Die Sicherheit von Windows 2000

2.0 Einführung

Jedem technisch versierten Anwender, der Windows 2000 zum ersten Mal zu Gesicht bekommt, dem werden neben den witzigen und unnötigen grafischen Gimmicks sofort die veränderte Sicherheitsarchitektur des Betriebssystems von Microsoft auffallen. Die neuen Sicherheitsmerkmale kann man sich hervorragend auf der Zunge zergehen lassen: Es wird Public Key Infrastructure (PKI), IP Security (IPSec), CryptoAPI, SSL 3.1, Encrypting File System (EFS) und Kerberos-Beglaubigung neben den schon altbekannten Sicherheitsvorkehrungen von Windows NT angekündigt. Windows 2000 verlässt sich auf sehr starke Sicherheitsstandards, die in jenem Punkt nur noch sehr wenig mit Windows NT zu tun haben. Da Windows 2000 auf den Kernel von Windows NT aufbaut, so ist für dessen Verständnis das Wissen der alten NT-Versionen von unschätzbarem Vorteil, denn vieles erinnert noch an alte Zeiten.

3.0 Profile erstellen

Die meisten Angreifer beginnen als erstes mit dem Erstellen eines Profils ihres Ziels, und sie sammeln möglichst viele Informationen, ohne das Ziel direkt anzusprechen, um eventuelle Schwachstellen unauffällig schon im voraus in Erfahrung zu bringen. Die erste Quelle für sogenannte Footprinting-Informationen ist DNS (Domain Name Service), welches bekanntlich im Internet für das Umwandeln der IP-Adressen in Host-Namen zuständig ist. Da der Namespace des neuen Features AD (Active Directory) auf DNS aufbaut, hat Microsoft die Implementierung des DNS bei Windows 2000 komplett überarbeitet, um das Level der Sicherheit ein bisschen in die Höhe zu schrauben.

Laut RFC 2052 baut ein Client-Zugriff auf die Domain-Services von Windows 2000 wie AD und Kerberos auf den in der Spezifikation festgelegten DNS SRV-Datensatz auf, der das Aufspüren eines Servers über den Service-Typ beziehungsweise über das Protokoll ermöglichen soll:

Service.Proto.Name TTL Class SRV Priority Weight Port Target

Aus diesem Grunde können sich viele interessante und relevante Informationen durch einen einfachen Zonetransfer durch das Nutzen von "nslookup" oder der Eingabe "ls -d <Domain-Name>" auslesen lassen, wenn man die Daten aus der übertragenen Zone genau analysiert.

Eine simple Beobachtung, die der Angreifer machen würde, wäre zum Beispiel der Standort des globalen Katalogdienstes der Domäne ("gc._tcp"), die Domänen-Controller, die eine Kerberos-Beglaubigung durchführen ("_kerberos._tcp"), die LDAP-Server ("_ldap._tcp") und die damit verbundenen Port-Adressen.

Erfreulicherweise lässt die Implementierung des DNS von Microsoft in der jüngsten Windows-Generation ein einfaches und sicherheitsrelevantes Handling zu, um Zone-Transfers beliebig einzuschränken. Die Einstellungen werden in den Optionen für die Lookup-Zone definiert, welche sich unterhalb der "Microsoft Management-Konsole" des Snap-In-Modus bei Computerverwaltung unter "\Serveranwendungen und Dienste\DNS\[Servername]" findet.

4.0 Scanning

Die Windows 2000-Domaincontroller (DC) sind bei TCP-Port-Scans ziemlich auffällig und verraten ihre Identität sofort. Neben den ursprünglichen Windows NT-Standartports 135 (Endpoint-Mapper) und 139 (NetBIOS-Session) tauchen nun ein paar erwähnenswerte Neuerscheinungen auf:

Port-Nummer	Dienst
TCP-Port 88	Kerberos
TCP-Port 389	LDAP
TCP-Port 445	Microsoft-DS
TCP-Port 464	Secure LDAP
TCP-Port 593	Secure LDAP
TCP-Port 636	Secure LDAP
TCP-Port 3268	Globaler Katalog
TCP-Port 3269	Globaler Katalog
TCP-Port 3372	Globaler Katalog
TCP-Port 6586	Globaler Katalog

Wie immer kann also auch bei Win2k ein Port-Scan die Betriebssystem-Version und die aktiven Dienste herausfinden, um eine mögliche Tür ins System aufzuzeigen. Ich werde versuchen, die möglichen Angriffe auf diese neu hinzugekommenen Dienste in diesem Dokument zu erläutern. Die unbrauchbaren oder hinlänglich bekannten Attacken aus den NT-Tagen werde ich hier zwar nicht außer Acht lassen, jedoch zur Ergänzung jeweils nur kurz anschneiden.

