergeladen wird, beliebige Batch-Dateien auf Ihrem Rechner ausführen kann. Das scheint zwar nicht so schlimm zu sein (da nur Dateien ausgeführt werden können, die bereits auf Ihrer Platte sind), aber böswillige lokale Nutzer könnten dies ausnutzen, um Ihre Festplatte zu zerstören. Dazu plazieren sie dort eine Batch-Datei, zu deren Ausführung sie berechtigt sind oder auch nicht. Sie laden sich die gewünschte Seite herunter, und die Batch-Datei wird mit Ihren Berechtigungen ausgeführt. Schwachstelle Java Virtual MachineMicrosoft Internet Explorer, Version 3.01 Auswirkungen: Böswillige Webmaster können Verbindungsanforderungen umleiten. Einstufung: ernst Abhilfe: Java deaktivieren oder Upgrade Beschreibung: MSIEs Java-Implementierung ist fehlerhaft und ermöglicht es entfernten Rechnern, Ihren Rechner zu veranlassen, Verbindungsanforderungen an andere Rechner zu senden. Schwachstelle Jscript IFRAMEMicrosoft Internet Explorer, Version 4.0 Auswirkungen: Böswillige Webmaster können Dateien auf Ihrem Rechner lesen. Einstufung: mittel bis ernst Beschreibung: Mit Hilfe von Jscript und dem IFRAME- Objekt kann ein böswilliger Webmaster an HTML-, Text- und vielleicht auch andere Dateien auf Ihrem Rechner gelangen. Diese werden für das Opfer unsichtbar in einen Frame- Bereich geladen. Dann kann der Webmaster Ihre lokalen Dateien per DHTML-Routine lesen. Schwachstelle MSIE-4.0-Puffer-ÜberlaufMicrosoft Internet Explorer, Version 4.0 Auswirkungen: Der Rechner blockiert, und beliebiger Code kann ausgeführt werden. Einstufung: mittel bis ernst Beschreibung: Dieser Puffer-Überlauf ist eine ernste Sache. Es besteht die Möglichkeit, beliebigen Code in nicht dafür vorgesehenen Speicherbereichen laufen zu lassen. Allerdings sind noch keine Fälle bekannt, wo dies passiert ist. Microsoft hat einen Patch herausgegeben, der unter der oben genannten URL erhältlich ist. Widersinnigerweise kann dieser Angriff durch eine URL ausgelöst werden. Ich sollte vielleicht darauf hinweisen, dass der MSIE 4.0 eine recht neue Anwendung ist. Ich würde Ihnen empfehlen, Version 3.0x mit allen Patches zu versehen und neue Informationen zu Version 4.0 abzuwarten. (Ich habe 4.0 wieder von meinem Microsoft-Rechner entfernt.)
Microsoft FrontPageMicrosoft FrontPage und die FrontPage- Erweiterungen beinhalten schwerwiegende Sicherheitsprobleme. Wenn Sie einen FrontPage-Web- Server betreiben (oder einen Server, der die FrontPage- Erweiterungen verwendet), sollten Sie sich folgender Schwachpunkte bewusst sein: Schwachstelle VTI_BIN und VTI_PVTFrontPage Version 1.0 Auswirkungen: Entfernte Benutzer können Passwort- oder andere sicherheitsrelevante Dateien lesen. Einstufung: ernst bis kritisch Abhilfe: bislang keine Weitere Informationen: bei bugtraq@netspace.org Beigetragen von: Perry Harrington Beschreibung: 1. Entfernte Benutzer können eine FTP-Verbindung herstellen, ein /VTI_BIN- Verzeichnis einrichten, ausführbare Dateien dort speichern und diese dann ausführen. 2. Entfernte Benutzer können auf Passwort- und Administrationsdateien im /VTI_PVT- Verzeichnis zugreifen, indem sie einfach nur ihren Ort angeben. Ich empfehle Ihnen, sich an Microsoft zu wenden. In der Zwischenzeit sollten Sie die Möglichkeit des anonymen FTP deaktivieren. Dies ist ein extrem gefährliches Sicherheitsloch, und zwar aus folgendem Grund: Jeder, der eine ganz normale Suchmaschine benutzt, kann verletzbare Rechner identifizieren. Im Frühjahr 1998 löste dies eine wahre Welle von Angriffen aus. Das Problem betrifft Server, die eine von jedermann lesbare Verzeichnisstruktur haben. Cracker können solche Rechner herausfinden, indem sie nach vti_bin und vti_pvt suchen. Dadurch können leicht wichtige Informationen offengelegt werden. Im allgemeinen kann man Informationen wie diese herausziehen:
Diese Informationen können zum Knacken des entfernten Rechners verwendet werden. Zumindest können Sie schnell herausfinden, welche Gruppen gültig sind. Außerdem können Sie feststellen, wo die Paßwortdateien gespeichert sind. (Meistens suchen Cracker nach authors.pwd, aber auch service.pwd ist eine vielversprechende Datei.)
Das nächste vielversprechende Opfer war Theta Marine Communications unter: Durch Eingabe von http://www.thetamarine.com/indexpage/_vti_pvt bekam ich diesen Text:
Wenn Sie diese Paßwörter erst einmal haben, ist der Rest nur noch eine Frage der Zeit. Noch einmal: Dies ist ein kritisches Sicherheitsloch. Sie sollten wenigstens die Dateiberechtigungen korrekt setzen, so daß niemand Ihre PWD-Dateien herunterladen kann.
