Besuchen Sie jetzt unseren Online Shop www.tos.mynetcologne.de ..::..::..::..::..Schauen Sie mal unsere Service Produkte und unsere Service Angebote an es LOHNT sich.... ..::..::..::..::..

Microsoft und Ihre Sicherheit

Früher hatten Microsoft-Produkte den Ruf, sehr wenig Sicherheit zu bieten. Zum Glück hat sich das bis heute gebessert. Allerdings müssen Sie schon zu Windows 2000 greifen, wenn Sie mit einer sicheren Microsoft-Plattform arbeiten wollen. Microsoft hat in den Mailing- Listen zur Internet-Sicherheit oft genug klargestellt, dass man nicht vorhat, die Sicherheitskontrollen von Microsoft Windows 3.11, 95 oder 98 neu zu schreiben.

Aus diesem Grund werde ich hier auch nur kurz auf DOS oder ältere Versionen des Windows-Betriebssystems eingehen. Hier bekommen Sie Einsicht zu den wenigen Informationen, die zum Knacken eines Rechners erforderlich sind, auf dem ein anderes Microsoft-Betriebssystem als NT installiert ist.

DOS

Microsofts Betriebssystem DOS ist das meistgenutzte Betriebssystem aller Zeiten. Es ist klein, erfordert wenig Speicher und kommt mit wenigen Befehlen aus. DOS 6.22 hat nur ca. 1/16 der Befehle eines vollständigen Unix.

Obwohl die Popularität von DOS in den letzten Jahren nachgelassen hat, benutzen es immer noch sehr viele. (Ich begegne auf Netzwerk-Computern oft einer Mischung aus DOS und Windows 3.11. Und das, obwohl diese Kombination von Natur aus unsicher ist.) Ich möchte die Schwachstellen solcher Systeme im folgenden kurz aufzeigen.

IBM-kompatible Systeme

Microsoft DOS läuft nur auf IBM-kompatibler Hardware. Bei der Entwicklung der IBM- Architektur stand die Sicherheit nicht an erster Stelle. Deshalb ist jedes DOS-basierte System sehr leicht zu attackieren. Das fängt schon beim BIOS- Passwort an.

Das BIOS-Paßwort

BIOS- Passwörter (die auf den 286er zurückdatieren) können von jedem deaktiviert werden, der physikalischen Zugang zum Rechner hat.

Tipp:

Um den BIOS- Passwortschutz zu deaktivieren, müssen Sie nur die CMOS- Batterie auf dem Mainboard außer Betrieb setzen, indem Sie sie z.B. entfernen oder kurzschließen. Wenn das BIOS- Passwort gelöscht ist, kann ein Cracker auf das System zugreifen. Netzwerk-Workstations sind auf diese Weise leicht zu knacken. Dabei ist es nicht einmal unbedingt erforderlich, dass der Angreifer den Rechner auseinander pflückt. Er kann auch ein Hilfsprogramm zum Stehlen des Passworts (Password Capturing Utility) benutzen. Damit kann jeder das BIOS- Passwort auslesen, während der Rechner läuft.

Nachdem er einmal drin ist, wird der Cracker sich weiteren bzw. privilegierten Zugriff verschaffen wollen. Um auf einem vernetzten DOS-Rechner privilegierten Zugriff zu erhalten, muss der Cracker Benutzerkennungen und Passwörter herausfinden. Dazu wird er sich wahrscheinlich eines Utilities zum Tastatur- Recording (Key-capture Utility) bedienen.

Tastatur-Recorder

Tastatur-Recorder zeichnen Tastatureingaben auf, die nach einem bestimmten Ereignis gemacht werden. (Der üblichste Auslöser ist das Einloggen.) Diese Tastatureingaben werden dann in einer verborgenen Datei gespeichert.

Das Verzeichnis, in dem die Tastatureingaben gespeichert werden, kann ebenfalls verborgen werden. Die beliebteste Methode, ein Verzeichnis zu verbergen, ist die Verwendung des (ALT)+(2)+(5)+(5)-Zeichens als Verzeichnisnamen. Dieses Zeichen ist ein erweitertes ASCII-Zeichen. In Windows erscheint es im Dateimanager als ein Kringel, den man leicht übersieht. Kids verwenden diese Methode, um Spiele und schlüpfrige Fotos auf ihren Rechnern zu Hause und in der Schule zu verbergen.

Tipp:

Es gibt einige Tastatur-Recorder für DOS. Die beliebtesten und ihre Dateinamen stehen in Tabelle 16.1. Um diese Utilities zu finden, geben Sie am besten in der Suchmaske von http://altavista.digital.com/ den Dateinamen ein.

Im allgemeinen brauchen Cracker aber keine Tastatur-Recorder. DOS hat keine obligatorische oder gar freiwillige Zugriffskontrolle. Deshalb ist das Spiel schon vorbei, sobald ein Cracker an einen Prompt gelangt ist. Die einzige Möglichkeit, dies zu verhindern, ist die Installation von Zusatzprogrammen zur Zugriffskontrolle.

Zugriffskontroll-Software für DOS

Mit den folgenden Paketen kann man eine Zugriffskontrolle für DOS einrichten.

Secure 1.0

Secure 1.0 verhindert, dass unbefugte Benutzer auf ein bestimmtes Verzeichnis zugreifen können. Das Verzeichnis bleibt allerdings für den Benutzer sichtbar, er kann nur nicht darauf zugreifen. Die unregistrierte Version ermöglicht die Kontrolle über ein Verzeichnis. Sie finden sie hier:

Secure File System (SFS)

SFS ist eine exzellente Sammlung von Sicherheitsanwendungen für DOS. Sie bietet eine High-Level- Kryptographie für DOS- Volumes (bis zu fünf gleichzeitig), verbesserte Stealth- Eigenschaften und eine gute Dokumentation. Außerdem erfüllt SFS den Federal Information Processing Standard (FIPS). Seine Kompatibilität mit vielen Disk- Caching- und Speicherverwaltungsprogrammen macht das Programm recht vielseitig. Hier die Adresse:

Sentry

Sentry ist für ein Shareware-Produkt ziemlich vollständig und ermöglicht Ihnen sogar den Schutz einzelner Dateien. Außerdem bietet es Passwortalterung und einigen Support für Windows. Sie können Sentry an folgender Site finden:

Encrypt-It

Encrypt-It bietet eine High-Level DES-Verschlüsselung für DOS, die auf einzelne Dateien oder eine Reihe von Dateien angewandt werden kann. Das Programm ermöglicht es Ihnen auch, Ihre Verschlüsselung über Makros von bis zu 1.000 Zeichen Länge zu automatisieren. Das Paket enthält ein Benchmark- Tool, mit dem Sie bestimmen können, wie gut eine bestimmte Datei verschlüsselt ist. Sehen Sie hier nach:

LCK2

LCK2 sperrt das Terminal, während Sie weg sind. Es erlaubt keinen Warmstart oder Interrupt- Tastenkombinationen ((Strg)+(Alt)+(Entf) oder (Strg)+(Pause)). Das könnte für Umgebungen nützlich sein, in denen es den Benutzern strengstens untersagt ist, die Rechner neu zu starten. Sie finden es hier:

Gateway2

Gateway2 fängt Reboot-Versuche mit (Strg)+(Alt)+(Entf) und den Funktionstasten (F5) und (F8) ab. (Das Drücken der (F5)- oder (F8)-Taste hält den Bootvorgang an und umgeht Konfigurationsdateien wie AUTOEXEC.BAT und CONFIG.SYS. Das ist eine Möglichkeit, an einen Prompt zu gelangen.) Gateway2 hat noch weitere Vorzüge, wie z.B. die Unterstützung eines Paßwortschutzes für bis zu 30 Benutzer auf einem einzigen Rechner. Sehen Sie hier nach:

Seite mit DOS-Sicherheitstools

Im folgenden sind einige Sites aufgeführt, auf denen Sie Sicherheitstools für die DOS- Umgebung finden.

Der Simtel-DOS-Security-Index

Diese Seite bietet Nützliches zu Paßwortschutz, Zugriffsbeschränkungen und Schutz des Bootvorgangs.

Die CIAC-DOS-Security-Tools-Seite

Diese Seite enthält wichtige Informationen zum Thema Zugriffsbeschränkung und bietet ein Programm zum Schutz von bestimmten Zylindern einer Festplatte an.

DOS-Sicherheitstools bei Cypher.net

Diese Seite bietet Material zu Paßwortschutz, Zugriffskontrolle und Bootschutz.

Windows3.. und Windows 95

Windows for Workgroups und Windows 95 bieten nur wenig mehr Sicherheit als DOS. Beide verlassen sich auf das PWL-Paßwortschema. PWL-Dateien werden erstellt, wenn Sie Ihr Paßwort erzeugen, und befinden sich per Voreinstellung im Verzeichnis C:\WINDOWS. Davon abweichende Speicherpfade finden Sie in der SYSTEM.INI. (In der SYSTEM.INI wird der PWL-Pfad festgelegt.)

Das Passwortlisten (PWL)- Passwortschema

Das PWL- Passwortschema ist nicht sicher und kann durch einfaches Löschen der Dateien überwunden werden.

Tipp:

Bei komplexeren Cracking- Schemata muss der Angreifer das Passwort tatsächlich in Erfahrung bringen (z.B. wenn der Cracker ein lokales Windows-System verwendet, um einen entfernten Windows-NT- Server zu knacken). In solchen Umgebungen hat der Cracker zwei Möglichkeiten: Er kann entweder die PWL- Passwortdatei des Windows-95-Rechners knacken oder das Passwort aus dem Cache-Speicher ziehen, während das Ziel noch eingeloggt ist. Beide Techniken werden wir kurz vorstellen.

Knacken von PWL-Dateien

Normale PWL- Dateien zu knacken, die auf dem durchschnittlichen Windows-95-Rechner erzeugt worden sind, ist einfach. Dafür brauchen Sie nur ein Utility namens Glide.

Glide

Glide dient zum Knacken von PWL- Dateien. Für Interessierte liegt der Quellcode des Programms bei. Um Glide zu verwenden, geben Sie den Dateinamen (PWL) und den damit verbundenen Benutzernamen ein.

Herausziehen des Passworts aus dem Cache-Speicher

In dem PWL- System werden zwei unterschiedliche Funktionen verwendet: eine zum Verschlüsseln und Speichern des Passworts und eine andere zum Abrufen. Diese Routinen sind:

• WNetCachePassword()  
• WNetGetCachedPassword()

Das Passwort verbleibt im Cache. Sie können in VC++ oder VB eine Routine schreiben, die sich das Passwort eines anderen Benutzers holt. Die einzige Einschränkung ist, dass der andere Benutzer eingeloggt sein muss, wenn das Programm ausgeführt wird (so dass sein Passwort abgefangen werden kann). Das Passwort kann dann in einen anderen Speicherbereich ausgelagert werden. Wenn Sie soweit gekommen sind, können Sie das Passwort- Sicherheitsschema umgehen, indem Sie die so gecachte Version des Passworts benutzen. (Diese Technik wird Cache Flushing genannt. Sie beruht auf demselben Prinzip wie die Verwendung eines Debuggers zur Aufdeckung von Authentifizierungsschemata in Client-Software.)