Obwohl es unter Windows NT nicht sonderlich einfach war, NetBIOS anstandslos zu deaktivieren, bietet Windows 2000 endlich diese Funktion ohne Hürden. Unter "Netzwerk" bzw. "DFÜ-Netzwerk" können die gewünschten Parameter ganz einfach und ohne Probleme gesetzt werden: Einfach auf die Schaltfläche "Eigenschaften für Internet Protokoll (TCP/IP)"klicken, und in den erweiterten Einstellungen im "WINS"-Register das "NetBIOS über TCP/IP deaktivieren". Somit wird die Fähigkeit geschaffen, ein natives TCP/IP zu benutzen, wobei die Ports 135 und 139 bei einem TCP-Portscan nicht mehr auftauchen würden.

Die Deaktivierung von NetBIOS, besonders bei Rechnern mit direkter Anbindung zum Internet, lohnt sich immer, wenn die Möglichkeit dazu besteht: Neben einer Steigerung der Performance wird weniger Angriffs-Fläche für Datenklau und DoS-Attacken geboten, da die meisten Angriffe auf NT-basierende Systeme erfahrungsgemäß auf NetBIOS-Verbindungen aufbauen.

5.0 Auswertung

Es ist hinlänglich bekannt, wie freundlich Windows NT 4 sein kann, wenn es um das Einsammeln von Informationen über das vermeintliche Ziel geht: Die Benutzernamen und Dateifreigaben waren für einen Angreifer meist Gold wert, und erlaubten erst einen effizienten Remote-Angriff. Windows 2000 hat bei der Lösung dieser markanten Sicherheitsprobleme einige beachtliche Fortschritte gemacht, aber ganz neue Informationen sind nun aus dem Active Directory-Dienst heraus erspähbar: Wie so oft bei Microsoft ist ein Fortschritt auch wieder ein Rückschritt.

5.1 LDAP (Leightweight Directory Access Protocol)

Eine für den Endverbraucher grundlegendste Änderung im neuen Windows-System ist die Einführung eines auf LDAP (Leightweight Directory Access Protocol) basierenden Dienstes, der von Microsoft liebevoll Active Directory genannt wird. Da dieser Zusatz einfach zu handhaben und dementsprechend praktisch ist, wird die Installation und der Nutzen dieses Features bald großflächig in Unternehmensnetzwerken Einzug halten. Doch nicht nur Freunden wird damit die Arbeit erleichtert, sondern auch den eigenen Feinden, da sie informellen Nutzen aus diesem Dienst ziehen werden können.

AD wurde für die Weitergabe einer einheitlichen logischen Darstellung aller für die technische Infrastruktur eines Netzwerkes nötigen Objektdaten entwickelt. Wie so oft enthält das Windows NT Resource Kit eine beachtliche Menge an Tools, um aus diesem Dienst wertvolle Informationen zu gewinnen. Das Standard-Werkzeug für den Umgang mit AD ist ein einfacher LDAP-Client mit dem Namen "ldp", der eine Verbindung zum AD-Server aufbaut und den Inhalt des Directories anzeigen kann.

Die ausgelesenen Informationen unterscheiden sich nach der Konfiguration des angesprochenen Systems. Doch ein Problem tritt bei dieser Schnüffelei zu Tage: Windows-NT4-RAS-Server (Remote Access Service) müssen in der Lage sein, ein Benutzerobjekt im AD abzufragen, um herauszufinden, ob es für einen vermeintlichen Zugriff die Berechtigung besitzt. Die Windows-2000-Installation führt den Benutzer an einer Abfrage vorbei, die es erlaubt, die Sicherheit dieser Directories für die angerissene Abwärtskompatibilität herunterzuschrauben, sodass die Suchoperation für traditionelle RAS-Server zugelassen wird. Wird die schwächere Option beim Installationsvorgang gewählt, sind die Benutzerobjekte auch bei den "ldp"-Abfragen ersichtlich: Die Namen aller eingerichteten Benutzerkonten sind ohne größere Umschweife für einen Angreifer sichtbar.

