|
|
Rubrik: Fachbeiträge/Grundlagen Die neuen Sicherheits-Features von Windows 7 Das Auditing in Windows 7 und dem zugehörigen Server ist eine große Fortentwicklung (
Anzeige
Die Symbiose aus Benutzbarkeit, Performanz und Sicherheit in Form von Windows 7 soll nun den Erfolg des neuen Hoffnungsträgers aus dem Hause Microsoft sicherstellen. Dieser Artikel wird einige der neuen Sicherheits-Features von Windows 7 beleuchten.
Von Matthias Fraunhofer, Consultant der Secaron AG Das Hosentaschen-DLP Ein Versehen oder auch gezielte Wirtschaftsspionage - der Effekt bleibt gleich: Der Verlust sensibler Unternehmensdaten kann zu hohen Imageschäden und wirtschaftlichen Einbußen führen. Schnell verloren und leicht entwendet sind vor allem eins - mobile Datenträger. In Form von Notebook-Platten und USB-Sticks sind sie in jedem Unternehmen im Einsatz. Steigende Kapazitäten bei immer geringerer Größe und Preisen und über Jahre eingeschliffene Arbeitsabläufe machen sie zu einem unkalkulierbaren Sicherheitsrisiko. Als Schutz bei Verlust oder Diebstahl gibt es nur eine Maßnahme - eine starke Verschlüsselung der gespeicherten Daten. Zur Verschlüsselung von Partitionen konnte BitLocker bereits seit Vista eingesetzt werden, sich gegen die ausgereifteren Festplatten-Verschlüsselungslösungen anderer Hersteller jedoch nicht durchsetzen. Neu hinzugekommen ist mit Windows 7 Enterprise die mobile Variante - BitLocker To Go, die zur Verschlüsselung von USB-Datenträgern eingesetzt werden kann. Um darauf gespeicherte Daten vor dem Zugriff Unberechtigter zu schützen, kann über zentrale Einstellungen eine Verschlüsselung der erwähnten Geräte mittels Smart Card oder Passwort erzwungen werden. Natürlich kann die Verwendung des USB-Datenträgers auch auf Clients nötig werden, die nicht auf Windows 7 laufen. Dies wird durch den "BitLocker To Go - Reader" abgebildet- wie der Name schon sagt erfolgt der Zugriff dann nur im Lesemodus. Mit BitLocker To Go kann das Unternehmen beispielsweise das folgende Szenario abbilden: Es werden grundsätzlich USB-Datenträger erlaubt, die jedoch vor der ersten Benutzung verschlüsselt werden müssen. Dabei spielt es erstmals keine Rolle, woher das Gerät stammt, da dies aus Sicherheitssicht irrelevant ist. Stimmt der Benutzer einer Verschlüsselung nicht zu, ist das Gerät eben nicht verwendbar. Sollte der Benutzer das Passwort vergessen, kann das Recovery von Daten über zentral im Active Directory abgelegte Schlüssel durchgeführt werden. BitLocker To Go ist eine sinnvolle Ergänzung, bietet einen guten Funktionsumfang und ist in der gängigen Versionen Enterprise bereits integriert. Zentral verwaltbar ist es sicherlich für viele Firmen ein hoch interessantes Features, das sich gut über das Active Directory steuern lässt. Immer verbunden Auch auf den mobilen Arbeitsplatz ausgerichtet ist ebenfalls eine neu hinzugekommene Technologie namens DirectAccess. Der Zugriff auf Firmenressourcen vom Notebook gehört für viele Benutzer zum Alltag: Der Client wird gestartet, die VPN-Software wird gestartet, der Benutzer authentisiert sich und wenn alles geklappt hat, fließen von nun an alle Daten über das Firmennetz. Diese Vorgehensweise ist altbewährt, hat jedoch hinsichtlich der Verwaltbarkeit der Clients und der Benutzbarkeit der Lösung seine Tücken. DirectAccess hingegen sorgt mittels bewährter Technologien wie IPv6 und IPSec für eine automatische Verbindung zum Unternehmensnetz - ohne explizite Benutzerinteraktion und über beliebige Netzwerkverbindungen. Der Client ist also immer im Firmennetz und kann somit auch immer verwaltet bzw. mit Richtlinien versorgt werden. Kann der Client die Einhaltung der Richtlinien nicht beweisen, kann ihm der Zugriff natürlich verwehrt werden – Network Access Protection macht es möglich. Dabei fließen die Daten bei DirectAccess getrennt ans Ziel - Internet und Intranet-Traffic wird nicht wahllos über einen Tunnel geleitet. Der Benutzer erhält eine nahtlose Benutzererfahrung - Aufklappen, Einschalten, Arbeiten. DirectAccess hat insbesondere durch den Komfort für den Benutzer und das bessere Client Management gegenüber klassischen VPN-Verfahren Vorteile. Mit einer 2-Faktor-Authentisierung kombiniert, erhält man einen reellen Zugewinn an Administrierbarkeit und eine durchgehend benutzerfreundliche Lösung. Allerdings ist der Aufwand für den Aufbau der Infrastruktur zu berücksichtigen, da klassische VPN-Verfahren meistens bereits realisiert sind. Administratorrechte per Fingerzeig Die z.B. bei DirectAccess angesprochene Zwei-Faktor-Authentisierung kann klassisch über Smartcard und PIN abgebildet werden. Generell möglich wäre jedoch auch die Variante mit biometrischem Merkmal wie z.B. dem Fingerabdruck und PIN bzw. Passwort. In vielen der momentan erhältlichen Business Notebooks gehört ein Fingerabdruckleser bereits zur Standard-ausstattung. Natürlich ist die Verwendung dieses Features