FrontPage-ErweiterungenFrontPage Version: Frontpage 97 Auswirkungen: Entfernte Benutzer können privilegierten Zugriff erhalten. Einstufung: mittel bis ernst Abhilfe: Upgrade auf das Update für die FrontPage-98-Erweiterungen Weitere Informationen: http://www.microsoft.com/frontpage/wpp/1330update.htm Beigetragen von: Bob LaGarde Beschreibung: Entfernte Benutzer können shtml.dll verwenden, um asp.dll zu überschreiben und somit den Server zu zwingen, ASP-Quellcode anzuzeigen. Die einzige Lösung ist bislang ein Upgrade auf das Update für FrontPage-98-Erweiterungen. Schwachstelle WebBotsFrontPage Version 1.1 und Frontpage 97 mit WebBot- Komponenten Auswirkungen: Entfernte Benutzer können Webseiten Informationen hinzufügen. Einstufung: mittel Beschreibung: Entfernte Benutzer können Informationen an Webseiten anhängen, indem sie die WebBot- Komponenten Ergebnisse speichern oder Diskussion verwenden. Das ist zwar keine kritische Sicherheitslücke, aber es wäre doch ziemlich peinlich, wenn Sie eines Tages zur Arbeit kämen und Ihre Webseiten wären neu geschrieben worden. Installieren Sie besser eine neuere Version von FrontPage.
Microsoft ExchangeMicrosoft Exchange 5.0 hat vier wichtige Schwachstellen. Schwachstelle SMTPMicrosoft Exchange Version 5.0 Auswirkungen: Der Server wird beim Bearbeiten endloser Zeichenketten abstürzen. Einstufung: mittel - Denial-of-Service Abhilfe: Service-Pack 1 für Microsoft Exchange installieren Beigetragen von: Sean Boulter Beschreibung: SMTP-Nachrichten mit einer ungewöhnlich langen Zeichenkette in der Betreffzeile führen zu einer Überlastung des Information Store. (Das passiert auch bei beschädigten Headern.) Schwachstelle Web ConnectorMicrosoft Exchange Version 5.0 Auswirkungen: Benutzer können auf jedes beliebige Postfach zugreifen. Einstufung: mittel bis ernst Abhilfe: noch keine verfügbar Beschreibung: Per Voreinstellung erben alle Postfächer den Exchange Service Account (SA) auf dem Exchange Server. Dieser Bug ist schwer reproduzierbar und erfordert privilegierten Zugang. Dennoch sollte Microsoft ihn beheben. Schwachstelle Passwort- CacheMicrosoft Exchange Version 5.0 Auswirkungen: Paßwörter verbleiben im Cache. Einstufung: mittel bis ernst Abhilfe: Speicherung von Passwörtern im Cache deaktivieren Beschreibung: Exchange-Passwörter verbleiben n Minuten im Cache, wie in dem Wert für das Cache-Aufbewahrungslimit in der Registry definiert. Um das Caching von Passwörtern zu vermeiden, empfehlen einige Leute, die Cache-Größe auf 0 zu setzen. Schwachstelle Puffer-ÜberlaufMicrosoft Exchange Version 5.0 Auswirkungen: Der Überlauf kann ermöglichen, dass fremder Code ausgeführt wird. Einstufung: mittel bis ernst Abhilfe: Service-Pack 1 für Exchange Beschreibung: Die Leute von http://www.rootshell.com/ haben einen Exploit gesendet, der den Exchange Server zum Absturz bringt. Man munkelt, dass beliebiger Code auf den Stack geschoben und ausgeführt werden kann.
Applikationen und Add- Ons von Drittanbietern!Es gibt mehrere Anwendungen von Drittanbietern, die Ihr Windows-NT- System einem beträchtlichen Risiko aussetzen können. Im folgenden Abschnitt gehe ich kurz auf diese Probleme ein. iCat CarboWindows-NT- Version: Alle Versionen, auf denen der iCat-Carbo- Server läuft. Auswirkungen: Diese Sicherheitslücke macht all Ihre Dateien jedermann verfügbar. Einstufung: ernst Abhilfe: keine, von der ich wüsste Beschreibung: Der iCat-Carbo- Server ist eine Einkaufskorb-Anwendung für Web-Shops. Momentan (während ich dies schreibe) können entfernte Benutzer eine URL senden, die jede beliebige Datei auf der Festplatte preisgibt. Wenden Sie sich für aktuelle Informationen an die Hersteller von Carbo. CCMAIL 8Windows-NT- Version: Alle Versionen, auf denen CCMAIL 8 läuft. Auswirkungen: Das Passwort für Ihr Postfach kann herausgefunden werden. Einstufung: mittel bis ernst Abhilfe: Sperren Sie die Berechtigungen in %systemroot%\~ccmaint.bat. Beschreibung: Die Batch-Datei ccmaint.bat hat falsche Berechtigungen, so dass jeder auf sie zugreifen kann. Das kann dazu führen, dass lokale Benutzer Ihr Postfach- Passwort herausfinden können. Überprüfen Sie die Dateiberechtigungen. Netscape FastTrackWindows-NT- Version: Alle Versionen, auf denen FastTrack 3.0x läuft. Auswirkungen: Entfernte Benutzer können Zugriff auf admin- Verzeichnisse erlangen. Einstufung: mittel bis ernst Abhilfe: Deaktivieren Sie die Möglichkeit des Verzeichnis- Browsens. Beigetragen von: Matthew Patton Beschreibung: In Umgebungen, die .nsconfig-Dateien