Bedrohungen und Gegenmaßnahmen

  • Artikel

Kapitel 10: Zusätzliche Registrierungseinträge

Dieses Kapitel enthält zusätzliche Informationen zu Registrierungseinträgen (oder auch Registrierungswerten genannt) für die Baseline-Sicherheitsvorlagendatei, die nicht in den administrativen Vorlagen (ADM-Datei) definiert sind. Die ADM-Datei definiert Richtlinien und Beschränkungen für den Desktop, die Shell und die Sicherheit für Microsoft® Windows Server™ 2003.

Auf dieser Seite

Benutzerdefinierter Sicherheitskonfigurations-Editor
TCP/IP-bezogene Registrierungseinträge
Sonstige Registrierungseinträge
Unter Windows XP mit SP2 und Windows Server 2003 mit SP1 verfügbare Registrierungseinträge
Unter Windows XP mit SP2 verfügbare Registrierungseinträge
Unter Windows Server 2003 mit SP1 verfügbare Registrierungseinträge
Weitere Informationen

Benutzerdefinierter Sicherheitskonfigurations-Editor

Die in den folgenden Tabellen aufgeführten Einträge sind beim Laden des Snap-Ins „Sicherheitsvorlagen“ der Microsoft Management Console (MMC) und beim Anzeigen der Sicherheitsvorlagen nicht vorhanden. Diese Einträge wurden der INF-Datei mithilfe einer benutzerdefinierten Version des Sicherheitskonfigurations-Editors (SCE) hinzugefügt. Die Einträge können auch mit einem Texteditor (z. B. Notepad) angezeigt oder geändert werden. Sie werden auf die Computer angewendet, wenn die Richtlinien auf die Computer heruntergeladen werden, unabhängig davon, ob auch die Benutzeroberflächen des Sicherheitskonfigurations-Editors auf den Computern geändert wurden.

Die Einträge sind in die Sicherheitsvorlagen integriert, damit die Änderungen automatisiert werden. Wenn die Richtlinie entfernt wird, werden die Einträge nicht automatisch entfernt. Sie müssen mit einem Programm zum Bearbeiten der Registrierung (z. B. Regedt32.exe) manuell geändert werden. Die in diesem Handbuch enthaltene Microsoft Excel®-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“ beschreibt die Standardeinstellungen.

Ändern der Benutzeroberfläche des Sicherheitskonfigurations-Editors

Mit dem Sicherheitskonfigurations-Editor werden Sicherheitsvorlagen definiert, die auf einzelne Computer oder über eine Gruppenrichtlinie auf mehrere Computer angewendet werden können. Sicherheitsvorlagen können Kennwortrichtlinien, Sperrrichtlinien, Kerberos-Protokollrichtlinien, Überwachungsrichtlinien, Ereignisprotokolleinstellungen, Registrierungswerte, Startparameter für Dienste, Dienstberechtigungen, Benutzerrechte, Gruppenmitgliedschaftseinschränkungen, Registrierungsberechtigungen und Dateisystemberechtigungen enthalten. Der Sicherheitskonfigurations-Editor wird in zahlreichen MMC-Snap-Ins und Verwaltungstools angezeigt. Er wird im Snap-In „Sicherheitsvorlagen“ und im Snap-In „Sicherheitskonfiguration und -analyse“ verwendet. Im Snap-In „Gruppenrichtlinien-Editor“ wird der Sicherheitskonfigurations-Editor im Bereich „Sicherheitseinstellungen“ der Struktur „Computerkonfiguration“ verwendet. Darüber hinaus wird er bei den lokalen Sicherheitseinstellungen, der Sicherheitsrichtlinie für Domänencontroller sowie der Sicherheitsrichtlinie für Domänen verwendet.

