Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Ich gebe es ja zu: Ich bin nicht direkt ins neue User Interface von Windows 8 verliebt. Das Design, ehemals als Metro bekannt, passt einfach nicht zu Desktop-Workstations die zur alltäglichen Arbeit genutzt werden. Zudem ist da noch eine Vielzahl anderer Glitches, aber die werde ich jetzt nicht im Detail beschreiben, weil jeder kennt sie bereits. Microsoft scheint darauf zu reagieren, weil Gerüchten zufolge soll Windows 8.2 zu Windows 9 werden und das Startmenü zurückbringen. Unter anderem.
Wie dem auch sei, hinter dem Vorhang ist Windows 8 gar nicht mal so übel und hat neue Sicherheits-Features eingebaut, damit die Sicherheit von Desktops noch besser durchgesetzt werden kann.
Also, zum Thema: In diesem Artikel werden wir ein Skelett einer Sicherheits-Baseline für Windows 8 erstellen. Selbstverständlich können wir hier nur ein generisches Skelett bauen, da die effektive Implementation in Ihrer IT-Infrastruktur Feineinstellung benötigt. Bevor Sie dieses Skelett aufbauen, sollten Sie eine Analyse der Schwachstellen in ihren Sicherheitsvorkehrungen, der Risiken und der exponierten Daten durchführen. Diese Analyse führt dazu, dass sie genau wissen, welchen Anforderungen die Security Baseline genügen muss. Im Grunde sollte die Strategie aber auf folgende Bereiche abzielen:
Beginnen wir also mit generischen Sicherheitsratschlägen für die Desktop Security:
Definieren wir nun das oben genannte Skelett für unsere Windows 8 Security Baseline. Ich habe im Folgenden alle Settings, die per default gesichert sind, ausgelassen.
Einstellung | Wert | Beschreibung |
---|---|---|
Network Protocols, Services & Client | ||
Turn off downloading of print drivers over HTTP | Aktiviert | |
Turn off Internet download for Web publishing and online ordering wizards | Aktiviert | Diese Policy kontrolliert, ob Windows eine Liste von Providern für Web Publishing und Online-Bestellungs-Tools herunterlädt. |
Turn off the “Publish to Web” task for files and folders | Aktiviert | |
Turn off the Windows Messenger Customer Experience Improvement Program | Aktiviert | Diese Policy legt fest, ob Windows Messenger anonyme Nutzerdaten über die Verwendung des Windows Messengers sammeln darf. |
User Rights Assignments | ||
Access this computer from the network | Users, Administrators | Diese Policy-Einstellungen erlauben es anderen Usern im Netzwerk sich mit dem Computer zu verbinden und ist eine zwingende Voraussetzung für die Funktion mehrerer Netzwerk-Protokolle, die mit Server SMB-basierten Protokollen, NetBIOS, CIFS und COM+ funktionieren. |
Act as part of the operating system | Niemand | Diese Policy-Einstellungen erlauben es einem Prozess, die Identität eines Users anzunehmen und somit Zugang zu Ressourcen zu haben, auf die nur der User Zugriff hat. |
Deny access to this computer from the network | Gäste | Dies verhindert, dass User sich mit dem Computer verbinden können und somit die Möglichkeit erhalten, Daten zu verändern. |
Deny log on as a batch job | Gäste | Determiniert, welche Accounts sich nicht im Rahmen eines Batch Jobs mit dem Computer verbinden dürfen. |
Deny log on locally | Gäste | Setzt fest, welche User sich nicht lokal am Computer anmelden dürfen. |
Turn off Autoplay | Aktiviert | |
Sicherheitsoptionen | ||
Administrator account status | Deaktiviert | Aktiviert oder deaktiviert den Account Administrator während des normalen Betriebs. |
Guest account status | Deaktiviert | Aktiviert oder deaktiviert den Account Gast. |
Limit local account use of blank passwords to console logon only | Aktiviert | Lokale Accounts, die ein leeres Passwort haben, dürfen sich nicht über das Netzwerk auf dem Computer anmelden. |
Block Microsoft accounts | Users can’t add or log on with Microsoft accounts | Verhindert, dass User neue Microsoft-Accounts zum Betriebssystem hinzufügen. |
