Sicherheit im Internet - Vertiefung - GWDGhbeck/SicherheitImInternetVertiefung.pdf · Sicherheit im...

1

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen

Am Fassberg, 37077 Göttingen

Fon: 0551 201-1510 Fax: 0551 [email protected] www.gwdg.de

von

Sicherheit im InternetSicherheit im Internet-- Vertiefung Vertiefung --

Holger Beck

2

ThemenThemen

Bits und Bytes zu ausgewählten Themen• Personal Firewalls• Betriebssystem Windows XP

- Anpassung der Installation- Software Update Service (SUS)

• Browser-Konfiguration• Mailprogramme• Virenscanner• Was tun mit kompromittierten Systemen?

2

3

Hintergrund: Hintergrund: IPIP--AdressenAdressen

Internet Protocol (IP) – Basis der weltweiten Kommunikation im NetzVerbindungen im Internet erfolgen über IP-Adressen• vergleichbar Telefonnummern• bestehen aus 4 Zahlen zwischen 0 und 255• Beispiel: 134.76.10.47

Namen von Internetservern• nur eine Hilfe für Nutzer• Beispiel: www.gwdg.de• Umsetzung über Domain Name Service (DNS) – automatische

TelefonauskunftÜber die IP-Adressen, das IP-Protokoll und die Netzwerkinfrastruktur aus „Routern“ und Kabeln wird die Erreichbarkeit von Rechnern sichergestellt.

4

Hintergrund: PortsHintergrund: Ports

Rechner haben verschiedene Funktionen (Dienste)• Zusätzliche Angabe des Dienstes nötig• Spezielle Protokolle zusätzlich zu IP („höhere

Protokollschichten“)• Gängige Protokolle:

- TCP (Transmission Control Protocol)- UDP (User Datagram Protocol)

• Bei beiden Spezifikation von Diensten über „Portnummern“ zwischen 1 und 65535 (216 -1)

• Jedem Dienst wird im Internet eine Nummer zugeordnet.

- Beispiel: Der Dienst http erhält immer die Nummer 80

3

5

Hintergrund: Beispiel bekannter PortsHintergrund: Beispiel bekannter Ports

Beispiele bekannter Portnummern (Windows-typisch):• 22 SSH (Verschlüsselte Dialogzugänge unter UNIX)• 25 SMTP (Mail verschicken, Mailempfang auf Servern)• 53 DNS (Umsetzung zwischen IP-Adressen und Domänennamen• 80 HTTP (WWW-Seiten ansehen)• 110 POP3 (Mail aus Postfach abholen)• 135 Microsoft RPC Service (Blaster-Virus u.a.)• 137 netbios name service (Netbios-Namensauflösung, WINS)• 138 netbios datagram service (Browsing, Net Send, Benachrichtigungen)• 139 NETBIOS Session Service (Netzlaufwerke u.a.)• 443 HTTPS (WWW-Seiten über verschlüsselte Kommunikation ansehen)• 445 CIFS (Netzlaufwerke u.a. ab Windows 2000 – Sasser-Wurm u.a.)• 1214 KAZAA (Tauschbörse)• 1026 mstask (MS-Taskplaner)• 1900 Simple Service Discovery Protocol, z. B. uPnP• 3389 RDP (Remote Desktop unter Windows)• 5000 uPnP (Universal Plug & Play)• 6666-6669 IRC (Chat)• Ports unter 1024 sind privilegiert, d.h. nur Systemprozess dürfen diese verwenden.

Listen von Ports im Internet• z. B.: http://www.khine.de/tools/portlist

6

Hintergrund: Ports Hintergrund: Ports -- AnwendungAnwendung

Feste und dynamische Portnummern• Dienste eine Servers benutzen vordefinierte, feste

Portnummern.• Auch Klienten verwenden auf ihrer Seite Portnummern,• wählen diese aber dynamisch.

Sockets• ein Paar aus IP-Adresse + Port wird Socket genannt• eine Verbindung wird durch ein Paar (Client + Server) von

Sockets beschrieben.Einige Anwendungen verwenden getrennte Verbindungen fürSteuerung der Kommunikation und für die Datenübertragung• FTP (File Transfer Protocol)• einige Formen von Video- und Sprachanwendungen• Portnummern für Datenverbindungen werden dabei im

Steuerkanal dynamisch ausgehandelt- kann für Firewalls ein Problem werden

4

7

PortscansPortscans

Angreifer testen über das Netz, auf welche Ports ein Rechner antwortet.Programme für solche Portscans sind frei verfügbarPortscans finden permanent stattPortscans liefern Hinweise auf Betriebssysteme

8

Welche Dienste horchen auf meinem Rechner ins Welche Dienste horchen auf meinem Rechner ins Netz?Netz?

netstat• betriebssystem-eigenes Programm in der Kommandozeile• netstat –a zeigt alle Verbindungen an• netstat –an zeigt Nummern statt Namen• Inhalte: Sockets, Zustand• Option –o zeigt ab Windows XP auch die lokale Prozessnummer

tcpview• fensterorientiertes Programm• von Sysinternals (www.sysinternal.com)• zeigt auch Namen des Programms an

fport• Programm für Kommandozeile• zeigt auch den vollen Pfad des laufenden Programms an

- nützlich bei forensischen Untersuchungen• von Foundstone (www.foundstone.com)

5

9

Aufgaben einer Personal Aufgaben einer Personal FirewallFirewall

Grundfunktion: Filtern eingehender Verbindungen• Einschränkung auf Basis von IP-Adressen und Ports, • z. B. um Dienste nur bestimmten Rechnern zu ermöglichen• Schutz gegen Portscans

Filtern ausgehender Verbindungen (nicht immer vorhanden)• Kann vor Trojanern, Spyware und anderen unerwünschten

Programmaktivitäten schützenZusatzfunktionen einiger Produkte • Überprüfung ob Programme geändert werden (kryptographische

Prüfsummen)• Prüfung, welche Programme andere Programme starten

(regelbasiert, ggf. mit Rückfrage an Nutzer)

10

Probleme der Personal Probleme der Personal FirewallFirewall

Problem der Definition der Regeln• nur einfache Regeln ohne gute Netzwerkkenntnisse zu

verstehen- z. B. das Verbieten aller eingehenden Verbindungen in

Windows-eigener Firewall• komplexere Regeln überfordern normalen Nutzer

- bei Verbindungen, zu denen keine Regel existiert, fragt die Firewall den Anwender

- Was soll der Anwender machen? Alles erlauben? Alles verbieten?

