E-Book: No Budget IT-Security für Windows 10
Härtung von Windows 10 Geräten ohne das Budget zu belasten
Das vorliegende Werk befasst sich mit der Sicherheit von Windows 10 basierten Geräten, und streicht hierbei insbesondere die Möglichkeit der Härtung des Systems mittels Bordmitteln und kostenfreien Add-Ons heraus. Das Dokument geht detailliert auf die Neuerungen seit Windows 7 ein, erläutert also im Detail jene neuen Möglichkeiten, die mit Windows 8, 8.1 und 10 hinzugekommen sind.
Umfang: ca. 250 Seiten
Zielgruppe: Erfahrene Windows Systemadministratoren und Systemarchitekten
Das Werk wird zur persönlichen, privaten Nutzung kostenlos im PDF-Format angeboten. Beachten Sie bitte das Urheberrecht!
Härtung von Windows 10 Geräten ohne das Budget zu belasten
Durchgängige Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Gerätekonfigurationen von Windows-basierten Anwender-Endgeräten ist für die Unternehmens-IT von zentraler Bedeutung. Zur Zielerreichung werden oftmals kostspielige Dritthersteller-Lösungen eingesetzt, obwohl zahlreiche Anforderungen auch mit den bereits bezahlten Bordmitteln oder kostenfreien Add-ons umsetzbar sind.
Die vorliegende Arbeit startet mit einer Bestandsaufnahme zur Identifikation und detaillierten Erläuterung jener in Windows 10 integrierten Security-Komponenten, die seit Windows 7 neu hinzugekommen sind oder signifikant neue Möglichkeiten bieten. Fokussiert und ausführlich betrachtet werden hierbei auch jene Problemstellungen und Herausforderungen, die teils erst in der jüngeren Vergangenheit zunehmend an Relevanz gewonnen haben, und im anschließenden Kapitel „Realisierung“ gelöst werden.
Zielgruppe der vorliegenden Arbeit sind Systemadministratoren und Systemarchitekten, die Verantwortung für die im Unternehmen eingesetzten Windows-Clients und deren Security-Lösungen tragen. Das vorliegende Dokument soll diesem Personenkreis ein für den Umstieg von Windows 7 auf Windows 10 nötiges Know-How-Upgrade bieten.
Die beschriebenen Lösungsansätze basieren auf den seitens Microsoft zur Verfügung gestellten Möglichkeiten, und werden im Bedarfsfall durch kostenfreie Tools ergänzt. Die Aufbereitung erfolgt praxisnah, detailliert und nachvollziehbar, und wird durch zahlreiche Abbildungen illustriert.
Kern der Arbeit
Microsoft hat mit der Veröffentlichung von Windows 10 die Weichen für eine Ablöse sämtlicher bislang eingesetzter Windows-Versionen gestellt. Aktuelle Prognosen vom April 2016 zeigen, dass die selbst gesetzte Latte von einer Milliarde Windows 10 Geräten binnen drei Jahren ab Veröffentlichung aktuell realistisch erscheint. Zum einjährigen Jubiläum im Sommer 2016 werden voraussichtlich mehr als 340 Millionen Geräte mit Windows 10 ausgestattet sein, aktuell dürfen es laut Aussagen von Microsoft mit Ende März 2016 rund 270 Millionen Geräte sein, der Marktanteil an Windows 7 Geräten liegt zu diesem Zeitpunkt aber immer noch deutlich über 50%.
Verständlich, denn vor allem große Unternehmen, die hunderte Applikationen einsetzen und eine teils sehr heterogene Infrastrukturen betreiben, wechseln nicht eben mal binnen eines dreiviertel Jahres das eingesetzte Desktop-Betriebssystem aus. Da das Support-Ende von Windows 7 mit dem Jahreswechsel 2019/20 jedoch nun bereits in Sichtweite rückt, müssen Entscheidungen hinsichtlich des Nachfolge-Betriebssystems getroffen und die nötigen Evaluierungen und Projekte zur Ablöse von Windows 7 gestartet werden.
Das vorliegende Dokument soll hierbei technisch versierten Systemadministratoren und Systemarchitekten eine Hilfestellung in Bezug auf die Fragen „Welche Neuerungen in Bezug auf Security bietet Windows 10 im Vergleich zu Windows 7?“ und „Welche (neuen) Herausforderungen und Lösungsmöglichkeiten können unter Verwendung von Bordmittel und kostenfreier Add-ons umgesetzt werden?“ bieten.