Sie können auch erzwingen, dass das gecachte Passwort in der Auslagerungsdatei gespeichert wird. Das ist jedoch eine mühsame und aufwendige Methode; es gibt andere, leichtere Wege.

Tipp:

Auf jeden Fall ist das PWL- System von Natur aus mangelhaft und bietet sehr wenig Schutz gegen Eindringlinge. Wenn Sie Windows 95 verwenden, müssen Sie Zugriffskontroll-Software von Drittanbietern installieren. Im folgenden sind einige solche Produkte und deren Hersteller aufgeführt.

Zugriffskontroll-Software für Windows 95

Cetus StormWindows

Cetus Software, Inc.
P.O. Box 700
Carver, MA 02330
Cetus StormWindows für Windows 95 ermöglicht Ihnen, fast alles in Ihrer Windows-95- Umgebung wirkungsvoll zu verbergen und zu schützen, wie z.B.:

• Verknüpfungen und Ordner 
• Laufwerke und Verzeichnisse 
• Netzwerkgeräte und -drucker

Insgesamt bietet Cetus StormWindows für Windows 95 eine sehr umfassende Zugriffskontrolle. (Dieses Produkt verhindert auch die meisten alternativen Boot-Versuche, wie Warmstarts, (Strg)+(Alt)+(Entf) und Funktionstasten.)

Clasp 97

Ryan Bernardini
4 Grand Banks Circle
Marlton, NJ 08053
Clasp 97 bietet guten Passwortschutz, deaktiviert den Zugriff auf Windows 95 und verhindert Warmstarts und (Strg)+(Alt)+(Entf)- Tastenkombinationen.

ConfigSafe 95 von Tech Assist, Incorporated

Tech Assist, Inc.
11350 66th Street Suite 105
Largo, FL 33773-5524
Tel. 001-800-274-3785
ConfigSafe 95 schützt Registry- und DLL- Dateien davor, überschrieben oder gefälscht zu werden. Das ist wichtig, weil die Registry in bestimmten Fällen die Passwörter in Klartext enthält.

DECROS Security Card von DECROS, Ltd.

DECROS, Ltd.
J. S. Baara 40
370 01 Ceske Budejovice, Tschechien
Tel. 0042-38-731 2808
DECROS Security Card bietet eine physikalische C2-Level-Zugriffskontrolle für Windows 95 mit Hilfe eines Keykarten- Systems. Ohne eine solche Karte kann niemand auf das System zugreifen.

Desktop Surveillance 97

Omniquad
Desktop Surveillance 97 ist ein vollständiges Utility für die Zugriffskontrolle unter Windows 95. (Dieses Produkt bietet sehr gute Protokollierungs- und Audit- Möglichkeiten.)

FutureLock von Nerds Unlimited

Nerds Unlimited
5 Rowes Mews - St Peters Basin - Quayside
Newcastle Upon Tyne - England - NE6 1TX
Tel. 0044-191-2765056
FutureLock bietet eine Zugriffskontrolle für Windows 95 und unterstützt bis zu 999 Benutzer pro Rechner.

Secure4U

Advanced Computer Research
Secure4U verfügt über wirksame Filter- und Zugriffskontrollmöglichkeiten. Es zielt speziell darauf ab, Java- und andere Plug-Ins und Sprachen mit eingebettetem Text daran zu hindern, in Ihr Netzwerk einzudringen.

StopLock 95 von PCSL

PCSL
Park Creek Place 3625 N. Hall Street Suite 740
Dallas, TX 75219
Tel. 001-214-520-2229
StopLock bietet eine Zugriffskontrolle für Windows 95. Das Paket enthält auch eine Boot- Kontrolle, Audit- Funktionen und Protokollierungstools.

Windows Task-Lock von Posum

Posum L.L.C.
P.O. Box 21015
Huntsville, AL 35824
Tel. 001-205-895-8361
Windows Task-Lock 4.1 bietet eine einfache, preiswerte und effektive Möglichkeit, bestimmte Anwendungen für Windows 95 mit einem Passwort zu schützen, unabhängig davon, wie sie ausgeführt werden. Es ist leicht zu konfigurieren und erfordert wenig oder gar keine Änderungen Ihrer aktuellen Systemkonfiguration. Optionale Sound-Ereignisse, Stealth- Modus und ein Passwort-Timeout sind ebenfalls verfügbar.

CyberWatch

CyberWatch ist ein Programm zur Erkennung von Gesichtern. Die Software erkennt nur die Gesichter, die in ihrer Gesichterdatenbank abgelegt sind. Der Computer sieht sich also wirklich Ihr Gesicht an, um zu bestimmen, ob Sie ein autorisierter Benutzer sind. Das Unternehmen behauptet, dass CyberWatch auf dem Einsatz neuronaler Netze basiert. Sehen Sie sich es mal an:

WP WinSafe

WinSafe ist ein sehr vielversprechendes Utility, das Ihnen die Kontrolle einzelner Laufwerke ermöglicht. Dadurch können Sie zum Beispiel Unbefugte daran hindern, auf Ihr CD-ROM- Laufwerk zuzugreifen. Besonders interessant ist, daß WinSafe auch Netzwerk-Laufwerke schützt. Sie können das Utility testen, indem Sie sich die Shareware-Version besorgen.

Tipp:

Sie finden WinSafe hier:

SafeGuard

Die SafeGuard-Reihe (darunter SafeGuard Easy, SafeGuard Pro und PC/DACS für DOS/ Windows) bietet Festplatten-Verschlüsselung, Schutz gegen Booten von Diskette, Passwortalterung und Authentifizierung und unterstützt pro Rechner bis zu 15 Benutzer. Safe Guard unterstützt mehrere wirksame Verschlüsselungsalgorithmen, darunter DES und IDEA. Besonders interessant ist, dass diese Produkte über ein Netzwerk installiert werden können (und damit der Aufwand von Einzelinstallationen entfällt).

Secure Shell

Secure Shell (SSH) ermöglicht eine sichere, verschlüsselte Kommunikation über das Internet. SSH ist ein ausgezeichneter Ersatz für Telnet oder rlogin. Es verwendet IDEA- und RSA- Verschlüsselung und ist daher extrem sicher. Es heißt, dass die Schlüssel jede Stunde verworfen und durch neue Schlüssel ersetzt werden. SSH schließt die Möglichkeit vollkommen aus, dass Dritte Ihre Kommunikation abfangen können (z.B. Passwörter, die ansonsten in Klartext übermittelt würden). SSH- Sitzungen können nicht übernommen oder gekidnappt werden und auch nicht ausspioniert werden. Der einzige Nachteil ist, dass auch Ihr Gegenüber SSH verwenden muss, damit es funktioniert. Sie denken vielleicht, dass eine so verschlüsselte Kommunikation schrecklich langsam sein muss, aber dem ist nicht so. Unter folgender Adresse finden Sie eine der Haupt-Distributionsseiten für SSH:

Formlogic Surveillance Agent

Der Surveillance Agent ist ein einfaches, aber mächtiges Werkzeug zur Überwachung von Systemprozessen. Es kann auf zwei Arten verwendet werden: Entweder wird Ihre Überwachung offenkundig vorgenommen oder sie erfolgt, ohne eine Spur zu hinterlassen. Das Programm wird normalerweise beim Hochfahren in den Speicher geladen und startet beim Einloggen. Alternativ dazu können Sie auch einen Auslöser bestimmen, so dass ein bestimmtes Ereignis den Überwachungsprozess anstößt. Wenn z.B. jemand versuchen sollte, auf Ihren persönlichen Kalender zuzugreifen, könnte dies eine Überwachung auslösen. Die Autoren dieser Software haben an alles gedacht. So können Sie z.B. den Überwachungsprozess auch als irgendeinen anderen Prozess tarnen (falls an Ihrem Arbeitsplatz ein paar schlaue Cracker herumlaufen). Dieses sehr vollständige Tool ist dafür maßgeschneidert, jemanden auf frischer Tat zu ertappen, und es ist wahrscheinlich gut dazu geeignet, Computer-Kriminalität am Arbeitsplatz auf die Spur zu kommen.

Fortres 101

Dieses Programm ist ein ausgezeichnetes Tool. Wie auf der Fortres- Homepage beschrieben, kann das Produkt Benutzer daran hindern:

...Boot-Vorgänge zu unterbrechen; Windows zu verlassen; an ein DOS-Prompt zu kommen; Icons hinzuzufügen, zu verschieben oder zu löschen; die Erscheinung von Windows zu verändern; Software zu installieren, zu kopieren oder herunterzuladen; vom Administrator nicht abgesegnete Programme laufen zu lassen; Low-Level- System-Tools laufen zu lassen; Druckerkonfigurationen zu ändern; Bildschirmschoner-Konfigurationen zu ändern; wichtige Systemdateien zu löschen; Dateien auf Festplatte zu speichern; oder sich Dateien auf der Festplatte auch nur anzusehen.

Das Utility läuft unter Windows 3.11 und Windows 95. Der Preis schreckt Gelegenheitsanwender wahrscheinlich ab, aber Systemadministratoren, die mehrere Windows-basierte Systeme verwalten müssen, sollten sich das Programm zulegen. Mehr Informationen finden Sie hier:

Auch wenn es unmöglich ist, unter Windows 98 die gleiche Qualität von Sicherheit herzustellen wie bei Unix- oder Linuxsystemen und Windows NT, gibt es doch einige Mittel und Regeln, die man einsetzen und beachten sollte um den Zeit- und Kostenaufwand des Angreifern zumindest maximal zu erhöhen.

Betriebssystem

Installation

• bei der Installation von Windows sollte man einen anderen Verzeichnisnamen als "c:\windows" wählen
• Plazieren Sie Ihren PC so, dass keine Einsicht auf den Monitor von Fenstern oder von anwesenden Personen möglich ist
• Verwenden Sie ggf. zusätzliche Zugangschutzsysteme wie Chipkarten und Floppylaufwerkschlösser.
  Anmerkung: "Fingerprint" Sensoren, die an den PC angeschlossen werden oder in der Tastatur integriert, sind unsicheres Spielzeug.
  Auf dem letzten Hackercamp 1999 des Chaos Computer Club wurden alle auf dem Camp verfügbaren Fingerprintsensoren durch Wachsabdrucke und Folien getäuscht.
  Der CCC geht davon aus, dass alle erhältlichen Sensoren durch entsprechende Methoden zu täuschen sind.
  Auch biometrische Gesichtserkennungsprogramme (Identifikationsüberprüfung über das Scannen der Gesichtsgeometrie) sind noch sehr fehleranfällig und garantieren in keinster Wiese einen 100% Zugangsschutz.
• Schalten Sie die Auto-Start Funktionen für Ihr CD-ROM und/oder CD-Brenner unter Systemsteuerung/System/Geräte-Manager/CD-ROM "Automatsiche Benachrichtigung beim Wechsel" aus und folgen Sie den Anweisungen für Tweak UI, denn auch über eine CD können Programme automatisch gestartet werden.