auch in Windows XP bereits möglich, jedoch war es durch technische Eigenheit kaum zuverlässig zu betreiben. Durch die Einführung des Credential Provider-Systems und des Windows Biometric Frameworks steht dem Einsatz des Fingerabdrucks nichts mehr im Weg. Dies ist insbesondere in Kombination mit User Account Control interessant, die das im Vergleich zu Vista überarbeitet wurde. Obwohl Benutzer mit Administratorrechten nicht anzuraten sind, ist dies in Ausnahmefällen manchmal unvermeidbar. Hier kann es aus Sicherheitssicht Sinn machen, als eingeschränkter Benutzer zu arbeiten und jegliche UAC-Prompts für etwaig benötigte administrative Rechte noch mit Fingerprint bestätigen zu lassen. Dies fordert insbesondere auch die Awareness der Benutzer. Die totale Kontrolle Ein großes Problem der Client-Sicherheit ist der Wildwuchs an Anwendungssoftware, die auf den Clients eingesetzt wird. Applikationen müssen aktuelle gehalten werden, da sie den Großteil der Sicherheitslücken "bereitstellen". Zusätzlich ist es oft sinnvoll, genau eine fest definierte Menge an Applikationen benutzbar zu machen - sei es aus Lizenz- oder Compliance-Gründen. Durch eine strikte Vergabe von Administrator-Rechten kann dies teilweise abgefangen werden. Manche Software ist jedoch auch mit normalen Benutzerrechten ausführbar und verstößt gegen Richtlinien des Unternehmens. In Windows XP und Vista konnte man mit den reichlich unflexiblen und unkomfortablen Software Restriction Policies regeln, welche Benutzer welche Software ausführen dürfen. Auch hier sieht man die Evolution an AppLocker, dem Nachfolger der Software Restriction Policies. Dies hat mehrere Gründe: Mit AppLocker ist es jetzt möglich, den Effekt von Regeln vorher zu auditieren - dies ist insbesondere nützlich, wenn man die Menge an Software im Feld nicht 100 Prozent überblicken kann. Diese Audit-Funktion macht den Einsatz überhaupt umsetzbar und ist das größte Manko der bisherigen Software Restriction Policies. Mit AppLocker ist es möglich flexible Regeln zu gestalten, z.B. allen Benutzer die Ausführung von signierter Software von Microsoft und des Adobe Readers ab einer bestimmten Version zu erlauben. AppLocker ist genau wegen dieser Flexibilität und der vorherigen Auditierbarkeit als wirkliche Verbesserung zu sehen. Sicherheit geht Hand in Hand mit der Erkenntnis Wie man am Beispiel AppLocker sehen kann, ermöglicht oft erst ein gezieltes Auditing den Einsatz eines Sicherheits-Features. Um eine umfassende Client-Sicherheitsstrategie zu vervollständigen, müssen sicherheitskritische Vorfälle erkannt werden. Das Erkennen stellt die Basis für eine angemessene Reaktion auf einen Vorfall dar – und die Grundlage für eine Bewertung. Die Basis hierfür stellt ein Monitoring und Auditing der Windows-Clients dar. Clientseitig wird auf Windows-Systemen über sogenannte Audit-Richtlinien definiert, welche Ereignisse von Interesse sind. Hier war in der Vergangenheit die Wahl zwischen verschiedenen Kategorien - die jedoch oft eine Unmenge an Hintergrundrauschen produziert haben. Um dies zu verbessern, wurde in Vista das feingranulare Auditing eingeführt, das das gezieltere Auditing erlaubte - jedoch nicht über Gruppenrichtlinien verwaltbar; der umständliche Umweg über Kommandozeile und Startup-Skripte zeugte von der Unfertigkeit der Lösung. Und auch hier ist Windows 7 eine Evolution. Der gute Ansatz von Vista wurde übernommen, und für den Einsatz im Unternehmen verbessert. Jegliche Konfigurationen sind nun über die Gruppenrichtlinien durchführbar. Zusätzlich kann man jetzt das Auditing für den Zugriff kompletter Gruppen auf das Dateisystem aktivieren. Dies ist insbesondere hilfreich, wenn man die Zugriffe von zentralen Instanzen, bzw. sicherheitskritische Operationen wie Berechtigungsänderungen immer nachvollziehen will. Um die Erbsünden von Lan Manager und NTLM aus den Unternehmen zu bekommen, können auch diese Protokolle erstmals auditiert werden – damit die sicheren Protokolle NTLMv2 und Kerberos endlich als alleinige Authentisierungsprotokolle Anwendungen finden können. Das Auditing in Windows 7 und dem zugehörigen Server ist eine große Fortentwicklung und eines der wirksamsten Mittel um eine umfassende Sicherheit zu verfolgen. Wechseln - ja! Features sind nicht alles. Doch Windows 7 bringt genau diese in einer runden Form, und eine konsequente Weiterentwicklung der guten Seiten des Vorgängers. Nicht zuletzt ist Windows 7 durch eine sparsamere Auswahl von Softwaremodulen und Services nicht nur schlanker, sondern auch sicherer geworden. Den Wechsel sollten Unternehmen aus diesen Gründen anstreben - und falls Vista übersprungen wurde, auch damit Benutzer und IT den Anschluss nicht versäumen. (Secaron: ra) (*) Autor: Matthias Fraunhofer, Consultant der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheitsniveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen. |
||
|