Dieses Handbuch enthält zusätzliche Einträge, die dem Sicherheitskonfigurations-Editor durch Änderung der Datei Sceregvl.inf (im Ordner %systemroot%\inf) und durch erneute Registrierung der Datei Scecli.dll hinzugefügt werden. Die ursprünglichen und die zusätzlichen Sicherheitseinstellungen sind in den zuvor in diesem Handbuch erwähnten Snap-Ins und Tools unter Lokale Richtlinien\Sicherheit aufgeführt. Auf allen Computern, auf denen die in diesem Handbuch beschriebenen Sicherheitsvorlagen und Gruppenrichtlinien bearbeitet werden, sollte die Datei Sceregvl.inf aktualisiert und die Datei Scecli.dll erneut registriert werden (siehe folgende Abschnitte). Bei den Informationen zur Anpassung der Datei Sceregvl.inf werden jedoch Funktionen verwendet, die nur unter Microsoft Windows® XP Professional mit Service Pack 1 (SP1) und unter Windows Server 2003 verfügbar sind. Installieren Sie die Datei daher nicht unter älteren Windows-Versionen.

Nach dem Ändern und Registrieren der Datei Sceregvl.inf werden die angepassten Registrierungswerte in der Benutzeroberfläche des Sicherheitskonfigurations-Editors auf dem entsprechenden Computer angezeigt. Die neuen Einstellungen werden im Sicherheitskonfigurations-Editor am Ende der Liste mit den Einträgen angezeigt und beginnen alle mit „MSS:“. „MSS“ steht für „Microsoft Solutions for Security“ (Microsoft Sicherheitslösungen) und ist die Bezeichnung der Arbeitsgruppe, die dieses Handbuch herausgibt. Anschließend können Sie Sicherheitsvorlagen oder -richtlinien erstellen, mit denen die neuen Registrierungswerte definiert werden. Diese Vorlagen oder Richtlinien können auf jeden Computer angewendet werden, unabhängig davon, ob auf dem Zielcomputer Änderungen an der Datei Sceregvl.inf vorgenommen wurden. Bei jedem weiteren Start des Sicherheitskonfigurations-Editors werden die benutzerdefinierten Registrierungswerte in der Benutzeroberfläche angezeigt.

Mithilfe der im Folgenden beschriebenen Verfahren kann die Benutzeroberfläche des Sicherheitskonfigurations-Editors angepasst werden. Befolgen Sie die Anweisungen für die manuelle Durchführung, wenn Sie bereits andere Anpassungen im Sicherheitskonfigurations-Editor vorgenommen haben. Die Einstellungen können mithilfe eines bereitgestellten Skripts mit minimalem Benutzereingriff hinzugefügt werden. Obwohl das Skript über integrierte Funktionen zur Fehlerermittlung und Wiederherstellung verfügt, kann ein Fehlschlagen des Skripts nicht ausgeschlossen werden. Wenn das Skript nicht ausgeführt werden kann, sollten Sie die Fehlerursache ermitteln und entweder das Problem beheben oder die Anweisungen für die manuelle Durchführung befolgen. Mit einem anderen bereitgestellten Skript können Sie die Benutzeroberfläche des Sicherheitskonfigurations-Editors wieder auf die Standardwerte zurücksetzen. Durch dieses Skript werden alle benutzerdefinierten Einstellungen entfernt, und der Sicherheitskonfigurations-Editor wird wieder so wie bei einer Standardinstallation von Windows XP mit SP2 oder Windows Server 2003 mit SP1 konfiguriert.

  1. Verwenden Sie einen Texteditor (z. B. Notepad), um die Datei Values-sceregvl.txt im Downloadordner SCE Update dieses Handbuchs zu öffnen.

  2. Öffnen Sie ein weiteres Fenster im Texteditor, und öffnen Sie anschließend die Datei %systemroot%\inf\sceregvl.inf.

  3. Gehen Sie in der Datei sceregvl.inf zum Ende des Abschitts „[Register Registry Values]“. Kopieren Sie den Text ohne Seitenumbrüche aus der Datei Values-sceregvl.txt, und fügen Sie ihn in diesen Abschnitt der Datei sceregvl.inf ein.

  4. Schließen Sie die Datei Values-sceregvl.txt, und öffnen Sie die Datei Strings-sceregvl.txt im Downloadordner SCE Update.

