Ratgeber Windows-Security

Windows 7 richtig absichern

29.07.2011 von Thomas Bär und Frank-Michael Schlede
Erfahren Sie, wie Sie Windows 7, Windows XP und Windows-Server im Netz wirksam gegen Viren, Würmer, Trojaner und andere Bedrohungen absichern.

Ohne eine Netzwerkverbindung zu anderen Maschinen dürfte die Sicherheit eines Computers in vielen Szenarien eher unwichtig sein. Ältere Systeme, die ausschließlich für die Ansteuerung von Maschinen oder die Steuerung einer Anlage ohne Kontakt zur Infrastruktur betrieben werden, arbeiten nicht selten jahrelang ohne ein einziges Update.

Im krassen Gegensatz dazu ist der gewöhnlichen Client-PC oder der stark frequentierte Terminal-Server einem tatsächlich existierendem Risiko ausgesetzt. Welche Möglichkeiten der Absicherung von Windows-Computern gibt es und mit welchem administrativen Aufwand ist dabei zu rechnen?

Windows 7 richtig absichern
Microsoft WSUS
Dank Microsoft WSUS ist die Verteilung und Organisation von Updates im Windows-Umfeld einfach und kostenlos möglich. Ein erweitertes Monitoring bietet das System jedoch nur im Zusammenspiel mit den professionellen Management-Lösungen von Microsoft.
Microsoft WSUS
Zu jedem Sicherheitsupdate in WSUS erhält der Administrator dieselben Informationen wie beim Zugriff auf „Windows Update“ im Internet.
Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer (MBSA) ist ein kostenloses Tool um die grundlegenden Sicherheitseinstellungen von Windows-Systemen im Netzwerk zu prüfen.
Microsoft Baseline Security Analyzer (MBSA)
MBSA liefert zu jeder Einstellung präzise Hintergrundinformationen.
Gruppenrichtlinien
Die Windows-Firewall lässt sich auch unter Windows XP/2003 sehr fein über Gruppenrichtlinien steuern.
Zentrale Verwaltung
Eine zentrale Verwaltung mit Verteilung von AV-Pattern und AV-Agents ist das wichtigste Merkmal für eine professionelle Antivirenlösung.
Norman Network Protection Appliance
Die Norman Network Protection Appliance ist ein transparenter Netzwerkfilter der den Datenstrom auf Schädlinge prüft, ohne dass eine Komponente auf dem Client/Server direkt zu installieren wäre.
Network Access Protection (NAP)
Mit „Network Access Protection“ (NAP) des Windows Server ist der Administrator in der Lage den Sicherheitsstatus von Windows-Clients beim Netzwerkzugriff zu erzwingen.
NAP
Ohne den passenden Sicherheitsstatus verhindert NAP den Zugriff auf das Netzwerk.
Datenausführungsverhinderung
Die Datenausführungsverhinderung in Windows im Zusammenspiel mit der passenden Hardware bietet sich zu weiteren Erhöhung der Sicherheit im Unternehmensnetzwerk an.

Tipp 1: Halten Sie Windows auf dem neuesten Stand

Microsoft WSUS macht die Verteilung und Organisation von Updates im Windows-Umfeld einfach und kostenlos möglich.

Microsoft macht es den IT-Verantwortlichen glücklicherweise recht einfach, die in der Firma eingesetzten Client-Computer und Server-Systeme auf dem neuesten Stand zu halten. Die wichtigste Lösung hierzu ist die Windows-Komponente WSUS (Windows Server Update Services). Dabei handelt es sich um eine von Microsoft bereitgestellte Patch- und Updatesoftware, die aus einer Server- und einer Client-Komponente besteht. WSUS unterstützt Administratoren dabei, die notwendigen Updates in lokalen Netzwerken zentral auszuliefern. Einfach ausgedrückt handelt es sich beim WSUS um die lokal zu installierende Variante des aus dem Internet bekannten "Microsoft Update"-Dienstes. Sobald der Hersteller ein Service Pack, Hotfix oder Patch für seine Produkte im Internet bereitstellt, wird dies in der lokalen Installation heruntergeladen. Wann diese Korrekturen auf welchen Computern installiert werden sollen, das entscheidet der Administrator.

Die WSUS-Software kann auf jedem Windows Server 2003 SP1 oder höher eingerichtet werden. Die Installation selbst dauert nur wenige Minuten, das Herunterladen der verschiedenen Updates kann, in Abhängigkeit von der Geschwindigkeit der Internetanbindung, mehrere Stunden dauern. Dabei wird zunächst der Client über die Gruppenrichtlinie oder außerhalb einer Domänenstruktur über die Registry konfiguriert.