verwenden, können Zugriffskontrollen von entfernten Benutzern umgangen werden. Wenden Sie sich für Informationen über die neusten Entwicklungen an Netscape. Eudora Mail ClientEudora-Versionen: Eudora Light, Eudora Pro Auswirkungen: Benutzer können Mail-Paßwörter knacken. Einstufung: mittel Abhilfe: Keine Lösung dokumentiert. Wenden Sie sich an Qualcomm. Beschreibung: Eudoras Verschlüsselung des Mail- Passworts ist schlecht und kann mit Hilfe des EUDPASS.COM- Utilities attackiert werden. (Noch dazu ist das Passwort in der INI-Datei gespeichert, wodurch es leicht zugänglich ist.) Mir ist zur Zeit keine Lösung dieses Problems bekannt. WS_FTPWS_FTP-Version: Alle Versionen Auswirkungen: Benutzer können WS_FTP- Passwörter knacken. Einstufung: mittel Abhilfe: Sperren der WS_FTP.INI Beschreibung: Die Datei WS_FTP.INI enthält Passwörter, die leicht zu knacken sind. Wenn Sie lokalen Benutzern ermöglichen, an diese Datei zu gelangen oder sie zu lesen, sind Ihre Accounts auf anderen Systemen gefährdet. Ändern Sie entweder die Berechtigungen für das Verzeichnis, in dem die Datei enthalten ist, oder speichern Sie Passwörter nicht mehr auf Ihrer Festplatte. DFÜ-NetzwerkWindows-Version: Windows 95 Auswirkungen: Lokale Benutzer können Ihr Passwort für das DFÜ-Netzwerk stehlen. Einstufung: mittel Abhilfe: Speichern Sie Ihr Passwort nicht ab. Beschreibung: Das Passwort für das DFÜ-Netzwerk von Windows 95 ist leicht zu stehlen. Es gibt ein Programm, mit dem jeder lokale Benutzer an das Passwort kommen kann. Der einzige Schutz besteht darin, dass Sie Ihr Passwort nicht mehr abspeichern, sondern bei jeder Verbindung manuell eingeben.
Andere Microsoft-AnwendungenEs gibt viele andere Microsoft-Anwendungen, die Sicherheitslücken haben. Das gilt besonders für veraltete Versionen, da Microsoft nicht gewillt ist, diese zu verbessern. Wenn Sie überhaupt etwas Sicherheit möchten, müssen Sie nicht nur Windows NT kaufen, sondern auch viele Ihrer vorhandenen Anwendungen upgraden. Dieses Upgrade-Spielchen kann sehr kostspielig werden. Deshalb scheuen viele größere Firmen Microsoft-Produkte inzwischen oder schränken ihre Abhängigkeit von diesen auf ein Minimum ein. Microsofts größte Herausforderung ist es, Benutzerfreundlichkeit mit Stabilität und Sicherheit unter einen Hut zu bringen. Die Stabilität ist ein wichtiges Thema (in Unternehmen wahrscheinlich das wichtigste). Ständige Upgrades sind für Behörden und Unternehmen aber nicht gut, da sie immer zu einem Anstieg des TCO führen. Tipp:
Auf jeden Fall haben viele ältere Microsoft-Anwendungen ernste Sicherheitsprobleme, die nie behoben werden. Eine dieser Anwendungen ist Microsoft Access. Microsoft AccessMicrosoft Access ist eine beliebte Anwendung und Programmierumgebung zur Erzeugung und Verwaltung von Datenbanken. Das Access-Paket bietet Passwortschutz für einzelne Datenbanken. In den Versionen 1.0 und 2.0 ist dieses Passwortschema von Natur aus fehlerhaft und bietet Ihnen sehr wenig wirkliche Sicherheit. Das Passwortschema von Access hat drei grundlegende Fehler. Erstens führt Access die Authentifizierung basierend auf einem internal security identifier (SID) durch. Dieser SID wird daraus hergeleitet, dass der Benutzername und der personal identifier (PID) einen Algorithmus durchlaufen (wobei diese Variablen als Schlüssel verwendet werden). Wenn ein Cracker nun einen neuen Account anlegt und dabei denselben Benutzernamen und PID benutzt, erhält er genau denselben SID. Dies ermöglicht es Crackern, die Sicherheitskontrollen zu umgehen. Noch unsicherer sind in Microsoft Access 1.0 erzeugte Alt-Datenbanken. Die »einzigartige« SID, die beim Setup für die Administratoren erzeugt wurde, wird auf Diskette 1 des Diskettensatzes geschrieben. (Deshalb kann jeder mit Zugriff auf Diskette 1 alle Sicherheitskontrollen auf diesem bestimmten Rechner umgehen.) Außerdem kann jeder eine alternative Datei SYSTEM.MDA aufspielen und sich Zugang zu sonst für ihn gesperrten Dateien verschaffen. Schließlich, und vielleicht ist dies der wichtigste Fehler, können die SIDs aller Benutzer gelesen und manuell verändert werden, wodurch ein Cracker die Privilegien jedes Benutzers erhalten kann. Dies sind alles sehr ernste Fehler, die wahrscheinlich nie mehr behoben werden. Wenn Ihre Daten in einer Access-Datenbank gespeichert sind, sollten Sie aufpassen. Die einzige wirkliche Lösung ist, entweder eine Zugangskontrolle auf Betriebssystemebene zu aktivieren oder eine Zugangskontroll-Software eines Drittanbieters zu installieren.