Die Gegenmaßnahme geht von netsh aus: Dieses Windows-2000-Utility bereinigt die geschwächte Sicherheit von den zuvor vorgenommenen Einstellungen während der Installation, sobald es in der Kommandozeile ausgeführt wird. Natürlich verlieren alle NT4-RAS-Server nach diesem Vorgang ihren Nutzen im Zusammenspiel mit den 2000-Rechnern. Der Synthax für das kleine Shell-Tool liest sich wie folgt:

netsh ras set domainaccess [legacy | standard] domain = [Domänen-Name]Wird die Option legacy gesetzt, können Windows-NT4- und Windows-2000-RAS-Server in vertrauten NT4-Domänen Benutzer aus der angegebenen Domain beglaubigen. Wird der Standard-Modus gewählt, sind die Benutzerobjekte auch dann vor einer gelegentlichen Auswertung geschützt, wenn der Schalter legacy später aktiviert wird. Die Benutzerobjekte sind erst ab dann wieder gefährdet, wenn die Lese-Berechtigung manuell wieder umgestellt wird. Für weitere Informationen zu dieser Berechtigung geben Sie "netsh ras set domainaccess /?" ein.

5.2 Null-Sitzungen

Eine der beliebtesten Methoden, ein System aus dem Hause Microsoft anzugreifen, bleibt seit NT erhalten: Die bekannte Null-Sitzung. Das einzige Manko beim neuen System ist der Verlust der Fähigkeit, die Registry-Informationen über differente "Reg..."-API-Aufrufe auszulesen. Die Auswertung von Benutzern und Freigaben ist weiterhin mit DumpACL über eine Null-Sitzung möglich. Auch "user2sid" kann noch immer die SID der Benutzer und Gruppen identifizieren, und die Inversion "sid2user" kann auch weiterhin das Gegenteil: Somit bleibt es auch unter Windows 2000 mit einer einfachen Null-Sitzung ein Kinderspiel, Standardbenutzer und -gruppen in Erfahrung zu bringen, auch wenn sie umbenannt wurden.

Die Gegenmaßnahme beinhaltet eine Manipulation des Registry-Werts "RestrictAnonymous", welcher standardmäßig auf 0 (deaktiviert) eingestellt wird. Zwar sind auch dann noch Null-Sitzungen zum System möglich, doch verlieren die meisten Angriffe, wie zum Beispiel "user2sid" und "sid2user" ihre Gefährlichkeit. Die beste Lösung gegen Null-Sitzungen ist und bleibt die NetBIOS-Ports 135 bis 139 (UDP und TCP) an der Netzwerkgrenze zu filtern.

6.0 Eindringen

Die bösen Buben werden sich freuen zu hören, dass die NT-LANMan-Sequenz (NTLM) auch noch weiterhin bei Microsofts neuestem Streich vertreten ist und quicklebendig eine breite Angriffs-Fläche bietet.

6.1 NetBIOS-Freigaben

Die beliebten Brute-Force-Tools wie das NetBIOS Auditing Tool (NAT) sind noch immer nützlich, wenn es um das Erraten von Passwörtern auf Windows-2000-Systemen geht.

Doch viel gefährlicher sind aus meiner Sicht die inkompetenten Benutzer, die ihre gesamte Festplatte der Außenwelt freigeben, manchmal sogar mit kompletten Schreibrechten ohne Passwort-Restriktionen.

Wann immer es möglich ist, sollte auf die NetBIOS-Freigabe verzichtet werden. Dies gilt besonders bei jenen Systemen, die direkt vom Internet aus ansprechbar sind, denn im Netz der Netze tummeln sich über 260 Millionen potentielle Angreifer in über 250 Ländern.

6.2 Abfangen der Passwort-Sequenzen

Das L0phtcrack SMB Paket-Abfang-Utility kann nach wie vor die NTLM-Beglaubigngen abfangen und knacken, die zwischen einem NT4-Client und einem 2000-Server übertragen werden. Auch die Kerberos-Authentifizierung wurde vom Unternehmen aus Redmond so konzipiert, dass die Beglaubigung auf NTLM herabgesetzt werden kann, wenn einer der Kommunikations-Parteien Kerberos nicht unterstützt: Alle Windows-NT4-Rechner machen also indirekt auch die Windows-2000-Systeme unsicher.

