Artikel als PDF anzeigen

ITMAGAZINE
Mehr Sicherheit mit SP2
28. Mai 2004 - Das Windows XP Service Pack 2 bringt mit einem Sicherheitscenter und einer überarbeiteten
integrierten Firewall tiefgreifende Veränderungen im Sicherheitsbereich. Sicherheit ist das Thema Nr. 1 beim Service Pack 2 für Windows XP. Die Bedeutung des Themas wird spätestens
nach dem Start eines Computers mit installiertem Service Pack 2 deutlich. Schon beim ersten Booten wird vor
dem Anmeldedialog ein Bildschirm angezeigt, in dem entschieden werden muss, ob zukünftig mit automatischen
Updates des Betriebssystems gearbeitet werden soll oder nicht. Microsoft empfiehlt natürlich die Verwendung
der automatischen Updates – das ist grundsätzlich auch sinnvoll, weil damit sichergestellt ist, dass neue Patches
unmittelbar bei Verfügbarkeit eingespielt werden. In Unternehmensnetzwerken sollte allerdings statt dessen mit
den SUS (Software Update Services) gearbeitet werden, weil sich darüber der Zugriff auf die Updates
zentralisieren lässt und die neuen Updates vor der Bereitstellung für die Clients im Unternehmen getestet werden
können.
Das Sicherheitscenter
Wer die Systemsteuerung von Windows XP nach der Installation des Service Pack 2 öffnet, findet dort als neue
Option das Sicherheitscenter. In diesem sind die verschiedenen Schnittstellen für die Sicherheitskonfiguration
zusammengefasst. Im Bereich Ressourcen zusammengefasst sind einige Links zu sicherheitsrelevanten
Bereichen der Microsoft-Website. Bei den Sicherheitseinstellungen selbst gibt es die drei Bereiche
Internetoptionen, System und Windows-Firewall, auf die wir im folgenden detailliert eingehen.
Die Konfiguration von Internetoptionen
Der bekannteste Bereich ist zweifelsohne Internetoptionen. Wenn man diesen öffnet, wird das gleiche Dialogfeld
wie beim Befehl Extras - Internetoptionen im Internet Explorer angezeigt. Die von Microsoft angekündigte
zusätzliche Sicherheitszone für das lokale System fehlt in der uns vorliegenden Vor-Release-Version noch. Änderungen gibt es dagegen im Register Datenschutz. Dort lassen sich nun nicht mehr nur die
Cookie-Behandlung einstellen und Listen von vertrauenswürdigen und nicht vertrauenswürdigen Sites
bearbeiten, sondern im unteren Bereich auch Popups sperren. Damit können zumindest die meisten dieser
Fenster, die bei vielen Websites automatisch beim Start oder Beenden angezeigt werden, verhindert werden was in vielen Fällen auch unerwünschte Werbung vermeidet. Unter dem Aspekt der Sicherheit ist das vor allem
deshalb wichtig, weil so die Gefahr von unerwünschten Zugriffen auf nicht sichere Websites reduziert werden
kann.
Im Register Programme fällt insbesondere die neue Schaltfläche Add-Ons verwalten auf. Als Add-on gelten dabei
nicht nur funktionale Erweiterungen des Internet Explorer wie beispielsweise der Windows Messenger, sondern
auch die Toolbars von eBay oder Google. Die Add-on-Verwaltung wurde in letzter Zeit mehrfach als
Schwachstelle für Angriffe genutzt. Mit der neuen Steuerung lässt sich nun festlegen, welche Add-ons
zugelassen sind, und unerwünschte Add-ons können gezielt deaktiviert werden.
Sicherheitsrelevante Systemeinstellungen
Über den Bereich System des Sicherheitscenter gelangt man zum gleichnamigen Bereich der Systemsteuerung.