  5. Gehen Sie in der Datei sceregvl.inf zum Ende des Abschnitts „[Strings]“. Kopieren Sie den Text ohne Seitenumbrüche aus der Datei Strings-sceregvl.txt, und fügen Sie ihn in diesen Abschnitt der Datei sceregvl.inf ein.

  6. Speichern Sie die Datei sceregvl.inf, und schließen Sie den Texteditor.

  7. Öffnen Sie eine Eingabeaufforderung, und führen Sie zum erneuten Registrieren der DLL-Datei den Befehl regsvr32 scecli.dll aus.

Bei jedem weiteren Start des Sicherheitskonfigurations-Editors werden die folgenden benutzerdefinierten Registrierungswerte angezeigt.

  1. Die im Downloadordner SCE Update dieses Handbuchs befindlichen Dateien Values-sceregvl.txt , Strings-sceregvl.txtund Update_SCE_with_MSS_Regkeys.vbs müssen alle im selben Verzeichnis gespeichert sein, damit das Skript ausgeführt werden kann.

  2. Führen Sie das Skript Update_SCE_with_MSS_Regkeys.vbs auf dem Computer aus, der aktualisiert werden soll.

  3. Befolgen Sie den Anweisungen auf dem Bildschirm

Durch dieses Verfahren werden nur die benutzerdefinierten Einträge entfernt, die durch Ausführung des Skripts Update_SCE_with_MSS_Regkeys.vbs (siehe zuvor beschriebenes Verfahren) vorgenommen wurden. Sie können auch die mit dem automatischen Aktualisierungsskript vorgenommenen Änderungen rückgängig machen.

So machen Sie die mit dem Skript Update_SCE_with_MSS_Regkeys.vbs vorgenommenen Änderungen rückgängig

  1. Führen Sie das Skript Rollback_SCE_for_MSS_Regkeys.vbs auf dem Computer aus, der aktualisiert werden soll.

  2. Befolgen Sie den Anweisungen auf dem Bildschirm

Durch dieses Verfahren werden alle benutzerdefinierten Einträge entfernt, die der Benutzeroberfläche des Sicherheitskonfigurations-Editors hinzugefügt wurden. Dazu zählen auch die Einträge aus diesem Handbuch und andere Einträge, die u. U. in Vorgängerversionen dieses Handbuchs oder in anderen Sicherheitshandbüchern beschrieben wurden.

So setzen Sie den Sicherheitskonfigurations-Editor auf die Standardwerte für Windows XP mit SP2 und Windows Server 2003 mit SP1 zurück

  1. Die im Downloadordner SCE Update dieses Handbuchs befindlichen Dateien sceregvl_W2K3_SP1.inf.txt , sceregvl_XPSP2.inf.txtund Restore_SCE_to_Default.vbs müssen alle im selben Verzeichnis gespeichert sein, damit das Skript ausgeführt werden kann.

  2. Führen Sie das Skript Restore_SCE_to_Default.vbs auf dem Computer aus, der aktualisiert werden soll.

  3. Befolgen Sie den Anweisungen auf dem Bildschirm

So setzen Sie die Benutzeroberfläche des Sicherheitskonfigurations-Editors manuell auf das Standarderscheinungsbild zurück

  1. Klicken Sie auf Start und auf Ausführen, und geben Sie regedit.exe ein. Drücken Sie anschließend die Eingabetaste, um den Registrierungs-Editor zu öffnen.

  2. Wechseln Sie zum Ordner HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values.

  3. Jeder Unterschlüssel in diesem Verzeichnis stellt ein Element im Abschnitt „Sicherheitsoptionen“ des Sicherheitskonfigurations-Editors dar. Löschen Sie vorsichtig alle Unterschlüssel. Löschen Sie nicht den übergeordneten Schlüssel (Reg Values), sondern nur die in diesem Schlüssel enthaltenen Unterschlüssel.

  4. Öffnen Sie eine Eingabeaufforderung, und führen Sie zum erneuten Registrieren der DLL-Datei des Sicherheitskonfigurations-Editors den Befehl regsvr32 scecli.dll aus.