Ein Angreifer könnte nun die starke Authentifizierung in einer Windows-2000-Domäne mittels SYN-Flooding auf TCP-Port 88 (Kerberos) am Domänen-Controller unterlaufen, da alle Clients auf die wackelige NT-Beglaubigungsroutine herabgesetzt werden. Das Schnüffeln ist dann nur noch ein Kinderspiel.

6.3 Buffer-Overflows

Kaum ist Windows 2000 professionell in-the-wild im Einsatz, tritt schon der erste Remote-Bufferoverflow hervor: Der Index-Dienst von Windows 2000 indexiert HTML-, Word-, Excel- und PowerPoint-Dokumente, und er stellt über den Internet Information Server (IIS) eine Suchmaschine zur Verfügung. Die sogenannte Hit-Highlighting-Funktion enthält jedoch einen Fehler, über den Internet-Benutzer auch Zugriff auf Dokumente erhalten können, die nicht im Internet-Verzeichnis liegen und dementsprechend nicht ins Web sollen. Um Zugriff zu erhalten, muss der Angreifer lediglich den Pfad- und Dateinamen definieren. Der Indexserver liefert dann automatisch die Textstelle mit dem gefundenen Schlüsselwort. Abhilfe zu diesem Problem schafft ein Patch (WWW)

7.0 DoS (Denial of Service)

Erfreulich ist, dass viele der alten Tricks gegen das neue System nicht mehr funktionieren, und ohne Zucken abprallen. Dazu zählen teardrop und land, die schon vor langer Zeit ihre Wirkung verloren. Auch die Überflutung von aktiven Ports beeinträchtigte das System nicht. Die RPC-Spoofing-Attacke (snork) und Named Pipes Over RPC-Schwachstelle (nprpc) kann auch nicht mehr genutzt werden. Befinden sich jedoch in fragmentierten Sendungen korrupte Pakete, wird die Auslastung des Systems extrem in die Höhe getrieben. In Extremfällen kann das gesamte System sogar abstürzen.

Die jüngste DoS-Attacke kann durch das Versenden von binären Nullen an einen offenen Port � betroffen sind die TCP Ports 7, 9, 21, 23, 7778 und die UDP Ports 53, 67, 68, 135, 137, 500, 1812, 1813, 2535, 3456 � des Systems heraufbeschworen werden. Diese Attacke hat dann sogleich eine hunderprozentige Auslastung der CPU zur Folge. Ein Angriff kann sehr einfach von einem Linux-System aus durchgeführt werden, indem man netcat mit einem /dev/zero Input verwendet:

Für die TCP-Variante zum Beispiel "nc ziel.host 7 < /dev/zero" und die UDP-Variante beispielsweise "nc -u ziel.host 53 < /dev/zero".

7.1 SMTPD

Das Witzige ist auch, dass der hauseigene SMTP-Server das ganze System ausbremsen kann, sobald eine größere Menge unzustellbarer Mails im Ausgang liegt. Diese unzustellbaren Mails blockieren Filehandles, wodurch für andere Mails unnötig viele Dateioperationen ausgeführt werden müssen. Diese Operationen kosten Rechenzeit und verlangsamen das System. Microsoft gab umgehend einen Patch zu diesem Problem heraus, der den ganzen Ablauf beim Eintreten eines solchen Problemfalls besser managen können soll. Der Patch ist bisher nur auf Anfrage bei Microsoft erhältlich.

7.2 HTTPD: IIS 5.0

Auch der IIS 5.0 von Windows 2000 ist gegen Remote-DoS-Attacken nicht gefeilt: Sobald bestimmte Zeichen im HTTP-Header auftauchen, stürzt das besagte System ab. Der Fix für dieses Problem ist leider auch nur wieder auf direkte Anfrage beim Hersteller erhältlich.

7.3 FTPD

Der interne FTP-Server weist auch ein kleines Manko auf: Er ignoriert einfach die festgelegten Time-Out-Werte für Sitzungen, wodurch künstlich ein hohes Ausmaß an Systemauslastung erzwungen werden könnte. Ein Patch ist auf Anfrage bei Microsoft erhältlich.

7.4 SMB

Werden SMB Anfragen an Port 445 oder 139 gesendet, und werden die Antworten nicht bestätigt, lässt Windows 2000 alle auf SMB vertrauenden Services für 20 Sekunden deaktivieren. Abgehende Verbindungen von Windows 2000 sind nicht betroffen.