Personal Firewalls lassen sich relativ leicht ausschalten (auch von Viren und Trojanern)Verteidigung durch Personals Firewalls erst auf dem gefährdeten System

6

11

Personal Personal FirewallFirewall –– FFüür und Widerr und Wider

Argumente gegen Personal Firewall• Überforderung der Nutzer mit Bedienung,• zu leicht auszuhebeln,• statt Angriffe blockieren besser die Angriffstellen entfernen

(Dienste gar nicht installieren),• wiegt Nutzer in falscher Sicherheit,• kann zu unerwarteten Fehlfunktionen führen (insbesondere mit

neuer, nicht richtig berücksichtigter Software)Argumente für Personal Firewall• zusätzlicher Schutz ist immer gut,• bei doppelter Absicherung bleibt noch eine Sicherung, wenn

eine einmal versagt,• Schutzfunktion auch im lokalen Netz (in dem eine zentrale

Firewall nicht mehr helfen kann),• Schutz eines neu installierten Systems vor/während Installation

der Patches,

12

Personal Personal FirewallFirewall –– Ja oder nein?Ja oder nein?

Unbedingt ja direkt nach der Installation eines neuen Systems bevor es erstmals ans Netz geht, um die aktuellsten Patcheseinzuspielen!Ansonsten: in der Regel ja• die Internet Verbindungsfirewall (Internet Connection Firewall,

ICF) von Windows XP in der Standardkonfiguration bietet zusätzlichen Schutz ohne wesentliche Nachteile

• der Benutzer wir bei der einfachen Grundkonfiguration nicht überfordert

• bei älteren Systemen lässt sich eine ähnliche Grundkonfiguration z. B. mit Kerio aufbauen

Bei Notebooks und mobilen Rechner: ja• insbesondere in fremden Netzen• aber auch im Institut (sonst vergisst man zu schnell das

Reaktivieren)

7

13

Kostenlose ProdukteKostenlose Produkte

Für Einsteiger geeignet, da sie über kein kompliziertes Regelwerk verfügen:• Internet Connection Firewall (ICF) – in XP eingebaute Firewall• ZoneAlarm 4.5 - www.zonelabs.com

www.gwdg.de/samba/windows/persfw/zlsSetup_45_594_000.exe• Deutsche Oberfläche!

Eher für fortgeschrittene Anwender:• Kerio Personal Firewall 2.1.5 - www.kerio.com

www.gwdg.de/samba/windows/persfw/kerio-pf-215-en-win.exe• Kerio Personal Firewall 4.1.0 - www.kerio.com

www.gwdg.de/samba/windows/persfw/kerio-pf-4.1.0-en-win.exe

14

ICFICF

Internet Connection Firewall = Internet Verbindungsfirewallintegriert in Windows XP, verbessert und automatisch aktiviert ab Service Pack 2unterstützt den Stealth-Mode: die Rechner sind von außen unsichtbarsie schützt aber nur von außen nach innen, nicht jedoch vor Verbindungsversuchen lokaler Software (Trojaner, Spyware)guter Schutz gegen Würmer wie Blaster und SasserKonfiguration• Start > Systemsteuerung > Windows-Firewall• Einstellung: Aktiv (empfohlen)• über das Registermenü Ausnahmen können

verschieden Dienste erlaubt werden• über das Registermenü Erweitert lassen sich

die Netzwerkverbindungen angeben, für die die ICF gelten soll

8

15

ICF (2)ICF (2)

wichtig: für die IFC wird der Dienst "Gatewaydienst auf Anwendungsebene“ benötigterstellt Protokoll-Datei in <Lw>:\Windows\pfirewall.log

Programm zur besseren Betrachtung dieses Logfiles: XP Firewall Logger 2.1a v. Robert McBridehttp://www.gwdg.de/samba/winxp/XPLogReader.zip

16

Testen einer Personal Testen einer Personal FirewallFirewall

Penetrationstest:• Leaktest v. Gibson Research Corp.

http://grc.com/lt/leaktest.htm• FireHole v. Robin Keir

http://keir.net/firehole.htmlScans von außen mit Portscannern• wie nmap 3.0 • oder SuperScan 3.0

Tests mit einem der Security-Scanner wie• nessus, www.nessus.org• Languard, www.gfi.com/languard

9

17

Betriebssystem WindowsBetriebssystem Windows

Windows-Systeme als Angriffsziel• weite Verbreitung = Große Erfolgsaussichten• weite Verbreitung = bekannte Systeme und Schwächen

Sicherheitskonzept• Microsoft

- Software-Update- Personal Firewall- Virenschutz

• und zusätzlich- sichere Konfiguration- Sicherheitsbewusstsein- Angriffsfläche minimieren durch Entfernen unnötiger Komponenten- externe Sicherheitsmaßnahmen (z.B. Firewall, Netzwerkstrukturen)

18

WindowsWindows--VersionenVersionen

Hier Konzentration auf Windows XP (Professional)Ältere Windows-Versionen?• Win9x kennt eigentlich keinerlei lokale Sicherheit

- keine Benutzerverwaltung- FAT-Dateisystem kann nicht sicher konfiguriert werden

(Vollzugriff für jeden)- Als professionelles System eigentlich ungeeignet

• Win9x-Sicherheit im Netz- Geringere Angriffsfläche (z.B. kein Angriff von Blaster-

Wurm)- solange keine Freigaben vorhanden!- Durch schlechte lokale Sicherheit höhere Gefahr bei

Netzwerkanwendungen (Explorer, Outlook, …)• Auslaufende Unterstützung für Win9x, Windows NT bei

Microsoft• Windows 2000 in vielem ähnliche wie Windows XP

10

19

Startpunkt StandardinstallationStartpunkt Standardinstallation

Nach Installation von Windows XP plus SP2 von CDBenutzerverwaltung• neue Benutzer in der Installation ohne Kennwörter eingerichtet• Administrator-Konto fehlt auf Anmeldebildschirm

Dateisystem• Alle Partitionen mit NTFS einrichten• Konvertierung von FAT zu NTFS ist problematisch

- CONVERT konfiguriert keine Restriktionen in den Zugriffsrechten (Vollzugriff für „Jeder“)!

- Zugriffsrechte der Systempartition muss dann nachbearbeitet (mitSicherheitsvorlagen oder Tools aus Ressource Kit oder manuell)

Nächste Schritte• Computerverwaltung (Systemsteuerung > Verwaltung)• Lokale Sicherheitsrichtlinie (dto.)

20

BenutzerkontenBenutzerkonten

Die Standardinstallation enthält überflüssige Konten• SUPPORT_nnnnnnnn• Hilfedienstkonto• zumindest das Support-Konto löschen

Gast-Konto• deaktivieren (nach der Installation schon deaktiviert)• umbenennen• Löschen nicht möglich und von Microsoft nicht vorgesehen• mit delguest-Tool möglich

Zusätzliches Konto mit Administrator-Recht• Möglichst wenige Personen mit Administratorrechten• Keine gemeinsam genutzten Konten• Option: Kennwort des Kontos mit RID 500 im Safe (möglichst lang und komplex)

für Notfälle• Unterschiedliche Konten für jeden Rechner?

