Hier wollen wir eine Checkliste für WindowsNT/2000-User geben, wobei Sie auf die Konfiguration achten sollten. Die meisten von euch wissen bereits, dass Windows NT/2000 von Microsoft hergestellt wird und es sich dabei um ein 32-Bit-Betriebssystem handelt. Der Namenszusatz NT steht außerdem für NewTechnology. Windows NT ist in der Versionen Workstation und Server erhältlich. Die Workstationversion ist mehr für kleine Netzumgebungen gedacht und auf max. 10 Clientverbindungen beschränkt. Willst Du die volle Netzwerkunterstützung, musst Du auf die Servervariante zurückgreifen. Windows 2000 unterscheidet sich in Verschiedene Editionen, von denen wir bisher nur die Professional genutzt haben.

Im Gegensatz zu Windows95 stellt Windows NT/2000 ein echtes preemptives Multitaskingsystem (Arbeiten mit mehreren Anwendungen) dar. Ferner gibt es zusätzliche Dateisysteme zum DOS-FAT (File Allocation Table), was auch unter Windows95 noch verwendet wird. Das ist unter anderem das HPFS (HighPerformanceFileSystem - OS/2) und die NTFS (NewTechnologyFileSystem). Die meisten von euch werden das NTFS-System vorziehen, weil sich hier Zugriffsrechte für Benutzer und Gruppen für alle Dateien und Verzeichnisse definieren lassen. 

A c h t u n g:

Das erweiterte NTFS-Format von Windows 2000 ist nicht kompatibel zum NT4.0 NTFS-Format. Wenn Ihr weiterhin auch WindowsNT4.0 nutzen wollt, solltet Ihr das bisherige NTFS-Format bestehen lassen und nicht auf das Windows2000-NTFS updaten. Windows 2000 unterstützt folgende Formate:
- FAT16 (DOS, Windows95, Windows98, WindowsNT, Windows 2000)
- FAT32 (Windows98, Windows 2000)
- NTFS (Windows NT, Windows 2000)
- NTFS (2000) (Windows 2000)

Unter der Vorraussetzung, dass WindowsNT nicht am Netz angeschlossen ist, erfüllt es sogar die Sicherheitsstufe C2 der TCSEC (TrustedComputerSystemEvaluationCriteria) des US-Verteidigungsministeriums (Department of Defence, DoD).

Kurz gesagt, es bringt Dir mehr Sicherheit!

Nun gibt's ein paar Tipps zur Installation und Betrieb eines WindowsNT 4.0 / 2000 - Systems.

Bill Gates hat euch mit einem Local Security Authority (LSA), einem Securtiy Account Manager (SAM) und einem Security Reference Monitor (SRM) bedacht. Dabei stellt der LSA-Dienst die Benutzeridentifikation und Authentifikation, die Verwaltung der lokalen Sicherheitsrichtlinien und die Protokollierung mit Hilfe des SRM zur Verfügung. Der SAM-Dienst organisiert die SAM-Datenbank (u. a. Passwörter, Zugriffsrechte, Konten). Zum Schluss brauchst Du natürlich noch einen Sicherheitskontrollmonitor (SRM), der ggf. auch alle Aktionen protokolliert.

Was bringen mir diese Sicherheitskomponenten im Alltag?

Sie ermöglichen Dir die wesentlichen Sicherheitsfunktionen. Unter anderem das Einrichten von Benutzerkonten, Passwortverwaltung, Vergabe von Zugriffsberechtigungen und die Beweissicherung. Auf die Bedeutung dieser Möglichkeiten sind wir bereits am Anfang in der Computersicherheitsseite eingegangen.

Was sind nun Benutzerkonten?

Wenn Du Dich nach der Installation zum erstem mal an WindowsNT anmeldest, erscheint "Administrator" und ggf. Dein Kennwort (sofern schon festgelegt). D. h., Du meldest Dich als Administrator mit den vollen Systemrechten ans System an. Damit Du nun aber auch in den Genuss der NT-Sicherheitsfunktionen kommen kannst, musst Du Benutzerkonten für Dich und die anderen User einrichten.