Zusammenfassung der Ergebnisse
Die vorliegende Arbeit stellt eine umfangreiche Zusammenstellung an aktuellen Themen dar, die grundsätzlich auch unabhängig voneinander gelesen und betrachtet werden können. Schwerpunkte der Bestandaufnahme bilden vor allem die in den letzten Jahren sehr populär gewordenen Pass-the-Hash Angriffe in all ihren Spielarten, sowie Microsofts Antwort hierauf, welche in Form von Virtualization-based Security und Credential Guard im Detail erläutert wird. Dass Themen jedoch nicht isoliert voneinander betrachtet werden sollten, zeigt der Realisierungsvorschlag zur Absicherung gegen PtH, der darauf hinweist, dass es mit dem Einsatz von Credential Guard nicht getan ist. Angriffen kann nur durch umfassenden Schutz vor ausführbarem Schadcode und einer Härtung des Systems und der darauf ausgeführten Applikationen gegen Exploits entgegengewirkt werden.
Hierbei wird rasch klar, dass das in den letzten 25 Jahren übliche „Blacklisten“ von Malware bereits heute nicht mehr effektiv vor Bedrohungen schützen kann und auch in Zukunft immer mehr an Bedeutung verlieren wird. Bestenfalls stellt eine Anti-Malware-Lösung wie der ebenfalls im Detail betrachtete Windows Defender noch einen Basis-Schutz dar, in gemanagten IT-Infrastrukturen setzen sich jedoch zusehends Applikations-Whitelisting-Verfahren als wirksameres und mittlerweile auch in der Administration mit vertretbarem Aufwand beherrschbares Mittel durch. Für besonderen Schutzbedarf stellt Microsoft darüber hinaus Device Guard bereit, welches eine vollständige Chain-of-Trust gewährleistet und dessen Policy auch nicht durch Kompromittierung des Betriebssystem-Kernels außer Kraft gesetzt werden kann.
Das Thema Schutz gegen Applikations-Exploits betrachtet die erfahrungsgemäß nicht breitflächig bekannte Härtung von Applikationen mittels Microsoft Enhanced Mitigation Experience Toolkit (EMET), und geht auch auf die neu bereitgestellten Möglichkeiten ein, Applikationen durch Verwendung eines modernen Compilers und Betriebssystems mittels Control Flow Guard zu härten.
Ebenfalls in der Bestandsaufnahme betrachtet werden neue Möglichkeiten der Authentifizierung mittels Biometrie, Microsoft Passport oder mittels TPM basierten virtuellen Smartcards. Auch die Festplattenverschlüsslung BitLocker stellt einige neue Möglichkeiten bereit, die vor allem eine noch sicherere Nutzung sowie einen komfortableren Deployment-Vorgang ermöglichen. An einem praktischen Beispiel wird hierbei auch demonstriert, warum BitLocker selbst bei gegen Diebstahl geschützten Desktop-PCs unverzichtbar ist, und wie BitLocker auch zur Verschlüsselung von Container-Files genutzt werden kann. Auch neue Möglichkeiten des verschlüsselten Netzwerkzugriffs sowohl für Applikationen als auch für den Zugriff auf Netzwerkshares werden aufgezeigt.
Internet Explorer galt über viele Jahre nicht gerade als Vorreiter in Bezug auf sicheres Web-Browsing, ist aber voraussichtlich in Kürze der letzte Browser mit Long-Term-Support, der auch eine Unterstützung von Plug-Ins wie Java, Active-X, Browser-Helper-Objects, Flash etc… bereitstellt. Auch wenn diese Technologien nicht zur Gewährleistung von IT-Security beitragen und abgelöst werden sollten, so werden sie heute und vermutlich auch in den nächsten Jahren zumindest für unternehmensintern genutzte Intranet-Applikationen sowie zur Verwaltung von zahlreichen Appliances weiterhin unverzichtbar sein. Als Nachfolger schickt Microsoft seinen neuen Browser namens Edge ins Rennen, von dem behauptet wird, dass dieser sich auch hinsichtlich Security-Aspekten nunmehr im Spitzenfeld einreiht. Anhängern alternativer Browser kann daher empfohlen werden, sich unter Windows 10 das Duo IE11 & Edge näher anzusehen und zu prüfen, ob Firefox und Chrome tatsächlich (noch) Vorteile bieten. Hierbei wurden nicht nur die Security, sondern auch zu berücksichtigende funktionale und administrative Aspekte der Browser betrachtet und gegenübergestellt.