Normale Arbeiten am Rechner nur mit Benutzerrechten• Schadensminimierung, wenn doch mal Viren, Würmer, Trojaner geladen werden• Was der Benutzer nicht darf, darf ein vom Benutzer gestarteter Schädling auch

nicht• Ggf. „Ausführen als“ nutzen

11

21

Probleme des Kontos Probleme des Kontos „„AdministratorAdministrator““

Das Administrator-Konto ist das erste Angriffsziel• Das Konto ist hat höchste Privilegien• Der Benutzername ist bekannt, nur das Kennwort muss geraten werden• Das vordefinierte Administrator-Konto unterliegt keinen Sperrungen!

- Kennwortrateangriffe können beliebig lange laufenAdministrator umbenennen

• Eine Hürde mehr,• aber die SID (Security Identifier) des „Administrator“ behält ihren bekannten Wert

(SID des Rechner mit RID 500)• mit Tools zum Auslesen der SIDs kann man den neuen Namen ermitteln• trotzdem umbenennen, denn viele Angriffe zielen nur auf den Namen

„Administrator“• auch die Beschreibung ändern

Dummy-Administrator einrichten• neuer Benutzer mit Name Administrator • ohne Gruppenzugehörigkeiten (und Rechte)• mit der Standardbeschreibung „Vordefiniertes Konto …“• sehr langes und komplexes Kennwort wählen• beschäftigt einen Angreifer erstmal ohne große Gefahr für das System• aber Angriffsversuch wird ggf. sichtbar

22

KontorichtlinienKontorichtlinien

Kennwortrichtlinien• Komplexität der Kennwörter sollte aktiviert werden• Minimale Kennwortlänge: 6-8 mindestens (Problem LM-Hash= 2x7)• Maximales Kennwortalter zwingt zu Änderungen des Kennwort

(Kennwörter sollten regelmäßig geändert werden!)• Minimales Kennwortalter verhindert sofortige Änderung auf alten Wert• Kennwortchronik verhindert zu schnelle Wiederverwendung von

KennwörternKontosperrungsrichtlinien• Schutz gegen Kennwortrateangriffe (online)• Vorübergehende Sperrung nach N Anmeldefehlversuchen innerhalb

eines definierbaren Zeitraums t• Dauer der Sperrung für Zeitraum S• Üblich N=5, t=S=30 Minuten• S=0 bedeutet Sperrung kann nur manuell aufgehoben werden (für

besonders sensible Systeme/Konten erwägen)Seiteneffekt der Kontosperrung• Falsches Kennwort gibt nach Sperrung andere Meldung

12

23

ÜÜberwachungsrichtlinienberwachungsrichtlinien

Steuerung der Aufzeichnungen im Ereignisprotokoll „Sicherheit“In Standardinstallation komplett deaktiviertZumindest Fehler überwachen (außer Prozessverfolgung)

FehlerErfolgRichtlinie

⌧Systemereignisse überwachen

⌧⌧Richtlinienänderungen überwachen

⌧?Rechteverwendung überwachen

Prozessverfolgung überwachen

⌧Objektzugriffsversuche überwachen

⌧⌧Kontenverwaltung überwachen

⌧?Anmeldeversuche überwachen

⌧⌧Anmeldeereignisse überwachen

⌧Active Directory-Zugriff überwachen

24

SicherheitsoptionenSicherheitsoptionen

Herunterfahren:• Auslagerungsdatei des virtuellen Arbeitsspeichers löschen: aktivieren• Herunterfahren des Systems ohne Anmeldung zulassen: deaktivieren

Interaktive Anmeldung:• Anzahl zwischengespeicherter Anmeldungen: 0 bei

Domäneneinbindung• Keine STRG-ALT-ENTF erforderlich: deaktivieren• Letzten Benutzernamen nicht anzeigen: aktivieren

Microsoft-Netzwerk (Client):• Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden:

deaktivierenNetzwerksicherheit:• Keine LAN Manager-Hashwerte für nächste Kennwortänderung

speichern: aktivieren (soweit nicht von älteren Clienten benötigt)• LAN Manager-Authentifizierungsebene: Nur NTLMv2-Antworten

senden\LM & NTLM verweigern (soweit nicht von älteren Clientenbenötigt)

• Win9x mit DSClient NTLMv2-fähig machen (W2k-CD \Support)

13

25

AnmeldebildschirmAnmeldebildschirm

Administrator sichtbar machen• Registry-Wert erzeugen

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/SpecialAccounts/UserList/kontoname

(Typ DWORD) Wert =1 • Geht auch mit TweakUI-Programm

Alte Anmeldeprozedur (statt „Willkommensseite“) nutzen• Willkommensbildschirm zeigt gleich alle Benutzer an• und umgeht die Sicherheit, die eine Aktivierung der Anmeldung mit Alt-Strg-Entf

bietet• Unter Start > Systemsteuerung > Benutzerkonten „Art der Benutzeranmeldung

ändern“ wählen und dort „Willkommenseite verwenden“ abwählen. • Damit entfällt allerdings auch die schnelle Benutzerumschaltung.

Letzten Benutzernamen nicht anzeigen• auch ohne die Willkommensseite wird zunächst der letzte Benutzername im

Anmeldebildschirm angezeigt• Einstellung über Sicherheitsrichtlinien

Bildschirmschoner mit Kennwortschutz nutzen, damit erneuter Zugang nur über Anmeldebildschirm möglich ist.

26

Grundeinstellungen fGrundeinstellungen füür Windows Explorerr Windows Explorer

Einstellungen im Explorer unter Extras > Ordneroptionen > Ansicht„Automatisch nach Netzwerkordnern und Druckern suchen“ deaktivieren

• Kann in großen Netzen zuviel Last (und Ergebnisse) bringen.• Wohin werden dabei Anmeldeversuche gemacht (Benutzername/Kennwort übertragen)?• Ist gar die Übertragung von Kennwörtern im Klartext erlaubt?

„Einfache Dateifreigabe verwenden (empfohlen)“ deaktivieren• Auf Arbeitsplätzen besser gar nichts freigeben• Unsicherheit der Methode• Dateisystemrechte lassen sich sonst nicht über die graphische Oberfläche einstellen

„Erweiterungen bei bekannten Dateitypen ausblenden“ deaktivieren• Wird von gern von E-Mail-Viren in Dateianhängen verwendet um harmlose Dateien

vorzutäuschen• Wurm.txt.vbs wird dann nur als wurm.txt angezeigt

Zumindest Administratoren werden• „Geschützte Systemdateien ausblenden (empfohlen)“ deaktivieren,• „Inhalte von Systemordnern anzeigen“ aktivieren,• „Versteckte Dateien und Ordner“ > „Alle Dateien und Ordner anzeigen“ auswählen

„Ordnerfenster im eigenen Prozess starten“• Aktivieren, wenn man später ein privilegiertes Fenster mit „Ausführen als“ erzeugen will.

