Im letztjährigen scip IT Security Forecast haben wir darauf hingewiesen, dass Windows 7 in naher Zukunft eine zentrale Rolle spielen wird. Immer mehr unserer Kunden beginnen mit einer Migration, die vorzugsweise von Windows XP ausgeht (die allermeisten haben Windows Vista ausgelassen).
Im Rahmen der Einführung und Nutzung von Windows 7 stellt sich für viele Kunden die Frage, welcher Sicherheitsgewinn durch die neueste Windows-Generation gegeben sein wird. Bei der Umsetzung umfassender Hardening-Projekte für verschiedene Kunden haben wir Windows 7 intensiv analysiert und die neuen Sicherheitsfunktionen auf ihre Auswirkungen hin untersucht. Unsere Erkenntnisse wollen wir hier zusammenfassen:
- Überarbeitung der User Account Control (UAC): Die Benutzerkontensteuerung wurde mit Windows Vista eingeführt und für Windows 7 optimiert. Sie verhindert, dass normale Benutzer systemkritische Anpassungen durchführen können. Zuerst muss eine explizite Authentisierung mit administrativen Rechten geschehen, um den Zugriff umzusetzen. Gerade in Umgebungen, in denen normale Benutzer ebenfalls administrative Handlungen vollziehen können müssen, erhöht diese Hürde die Sicherheit des Systems sowohl auf technischer als auch auf psychologischer Ebene (zusätzliche Hürde).
- Einführung von AppLocker: AppLocker ist eine neue Komponente von Windows 7 Enterprise, die es Administratoren erlaubt festzulegen, welche Anwendungen im Unternehmensnetz gestartet werden können. Durch granulare Einstellungen der Group Policies (GPO) kann so verhindert werden, dass unliebsamer Code eingebracht und ausgeführt wird. Damit wird sowohl ein Exploiting durch interne Mitarbeiter als auch eine Infektion durch Malware eingeschränkt. Dieses HIPS-ähnliche Feature gilt bisher wohl mitunter als das am meisten unterschätzte.
- Einführung von BitLocker (TPM): Bei BitLocker handelt es sich um die seit Vista von Microsoft bei den Ausführungen Ultimate und Enterprise mitgelieferte Festplattenverschlüsselung. Auf einer separaten Partition nutzt BitLocker das Trusted Platform Module (TPM), um den Zugriff auf die mit AES geschützten Daten durchzuführen. Vor allem mobile Geräte können so in Bezug auf Diebstahl zusätzlich abgesichert werden. In der Registry finden sich rund 70 neue Einstellungen, die in Bezug auf BitLocker/TPM wichtig sind.
- Einführung von Windows Defender: Bei Windows Defender handelt es sich um eine freie Anti-Spyware Lösung von Microsoft. Bei Windows Vista und Windows 7 ist sie (im Gegensatz zu Windows XP und Server 2003) schon vorinstalliert und damit fest im System verankert. Durch die automatische Prüfung auf etwaige Malware können breitflächige Infektionen ohne zusätzliche Aufwände frühzeitig erkannt und verhindert werden. Gerade populäre Malware-Outbreaks sollen so eingedämmt werden können. Ein echter Ersatz für eine eigenständige Antiviren-Lösung ist dies jedoch nicht.
- Erweiterung der Security Policy Settings: Es wurden einige neue Security Policy Settings eingeführt, die sich vor allem zur Härtung bei lokalen Zugriffen eignen (z.B. Change Time Zone, Crate Symbolic Links). Aber auch erweiterte Netzwerkeinstellungen bezüglich der Unterstützung von NTLM wurden eingeführt. Dadurch können die Installation noch genauer den individuellen Bedürfnissen, vor allem in Hochsicherheitsumgebungen, angepasst werden.
- Überarbeitung der Windows Firewall: Die mit Windows XP eingeführte Windows Firewall wurde in Windows 7 komplett überarbeitet. Diese bietet nun zusätzliche Möglichkeiten an, um Netzwerkkommunikationen einzuschränken. Dabei besteht die Möglichkeit, sehr granulare Einstellungen für Applikationen (ausführbare Dateien) und Hosts/Ports vorzunehmen. Damit wird vielerorts die zusätzliche Nutzung von 3rd Party Lösungen überflüssig.
- Einführung von DirectAccess: Mit DirectAccess wird in Windows 7 Enterprise und Ultimate eine erweiterte VPN-Funktionalität dargeboten. Diese erlaubt die für den Nutzer gänzlich transparente Nutzung des VPN (Virtual Private Network), wobei noch vor dem Zugriff auf die Windows-Domäne die entsprechenden Gruppenrichtlinien angewendet werden. Ein Arbeiten ausserhalb des eigentlichen Netzwerks ist dadurch einfach und dennoch sicher möglich.
- Einführung neuer Services: Es werden einige neue Dienste eingeführt. Bei Windows 7 sind 165 Dienste im Gegensatz zu 90 Diensten bei Windows XP gegeben. Dies erhöht entsprechend die Komplexität des Hardenings. Eine interessante Funktionalität ist der neue Start-Typ
Automatic (Delayed)
, der eine zeitverzögerte Initiierung eines Dienstes erlaubt, um den Start des Betriebssystems zu beschleunigen.
- Erweiterung der Sicherheit von Freigaben: Die Sicherheit von Shares wurde schon bei Windows XP – im Gegensatz zu 9x/ME – massgeblich erhöht. Mit Windows Vista und Windows 7 wurden nun zusätzliche Einstellungsmöglichkeiten eingeführt, die einen dediziert restriktiven Zugriff auf entsprechende Freigaben umsetzen lassen. Die Standardeinstellungen stellen dabei einen zur Zeit vertretbaren Kompromiss aus Rückwärtskompatibilität und Sicherheit dar. Punktuelle Anpassungen können die jeweiligen Bedürfnisse priorisieren lassen.
- Umfassende Unterstützung von IPv6: Windows 7 kommt ab Installation mit einer vollumfänglichen Unterstützung von IPv6 daher. Diese ist standardmässig ebenfalls aktiviert und bietet damit ebenso ein erhöhtes Mass der Angriffsfläche bzw. Möglichkeiten zur Nutzung der IPv6-Sicherheitsfunktionen. Entsprechende Anpassungen sind im Zug eines Hardenings angeraten.
- Abschaffung einiger alter DOS-Komponenten: Einige alte Komponenten, die bei MS DOS eingeführt und aus Kompatibilitätsgründen bis heute mitgeführt wurden, wurden nun endgültig eliminiert. Dazu gehören beispielsweise einige kommandozeilenbasierte Programme, die im
SYSTEM32
-Verzeichnis gelagert werden. Das manuelle Löschen oder das Durchsetzen von restriktiven Zugriffsrechten auf NTFS-Ebene fällt damit teilweise weg.
Unser gegenwärtig bei verschiedenen Kunden im Einsatz befindliches Hardening-Framework sieht 531 sicherheitsrelevante Einstellungen für Windows XP vor. Bei Windows 7 sind es zur Zeit 684 mögliche Hardening-Punkte. Diese Statistik zeigt in eindrücklicher Weise auf, dass Microsoft vielerorts um die Erweiterung der Sicherheitsfunktionalität der neuesten Windows-Generation bemüht war. Mitunter aus diesem Grund können wir unseren Kunden anraten, mittelfristig (1-3 Jahre) ein Upgrade auf Windows 7 vorzunehmen.
Über den Autor
Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)
Links