Hier finden sich allerdings keine Änderungen im Vergleich zu Windows XP vor dem Service Pack 2. Auch
weiterhin sind dort die Register beispielsweise für die Festlegung von Computername und
Domänenzugehörigkeit oder zur Konfiguration der Remote-Unterstützung zu finden. Immerhin, falls letztere
aktiviert wird, wird die Konfiguration der Windows-Firewall automatisch so angepasst, dass die Remote-Zugriffe
erlaubt sind.
Die Windows-Firewall
Die meisten Änderungen finden sich denn auch bei dieser Windows-Firewall (vormals Internet Connection
Firewall, ICF). Diese ist neu standardmässig aktiviert und kann zentral über Gruppenrichtlinien konfiguriert
werden. Und sie bietet wesentlich mehr Konfigurationsoptionen in übersichtlicherer Weise als bisher. Der Zugriff auf die Windows-Firewall kann einerseits über das Sicherheitscenter erfolgen, andererseits aber auch
über die klassische Ansicht der Systemsteuerung über einen entsprechenden Eintrag. Ausserdem lässt sich die
Windows-Firewall auch in den Eigenschaften einer Netzwerkverbindung über das Register Erweitert oder direkt
im Ordner Netzwerkverbindungen über die Netzwerkaufgaben mit Windows-Firewalleinstellungen ändern
konfigurieren. Die Windows-Firewall ist also nicht mehr so versteckt wie bei Windows XP vor dem Service Pack
2.
Im Gegensatz zu anderen Firewall-Lösungen schützt die Windows-Firewall ausschliesslich vor definierten
eingehenden Paketen. Ausgehende Pakete dagegen werden nicht analysiert, so dass beispielsweise auch keine
Zugriffe auf das Internet untersucht werden. Das hat den Vorteil, dass man nicht schon unmittelbar nach der
Aktivierung der Firewall mit unzähligen Meldungen bezüglich der Zugriffe auf das Internet konfrontiert wird.
Zudem ist das Ziel der Windows-Firewall der Schutz vor Angriffen aus dem Internet, die häufig über bestimmte
Ports eine Verbindung zum angegriffenen System aufbauen. Solche eingehenden Verbindungen werden, wenn
sie nicht explizit zugelassen wurden, wirksam blockiert. Ergänzend hat Microsoft ausserdem auch andere
Sicherheitsfunktionen rund um den Internet Explorer und Attachments bei Outlook Express, Outlook, dem
Windows Messenger und anderen Produkten verbessert.
Bei der Konfiguration der Windows-Firewall muss man zunächst entscheiden, ob diese aktiviert oder deaktiviert
sein soll. Letzteres ist nur dann sinnvoll, wenn der Computer mit anderen Firewall-Lösungen geschützt wird. Bei
einer aktivierten Firewall lässt sich die Option Keine Ausnahmen zulassen setzen, um auch definierte
Ausnahmen zu deaktivieren - das ist vor allem für Notebook-Benutzer wichtig, die beim mobilen Arbeiten mit
strengeren Sicherheitsregeln als im lokalen Netzwerk arbeiten möchten. Es ist allerdings leider etwas
umständlich, diese Option ein- und auszuschalten, da dazu immer erst die Konfigurationsschnittstelle der
Windows-Firewall - beispielsweise über das Sicherheitscenter - geöffnet werden muss. Im Register Ausnahmen wird darauf konfiguriert, welche Anwendungen auch eingehende Zugriffe durchführen
dürfen. Windows XP hat ein API, über das Anwendungen die entsprechende Konfiguration gleich selbst
vornehmen können. Wenn man beispielsweise im Bereich System der Systemsteuerung und dort im Register
Remote den Remotedesktop von Windows XP aktiviert, wird der entsprechende Eintrag automatisch auch bei den
Ausnahmen für die Windows-Firewall gesetzt. Dieser Ansatz ist sinnvoll, damit bei Anwendungen, die solche
Zugriffe benötigen, keine manuelle Konfiguration erforderlich ist.
