Absichern von Unternehmensnetzwerken Teil 2

Wie ich in meinem letzten Blogeintrag über das Absichern von Unternehmensnetzwerken berichtet habe möchte ich mich dieses Mal einer weitern wichtigen Komponente widmen: Den Menschen die mit der Technik arbeiten. Meiner Erfahrung nach müssen Sie die Mitarbeiter in dem Unternehmen für das Sie arbeiten für die von Ihnen getroffenen Sicherheitsvorkehrungen begeistern, ansonsten werden Sie auf wenig Verständnis stoßen. Oft kommen sich die Mitarbeiter gegängelt oder “in der Ausübung ihrer vermeintlichen Rechte” zurückgesetzt vor wenn das Verständnis für die Absicherung fehlt. Umso eher werden diese dann auch die getroffenen Maßnahmen verstehen.

Häufige Fragen was zu tun ist wenn man merkt das der eigene Rechner betroffen ist müssen unbedingt im Vorfeld geklärt werden. Ich habe hier mal die Liste erstellt welche Maßnahmen bei einer Warnung des Virenscanners getroffen werden:

  1. Ziehen des Netzwerksteckers aus dem Rechner
  2. Anruf bei der It-Hotline
  3. Untersuchung des Vorfalls durch die IT / Helpdesk, wahrscheinliche Neuinstallation des Rechners

ich bin nicht nur bei der ersten Vorstellung der Liste gefragt worden warum Punkt 1 an erster Stelle kommt. Nun, das ist eigentlich relativ einfach: Würmer wie Conficker verbreiten sich über offene Schnittstellen und möglicherweise ungepachte Systeme. Je eher der Mitarbeiter das Kabel aus dem Rechner entfernt desto eher ist die Change eine Verbreitung zu verhindern. Wenn erst der Helpdesk angerufen wird, dort möglicherweise besetzt ist oder der gerade in der Mittagspause ist sollte die Schadsoftware trotzdem keine Möglichkeit haben sich weiter zu verbreiten. Das Ziehen des Netzwerkkabels muß aber jedem Mitarbeiter im Unternehmen klargemacht und geschult werden, ansonsten ist jegliche Mühe wahrscheinlich umsonst gewesen. In dem Unternehmen für das ich gerade arbeite gibt es regelmäßig Zusammenkünfte der ganzen Belegschaft. Das ist immer auch eine Möglichkeit der IT in 5-10 Minuten daran zu erinnern was im Notfall getan werden muß.

Fragen wirft vielleicht auch Punkt 3 auf: Warum werden Rechner (fast) immer neu installiert wenn sich Schadsoftware darauf eingerichtet hat? Diese Frage kann nicht immer abschließend für jeden beantwortet werden. Eine Säuberungsaktion kann trotz Virenscanner (vielleicht wurde der Schädling ja erst nach dem letzten Update erkannt?) längere Zeit in Anspruch nehmen. Noch dazu können sich intellligent Programmierte Schadprogramme an stellen einnisten, an denen bis heute nur wenige Virenscanner suchen oder werden gut getarnt und brechen erst bei bestimmten Aktionen aus. Andere versuchen den Virenscanner auszuschalten.

Um eine Schadsoftware zu eleminieren sollte man also immer von einem sauberen medium starten und die befallene Festplatte untersuchen lassen. Auch hier sollte man sich die Hinweise der Hersteller von Antivirussoftware durchlesen die den Virus genau analysieren. Selbst dann kann man leider nicht sicher sein das sich noch Reste davon auf der Festplatte befinden.

Ich ziehe es deshalb vor ein regelmäßiges, mehrstufiges Backup von den mir wichtigen Daten zu haben. In der Firma für die ich arbeite wird deshalb das Homelaufwerk, welches auf dem Fileserver liegt mehrmals täglich mit den anderen Daten gesichert. Den Mitarbeitern ist bewußt, das lokal abgelegte Daten im Fall eines Virusbefalls oder einer defekten Festplatte leider den Datentod sterben. Auch das ist ein Punkt, der in Schulungen den Mitarbeitern beigebracht und verständlich gemacht werden muß. Rechner werden bei uns mit Acronis Snap deploy neu installiert. Das dauert pro Rechner nur ca. 1 Stunde und geht meistens schneller (uns ist daher auch wirtschaftlicher) wie die langwierige Entseuchung einer Festplatte. Bitte daher immer alle Mitarbeiter in das Sicherheitskonzept mit einbeziehen.

