Embed Size (px)
Citation preview
Sicherheit unter WindowsStand: 03.02.2005
SeminarSicherheit in vernetzten Systemen
WS 2004/2005
Philipp Battenfeld
04.02.2005 Sicherheit unter Windows 2
Quellen (Auszug)
Eisenkolb, KerstinWindows-SicherheitMünchen [u.a.] Addison-Wesley , 2001
04.02.2005 Sicherheit unter Windows 3
Quellen (Fortsetzung)
Weltner, TobiasWindows-SicherheitUnterschleißheim Microsoft Press , 2002
04.02.2005 Sicherheit unter Windows 4
Quellen (Fortsetzung)
IT-Grundschutzhandbuch 2004 des BSI (http://www.bsi.de/gshb/deutsch/index.htm bzw. http://www.bsi.de/gshb/deutsch/download/GSHB2004.pdf)
04.02.2005 Sicherheit unter Windows 5
Gliederung
1. Einleitunga. Sicherheit und ihre Bedrohungen
2. Windows-Sicherheitsmechanismena. Anmeldung und Benutzergruppen
b. Datenverläßlichkeit, Zugriffs- und Überwachungssicherheit
c. Sicherheit als Managementaufgabe
3. Zusammenfassung und Bewertunga. Kritische Bestandsaufnahme
b. Kostenfolgeabschätzungen: Lohnt sich Sicherheit?
04.02.2005 Sicherheit unter Windows 6
Einleitung: Sicherheit und ihre BedrohungenMehr als 90% aller Desktoprechner undEtwa 50% aller Server werden unter
Windows betrieben.
Monokultur. Viele gleichartige Angriffsziele: Mit wenig Aufwand kann man gravierende Folgen auslösen…(vgl. folgende Nachrichtenmeldungen)
04.02.2005 Sicherheit unter Windows 7
Praxisbeispiel Code Redhttp://www.heise.de/newsticker/meldung/19468
04.02.2005 Sicherheit unter Windows 8
http://www.tecchannel.de/news/allgemein/6449/
Praxisbeispiel: Code Red
04.02.2005 Sicherheit unter Windows 9
Einleitung: (Forts.)Sicherheit und ihre BedrohungenWindows scheint ja ein ziemlich
unsicheres Betriebssystem zu sein, wenn ein einzelner Angriff solche Schäden verursachen kann…
Viren, Würmer, „Trojaner“, DDOS, Backdoors, Defacements, Phishing
– muß das sein?
04.02.2005 Sicherheit unter Windows 10
Windows-Sicherheitsmechanismen
Antwort: Nein!
Auch unter Windows kann man (halbwegs) sicher arbeiten.
Windows verfügt über vielfältige Sicherheitsmechanismen – man muß sie nur nutzen!
04.02.2005 Sicherheit unter Windows 11
Windows-Sicherheitsmechanismen:Anmeldung und BenutzergruppenSingle Sign-On – Konzept Anforderungen an das Kennwort sind
einstellbar. (siehe nächste Folie)Auch SmartCards werden unterstützt
setzt eine PKI inkl. CA voraus teuer in der Anschaffung
Remote-Zugriff beschränkbar,z.B. auf ISDN-Caller-IDs oder Tageszeiten
04.02.2005 Sicherheit unter Windows 12
Windows-Sicherheitsmechanismen:Anmeldung und Benutzergruppen
04.02.2005 Sicherheit unter Windows 13
Windows-Sicherheitsmechanismen:Anmeldung und Benutzergruppen Benutzer lassen sich in Gruppen einteilen
vereinfacht Verwaltung durch einheitliche Rechte
04.02.2005 Sicherheit unter Windows 14
Windows-Sicherheitsmechanismen: Datenverläßlichkeit, Zugriffs- und Überwachungssicherheit
Zertifikate stellen die Authentizität vonE-Mails und Dokumenten sicher
Digitale Signaturen ersetzen die Unterschrift des Anwenders
04.02.2005 Sicherheit unter Windows 15
Windows-Sicherheitsmechanismen: Datenverläßlichkeit, Zugriffs- und Überwachungssicherheit
Dank NTFS können Berechtigungen feingranular gesetzt werden
Explizites Verweigern möglich, z.B. für Benutzer in mehreren Gruppen.
Berechtigungen können vererbt werden
04.02.2005 Sicherheit unter Windows 16
Windows-Sicherheitsmechanismen: Datenverläßlichkeit, Zugriffs- und Überwachungssicherheit
Es bestehen vielfältige Überwachungsmöglich-keiten.
Sowohl erfolgte Aktionen als auch fehlgeschlagene Versuche können aufgezeichnet werden.
04.02.2005 Sicherheit unter Windows 17
Windows-Sicherheitsmechanismen
Wer soll sich denn mit all diesen Möglichkeiten auskennen?