14

27

DateisystemrechteDateisystemrechte

Root („?:\“): Jeder entfernen, Benutzer auf einschränkenSystemverzeichnisse

• %systemroot%\Repair Administratoren, System: Vollzugriff• %systemroot%\Debug Administratoren, System: Vollzugriff• %systemroot%\Security Administratoren, System: Vollzugriff• %systemroot%\System32\GroupPolicy Administratoren, System: Vollzugriff

Benutzer: Lesen• %Systemroot%\System32\Config Administratoren, System: Vollzugriff

Benutzer: Lesen• Alle anderen Rechte löschen / ändern• Die Gruppe Hauptbenutzer hat zu viele Rechte

- Rechte einschränken- oder die Gruppe nicht verwenden

Zugriff auf Systemprogramme für Benutzer verbieten• regedit.exe, regedt32.exe, usrmgr.exe, mmc.exe (Administratoren, System:

Vollzugriff)Zugriffsrechte auf Registrierungsschlüssel

• Auch hier sind Einschränkungen möglich• Allgemeine Richtlinien sind aber schwer zu definieren (insbesondere falls eine

Vielzahl von Anwendungen benutzt wird).

28

DateienverschlDateienverschlüüsselungsselung

NTFS schützt die Festplatteninhalte vor unautorisierten Zugriffen• Aber nur solange das Betriebssystem läuft!

Sensible Daten sollten verschlüsselt werden• Notebooks sind besonders gefährdet

Zwei Varianten• EFS als Teil von Windows 2000 / Windows XP

- Als Attribut im Dateisystem- Für Benutzer transparent- Automatische Ver- und Entschlüsselung bei Dateisystemzugriffen- Kopieren im Netz unverschlüsselt!- Problem Speicherung der Benutzer- und

Wiederherstellungsschlüssel• Zusatzprogramme (z.B. GnuPP)

- Vom Betriebssystem unabhängig- Verschlüsselung ändert sich nicht beim Kopieren- Schlüsselmanagementproblem bleibt auch hier

15

29

DiensteDienste

In der Standardinstallation sind viele Dienste gestartet, die nicht benötigt werden Klassifizierung der Dienste:

Name Name NameAblagemappe Kryptografiedienste SystemereignisbenachrichtigungAnmeldedienst Leistungsdatenprotokolle und Warnungen SystemwiederherstellungsdienstAnwendungsverwaltung MS Software Shadow Copy Provider TaskplanerArbeitsstationsdienst Nachrichtendienst TCP/IP-NetBIOS-HilfsprogrammAutomatische Updates NetMeeting-Remotedesktop-Freigabe TelefonieCOM+-Ereignissystem Netzwerk-DDE-Dienst TelnetCOM+-Systemanwendung Netzwerk-DDE-Serverdienst TerminaldiensteComputerbrowser Netzwerkverbindungen Treibererweiterungen für Windows-VerwaltungsinstrumDesigns NLA (Network Location Awareness) Überwachung verteilter Verknüpfungen (Client)DHCP-Client NT-LM-Sicherheitsdienst Universeller Plug & Play-GerätehostDistributed Transaction Coordinator Plug & Play Unterbrechungsfreie StromversorgungDNS-Client QoS-RSVP Upload-ManagerDruckwarteschlange RAS-Verbindungsverwaltung Verwaltung für automatische RAS-VerbindungEingabegerätezugang Remoteprozeduraufruf (RPC) Verwaltung logischer DatenträgerEreignisprotokoll Remote-Registrierung Verwaltungsdienst für die Verwaltung logischer DatentFehlerberichterstattungsdienst Routing und RAS VolumeschattenkopieGatewaydienst auf Anwendungsebene RPC-Locator WarndienstGeschützter Speicher Sekundäre Anmeldung WebClientHilfe und Support Seriennummer der tragbaren Medien WechselmedienIMAPI-CD-Brenn-COM-Dienste Server Windows AudioIndexdienst Shellhardwareerkennung Windows InstallerIntelligenter Hintergrundübertragungsdienst Sicherheitskontenverwaltung Windows-Bilderfassung (WIA)Internetverbindungsfirewall/Gemeinsame Nutzung dSitzungs-Manager für Remotedesktophilfe Windows-VerwaltungsinstrumentationIPSEC-Dienste Smartcard Windows-ZeitgeberKompatibilität für schnelle Benutzerumschaltung Smartcard-Hilfsprogramm WMI-LeistungsadapterKonfigurationsfreie drahtlose Verbindung SSDP-Suchdienst

nötig möglicherweise überflüssig, prüfen verzichtbar, aber nicht sicherheitsrelevant problematisch (Übertragung von Inhalten) problematisch (Sicherheit)

30

NetzwerkdiensteNetzwerkdienste

Nach Standardinstallation aktive Ports:svchost.exe: 1124 UDP 127.0.0.1: 123 *:*svchost.exe: 1080 TCP 0.0.0.0: 135 0.0.0.0:0 LISTENINGsvchost.exe: 1080 UDP 0.0.0.0: 135 *:*System: 4 TCP 0.0.0.0: 445 0.0.0.0:0 LISTENINGSystem: 4 UDP 0.0.0.0: 445 *:*lsass.exe: 912 UDP 0.0.0.0: 500 *:*svchost.exe: 1124 TCP 0.0.0.0: 1025 0.0.0.0:0 LISTENINGsvchost.exe: 1124 UDP 0.0.0.0: 1026 *:*msmsgs.exe: 1852 UDP 0.0.0.0: 1029 *:*svchost.exe: 1356 UDP 127.0.0.1: 1900 *:*svchost.exe: 1356 TCP 0.0.0.0: 5000 0.0.0.0:0 LISTENINGmsmsgs.exe: 1852 UDP 127.0.0.1: 30456 *:*(Ausgabe von tcpview.exe, Sysinternals)

Entfallen können (soweit nicht benötigt): • Messenger (msmsgs), • Windows-Zeitgeber (Port 123), • lsass (IPSEC-Dienst, Port 500), • UPnP (1900, 5000).

in homogener Windows-2000/XP-Umgebung NetBIOS über TCP/IP deaktivieren• (Eigenschaften von Netzwerkverbindung > Internetprotokoll (TCP/IP) >