Noch mehr AnwendungenLetztendlich kann jede herkömmliche Anwendung für Endanwender geknackt werden, die einen Passwortschutz für Dokumente anbietet. Tabelle 16.2 führt diese Anwendungen zusammen mit den Adressen der Tools auf, die sie knacken können. Sie sollten diese Passwort- Cracker selbst ausprobieren. Diese Erfahrungen werden Sie immer daran erinnern, dass nichts auf Ihrem Rechner am Arbeitsplatz, in der Schule oder zu Hause wirklich sicher ist.
Zusammenfassung zu DOS, Windows und Windows 95DOS, Windows und Windows 95 sind ausgezeichnete Systeme, aber keines von ihnen ist sicher. Wenn Ihre Firma diese Betriebssysteme schon nutzt, sollten die Rechner auf jeden Fall hinter einer Firewall verborgen werden. Das gilt besonders für Windows 95, da dies noch nicht gründlich genug erforscht ist und eventuell Sicherheitslücken aufweist, die noch nicht entdeckt worden sind. (Außerdem hat Microsoft nicht die Absicht, die Sicherheit von Windows 95 zu verbessern.) Wenden wir uns also der Sicherheit von Windows NT zu.
Windows NTMicrosoft mag für schlechte Sicherheit weithin bekannt sein, aber dies gilt nicht unbedingt für Windows NT. Die Anfangsinstallation von Windows NT bietet genauso gute Sicherheitsvorkehrungen wie die meisten anderen Plattformen. Der einzige Haken ist, dass Sie stets mit den neuesten Entwicklungen Schritt halten müssen. Fragen Sie sich erst einmal folgendes, bevor Sie weiterlesen: Habe ich Windows NT mit NTFS installiert und die Service-Packs in der richtigen Reihenfolge installiert? Wenn nicht, ist Ihr Windows-NT- System nicht sicher, und der Rest dieses Kapitels kann Ihnen auch nicht weiterhelfen. Installieren Sie erst die Service-Packs bzw. installieren Sie Windows NT mit aktiviertem NTFS. Hinweis:
Da das Hauptthema dieses Buches die Internet-Sicherheit ist, beginnen wir die Betrachtung von Windows NT mit dem IIS (Internet Information Server).
16.4.7 IIS (Internet Information Server)IIS ist ein sehr beliebtes Server-Paket und hat, wie die meisten Server-Pakete, Sicherheitslücken. Wir befassen uns hier sehr gründlich mit IIS. Beachten Sie aber bitte, dass wir nicht alle Schwachstellen besprechen. Es existieren noch weitere, die aber weniger ernst sind. Schwachstelle CMD/BATIIS Version 1.0 Auswirkungen: Entfernte Benutzer können beliebige Befehle ausführen. Einstufung: kritisch Beschreibung: IIS 1.0 handhabt Dateien mit Endung CMD oder BAT mit Hilfe von CMD.EXE mittels MIME- Mapping. Dies ermöglicht es Crackern, Befehle auf Ihrem Server auszuführen. Leider werden die so ausgeführten Befehle nicht aufgezeichnet. Ein Cracker könnte also theoretisch Systemdateien löschen und Ihr System außer Betrieb setzen, ohne jemals entdeckt zu werden. Installieren Sie den Patch. Schwachstelle IIS Active Server PagesIIS Version 3.0 und möglicherweise andere Auswirkungen: Entfernte Benutzer können Dateien überschreiben. Einstufung: ernst bis kritisch Beschreibung: Active Server Pages können dazu verwendet werden, jede beliebige Datei zu überschreiben. Cracker, die diese Schwachstelle ausnutzen, müssen Scripting- Erfahrung haben. Der Code ist jedoch auch im Internet zu bekommen. Derzeit gibt es keine Abhilfe, außer /wwwroot nicht für andere freizugeben. Schwachstelle IIS ASP URLIIS Version 2.0+ unter Windows NT 4.0 Auswirkungen: Entfernte Benutzer können ASP-Quellcode ansehen. Einstufung: ernst Beschreibung: ASP- Quellcode kann von einem entfernten Rechner aus untersucht werden. Die Technik ist unkompliziert und erfordert keine speziellen Programmierkenntnisse. Der Cracker nimmt die gewünschte URL, ersetzt den letzten Punkt durch die Zeichen %2e und lädt neu. Das System liefert dann den Quellcode. Schwachstelle WEBHITS.EXEIIS Version 3.0 (unter Windows NT 4.0) Auswirkungen: Entfernte Benutzer können IIS verwenden, um nach Schwachstellen zu suchen. Einstufung: ernst Abhilfe: WEBHITS.EXE löschen oder in ein anderes Verzeichnis als das vorgegebene verschieben Beschreibung: WEBHITS.EXE ist ein Bestandteil der IIS- Suchmaschine unter dem Index Server. Entfernte Benutzer können dieses Modul verwenden, um Passwörter, Benutzernamen und andere sicherheitsrelevante Dinge in Erfahrung zu bringen. Schwachstelle Lange DateinamenIIS Version 4.0 Auswirkungen: Auf geschützte Dateien kann