Allow log on locally | Administrators, Users | Determiniert, welche User sich lokal am Computer anmelden dürfen. |
Allow Remote Shell Access | Aktiviert | Verwaltet die Konfiguration des Remote Access für alle supporteten Shells zur Skript- und Befehlsausführung. |
Boot-Start Driver Initialization Policy | Aktiviert | Spezifiziert die Initialisierung von Boot-Start Treibern basierend auf einer Klassifikation eines Early Launch Antimalware Boot-Start Treibers. |
Do not allow drive redirection | Aktiviert | Verhindert, dass User lokale Drives für genutzte Terminal Server freigeben können, auf die sie zugreifen. |
Recovery console: Allow automatic administrative logon | Deaktiviert | Administratoren-Login ist zwingend notwendig, um auf die Recovery-Konsole zugreifen zu können. |
Require a Password When a Computer Wakes (On Battery) | Aktiviert | Setzt fest, ob ein User sein Passwort eingeben muss, wenn der Computer aus dem Standby-Modus erwacht. |
Require a Password When a Computer Wakes (Plugged In) | Aktiviert | Setzt fest, ob ein User sein Passwort eingeben muss, wenn der Computer aus dem Standby-Modus erwacht. |
Reschedule Automatic Updates scheduled installations | Aktiviert | “Previously scheduled installation will begin after a specified number of minutes when you next start the computer.” |
Turn off Data Execution Prevention for Explorer | Deaktiviert | Die Data Execution Prevention auszuschalten erlaubt es, einige Legacy-Plugin-Applikationen ohne das Beenden von Explorer zu betreiben. |
Shutdown: Clear virtual memory pagefile | Deaktiviert | Determiniert, ob die Virtual Memory Pagefile gelöscht wird, wenn das System herunterfährt. |
Interactive Logon | ||
Do not require CTRL+ALT+DEL | Deaktiviert | User müssen CTRL+ALT+DEL drücken bevor sie sich anmelden können, es sei denn sie benutzen eine Smart Card. |
Machine account lockout threshold | 10 invalid logon attempts | |
Machine inactivity limit | 900 seconds | |
Number of previous logons to cache (in case domain controller is not available) | 4 logon(s) | |
Manage auditing and security log | Administrators | Determiniert, welche User die Auditing-Optionen für Dateien und Ordner ändern und das Security Log löschen können. |
System Service Settings | ||
Configure Automatic Updates | Aktiviert | Legt fest, ob Computer in Ihrer IT-Infrastruktur Sicherheitsupdates von Windows Update oder WSUS erhalten. |
Configure Offer Remote Assistance | Deaktiviert | Schaltet das Anbieten von (ungewollter) Remote Assistance auf diesem Computer ein oder aus. |
Configure Solicited Remote Assistance | Deaktiviert | Schaltet das Anbieten von (gewollter) Remote Assistance auf diesem Computer ein oder aus. |
Configure registry policy processing | Aktiviert | Legt fest, wann Registry Policies einem Update unterzogen werden. |
Configure Windows SmartScreen | Aktiviert | Windows SmartScreen hilft dabei, PCs abzusichern, indem es die User warnt bevor sie unbekannte Programme aus dem Internet ausführen. |
Domain Member | ||
Digitally encrypt or sign secure channel data (always) | Aktiviert | Determiniert, ob alle Daten, die über Secure Channel Traffic vom Domain Member kommen, signiert oder verschlüsselt sein muss. |
Digitally encrypt secure channel data (when possible) | Aktiviert | Gibt dem Domain Member den Auftrag, Verschlüsselung für allen Traffic über Secure Channels zu erhalten, sofern das möglich ist. |
Digitally sign secure channel data (when possible) | Aktiviert | Gibt dem Domain Member den Auftrag, Signierung für allen Traffic über Secure Channels zu erhalten, sofern das möglich ist. |
Disable machine account password changes | Deaktiviert | Computer, die nicht automatisch zum Ändern des Passworts auffordern, sind verwundbar, da ein Hacker dieses Passwort einfacher erraten kann. |
Maximum machine account password age | 30 day(s) | Setzt fest, wie alt ein Passwort für einen Account höchstens sein darf. |