Im nächsten Teil werde ich auf die Trennung von Admin und non-Admin-Konten eingehen und weitere Ausnahmeregelungen die auf Clients getroffen werden können.

 

Viele Grüße

 

Walter Steinsdorfer  

Microsoft bringt wegen "Conficker" neue Version des Software Removal Tools

wie ich bereits in einem früheren Blogposting berichtet habe ist die Schadsoftware Conficker weiter auf dem Vormarsch. Da sich der Wurm sehr schnell ausbreitet hat Microsoft eine neue Version des Software Removal Tools herausgebracht um die Entfernung der Schadsoftware von befallenen Rechnern zu vereinfachen. Einen KB-Artikel zu der Schadsoftware findet ihr hier. Das Software Removal Tool steht auf der Windows Update Seite zur Verfügung oder aus dem folgenden KB-Artikel heraus: http://support.microsoft.com/kb/890830 . Weitere Informationen zu Conficker findet ihr auf meinem Blog oder im Malware Protection Center.


Wer sicher sein möchte sollte allerdings die verfügbaren Patche von Microsoft Update einspielen bevor der Worst Case eingetreten ist.


Viele Grüsse


Walter Steinsdorfer

Absichern von Unternehmensnetzwerken Teil 1

in den letzten 3 Jahren durfte ich bereits mehrere Vorträge über die Absicherung von Unternehmensnetzwerken halten. Im speziellen versuche ich dabei auf die Möglichkeiten einzugehen die das Betriebssystem bereits bietet. Das sind nämlich seit Windows 2000 schon relativ viele, die leider, das zeigen meine Rückfragen bei den Teilnehmern fast niemals genutzt werden. ich persönlich finde das schade, auch deswegen weil z.B. oft wichtige Patche nicht eingespielt werden aus Angst das danach etwas nicht mehr funktioniert. Leider bietet dieses Verhalten unangenehmen Zeiterscheinungen wie Conficker, Sasser oder ähnlichen Schädlingen einen geradezu idealen Nährboden. Bei der Firma für die ich momentan arbeite wäre ein Problem wie in einem Krankenhaus in Österreich nie aufgetreten (ich kann das hier schreiben ohne rot anzulaufen, da die selbst gesetzten Standards bei uns eingehalten werden).

Zwar erfordert das Einhalten von Sicherheitsstandards mehr Arbeit, aber bei einem schlecht gesicherten Netzwerk können dann oft alle Mitarbeiter nicht mehr auf die für Ihre Arbeit notwendigen technischen Ressourcen zugreifen. Selbst wenn in einem Unternehmen “nur” 100 Mitarbeiter arbeiten, bei einem durchschnittlichen Stundenlohn von 30 EUR und einem 2 tägigen Ausfall (meist dauert es länger um alle befallenen Daten aus einem Backup wieder herzustellen!) sind bereits 48.000 EUR Ausfall zu kompensieren (Und 2 Tage Ablage werden die Mitarbeiter ja nicht machen, oder?). Dieser Betrag übersteigt meines Wissens das Jahresbrutto der meisten IT-Admins mit weniger als 6 Jahren Berufserfahrung.

Mit dem Wissen wie viel Schaden ein auftretendes Problem verursachen kann (obiges ist natürlich nur ein Beispiel, wie es bei jedem in der Firma aussieht muß man natürlich selbst eruieren) ist man schon für die nächste Budgetrunde besser gewappnet wenn es in der IT um Projekte und Ausstattung mit Mitarbeitern geht. Die meisten Ideen die ich in den nächsten Blogeinträgen geben werde kosten Zeit. Und meistens nützt es nichts auf die EDA-Kosten (der Mitarbeiter ist ja eh da) zu verweisen. Die meisten Mitarbeiter außerhalb der IT interessieren sich meiner Erfahrung nach “nicht die Bohne” für Sicherheit in der IT-Infrastruktur. Da wird dann schnell das Genörgle größer wenn der neue HTC nicht in 5 Minuten eingerichtet ist weil der Admin erst die Gruppenrichtlinien für mehr Sicherheit anpassen möchte. Ohne Rückhalt des Management ist man hier schnell auf verlorenem Posten (an dieser Stelle möchte ich meinen Kollegen in der Firma mal ein großes Lob aussprechen! Dringende bzw. verpflichtende Reboots werden “ohne mullen und knullen” ;-) hingenommen. Das habe ich selten so erlebt.)

