Ratgeber Sicherheit

Windows 7 wirklich sicher nutzen

25.08.2010 von PCWorld.com 
Trotz der vielen verbesserten Funktionen unter Windows 7 stellen für viele IT-Administratoren die Sicherheitsfunktionen ein weitreichendes Problem dar. Wir stellen die neuesten Sicherheitsfunktionen unter Windows 7 vor und zeigen Ihnen, wie Sie diese optimal einstellen und nutzen.

Konten- und Laufwerksicherheit

Windows 7 richtig sichern.

Aufgrund zahlreicher Mails von Lesern haben wir für Sie eine Reihe an äußerst nützlichen Sicherheitshinweisen zusammengestellt. Im Laufe des Beitrags konzentrieren wir uns auf einige der wichtigsten Sicherheitsfragen und sprechen darüber unsere Empfehlung zur richtigen Konfiguration aus.

Benutzerkonten (UAC)
Die Benutzerkontensteuerung (UAC, englisch für User Account Control) zählt zu einer der am meisten überarbeiteten Funktionen unter Windows 7. Standardmäßig zieht die Funktion weniger häufig den Eingriff von Administratoren im geringen Risikobereich mit sich. Das Feature erlaubt es Administratoren Sicherheitsanforderungen über den Schieberegler genauer und empfindlicher einzustellen. Empfehlung: Normalerweise sollte die Umgebung Ihrer Domäne stets auf der höchsten Sicherheitsstufe stehen. Ist dem nicht so, stellen Sie es dementsprechend ein. Auf diese Weise fordert die UAC Nutzer dazu auf, ihr Passwort einzugeben, sobald diese risikoreiche Änderungen vornehmen möchten. In jedem Fall sollten Sie die UAC aktivieren.

BitLocker
Unter Windows 7 haben die Entwickler die Laufwerkverschlüsselungs-Technologie BitLocker Drive Encryption von internen Laufwerken auf abnehmbare Laufwerke sowie USB-Sticks erweitert. Diese Neuerung heißt BitLocker to Go. Über die Installation des Service Packs SP 1 unter Windows Vista hat Microsoft der Verschlüsselungs-Technologie offiziell technische Unterstützung hinzugefügt. Doch: Die Einstellungen lassen sich nur über die Kommandozeile eingeben.

Unter Windows 7 können Sie mittlerweile System-Laufwerke, interne Festplatten sowie USB-Sticks über die grafische Oberfläche des Windows Explorers verschlüsseln. Zudem lassen sich über Smart Cards Daten-Volumen sicheren. Datenwiederherstellungs-Tools erstellen automatisch eine Sicherungskopie der BitLocker-Schlüssel, die Sie zum ver- und entschlüsseln benötigen. Sollten Sie einen Trusted-Platform-Modul-Chip (TPM) verwenden, können Sie sogar einen PIN als Verschlüsselungs-Method wählen; ein fünfstelliger Code sollte für die meisten Umgebungen ausreichen.

Bequemer Verschlüsseln

Windows 7 setzt nicht voraus, dass Sie getrennte Partitionen auf Ihrer Festplatte anlegen bevor Sie BitLocker einsetzen. Die System-Partition wird automatisch erstellt und verzichtet auf einen Laufwerksbuchstaben. Praktisch: Auf diese Weise bleibt sie im Windows Explorer unsichtbar und es wird zudem vermieden, dass Daten versehentlich überschrieben werden. Unter Windows 7 fällt die System-Partition kleiner aus als unter Windows Vista. Insgesamt nimmt die Partition lediglich 100 MByte Speicherplatz ein.

Der BitLocker to Go Reader (bitlockertogo.exe) ist ein Programm, das sich auf Computern ausführen lässt, auf denen Windows XP oder Windows Vista läuft. Ist ein abnehmbares Laufwerk über BitLocker unter Windows 7 verschlüsselt, können Sie über das Programm nicht nur das Laufwerk unter Windows XP und Windows Vista öffnen, sondern auch dessen Inhalt ansehen. Empfehlung: Sie sollten stets den BitLocker auf tragbaren Computern aktiviert lassen (am besten per TPM und einen weiteren Sicherheitsmodus), falls Sie nicht bereits eine alternative Verschlüsselungs-Software verwenden. Speichern Sie dazu am besten die BitLocker PINs und Wiederherstellungs-Informationen im Active Directory. Alternativ dazu können Sie einen Domän-weiten öffentlichen Schlüssel erstellen, genannt Data Recovery Agent (Datenwiederherstellungs-Agent), der es einem Administrator erlaubt, jedes über BitLocker verschlüsselte Laufwerk zu entschlüsseln.