Die Sicherheits- und Benutzerinformationen werden alle in einer SAM-Datenbank abgelegt. Dazu gehören der Benutzername (max. 20 Zeichen), das Passwort, ggf. die Gruppen, Gruppenmitgliedschaft.

Achtung:

Die SAM-Datenbank wird in der Registry bzw. in einer SAM-Datei (/system32/config/sam) abgelegt, die mit entsprechenden Tools leicht gehackt werden kann. Es dauert max. 24h Stunden, eine Liste mit allen Usern und deren Passwörtern (incl. Administrator) zusammenzustellen. Außerdem werden die Sicherheitsinformationen auch auf einer Rettungsdiskette abgelegt.

Was muss ich beim Passwort beachten?

Als Admin musst Du Deinen User zu gewissen Regeln beim Passwort zwingen. Dabei solltest Du eine Mindestlänge, eine Gültigkeitsdauer (ggf. mit Passworthistorie), Fehlbedienungszähler (nach 3 Versuchen Konto deaktivieren) und natürlich die Form und Dauer einer Sperrung festlegen.

Achtung:

Ein gutes Passwort besteht aus Groß- und Kleinbuchstaben, Ziffern, Sonder- und/oder Satzzeichen.

Wie sieht's nun mit dem Zugriffsberechtigungen aus?

Du kannst auf alle Dateien, Verzeichnisse, Geräte, etc. Zugriffsberechtigungen für Deine User definieren. Vorraussetzung ist, dass die Partition der Festplatte unter NTFS eingerichtet wurde. Selbstverständlich kann auch Dein User für seine "privaten" Dateien zugriffsrechte definieren.

Achtung:

Es gibt NTFS for DOS. Wenn mit einer solchen Systemdiskette gebootet wird, kann er Nutzer auf alle Daten der NTFS-Festplatte zugreifen und lesen.

OK - Was für Zugriffsrechte können festgelegt werden?

• Kein Zugriff (Der User kann nicht auf das Verzeichnis, Unterverzeichnisse oder Dateien zugreifen
• Anzeigen (Der User kann die Dateien nur sehen, aber nicht drauf zugreifen)
• Lesen (Der User kann die Dateien lesen)
• Hinzufügen (Der User kann Dateien erstellen, rein kopieren, sofern diese noch nicht existieren)
• Ändern (Der User kann Dateien, erstellen, kopieren, modifizieren (lesen und schreiben) und sogar löschen)
• Vollzugriff (Der User kann nun auch die Berechtigung für die Verzeichnisse und Dateien vergeben und auch den Besitzt übernehmen)

Wenn Du Windows NT gerade installiert hast und startest, wird keine einzige Aktion protokolliert. Dafür musst Du explizit die sicherheitsrelevanten Ereignisse aufzeichnen lassen. Einstellen kannst Du dies unter dem Menüpunkt BenutzerManager->Richtlinien->Überwachen.

Da kannst Du folgende Aktionen aufzeichnen lassen:

• Systemstart und -beendigung 
• Systemanmeldungen und -abmeldungen 
• Datei- und Objektzugriffe
• Verwendung von Benutzerrechten
• Benutzer- und Gruppenverwaltung (alle Ereignisse, die die SAM-Datenbank tangieren)
• Sicherheitsrichtlinienänderungen

Die findest Du als Administrator unter Start->Verwaltung->Ereignisanzeige! Hier kannst Du Dir folgende Protokolle ansehen:

• Systemprotokoll ( Fehlermeldungen, Warnungen und Betriebssystemmeldungen)
• Sicherheitsprotokoll (Alle Ereignisse , die Du zuvor in den Überwachungsrichtlinien festgelegt hast)
• Anwendungsprotokoll (Fehlermeldungen, Warnungen und sonstige Meldungen, die von Anwendungsprogrammen erzeugt werden)