In den letzten Jahren für Aufregung gesorgt haben auch BadUSB-Devices. Welche Bedrohungen von diesen ausgehen, und welche Möglichkeiten (und auch Schwierigkeiten) der Absicherung bestehen wurde ebenso betrachtet und erläutert, wie der Umgang mit jeglicher Form von (Plug & Play-) Systemgeräten und Peripherie, sowie die Nutzung von Policies für Black- und Whitelisting zur Kontrolle und Einschränkung der durch die Anwender nutzbaren Gerätschaft.
Im Anhang finden sich praktische Ergänzungen zu den erläuterten Themengebieten. Die Verwendung des von Angreifern beliebten Tools Mimikatz wird nachvollziehbar Schritt für Schritt in sämtlichen interessanten Spielarten (sowohl mit lokalen Credentials, als auch im Unternehmensumfeld mit Active-Directory) demonstriert.
Der Einsatz von Microsoft Enhanced Mitigation Experience Toolkit (EMET) ist einerseits mittels Gruppenrichtlinien administrierbar, andererseits stehen Scripting-Möglichkeiten mittels eines Commandline-Tools bereit. Von letzterem machen die im Anhang bereitgestellten, selbst entwickelten Lösungen Gebrauch, welche vorschlagen die EMET-Parametrierungen in die automatisierte Software-Verteilung mit aufzunehmen und Software-Pakete mit integrierter EMET-Konfiguration auszustatten.
Der flächendeckende Entzug von Administrator-Rechten trägt maßgeblich zur Security bei. Nicht immer aber sind auch spezielle Anforderungen, wie sie teils bei Entwicklern auftreten, konsequent lösbar. Das entwickelte und im Anhang erläuterte sowie in der Beilage bereitgestellte Tool „UserControlled-Interactive-Service“ stellt eine für ausgewählte Problemfälle brauchbare Lösung hierfür dar.
Erfahrungsgemäß ist die Nutzung von Code-Signatur für Executables von Entwicklern wie Systemadministratoren oftmals ein gemiedenes Thema. Eine Schritt für Schritt Anleitung im Anhang zeigt, dass das Signieren von Binaries mit den nötigen Tools keinerlei Hürde darstellt, und dass hierzu nötigenfalls auch Self-Signed-Zertifikate genutzt werden können.
Download
Download des eBook sowie von Präsentations-Slides zur privaten, persönlichen Nutzung:
- No Budget IT-Security für Windows 10 – eBookEdition
- Slides zum SBA-Research Prime-Event vom 23.06.2016
Bitte beachten Sie: Dieses Werk ist urheberrechtlich geschützt. Alle Nutzungsrechte, insbesondere das Recht zur Vervielfältigung, Vortrag, Entnahme von Inhalten, Speicherung und Zur-Verfügung-Stellung sind dem Autor vorbehalten. Für ausschließlich private Nutzung werden die Dokumente kostenfrei bereitgestellt.
Für nicht ausschließlich private Nutzung, Verwendung als Unterrichts- bzw. Vortragsmaterial, zur Verwendung in Unternehmen oder für Workshops nehmen Sie bitte Kontakt mit dem Autor per E-Mail auf – Erteilung einer entsprechenden Werknutzungsbewilligung ist gegen geringes Entgelt nach Vereinbarung möglich.
Kontakt: gunnar@haslinger.biz
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet, dennoch können Fehler nicht ausgeschlossen werden – der Autor übernimmt hierfür keine Haftung! Anregungen, Fragen und eventuell gefundene Fehler melden Sie bitte per E-Mail an den Autor, vielen Dank bereits im Voraus für Ihr Feedback!
Wirklich tolle Arbeit!!! Sehr informativ und umfangreich.
Dieses eBook sollte für jeden SysAdmin zur Pflichtlektüre erklärt werden 🙂
Klasse!
Sehr informativ und mega hilfreich. Nur schade, dass ich diese tolle Arbeit erst jetzt gefunden habe, sonst hatte ich vielleicht vieles einfacher und schneller hinbekommen.