von entfernten Rechnern zugegriffen werden. Einstufung: ernst Beschreibung: Wenn ein Dateiname lang ist und Windows ihn im Befehlszeilenmodus kürzt (z.B. filena~1.com statt filename.com), kann die verkürzte Version von entfernten Rechnern aus aufgerufen werden, obwohl der vollständige Dateiname geschützt bleibt. Schwachstelle NEWDSN.EXEIIS Version 3.0 (unter Windows NT 4.0) Auswirkungen: Entfernte Benutzer können beliebige Dateien erzeugen. Einstufung: mittel Abhilfe: NEWDSN.EXE löschen oder in ein anderes Verzeichnis als das vorgegebene verschieben Beschreibung: Dies ist ein ziemlich schwer auszunutzender Bug, da er sich nicht auf allen Rechnern gleich auswirkt. Aber ist die Vorstellung nicht schrecklich, dass Anwender eine BAT-Datei erzeugen könnten, die alle wichtigen Systemdateien löscht? Schwachstelle GETIIS Version 2.0 (unter Windows NT 4.0) Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen und einen Reboot erzwingen. Einstufung: mittel - Denial-of-Service Beschreibung: Nicht gepatchte Server, auf denen IIS 2.0 unter Windows NT 4.0 läuft, können aus dem Netz geworfen werden. Die Methode ist einfach: Cracker stellen eine Telnet- Verbindung zu Port 80 her und geben Get ../.. ein. Das Ergebnis? Der Rechner muss neu gebootet werden. (Dieser Angriff bringt auch Microsoft-Proxy- Server zum Absturz, was noch viel kritischer ist.) Schwachstelle CPU-ÜberlastungIIS Version 2.0 (unter Windows NT 4.0) Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen und einen Reboot erzwingen. Einstufung: mittel - Denial-of-Service Beschreibung: Cracker verbinden sich mit Ihrem Web-Server und geben viele beliebige Befehle ein. Nach ca. 20 Befehlen rast die Systemauslastung auf 100%, wodurch ein Neustart erforderlich wird. Wenden Sie sich an Microsoft oder suchen Sie unter ftp://ftp.microsoft.com/ nach aktuellen Patches. Schwachstelle Lange URLsIIS Version 2.0 (unter Windows NT 4.0) Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen. Einstufung: mittel - Denial-of-Service Beschreibung: Indem sie eine extrem lange Zeichenkette als URL senden, können Cracker Ihren Web-Server zum Absturz bringen und Sie zwingen, den Service neu zu starten. Diese Schwachstelle ist nicht leicht reproduzierbar. Die erforderliche Länge liegt zwischen 4-10 Kbyte und variiert je nach Release. Wenn Sie alle Service-Packs installieren und die hier beschriebenen Sicherheitslücken patchen, wird Ihr IIS-Server schon etwas sicherer sein.
Allgemeine Sicherheitslücken in Windows NTSequenznummer-AttackenNT-Version: alle Versionen Auswirkungen: Entfernte Benutzer können sich Admin- Privilegien aneignen. Einstufung: ernst bis kritisch Abhilfe: keine, wenden Sie sich an Microsoft Beschreibung: Sitzungen können übernommen werden, indem die TCP- Sequenznummer erraten wird. (Das ist eigentlich ein Spoofing- Problem. Es betrifft viele Netzdienste, darunter RPC, Netbios und SMB- Verbindungen.) Unter dem Link finden Sie den Quellcode, um den Exploit zu kopieren. Weitere Informationen finden Sie hier: Schwachstelle GetAdminNT-Version: alle Versionen Auswirkungen: Lokale Benutzer können sich Admin-Privilegien aneignen. Einstufung: kritisch Beschreibung: GETADMIN.EXE ist ein Utility, das von lokalen Benutzern verwendet werden kann, um sich Admin- Privilegien anzueignen. Dies ist eine kritische Sicherheitslücke.
Schwachstelle Windows NT BackupNT-Version: alle Versionen Auswirkungen: Passwörter in Backups können die Systemsicherheit gefährden. Einstufung: ernst Abhilfe: Verschlüsseln Sie Ihre Backups. Beschreibung: Jeder, der ein Backup-Band mit Passwörtern besitzt, kann dieses benutzen, um sich auf Ihrem Server und vielleicht auch anderen Windows-NT- Servern zu authentifizieren. Schwachstelle NBTSTATWindows-NT-Version: alle Versionen und auch Windows 95 Auswirkungen: Entfernte Benutzer können Zugriff auf freigegebene Verzeichnisse erlangen. Einstufung: ernst Abhilfe: Schützen Sie Ihre Verzeichnisse durch Passwörter. Beschreibung: Der Angreifer muss nur das Ziel zu seiner lmhosts- Datei hinzufügen und eine NETBIOS- Sitzung starten. Dann kann er beginnen, die Verzeichnisse durchzugehen. Dies ist eine ernste Schwachstelle. Momentan scheint es außer dem Passwortschutz keine andere Möglichkeit zu geben, sich davor zu schützen.