Eigenschaften > Erweitert > WINS)Automatische DNS-Aktualisierung abschalten, wenn nicht benötigt

• (Eigenschaften von Netzwerkverbindung > Erweitert > DNS „Adressen dieser Verbindung in DNS registrieren“ deaktivieren)

Universal Plug & Play abschalten mit unpnp.exe• (http://grc.com/UnPnP/UnPnP.htm)

16

31

Null Null SessionsSessions

Anonyme Zugriffe auf Netzwerkressourcen• z.B. zur Abfrage aller existierenden Freigaben gedacht• In der Standardinstallation aktiviert• Test: net use \\rechner\ipc$ ““ /user:““

Nutzung von Null Session durch Angreifer• Auslesen aller Benutzerkonten, Richtlinieneinstellungen und Freigabenamen

Unterbinden• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnon

ymous=2• Wert 1 reicht bei Windows 2000 / XP nicht• Sicherheitsoptionen

- RestrictAnonymous=0: „Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben“ deaktiviert

- RestrictAnonymous=1: „Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben“ aktiviert

- RestrictAnonymous=2: „Anonyme SID-/Namensumsetzung zulassen“deaktiviert

- RestrictAnonymousSam=1: „Anonyme Aufzählung von SAM-Konten nicht erlauben“ aktiviert

• Aber: Windows NT kann auf einen Server mit RestrictAnonymous=2 nicht mehr zugreifen

32

RemotedesktopRemotedesktop

Zwei Arten• Remoteunterstützungsanforderung: Für Unterstützung durch

Helpdesk• Remotedesktopverbindung: Nutzung des Rechners aus der Ferne• Unter Systemsteuerung > System > Remote konfigurieren• Dienst „Terminaldienste“

Potentielles Problem• RDP bietet Hackern den optimalen Zugriff• Abschalten, falls nicht wirklich benötigt

- In Systemsteuerung beide Optionen ausschalten- Dienst deaktivieren

• Falls benötigt, Zugriff über Personal Firewall oder Firewall im Netz einschränken

- Verwendet wird TCP-Port 3389

17

33

XPXP--AntispyAntispy

Freeware Tool u.a. zum Einstellen (reduzieren) der Gesprächigkeit von Windows XPAutomatische Updates müssen aktiviert sein, wenn SUS-Servergenützt werden soll.Zeitsynchronisation auf lokalen Server einstellen (unter Spezial > Timeserver festlegen)Remotedesktop abschalten, falls nicht wirklich genutztMicrosoft Messenger (MSN) deinstallieren, falls nicht wirklich genutzt

34

NetzwerkkonfigurationNetzwerkkonfiguration

Internetverbindungsfirewall• Spätestens Blaster lehrt: Einschalten, bevor man versucht die

Softwareupdates per Netz zu laden!Gemeinsame Nutzung der Internetverbindung• Z.B. Verbindung eines lokalen Netzes über Modem, FunkLAN über den

Computer• Weder Nutzung noch Steuerung erlauben

Standardfreigaben• Alle Laufwerke und das Windows-Verzeichnis sind für Administratoren

freigegeben- Deaktivieren, falls nicht für Remotemanagement benötigt- Einfaches Aufheben der Freigabe wirkt aber nur bis zum nächsten

Reboot- In

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanServer/ParametersDWORD-Wert AutoShareWks bzw. AutoShareServer erzeugen und auf 0 setzen

• „Gemeinsame Dokumente“ ist als „SharedDocs“ freigegeben: deaktivieren

18

35

UpdatesUpdates

System unbedingt aktuell haltenÜberprüfung mit Microsoft Baseline Security Analyzer• fehlende Softwarekorrekturen• unsichere Einstellungen• fehlende und schlechte Kennwörter• für Microsoft-Produkte

- Windows NT/2000/XP/2003- Office- Internet Information Server (IIS)- Microsoft SQL-Server

• www.gwdg.de/service/sicherheit/aktuell/mbsa.htmlNutzung von• eigenem SUS-Server (z.B. GWDG)• Windows-Update bei Microsoft• manuelle Updates (ggf. über Windows-Updatekatalog

zusammenstellen

36

Software Update Service (SUS)Software Update Service (SUS)

Was ist SUS• Kopie des Windows-Update-Dienstes von Microsoft• auf eigenem Server,• daher keine Bedenken, dass Microsoft Informationen

über die eigenen Rechner sammelt.• Patches müssen vom SUS-Administrator freigegeben

werden- Möglichkeit zum Testen vor Freigabe

Verfügbarkeit• Windows 2000 ab SP3• Windows XP ab SP1• Windows 2003

19

37

SUSSUS--EinrichtungEinrichtungAls Administrator gpedit.msc über Start -> Ausführen aufrufen,Unter Computerkonfiguration -> Administrativen Vorlagen im Kontextmenü (rechte Maustaste) Vorlagen hinzufügen/entfernen… aufrufen. Administrative Vorlage wuau.adm einbinden.

38

SUSSUS--EinrichtungEinrichtung (2)(2)

Jetzt lässt sich Windows Update in der Gruppenrichtlinie konfigurieren

20

39


Einstellmöglichkeiten ab Windows XP stark erweitert

• Einige Einstellungen müssen nicht konfiguriert werden

Automatische Updates konfigurieren• 2 = Vor dem Download von Updates

benachrichtigen und vor deren Installation erneut benachrichtigen

• 3 = (Standardeinstellung) Updates automatisch downloaden und über installierbare Updates benachrichtigen

• 4 = Updates automatisch downloaden und laut angegebenem Zeitplan installieren

• 4 ist zu empfehlen• Täglich und zu einer Uhrzeit, zu der

der Rechner eingeschaltet ist.

40


Internen Pfad für den Microsoft Updatedienst angeben• hier wird die URL des

lokalen SUS-Serversfestgelegt.

• für den SUS-Server der GWDG

- http://sus.gwdg.de

21

41


Clientseitige Zielzuordnung• wird erst mit der

nächsten SUS-Server-Version unterstützt

• erlaubt dann nach ClientengruppenPatches freizugeben

42


Zeitplan für geplante Installationen neu erstellen• Wartezeit nach dem Systemstart,

bevor eine zuvor verpasste geplante Installation ausgeführt wird.

• Wenn der Status deaktiviert ist, wird eine verpasste geplante Installation zum nächsten geplanten Installationszeitpunkt ausgeführt.

• Wenn der Status nicht konfiguriert ist, wird eine verpasste geplante Installation eine Minute nach dem Neustart ausgeführt.

22

43


Keinen automatischen Neustart für geplante Installationen ausführen• Aktivieren, damit der

Update-Prozess nicht nach der Installation der Updates den Computer ohne Rückfrage beim Benutzer automatisch (nach 5 Minuten) neu startet

44


Automatische Updates sofort installieren• Aktivieren• Sonst werden die

Updates nur heruntergeladen

• Die Installation müsste dann von Nutzer gestartet werden.