Reicht es denn nicht, wenn ich monatlich meine Patches und Updates einspiele?
04.02.2005 Sicherheit unter Windows 18
Windows-Sicherheitsmechanismen: Sicherheit ist eine Managementaufgabe!
Sicherheit ist ein Prozeß, der gemanaged werden muß
1. Wo wollen wir sein?
2. Wo stehen
wir?
3. Wie kommen wir dahin,
wo wir hinwollen?
4. Wie wissen wir, ob wir
angekommen sind?
04.02.2005 Sicherheit unter Windows 19
Windows-Sicherheitsmechanismen: Sicherheit ist eine Managementaufgabe!
Mögliche Gefahren erkennen und bewerten
1. Wo wollen wir sein?
2. Wo stehen
wir?
3. Wie kommen wir dahin,
wo wir hinwollen?
4. Wie wissen wir, ob wir
angekommen sind?
04.02.2005 Sicherheit unter Windows 20
Windows-Sicherheitsmechanismen: Sicherheit ist eine Managementaufgabe!
Ermitteln des momentanen Zustands
1. Wo wollen wir sein?
2. Wo stehen
wir?
3. Wie kommen wir dahin,
wo wir hinwollen?
4. Wie wissen wir, ob wir
angekommen sind?
04.02.2005 Sicherheit unter Windows 21
Windows-Sicherheitsmechanismen: Sicherheit ist eine Managementaufgabe!
Planung geeigneter Maßnahmen
1. Wo wollen wir sein?
2. Wo stehen
wir?
3. Wie kommen wir dahin,
wo wir hinwollen?
4. Wie wissen wir, ob wir
angekommen sind?
04.02.2005 Sicherheit unter Windows 22
Windows-Sicherheitsmechanismen: Sicherheit ist eine Managementaufgabe!
Aufstellen von Meßverfahren, Tests und Meilensteinen
1. Wo wollen wir sein?
2. Wo stehen
wir?
3. Wie kommen wir dahin,
wo wir hinwollen?
4. Wie wissen wir, ob wir
angekommen sind?
04.02.2005 Sicherheit unter Windows 23
Windows-Sicherheitsmechanismen:Einige Tools
Mit der Management-Konsole lassen sich die meisten Verwaltungs-aufgaben durchführen oder delegieren
04.02.2005 Sicherheit unter Windows 24
Windows-Sicherheitsmechanismen:Einige Tools
Gruppenrichtlinien verwalten Rechte benutzerbezogen
Weisen z.B. Scripts zu, leiten Ordner um, verwalten An-wendungen und legen Sicherheitsoptionen fest
04.02.2005 Sicherheit unter Windows 25
Windows-Sicherheitsmechanismen:Einige Tools
Die Registry erlaubt vielfältige Sicherheitseinstellungen
04.02.2005 Sicherheit unter Windows 26
Fazit: Kritische Bestandsaufnahmeoder: weswegen viele Windows-Rechner trotzdem unsicher bleiben.
Schön, daß es solche Mechanismen gibt, aber… das ist mir zu kompliziert: Der Rechner soll
laufen und mich meine Arbeit machen lassen! was bringt mir das? bisher bin ich doch auch ohne ausgekommen! Geld ist knapp, IT-Sicherheit zu teuer! ich habe doch Virenscanner und Firewall!
04.02.2005 Sicherheit unter Windows 27
Fazit: Kosten-Nutzen-Abwägung
Sicherheit ist ein vernünftiger Kompromiß zwischen Kosten und Nutzen. Problem: Was ist vernünftig?
Sicherheit kann schon mit einfachen Maßnahmen anfangen. Awareness! Gefahr erkannt, Gefahr gebannt! Vorhandene Patches aufspielen! Vorhandene Sicherheitsmechanismen nutzen! Monokulturen wo immer möglich vermeiden!
04.02.2005 Sicherheit unter Windows 28
Fazit: Kosten-Nutzen-AbwägungSchlußwort Die Folgekosten unterlassener Sicherungen können
weitaus höher sein als die Investitionen in Sicherheit!
http://www.boerse-online.de/ftd/artikel.html?artikel_id=519291
04.02.2005 Sicherheit unter Windows 29
Vielen Dank für Ihre Aufmerksamkeit
![IT Sicherheit vernetzten Welt - wiwi.uni-muenster.de · Techno‐Economics (CTTE), 2011 [ISO27001] ISO/IEC, “ISO/IEC 27001:2005—Information technology—Security techniques—Information](https://img.pdfslide.org/doc/110x75/5e0f79d36c4a776d6032ed13/it-sicherheit-vernetzten-welt-wiwiuni-technoaeconomics-ctte-2011-iso27001.jpg)