  5. Bei jedem weiteren Start des Sicherheitskonfigurations-Editors werden nur die ursprünglich in den Windows-Versionen enthaltenen Registrierungswerte angezeigt.

TCP/IP-bezogene Registrierungseinträge

Zur Vermeidung von DoS-Angriffen (Denial of Service) sollten Sie immer die neuesten Sicherheitspatches auf dem Computer installieren und den TCP/IP-Protokollstapel auf Windows Server 2003-Computern, die möglichen Angriffen ausgesetzt sind, absichern. Die standardmäßige TCP/IP-Stapelkonfiguration wird zur Verarbeitung von Standardintranetverkehr angepasst. Bei einer direkten Verbindung zwischen Computer und Internet wird empfohlen, den TCP/IP-Stack zum Schutz vor DoS-Angriffen zu sichern.

Die über den TCP/IP-Stapel ausgeführten DoS-Angriffe fallen in der Regel in folgende zwei Kategorien: Angriffe, bei denen übermäßig viele Systemressourcen verwendet werden (z. B. durch Öffnen von zahlreichen TCP-Verbindungen), bzw. Angriffe, bei denen durch speziell codierte Pakete Fehler im Netzwerkstapel oder im gesamten Betriebssystem verursacht werden. Die folgenden Registrierungseinstellungen tragen zum Schutz vor Angriffen auf den TCP/IP-Stapel bei.

Die Registrierungseinstellungen in der folgenden Tabelle wurden der Vorlagendatei im Unterschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Ausführliche Informationen zu den jeweiligen Einstellungen finden Sie in den Unterabschnitten unterhalb der Tabelle und auf der Seite Informationen zur TCP/IP-Implementierung unter Microsoft Windows Server 2003 (in englischer Sprache) unter https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/tcpip03.mspx.

Tabelle 10.1: TCP/IP-bezogene Registrierungseinträge unter Windows Server 2003 mit SP1 und Windows XP mit SP2

Registrierungseintrag

Format

Standardwert für XP SP2

Standardwert für 2003 SP1

Sicherster Wert (Dezimal)

DisableIPSourceRouting

DWORD

1

1

2

EnableDeadGWDetect

DWORD

1

1

0

EnableICMPRedirect

DWORD

1

1

0

KeepAliveTime

DWORD

7200000

7200000

300.000

PerformRouterDiscovery

DWORD

2

2

0

SynAttackProtect

DWORD

0

1

1

TcpMaxConnectResponseRetransmissions

DWORD

2

2

2

TcpMaxDataRetransmissions

DWORD

5

5

3

DisableIPSourceRouting: Schutzebene für IP-Quellrouting (Schutz vor Paket-Spoofing)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (DisableIPSourceRouting) Schutzebene für IP-Quellrouting (Schutz vor Paket-Spoofing) angezeigt. Über das IP-Quellrouting kann ein Sender die IP-Route eines Datagramms im Netzwerk festlegen.

Sicherheitsanfälligkeit

Ein Angreifer kann mithilfe von über Quellrouting gesendeten Paketen deren Identität und Speicherort verbergen. Mit Quellrouting kann die Route eines über einen Computer gesendeten Pakets festgelegt werden.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (DisableIPSourceRouting) Schutzebene für IP-Quellrouting (Schutz vor Paket-Spoofing) den Wert Höchste Schutzebene , Quellrouting vollständig deaktiviert fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 0, 1 oder 2. Die Standardkonfiguration ist 1 (über Quellrouting gesendete Pakete werden nicht weitergeleitet).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors wird die folgende Liste mit Optionen angezeigt:

  • Kein zusätzlicher Schutz, über Quellrouting gesendete Pakete zulassen.

  • Mittel, über Quellrouting gesendete Pakete bei aktivierter IP-Weiterleitung ignorieren.

  • Höchste Schutzebene, Quellrouting vollständig deaktiviert.

  • Nicht definiert.