Danach können Administratoren die Verteilung aller durch Microsoft Update veröffentlichten Softwareupdates auf Computern im Netzwerk zentral über ein Snap-In der Microsoft Management Console (MMC) steuern. Darüber hinaus kann ein WSUS Server als Updatequelle für untergeordnete WSUS Server dienen, was den Aufbau einer Kaskade in einem verteilten Netzwerk ermöglicht. Microsoft hat in die Betriebssysteme Windows 2000 mit SP3, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 und Windows 7 bereits eine Client-Komponente integriert. Sie ermöglicht es Server- und Client-Computern, Updates von Microsoft Update oder von einem Server zu beziehen, auf dem WSUS ausgeführt wird. Die korrekte Reihenfolge der Aktualisierung und die passende Version, ob x86- oder x64-Patch, legt der WSUS selbst fest. Der zuständige Administrator muss sich um derlei Details nicht selbst kümmern.

Die aktuell gebräuchliche Version 3 der Windows Server Update Services ist bereits seit dem Jahr 2007 auf dem Markt und wurde in vielen Details gegenüber den direkten Vorgängern verbessert. Verschachtelte Gruppen, so genannte "Nested Target Groups", sind ebenso wie ein grundlegendes Reporting mit Export an Microsoft Excel und PDF und eine eingebaute E-Mail-Benachrichtigung möglich. Für ein ausführlicheres Aktivitäten-Monitoring ist WSUS jedoch auf die Zusammenarbeit mit dem kostenpflichtigen Microsoft Operations Manager 2005 (MOM) oder dem ebenfalls käuflich zu erwerbenden Microsoft SCCM (System Center Configuration Manager) angewiesen. Aber auch ohne diese Erweiterung bietet der WSUS die zentral gesteuerte Aktualisierung beinahe aller Microsoft-Programme, vom Betriebssystem über Server-Anwendungen bis hin zu Microsoft Office und dem kleinen (bereits abgekündigten) Microsoft Works Paket.

Tipp 2: Kostenloser Sicherheitscheck für Windows 7 und Windows Server

Microsoft Baseline Security Analyzer (MBSA) ist ein kostenloses Tool um die grundlegenden Sicherheitseinstellungen von Windows-Systemen im Netzwerk zu prüfen.

Welche Aktualisierungen einem Windows-PC fehlen, ermittelt eine Software-Komponente, die auch zentral eingesetzt werden kann. Der Microsoft Baseline Security Analyzer (MBSA) ist ein kleines Tool, das Unternehmen dabei hilft, den Sicherheitsstatus der Maschinen mit den Sicherheitsempfehlungen des Herstellers abzugleichen.

Neben der einfachen Feststellung, welche Patches und Updates fehlen, analysiert der MBSA auch häufig vorkommende Fehler in der Sicherheitskonfiguration von PCs und Servern. MBSA wird laut Informationen von Microsoft von vielen Drittanbietern von Sicherheitsprodukten eingesetzt. Damit dürften pro Woche durchschnittlich mehr als drei Millionen Computer weltweit mit diesem Tool geprüft werden.

Aktuell wird MBSA kostenlos in der Version 2.2 angeboten, die Windows 7 und den Windows Server 2008 R2 unterstützt. In dieser Version wurde erstmals auch die uneingeschränkte Unterstützung für die 64-Bit-Plattformen und Sicherheitsrisikobewertungen von 64-Bit-Plattformen und -Komponenten umgesetzt.

Tipp 3: Ohne Virenschutz geht es nicht

Eine zentrale Verwaltung mit Verteilung von AV-Pattern und AV-Agents ist das wichtigste Merkmal für eine professionelle Antivirenlösung.

Ohne einen adäquaten Virenschutz kommt kein Unternehmen aus. Angesichts der geschätzten 40 Millionen digitaler Plagegeister kein Wunder. Zu groß ist das Risiko, welches von malignen Programmen, seien es nun Würmer, Trojaner, Viren oder andere Schadsoftware, ausgeht. Die AV-Lösungen für den Privat-PC sind mit vielen Zusatzfunktionen wie einer vermeintlich verbesserten Firewall oder einem Anti-Spam-Filter aufgewertet. Enterprise- oder Business-Varianten der Programme verzichten üblicherweise auf derlei Zusätze.