Zusätzliche Ausnahmen lassen sich durch Auswahl entweder von Programmen oder von Ports konfigurieren. Der
Zugriff auf die lokal installierten Programme wird dabei über die bekannte Schaltfläche Programm erreicht. Nach
der Auswahl einer Anwendung wird darauf mit Bereich ändern der Bereich ausgewählt, für den dieser Port nicht
gesperrt sein soll, wobei hier alle Computer, nur das lokale Subnetz oder aber eine benutzerdefinierte Liste von
gesperrt sein soll, wobei hier alle Computer, nur das lokale Subnetz oder aber eine benutzerdefinierte Liste von
Systemen angegeben werden kann. Alternativ lassen sich auch TCP- und UDP-Ports sowie die berechtigten
Systeme festlegen, über die ein Zugriff erfolgen darf. Das Öffnen zusätzlicher Ports ist nur dann erforderlich, wenn eingehende Zugriffe auf das geschützte System
erfolgen sollen. Das kann beispielsweise für Chats, Online-Games und andere Anwendungen erforderlich sein.
Die Menge solcher Szenarien ist auf einem Client aber doch ziemlich begrenzt.
Vorsicht ist bezüglich der von Anwendungen - oder von Windows XP selbst - definierten Ausnahmen geboten.
Wenn beispielsweise die Datei- und Druckerfreigabe zugelassen wird, werden die Ports 137-139 und 445 für
sämtliche Zugriffe geöffnet. Genau dies sind aber Ports, die von Würmern wie Sasser genutzt wurden. Darf keine
Fernadministration des Systems erfolgen oder sind Freigaben konfiguriert, dann sollte zumindest der Bereich für
mögliche Zugriffe eingeschränkt werden. Dazu wird im Register Ausnahmen der Dienst oder das Programm und
dann die Schaltfläche Bearbeiten ausgewählt. Auch beim Remotedesktop wird standardmässig der Bereich Alle der Zugriffe aus dem Internet einschliesst - zugelassen. Hier kann eine Einschränkung auf das lokale Subnetz
oder wenige definierte IP-Adressen des Helpdesks Sinn machen.
Weitergehende Einstellungen lassen sich schliesslich über das Register Erweitert vornehmen. Dort wird zunächst
festgelegt, für welche der konfigurierten Netzwerkverbindungen die Windows-Firewall aktiviert werden soll - der
Administrator kann also entscheiden, dass beispielsweise nur eine externe Verbindung geschützt wird, während
die Zugriffe aus dem LAN nicht überwacht werden. Auch individuelle Sicherheitseinstellungen für jede
Verbindung lassen sich hier konfigurieren. Darüber hinaus kann hier auch noch die Protokollierung und der Umgang mit ICMP-Paketen definiert werden.
ICMP (Internet Control Message Protocol) wird beispielsweise für ping und tracert, also für Fehler- und
Statusinformationen in TCP/IP-Netzwerken, genutzt.
Zentrale Steuerung der Windows-Firewall über Gruppenrichtlinien
Die beschriebene, lokale Konfiguration ist allerdings nur dann sinnvoll, wenn die Windows-Firewall bloss auf
einigen wenigen Systemen eingesetzt wird, also im sogenannten SOHO-Bereich (Small Office/Home Office). In
grösseren Umgebungen wird eine solche lokale Konfiguration dagegen nicht nur zu aufwendig, sondern sogar zu
einem Sicherheitsrisiko. Hier sollte deshalb mit der zentralen Konfiguration über die Gruppenrichtlinien des
Active Directory gearbeitet werden. Mit welcher der beiden Möglichkeiten man aktuell arbeitet, wird im Register
Allgemein angezeigt. Wenn dort der Text «Die Windows-Firewall verwendet die Domäneneinstellungen»
erscheint, gelten die Gruppenrichtlinien.