Um ein wenig praktischer und technischer zu werden fangen wir mit einem Tipp an der nicht so arg weh tut und wenig kostet (der Einfachheit halber geht ich jetzt mal von reinen Windows-Netzwerken aus)

Tipp1 : Reduzierung der Angriffsfläche bei Clients

Um einen Angriff eines Schädlings erfolgreich abwehren zu können muß man 2 Dinge kennen: die Vorgehensweise des Schädlings (nicht die genaue, aber die ungefähre) und die eigenen Schwachstellen. Schädlinge nutzen meistens bekannte Schwachstellen aus. Im Fall von “Conficker” ist das eine Lücke im Protokoll des Remoteprozeduraufrufes (RPC, Remote Procedure Call) die Microsoft bereits seit mehreren Wochen geschlossen hat. Wir können als Scenario aber auch gerne annehmen, das es noch keinen Patch, aber eine bekannte Sicherheitslücke gibt. Wenn die Lücke gerade heute bekannt geworden ist und bereits Schadcode existiert wäre das dann ein sog. Zero-Day-Exploit. Leider kommt sowas immer häufiger vor, dazu aber in einem späteren Tipp mehr.

Im Fall von Conficker, Sasser, Blaster und noch etlichen anderen Kandidaten haben wir es mit selbstverbreitenden Kandidaten zu tun, die wenn erst einmal ein Rechner betroffen ist versuchen sich weiter auf andere Rechner zu kopieren oder Schadcode nachzuladen. Häufig werden die Schädlinge über Notebooks vom Außendienst oder tragbare Datenaustauschgeräte eingeschleppt. Das kopieren des Schadcodes von Client zu Client kann man relativ leicht unterbinden: Durch Verwendung der in seit Windows XP vorhandenen Firewall. Damit man das nicht “zu Fuß” an jedem Client machen muß  können die Einstellung per Gruppenrichtlinie verteilt werden. Wer noch nie etwas mit Gruppenrichtlinien konfiguriert hat sollte sich die Seite von Mark Heitbrink genauer anschauen. Was sich realtiv banal und einfach liest hat natürlich einige (aus meiner Sicht leicht verschmerzbare) Tücken. Beim bloßen Einschalten der Firewall hat man (auch als Administrator!) erst einmal einen Remotezugriff auf die Rechner. Das ist, wenn dort etwas installiert werden muß oder ein Blick auf das Eventlog notwendig ist erst einmal ein Problem. Wenn man die Zugriffe auf die Clients auf einen bestimmten (ADmin/Verwaltungs-)Rechner einschränkt kann das aber konfiguriert werden. Ich gehe mal davon aus das folgende Ausnahmen für die Firewall der Clients für den Administrativen Zugriff benötigt werden:

  • Remote Desktop
  • Remote Verwaltung

Möglicherweise spielt noch der Virenscanner eine Rolle oder ein Installationsagent. Da das etwas schwieriger zu konfigurieren ist werde ich in einem der nächsten Blogeinträge darauf eingehen.

Bitte immer im Hinterkopf behalten das es sich um eine Eingehende! Firewall handelt. Ich hoffe das in keinem Unternehmen ein Anwenderrechner als Druckserver herhalten muß. Verbindungen wie zum Automatischen Updatedienst werden ja vom Client aus initiert.

Die Gruppenrichtlinien zur Firewallkonfiguration finden sich unter “Computerkonfiguration, Administrative Templates, Netzwerk, Netzwerkverbindungen.

fwprofile

An dieser Stelle stoßen wir bereits auf das erste Hindernis: Wann gilt das Domänenprofil und wann das Standardprofil. Ich werde auf diese Frage in einem der folgenden Blogeinträge eingehen. Vorerst widmen wir uns dem Domänenprofil. 