Weitere Schwachstellen mit geringerer BedeutungWindows NT hat noch weitere Schwachstellen, die vielleicht nicht kritisch, aber dennoch ernst zu nehmen sind. Sie sind in Tabelle 16.3 aufgelistet, zusammen mit den URLs, unter denen Sie mehr darüber erfahren können:
Interne Sicherheit von Windows NTDer Großteil dieses Kapitels beschäftigt sich mit Remote- Sicherheit, wobei die Angreifer aus fremden Netzwerken kommen. Leider gehen Angriffe aber nicht immer nur von fremden Netzwerken aus. Manchmal greifen auch Ihre eigenen Benutzer Ihren Server an. Damit befasst sich das folgende Kapitel. Interne Sicherheit im allgemeinenIm allgemeinen hat Windows NT nur eine leidliche interne Sicherheit zu bieten. Dies ist grundverschieden zu seiner externen Sicherheit, die meines Erachtens sehr gut ist (wenn Sie immer die neuesten Patches installieren). Sie sollten wenigstens NTFS verwenden. Wenn Sie das nicht tun, besteht überhaupt keine Hoffnung, Ihre Rechner zu schützen. Denn es gibt einfach zu viele Dinge, die lokale Benutzer machen können, und zu viele Dateien und Dienste, die sie benutzen können. Einige Systemadministratoren behaupten, dass sie NTFS nicht brauchen. Sie meinen, dass sie durch eine sorgfältige Administration und die Kontrolle der Personen, die Zugang zu Ihren Rechnern bekommen, mehr oder weniger auf der sicheren Seite sind. Das sind leider Wunschvorstellungen. Das RDISK- SicherheitslochEin ausgezeichnetes Beispiel ist das RDISK- Sicherheitsloch. RDISK ist ein Windows-NT- Utility, mit dem Sie Rettungsdisketten für den Notfall erstellen können. Das ist ein wertvolles Hilfsprogramm für einen Systemadministrator; wenn es jedoch der falschen Person in die Hände gerät, stellt RDISK ein riesiges Sicherheitsloch dar. Ein Benutzer kann RDISK anweisen, von allen Sicherheitsinformationen (einschließlich Passwörtern und Registry- Informationen) im Verzeichnis C:\WINNT\REPAIR einen Dump anzulegen. Von dort aus kann der Angreifer einen Passwort- Cracker laden. Innerhalb von Stunden ist der gesamte Rechner bloßgelegt. Möchten Sie es einmal selbst ausprobieren? Dann geben Sie an einem Prompt folgenden Befehl ein: rdisk /s. Gehen Sie dann ins Verzeichnis
Eine gute interne Sicherheit aufbauenDer Aufbau einer guten internen Sicherheit ist nie zu Ende. Es gibt keine Liste mit Tools, die Sie installieren können, um Ihren Rechner für alle Zeiten zu schützen. Es tauchen immer wieder neue Sicherheitslöcher auf. Und obwohl Microsoft wirklich viel getan hat, um die Sicherheit von NT zu verbessern, ist das ständige Streben nach Benutzerfreundlichkeit ihrer Produkte für die Bemühungen um ernsthafte Sicherheit eher hinderlich. Ein amüsantes Beispiel dafür wurde durch Vacuum von Rhino9 (einer bekannten Hacker- Gruppe) beschrieben, der die Beobachtung machte, dass der Versuch der Beschränkung des Benutzerzugangs zu der Systemsteuerung ein erfolgloses Unterfangen ist. Er schrieb:
Dieses Problem klingt simpel und nicht sehr bedrohlich. Es trifft aber für die meisten Systemressourcen und sogar Administrationswerkzeuge zu. (Microsoft wird dies wahrscheinlich auch nie ändern. Ihre Verteidigung würde wahrscheinlich so lauten: Es erhöht die Benutzerfreundlichkeit, zu jedem Programm, das in der Online-Hilfe behandelt wird, eine direkte Verknüpfung anzubieten.) Sie sollten wenigstens Protokollierungs- Utilities und einen Sniffer installieren. Ich empfehle Ihnen außerdem, eine umfassende Liste aller Anwendungen oder Ressourcen zu erstellen, die keine Protokollierungsmöglichkeiten haben. Wenn diese Anwendungen oder Ressourcen auch nicht mit Hilfe anderer Anwendungen protokolliert werden können, empfehle ich Ihnen, sie zu löschen oder wenigstens von ihren vorgegebenen Verzeichnissen in andere zu verschieben.
Ein Tipp für die Einrichtung eines NT-Servers von Grund aufUm einen möglichst sicheren Windows-NT- Server einzurichten, müssen Sie schon bei der Installation alles richtig machen. Wenn Sie Windows NT bereits mit FAT installiert haben, kommt dies natürlich etwas spät für Sie. Ich würde Ihnen dann zu einer Neuinstallation raten. Um festzustellen, ob Sie eine Neuinstallation vornehmen sollten, sollten Sie Ihren ursprünglichen Installationsvorgang mit den typischen Vorbereitungen für ein C2-System vergleichen. Dazu empfehle ich Ihnen, sich den Secure Windows NT Installation and Configuration Guide der Navy herunterzuladen. Dieses Dokument enthält die umfassendste Anleitung für eine sichere Installation, die derzeit in gedruckter Fassung verfügbar ist. Die Anleitung führt Sie durch die Konfiguration des Dateisystems, Audit-Policy, Registry, Benutzerverwaltung, Benutzerkonten- Policy, Benutzerrechte, Vertrauensbeziehungen, System- Policy und die Systemsteuerung. Mit Hilfe der gut erläuterten Schritt-für-Schritt- Anleitung lernen Sie Windows-NT- Sicherheit praktisch nebenbei. Obwohl es nur 185 Seiten umfasst, ist das Navy- Dokument mehr wert als 10 oder gar 100 Bücher wie dieses. Wenn Sie diese Anleitung befolgt haben, sind Sie bei der Einrichtung eines sicheren Servers schon sehr viel weiter gekommen.