Suite B Verschlüsselungs-Unterstützung
Suite B besteht aus einer Gruppe an Verschlüsselungs-Algorithmen-Standards, die von der National Security Agency und dem National Institute of Standards und Technology für den Mehrzweck-Gebrauch freigegeben sind. Microsoft setzt auf derartige Suite B Verschlüsselungs-Algorithmen (AES, ECDSA, ECDH, SHA2) unter Windows Vista (und höher). Windows 7 erlaubt sogar den Einsatz von Suite B Verschlüsselung in Transport Layer Security (TLS), kurz TLS Version 1.2 und Encrypting File System (EFS). Empfehlung: Suite B Verschlüsselungen sollten wann auch immer möglich eingesetzt werden. Doch achten Sie darauf, dass Suite B Verschlüsselungen erst ab Windows Vista funktionieren.

DirectAccess erlaubt es Nutzern aus der Ferne sicher auf Firmen-Ressourcen zuzugreifen.

DirectAccess
DirectAccess erlaubt es Nutzern aus der Ferne sicher auf Firmen-Ressourcen zuzugreifen (dazu gehören das Teilen von Daten, Webseiten, Anwendungen, und so weiter), ohne sich über ein herkömmliches VPN am Netzwerk anzumelden. DirectAccess erlaubt den Zugriff in beide Richtungen jedes Mal wenn ein DirectAccess-fähiger tragbarer Computer sich mit dem Internet verbindet. Das geschieht sogar bevor sich der Nutzer selbst anmeldet. Der Vorteil liegt darin, dass sich der Nutzer niemals daran erinnern muss, sich mit dem Firmennetzwerk zu verbinden.

IT-Administratoren können zudem ferngesteuerte Computer außerhalb des Büros verwalten, sogar selbst dann, wenn der Computer nicht über ein VPN verbunden ist. Sobald der DirectAccess aktiviert ist, erscheint es dem Nutzer so, als ob er oder sie sich direkt im Firmennetzwerk befinden. Leider hat DirectAccess hohe Leistungsanforderungen, darunter Windows Server 2008 R2 (hier muss er als RAS Server arbeiten), Windows 7 als Unternehmensausgabe oder in der Ultimate-Version, PKI, IPv6 und IPSec. Empfehlung: Firmen, die mit Windows 7 arbeiten, sollten auf DirectAccess als deren standardmäßiger VPN umrüsten.

Die richtige Kontenverwaltung

Verwaltung von Service-Konten
Service-Konten sind häufig äußerst privilegiert, aber schwer zu verwalten. Grundsätzlich gilt: Ändern Sie häufig die Passwörter der Service-Konten, um somit das Risiko von Passwortangriffen zu verringern. Windows-Service-Konten erfordern oft zwei oder mehr abgestimmte Passwort-Änderungen, um ohne Unterbrechung zu funktionieren.

Vor Windows 7 und Windows Server 2008 R2 galten Service-Konten alles andere als einfach zu verwalten. Aktivieren Sie ein Service-Konto als verwaltetes Service-Konto, übernimmt Windows die Verwaltung und vereinfacht somit die Einstellung von Kerberos SPN (Service Principle Names). Empfehlung: Genau wie DirectAccess setzen verwaltete Service-Konten jede Menge voraus, darunter PowerShell 2. Die Funktion hilft Ihnen allemal bei der Verwaltung, sobald die Infrastruktur steht.

Virtuelle Service-Konten
Virtuelle Service Konten (VSA, englisch für Virtual Service Accounts) sind mit den verwalteten Service-Konten verbunden. VSA sind jedoch für lokale Service-Konten ausgelegt und benötigen somit kein Schema-Update. Folglich lassen sie sich ohne einen vergleichbaren Aufwand konfigurieren und anwenden.

Sobald ein VSA einen Dienst kontrolliert, greift der Dienst mit der Identität des Computers auf das Netzwerk zu. Die Identität ähnelt dem eingebauten LocalSystem sowie den Netzwerk-Service Konten. Die VSAs wiederum erlauben jedem Dienst eine getrennte Sicherheits-Domäne zu besitzen. Praktisch: Die Erstellung eines virtuellen Service-Kontos ist ziemlich leicht. Öffnen Sie die Service-Konsole (service.msc) und verändern Sie den Anmeldenamen des Diensts so, dass er wie die Kurzform des Diensts lautet. Beispiel: ex.NTSERVICE\ Service Name$. Starten Sie anschließend den Dienst erneut. Empfehlung: Sollte es die Infrastruktur zulassen, verwenden Sie die verwalteten sowie die virtuellen Service-Konten, um die Sicherheit der Service-Konten-Passwort zu verwalten.

Quelle: PC-Welt