Deinstallationen

• Deinstallieren Sie den Personal Web Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen: Start=>Einstellungen=>Software=>Windows Setup=>Internet Programme=>Personal Web Server
• Deinstallieren Sie den DFÜ-Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen:
  Start=>Einstellungen=>Software=>Windows Setup=>Verbindungen=>DFÜ-Server
• Deinstallieren Sie den Windows Scripting Host, der für die Ausführung von Visual Basic Scripts verantwortlich ist (und für VBS basierte Viren), solange sie nicht auf einem netzunabhängigen PC VBS für Automatisierungsaufgaben nutzen wollen:
  Start=>Einstellungen=>Software=>Windows Setup=>Zubehör=>Windows Scripting Host

Startverhalten

• im BIOS die Startreihenfolge so abändern, dass nur von C gebootet wird, die Einstellung "Wechseldatenträger,C" ist zu vermeiden
• sichern sie das BIOS mit einem Passwort (was nicht verhindert, dass man es nicht doch auslesen oder deaktivieren könnte)
• wenn der BIOS Baustein zum Updaten und Auslesen per Jumper mit einem Schreibschutz versehen werden kann, aktivieren Sie ihn
• Windows sollte direkt mit der Oberfläche (Desktop) starten, ohne einer verzögerten Anzeige des Auswahlmenüs oder der Funktionstasten.
  Am einfachsten erreicht man das mittels des Tweak UI Tools

  Tweak UI Sicherheits-Optionen

  • IE 4
    Clear document, run, typed-URL history on exit
     
  • Boot
    Function keys available abschalten
    Start GUI automatically einschalten
     
  • Paranoia
    Clear Internet Explorer history at logon
    Play Data-CD's automatically abschalten

   

• Benutzen Sie einen Bildschirmschoner mit Passwortfunktion
• Installieren Sie ein Programm, das sofort nach dem Start der Oberfläche eine Passworteingabe verlangt, bevor der Desktop frei gegeben wird, bzw. ein Programm wie Steganos oder das Freewaretool DesktopShield, das eine automatische Passwortfunktion beinhaltet.
  Zusätzlich wird in der Systemsteuerung/Kennwörter die Option Für alle Benutzer dieses Computers gelten dieselben Vorgaben und Desktopeinstellungen eingeschaltet.

Mit diesen Einstellungen muß der Rechner geöffnet und entweder der BIOS Baustein oder die Festplatte ausgebaut oder das CMOS RAM durch Junperumsetzung geleert werden, um ohne Passwort an Daten zu gelangen.
Letztendlich erreicht man unter Windows 95/98 einen wirksamen Schutz sensibler Daten aber nur durch kryptografisch verschlüsselte Daten oder Partitionen, da Windows 95/98 mit keinem kryptografischen Dateisystem ausgestattet ist.
Programme wie Blowfish Advanced, ScramDisk oder E4M bieten diese Möglichkeiten.

Ein Wort zu den vielen Pseudosicherheitstools, die eine Passwortabfrage vor den Startvorgang schalten: Ich habe noch kein Tool auf dem Shareware- und Freewaremarkt gefunden, dass sich nicht umgehen liesse.
Eine Ausnahme stellt Safe Guard dar, das einen wirksamen Zugangsschutz für Windows 98 und NT Systeme bieten soll.

Browser

Die hier angesprochenen Hinweise wenden sich an Einzelplatzbenutzer und nicht an Benutzer, die sich innerhalb eines Netzwerkes befinden.
Dort wird der Systemadministrator geeignete Sicherheitsmassnahmen getroffen haben.
Die hierbei verwendeten Browser sind der Internetexplorer 5.0, Opera 3.62 (englisch) und der Netscape Communicator 4.7 (englisch)

InternetExplorer

Wichtige Optionen

Mail-Reader

Outlook Express

• im Menü Ansichten\Layout im Abschnitt Vorschau die Option "Vorschau anzeigen" komplett deaktivieren
• Bevor Sie Nachrichten öffnen, sollten Sie den Offline-Modus aktivieren (der Symbolleiste kann ein entsprechnder Button hinzugefügt werden).
• mit den obigen Einstellungen kann man suspekte Nachrichten vor dem Öffnen inspizieren, indem man die Nachricht markiert und über das Kontextmenü die Option Eigenschaften aufruft. Unter Details wird dann der gesammte Header sichtbar und über den Button Quelltext können der Inhalt und Attachments angesehen werden, ohne das es zu einer Ausführung damit verknüpfter Programme kommt.

Menü Extras\Optionen

Outlook 2000

• Benutzen Sie für Posteingang und Gelöschte Objekte Ordner nicht die Ansichtsoptionen "Vorschaufenster", sondern nur die Funktion "Autovorschau" im Menü Ansichten.
  Bevor Sie Nachrichten öffnen, sollten Sie den Offline-Modus aktivieren (der Symbolleiste kann ein entsprechnder Button hinzugefügt werden).
  Mit diesen Einstellungen kann über die Markierung der Nachricht und Aufruf der Optionen im Kontextmenü der gesamte Header angezeigt werden, der Inhalt kann vor dem Öffnen über die Seitenansicht eingesehen werden (der Symbolleiste kann ein entsprechnder Button hinzugefügt werden)
• Installieren Sie für Outlook 2000 das 128-Bit Update
• Installieren Sie das Outlook 2000 Sicherheitsupdate SR-1. Voruassetzung ist die Installation des Office 2000 Updates SR-1a. Beide sind unter Microsoft Office update erhältlich.

Menü Extras\Optionen

Allgemeines

• Schalten Sie generell Funktionen Ihres Mail-Readers ab, die dazu dienen, HTML formatierte E-Mails zu erzeugen. In HTML E-Mails können eingebettete Scriptviren enthalten sein, HTML E-Mails führen zu größeren E-Maildateigrössen und werden als Belästigung augefaßt.
  
  Für Outlook Express:
  unter Extras/Optionen/Senden im Abschnitt Nachrichten Senden-Format "Nur-Text" aktivieren!
  
  Für Outlook 2000:
  unter Extras/Optionen/E-Mail-Format im Abschnitt Nachrichtenformat in der Liste "Nur-Text" aktivieren!
• wenn das E-Mailprogramm eine Verschlüsselungsfunktion für das Passwort anbietet und von Ihrem Provider das Verschlüsselungsprotokoll unterstützt wird (was die meisten Provider leider nicht tun), aktivieren Sie die Option.
  Die bekanntesten Methoden sind APOP (Authenticated POP) und SPA (Secure Password Authentication).
  Daneben gibt es noch SSL oder SSH getunnelte Zugänge, die jedoch noch seltener sein werden.
• Verschlüsseln Sie Ihre private E-Mailkorrespondenz mit dem Programm PGP (Pretty Good Privacy) oder mittels X.509 Zertifikaten nach dem S/MIME Standard, die von den Trustcentern TC TrustCenter und Web.De TrustCenter für E-mailprogramme, die nach dem S/MIME Standard verschlüsseln, erhältlich sind.
  Bei S/MIME ist nur zu beachten, dass es zwei verschiedene Versionen gibt:
  Die "sichere" Version arbeitet mit 1024-bit RSA und 128-bit RC-2 Keys, findet sich aber nur in U.S.-Versionen.
  Die "unsichere" Version arbeitet nur mit 512-bit RSA und 40-bit RC-2 oder 64-bit DES Keys und findet sich in allen Export-Versionen der E-Mailprogramme, die in Europa eingesetzt werden, darunter auch im Microsoft Outlook (Express) oder Lotus Notes Mailclient.
  Wenn Sie also S/MIME einsetzen wollen, besorgen Sie sich eine U.S. Version Ihres E-Mail Programmes, installieren ein sicheres, europäisches S/MIME Plug-In von CryptoEx, MailSecure und TrustedMIME oder setzen Sie statt S/MIME besser PGP ein.
  Setzen Sie keine E-mailprogramme ein, benutzen Sie einen webbasierten E-Maildienst mit Verschlüsselung wie HushMail
• Öffnen Sie keine E-Mail im HTML-Format, da in der HTML-Datei gefährliche Skriptaufrufe enthalten sein können. Aktivieren Sie speziell keine eingebetteten Links, die auf Grafiken verweisen, da hierüber eine Technik angewendet werden kann, über die zuvor beim Anwender gespeicherte Cookies an einen Server zurückübertragen und die E-Mailadresse den bereits gespeicherten Cookieinformationen auf dem Server hinzugefügt werden können.
• Vermeiden Sie die Versendung von virtuellen Visitenkarten (vCards) und automatischen Lesebestätigungen.
  Nicht nur, weil Sie dadurch eine Menge persönlicher Details preisgeben (z. B. kann es für bestimmte Personen durchaus interessant sein zu erfahren, dass Sie eine E-Mail nicht lesen können, weil sie von-bis im Urlaub sind.), sondern weil es in öffentlichen Bereichen als Belästigung aufgefasst wird - in geschlossenen oder geschäftlichen Benutzerkreisen mögen diese Funktionen angebracht sein.
  
  Für Outlook Express:
  unter Extras/Optionen/Erstellen => Visitenkarten
  unter Extras/Optionen/Bestätigungen => Keine Lesebestätigungen versenden
  
  Für Outlook 2000:
  unter Extras/Optionen/Einstellungen/E-Mail-Optionen/Verlaufoptionen (toll!) => Nie eine Antwort senden.
  Visitenkarten werden in Outlook 2000 nur an ausgewählte Empfänger versendet.
• Verwenden Sie Outlookprogramme zur Termin-, Aufgaben- und Projektplanung und benutzen Sie für E-Mail und News andere Programme

Internetzugang

Netzwerkeinrichtung in der Systemsteuerung

• maximal in der Netzwerkeinstellung den DFÜ-Adapter und das TCP/IP-Protokoll einrichten, alle weiteren Komponenten sollten entfernt werden
• den DFÜ-Adapter nur an das TCP/IP-Protokoll binden
• ist in den Eigenschaften/Erweitert die Option "Protokoll-Datei erstellen" aktiviert, sollte man sich darüber im klaren sein, dass in der Datei c:\windows\ppplog.txt das Einwahlpasswort im Klartext abgelegt wird
• in den Eigenschaften des TCP/IP-Protokolls die Option "NetBIOS über TCP/IP" deaktivieren
• Deaktivieren Sie die Datei- und Druckerfreigabe, sollte die Funktion aktiviert sein.