Folgende Einstellungen wären zu treffen (siehe Screenshot)

firewallsettings

Damit wären die Clients bis auf Remotedesktop und Remoteverwaltung abgesichert. Da z.B. Conficker u.a. den Port für die Remoteverwaltung benutzt um sich selbst zu verbreiten wäre eine weiter Absicherung natürlich gut. Anstatt den Zugriff von überall aus zu gestatten geben Sie den Adminrechner vor von dem aus Sie administrieren. Das kann ein Administrator-Terminalserver sein oder ein Admin-Subnetz. Die Ausnahme wird sowohl bei RDP als auch bei der Remoteverwaltung gleich eingetragen (siehe Screenshot):

admints

Meiner Erfahrung nach werden viele Viren per Surfen im Internet, Email oder USB eingeschleppt. Bitte vermeiden Sie den Administrator-Rechner damit in Berührung zu bringen. Durch den Tipp 1, Reduzierung der Angriffsfläche bei den Clients haben Sie schon einmal ein großes Schadpotential ausgeschaltet. Conficker hätte auf den Clients auch wenn diese noch keinen Patch installiert haben keine Chance zur Verbreitung mehr. Ein wichtiger Beitrag zum Arbeitsplatzerhalt und besserem Schlaf für jeden Admin!

Im nächsten  Teil zu “Absichern von Unternehmensnetzwerken, Teil 2” werde ich auf einen wichtigen Teil der Sicherheitsstrategie eingehen: Die Mitarbeiter.

 

Viele Grüße

 

Walter Steinsdorfer

Windows 7 ist cool

O.k., das ist vielleicht nicht die richtige Beschreibung dafür. Aber ein ziemlich gutes Produkt obwohl es noch im Beta Stadium ist. Ich habe es auf meinem LG x110 installiert. Das einzige was nicht auf Anhieb erkannt wurde war der Wlan-Adapter. Welcher da drin verbaut ist steht auf der Rückseite, in meinem Fall ein Realtek RTL8187SE (Achtung, es gibt verschiedene x110er – Serien, ich kann nicht sagen ob in allen der gleiche Adapter steckt!). Der Adapter wird zwar von Windows 7 nicht eigenständig erkannt, allerdings kann der Treiber manuell hinzugefügt werden (ist bereits in Windows 7 enthalten!). Mein Gerätemanager sieht so aus wie auf dem nachstehenden Bild, alles installiert, auch die interne Kamera und das Microphon wurden erkannt.

x110 Geraete

Meine mir wichtigen Programme funktionieren auch alle, Office 2007, insbesondere Outlook 2007 Sp1 sowie der neue Windows Live Writer machen überhaupt keine Probleme. Auch bei mir sieht es so aus als ob der “gefühlte” Speicherhunger von Vista nicht vorhanden ist. Man hat zu jeder Zeit den Eindruck das Windows 7 deutlich schneller reagiert wie Vista, und das bereits in der Beta – Version. Ich habe auf dem gleichen Rechner Windows XP mit Service Pack 3 installiert. Hier macht das Arbeiten längst nicht so viel Spaß wie mit Windows 7. 

unter last

An meinem Taskmanager könnt ihr sehen das trotz Outlook, Livewriter und noch ein paar anderen geöffneten Programmen noch genügend Luft bleibt. Auch unter hoher Auslastung läuft Windows 7 stabil und schnell. Ich habe übrigens die Build 7000 installiert die es über Technet/MSDN zum Download gab. Und ich freue mich schon auf die nächste Version.

Viele Grüsse

 

Walter Steinsdorfer

Rosa ist für Mädchen

Unsere Tochter Emily hat ein rotes Bobby Car. Weil sie immer ihre Stofftiere auf ihren Ausflugsfahrten mitnehmen möchte haben wir beschlossen ihr einen Anhänger für ihr Bobby Car zu kaufen. Weil meine Frau keine Zeit hatte bin ich mit Ihr zu Toys´r us im Euro Industriepark gefahren um den besagten Anhänger zu besorgen. Trotz der Größe des Ladens waren wir relativ schnell bei den Bobby Cars angelangt und ich griff schon beherzt zu dem roten Anhänger als Emily mich aufklärte: “Aber Papa, rosa ist für Mädchen”. Neben den roten Anhängern standen die rosafarbenen. Emily war davon überzeugt das der Anhänger rosafarben sein muß. Auch der Hinweis auf das rote Bobby Car wurde nochmals mit dem obigen Satz beantwortet. Außerdem wurde mir noch mitgeteilt: “Rosa ist für Mädchen, blau für Jungs. Du kennst dich nicht aus.” Angesichts so viel Überzeugungskraft habe ich dann den rosafarbenen Anhänger gekauft.