Mögliche Auswirkung

Wenn Sie diesen Wert auf 2 setzen, werden alle eingehenden über Quellrouting gesendeten Pakete verworfen.

EnableDeadGWDetect: Automatische Erkennung von inaktiven Netzwerkgateways zulassen (DoS-Angriff möglich)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (EnableDeadGWDetect) Automatische Erkennung von inaktiven Netzwerkgateways zulassen (DoS-Angriff möglich) angezeigt. Wenn die Funktion „Dead Gateway Detection“ aktiviert ist, kann das IP-Protokoll zu einem Sicherungsgateway wechseln, wenn bei mehreren Verbindungen Fehler auftreten.

Sicherheitsanfälligkeit

Ein Angreifer kann den Server zwingen, die Gateways zu wechseln und eine falsche Gateway-Adresse zu verwenden. Dies ist schwer umzusetzen, weshalb der Wert dieses Eintrags gering ist.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (EnableDeadGWDetect) Automatische Erkennung von inaktiven Netzwerkgateways zulassen (DoS-Angriff möglich) auf Deaktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 1 (aktiviert) unter Windows Server 2003.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

Wenn Sie diesen Wert auf 0 setzen, kann Windows inaktive Gateways nicht erkennen und andere Gateways nicht automatisch verwenden.

EnableICMPRedirect: Überschreiben von OSPF-generierten Routen durch ICMP-Umleitungen zulassen

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (EnableICMPRedirect) Überschreiben von OSPF-generierten Routen durch ICMP-Umleitungen zulassen angezeigt. ICMP-Umleitungen (Internet Control Message Protocol) führen dazu, dass Hostrouten über den Stapel verbunden werden. Diese Routen setzen die über OSPF (Open Shortest Path First) erstellten Routen außer Kraft.

Sicherheitsanfälligkeit

Dieses Verhalten wird erwartet. Das Problem besteht darin, dass aufgrund des zehnminütigen Zeitlimits für die verbundene Route der ICMP-Umleitung zeitweise eine Lücke im Netzwerk entsteht, in der der Datenverkehr auf dem betreffenden Host nicht mehr ordnungsgemäß weitergeleitet wird.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (EnableICMPRedirect) Überschreiben von OSPF-generierten Routen durch ICMP-Umleitungen zulassen auf Deaktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 1 (aktiviert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

Wenn der Routing- und RAS-Dienst (RRAS) als autonomer Systemgrenzrouter (ASBR-Router, Autonomous System Boundary Router) konfiguriert ist, werden die verbundenen Schnittstellen-Subnetzrouten nicht ordnungsgemäß importiert. Stattdessen werden über diesen Router Hostrouten in den OSPF-Routen eingefügt. Da der OSPF-Router jedoch nicht als ASBR-Router verwendet werden kann, werden durch Importieren der Schnittstellen-Subnetzrouten über OSPF fehlerhafte Routingtabellen mit unbekannten Routingpfaden erstellt.

KeepAliveTime: Sendehäufigkeit der Keep Alive-Pakete in Millisekunden (empfohlen: 300.000)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (KeepAliveTime) Sendehäufigkeit der Keep Alive-Pakete in Millisekunden (empfohlen: 300.000) angezeigt. Hiermit wird gesteuert, wie oft TCP durch Senden von Keep Alive-Paketen überprüft, ob eine inaktive Verbindung weiterhin besteht. Wenn die Verbindung mit dem Remotecomputer noch besteht, bestätigt dieser die Keep Alive-Pakete.