Konfiguration der Verbindung im DFÜ-Netzwerk

• Installieren Sie das Microsoft Windows 98 Dial-Up Networking Security Upgrade, das die Verschlüsselungsmöglichkeiten beim Verbindungsaufbau erweitert.
• Öffnen Sie das DFÜ-Netzwerk und rufen Sie die Eigenschaften Ihrer Verbindung auf
• unter Servertypen aktivieren Sie "Require encrypted password" und wenn möglich "Require data encryption"
• verzichten Sie auf die Bequemlichkeit, Ihr Einwahlpasswort im Verbindungsdialog dauerhaft zu speichern, sondern geben Sie es bei jeder Verbindung neu ein

Datenverkehr

• Browsen Sie nur über ein eigenes Proxyprogramm wie Junkbuster, Muffin oder ByProxy.
  Alternativ kann man auch webbasierte Anonymservices wie Anonymizer (ohne SSL) oder Rewebber (mit SSL/Javascript) benutzen, was eventuell mit Geschwindigkeitseinbussen verbunden ist.
  Meine Junkbuster-Anleitung mit deutschen Konfigurationsdateien führt Sie in die Verwendung von Junkbuster ein
• Löschen Sie in regelmässigen Abständen oder automatisch mit Hilfe eines Tools den Cache Ihres Browsers, da über Webseiten mit ActiveX und/oder Java(script) der Inhalt der Caches ausgelesen werden kann.
  Leerung des Browsercaches:
  - Internet Explorer: Menü Extras/Internetexplorer/Allgemein/Temporäre Internetdateien/Dateien löschen (manuell)
  Menü Extras/Internetexplorer/Erweitert/Sicherheit/Leeren des Ordners "Temporary Internet Files" beim Schliessen des Browsers (automatisch)
  - Netscape: Menü Edit/Preferences/Advanced/Cache/Clear Disk Cache
• der gesamte Datenverkehr sollte über einen Hardware oder Softwarefirewall wie z. B. @Guard laufen.
  Weitere Programme dieser Art sind Wingate, ByProxy, HotLava, NetProxy, Spagetti Proxy usw.
  In dem Firewall werden dann die Dienste und Protokolle, die Browser, E-mail, News und FTP Clients benötigen, zugelassen, alle anderen werden gesperrt.
  Zusätzlich bietet sich die Installation von Intrusion Detection Programmen wie z. B. BlackICE Defender an, also Programmen, die auf die Entdeckung von Einbruchsversuchen im Anfangsstadium spezialisiert sind (z. B. kündigen sich manche Hackversuche durch intensives Testen der Ports - Port Probing & Port Scanning - an) und versuchen, die Herkunft eines Einbruchsversuches zurückzuverfolgen.
  Auch für diese Programme gilt: Regelmässige Updates sind Pflicht.
• eine Installation von Remote Control Programmen wie Netbus, Back Orifice oder Sub7 ist nicht ratsam, bzw. sollte versierten Anwendern vorbehalten sein.
  Ergänzend dazu sollten regelmässige Checks mit Virenscannern durchgeführt werden, die geeignet sind, Servereinträge dieser Remote Control Programme zu entdecken
• zur Kontrolle kann man das in Windows integrierte Protokollprogramm Netstatus mit "netstat -an 30" aufrufen
• bei Formularen im WWW geben Sie möglichst nicht Ihren Realnamen plus vollständiger Adresse an, benutzen Sie "gefälschte Angaben".
  Bei Formularen, die persönliche Angaben oder sensitive Daten (wie Konto- oder Kreditkartennummern) voraussetzen oder benötigen, muss eine SSL 128-bit Verschlüsselung vom Webserver angeboten werden.
  Das ist z. B. zutreffend bei Warenkauf- oder Onlinebankingtransaktionen (bei denen eigentlich zusätzlich HBCI nach dem Home Banking Computer Interface Standard zum Einsatz kommen sollte - fordern Sie Ihre Online Bank auf, HBCI einzuführen)
• Verwenden Sie im Usenet, Chat oder WWW-Foren nicht Ihren richtigen Realnamen, sondern ein Pseudonym mit Vor- und Nachnamen, dass aber permanent gleichlautend bleibt, damit andere Usenetteilnehmer Ihre Postings trotzdem eindeutig identifizieren können. Fügen Sie auch keine sonstigen, persönlichen Identifikationsmerkmale wie Telefon-Nr. oder Adresse in Ihre Beiträge oder Signaturen ein.
  Hinweis: Der Gebrauch von Pseudonymen verstösst gegen die Netiquette, nach der Realnamen im Usenet verwendet werden sollen.
• schalten Sie in Ihrem Newsreaderprogramm die "X-No-Archive" Option ein, die verhindert, dass bei einigen Suchmaschinen und Newsgroupinhaltesammlern Ihre Postings nicht archiviert werden, sofern Sie nicht wünschen, dass Ihre Postings einfach und breit gestreut über Archivierungsdienste wieder abgerufen werden können.
• Verwenden Sie bei Postings, deren Inhalt Sie kompromittieren könnte, ein Remailerprogramm wie QuickSilver, Jack B. Nymble oder Private Idaho
• Überprüfen Sie Ihre Konfiguration, Firewall- und Filterprogramme auf Sicherheitslöcher und offene Ports über Checkservices, die im WWW angeboten werden, z. B. bei HackerWacker, dem Nessus Security Scanner

Lokale Daten

• Verwenden Sie ein Dateilöschprogramm wie Kremlin, dass bei Beendigung Ihrer Windows-Sitzung die Inhalte der Auslagerungsdatei, ausgewählter Verzeichnisse und des freien Datenträgerplatzes löscht und überschreibt.
• Benutzen Sie zum sicheren Löschen von Dateien besondere Löschprogramme wie Eraser, die Dateien löschen und mehrmals überschreiben und überprüfen Sie bei erstmaligem Einsatz obiger Programme das Ergebnis mit einem Programm wie Directory Snoop.
• Verlassen Sie sich nicht auf die windowseigene Löschfunktion, da diese nur den Verzeichniseintrag der Datei löscht, nicht aber die Datei selbst und so schnell wieder hergestellt werden kann.
• Jedes Programm und jedes E-Mail Attachement aus dem Internet, einer Diskette oder einer CD ist einer genauen Überprüfung durch mindestens zwei Virenscanner zu unterziehen. In Daten unbekannter Herkunft können sich sowohl zerstörerische Skriptaufrufe, Virenprogramme als auch Trojaner (also Programme die verdeckt arbeiten) befinden.
  Suchen Sie VIRUS-ALARM auf.
• Installieren Sie alle Programme selbst, nach Fremdeinwirkung durch Drittpersonen sollten Sie den Rechner mit Virenscannern überprüfen.
• Speichern Sie sensible Daten in verschlüsselter Form auf Festplatten und Wechseldatenträgern.
  Das können Programme sein, welche die einzelne Dateien und ganze Verzeichnisse verschlüsseln oder verschlüsselte Partitionen und Containerdateien erzeugen.
• Passwörter, PINs, TANS u.a sollten nie in Klartext aufgeschrieben oder auf Datenträgern abgelegt werden.
  Benutzen Sie hierfür Datensafeprogramme wie Password Safe, so dass Sie sich für viele Passwörter nur ein Passwort merken müssen
• Cachingfunktionen (d. h. das Zwischenspeichern um eine erneute Eingabe zu verhindern) in Programmen, die Passwörter verwenden, sollten abgeschaltet werden, da ggf. die Passwörter in Klartext auf den Datenträger ausgelagert und damit ausgelesen werden können.
• Verwenden Sie Passwörter mit einer Mindestlänge von 20 Zeichen, deren Abfolge willkürlich aus alphanumerischen- und Sonder-Zeichen besteht wie z. B. "Haj//_90Zau$_o"

Sicherheitslücken in Microsoft?!

In dem nun folgenden Abschnitt möchte ich Schwachstellen einiger häufig verwendeter Microsoft-Anwendungen aufführen. Der Microsoft Internet Explorer (Microsofts Webbrowser) und Microsoft Exchange (ein Paket zur Mail-Verwaltung) sind zwei wichtige Netzwerkanwendungen. Deshalb möchte ich mit ihnen beginnen.

Der Internet Explorer

Es gibt mehrere ernstzunehmende Schwachstellen im Internet Explorer. Solche, die als kritisch oder ernst eingestuft sind, können zu einer Gefährdung des Systems führen und dürften deshalb für Systemadministratoren besonders interessant sein.

Schwachstelle Passwort- Authentifizierung

Microsoft Internet Explorer, Version 3.x unter Windows NT 4.0

Auswirkungen: Der MSIE offenbart Ihren Benutzernamen, Passwort, Domain etc.

Einstufung: kritisch

Abhilfe: Der ursprüngliche Patch verursachte zusätzliche, in anderem Zusammenhang stehende Probleme und wurde wieder entfernt; regelmäßig unter http://support.microsoft.com/nachschauen.

Beschreibung: Der MSIE sendet Ihr Passwort, Ihren Benutzernamen, Domainnamen und Ihre Arbeitsgruppe an jeden entfernten Server, der diese anfordert. Diese Werte werden in Klartext gesendet - dies ist eine kritische Sicherheitslücke. Böswillige Webmaster können sich auf diese Weise wichtige Informationen verschaffen.

Schwachstelle Icons

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Entfernter Code kann auf Ihrem Rechner ausgeführt werden.

Einstufung: äußerst ernst

Abhilfe: http://www.microsoft.com/ie/ oder Upgrade

Beschreibung: In Windows NT 4.0 können Bösewichte ein Icon auf Ihrem Desktop plazieren, das, wenn Sie es anklicken, Code von einem beliebigen entfernten Rechner aufrufen und ausführen kann.

Schwachstelle ISP- Scripts

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Unautorisierter Code kann auf Ihrem Rechner ausgeführt werden.

Einstufung: äußerst ernst

Abhilfe: Upgrade

Beschreibung: ISP- Scriptdateien werden vom MSIE automatisch heruntergeladen. Böswillige Webmaster können dies ausnutzen, um ein beliebiges Programm auf Ihrem Rechner laufen zu lassen. So könnten sie sogar Ihre gesamte Festplatte löschen, wenn die Berechtigungen dies erlauben.

Schwachstelle LNK (CyberSnot)

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Entfernte Rechner können unautorisierten Code auf Ihrem Rechner ausführen.

Einstufung: ernst

Abhilfe: Upgrade

Beschreibung: Webmaster mit bösen Absichten können MSIE veranlassen, mit einer LNK- Erweiterung verbundene Befehle zur Bearbeitung an den lokalen Rechner zu senden. Das bedeutet, dass eine LNK-Anweisung, die als URL ausgedrückt ist, auf dem lokalen Rechner ausgeführt wird. Fies.

Schwachstelle HTML

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Böswillige Webmaster können Batch-Dateien auf Ihrem Rechner ausführen.

Einstufung: ernst

Abhilfe: Upgrade

Beschreibung: HTML-Code kann so geschrieben werden, dass er, wenn er heruntergeladen wird, beliebige Batch-Dateien auf Ihrem Rechner ausführen kann. Das scheint zwar nicht so schlimm zu sein (da nur Dateien ausgeführt werden können, die bereits auf Ihrer Platte sind), aber böswillige lokale Nutzer könnten dies ausnutzen, um Ihre Festplatte zu zerstören. Dazu plazieren sie dort eine Batch-Datei, zu deren Ausführung sie berechtigt sind oder auch nicht. Sie laden sich die gewünschte Seite herunter, und die Batch-Datei wird mit Ihren Berechtigungen ausgeführt.

Schwachstelle Java Virtual Machine

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Böswillige Webmaster können Verbindungsanforderungen umleiten.

Einstufung: ernst

Abhilfe: Java deaktivieren oder Upgrade

Beschreibung: MSIEs Java-Implementierung ist fehlerhaft und ermöglicht es entfernten Rechnern, Ihren Rechner zu veranlassen, Verbindungsanforderungen an andere Rechner zu senden.

Schwachstelle Jscript IFRAME

Microsoft Internet Explorer, Version 4.0

Auswirkungen: Böswillige Webmaster können Dateien auf Ihrem Rechner lesen.

Einstufung: mittel bis ernst

Beschreibung: Mit Hilfe von Jscript und dem IFRAME- Objekt kann ein böswilliger Webmaster an HTML-, Text- und vielleicht auch andere Dateien auf Ihrem Rechner gelangen. Diese werden für das Opfer unsichtbar in einen Frame- Bereich geladen. Dann kann der Webmaster Ihre lokalen Dateien per DHTML-Routine lesen.

Schwachstelle MSIE-4.0-Puffer-Überlauf

Microsoft Internet Explorer, Version 4.0

Auswirkungen: Der Rechner blockiert, und beliebiger Code kann ausgeführt werden.