ToolsWenn Sie Ihren Server eingerichtet haben, können Sie sich verschiedene unverzichtbare Tools besorgen, mit denen Sie seine Sicherheit verbessern können. Kein Windows-NT- Administrator sollte je ohne diese Tools angetroffen werden. Administrator Assistant Tool Kit 2.0Das Administrator Assistant Tool Kit 2.0 ist eine Programmsammlung, die Utilities für die Organisation der Systemadministration von Windows-NT- Rechnern enthält. Midwestern Commerce, Inc. (Ntsecurity.com) FileAdminFileAdmin ist ein fortgeschrittenes Tool zur Handhabung von Dateiberechtigungen in großen Netzwerken. Dieses Utility kann Ihnen viele Stunden Arbeit ersparen. Midwestern Commerce, Inc. (Ntsecurity.com) Kane Security AnalystKane Security Analyst ermöglicht eine Echtzeit-Erkennung von Eindringlingen in Windows NT. Dieses Utility erkennt und meldet Sicherheitsverletzungen und ist sehr flexibel konfigurierbar. Intrusion Detection, Inc. NetXRay AnalyzerNetXRay Analyzer ist ein wirkungsvoller Protokoll- Analyzer (Sniffer) und ein Netzwerküberwachungs-Tool für Windows NT. Er ist wahrscheinlich der umfangreichste verfügbare Sniffer für Windows NT. (Kurios ist, dass dieses Produkt selbst ein kleines Sicherheitsloch hat. David LeBlanc entdeckte, dass Version 2.6 einen Puffer-Überlauf hat.) Cinco Networks, Inc. NT CrackNT Crack ist ein Tool, das Windows-NT- Passwörter prüft. Es ist das NT-Äquivalent zu Crack für Unix. Secure Networks, Inc. NT LocksmithNT Locksmith ermöglicht den Zugriff auf einen Windows-NT- Rechner ohne Passwort. Es ist ein Rettungs-Utility, das Ihnen ermöglicht, ein neues Admin- Passwort festzulegen. Winternals Software LLC NTFSDOS ToolsNTFSDOS Tools ermöglicht es Ihnen, von einer DOS-Diskette aus Kopier- und Rename- Berechtigungen für Windows NT zu erlangen. Ein großartiges Tool für Notfälle (z.B. wenn Sie das Admin-Paßwort verloren haben. Hm...). Winternals Software LLC NTHandleNTHandle identifiziert offene Prozesse in Windows NT und ermöglicht Ihnen so, ein Auge auf Ihre Anwender zu haben. NT Internals - Mark Russinovich NTRecoverNTRecover ist ein Rettungsprogramm. Es ermöglicht Ihnen, auf tote Windows-NT- Laufwerke über serielle Schnittstellen zuzugreifen. Nicht schlecht, oder? Winternals Software LLC NTUndeleteNTUndelete ermöglicht Ihnen, Dateien, die an einem Prompt oder aus Anwendungen heraus gelöscht worden sind, zu speichern und später wiederherzustellen. Winternals Software LLC PC Firewall 1.02PC Firewall 1.02 ist eine bidirektionale Paketfilter-Sammlung für Windows 95 und Windows NT. McAfee (Network Associates, Inc.) PWDUMPPWDUMP erstellt einen Dump (Speicherauszug) von Passworteinträgen, die in der Registry aufbewahrt sind. Jeremy Allison RedButtonRedButton ist ein Tool zum Testen von Sicherheitslücken in öffentlich zugänglichen Registries auf entfernten Rechnern. Midwestern Commerce, Inc. (Ntsecurity.com) RegAdminRegAdmin ist ein fortgeschrittenes Tool zur Handhabung von Registry- Einträgen in großen Netzwerken. Es spart sehr viel Zeit. Midwestern Commerce, Inc. (Ntsecurity.com) ScanNT PlusScanNT Plus ist ein Wörterbuch-Utility zum Knacken von Passwörtern. Testen Sie Ihre NT- Passwörter damit. Midwestern Commerce, Inc. (Ntsecurity.com) Somarsoft DumpAclSomarsoft DumpAcl erstellt Dumps von Berechtigungen für das Windows-NT- Dateisystem in der Registry, einschließlich Freigaben und Drucker. Es verschafft einen Überblick über Berechtigungen, der in großen Netzwerken normalerweise schwer zu erlangen ist. Somarsoft, Inc. Somarsoft DumpEvtSomarsoft DumpEvt erzeugt Dumps von Ereignisprotokollinformationen, die zur Analyse in eine Datenbank importiert werden können. Somarsoft, Inc. Somarsoft DumpReg erstellt Dumps von Registry- Informationen zur Analyse. Es ermöglicht außerdem eine gute Suche und einen Abgleich von Schlüsseln. Somarsoft, Inc. Somarsoft RegEditSomarsoft RegEdit ist ein vollständiges Programm zum Editieren und Handhaben der Registry, das Basic unterstützt. (Es ist sozusagen die gedopte Version von RegEdit.) Somarsoft, Inc. VirtuosityVirtuosity ist ein umfassendes Verwaltungs- und Umstellungs-Tool. (Gut für große Umstrukturierungen.) Midwestern Commerce, Inc. (Ntsecurity.com) Gute Online-InfoquellenIm nächsten Abschnitt finden Sie viele gute Links zu Windows-NT- Informationen. Die meisten von ihnen werden ständig aktualisiert. Das FTP-Archiv der Mailing- Liste zu Windows- NT- SicherheitDies ist ein Archiv aller in der Mailing-Liste zu Windows- NT- Sicherheit geposteten Beiträge. Das Archiv reicht bis zum Juli 1996 zurück und enthält Beiträge von Windows-NT- Sicherheitsexperten und -Enthusiasten. Ich empfehle Ihnen, sich die gesamten Dateien herunterzuladen. Informationen aus der Dateiliste zu ziehen kann ziemlich mühselig sein, da sie als reine Textdatei vorliegt. Das ist eine gute Aufgabe für Perl. Sie können mit ein paar Zeilen Code die ganzen Betreffzeilen aus dem Text ziehen:
Wenn Sie die Betreffzeilen haben, haben Sie schon einen besseren Überblick. Noch mehr Licht bringen Sie in die Sache, wenn Sie alle mit RE: beginnenden Betreffzeilen unterdrücken. Im allgemeinen suchen Sie ja nach dem ersten Beitrag, da dieser meistens ein durch den Autor neu entdecktes Sicherheitsloch beschreibt. Solche Beiträge stammen häufig von Leuten, die routinemäßig Sicherheitslücken von Betriebssystemen aufdecken. Viele von ihnen sind Autoritäten auf bestimmten Gebieten der Windows-NT- Sicherheit (z.B. Leute wie David LeBlanc und Russ Cooper). Alles in allem ist diese Liste wirklich gut. ftp://ftp.iss.net/pub/lists/ntsecurity-digest.archive/ AlphaNTDiese Site beherbergt Tools, Dokumente und andere Informationen über Windows NT auf der DEC Alpha-Plattform. Dieses Dateiarchiv ist eine gewaltige Sammlung von Utilities und Programmen für alles mögliche, von der Sicherheit bis hin zur Entwicklung. Windows NT Security FAQDieses Dokument mit häufig gestellten Fragen zur Windows-NT- Sicherheit ist ein absolutes Muss, wenn Sie ein Neuling auf diesem Gebiet sind. Ich gehe jede Wette mit Ihnen ein, dass mehr als die Hälfte der Fragen, die Sie zur NT-Sicherheit haben, in diesem Dokument beantwortet sind. http://www.it.kth.se/~rom/ntsec.html NTBugTraqNTBugTraq ist eine ausgezeichnete Informationsquelle, die von Russ Cooper von RC Consulting betreut wird. Die Site beinhaltet eine Datenbank mit Windows-NT- Sicherheitslücken und die archivierten und mit einer Suchfunktion versehenen Versionen der NTBugTraq- Mailingliste. MS Internet Security Framework FAQDieses Dokument beschäftigt sich mit dem MS Internet Security Framework. Es beantwortet viele Fragen zu Windows NT, Microsoft-Verschlüsselung und Microsoft-Sicherheit. http://www.ntsecurity.net/security/inetsecframe.htm NTSECURITY.COMDiese Site wird von der Aelita Software Group der Midwestern Commerce, Inc., betreut, einer bekannten Entwicklungsfirma, die unter anderem Sicherheitsapplikationen für Windows NT entwickelt. http://www.ntsecurity.com/default.htm Expert Answers for Windows NTDies ist ein Forum, in dem fortgeschrittene Windows-NT- Themen diskutiert werden. Es ist eine gute Adresse, um mögliche Lösungen für sehr undurchschaubare und konfigurationsspezifische Probleme zu finden. Regelmäßige Teilnehmer posten klare, kurz gehaltene Fragen und Antworten wie: »Ich habe einen PPRO II mit NT 4.0 und IIS 3, auf dem MS Exchange 5.0 läuft, mit SP3 für NT und SP1 für Exchange. Warum stürzt mein Mailserver ab?« http://community.zdnet.com/cgi-bin/podium/show?ROOT=331&MSG=331&T=index Windows NT Security Issues bei SomarsoftDas Dokument zu Windows-NT- Sicherheitsthemen bei Somarsoft behandelt fortgeschrittene Sicherheitslücken im Windows-NT- Betriebssystem. Sie finden es hier: http://www.somarsoft.com/security.htm The ISS Vulnerability DatabaseDie Sicherheitslücken-Datenbank von Internet Security Systems ist eine sehr gute Quelle, um herauszufinden, ob Ihr Rechner mit allen nötigen Patches versehen ist. Sie finden sie hier: http://www.iss.net/vd/library.html Enhanced Security for [Windows] NT 5.0Dieser Artikel über die verbesserte Sicherheit von Windows NT 5.0 wurde von Michael A. Goulde geschrieben. Er behandelt interessante Themen und gibt einen kleinen Ausblick darauf, was bei Version 5.0 zu erwarten ist. http://www.microsoft.com/ntserver/community/seybold.asp?A=7&B=4 Association of Windows NT Systems ProfessionalsDies ist eine Gruppe, die Informationen über fortgeschrittene Windows-NT- Themen, Sicherheit und Entwicklung austauscht. Sie besteht seit 1993. http://www.ntpro.org/ntpro.html Windows NT Magazine OnlineSie denken wahrscheinlich, dass kommerzielle Magazine keine gute Quelle für Sicherheitsinformationen sind. Bei dieser Site ist das zum Glück anders. Sie finden hier einige wertvolle Artikel und Editorials. Defense Information Infrastructure Common Operating
Environment
|
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|