Für den professionellen Einsatz gibt es ausgereiftere Lösungen. Beispielsweise wird eine Anti-Spam-Software durch den Administrator zentral in der DMZ eingesetzt und verhindert den Empfang von unerwünschter Post bereits an dieser Stelle. Für das Unternehmensumfeld bedarf es einer zentralen Management-Lösung, die möglichst automatisiert die AV-Updates auf die Client-Systeme bringt.

Faktisch jeder namhafte Hersteller von AV-Programmen verfügt über eine Business-Variante, die über eine zentrale Konsole Client-Computer automatisch oder auf Mausklick mit dem AV-Agent ausstatten kann. Je nach Konfiguration aktualisieren sich bei derartigen Lösungen alle PCs im Netzwerk vollautomatisch sobald der Hersteller die AV-Pattern aktualisiert. Der Administrator kann aber auch einen speziellen Testbereich anlegen, in dem dann alle Updates zunächst auf die Zusammenarbeit mit den gebräuchlichen Programmen hin geprüft werden.

Tipp 4: Schützen sie alte Rechner und Legacy-Awendungen

Es ist sicher kein Problem, für aktuelle PCs einen Virenschutz bereitzustellen. Aber wie steht es mit den Alt-Rechnern, auf denen einzelne Legacy-Applikationen betrieben werden müssen? Oder dem alten Windows NT4-Server mit einer mehr als zehn Jahre alten Datenbank, von der kein Mitarbeiter mehr weiß, wie sie überhaupt eingerichtet wurde? Viele Legacy-Applikationen können als virtuelle Applikationen oder in virtuellen Maschinen weiterbetrieben werden. Ohne direkten Netzwerkzugriff stellen sie dann keine Gefahr für die Sicherheit im Unternehmen mehr dar. Bei den Alt-Servern ist das möglicherweise etwas komplizierter. Für solche Fälle bieten sich Spezialvarianten des Virenschutzes an, wie die "Norman Network Protection" Appliance.

Die Norman Network Protection Appliance ist ein transparenter Netzwerkfilter der den Datenstrom auf Schädlinge prüft, ohne dass eine Komponente auf dem Client/Server direkt zu installieren wäre.

Diese vom norwegischen Hersteller Norman 2006 erstmalig vorgestellte Norman Network Protection (NNP) Appliance ist eine integrierte Hard- und Softwarelösung zum Schutz der Kommunikationsinfrastruktur vor schädlichen Programmen wie Viren, Spyware, Würmern und Trojanern. Die NNP ist im Netzwerk so zu positionieren, dass der zu überwachende Datenstrom durch den Server fließt. Jedes Datenpaket wird durch den integrierten Scanner transparent auf Schädlinge überprüft.

Dass dieser Vorgang wirklich transparent ist zeigt sich darin, dass die Netzwerk-Interfaces weder über IP-Adressen verfügen noch dass der Systemverwalter zum Einsatz der Appliance etwas an den Routing-Einstellungen verändern muss. Findet die NNP einen Virus oder sonstigen Schädling, so wird dieser aus den Datenpaketen entfernt oder eine Warnung an die Administration geschickt. Die NNP ist keine Firewall - trotzdem lässt sich der Datenverkehr über BitTorrent, FTP, POP, RPC, FTP, TFTP, CIFS oder SMTP als Protokoll durch sie mit wenigen Einstellungen unterbinden.

Tipp 5: Nutzen Sie die Windows-Firewall

Die Zeiten des stets als unsicher verschrienen Betriebssystems Windows sind glücklicherweise vorbei. Microsoft hat mit dem Service Pack 2 von Windows XP einen entscheidenden Schritt zur Erhöhung der Betriebssicherheit vollzogen: Die Windows-Firewall ist in der Standardeinstellung aktiviert und muss nicht erst eingeschaltet werden. Dieser Schritt zu einem Mehr an Sicherheit betrifft jedoch in erster Linie die privat verwendeten Computer: In vielen Unternehmen wird die Firewall über eine Gruppenrichtlinie deaktiviert, um Probleme mit verschiedenen Applikationen bereits im Vorfeld zu umgehen.

Dieser Schritt ist zwar aus administrativer Sicht für den ungestörten Betriebsablauf absolut verständlich - mit Blick auf die Betriebssicherheit jedoch äußerst kurzsichtig. Die Argumentation, dass sich das komplette Netzwerk ja hinter einer teuren und gut konfigurierten Firewall befindet, greift zu kurz. Ein Schädling, der innerhalb des Unternehmensnetzwerks freigesetzt wird, hat so ein ungehindertes Spiel.