Einstufung: mittel bis ernst

Beschreibung: Dieser Puffer-Überlauf ist eine ernste Sache. Es besteht die Möglichkeit, beliebigen Code in nicht dafür vorgesehenen Speicherbereichen laufen zu lassen. Allerdings sind noch keine Fälle bekannt, wo dies passiert ist. Microsoft hat einen Patch herausgegeben, der unter der oben genannten URL erhältlich ist. Widersinnigerweise kann dieser Angriff durch eine URL ausgelöst werden.

Ich sollte vielleicht darauf hinweisen, dass der MSIE 4.0 eine recht neue Anwendung ist. Ich würde Ihnen empfehlen, Version 3.0x mit allen Patches zu versehen und neue Informationen zu Version 4.0 abzuwarten. (Ich habe 4.0 wieder von meinem Microsoft-Rechner entfernt.)

Microsoft FrontPage

Microsoft FrontPage und die FrontPage- Erweiterungen beinhalten schwerwiegende Sicherheitsprobleme. Wenn Sie einen FrontPage-Web- Server betreiben (oder einen Server, der die FrontPage- Erweiterungen verwendet), sollten Sie sich folgender Schwachpunkte bewusst sein:

Schwachstelle VTI_BIN und VTI_PVT

FrontPage Version 1.0

Auswirkungen: Entfernte Benutzer können Passwort- oder andere sicherheitsrelevante Dateien lesen.

Einstufung: ernst bis kritisch

Abhilfe: bislang keine

Weitere Informationen: bei bugtraq@netspace.org

Beigetragen von: Perry Harrington

Beschreibung: 1. Entfernte Benutzer können eine FTP-Verbindung herstellen, ein /VTI_BIN- Verzeichnis einrichten, ausführbare Dateien dort speichern und diese dann ausführen. 2. Entfernte Benutzer können auf Passwort- und Administrationsdateien im /VTI_PVT- Verzeichnis zugreifen, indem sie einfach nur ihren Ort angeben. Ich empfehle Ihnen, sich an Microsoft zu wenden. In der Zwischenzeit sollten Sie die Möglichkeit des anonymen FTP deaktivieren.

Dies ist ein extrem gefährliches Sicherheitsloch, und zwar aus folgendem Grund: Jeder, der eine ganz normale Suchmaschine benutzt, kann verletzbare Rechner identifizieren. Im Frühjahr 1998 löste dies eine wahre Welle von Angriffen aus. Das Problem betrifft Server, die eine von jedermann lesbare Verzeichnisstruktur haben. Cracker können solche Rechner herausfinden, indem sie nach vti_bin und vti_pvt suchen. Dadurch können leicht wichtige Informationen offengelegt werden. Im allgemeinen kann man Informationen wie diese herausziehen:

Options None
<Limit GET POST>
order deny,allow
deny from all
allow from all
require group authors administrators
</Limit>
<Limit PUT>
order deny,allow
deny from all
</Limit>
AuthType Basic
AuthName default_realm
AuthUserFile c:/frontpage\ webs/content/_vti_pvt/service.pwd
AuthGroupFile c:/frontpage\ webs/content/_vti_pvt/service.grp
 

Diese Informationen können zum Knacken des entfernten Rechners verwendet werden. Zumindest können Sie schnell herausfinden, welche Gruppen gültig sind. Außerdem können Sie feststellen, wo die Paßwortdateien gespeichert sind. (Meistens suchen Cracker nach authors.pwd, aber auch service.pwd ist eine vielversprechende Datei.)

# -FrontPage-
adf:FL5TMQXmUS2sc
 

Das nächste vielversprechende Opfer war Theta Marine Communications unter:

http://www.thetamarine.com/

Durch Eingabe von http://www.thetamarine.com/indexpage/_vti_pvt bekam ich diesen Text:

# -FrontPage-
john:hOjvzyUVvmzSo
JOHN:8e6n7t4NVa.mg
 

Wenn Sie diese Paßwörter erst einmal haben, ist der Rest nur noch eine Frage der Zeit. Noch einmal: Dies ist ein kritisches Sicherheitsloch. Sie sollten wenigstens die Dateiberechtigungen korrekt setzen, so daß niemand Ihre PWD-Dateien herunterladen kann.

FrontPage-Erweiterungen

FrontPage Version: Frontpage 97

Auswirkungen: Entfernte Benutzer können privilegierten Zugriff erhalten.

Einstufung: mittel bis ernst

Abhilfe: Upgrade auf das Update für die FrontPage-98-Erweiterungen

Weitere Informationen: http://www.microsoft.com/frontpage/wpp/1330update.htm

Beigetragen von: Bob LaGarde

Beschreibung: Entfernte Benutzer können shtml.dll verwenden, um asp.dll zu überschreiben und somit den Server zu zwingen, ASP-Quellcode anzuzeigen. Die einzige Lösung ist bislang ein Upgrade auf das Update für FrontPage-98-Erweiterungen.

Schwachstelle WebBots

FrontPage Version 1.1 und Frontpage 97 mit WebBot- Komponenten

Auswirkungen: Entfernte Benutzer können Webseiten Informationen hinzufügen.

Einstufung: mittel

Beschreibung: Entfernte Benutzer können Informationen an Webseiten anhängen, indem sie die WebBot- Komponenten Ergebnisse speichern oder Diskussion verwenden. Das ist zwar keine kritische Sicherheitslücke, aber es wäre doch ziemlich peinlich, wenn Sie eines Tages zur Arbeit kämen und Ihre Webseiten wären neu geschrieben worden. Installieren Sie besser eine neuere Version von FrontPage.

Microsoft Exchange

Microsoft Exchange 5.0 hat vier wichtige Schwachstellen.

Schwachstelle SMTP

Microsoft Exchange Version 5.0

Auswirkungen: Der Server wird beim Bearbeiten endloser Zeichenketten abstürzen.

Einstufung: mittel - Denial-of-Service

Abhilfe: Service-Pack 1 für Microsoft Exchange installieren

Beigetragen von: Sean Boulter

Beschreibung: SMTP-Nachrichten mit einer ungewöhnlich langen Zeichenkette in der Betreffzeile führen zu einer Überlastung des Information Store. (Das passiert auch bei beschädigten Headern.)

Schwachstelle Web Connector

Microsoft Exchange Version 5.0

Auswirkungen: Benutzer können auf jedes beliebige Postfach zugreifen.

Einstufung: mittel bis ernst

Abhilfe: noch keine verfügbar

Beschreibung: Per Voreinstellung erben alle Postfächer den Exchange Service Account (SA) auf dem Exchange Server. Dieser Bug ist schwer reproduzierbar und erfordert privilegierten Zugang. Dennoch sollte Microsoft ihn beheben.

Schwachstelle Passwort- Cache

Microsoft Exchange Version 5.0

Auswirkungen: Paßwörter verbleiben im Cache.

Einstufung: mittel bis ernst

Abhilfe: Speicherung von Passwörtern im Cache deaktivieren

Beschreibung: Exchange-Passwörter verbleiben n Minuten im Cache, wie in dem Wert für das Cache-Aufbewahrungslimit in der Registry definiert. Um das Caching von Passwörtern zu vermeiden, empfehlen einige Leute, die Cache-Größe auf 0 zu setzen.

Schwachstelle Puffer-Überlauf

Microsoft Exchange Version 5.0

Auswirkungen: Der Überlauf kann ermöglichen, dass fremder Code ausgeführt wird.

Einstufung: mittel bis ernst

Abhilfe: Service-Pack 1 für Exchange

Beschreibung: Die Leute von http://www.rootshell.com/ haben einen Exploit gesendet, der den Exchange Server zum Absturz bringt. Man munkelt, dass beliebiger Code auf den Stack geschoben und ausgeführt werden kann.

Applikationen und Add- Ons von Drittanbietern!

Es gibt mehrere Anwendungen von Drittanbietern, die Ihr Windows-NT- System einem beträchtlichen Risiko aussetzen können. Im folgenden Abschnitt gehe ich kurz auf diese Probleme ein.

iCat Carbo

Windows-NT- Version: Alle Versionen, auf denen der iCat-Carbo- Server läuft.

Auswirkungen: Diese Sicherheitslücke macht all Ihre Dateien jedermann verfügbar.

Einstufung: ernst

Abhilfe: keine, von der ich wüsste

Beschreibung: Der iCat-Carbo- Server ist eine Einkaufskorb-Anwendung für Web-Shops. Momentan (während ich dies schreibe) können entfernte Benutzer eine URL senden, die jede beliebige Datei auf der Festplatte preisgibt. Wenden Sie sich für aktuelle Informationen an die Hersteller von Carbo.

CCMAIL 8

Windows-NT- Version: Alle Versionen, auf denen CCMAIL 8 läuft.

Auswirkungen: Das Passwort für Ihr Postfach kann herausgefunden werden.

Einstufung: mittel bis ernst

Abhilfe: Sperren Sie die Berechtigungen in %systemroot%\~ccmaint.bat.

Beschreibung: Die Batch-Datei ccmaint.bat hat falsche Berechtigungen, so dass jeder auf sie zugreifen kann. Das kann dazu führen, dass lokale Benutzer Ihr Postfach- Passwort herausfinden können. Überprüfen Sie die Dateiberechtigungen.

Netscape FastTrack

Windows-NT- Version: Alle Versionen, auf denen FastTrack 3.0x läuft.

Auswirkungen: Entfernte Benutzer können Zugriff auf admin- Verzeichnisse erlangen.

Einstufung: mittel bis ernst

Abhilfe: Deaktivieren Sie die Möglichkeit des Verzeichnis- Browsens.

Beigetragen von: Matthew Patton

Beschreibung: In Umgebungen, die .nsconfig-Dateien verwenden, können Zugriffskontrollen von entfernten Benutzern umgangen werden. Wenden Sie sich für Informationen über die neusten Entwicklungen an Netscape.

Eudora Mail Client

Eudora-Versionen: Eudora Light, Eudora Pro

Auswirkungen: Benutzer können Mail-Paßwörter knacken.

Einstufung: mittel

Abhilfe: Keine Lösung dokumentiert. Wenden Sie sich an Qualcomm.

Beschreibung: Eudoras Verschlüsselung des Mail- Passworts ist schlecht und kann mit Hilfe des EUDPASS.COM- Utilities attackiert werden. (Noch dazu ist das Passwort in der INI-Datei gespeichert, wodurch es leicht zugänglich ist.) Mir ist zur Zeit keine Lösung dieses Problems bekannt.

WS_FTP

WS_FTP-Version: Alle Versionen

Auswirkungen: Benutzer können WS_FTP- Passwörter knacken.

Einstufung: mittel

Abhilfe: Sperren der WS_FTP.INI

Beschreibung: Die Datei WS_FTP.INI enthält Passwörter, die leicht zu knacken sind. Wenn Sie lokalen Benutzern ermöglichen, an diese Datei zu gelangen oder sie zu lesen, sind Ihre Accounts auf anderen Systemen gefährdet. Ändern Sie entweder die Berechtigungen für das Verzeichnis, in dem die Datei enthalten ist, oder speichern Sie Passwörter nicht mehr auf Ihrer Festplatte.