23

45


Probleme bei Benutzern mit Administrator-Rechten• Änderung des Ablaufs• keine automatische Installation• nur Download• Hinweissymbol in der Taskleiste:

Weitere Informationen• zur weniger komfortablen Einrichtung unter älteren

Windows-Versionen• Registry-Schlüssel• Sonderfälle• unter http://sus.gwdg.de

46

Internet ExplorerInternet Explorer

Gefährdung• Internetseiten enthalten nicht mehr nur Text und Bilder,• sondern immer mehr aktive Inhalte (Programme), die im Browser / auf

dem lokalen Rechner ausgeführt werden• ActiveX-Controls, VB-Scripten, Java-Applets werden über IE gesteuert

(Sicherheitskontrolle)• IE im Betriebssystem integriert und dort intern vielfältig verwendet:

- kommt also nicht nur zum Einsatz, wenn explizit aufgerufen!Zonenkonzept• Zone 0: Lokaler Computer (als Zone nicht angezeigt)• Zone 1: Lokales Intranet (Sites explizit zu definieren)• Zone 2: Vertrauenswürdige Sites (Sites explizit zu definieren)• Zone 3: Internet (Standardzone für sonst nicht klassifizierte Sites im IE)• Zone 4: Eingeschränkte Sites (Sites explizit zu definieren)

Vorlagen für Sicherheitseinstellungen (Stufen)• sehr niedrig, niedrig, mittel, hoch

Möglichst IE 6.0 SP2 mit aktuellsten Patches einsetzen

24

47

IE IE –– ZonensicherheitseinstellungenZonensicherheitseinstellungen

Wegen immer wieder auftretenden Sicherheitproblemen sollte die Internetzone restriktiver eingestellt werden:• ActiveX-Steuerelemente und Plugins

- ActiveX-Steuerelemente ausführen, die für Scripting sicher sind: Eingabeaufforderung- ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind: Deaktivieren- ActiveX-Steuerelemente und Plugins ausführen: Eingabeaufforderung- Download von signierten ActiveX-Steuerelementen: Eingabeaufforderung- Download von unsignierten ActiveX-Steuerelementen: Deaktivieren

• Benutzerauthentifizierung- Automatische Anmelden nur in der Intranetzone

• Download- Dateidownload: Aktivieren- Schriftartdownload: Aktivieren

• Microsoft VM- Java-Einstellungen: Hohe Sicherheit

• Scripting- Active Scripting: Deaktivieren- Einfügeoperationen über ein Skript zulassen: Eingabeaufforderung- Scripting von Java-Applets: Eingabeaufforderung

• Verschiedenes- Auf Datenquellen über Domänengrenzen hinweg zugreifen: Deaktivieren- Dauerhaftigkeit von Benutzerdaten: Aktivieren- Gemischte Inhalte anzeigen: Deaktivieren- Installation von Desktopobjekten: Deaktivieren- Keine Aufforderung zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist: Deaktivieren- META REFRESH zulassen: Aktivieren- Programme und Daten in einem IFRAME starten: Eingabeaufforderung- Subframes zwischen verschiedenen Domänen bewegen: Eingabeaufforderung- Unverschlüsselte Formulardaten übermitteln: Eingabeaufforderung- Ziehen und Ablegen oder Kopieren und Einfügen von Dateien: Eingabeaufforderung- Zugriffsrechte für Softwarechannel: Hohe Sicherheit

Dann müssen einige Sites bei Bedarf unter „Vertrauenswürdige Sites“ aufgenommen werdenAlternativ: „Eingeschränkte Sites“ zur Standardzone machen?

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

48

IE IE –– weitere Sicherheitseinstellungweitere Sicherheitseinstellung

Einstellungen in Internetoptionen > Erweitert• Automatische Überprüfung auf Aktualisierung von IE: deaktivieren• Auf zurückgezogene Serverzertifikate überprüfen: aktivieren• Auf zurückgezogene Zertifikate von Herausgebern überprüfen:

aktivieren• Bei ungültigen Sitezertifikaten warnen: aktivieren• Bei Wechsel zwischen sicherem und nicht sicherem Modus warnen:

aktivieren• Warnen, falls Formulardaten umgelenkt werden: aktivieren• Auf zurückgezogene Serverzertifikate überprüfen: aktivieren

Cookie-Behandlung in Internetoptionen > Datenschutz > Erweitert• Automatische Cookiebehandlung aufheben• Cookies von Erstanbietern - entweder Sperren oder Annehmen, je nach

dem ob man Cookies für bestimmte Internetdienste benötigt werden• Cookies von Drittanbietern - Sperren• Sitzungscookies immer zulassen

25

49

Alternative Alternative FirefoxFirefox

Eigenschaften• Freie Software, z. B. von

- www.gwdg.de/samba/windows/firefox/de/Firefox_Setup_1.0.exe• aus Mozilla ausgekoppelter Browser• die meisten Angreifer zielen auf den Internet Explorer• daher ist Firefox sicherer

Sicherheitsrelevante Konfiguration in Extras > Einstellungen• Datenschutz

- Formulardaten nicht speichern- Passwörter nicht speichern- Cookies einschränken

• Web-Features- Popup-Fenster blockieren- Websites das Installieren von Software erlauben: Nur eingeschränkt- Grafiken laden: nur von der ursprünglichen Webseite - Java aktivieren?- JavaScript aktivieren? (Punkte unter „Erweitert“ abwählen)

• weiter Beschreibungen unter www.gwdg.de/service/netze/www-server/index.html

50

Outlook ExpressOutlook Express

Mitgeliefertes Mailprogramm, sicherheitstechnisch nicht optimalSicherheit von Internet Explorer (Patches, Zonenkonfiguration) abhängigHTML-Mails (prinzipiell, nicht nur OE)

• Sicherheitsrisiko, also wenigstens nicht selbst welche verschicken („nur Text“verwenden)

Dateianhänge (prinzipiell, nicht nur OE)• immer erst speichern, • dann gespeicherte Version öffnen• damit Virenscanner die Datei untersucht• oder bei unklarer Quelle gar nicht öffnen

Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!)