8.0 Ausbau der Privilegien

Eine erfreuliche Erkenntnis: Windows 2000 scheint auf den ersten Blick rustikaler als die NT-Vorgänger zu sein, wenn es darum geht, Angriffe auf das Administrator-Konto abzuwehren.

8.1 getadmin und sechole

Den Erweiterungen der eigenen Privilegien mit den Tools "getadmin" und "sechole" wurde schon mit der Veröffentlichung von Service Pack 3 Einhalt während der NT-Epoche geboten und erzielt auch gegen das neue System keine Erfolge. Einzig kann eine DLL-Einschleusung den Gewinn für den Angreifer bedeuten, da "pwdump2" nach wie vor anstandslos funktioniert.

8.2 Passwörter knacken

Die rundum überarbeitete Sicherheitsarchitektur schränkt den Einsatz von Tools aus alten NT-Tagen drastisch ein. Einen besonderen Betrag dazu leistet die Standard-Nutzung von SYSKEY bei Windows 2000 Advanced Server. Das "pwdump2"-Utility ist das einzige, das in der Lage war, einige Passwortsequenzen aus der Registry auszulesen; nämlich die, die über einen "msv1_0.dll"-API-Aufruf ansprechbar sind, der vom besagten Programm gekapert wird. Bei Domänen-Controllern mit aktiviertem AD können die Passwörter von "pwdump2" nicht angesprochen werden, da die Benutzerkonten direkt im AD gespeichert werden. Bei allen Servern, die auf AD verzichten, können die einzelnen Passwörter ausgelesen werden.

Die SAM-Datei selbst wird weiterhin im lokalen Unterverzeichnis "\system32\config" gespeichert und ist noch immer vom Betriebssystem direkt gesperrt. Trotz dem neuen NTSF-v.5-Dateisystem kann noch immer von einer alten DOS-Bootdiskette mit dem NTFSDOS-Utility gebootet werden, um die geschützten Daten ungehindert auf Diskette ausgelagert zu lassen. Da die neue SAM-Version jedoch mit SYSKEY verschlüsselt wurde, verlieren logischerweise die alten Tools wie L0phtcrack ihre Wirkung. Eine exakte und aktuelle Sicherungskopie der SAM-Datei taucht weiterhin im Unterverzeichnis "\repair" auf, obwohl sie nicht mehr "SAM._" genannt wird. Das "rdisk"-Programm wird durch die Microsoft Backup-Anwendung ersetzt, die eine Funktion zur Erstellung einer Rettungsdiskette enthält. Mit diesem Utility kann nur noch die SAM-Datei auf Diskette gespeichert werden, um eine lokale Kopie im Repair-Subdirectory zu verhindern.

Vom heutigen Standpunkt aus betrachtet und mit dem aktuellen Wissen bewaffnet, kann über die Sicherheit der Passwort-Verschlüsselung unter Windows 2000 gesagt werden, dass sie sehr sicher zu sein scheint. Doch kann diese Anfangs-Euphorie schnell verfliegen, wenn sich herausstellt, dass das Auslesen der Passwörter aus den ADs keine Utopie mehr ist: Die Zeit wird es zeigen...

9.0 Ausplündern

Hat ein Eindringling erst einmal den Status des Administrators erreicht, ist er primär auf das Herunterladen möglichst vieler Informationen und Daten aus, die für die Eroberung weiterer (angebundener) Systeme von Vorteil sein können. Eine der beliebtesten Strategien ist das anfängliche Aufspüren von Domänenbenutzerkonten. Mit den dadurch erreichbaren Privilegien kann der Angreifer problemlos von einem System zum anderen hüpfen: Auf alle Rechner in der Domäne, auf andere Domänencontroller und sogar über die Domänengrenze hinaus. Der LSA-Secrets-Bug von Windows NT 4 war eine zentrale Schwachstelle (die zum Glück nach dem Einspielen von Service Pack 3 behoben werden konnte), die als Schlüsselmechanismus zum Aufspüren von Konten der letzten Benutzer, die sich am System angemeldet hatten und dadurch enttarnt wurden, diente. Diese alte Verwundbarkeit funktioniert natürlich auch beim neuen Windows nicht mehr, doch schützt dies kaum vor einem Systemverwalter, der sich aus Versehen an einem Einzelsystem mit dem Passwort des Domänen-Controllers anmeldet.