Sicherheitsanfälligkeit

Ein Angreifer, dem es gelingt, eine Verbindung mit Netzwerkanwendungen aufzubauen, kann durch Herstellen von zahlreichen Verbindungen einen Denial-of-Service verursachen.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (KeepAliveTime) Sendehäufigkeit der Keep Alive-Pakete in Millisekunden (empfohlen:   300.000) den Wert 300.000 oder 5 Minuten fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 bis 0xFFFFFFFF. Die Standardkonfiguration ist 7.200.000 (2 Stunden).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors wird die folgende Liste mit Optionen angezeigt:

  • 150.000 oder 2,5 Minuten

  • 300.000 oder 5 Minuten (empfohlen)

  • 600.000 oder 10 Minuten

  • 1.200.000 oder 20 Minuten

  • 2.400.000 oder 40 Minuten

  • 3.600.000 oder 1 Stunde

  • 7.200.000 oder 2 Stunden (Standardwert)

  • Nicht definiert

Mögliche Auswirkung

Keep Alive-Pakete werden unter Windows nicht standardmäßig gesendet. In einigen Anwendungen kann jedoch zur Anforderung von Keep Alive-Paketen das TCP-Stapelflag konfiguriert werden. In solchen Konfigurationen können Sie den Standardwert von 2 Stunden auf 5 Minuten verringern, damit inaktive Sitzungen schneller getrennt werden.

PerformRouterDiscovery: Erkennung und Konfiguration von Standardgatewayadressen über IRDP zulassen (DoS-Angriff möglich)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (PerformRouterDiscovery) Erkennung und Konfiguration von Standardgatewayadressen über IRDP zulassen (DoS-Angriff möglich) angezeigt. Hiermit wird IRDP (Internet Router Discovery Protocol) aktiviert bzw. deaktiviert. Über IRDP werden Standardgatewayadressen auf Grundlage der einzelnen Schnittstellen automatisch erkannt und konfiguriert (siehe Beschreibung in RFC 1256).

Sicherheitsanfälligkeit

Ein Angreifer mit Zugriff auf einen Computer im selben Netzwerksegment kann einen Computer im Netzwerk so konfigurieren, dass dieser die Identität eines Routers annimmt. Alle anderen Computer, auf denen IRDP aktiviert ist, senden dann die entsprechenden Daten über den bereits manipulierten Computer.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (PerformRouterDiscovery) Erkennung und Konfiguration von Standardgatewayadressen über IRDP zulassen (DoS-Angriff möglich) auf Deaktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 0, 1 oder 2. Die Standardkonfiguration ist 2 (nur aktivieren, wenn DHCP die PerformRouterDiscovery-Option sendet).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • 0 (Deaktiviert)

  • 1 (Aktiviert)

  • 2 (nur aktivieren, wenn DHCP die PerformRouterDiscovery-Option sendet)

  • Nicht definiert

Mögliche Auswirkung

Bei Deaktivierung dieses Eintrags kann Windows Server 2003 (mit IRDP-Unterstützung) keine Standardgatewayadressen auf dem Computer automatisch erkennen und konfigurieren.

SynAttackProtect: Syn-Angriffschutzebene (Schutz vor DoS-Angriffen)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (SynAttackProtect) Syn-Angriffschutzebene (Schutz vor DoS-Angriffen) angezeigt. Dieser Eintrag zwingt TCP zur Anpassung der Neuübertragung von SYN-ACKs. Bei Konfiguration dieses Eintrags wird der Verwaltungsaufwand aufgrund von unvollständigen Übertragungen bei einem Verbindungsanforderungsangriff (SYN-Angriff) verringert.

Mit diesem Eintrag können Sie Windows so konfigurieren, dass Router Discovery-Meldungen als Broadcasts (anstelle von Multicasts) gesendet werden (siehe Beschreibung in RFC 1256). Bei Aktivierung der Routersuche werden Routersuchanfragen an die Multicastgruppe „Alle Router“ (224.0.0.2) gesendet.

Sicherheitsanfälligkeit

Bei einem SYN-Flood-Angriff sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halboffene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (SynAttackProtect) Syn-Angriffschutzebene (Schutz vor DoS-Angriffen) den Wert Verbindungen werden bei einem SYN-Angriff schneller beendet fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 1 (aktiviert) für Windows Server 2003 SP1 und 0 (deaktiviert) für Windows XP SP2.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Verbindungen werden bei einem SYN-Angriff schneller beendet