Die Windows-Firewall ein gut geeignetes Mittel, die allgemeine Sicherheit zu vergrößern. Ein großer Vorteil der eingebauten Variante besteht darin, dass sie sich über Gruppenrichtlinien sehr leicht und detailliert durch den Administrator steuern lässt. Der zeitliche Aufwand ist dabei weitaus geringer, als es auf den ersten Blick den Anschein macht.

Die Aufgabe des Administrators besteht darin, die für den Betrieb der Programme benötigten Port-Adressen für TCP und UDP zu ermitteln und entsprechend freizugeben. Eine weitere Variante besteht darin, den jeweiligen Applikationen den Zugriff auf Netzwerkressourcen grundsätzlich zuzugestehen. Eine detaillierte Beschreibung zur Aktivierung und Steuerung der Firewall unter Windows XP und "Verwalten der Vista-Firewall" (gilt ebenfalls für Windows 7) bietet Microsoft auf der Technet-Webseite.

Tipp 6: Aktualisieren Sie Browser und zugehörige Komponenten

Die Windows-Firewall lässt sich auch unter Windows XP/2003 sehr fein über Gruppenrichtlinien steuern.

Firewall einschalten, Windows auf dem neuesten Stand zu halten und mit aktuellen AV-Pattern versorgen - das allein ist leider nicht mehr ganz zeitgemäß. Nach mobilen Datenträgern und der E-Mail ist das Surfen im Internet nach wie vor das Haupteinfallstor für Schädlinge. Zwar erhöht die Antiviren-Lösung auch in diesem Fall die Sicherheit, aber es ist weitaus wichtiger, den Browser und dessen verwendete Komponenten auf dem neuesten Stand zu halten.

Ein veralteter Mozilla Firefox mit einer wohlbekannten Anzahl von Sicherheitslücken ist gegen einen gezielten Angriff deutlich weniger standhaft, als ein frisch gepatchter Microsoft Internet Explorer. Viele Administratoren achten jedoch in erster Linie auf die Aktualisierung ihrer Microsoft-Produkte und übersehen die große Anzahl anderer Applikationen. Adobe Flash, Google Chrome, Mozilla Firefox und Adobe Acrobat bedürfen der vergleichbaren Aufmerksamkeit, da es sich bei diesen Programmen ebenfalls um Standardanwendungen handelt, die faktisch in jedem Unternehmen eingesetzt werden.

Die für den Administrator einfachste Form der Aktualisierung ist eine Softwareverteilung. MSI-Pakete per GPO im Active Directory zu verteilen ist zwar kostenlos und relativ leicht umzusetzen, doch es mangelt an Kontrollmöglichkeiten und an einer brauchbaren Fehlerberichterstattung. Die verschiedenen Freeware-Programme könnten sich auf lange Sicht als teuer herausstellen, da der Zeitaufwand bis zur effektiven Nutzung möglicherweise hoch ist. Professionelle Lösungen wie Microsoft SCCM, Matrix42 Empirum, Baramundi Deploy, Aagon ACMP oder Frontrange Desktop Management sind in vielen Konstellationen die geeigneteren Programme, da sie Abhängigkeiten zur bisherigen Softwareausstattung prüfen und einen Überblick über die Gestalt der aktuell eingesetzten Versionen bieten.

Tipp 7: Erweiterter Netzwerkschutz im Windows-Server 2008

Mit „Network Access Protection“ (NAP) des Windows Server ist der Administrator in der Lage den Sicherheitsstatus von Windows-Clients beim Netzwerkzugriff zu erzwingen.

Mit Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Original als "Network Access Protection" (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk erheblich zu verbessern.

Es handelt sich hierbei nicht um einen Schutzmechanismus wie etwa eine "Firewall", bei der Zugriffe von oder auf Netzwerkadapter überwacht werden. NAP geht über die üblichen Sicherheitsfunktionen hinaus: Ein Computer, der sich mit dem Unternehmensnetzwerk verbinden möchte, wird zunächst dahingehend überprüft, ob alle benötigten Einstellungen vorhanden sind, ehe der Netzwerkkontakt überhaupt erlaubt wird. Fehlt beispielsweise ein entscheidender Sicherheits-Patch auf einem Computer, so wäre diese Maschine eine potentielle Gefahr für andere Computer im Netzwerk - sie erhält dann keinen Zugang zum derart geschützten Firmennetzwerk!