• Extras > Konten > Eigenschaften > ErweitertVorschaufenster vermeiden

• Extras > Optionen > Lesen „Nachrichten im Vorschaufenster automatisch downloaden“ deaktivieren

Sicherheitseinstellungen (Extras > Optionen > Sicherheit)• Internet-Explorer-Sicherheitszone: „Zone für eingeschränkte Sites“• „Warnung anzeigen, wenn andere Anwendungen versuchen, E-Mail unter

meinem Namen zu versenden“ aktivierenSchutz vor Dialer

• „Hinweis beim Wechsel der DFÜ-Verbindung“ aktivieren (Extras > Optionen > Verbindungen)

26

51

Outlook XP / Outlook 2003Outlook XP / Outlook 2003

Sicherheitstechnisch Outlook Express überlegen• Wenn möglich Outlook statt Outlook Express einsetzen

Teil von Office XP bzw. Office 2003Achtung: Service Packs von Office XP / Office 2003 einspielenNutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!)Mail in Zone „Eingeschränkte Site“ verarbeitenVorschaufenster nicht nutzen

• Im Menü Ansicht „Vorschaufenster“ und „Autovorschau“ deaktivierenHTML-Mails in Text umwandeln

• HKEY_Current_User\Software\Microsoft\Office\10.0\Outlook\Option\Mail\ReadAsPlain=1 setzen (ggf. DWORD-Wert erzeugen)

• Bei Outlook 2003 integriert: Extras > Optionen > E-Mail-Format > Internetformat > In-Nur-Text-Format konvertieren

Viele Dateianhänge werden von Outlook XP nicht angezeigt• Freischaltung bei Bedarf mit OutlookTuner2002.exe

(http://www.gwdg.de/samba/windows/OutlookTuner2002.exe)• Ansonsten Regeln wie bei OE

Spam-Filter in Outlook 2003• Aktion > Junk E-Mail > Junk E-Mail Optionen…• Schutz: hoch

52

Alternative Alternative ThunderbirdThunderbird

Eigenschaften• Freie Software, z. B. von

- www.gwdg.de/samba/windows/thunderbird/de/Thunderbird_Setup_1.0.exe • aus Mozilla ausgekoppelter Mailclient• die meisten Angreifer zielen auf den Outlook• daher kann Thunderbird sicherer sein

Konfiguration (sicherheitsrelevante Teile)• Verfassen

- Sende- und HTML-Optionen/Sende-Optionen...: Nachrichten in reinen Text konvertieren

• Anhänge- Anhänge speichern unter: Immer fragen, wohin Anhänge gespeichert werden sollen

• Erweitert- Datenschutz: Blockiere das Laden von externen Grafiken in Nachrichten: ja- Doch laden, wenn Absender im Adressbuch ist: nein (denn es könnte ja sein, dass die

Absenderadresse missbraucht wurde)- Erlaube JavaScript in Nachrichten: nein

• Extras > Konten >Server-Einstellungen- Sichere Verbindung (SSL) verwenden: ja

• Spam-Filter- Extras > Junk-Filter Einstellungen…

27

53

Sichere MailSichere Mail

Absenderadressen von Mails können beliebig gefälscht werden• Das Internet-Mail-Protokoll SMTP sieht keine Authentifizierung

vor• Erweiterung durch kryptographische Signaturen von Mails

- PGP- X.509 / SMIME- Probleme der Signaturprüfung

• Verschlüsselung von Mails mit gleichen Programmen möglich• Grundlage: Public-Key-Kryptographie

Public Key Infrastruktur (PKI) der GWDG / MPG• integriert in PKI des DFN-Vereins• seit 2004 für GWDG• in Kürze für MPG (im eigenen Namensraum, DFN muss MPG

noch zertifizieren)• Informationen unter http://ca.gwdg.de

Mit verschiedensten Mail-Programmen kompatibel

54

Zentrales Management von Windows XPZentrales Management von Windows XP

Viele Aufgaben lassen sich über automatisieren• über (lokale oder globale) Gruppenrichtlinien• Sicherheitsvorlagen (Snap-In für MMC)

- von Microsoft (\Windows\security\templates)- Ggf. eigene Anpassungen

• Sicherheitskonfiguration und –analyse (Snap-In für MMC)

- Vergleich mit Sicherheitsvorlagen (Analyse)- Anwendung von Sicherheitsvorlagen

(Konfiguration)

28

55

Viren, WViren, Wüürmer, Trojanische Pferde, rmer, Trojanische Pferde, HoaxHoax

Viren• Zumeist sehr kleine Programme, die in der Lage sind, sich an andere

Programme zu hängen, sich so zu reproduzieren und zeitgesteuert Schäden zu verursachen

Würmer• braucht im Gegensatz zu Viren keinen Wirt! besteht aus einem

eigenständigen Programm, welches auf dem Rechner selbständig Prozesse startet – er repliziert (kopiert) sich auf andere Rechner (z. B. über Email oder direkt über das Netz)

Trojanische Pferde• Programme, die harmlose Funktionen vortäuschen, aber sich in ein

Rechnersystem einschleusen, es kompromittieren und dort Daten ausspähen oder den Rechner fernsteuern

• verkürzt (und historisch-philologisch falsch) auch Trojaner genanntHoax• "Scherz-Mails" mit Warnungen vor angeblichen oder vermeintlichen

Viren, meist mit der Aufforderung diese Mail an alle Bekannten weiterzugeben

56

VirenscannerVirenscanner

Funktionen• OnDemand:

- der Virenscanner wird von dem Benutzer explizit angewiesen, bestimmte Verzeichnisse oder Dateien zu überprüfen

• OnAccess: - der Virenscanner springt automatisch an, sobald eine Datei auf den

Massenspeicher des Rechners gespeichert wird (Hintergrundwächter)- Der Hintergrundwächter überwacht nur bestimmte

Betriebssystemschnittstellen- Viele Würmer können sich daher unbemerkt einschleichen!- Daher: Regelmäßiger OnDemand-Scan notwendig!

Erkennung erfolgt durch• Signaturen:

- für jeden Virus hat der Virenscanner im Idealfall ein passendes Erkennungsmuster in seiner Datenbank, woran dieser Schädling eindeutig zu identifizieren ist

- diese Signaturen müssen ständig aktualisiert werden• Heuristik:

- falls der Virenscanner keine geeigneten Signaturen für den betreffenden Virus hat, soll er diesen wenigstens anhand seines typisch virulenten Verhaltens erkennen

29

57

SophosSophos AntiAnti--VirusVirus

Lizenz• für Mitarbeiter niedersächsischer Hochschulen,• für Studierenden niedersächsischer Hochschulen,• für Mitarbeiter der Institute der Max-Planck-

GesellschaftAutomatische Updates• zeitweise unbefriedigenden gelöst, aber• mit „Sophos Enterprise Manager“ im Hintergrund• über „Remote Update Tool“• jetzt eine gute Lösung

