Da Microsoft die Windows Server 2008 R2-Version im Kern immer noch auf Windows Server 2008 basiert, sind die technischen Anforderungen auf beide Versionen anwendbar. Unterschiede gibt es natürlich trotzdem, diese betreffen aber hauptsächlich Detailverbesserungen wie Stromsparfunktion, DirectAccess, BrancheCache und ein verbessertes Rollenkonzept.

Als Information zur Umsetzung der Vorgaben der Grundschutzkataloge sollte erwähnt werden, dass die Vorgaben des BSI für die Betriebssysteme Windows Server 2003 (B 3.108) und der Allgemeine Server (B 3.101)  nach bestem Wissen auf Windows Server 2008 angewendet wurden, da Windows Server 2008 leider noch nicht Teil der aktuellen Grundschutzkataloge ist.

Alle Informationen zu dem Produkt finden Sie auch auf unserer Homepage.

/ssu

Da die Anwender immer wieder berichteten, dass die technischen Anforderungen so nicht umzusetzen sind, haben wir uns überlegt, dies zu evaluieren. Sämtliche Informationen wurden dabei durch mich in verschiedene Excel-Listen für Windows Server (2003, 2008) und Clients (XP, Win7), mit jeweils über 200 technischen Anforderungen, gegossen. Dabei habe ich die teilweise fehlenden Pfade, sowie die entsprechenden Einstellungen angepasst und dokumentiert.

Dabei sollte erwähnt werden, dass die Vorgaben des BSI für die Betriebssysteme Windows XP (B 3.209) und Windows Vista (B 3.210) sowie der Allgemeine Client (B 3.201)  nach bestem Wissen auf Windows 7 angewendet wurden, da Windows 7 noch nicht Teil der aktuellen Grundschutzkataloge ist.

Zusätzlich zu den Anforderungen des BSI sind in die Excel-Tabelle noch Best Practices aus der Praxis verschiedener Kundenprojekte bzw. der Security Guides von Microsoft eingeflossen .

Hier ist ein exemplarischer Auszug dieser Liste:

Erläuterung:

Die Anr ist eine laufende Nummer um referenzieren zu können. In der folgenden Spalte ist die Ausführung beschrieben bzw. welche Einstellung umzusetzen ist und ob der Wert nach einer Standardinstallation des Systems gesetzt ist oder nicht. In der 3. Spalte wird der Status der Einstellung (Aktiviert/Deaktiviert) bzw. die dazugehörige Einstellung beschrieben. Anschließend folgt noch die Beschreibung,  wo die Einstellung zu finden ist (Pfad).

Die letzten beiden Spalten sind für die Herkunft der Anforderung. Dies dient der Nachvollziehbarkeit, da Anwender auf Kundenseite oft wissen möchten, auf welche Anforderung eine Aktion zurückzuführen ist und woher diese Anforderung stammt.

Ein Beispiel einer sehr schönen Maßnahme, die selten auf Begeisterung stößt, ist die Umsetzung der Gruppenrichtlinie “Letzten Benutzernamen nicht anzeigen”. Dadurch muss bei jedem Systemstart der Benutzername explizit eingegeben werden. Die Gegner der Maßnahme kommen dann meistens mit dem Argument, dass wenn der Benutzername angezeigt wird, der Anwender die Möglichkeit hat zu sehen, ob sich eine Dritte Person am Rechner angemeldet hat? Das ist zugegebenermaßen ein Argument gegen die Umsetzung, jedoch ist das System trotzdem sicherer, da ein lokaler Angreifer erst einmal einen Benutzernamen wissen muss um ein ggfs. zugehöriges Passwort einzugeben. Außerdem kann man noch dem mutwilligen Sperren eines Benutzerkontos, durch falsche Eingaben des Passworts, entgegenwirken.

Alle Informationen zu dem Produkt finden Sie auch auf unserer Homepage.

/ssu

Die aktuelle Windows-Schwachstelle, bei der sich über .LNK-Dateien Schadcode aus DLL-Dateien beim Laden der Icons nachladen lässt, kann u. A. mit Hilfe einer Softwareeinschränkungsrichtlinie eingedämmt werden. Eine Anleitung dazu gibt es hier.

Was man mit Softwareeinschränkungsrichtlinien noch so alles treiben kann beschreibt der Autor ebenfalls in mehreren Artikeln. Will man ein paar Basics, dann kann man aber auch hier nachsehen

/sb

Zurück zum Artikel auf heise. Neugierig habe ich das dort Beschriebene ausprobiert: mit dem IE eine Seite als PDF-Dokument drucken. Zuvor noch die Kopf- und Fußzeile angepasst, sodass die URL verschwindet (ja ich weis, das war nicht erwähnt) und siehe da: Entgegen der Behauptung des Autors ist der Pfad nicht im Dokument aufgetaucht (zum Einsatz kamen  IE 8 und FreePDF XP). Ich frage mich, wie der Autor darauf kam… Schuld daran könnte der von ihm verwendete PDF-Drucker gewesen sein, who knows

/sb

Doch was ist jetzt so besonders daran? Ganz einfach: viele Unternehmen setzen zur Maßnahmenumsetzung mehr oder weniger kostspielige Software für die Integritätsprüfung ein. Warum nicht also auf das Kommandozeilen-Tool der Redmonder zurückgreifen (kostenlos) und mit ein paar Tweaks den Funktionsumfang (vor allem Alerting) erweitern? Wenn man sowieso eine Überwachungsinstanz (Nagios) am Laufen hat, ist das im Handumdrehen gemacht. Ich hätte früher darauf kommen sollen – wir setzen selbst zur Überwachung unter anderem Nagios ein und sind stetig dabei, die Überwachung der IT-Landschaft zu verbessern.
Die Eigenschaft des FCIV-Tools, es für Scripte zu verwenden, wurde sich hier zu Nutze gemacht. In der Anleitung sind die dazu benötigten Scripte aufgeführt. Alles was Nagios hierbei macht ist: Start des Scripts zum Checksummenvergleich. Als Rückgabewert erhält Nagios dafür die von ihm benötigten Rückgabewerte des Scripts: entweder ein “OK” oder eben ein “Critical”, was wiederum bei entsprechender Konfiguration Nagios dazu veranlasst seinen Admin zu kontaktieren und ihn darüber in Kenntnis zu setzen. Hier nochmal ein Ablaufschaubild

An dieser Stelle sei noch einmal gesagt, dass dies nicht die einzige Möglichkeit darstellt, um regelmäßige Integritätsüberprüfungen durchzuführen, aber eine für den Anfang ausreichende.

/sb