Require strong (Windows 2000 or later) session key | Aktiviert | Wenn diese Option aktiviert ist, kann ein Secure Channel nur dann erstellt werden, wenn die Domain Controller Daten mit starken Session Keys (128-bit) verschlüsseln können. |
Enable computer and user accounts to be trusted for delegation | No One | Erlaubt es Usern, die Einstellung Trusted for Delegation auf einem Computer-Objekt in einem Active Directory zu verändern. |
Enumerate administrator accounts on elevation | Deaktiviert | Alle Administratoren-Accounts werden per default angzeigt, sobald erweiterte Rechte für das Ausführen einer Applikation notwendig sind. |
Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box | Deaktiviert | Diese Einstellung erlaubt es Ihnen, zu entscheiden, ob die “Updates installieren und herunterfahren”-Option im Herunterfahren-Menü angezeigt wird. |
No auto-restart with logged on users for scheduled automatic updates installations | Deaktiviert | Automatische Updates erfordern den Neustart des Systems, auch wenn ein User angemeldet ist. |
Force shutdown from a remote system | Administrators | Diese Policy erlaubt es Usern, Vista-basierte Computer vom Remote Locations im Netzwerk aus herunterzufahren. |
Audit Policy | ||
Account Lockout | No Auditing | |
Logoff | Success | |
Logon | Success and Failure | |
Network Policy Server | No Auditing | |
Other Logon/Logoff Events | No Auditing | |
Special Logon | Success | |
Audit Policy Change | Success and Failure | |
Security State Change | Success and Failure | |
Security System Extension | Success and Failure | |
System Integrity | Success and Failure | |
Microsoft Network Client | ||
Digitally sign communications (always) | Aktiviert | Entscheidet, ob Packet Signing der SMB_Client Komponente erforderlich ist. |
Digitally sign communications (if server agrees) | Aktiviert | Determiniert, ob ein SMB-Client versucht, SMB Packet Signing vom Server zu erhalten. |
Send unencrypted password to third-party SMB servers | Deaktiviert | Verhindert, dass der SMB Redirector während der Authentisierung Passwörter im Klartext versendet. |
Microsoft Network Server | ||
Amount of idle time required before suspending session | 15 minute(s) | Timeout der SMB-Session. Deaktiviert die Session aufgrund von Inaktivität. |
Digitally sign communications (always) | Aktiviert | Entscheidet, ob der serverseitige SMB-Service benötigt wird um SMB Packet Signing auszuführen. Aktivieren Sie diese Option in einem Mixed Environment um Downstream-Clients davon abzuhalten, eine Workstation als Netzwerk-Server zu verwenden. |
Disconnect clients when logon hours expire | Aktiviert | Verbindung zu Usern wird gekappt, wenn sie sich von geregelten Zeiten versuchen anzumelden. |
Network Access | ||
Allow anonymous SID/Name translation | Deaktiviert | Verhindert, dass nicht-authentisierte User Usernamen erhalten, die mit einer SID verbunden sind. |
Apply Everyone permissions to anonymous users | Deaktiviert | Legt fest, welche zusätzlichen Permissions anonymen Connections zum Computer gegeben werden. |
Do not allow anonymous enumeration of SAM accounts | Aktiviert | Anonyme Verbindungen können keine Domain Account Usernamen auf den Workstations Ihrer IT-Infrastruktur enumerieren. |
Do not allow anonymous enumeration of SAM accounts and shares | Aktiviert | Anonyme Verbindungen können keine Domain Account Usernamen und Freigaben auf den Workstations Ihrer IT-Infrastruktur enumerieren. |
Network Security | ||
Do not store LAN Manager hash value on next password change | Aktiviert | Determiniert, ob ein der LAN Manager (LM) Hash-Wert für das neue Passwort gespeichert wird wenn das Passwort geändert wird. |
LAN Manager Authentication level | Send NTLMv2 response only. Refuse LM & NTLM | In Active Directory Domains ist das Kerberos Protokoll das standardmässig eingesetzte Protokoll. Sollte Kerberos aus irgendeinem Grund nicht erhalten werden, wird Active Directory LM, NTLM oder NTLMv2 verwenden. |