Um in diesen die Definitionen für die Windows-Firewall vornehmen zu können, muss allerdings zunächst die
aktualisierte Richtlinienvorlage installiert werden. Die system.adm findet sich im Unterverzeichnis inf des
Windows-Verzeichnis auf dem Windows XP-System. Hier muss die mit dem Service Pack 2 gelieferte Datei im
Gruppenrichtlinien-Editor über den Befehl Vorlagen hinzufügen/entfernen im Kontextmenü von
Computerkonfiguration - Administrative Vorlagen ausgewählt werden, wodurch die vorhandene
Richtlinienvorlage überschrieben wird. Im nächsten Schritt wird bei Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten Sicherheitscenter entschieden, ob dieses Feature aktiviert werden soll. Das Sicherheitscenter dient hier
einerseits als Konfigurationsschnittstelle für sicherheitsrelevante Dienste, andererseits werden hier aber auch
alle Meldungen über sicherheitskritische Ereignisse zusammengefasst.
Die meisten Einstellungen gilt es aber bei Computerkonfiguration - Administrative Vorlagen - Netzwerk Netzwerkverbindungen - Windows-Firewall vorzunehmen. Auf der obersten Ebene kann man authentifizierte
IPsec-Zugriffe - also Zugriffe über sichere IP-Verbindungen - zulassen. Darunter werden das Standardprofil und
das Domänenprofil konfiguriert. Ersteres legt die Einstellungen fest, die gelten, wenn der Computer nicht mit der
Domäne verbunden ist, also beispielsweise für ein Notebook, das ausserhalb des Firmennetzwerks eingesetzt
wird. Das Domänenprofil gilt dagegen logischerweise während der Verbindung mit einer Domäne. Über die verschiedenen Richtlinieneinstellungen werden nun die gleichen Einstellungen wie bei der lokalen
Konfiguration vorgenommen. Mit Programmausnahmen festlegen und Portausnahmen festlegen lassen sich
zusätzliche Ausnahmen konfigurieren. Ausserdem kann man hier auch genau steuern, welche Ausnahmen
zulässig sind und welche nicht. Über die Gruppenrichtlinien lässt sich so mit wenig Aufwand eine einheitliche
Konfiguration der Windows-Firewall im gesamten Netzwerk erzwingen.
Der Weg zum Service Pack 2
Vor der Installation des Service Pack 2 für Windows XP müssen einige Entscheidungen getroffen werden.
Grundlegend ist etwa der Entscheid, ob die Windows-Firewall aktiviert werden soll oder nicht und ob zusätzlich
oder alternativ eine andere Personal Firewall in den Einsatz gelangt. Wird die Windows-Firewall eingesetzt, sollte
man prüfen, ob sie über die Gruppenrichtlinien oder auf anderem Weg konfiguriert werden soll. Neben der
lokalen Konfiguration können beispielsweise auch Batch-Dateien in Anmeldeprogrammen genutzt werden.
Ausserdem muss man entscheiden, welche Zugriffe erforderlich sind und erlaubt sein sollen und welche nicht.
Durch die aktivierte Windows-Firewall kann es vor allem in der Anfangsphase Situationen geben, in denen
Benutzer über einen Zugriffsversuch informiert werden, der abgeblockt wurde - falls die Benachrichtigungen
nicht über die Gruppenrichtlinien deaktiviert wurden. Im produktiven Einsatz muss daher und auch wegen
möglicher Einschränkungen der Zugriffe zunächst mit einem erhöhten Helpdesk-Aufwand gerechnet werden. Auf
der anderen Seite lassen sich bei konsequenter Nutzung der neuen Sicherheitsfunktionen von Windows XP
Service Pack 2 - und das ist nicht nur die Windows-Firewall - und beim zusätzlichen Einsatz der Software Update
Services (SUS) beziehungsweise des direkten Windows Update über Microsofts Website die Sicherheitsrisiken für
sämtliche Computer im Unternehmen wesentlich verringern. Die Windows-Firewall ist dabei ein wichtiger
Baustein, der vor allem durch die leichte Administrierbarkeit und seine im Vergleich zu vielen anderen Produkten
wenigen Meldungen über nicht erlaubte Zugriffe überzeugen kann.
Gibt es eine Alternative zur Windows-Firewall?
