Die aktuelle Windows-Schwachstelle, bei der sich über .LNK-Dateien Schadcode aus DLL-Dateien beim Laden der Icons nachladen lässt, kann u. A. mit Hilfe einer Softwareeinschränkungsrichtlinie eingedämmt werden. Eine Anleitung dazu gibt es hier.

Was man mit Softwareeinschränkungsrichtlinien noch so alles treiben kann beschreibt der Autor ebenfalls in mehreren Artikeln. Will man ein paar Basics, dann kann man aber auch hier nachsehen

/sb

Das Archiv befindet sich auf unserem Webserver und enthält alle Maßnahmen als PDF Dokumente, sortiert nach den üblichen Schichten des IT-Grundschutz. Alle Änderungen zur vorherigen Version 2008 sind mit Änderungsmarkierungen hervorgehoben.

Wir danken dem BSI für die Erlaubnis die Daten bereitstellen zu dürfen und wünschen allen Anwendern viel Spaß beim Lesen nach Änderungen.

Update 09.03.: Wir haben eine neue Version des GSK-Vergleichs bereitgestellt, dieser beinhaltet jetzt auch den Vergleich der Baustein-Übersichten.

Update 14.04.: Noch einmal wurde der  GSK-Vergleich verbessert.

Update 12.05.: Leider stolpert der Batchjob bei der Verarbeitung ab und zu. Dadurch können leere Änderungsmarkierungen vorkommen (vielen Dank für das Feedback). Wir haben versucht diesen Fehler weitestgehend zu behebn. Vereinzelt kann es aber noch vorkommen.

/sf

Zurück zum Artikel auf heise. Neugierig habe ich das dort Beschriebene ausprobiert: mit dem IE eine Seite als PDF-Dokument drucken. Zuvor noch die Kopf- und Fußzeile angepasst, sodass die URL verschwindet (ja ich weis, das war nicht erwähnt) und siehe da: Entgegen der Behauptung des Autors ist der Pfad nicht im Dokument aufgetaucht (zum Einsatz kamen  IE 8 und FreePDF XP). Ich frage mich, wie der Autor darauf kam… Schuld daran könnte der von ihm verwendete PDF-Drucker gewesen sein, who knows

/sb

Doch was ist jetzt so besonders daran? Ganz einfach: viele Unternehmen setzen zur Maßnahmenumsetzung mehr oder weniger kostspielige Software für die Integritätsprüfung ein. Warum nicht also auf das Kommandozeilen-Tool der Redmonder zurückgreifen (kostenlos) und mit ein paar Tweaks den Funktionsumfang (vor allem Alerting) erweitern? Wenn man sowieso eine Überwachungsinstanz (Nagios) am Laufen hat, ist das im Handumdrehen gemacht. Ich hätte früher darauf kommen sollen – wir setzen selbst zur Überwachung unter anderem Nagios ein und sind stetig dabei, die Überwachung der IT-Landschaft zu verbessern.
Die Eigenschaft des FCIV-Tools, es für Scripte zu verwenden, wurde sich hier zu Nutze gemacht. In der Anleitung sind die dazu benötigten Scripte aufgeführt. Alles was Nagios hierbei macht ist: Start des Scripts zum Checksummenvergleich. Als Rückgabewert erhält Nagios dafür die von ihm benötigten Rückgabewerte des Scripts: entweder ein “OK” oder eben ein “Critical”, was wiederum bei entsprechender Konfiguration Nagios dazu veranlasst seinen Admin zu kontaktieren und ihn darüber in Kenntnis zu setzen. Hier nochmal ein Ablaufschaubild

An dieser Stelle sei noch einmal gesagt, dass dies nicht die einzige Möglichkeit darstellt, um regelmäßige Integritätsüberprüfungen durchzuführen, aber eine für den Anfang ausreichende.

/sb