DFÜ-Netzwerk

Windows-Version: Windows 95

Auswirkungen: Lokale Benutzer können Ihr Passwort für das DFÜ-Netzwerk stehlen.

Einstufung: mittel

Abhilfe: Speichern Sie Ihr Passwort nicht ab.

Beschreibung: Das Passwort für das DFÜ-Netzwerk von Windows 95 ist leicht zu stehlen. Es gibt ein Programm, mit dem jeder lokale Benutzer an das Passwort kommen kann. Der einzige Schutz besteht darin, dass Sie Ihr Passwort nicht mehr abspeichern, sondern bei jeder Verbindung manuell eingeben.

Andere Microsoft-Anwendungen

Es gibt viele andere Microsoft-Anwendungen, die Sicherheitslücken haben. Das gilt besonders für veraltete Versionen, da Microsoft nicht gewillt ist, diese zu verbessern. Wenn Sie überhaupt etwas Sicherheit möchten, müssen Sie nicht nur Windows NT kaufen, sondern auch viele Ihrer vorhandenen Anwendungen upgraden. Dieses Upgrade-Spielchen kann sehr kostspielig werden. Deshalb scheuen viele größere Firmen Microsoft-Produkte inzwischen oder schränken ihre Abhängigkeit von diesen auf ein Minimum ein.

Microsofts größte Herausforderung ist es, Benutzerfreundlichkeit mit Stabilität und Sicherheit unter einen Hut zu bringen. Die Stabilität ist ein wichtiges Thema (in Unternehmen wahrscheinlich das wichtigste). Ständige Upgrades sind für Behörden und Unternehmen aber nicht gut, da sie immer zu einem Anstieg des TCO führen.

Tipp:

Auf jeden Fall haben viele ältere Microsoft-Anwendungen ernste Sicherheitsprobleme, die nie behoben werden. Eine dieser Anwendungen ist Microsoft Access.

Microsoft Access

Microsoft Access ist eine beliebte Anwendung und Programmierumgebung zur Erzeugung und Verwaltung von Datenbanken. Das Access-Paket bietet Passwortschutz für einzelne Datenbanken. In den Versionen 1.0 und 2.0 ist dieses Passwortschema von Natur aus fehlerhaft und bietet Ihnen sehr wenig wirkliche Sicherheit.

Das Passwortschema von Access hat drei grundlegende Fehler. Erstens führt Access die Authentifizierung basierend auf einem internal security identifier (SID) durch. Dieser SID wird daraus hergeleitet, dass der Benutzername und der personal identifier (PID) einen Algorithmus durchlaufen (wobei diese Variablen als Schlüssel verwendet werden). Wenn ein Cracker nun einen neuen Account anlegt und dabei denselben Benutzernamen und PID benutzt, erhält er genau denselben SID. Dies ermöglicht es Crackern, die Sicherheitskontrollen zu umgehen.

Noch unsicherer sind in Microsoft Access 1.0 erzeugte Alt-Datenbanken. Die »einzigartige« SID, die beim Setup für die Administratoren erzeugt wurde, wird auf Diskette 1 des Diskettensatzes geschrieben. (Deshalb kann jeder mit Zugriff auf Diskette 1 alle Sicherheitskontrollen auf diesem bestimmten Rechner umgehen.) Außerdem kann jeder eine alternative Datei SYSTEM.MDA aufspielen und sich Zugang zu sonst für ihn gesperrten Dateien verschaffen. Schließlich, und vielleicht ist dies der wichtigste Fehler, können die SIDs aller Benutzer gelesen und manuell verändert werden, wodurch ein Cracker die Privilegien jedes Benutzers erhalten kann.

Dies sind alles sehr ernste Fehler, die wahrscheinlich nie mehr behoben werden. Wenn Ihre Daten in einer Access-Datenbank gespeichert sind, sollten Sie aufpassen. Die einzige wirkliche Lösung ist, entweder eine Zugangskontrolle auf Betriebssystemebene zu aktivieren oder eine Zugangskontroll-Software eines Drittanbieters zu installieren.

Noch mehr Anwendungen

Letztendlich kann jede herkömmliche Anwendung für Endanwender geknackt werden, die einen Passwortschutz für Dokumente anbietet. Tabelle 16.2 führt diese Anwendungen zusammen mit den Adressen der Tools auf, die sie knacken können. Sie sollten diese Passwort- Cracker selbst ausprobieren. Diese Erfahrungen werden Sie immer daran erinnern, dass nichts auf Ihrem Rechner am Arbeitsplatz, in der Schule oder zu Hause wirklich sicher ist.

Zusammenfassung zu DOS, Windows und Windows 95

DOS, Windows und Windows 95 sind ausgezeichnete Systeme, aber keines von ihnen ist sicher. Wenn Ihre Firma diese Betriebssysteme schon nutzt, sollten die Rechner auf jeden Fall hinter einer Firewall verborgen werden. Das gilt besonders für Windows 95, da dies noch nicht gründlich genug erforscht ist und eventuell Sicherheitslücken aufweist, die noch nicht entdeckt worden sind. (Außerdem hat Microsoft nicht die Absicht, die Sicherheit von Windows 95 zu verbessern.)

Wenden wir uns also der Sicherheit von Windows NT zu.

Windows NT

Microsoft mag für schlechte Sicherheit weithin bekannt sein, aber dies gilt nicht unbedingt für Windows NT. Die Anfangsinstallation von Windows NT bietet genauso gute Sicherheitsvorkehrungen wie die meisten anderen Plattformen. Der einzige Haken ist, dass Sie stets mit den neuesten Entwicklungen Schritt halten müssen.

Fragen Sie sich erst einmal folgendes, bevor Sie weiterlesen: Habe ich Windows NT mit NTFS installiert und die Service-Packs in der richtigen Reihenfolge installiert? Wenn nicht, ist Ihr Windows-NT- System nicht sicher, und der Rest dieses Kapitels kann Ihnen auch nicht weiterhelfen. Installieren Sie erst die Service-Packs bzw. installieren Sie Windows NT mit aktiviertem NTFS.

Hinweis:

Da das Hauptthema dieses Buches die Internet-Sicherheit ist, beginnen wir die Betrachtung von Windows NT mit dem IIS (Internet Information Server).

16.4.7 IIS (Internet Information Server)

IIS ist ein sehr beliebtes Server-Paket und hat, wie die meisten Server-Pakete, Sicherheitslücken. Wir befassen uns hier sehr gründlich mit IIS. Beachten Sie aber bitte, dass wir nicht alle Schwachstellen besprechen. Es existieren noch weitere, die aber weniger ernst sind.

Schwachstelle CMD/BAT

IIS Version 1.0

Auswirkungen: Entfernte Benutzer können beliebige Befehle ausführen.

Einstufung: kritisch

Beschreibung: IIS 1.0 handhabt Dateien mit Endung CMD oder BAT mit Hilfe von CMD.EXE mittels MIME- Mapping. Dies ermöglicht es Crackern, Befehle auf Ihrem Server auszuführen. Leider werden die so ausgeführten Befehle nicht aufgezeichnet. Ein Cracker könnte also theoretisch Systemdateien löschen und Ihr System außer Betrieb setzen, ohne jemals entdeckt zu werden. Installieren Sie den Patch.

Schwachstelle IIS Active Server Pages

IIS Version 3.0 und möglicherweise andere

Auswirkungen: Entfernte Benutzer können Dateien überschreiben.

Einstufung: ernst bis kritisch

Beschreibung: Active Server Pages können dazu verwendet werden, jede beliebige Datei zu überschreiben. Cracker, die diese Schwachstelle ausnutzen, müssen Scripting- Erfahrung haben. Der Code ist jedoch auch im Internet zu bekommen. Derzeit gibt es keine Abhilfe, außer /wwwroot nicht für andere freizugeben.

Schwachstelle IIS ASP URL

IIS Version 2.0+ unter Windows NT 4.0

Auswirkungen: Entfernte Benutzer können ASP-Quellcode ansehen.

Einstufung: ernst

Beschreibung: ASP- Quellcode kann von einem entfernten Rechner aus untersucht werden. Die Technik ist unkompliziert und erfordert keine speziellen Programmierkenntnisse. Der Cracker nimmt die gewünschte URL, ersetzt den letzten Punkt durch die Zeichen %2e und lädt neu. Das System liefert dann den Quellcode.

Schwachstelle WEBHITS.EXE

IIS Version 3.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können IIS verwenden, um nach Schwachstellen zu suchen.

Einstufung: ernst

Abhilfe: WEBHITS.EXE löschen oder in ein anderes Verzeichnis als das vorgegebene verschieben

Beschreibung: WEBHITS.EXE ist ein Bestandteil der IIS- Suchmaschine unter dem Index Server. Entfernte Benutzer können dieses Modul verwenden, um Passwörter, Benutzernamen und andere sicherheitsrelevante Dinge in Erfahrung zu bringen.

Schwachstelle Lange Dateinamen

IIS Version 4.0

Auswirkungen: Auf geschützte Dateien kann von entfernten Rechnern zugegriffen werden.

Einstufung: ernst

Beschreibung: Wenn ein Dateiname lang ist und Windows ihn im Befehlszeilenmodus kürzt (z.B. filena~1.com statt filename.com), kann die verkürzte Version von entfernten Rechnern aus aufgerufen werden, obwohl der vollständige Dateiname geschützt bleibt.

Schwachstelle NEWDSN.EXE

IIS Version 3.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können beliebige Dateien erzeugen.

Einstufung: mittel

Abhilfe: NEWDSN.EXE löschen oder in ein anderes Verzeichnis als das vorgegebene verschieben

Beschreibung: Dies ist ein ziemlich schwer auszunutzender Bug, da er sich nicht auf allen Rechnern gleich auswirkt. Aber ist die Vorstellung nicht schrecklich, dass Anwender eine BAT-Datei erzeugen könnten, die alle wichtigen Systemdateien löscht?

Schwachstelle GET

IIS Version 2.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen und einen Reboot erzwingen.

Einstufung: mittel - Denial-of-Service

Beschreibung: Nicht gepatchte Server, auf denen IIS 2.0 unter Windows NT 4.0 läuft, können aus dem Netz geworfen werden. Die Methode ist einfach: Cracker stellen eine Telnet- Verbindung zu Port 80 her und geben Get ../.. ein. Das Ergebnis? Der Rechner muss neu gebootet werden. (Dieser Angriff bringt auch Microsoft-Proxy- Server zum Absturz, was noch viel kritischer ist.)

Schwachstelle CPU-Überlastung

IIS Version 2.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen und einen Reboot erzwingen.

Einstufung: mittel - Denial-of-Service

Beschreibung: Cracker verbinden sich mit Ihrem Web-Server und geben viele beliebige Befehle ein. Nach ca. 20 Befehlen rast die Systemauslastung auf 100%, wodurch ein Neustart erforderlich wird. Wenden Sie sich an Microsoft oder suchen Sie unter ftp://ftp.microsoft.com/ nach aktuellen Patches.

Schwachstelle Lange URLs

IIS Version 2.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen.

Einstufung: mittel - Denial-of-Service

Beschreibung: Indem sie eine extrem lange Zeichenkette als URL senden, können Cracker Ihren Web-Server zum Absturz bringen und Sie zwingen, den Service neu zu starten. Diese Schwachstelle ist nicht leicht reproduzierbar. Die erforderliche Länge liegt zwischen 4-10 Kbyte und variiert je nach Release.