In den letzten Jahren haben Anbieter wie McAfee mit der Personal Firewall plus und Guardian, Symantec mit der
Norton Personal Firewall oder Zone Labs mit Zone Alarm Pro erfolgreich sogenannte Personal Firewalls auf den
Markt gebracht. Mit der in Windows XP SP2 integrierten, funktional erweiterten und standardmässig aktivierten
Windows-Firewall stellt sich nun die Frage, ob man derartige Produkte überhaupt noch benötigt - eine Frage, die
nicht mit einem einfachen Ja oder Nein zu beantworten ist.
Zunächst sind zwei wichtige Einschränkungen der Windows-Firewall zu beachten: Es gibt keinen integrierten
Viren-Scanner, und es wird nur eingehender Datenverkehr untersucht. Dem stehen aber auch wichtige Vorteile
gegenüber: Die Windows-Firewall sichert den Rechner bereits während des Boot-Prozesses, weil sie sehr tief im
System verankert ist. Und die Windows-Firewall kann zentral über die Gruppenrichtlinien konfiguriert werden. Nach den aktuellen Aussagen von Microsoft wird das Service Pack zwar die Anti-Viren-Pakete von Ahnlab, Etrust;
Kaspersky, McAfee, Norton, Panda, Sophos und Trend Micro erkennen und unterstützen, wobei es im Fall von
Ahnlab und Norton zum aktuellen Zeitpunkt wohl noch ein paar Integrationsprobleme gibt. Die Personal Firewalls
werden dagegen nicht direkt unterstützt. Es gibt zwar einige Beta-Tester, die diese parallel zur Windows-Firewall
einsetzen, aber diese Konfiguration wird offiziell nicht gebilligt. Personal Firewalls von anderen Anbietern
werden auch nicht im Sicherheitscenter integriert. Die Entscheidung darüber, ob man die Windows-Firewall oder eine Lösung eines anderen Anbieters nutzt, kann
man über verschiedene Kriterien treffen. Die erste Frage ist, ob Windows XP in einem Netzwerk mit dem Active
Directory eingesetzt wird. Hier hat die Windows-Firewall den Vorteil, dass sie zentral über Gruppenrichtlinien
konfiguriert werden kann. Grundsätzlich stellt sich auch die Frage, ob der Einsatz von Personal Firewalls ohne eine enge Integration mit
zentralen Systemmanagement-Werkzeugen wie den Gruppenrichtlinien oder Novells ZENworks überhaupt
akzeptabel ist, denn die Sicherheitseinstellungen dürfen nicht individuell vom Benutzer verwaltet werden,
sondern müssen zentral vorgegeben sein. Für die meisten Benutzer ist das Management viel zu komplex - und
ohne zentrales Management entstehen schnell unkontrollierbare Sicherheitslücken, die den Sinn solcher
Firewalls in Frage stellen. Das zweite Kriterium betrifft die Anzahl der Schutzschichten. Wenn die Windows-Firewall nur noch eine
Ergänzung zu weiteren Firewalls an der Aussengrenze des Netzwerks ist, kann man eher auf Produkte mit
grösserer Funktionalität verzichten als in Umgebungen, in denen es keinen weiteren Schutz gibt.
Bei der Nutzung von Personal Firewalls sollte man auch genau testen, ob diese wirklich handhabbar sind. Viele
Produkte konfrontieren den Benutzer nach der Aktivierung mit so vielen Meldungen, dass an ein produktives
Arbeiten über längere Zeit nicht mehr zu denken ist - geschweige denn, dass die Meldungen für die Benutzer
wirklich nachvollziehbar wären. Wer seinen PC oder ein kleines Netzwerk bisher bereits mit einer gut funktionierenden Personal Firewall
gesichert hat, kann dabei sicher bleiben. Wer in Netzwerken einen zentral administrierbaren zusätzlichen Schutz
benötigt oder noch keine Personal Firewall einsetzt, für den ist die Windows-Firewall des Windows XP Service
Pack 2 eine interessante Lösung – am besten im Verbund mit einem Virenscanner.
Copyright by Swiss IT Media 2017