9.1 Bidirektionale Vertrauensbeziehungen

Aus der Sicht eines Sicherheitsexperten ist die Abschaffung von unidirektionalen Vertrauensbeziehungen innerhalb eines Windows-2000-Netzes ein Geschenk Gottes. In einer reinen Windows-2000-Umgebung bestehen nun glücklicherweise nur bidirektionale transitive Vertrauensbeziehungen, die durch Kerberos-Implementierungen bedingt sind. Die Vertrauensbeziehung zu Windows-NT-Rechnern läuft aus Kompatibilitätsgründen noch immer unidirektional ab.

Seit Windows 2000 Build 2031 sind alle Mitglieder der Gruppe "Domain Admins" (eine globale Gruppe der Domain in der Win2k-Terminologie) bis zu einem bestimmten Grad in allen Domänen des eigenen Netzes berechtigt. Dies gilt besonders für die vollständige Kontrolle der AD-Konfiguration, die aus einem gemeinsamen Satz von Replikations-Beziehungen administriert wird. Ein kompromittiertes Konto dieser Superuser-Gruppe könnte daher verheerende Folgen für ein gesamtes Unternehmensnetzwerk haben, wenn ein Angreifer sich darin mit bösen Absichten zu tummeln pflegt. Aus diesem Grund empfehle ich, Partner-Netzwerke oder Netze mit großer Angriffsfläche einer eigenen Domain zuzuteilen, um übergreifende Schäden durch Attacken zu verhindern.

10.0 Spuren verwischen

Die alteingesessenen Tools funktionieren meist auch in der neuen Umgebung wie gewohnt, wobei jedoch einige Umstrukturierungen dieses Vorhaben erschweren können.

10.1 Dateien verstecken

Der beliebte Trick aus den alten DOS-Tagen, als noch FAT16 im Einsatz war, hieß "Dateien mittels 'attrib' verstecken". Die versteckten Daten sind aber mit einigen kleinen Kniffen trotzdem einsehbar: Zum Beispiel wenn die Option "Alle Dateien anzeigen" auf der grafischen Oberfläche aktiviert wurde, oder in der DOS-Eingabeaufforderung der Befehl "dir /A H" ausgeführt wird.

Eine andere Möglichkeit besteht im Nutzen des NTRK cp-Posix-Utility, das auch unter Windows 2000 seinen Dienst verrichten kann, obwohl NTFS V.5 benutzt wird, um Dateien in den Datenströmen hinter anderen Dateien zu verstecken. Möchte man die Daten wiederherstellen, sind administrative Rechte nötig.

10.2 Die Revision deaktivieren

Die Revision kann über das MMC-Snap-In für Gruppenrichtlinien unter "\Computerverwaltung\Windows-Einstellungen\Sicherheitseinstellungen\ Lokale Richtlinie\Richtlinie überwachen" eingestellt werden.

Da wohl im Moment eine zentrale Protokollierung nicht in den absehbar kommenden Versionen von Windows vorgesehen ist, werden alle Protokolle weiterhin auf lokalen Systemen gespeichert, womit das System in dieser Hinsicht weiterhin einen Minuspunkt im Gegensatz zum Syslog-Daemon unter Unix bekommt.

Neben der Schnittstelle für das Einstellen der Überwachung von Gruppenrichtlinien funktioniert das "auditpol"-Programm aus dem NTRK noch genau so gut wie vor der neuen Epoche.

10.3 Das Ereignisprotokoll bereinigen

Zwar werden die Protokolle unter Windows 2000 über eine neue Schnittstelle verarbeitet, doch ist es noch immer möglich, die Protokolle zu bereinigen. Die unterschiedlichen Protokolle werden im MMC-Snap-In "Computerverwaltung" unter "\Systemwerzeuge\Ereignisanzeige" bearbeitet. Hinzugekommen sind drei komplett neue Protokolle: Verzeichnisdienst, DNS-Server und Dateireplizierdienst. Mittels einem Mausklick auf der rechten Maustaste kann im Kontextmenü der Eintrag "Alle Ereignisse löschen" gefunden werden.

Das "elsave"-Utility kann alle � auch die neuen � Protokolle über einen Remote-Zugriff löschen, sofern die entsprechenden Privilegien auf dem Ziel-System eingeholt werden konnten:

elsave -s \\marc -l "File Replication Service" �C11.0 Hintertüren & Trojanische Pferde

Konnte ein Angreifer sein Ziel erst einmal kompromittieren, steht schlussendlich auf der letzten Position seiner Wunsch-Liste eine Hintertür, die ihm jederzeit unbemerkt Zugang zum System ermöglichen soll.