Wenn Sie alle Service-Packs installieren und die hier beschriebenen Sicherheitslücken patchen, wird Ihr IIS-Server schon etwas sicherer sein.

Allgemeine Sicherheitslücken in Windows NT

Sequenznummer-Attacken

NT-Version: alle Versionen

Auswirkungen: Entfernte Benutzer können sich Admin- Privilegien aneignen.

Einstufung: ernst bis kritisch

Abhilfe: keine, wenden Sie sich an Microsoft

Beschreibung: Sitzungen können übernommen werden, indem die TCP- Sequenznummer erraten wird. (Das ist eigentlich ein Spoofing- Problem. Es betrifft viele Netzdienste, darunter RPC, Netbios und SMB- Verbindungen.) Unter dem Link finden Sie den Quellcode, um den Exploit zu kopieren. Weitere Informationen finden Sie hier:

Schwachstelle GetAdmin

NT-Version: alle Versionen

Auswirkungen: Lokale Benutzer können sich Admin-Privilegien aneignen.

Einstufung: kritisch

Beschreibung: GETADMIN.EXE ist ein Utility, das von lokalen Benutzern verwendet werden kann, um sich Admin- Privilegien anzueignen. Dies ist eine kritische Sicherheitslücke.

Schwachstelle Windows NT Backup

NT-Version: alle Versionen

Auswirkungen: Passwörter in Backups können die Systemsicherheit gefährden.

Einstufung: ernst

Abhilfe: Verschlüsseln Sie Ihre Backups.

Beschreibung: Jeder, der ein Backup-Band mit Passwörtern besitzt, kann dieses benutzen, um sich auf Ihrem Server und vielleicht auch anderen Windows-NT- Servern zu authentifizieren.

Schwachstelle NBTSTAT

Windows-NT-Version: alle Versionen und auch Windows 95

Auswirkungen: Entfernte Benutzer können Zugriff auf freigegebene Verzeichnisse erlangen.

Einstufung: ernst

Abhilfe: Schützen Sie Ihre Verzeichnisse durch Passwörter.

Beschreibung: Der Angreifer muss nur das Ziel zu seiner lmhosts- Datei hinzufügen und eine NETBIOS- Sitzung starten. Dann kann er beginnen, die Verzeichnisse durchzugehen. Dies ist eine ernste Schwachstelle. Momentan scheint es außer dem Passwortschutz keine andere Möglichkeit zu geben, sich davor zu schützen.

Weitere Schwachstellen mit geringerer Bedeutung

Windows NT hat noch weitere Schwachstellen, die vielleicht nicht kritisch, aber dennoch ernst zu nehmen sind. Sie sind in Tabelle 16.3 aufgelistet, zusammen mit den URLs, unter denen Sie mehr darüber erfahren können:

Interne Sicherheit von Windows NT

Der Großteil dieses Kapitels beschäftigt sich mit Remote- Sicherheit, wobei die Angreifer aus fremden Netzwerken kommen. Leider gehen Angriffe aber nicht immer nur von fremden Netzwerken aus. Manchmal greifen auch Ihre eigenen Benutzer Ihren Server an. Damit befasst sich das folgende Kapitel.

Interne Sicherheit im allgemeinen

Im allgemeinen hat Windows NT nur eine leidliche interne Sicherheit zu bieten. Dies ist grundverschieden zu seiner externen Sicherheit, die meines Erachtens sehr gut ist (wenn Sie immer die neuesten Patches installieren). Sie sollten wenigstens NTFS verwenden. Wenn Sie das nicht tun, besteht überhaupt keine Hoffnung, Ihre Rechner zu schützen. Denn es gibt einfach zu viele Dinge, die lokale Benutzer machen können, und zu viele Dateien und Dienste, die sie benutzen können.

Einige Systemadministratoren behaupten, dass sie NTFS nicht brauchen. Sie meinen, dass sie durch eine sorgfältige Administration und die Kontrolle der Personen, die Zugang zu Ihren Rechnern bekommen, mehr oder weniger auf der sicheren Seite sind. Das sind leider Wunschvorstellungen.

Das RDISK- Sicherheitsloch

Ein ausgezeichnetes Beispiel ist das RDISK- Sicherheitsloch. RDISK ist ein Windows-NT- Utility, mit dem Sie Rettungsdisketten für den Notfall erstellen können. Das ist ein wertvolles Hilfsprogramm für einen Systemadministrator; wenn es jedoch der falschen Person in die Hände gerät, stellt RDISK ein riesiges Sicherheitsloch dar. Ein Benutzer kann RDISK anweisen, von allen Sicherheitsinformationen (einschließlich Passwörtern und Registry- Informationen) im Verzeichnis C:\WINNT\REPAIR einen Dump anzulegen. Von dort aus kann der Angreifer einen Passwort- Cracker laden. Innerhalb von Stunden ist der gesamte Rechner bloßgelegt. Möchten Sie es einmal selbst ausprobieren? Dann geben Sie an einem Prompt folgenden Befehl ein: rdisk /s.

Gehen Sie dann ins Verzeichnis C:\WINNT\REPAIR. Dort finden Sie alle Informationen, die Sie zum Knacken des Rechners benötigen.

Eine gute interne Sicherheit aufbauen

Der Aufbau einer guten internen Sicherheit ist nie zu Ende. Es gibt keine Liste mit Tools, die Sie installieren können, um Ihren Rechner für alle Zeiten zu schützen. Es tauchen immer wieder neue Sicherheitslöcher auf. Und obwohl Microsoft wirklich viel getan hat, um die Sicherheit von NT zu verbessern, ist das ständige Streben nach Benutzerfreundlichkeit ihrer Produkte für die Bemühungen um ernsthafte Sicherheit eher hinderlich.

Ein amüsantes Beispiel dafür wurde durch Vacuum von Rhino9 (einer bekannten Hacker- Gruppe) beschrieben, der die Beobachtung machte, dass der Versuch der Beschränkung des Benutzerzugangs zu der Systemsteuerung ein erfolgloses Unterfangen ist. Er schrieb:

Wenn Sie über Start/Einstellungen/Systemsteuerung oder das Arbeitsplatz-Icon keinen Zugang zur Systemsteuerung haben, klicken Sie auf Start/Hilfe/Index. Alle normalerweise angezeigten Icons sind als Hilfethemen aufgeführt. Wenn Sie z.B. auf »Netzwerk« klicken, erscheint ein Windows-NT- Hilfefenster mit einer netten kleinen Abkürzung, über die Sie zu den Netzwerkeinstellungen der Systemsteuerung gelangen.

Dieses Problem klingt simpel und nicht sehr bedrohlich. Es trifft aber für die meisten Systemressourcen und sogar Administrationswerkzeuge zu. (Microsoft wird dies wahrscheinlich auch nie ändern. Ihre Verteidigung würde wahrscheinlich so lauten: Es erhöht die Benutzerfreundlichkeit, zu jedem Programm, das in der Online-Hilfe behandelt wird, eine direkte Verknüpfung anzubieten.)

Sie sollten wenigstens Protokollierungs- Utilities und einen Sniffer installieren. Ich empfehle Ihnen außerdem, eine umfassende Liste aller Anwendungen oder Ressourcen zu erstellen, die keine Protokollierungsmöglichkeiten haben. Wenn diese Anwendungen oder Ressourcen auch nicht mit Hilfe anderer Anwendungen protokolliert werden können, empfehle ich Ihnen, sie zu löschen oder wenigstens von ihren vorgegebenen Verzeichnissen in andere zu verschieben.

Ein Tipp für die Einrichtung eines NT-Servers von Grund auf

Um einen möglichst sicheren Windows-NT- Server einzurichten, müssen Sie schon bei der Installation alles richtig machen. Wenn Sie Windows NT bereits mit FAT installiert haben, kommt dies natürlich etwas spät für Sie. Ich würde Ihnen dann zu einer Neuinstallation raten. Um festzustellen, ob Sie eine Neuinstallation vornehmen sollten, sollten Sie Ihren ursprünglichen Installationsvorgang mit den typischen Vorbereitungen für ein C2-System vergleichen. Dazu empfehle ich Ihnen, sich den Secure Windows NT Installation and Configuration Guide der Navy herunterzuladen. Dieses Dokument enthält die umfassendste Anleitung für eine sichere Installation, die derzeit in gedruckter Fassung verfügbar ist.

Die Anleitung führt Sie durch die Konfiguration des Dateisystems, Audit-Policy, Registry, Benutzerverwaltung, Benutzerkonten- Policy, Benutzerrechte, Vertrauensbeziehungen, System- Policy und die Systemsteuerung. Mit Hilfe der gut erläuterten Schritt-für-Schritt- Anleitung lernen Sie Windows-NT- Sicherheit praktisch nebenbei. Obwohl es nur 185 Seiten umfasst, ist das Navy- Dokument mehr wert als 10 oder gar 100 Bücher wie dieses. Wenn Sie diese Anleitung befolgt haben, sind Sie bei der Einrichtung eines sicheren Servers schon sehr viel weiter gekommen.

Tools

Wenn Sie Ihren Server eingerichtet haben, können Sie sich verschiedene unverzichtbare Tools besorgen, mit denen Sie seine Sicherheit verbessern können. Kein Windows-NT- Administrator sollte je ohne diese Tools angetroffen werden.

Administrator Assistant Tool Kit 2.0

Das Administrator Assistant Tool Kit 2.0 ist eine Programmsammlung, die Utilities für die Organisation der Systemadministration von Windows-NT- Rechnern enthält.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
 

FileAdmin

FileAdmin ist ein fortgeschrittenes Tool zur Handhabung von Dateiberechtigungen in großen Netzwerken. Dieses Utility kann Ihnen viele Stunden Arbeit ersparen.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
 

Kane Security Analyst

Kane Security Analyst ermöglicht eine Echtzeit-Erkennung von Eindringlingen in Windows NT. Dieses Utility erkennt und meldet Sicherheitsverletzungen und ist sehr flexibel konfigurierbar.

Intrusion Detection, Inc.
217 East 86th Suite 213
New York, NY 10028
Tel. 001-212-348-8900
 

NetXRay Analyzer

NetXRay Analyzer ist ein wirkungsvoller Protokoll- Analyzer (Sniffer) und ein Netzwerküberwachungs-Tool für Windows NT. Er ist wahrscheinlich der umfangreichste verfügbare Sniffer für Windows NT. (Kurios ist, dass dieses Produkt selbst ein kleines Sicherheitsloch hat. David LeBlanc entdeckte, dass Version 2.6 einen Puffer-Überlauf hat.)

Cinco Networks, Inc.
6601 Koll Center Parkway Suite 140
Pleasanton, CA 94566
Tel. 001-510-426-1770
 

NT Crack

NT Crack ist ein Tool, das Windows-NT- Passwörter prüft. Es ist das NT-Äquivalent zu Crack für Unix.

Secure Networks, Inc.
Suite 330 1201 5th Street S.W
Calgary, Alberta Canada T2R-0Y6
Tel. 001-403-262-9211
 

NT Locksmith

NT Locksmith ermöglicht den Zugriff auf einen Windows-NT- Rechner ohne Passwort. Es ist ein Rettungs-Utility, das Ihnen ermöglicht, ein neues Admin- Passwort festzulegen.