LDAP client signing requirements | Negotiate signing | |
Minimum session security for NTLM SSP based (including secure RPC) clients | Require NTLMv2 session security, Require 128-bit encryption | Legt die Regeln fest, wie Applikationen, die den NTLM Security Support Provider (SSP) verwenden, sich verhalten dürfen. |
Minimum session security for NTLM SSP based (including secure RPC) servers | Require NTLMv2 session security, Require 128-bit encryption | Legt die Regeln fest, wie Applikationen, die den NTLM Security Support Provider (SSP) verwenden, sich verhalten dürfen. |
Set client connection encryption level | Aktiviert | Spezifiziert, ob der Computer, der die Remote Connection hosten wird, ein Level der Verschlüsselung für den Datenverkehr zwischen Host und Client während der Remote Connection erzwingen wird. |
User Account Control | ||
Admin Approval Mode for the Built-in Administrator account | Aktiviert | Der eingebaute Administratoren-Account verwendet den Admin Approval Modus. Das heisst, dass jede Operation, die erweiterte Rechte benötigt, die Zustimmung des Users erforderlich macht. |
Behaviour of the elevation prompt for administrators in Admin Approval Mode | Prompt for consent on the secure desktop | Legt das Verhalten des Prompts für erweiterte Rechte für Administratoren fest. |
Behaviour of the elevation prompt for standard users | Automatically deny elevation requests | Legt das Verhalten des Prompts für erweiterte Rechte für Standard-User fest. |
Detect application installations and prompt for elevation | Aktiviert | Legt das Verhalten für das Erkennen von Applikations-Installationen fest. |
Windows Firewall | ||
Domain: Firewall state | On (recommended) | |
Domain: Inbound connections | Aktiviert | Das Default-Verhalten ist es, Verbindungen zu blockieren. Es sei denn, es sind Firewall Rules implementiert, die eine solche Verbindung zulassen. |
Private: Firewall state | On | |
Private: Inbound connections | Aktiviert | Das Default-Verhalten ist es, Verbindungen zu blockieren. Es sei denn, es sind Firewall Rules implementiert, die eine solche Verbindung zulassen. |
Public: Apply local connection security rules | No | Kontrolliert, ob lokale Administratoren die Erlaubnis haben, Connection Security Regeln zu erstellen, die gemeinsam mit den Group Policies angewendet werden. |
Public: Display a notification | No | |
Public: Firewall state | On | |
Public: Inbound connections | Enabled | Entscheidet über das Verhalten von inbound Connections, die nicht den inbound Firewall Rules entsprechen. Das Default-Verhalten ist es, Verbindungen zu blockieren. Es sei denn, es sind Firewall Rules implementiert, die eine solche Verbindung zulassen. |
Die Namen für die Einstellungen sind dem Microsoft Security Compliance Manager “SCM”: http://www.microsoft.com/en-us/download/details.aspx?id=16776 entnommen.
Hier sind einige fortgeschrittene Empfehlungen, die Sie zusätzlich implementieren können. Dies empfiehlt sich besonders auf sehr exponierten Geräten wie Notebooks oder Geräten mit Zugriff auf vertrauliche Daten:
Wenn eine dieser Empfehlungen nicht für Ihre IT-Infrastruktur geeignet sind, ziehen Sie Segregation oder Virtualisierung in Betracht. Möglich ist die Implementierung von Micro Virtualization Technologien wie Bromium vSentry oder in einem Remote Execution Environment in einer dedizierten VDI-Infrastruktur zu einem spezifischen Zweck (Internet-Browsing, zum Beispiel). Andere Technologien, die hier hilfreich sein könnten:
Die Idee hinter all diesen Empfehlungen ist es, die Rechte von Applikationen einzuschränken und Operationen so weit wie möglich auszulagern. Ganz nach dem Vorbild des Principles of Least Privileges.
Nein, das ist nicht das Ende… sondern nur der Anfang. Um einen alten Freund von mir zu zitieren: “Die Feineinstellungen bringen uns noch ins Grab!”
Viel Spass und langweilen Sie sich nicht. ;)
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!