11.1 Manipulation der Startdateien

Da dem Angreifer am liebsten während der ganzen Uptime des Systems eine Hintertür bereitstehen soll, binden sie deren Aufstarten oft unbemerkt in den Startdateien ein. Diese Verstecke sind in der Regel bestimmte Schlüssel in der Registry ("HKLM\SOFWTARE\Microsoft\Windows\CurrentVesion\Run*") und der Autostart-Ordner, der sich nun neu als Subdirectory mit dem Namen "\Dokumente\Username\Startmenü\Programme\Autostart" versteckt.

11.2 Remote-Control & Trojanische Pferde

Alle Remote-Control-Software (Hacker-Tools) aus den Windows-NT-Zeiten reagiert anstandslos korrekt bei einem Einsatz auf einem Windows-2000-Rechner: NetBus, Back Orifice 2000 und WinVNC haben brav ihren Dienst verrichtet. Da der Quelltext der neuesten Version von Back Orifice von den Machern "Cult of the dead Cow" freigegeben wurde, könnten zur Anfangsphase einige Mutationen durch die allgemeinen Scan-Vorgänge der üblichen Anti-Viren-Software schlittern.

Mit NetBus lassen sich auch in der aktuellen 2000er Umgebung die Tastaturschläge problemlos aufzeichnen, genau wie mit dem Invisible Keylogger Stealth (IKS). Eine Verschlüsselung des Datenstroms zwischen Tastatur und Betriebssystem wird irgendwie verständlicherweise von den Microsoft-Programmierern auch nicht in Betracht gezogen.

12.0 Die neuen Windows-Sicherheitstools

Windows 2000 hat einige Tools von Haus aus im Repertoire, die die Verwaltung der Sicherheit dezentral und komfortabel durchführen können.

12.1 Gruppenrichtlinien

Gruppenrichtlinien-Objekte (GPO) können im AD oder an einem lokalen Computer gespeichert werden, um bestimmte Konfigurationsparameter für eine ganze Domäne oder das eigene System festzulegen. GPO können auf Standorte, Domains oder Organisationseinheiten (OU) beschränkt werden, um den darin befindlichen Benutzern oder Computer vererbt zu werden, wie man das aus der Unix-Welt kennt.

GP lassen sich in jedem MMC-Fenster anzeigen und mit administrativen Rechten auch bearbeiten. Die GPO, die mit Windows 2000 standardmäßig eingerichtet werden, sind Richtlinien für den lokalen Computer, die Standard-Domäne und den Standart-Domänencontroller. Eine weitere Möglichkeit, ein GPO anzuzeigen, besteht darin, die Eigenschaften eines bestimmten Verzeichnis-Objekts (Domain, OU, Standort) anzuzeigen und dann auf das Gruppenrichtlinien-Register zu klicken. Danach öffnet sich ein übersichtliches Fenster, das die gegenwärtige GPO nach Prioritäten geordnet veranschaulicht. Auch kann dadurch ermittelt werden, ob die Vererbung explizit unterdrückt wurde.

Ein GPO kann bei der Anpassung eine Vielzahl an Sicherheitsoptionen zur Verfügung stellen, um ganz individuell die Rechte des Objekts zu editieren. Besonders interessant ist der Zweig "Computerverwaltung\Windows-Einstellungen\ Lokale Richtlinien\Sicherheitsrichtlinie\Sicherheitsoptionen" des GPO. Es finden sich über 30 Parameter, die � richtig eingesetzt � markant zur Verbesserung der Sicherheit von allen Computer-Objekten, die Mitglied der GPO sind, konfiguriert werden können. Unter anderem kann dort auch die Auswertung von Benutzerkonten und Freigaben durch anonyme Benutzer unterdrückt oder das Administrator-Konto umbenannt werden. Diese wichtigen Einstellungen wurden bei NT 4 noch �primitiv� in der Registry verewigt. Im Zweig "Sicherheitseinstellungen" können des weiteren die Einstellungen der Richtlinien für die Benutzerkonten, die Überwachung, das Ereignisprotokoll, den Public Key und IPSec konfiguriert werden. Diese Festlegungen können zentral durchgeführt werden, wenn die Ebene der Vererbung dementsprechend gesetzt wurde.

