Windows Desktop Sicherheit - HRZ

Windows Desktop Sicherheit
Markus Wehr
01.09.10 | HRZ | 1

Ziel dieses Vortrages
� Werkzeuge vorstellen, die geeignet sind die Sicherheit von
Windows Desktops zu erhöhen

Wieviel Sicherheit?
� Die richtige Balance finden zwischen Sicherheit,
Kosten/Zeitaufwand, Funktionalität.
� Zu Berücksichtigen:
� Mögliche Gefahren
� Risikobereitschaft
� Wert der Daten/Verlustzeiten
� Absolute Sicherheit gibt es nicht.
Security

Welche Gefahren? - Historie
Hacker, Viren, Bootsektorviren, Trojaner, Würmer, Dialer,
Backdoors, Password-Phishing, ...
� 1980 - .... Viren
� 1995 – 2004 Dialer
� 2002 - … Adware, Spyware
� 2002 - … Würmer: Code Red, Blaster, Sasser, Conficker
� 2004 - … Password Phishing, Root Kits
� 2005 - … Malware, Scareware
� 2009 - … Phishing, Datenlecks
� 2010 - … s.u.

Welche Gefahren aktuell?
� Soziale Netzwerke
� Klickjacking
� Koobface
� Brute-Force auf Social Network APIs
� Den Verbreitern von Malware erschließen sich neue „Kunden“
� Sophos: „bestens geeignete Plattform für die Verbreitung von
Malware“ (Security Threat Report 2010)

Koobface Architektur
(nach trendmicro.com)

Welche Gefahren aktuell?
� Schwachstellen in weit verbreiteter Software werden häufiger
angegriffen.
� Adobe Produkte, JRE, Quicktime
� IBM: „PDF exploitation is Hot“
(X-Force-Vulnerability-Threats-1H2010)
� Foxit Reader lässt sich im Safe Mode starten
� Kommender Acrobat Reader 10 mit Sandbox Funktion
� Flash im Adobe Reader abschalten
� Per GPO und ADM � „adobe 9 adm“ (Rick Patterson)

Informationsquellen
� http://www.heise.de/security
� http://www.viruslist.com/de/index.html (Kaspersky)
� http://www.virustotal.com/
Virustotal is a service that analyzes suspicious files and URLs and
facilitates the quick detection of viruses, worms, trojans, and all kinds
of malware detected by antivirus engines

Desktopsicherheit
� Angriffsfläche verkleinern d.h. „„härten“ des Systems
Quelle:MS

Windows Patchverwaltung
� Historie von Windows bzw. Microsoft Update
� NT4 bis Windows 7
� Zunächst nur Betriebssystem Patches später Microsoft Software
generell
� Windows XP: Windows Update v4-v6 per Webseite oder
Hintergrunddienst
wuauserv
� Win7 eingebautes Feature, keine Webseite mehr

Windows Update
� Seit 2007 Windows Update Agent 3.0
� Damals ein „silent“ Update von Microsoft
� Verknüpfung mit Genuine Advantage Überprüfung (WGA)
verhindert das einige Systeme gepatcht werden. (XPSP3)
� Fehleranalyse
� c:\windows\WindowsUpdate.log
� KB902093 „trace windows update“
� Dienstname: wuauserv (net start / net stop)

WSUS des HRZ
� Windows Server Update Services
� Vormals Software Update Services (SUS)
� An der TU seit 4/2004
� Historisch: Tool zum einrichten hrzsus.hta
� Aktuell WSUS 3.0 SP2
� 3 Geschmacksrichtungen
� Kein WSUS, Keine Änderung am PC � original MS Update
� Interner WSUS (Default)
� Interner WSUS und Computergruppe „extended“

HRZ WSUS
� Produkte, Klassifizierungen und Genehmigungen
� Default
� Definitionsupdates, Wichtige Updates, Sicherheitsupdates
� Plus manuelle Genehmigungen.
� Lokaler Admin entscheidet über Service Packs und IE8
� extended
� Service Packs, Update-Rollups, Updates
� Also alles außer: Tools, Treiber, Feature Packs
� Produkte: Windows, Office, MSE, (Forefront) u.a.
� Admins komplexer MS-Produkte verwenden nicht HRZ WSUS

HRZ WSUS
� Microsoft: Auslaufender Support für XP SP2 und W2K
� Windows 2000 13. Juli 2010
� Windows Vista ohne Service Packs 13. April 2010.
� XP mit Service Pack 2 (SP2) 13. Juli 2010. (64bit SP2 bis 8.4.2014)
� Update-Rollups
� EU Browser Choice, IE8