Installation über „Remote Update Tool“• z. B. von http://antivir.gwdg.de

58

Installation von Installation von SophosSophos

Remote Update Tool herunterladen• z. B. von

http://sus.gwdg.de/sophos/rupdtsfx.exe

rupdtsfx.exe laden, auspacken in temporäres Verzeichnis

Installation starten (Arbeitsplatzinstallation)nach Installation

Konfigurieren• Aufruf über Icon im Systemtray

30

59

Konfiguration von Konfiguration von SophosSophos

Einstellung des ServerBenutzernameKennwort

Das Symbol zeigt im übrigen an, dass ein Update fehlgeschlagen ist

Einstellung des Update-Intervalls

60

Konfiguration Konfiguration OnDemandOnDemand--ScanScan

Einstellung des OnDemand-Scans• in Sophos Anti-

Virus• Register

„Zeitgesteuerte Aufträge“

31

61

Wenn der Virenscanner nichts mehr findetWenn der Virenscanner nichts mehr findet

Folgerung: Rechner ist virenfrei?Falsch!• Viren können das Betriebssystem soweit verändern, dass der

Virenscanner bestimmte Teile des Rechners gar nicht mehr sehen kann (Rootkits)

- Dateien- Prozesse- Registry-Schlüssel- Offene Ports

• z. B. einige Varianten von Agobot-, SDBot-, RBot-Virenintegrieren den Trojaner/Rootkit Hackdefender

Für zuverlässige Virenscans:• Virenscanner aus einem garantiert sauberen System starten

- Knoppicillin- ERD-Commander- WinPE-CDs

62

HackerHacker

Die gleichen Schwachstellen (und mehr), über die Würmer eindringen, werden auch von Hackern genutztZiele der Hacker sind z. B.:

• Nutzung von Festplattenplatz (Raubkopien legaler Dateien wie Filme, Musik und Software bis zu illegalen Inhalten wie Kinderpornographie)

• Nutzung von Übertragungsbandbreite• Nutzung als Mailserver für Spam-Verteilung• Stützpunkte für weitere Einbrüche• Stützpunkte für Angriffe auf Internet-Server (Denial of Service – DoS, Distributed Denial of

Service – DDoS)• Spionage

Gefährdung• Hacker suchen heute selten nach geheimen Informationen• auch unser Umfeld ist zunehmend gefährdet• und häufig sind wir zu leichte Beute!

Nicht auf die leichte Schulter nehmen!• Können Sie der Polizei beweisen, dass Sie selbst Opfer und nicht Täter sind?• Haftung bei (grober) Fahrlässigkeit!• Rufschaden

Hackertools werden (meist) nicht von Virenscanner gefunden.• Viele sind ganz normale Programme, die nur missbraucht werden.

32

63

Verdacht auf kompromittierte SystemintegritVerdacht auf kompromittierte Systemintegritäät t ––Was tun?Was tun?

Ruhe bewahren!Vorgesetzte / EDV-Betreuer informierenInformationen zum aktuellen Zustand sichern• laufende Prozesse, offene Ports

Rechner vom Netz nehmenvon nicht kompromittierten System booten (z.B. Knoppicillin)• Analyse

- Alle Dateien mit Größe und Modifikationsdaten erfassen- Virenscan

• Datensicherung- Komplettsicherung der Festplatte (bei Verdacht auf größeren

Vorfall) oder- Sicherung wichtiger Teile (verdächtige Dateien, Registry und

Eventlog in C:\Windows\System32\Config)

64

Verdacht auf kompromittierte SystemintegritVerdacht auf kompromittierte Systemintegritäät t ––Was tun? (2)Was tun? (2)

Untersuchung von Registry und Eventlog auf anderem Rechner (mühsam)Untersuchung der gestarteten Programme am infizierten Rechner• autoruns.exe• Gestartete Dienste (in

Computerverwaltung -> Dienste und Anwendungen -> Dienste

• hilfreich, wenn der „Normalzustand“dokumentiert ist.

• evtl. erst möglich, wenn Rootkits entfernt sind

• nicht möglich, wenn System wegen Beweissicherungnicht modifiziert werden soll

33

65

Verdacht auf kompromittierte SystemintegritVerdacht auf kompromittierte Systemintegritäät t ––Was tun? (3)Was tun? (3)

Wiederherstellung der Systemintegrität• Die sicherste Methode ist Formatierung der gesamten

Festplatte(n).• Einige Viren lassen sich auch gut mit einem Virenscanner

entfernen.• Die komplexeren Viren (mit integrierten Hintertüren) sind nicht so

sicher zu entfernen.• Nach einem Hackereinbruch kann man kaum übersehen, was

der Hacker alles modifiziert hat, also dringende Empfehlung, alles neu zu installieren

Wichtig: Backup• Regelmäßige Sicherung oder• Speicherung aller Daten auf einem (gesicherten) Server,• ggf. mit Synchronisation wichtiger Dateien auf die lokale

Festplatte

66

SpywareSpyware

Nutzerverhalten kann im Internet beobachtet werden• Ausnutzung zur Erstellung von Profilen, gezielte Werbung• Verlust der Privatsphäre• Bandbreitenverlust bei langsamen Anbindungen

Nutzung von Cookies und Web-BugsEinige Programme telefonieren nach Hause• z. B. FlashGet, GoZilla, Getright und einige P2P-Programme• Informationen hierzu:

- www.it-secure-x.net/phonehome- www.phonehome.da.ru- www.allgemeiner-datenschutz.de/phonehome

Alexa: Spione im Internet Explorer• Extras -> „verwandte Links anzeigen“ zeigt ähnliche Seiten an• Diese Information wird von der Suchmaschine Alexa gespeist, die in

dem Ruf steht, das Surfverhalten mitzuprotokollieren• Deaktivierung durch löschen eines Registry-Schlüssels

HKLM\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b-00aa003c157a (oder XP-Antispy)

34

67

SpywareSpyware--ScannerScanner

Beispiele• Ad-Aware SE Personal Edition von Lavasoft (www.lavasoft.de)• Microsoft AntiSpyware (z. Z. Betaversion verfügbar)

Eigenschaften• Durchsuchen von Dateien, Registry, Cookies nach

Auffälligkeiten,• wie Virenscanner signatur-basiert,• Signaturen müssen ebenso aktualisiert werden

Microsoft AntiSpyware• erste Erfahrungen positiv• erkennt auch einige Trojaner und Dialer• Gibt auch Informationen zur Systemkonfiguration• Stellt Modifikationen von Programmen fest (hier insbesondere

Sophos)Abhilfe mit Personal Firewalls• falls diese ausgehende Verbindungen überwachen

Sicherheit im Internet - Vertiefung - GWDGhbeck/SicherheitImInternetVertiefung.pdf · Sicherheit im...

Documents

Transcript of Sicherheit im Internet - Vertiefung - GWDGhbeck/SicherheitImInternetVertiefung.pdf · Sicherheit im...