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
 

NTFSDOS Tools

NTFSDOS Tools ermöglicht es Ihnen, von einer DOS-Diskette aus Kopier- und Rename- Berechtigungen für Windows NT zu erlangen. Ein großartiges Tool für Notfälle (z.B. wenn Sie das Admin-Paßwort verloren haben. Hm...).

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
 

NTHandle

NTHandle identifiziert offene Prozesse in Windows NT und ermöglicht Ihnen so, ein Auge auf Ihre Anwender zu haben.

NT Internals - Mark Russinovich
 

NTRecover

NTRecover ist ein Rettungsprogramm. Es ermöglicht Ihnen, auf tote Windows-NT- Laufwerke über serielle Schnittstellen zuzugreifen. Nicht schlecht, oder?

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
 

NTUndelete

NTUndelete ermöglicht Ihnen, Dateien, die an einem Prompt oder aus Anwendungen heraus gelöscht worden sind, zu speichern und später wiederherzustellen.

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
 

PC Firewall 1.02

PC Firewall 1.02 ist eine bidirektionale Paketfilter-Sammlung für Windows 95 und Windows NT.

McAfee (Network Associates, Inc.)
2805 Bowers Ave
Santa Clara, CA 95051
Tel. 001-408-988-3832
 

PWDUMP

PWDUMP erstellt einen Dump (Speicherauszug) von Passworteinträgen, die in der Registry aufbewahrt sind.

Jeremy Allison
 

RedButton

RedButton ist ein Tool zum Testen von Sicherheitslücken in öffentlich zugänglichen Registries auf entfernten Rechnern.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
 

RegAdmin

RegAdmin ist ein fortgeschrittenes Tool zur Handhabung von Registry- Einträgen in großen Netzwerken. Es spart sehr viel Zeit.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
 

ScanNT Plus

ScanNT Plus ist ein Wörterbuch-Utility zum Knacken von Passwörtern. Testen Sie Ihre NT- Passwörter damit.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
 

Somarsoft DumpAcl

Somarsoft DumpAcl erstellt Dumps von Berechtigungen für das Windows-NT- Dateisystem in der Registry, einschließlich Freigaben und Drucker. Es verschafft einen Überblick über Berechtigungen, der in großen Netzwerken normalerweise schwer zu erlangen ist.

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
 

Somarsoft DumpEvt

Somarsoft DumpEvt erzeugt Dumps von Ereignisprotokollinformationen, die zur Analyse in eine Datenbank importiert werden können.

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
 

Somarsoft DumpReg erstellt Dumps von Registry- Informationen zur Analyse. Es ermöglicht außerdem eine gute Suche und einen Abgleich von Schlüsseln.

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
 

Somarsoft RegEdit

Somarsoft RegEdit ist ein vollständiges Programm zum Editieren und Handhaben der Registry, das Basic unterstützt. (Es ist sozusagen die gedopte Version von RegEdit.)

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
 

Virtuosity

Virtuosity ist ein umfassendes Verwaltungs- und Umstellungs-Tool. (Gut für große Umstrukturierungen.)

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
 

Gute Online-Infoquellen

Im nächsten Abschnitt finden Sie viele gute Links zu Windows-NT- Informationen. Die meisten von ihnen werden ständig aktualisiert.

Das FTP-Archiv der Mailing- Liste zu Windows- NT- Sicherheit

Dies ist ein Archiv aller in der Mailing-Liste zu Windows- NT- Sicherheit geposteten Beiträge. Das Archiv reicht bis zum Juli 1996 zurück und enthält Beiträge von Windows-NT- Sicherheitsexperten und -Enthusiasten. Ich empfehle Ihnen, sich die gesamten Dateien herunterzuladen.

Informationen aus der Dateiliste zu ziehen kann ziemlich mühselig sein, da sie als reine Textdatei vorliegt. Das ist eine gute Aufgabe für Perl. Sie können mit ein paar Zeilen Code die ganzen Betreffzeilen aus dem Text ziehen:

#!/usr/bin/perl
if(/^Subject: (.*)) {
print;
}
 

Wenn Sie die Betreffzeilen haben, haben Sie schon einen besseren Überblick. Noch mehr Licht bringen Sie in die Sache, wenn Sie alle mit RE: beginnenden Betreffzeilen unterdrücken. Im allgemeinen suchen Sie ja nach dem ersten Beitrag, da dieser meistens ein durch den Autor neu entdecktes Sicherheitsloch beschreibt. Solche Beiträge stammen häufig von Leuten, die routinemäßig Sicherheitslücken von Betriebssystemen aufdecken. Viele von ihnen sind Autoritäten auf bestimmten Gebieten der Windows-NT- Sicherheit (z.B. Leute wie David LeBlanc und Russ Cooper). Alles in allem ist diese Liste wirklich gut.

ftp://ftp.iss.net/pub/lists/ntsecurity-digest.archive/

AlphaNT

Diese Site beherbergt Tools, Dokumente und andere Informationen über Windows NT auf der DEC Alpha-Plattform. Dieses Dateiarchiv ist eine gewaltige Sammlung von Utilities und Programmen für alles mögliche, von der Sicherheit bis hin zur Entwicklung.

Windows NT Security FAQ

Dieses Dokument mit häufig gestellten Fragen zur Windows-NT- Sicherheit ist ein absolutes Muss, wenn Sie ein Neuling auf diesem Gebiet sind. Ich gehe jede Wette mit Ihnen ein, dass mehr als die Hälfte der Fragen, die Sie zur NT-Sicherheit haben, in diesem Dokument beantwortet sind.

http://www.it.kth.se/~rom/ntsec.html

NTBugTraq

NTBugTraq ist eine ausgezeichnete Informationsquelle, die von Russ Cooper von RC Consulting betreut wird. Die Site beinhaltet eine Datenbank mit Windows-NT- Sicherheitslücken und die archivierten und mit einer Suchfunktion versehenen Versionen der NTBugTraq- Mailingliste.

http://www.ntbugtraq.com/

MS Internet Security Framework FAQ

Dieses Dokument beschäftigt sich mit dem MS Internet Security Framework. Es beantwortet viele Fragen zu Windows NT, Microsoft-Verschlüsselung und Microsoft-Sicherheit.

http://www.ntsecurity.net/security/inetsecframe.htm

NTSECURITY.COM

Diese Site wird von der Aelita Software Group der Midwestern Commerce, Inc., betreut, einer bekannten Entwicklungsfirma, die unter anderem Sicherheitsapplikationen für Windows NT entwickelt.

http://www.ntsecurity.com/default.htm

Expert Answers for Windows NT

Dies ist ein Forum, in dem fortgeschrittene Windows-NT- Themen diskutiert werden. Es ist eine gute Adresse, um mögliche Lösungen für sehr undurchschaubare und konfigurationsspezifische Probleme zu finden. Regelmäßige Teilnehmer posten klare, kurz gehaltene Fragen und Antworten wie: »Ich habe einen PPRO II mit NT 4.0 und IIS 3, auf dem MS Exchange 5.0 läuft, mit SP3 für NT und SP1 für Exchange. Warum stürzt mein Mailserver ab?«

http://community.zdnet.com/cgi-bin/podium/show?ROOT=331&MSG=331&T=index

Windows NT Security Issues bei Somarsoft

Das Dokument zu Windows-NT- Sicherheitsthemen bei Somarsoft behandelt fortgeschrittene Sicherheitslücken im Windows-NT- Betriebssystem. Sie finden es hier:

http://www.somarsoft.com/security.htm

The ISS Vulnerability Database

Die Sicherheitslücken-Datenbank von Internet Security Systems ist eine sehr gute Quelle, um herauszufinden, ob Ihr Rechner mit allen nötigen Patches versehen ist. Sie finden sie hier:

http://www.iss.net/vd/library.html

Enhanced Security for [Windows] NT 5.0

Dieser Artikel über die verbesserte Sicherheit von Windows NT 5.0 wurde von Michael A. Goulde geschrieben. Er behandelt interessante Themen und gibt einen kleinen Ausblick darauf, was bei Version 5.0 zu erwarten ist.

http://www.microsoft.com/ntserver/community/seybold.asp?A=7&B=4

Association of Windows NT Systems Professionals

Dies ist eine Gruppe, die Informationen über fortgeschrittene Windows-NT- Themen, Sicherheit und Entwicklung austauscht. Sie besteht seit 1993.

http://www.ntpro.org/ntpro.html

Windows NT Magazine Online

Sie denken wahrscheinlich, dass kommerzielle Magazine keine gute Quelle für Sicherheitsinformationen sind. Bei dieser Site ist das zum Glück anders. Sie finden hier einige wertvolle Artikel und Editorials.

http://www.winntmag.com/

Defense Information Infrastructure Common Operating Environment
(DII COE), Version 3.1, Gesammelte Dokumente zu NT 4.0

Es gibt eine Reihe von Dokumenten, die Standards für die Entwicklung und Administration auf der Windows-NT- Plattform spezifizieren.

http://spider.osfl.disa.mil/cm/dii31/dii31_nt40.html

Securing Windows NT Installation

Dies ist ein unglaublich detailliertes Dokument von Microsoft über die Installation eines sicheren Windows-NT- Servers. Das Microsoft-Team hat in den letzten Jahren wegen der Sicherheit viel Druck bekommen, und dieses Dokument ist die Antwort darauf.

http://www.microsoft.com/ntserver/guide/secure_ntinstall.asp?A=2&B=10

Steps for Evaluating the Security of a Windows NT Installation

Ein ausgezeichnetes Dokument von Tom Sheldon, Autor des Windows NT Security Handbook . Es beschreibt die notwendigen Schritte zur Errichtung eines sicheren Windows-NT- Servers.

http://www.ntresearch.com/ntchecks.htm

Coopers and Lybrand White Paper on NT

Daran müssen Sie sich erinnern - in diesem Dokument attestierten C&L Mitte 1997 die Sicherheit von Windows NT 4.0.Obwohl das Dokument etwas voreilig war, ist es immer noch lehrreich (obwohl man vielleicht mehr darüber erfährt, welche Kriterien C&L für die Sicherheitsprüfung anwenden, als über NT-Sicherheit an sich).

http://www.microsoft.com/ntserver/guide/cooperswp.asp?A=2&B=10

Troubleshooting Windows NT

Diesen informativen und recht technischen Artikel zur Systemadministration unter Windows NT finden Sie auf dieser Seite:

http://www.ntsystems.com/nts110fe.htm

Das NT-Archiv der University of Texas am Austin Computation Center

Diese Site enthält eine breite (und manchmal eklektische) Auswahl an Tools und Fixes für Windows NT.

ftp://microlib.cc.utexas.edu/microlib/nt/

Zusammenfassung

Windows NT ist eine ausgezeichnete Server-Plattform. Wie seine Entsprechungen ist jedoch auch Windows NT nicht von sich aus sicher. Um einen sicheren Server zu betreiben, müssen Sie drei Dinge tun:

• Die in diesem Kapitel besprochenen Sicherheitslücken mit Hilfe von Patches schließen 
• Die in anderen Kapiteln besprochenen Sicherheitsmethoden anwenden 
• Ständig die neuesten Entwicklungen verfolgen

Wenn Sie diese Dinge beachten, sollten Sie keine Probleme bekommen.

[ Home ] [ Nach oben ]

Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an: tos.computer@gmx.de 
Copyright © 2003 TOS Computer Systeme
Stand: 14. November 2004