Andere Sicherheitsfunktionen der Betriebssysteme waren im Vergleich zu NAP eher passiver Natur. WSUS verteilt zwar Patches im lokalen Netzwerk, doch gab es bisher keine Möglichkeit für Administratoren, die Existenz eines Patches als Voraussetzung für einen Netzwerkzugriff zu definieren. Dieser Missstand ist mit NAP für alle aktuellen Windowsversionen behoben worden.

Vor der Einführung von NAP durch Microsoft war eine vergleichbare Funktionalität in Windows-Netzwerken nur durch Zuhilfenahme von Programmen von Drittherstellern, wie beispielsweise Cisco, möglich. Die verbreitete Bezeichnung für diese Technologie nennt sich, abweichend von der Produktbezeichnung von Microsoft, "Network Admission Control" (NAC).

Sinn und Zweck von NAP ist es, die Sicherheitsrichtlinien im Netzwerk zu erzwingen und nicht Computer plump vom Netz auszuschließen. Fehlt beispielsweise ein Patch auf einem Rechner, so soll diesem die Möglichkeit gegeben werden diesen nachträglich zu installieren. Während dies geschieht, kann dann je nach Konfiguration ein eingeschränkter Netzwerkzugriff zulässig sein.

Tipp 8: Windows-Security weiter gedacht

Die Datenausführungsverhinderung in Windows im Zusammenspiel mit der passenden Hardware bietet sich zu weiteren Erhöhung der Sicherheit im Unternehmensnetzwerk an.

Es gibt weit mehr Funktionen die den Betrieb von Windows im Unternehmen sicherer machen: So unterbricht beispielsweise die Datenausführungsverhinderung (DEP) den Start von unerwünschten Programmen. In absehbarer Zeit werden Administratoren deutlich mehr gefordert sein, die in ihren Umgebungen benötigten Programme exakt zu definieren und anderen Anwendungen den Start zu untersagen (Whitelisting). Der PC im Sekretariat muss einfach nicht mehr und nicht weniger können, als Office-Programme auszuführen, den Browser zu öffnen und Ausdrucke anzufertigen.

Ob kleinere Unternehmen über das entsprechende Know-how für die Umsetzung derlei Anforderungen verfügen, dass sei zunächst einmal dahingestellt. Möglicherweise ist es sinnvoller, einen externen Dienstleister als "full service" für das Hosting zu beauftragen. Ein solches Modell bietet beispielsweise schon heute die Firma Keepbit in Landsberg am Lech an: Das "All Inclusive"-Paket der Firma umfasst die Lieferung von ThinClients, den kompletten Betrieb der Server-Umgebung nebst Softwarelizenzen, Antivirus und Backup.

Tipp 9: Was Banken Windows-Nutzern raten

Wer könnte besser Ratschläge zur Sicherheit von Computern geben als die Institutionen, die täglich mit großen Mengen an Geld zu tun haben? Der Bankenverband gibt eine Broschüre mit dem Titel "Online-Banking-Sicherheit" heraus, die in der Regel einmal jährlich neu aufgelegt wird. In der achten Auflage vom März 2009 sind zehn Sicherheitsregel für Bankkunden aufgeführt, von denen einige auch direkt auf jeden x-beliebigen Computer in Unternehmensnetzwerken anwendbar sind.

Aktuelle Sicherheitssoftware, unter anderem einen Virenscanner, soll eingesetzt werden - so lautet der erste Sicherheitshinweis. Weitere Sicherheitstipps nennen dann die Nutzung von sicheren Verbindungen bei der Übertragung von Informationen über das Internet durch Verwendung von "Hypertext Transfer Protocol Secure" (https), die Wahl eines sicheren Passwortes und den Einsatz aktueller Programmversionen, sowohl beim Betriebssystem als auch beim Browser.

Auch der achte Tipp in der Aufzählung sollte außerhalb des Online-Bankings ebenfalls Beachtung finden: die Durchführung eines Sicherheitschecks. Insgesamt sind die in der Broschüre genannten Empfehlungen mit relativ geringem Aufwand in jedem Unternehmen umsetzbar.

Mittelfristig betrachtet spart der Einsatz von neuesten Programmversionen und Updates sogar Zeit und Geld. Denn durch sie wird die Wahrscheinlichkeit einer möglichen Unterbrechung der IT im Unternehmen durch eine Infektion mit Schadsoftware erheblich reduziert.

Der Beitrag stammt von der ChannelPartner-Schwesterpublikation Computerwoche. Die Autoren sind Thomas Bär, freier IT-Journalist und Frank-Michael Schlede, freier IT-Fachjournalist in Pfaffenhofen an der Ilm.