bobbycar

Viele Grüsse

Walter Steinsdorfer

Conficker weiter auf dem Vormarsch

Der Wurm Conficker ist weiter auf dem Vormarsch. Wie die Sueddeutsche Zeitung aktuell berichtet hat sich der Wurm Conficker nun bereits mehr als 10 Millionen Rechner infiziert. Dabei wäre es in diesem Fall relativ einfach sich vor dem Wurm zu schützen, es gibt ja bereits seit einigen Wochen ein Update. Da möchte man jedem Systemadministrator raten: Wenn ihr schon nicht auf eure eigene Sicherheit achtet dann spielt den erhältlichen Patch zur Sicherheit der anderen ein. Bitte! Mehr Hinweis zu Conficker findet ihr hier. In diesem Fall finde ich die Geschwindigkeit mit der sich Conficker ausbreitet geradezu beängstigend. Immerhin werden (geschätzt) mehrere Millionen Rechner pro Tag infiziert!

Viele Grüsse

 

Walter Steinsdorfer

Es ist soweit, die ersten Neuigkeiten zur neuen Exchange Version werden veröffentlicht

Auf dem Exchange Teamblog wurden jetzt die ersten Hinweise zur neuen Version von Exchange veröffentlicht. Es wird berichtet, das an der E14 genannten Version 2 Jahre gearbeitet wurde und bereits 3,5 Millionen Benutzer, vor allem Schüler und Studenten damit arbeiten. Außerdem wird auf ein Video hingewiesen, dort erklären KC Lemson, UX Manager for Exchange und Jim Lucey einige Höhepunkte der neuen Version, wie zum Beispiel das einfache Erstellen von Verteilerlisten in Outlook Web Access. Das Video findet ihr in verschiedenen Formaten und auch zum Download hier. Weiterhin wurde erwähnt, das die Kosten für den Betrieb einer Exchange-Organisation nochmals gesenkt werden sollen (Lt. Microsoft sind die Kosten für den Betrieb von Exchange 2007 bereits halbiert wenn man Exchange 2003 als Vergleichsgröße heranzieht). Ich bin jedenfalls gespannt was bis zum RTM von E14 noch auf uns zukommt.


Viele Grüße


 


Walter Steinsdorfer

Exchange Anti-Spam Updates funktionieren wieder

nachdem ich ja in meinem letzten Blogbeitrag darüber berichtet hatte das die Automatische Updatefunktion in Exchange für die Anti-Spam-Updates nicht funktioniert scheint es jetzt wieder zu gehen. ich habe das gerade manuell auf dem Server versucht der auch die Mailinglister der Exchange User Group beheimatet. Auch Dieter Rauscher hat bereits darüber berichtet das er wieder Anti-Spam-Updates bekommt. Da die Updates eine wichtige Funktion für den Schutz des Exchange-Servers darstellen, sollte das wieder funktionierende Update am besten gleich genutzt werden.


Viele Grüße


 


Walter Steinsdorfer

Wurm "Conficker" breitet sich aus

Wie z.B. heise gestern berichtete breitet sich der Wurm “Conficker” immer weiter aus. Der Wurm hat bereits mehr als 2,5 Mio Rechner infiziert. Er nutzt die vor ein paar Wochen bereits aufgedeckte RPC-Lücke aus. Gegen diese Lücke stellt Microsoft einen Hotfix bereit, der spätestens jetzt eingespielt werden sollte. Nähere Informationen dazu gibt es in einem früheren Blogarktikel von mir. Der große Verbreitungsgrad spricht dafür, das das einspielen von Hotfixen nicht überall zeitnah erfolgt bzw. erfolgen kann. Eine Vereinfachung in mittleren bis großen Umgebungen stellt sicher der Wsus dar, mit dem Administratoren Updates leicht einspielen kann.


Viele Grüsse


 


Walter Steinsdorfer