Microsoft Windows NT Auch wenn Linux die bessere Wahl als Server ist, benutzen viele NT. Deshalb geben wir auch mal ein paar Tipps wie man NT wenigstens halbwegs sicher macht. Vor der InstallationSchütze deinen Server physisch, also vor unmittelbaren Zugriff. (Zwei schwere 20 MM-Maschinengewehre und ein Jäger/Scharfschütze G-43 haben sich als nützlich erwiesen d;-)) Was nützt ein abgesichertes NT wenn jeder Psychopath auf den Server pissen kann?? Sichere den Server gegen Hitze und vor allem gegen Stromausfall ab, denn NT reagiert wie Linux/Unix sehr allergisch mit Datenverlust auf einen Stromausfall. Installiere WinNT gleich mit den ServicePacks, aber halte die Versionsfolge der SP ein, denn es gab schon Berichte über Unsicherheiten, die auf falsch installierten SP's beruhte. Installiere NT nur mit NTFS-Filesystem. Nur mit diesem Filesystem kann man Zugriffskontrollen auf User-Ebene einführen. Außerdem kann ein normaler Windows-32/Dos-Rechner nicht ohne weiteres auf NTFS-Partitionen zugreifen, was die Sicherheit auch wieder erhöhen kann. Sollten dennoch Serverdaten für Win32/Dos zugänglich gemacht werden, lege eine Extra-Partition mit FAT-System an, auf der die betreffenden Daten ausgelagert werden. Nach der Installation/Accounts NT installiert standardmäßig zwei Accounts : "administrator" und "guest". Der administrator-Account ist wie der Name schon sagt der Account, der wie root alles darf. Erstelle einen neuen Account mit schwer erratbarem Namen der die Admin-Rechte bekommt. Teilweise war es schon ganz nützlich denn admin-Account zu belassen, jedoch alle Rechte zu nehmen, da sich Angreifer auf den admin konzentrieren, während der eigentliche Admin als Fritz_Müller angemeldet in Ruhe den Eindringling zur Strecke bringt. Clever, oder? Natürlich hat die Sache auch wieder einen Haken: mit nbtstat -a IP bzw. nbstat -n wird auf dem entfernten/lokalen Rechner eine Tabelle mit NetBIOS over TCP/IP- Usern angezeigt. Daraus kann man auch ablesen wer admin-Rechte hat. Weiterhin wir der Admon-Account nicht automatisch nach zu vielen Fehllogins gesperrt, was bedeutet, das er mit einer sehr simplen Brute-Force-Attack knackbar ist. Deswegen sollte man den amininstrator mit passprop.exe sichern. Der guest hingegen ist ein Account ohne Passwortauthentifizierung welcher eigentlich aktiviert werden sollte, aber er wird teilweise von MS-Proggys wie MS Internet Studio benötigt, um Remote-Access zu kriegen. Naja, sollte mensch da mal abchecken ob der Account benötigt wird. Eine weitere nette Sache um WinNT Server sicherer zu machen sind die sogenannten Systemrichtlinien. Diese läßt sich mittels Policy-Editor bearbeiten und bietet die Möglichkeit zentral die Desktop- und Netzwerkeinstellungen für Nutzer festzulegen, welche dann auf jeder Workstation gelten. Passwörter Neben den allgemein geltenden Regeln zur Passwortwahl widmen wir uns jetzt den NT-spezifischen Problemen. Die Passwort-Datei Die Passwortdatei befindet sich unter NT in c:\winnt\system32\config\sam und ist im laufenden Betrieb zugriffsgeschützt. Allerdings habe ich schon Maschinen erlebt, auf denen ein SAM.SAV-File rumoxidierte, welcher eine Safecopy des SAM-Files ist, aber nicht geschützt wird. Böse Falle. Nun gut, dennoch ist der SAM-File nicht sicher, denn wie gesagt wird der von NT geschützt. Was ist aber nun wenn ich ein anderes Betriebssystem boote? Richtig, ich habe Zugriff auf den SAM-File. Also solltest du im BIOS nur von der Platte booten lassen und es per Passwort schützen, denn wenn ein Angreifer den SAM-File hat, kann er ihn z.B. mit L0phtcrack dechiffrieren. Desweiteren kann man mit rdisk.exe WinNT-Rettungsdisketten erstellen und die Konfiguration für den Notfall in \winnt\repair zu speichern. Dabei darf natürlich auch die Passwortdatei nicht fehlen. Alles Klar?! Auf der NT-Rettungsdiskette befindet sich auch nochmal der SAM-File, also solltest du sie ebenso physisch schützen. Sichere deine Programm-Verzeichnisse, verbiete den Zugriff darauf für gewöhnliche User. Es gibt aber noch eine ganz seltsame Sicherheitslücke unter NT. Wenn man eine *.exe in *.doc umwandelt kann man die Datei trotzdem ausführen. Das heißt man nehme z.B. L0phtcrack.exe, nenne es Brief1.doc und kann es immer noch am Prompt ausführen. Stelle im Benutzer-Manager eine harte Passwort-Politik ein. Verhindere den Zugriff auf gefährliche Programme (ntbat,cmd ... ) Richte eine Firewall ein. Die ist teuer? Schon mal was von Linux gehört??? Verbiete den Zugriff auf Ports 135-140 für TCP/IP und UDP. Sperre Port 1031 für telnet-Verbindungen, da dies zum DoS führen kann. Lege FTP, HTTP, eMail und andere öffentliche Services vor die Firewall oder in eine Demilitarized Zone zwischen zwei Firewalls. Nutze u.U. interne Firewalls. Schütze z.B. deinen DNS vor der Gruppe "Informatikstudenten" Lies deine Logs Abonniere Mailinglists wie CERT.org und beachte die Hinweise written 13/09/00 by : slick sources : CERT.org, The Unofficial WinNT Hack FAQ, iX 03/98,