Die Idee hinter GPO ist genial, doch traten zum Teil unzuverlässige Ereignisse bei der Aktivierung von speziellen Kombinationen aus lokalen und zentralen Richtlinien auf. Auch die Verzögerung, bis die neuen Einstellungen aktiviert sind, ist nervend: Erst nach einer Ab- und neuer Anmeldung an der lokalen Konsole werden die Änderungen wirksam: Ein Reboot ist zum Glück in der Form nicht mehr nötig. Die Änderungen werden jedoch beim Anwenden des mitgelieferten Security-Tools "secedit" sofort wirksam. Folgender Syntax aktualisiert die Richtlinie im selben Augenblick:

secedit /refreshpolicy MACHINE_POLICYUm die Richtlinien für die Benutzerkonfiguration im selben Atemzug wirksam zu machen, muss man sich folgender Eingabe bedienen:

secedit /refreshpolicy USER_POLICY12.2 Mitgelieferte Sicherheits-Tools

Neben den schon zuvor erklärten Gruppenrichtlinien sind einige weitere Sicherheitskonfigurations-Tools eng im System verflochten worden, welche die Administration und Auswertung um einige Ecken erleichtern und vereinfachen können. Das Sicherheitskonfigurations- und Analyse-Tool gibt dem Administrator die Kompetenz, lokale Systemkonfigurationen nach fehlenden Übereinstimmungen mittels zuvor definierter Schablone abzusuchen. Das Utility ist als MMC-Snap-In aufrufbar, kann jedoch auch auch als Befehlszeilen-Programm mit dem Namen "secedit" ausgeführt werden. Leider lässt sich diese Methode nur auf lokalen Systemen ausführen und kann nicht auf die komplette Domäne übertragen werden. Doch kann die Shell-Version des Tools auch in das Start-Skript eingebunden werden, damit bei jedem Neustart die Sicherheit des Systems automatisch überprüft wird. Hier können die Entwickler jedoch noch ein bisschen Hand anlegen und den vielen Administratoren einen ehrenwerten Dienst mittels mehr Komfort erweisen.

13.0 Fazit & Schlusswort

Die ersten Test-Angriffe auf Rechner, die mit Windows 2000 ausgestattet wurden, sehen nicht schlecht aus, und lassen seit langem die Riege der Männer und Frauen um Bill Gates gut aussehen, wenn man in ihrem Zusammenhang von Sicherheit spricht. Wenn sich Microsoft ranhält, dürfte ihnen bald ein ziemlich ausgeklügeltes Betriebssystem gelingen, das nicht mehr vergleichbar mit dem anfälligen Microsoft-Rechner vergangener Tage ist. Trotzdem muss sich Windows noch einige Zeit im stürmischen Alltag herumschlagen, um über seine Sicherheit ein kompetentes Urteil fällen zu können, denn auch bei Windows NT wurden erst später die Schwärmereien durch die aufgedeckten Bugs überschattet. Ein Umstieg auf Windows 2000 lohnt sich jedoch auf alle Fälle, wenn die Anschaffung neuer Hardware wegen der erhöhten System-Anforderungen und einige Abstriche in Punkto Kompatibilität mit älterer Hard- und Software gemacht werden können. Einen eingefleischten Unix-User kann das Microsoft-Datenmonster noch immer nicht für sich gewinnen: Dazu fehlt die komplexe Shell - Ob die jemals von MS realisiert werden wird...?

Mehr zur Sicherheit von Windows-Systemen findet sich online auf meiner Seite unterhttp://www.computec.ch/windows/ (WWW)! Als weiterführende Windows-Security-Literatur empfehle ich Anfängern und Einsteigern "Safer PC" von Michael Matzer, erschienen im DTV-Verlag mit der ISBN 3-423-50226-6, und erfahreneren Benutzern "Das Anti-Hackers-Buch" von George Kurtz, Stuart McClure und Joel Scambray, erschienen im MITIP-Verlag mit der ISBN 3-8266-4072-1.

24. Juli 2000: Patch (WWW) Available for �Telnet Server Flooding� Vulnerability.
27. Juli 2000: Patch (WWW) Available for �NetBIOS Name Server Protocol Spoofing� Vulnerability.

Zurück zur Hauptseite

Phishing-Kampagne erhebliche Bedrohung

Hacker-Elite trifft sich zum Pwn2Own

Neunmal Cybersicherheit 2022

HTTPS nicht mehr ganz so sicher?

Schutz vor digitaler Ausspähung: So verschlüsseln Sie Ihre Festplatte sowie Daten und sichern Ihre Privatsphäre