• Mach Deinen Usern das Leben nicht zur Hölle! Es bringt nicht mehr Sicherheit, wenn Du sie Zwingst, jeden 2. Tag das Passwort zu ändern. 
• Kläre Sie auf, sofern Du sie überwachst willst. Sei ehrlich!
• Wahre die Privatsphäre Deiner User und spionier nicht in ihren Daten (z. B. Internetcache etc)
• Weise Sie darauf hin, dass Sie Bootpasswörter auf Ihren Rechner installieren.
• Sie sollen einen Bildschirmschoner mit Passwortschutz aktivieren.
• Sie sollen alle Software- und Datenpakete auf Virenbefall prüfen. Stelle Ihnen als guter Admin immer die neuesten Virenscanner zur Verfügung.
• Spiele nicht Gott! (Ich bin der Administrator und kann und darf alles!)

• Ändern der Systemzeit
• Zwangsweises Herunterfahren von einem anderen Rechner aus
• Hinzufügen von Arbeitsstationen zur Domäne
• Laden und Entfernen von Gerätetreibern
• Übernehmen des Besitzes an Dateien und Objekten
• Herunterfahren des Servers
• Zugriff auf die Log-Dateien
• Änderungen in der Registry vornehmen
• Durchführung aller Backup- und Restore-Aktivitäten auf den Servern

Du kannst das vordefinierte Adminkonto zwar umbenennen, aber nicht löschen. Um dem Adminkonto mehr Sicherheit zu geben, solltest Du diesem einen unauffälligen Namen geben und dem original Administrator nur lächerliche Rechte einräumen. Die meisten Hacker stürzen sich halt zuerst auf das Adminkonto und werden somit auf eine falsche Spur gebracht.

Wie lege ich ein Benutzerkonto an bzw. verwalte dieses?

Oben haben wir bereits erwähnt, dass für jeden User ein Benutzerkonto eingerichtet werden muss. Das Anlegen und Verwalten dieser Konten bleibt dem Administrator vorbehalten. Dieser kann unter Start->Verwaltung->BenutzerManager ein Benutzerkonto anlegen und auch die Richtlinien ändern. Dabei musst Du unter dem BenutzerManager auf der Workstation und dem BenutzerManager für Domänen (Netzbetrieb) unterscheiden. Mit dem BenutzerManager für Workstation kannst Du nur Benutzer für den lokalen Rechner anlegen und verwalten. Mit diesem kannst Du folgende Funktionen ausführen:

• Erstellen und Verwalten von Benutzerkonten
• Erstellen und Verwalten von Gruppen
• Verwalten der Sicherheitsrichtlinien

Achtung:

Wenn Du ein Benutzerkonto anlegst, solltest Du auf folgende Dinge achten:

• Aktiviere die Schaltfläche "Ablauf in n Tagen" bei "Maximales Kennwortalter". (Mit n z. B. = 30 Tage)
• Setze den Wert "Minimales Kennwortalter" auf 2 oder 3, damit der Nutzer das Kennwort erst zwei oder drei Tage nach der letzen Modifikation ändern kann. Damit kann er nicht nach der "erzwungenen" Kennwortänderung nach direkt wieder auf sein altes Kennwort wechseln.
• Die "Minimale Kennwortlänge" sollte mind. 10 Zeichen sein.
• Die Passworthistorie sollte die letzen 10 Kennwörter umfassen, damit der User nicht immer die gleichen Kennwörter verwenden kann.
• Das Benutzerkonto sollte nach 3 erfolglosen Kennworteingaben deaktiviert werden und nur noch durch den Admin wieder freigeben werden können. ("Dauer der Sperrung" = für immer)
• Aktiviere auch die Schaltfläche "Benutzer muss sich anmelden, um ein Kennwort zu ändern". Damit ist es dem Nutzer nach Ablauf des Passwortes nicht mehr möglich sich anzumelden und er muss ein neues Passwort vom Admin vergeben werden.