Windows Update
� Erweiterte Konfiguration des Windows Update Agenten
� Lokal: gpedit.msc (LGPO)
� Oder Gruppenrichtlinienobjekt in der Domäne (GPO)
� Interner Pfad .. (WSUS)
� Clientseitige Zielzuordnung: extended
� Suchhäufigkeit, Neustartverhalten, empfohlene Updates, …

Desktopsicherheit
� Betriebssystemhärtung
� Arbeiten mit Vorlagen für Sicherheitseinstellungen
� Secedit.exe (öffnet Hilfedatei)
� mmc
� Snapins
� Sicherheitsvorlagen, Konfiguration und Analyse

Betriebssystemhärtung
� .inf – Vorlagen
� .adm –Dateien (Administrative Vorlagen)
� GPO (Group Policy Object)
� LGPO Local GPO
� GPP Extensions
� Group Policy Preferences / Einstellungen
� KB943729 für XP (11/2009)

Betriebssystemhärtung
� Beispiele - NIST National Institute of Standards and Technologie - FDCC -
(Office of Management and Budget) - The United States Government
Configuration Baseline (USGCB)
Firewall
Softwareeinschränkung
Anmeldeoptionen
Ereignisanzeige
Eingeschränkter
Desktop
Internet
Explorer
Sicherheits-
zonen
Zertifikate
Skripts
Startmenü
und
Taskleiste

Betriebssystemhärtung
� In der Domäne: gpmc.msc
� Standalone-Rechner:
� secedit.exe
� „apply_lgpo_delta“
� Textdatei � lokale Gruppenrichtlinie
� Besser als den Ordner system32\GroupPolicy zu kopieren
� vbs-skript (email)
� Die LGPO bietet generell nicht die erweiterten Features wie
Softwareverteilung oder die neuen GPP
aber logon/logoff Script per LGPO möglich

Evolution XP � Win7
"Secure by default" (Vista UAC, Post-Setup Security Updates
2003SP1 usw.)
Here's what Gates had to say about application security (2003):
"You don't need perfect code to avoid security problems. There
are things we're doing that are making code closer to perfect, in
terms of tools and security audits and things like that. But there
are two other techniques: one is called firewalling, and the other
is called keeping the software up to date. None of these problems
(viruses and worms) happened to people who did either one of
those things. If you had your firewall set up the right way – when
I say firewall I include scanning E-mail and scanning file transfer
- you wouldn't have had a problem.”

Virenscanner
� Pflicht
� Sophos "sophos tud"
Updates von www.software.tu-darmstadt.de/sophos/ESXP
130.83.*
oder
� Microsoft Security Essentials
"mse"
ohne Verbindung zum TU Netz

Virenscanner
� Keine 2 Virenscanner gleichzeitig
� MSE enthält vormalige Windows Defender Funktionalität
� Vereinheitlichung der Software
� Anti Virus
� Anti Ad- und Spyware
� Bei zusätzlichen Produkten Vorsicht mit Scareware
� Malicous Software Removal Tool MSRT
� kommt jeden 2ten Dienstag im Monat mit Windows Update
� Kein Ersatz für Echtzeitschutz durch Virenscanner

Analyse
� MBSA 2.2
� Microsoft Baseline Security Analyzer
Überprüft
� Patchlevel der Microsoft Produkte
� Benutzerkonten mit (sehr) schwachen Kennwörtern
� Windows Firewall
� Internet Explorer Zonen
� Überwachung
� Dienste
Weiterführend: CIS Benchmarks, L0phtcrack

Verschlüsselung/Passwörter
� EFS Encrypted File System
� TrueCrypt
� Open Source, USB Stick verschlüsseln
� Eingeben von Passwörtern – Keylogger
� Vertrauten PC verwenden
� Osk.exe (hilft kaum noch), Obfuskation:
� Tippe 3 Zeichen – markiere und überschreibe – mische mit tatsächlichem
Passwort – klicke neben das Passwortsegment und wiederhole den
Vorgang mehrmals bis das Passwort da steht.
� "heise keepass" speichert Passwörter in einer Verschlüsselten
Datenbank - auch Portable Version
� Übrigens hilft das Heise Archiv dabei nicht auf Malware zu stoßen

Patchverwaltung für Software
� Secunia Software Inspector
� PSI, CSI, OSI
� Neuerdings mit Auto Update für diverse Software
� Shavlik
� it.shavlik.com – online Scanner
� Verspricht ebenfalls Auto Update

Patchverwaltung für Software
� Durch PSI 2.0 automatisch gepatcht seit 1.9.2010
� “At least 6 of the programs in the Top 10 comes with their own auto
update functionality”