• Ändern der Systemzeit
• Herunterfahren von einem RemoteSystem
• Laden und Entfernen von Gerätetreibern
• Lokale Anmeldung
• Sichern von Dateien und Verzeichnissen
• System herunterfahren
• Übernehmen des Besitzes an Dateien
• Verwalten von Überwachungs- und Systemprotokoll 
• Wiederherstellen von Dateien und Verzeichnissen
• Zugriff auf diesen Computer vom Netz

Wie sieht's nun mit der Sicherheit und Verwaltung in Domänen aus?

Wenn Du ein als Administrator ein großes Netzwerk verwalten musst, bietet sich der Einsatz von Domänen an. Hier kannst Du zentral alle Administrationsaufgaben ausführen. Bei einer Domäne handelt es sich nun um mehrere Workstation und/oder Server, die zusammen auf eine SAM-Datenbank zurückgreifen. Jeder Nutzer kann sich von jeder Workstation mit seinem Namen und Passwort an der Domäne anmelden. Eine Domäne lässt sich jedoch nur unter der Windows NT-Server Version einrichten. Als Domänenkontroller werden dabei alle Server innerhalb einer Domäne bezeichnet, die auf eine SAM-Datenbank zurückgreifen.

Geht's auch einfacher? Sicherheit und Verwaltung in Workstations!

Wie Anfangs schon erwähnt, können bis zu 10 Rechner zu einer Arbeitgruppe unter NTWorkstation zusammengefasst werden. So eine Arbeitsgruppe ist ein logischer Zusammenschluss von den Computern und den Ressourcen. Im Gegensatz zur Domäne existiert hier auch nicht eine zentrale SAM-Datenbank, sondern jeder Rechner verwaltet selber seine Sicherheitsrichtlinien. Jeder muss für den anderen ein Benutzerkonto einrichten und entsprechende Freigaben (ggf. mit Passwortschutz) definieren.

Ich will auch von Zuhause auf meinen Rechner zugreifen können! Geht das mit RAS?

Ja! RAS bedeutet Remote Access Service und ermöglicht das einwählen auf den Rechner von außen z. B. über ein Modem. Dabei musst Du folgende Sicherheitsfunktionen definieren:

• Anmeldung nur mit Benutzerkennung und Passwort
• Verwendung einer Callback-Funktion (Der Computer kann zur Schonung Deiner Telefonkosten Dich auch zurückrufen)
• Eindeutige Rechtevergabe
• Ggf. Verschlüsselung der übertragenen Daten
• Erstellung eines Sicherheitsprotokolls durch Protokollierung aller Aktivitäten

Nun ja - es ist auf jedem Fall sicherer als ein Windows 95/98-System und bietet eine Menge Sicherheitsfunktionen an. Wie wir aber bereits im Vergleich zwischen WindowsNT und Windows95/98 (lokal) gezeigt haben, hat auch NT viele Sicherheitslöcher.

Die Entwicklung schreitet aber voran und es kommen immer neue Versionen auf dem Markt. So zieht Bill Gates auch wohl noch dieses Jahr mit Windows2000 auf dem Markt. Dieses wird in verschiedenen Versionen erhältlich sein und hoffentlich einige Schwächen lösen. Sicherlich werden aber wieder neue mit eingeflossen sein... - Deshalb immer Vorsicht!

Windows 2000 ist ja recht neu - im Moment sind wir noch damit beschäftigt selber Informationen zusammenzutragen. Wenn wir ausreichend Infos haben, stellen wir sie euch wie immer hier zur Verfügung

(c) 1998/1999/2000 LogoSecProduction - created 06.05.1999 your Webmaster!

Last Update / Stand 20.05.2000