  • Kein zusätzlicher Schutz, Standardeinstellungen verwenden

  • Nicht definiert

Mögliche Auswirkung

Mit diesem Wert werden zusätzliche Verzögerungen zu den Verbindungen hinzugefügt. Darüber hinaus werden TCP-Verbindungsanforderungen bei einem SYN-Angriff schneller beendet. Bei Konfiguration dieses Registrierungseintrags können die auf jedem Adapter konfigurierten skalierbaren Fenster und TCP-Parameter (einschließlich der Socketoptionen für die anfängliche RTT-Zeit (Initial Round Trip Time) und der Fenstergröße) nicht mehr ausgeführt werden. Wenn der Computer angegriffen wird, können die Optionen für skalierbare Fenster (RFC 1323) und die pro Adapter konfigurierten Optionen für TCP-Parameter (anfängliche RTT-Zeit, Fenstergröße) für keines der Sockets mehr aktiviert werden. Diese Optionen können nicht aktiviert werden, weil bei funktionierendem Schutz der Route-Cache-Eintrag vor dem Senden des SYN-ACKs nicht abgefragt wird und die Winsock-Optionen in dieser Verbindungsphase nicht verfügbar sind.

TcpMaxConnectResponseRetransmissions: SYN-ACK-Neuübertragungen bei Nichtbestätigung einer Verbindungsanforderung

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK-Neuübertragungen bei Nichtbestätigung einer Verbindungsanforderung angezeigt. Durch diesen Eintrag wird die Anzahl der SYN-Neuübertragungen über TCP vor dem Abbruch der Verbindung festgelegt. Das Zeitlimit bis zur jeweils nächsten Neuübertragung wird mit jedem weiteren Verbindungsversuch verdoppelt. Der Standardwert beträgt 3 Sekunden.

Sicherheitsanfälligkeit

Bei einem SYN-Flood-Angriff sendet der Angreifer einen fortlaufenden Strom von SYN-Paketen an einen Server. Der Server lässt die halb offene Verbindung offen, bis er überschwemmt ist und nicht mehr auf legitime Anforderungen antworten kann.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK-Neuübertragungen bei Nichtbestätigung einer Verbindungsanforderung den Wert 3 Sekunden , halb offene Verbindungen nach 9 Sekunden beendet fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 0-0xFFFFFFFF. Die Standardkonfiguration ist 2.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden folgende Optionen angezeigt, die jeweils dem Wert 0, 1, 2 oder 3 entsprechen:

  • Keine Neuübertragung, halb offene Verbindungen nach 3 Sekunden beendet

  • 3 Sekunden, halb offene Verbindungen nach 9 Sekunden beendet

  • 3 und 6 Sekunden, halb offene Verbindungen nach 21 Sekunden beendet

  • 3, 6 und 9 Sekunden, halb offene Verbindungen nach 45 Sekunden beendet

  • Nicht definiert

Mögliche Auswirkung

Bei einem Wert größer als oder gleich 2 verwendet der Stapel einen internen Schutz vor SYN-Angriffen. Bei einem Wert kleiner als 2 liest der Stapel die Registrierungswerte für den Schutz vor SYN-Angriffen überhaupt nicht. Über diesen Eintrag wird die Standardzeit für die Bereinigung einer halb offenen TCP-Verbindung verringert. Wenn ein Standort schwerwiegenden Angriffen ausgesetzt ist, empfiehlt es u. U. den Wert 1 oder sogar den Wert 0 zu wählen. Wenn für diesen Parameter der Wert 0 festgelegt wird, werden SYN-ACKs allerdings überhaupt nicht zurückgesendet und nach 3 Sekunden beendet. Bei diesem Wert können autorisierte Verbindungsversuche über Remoteclients fehlschlagen.

TcpMaxDataRetransmissions: Erneutes Senden von nicht bestätigten Daten (empfohlen: 3, Standardwert: 5)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (TcpMaxDataRetransmissions) Erneutes Senden von nicht bestätigten Daten (empfohlen: 3 , Standardwert: 5) angezeigt. Durch diesem Eintrag wird die Anzahl der Versuche zur Übertragung einzelner Datensegmente vor einem Verbindungsabbruch festgelegt. Das Zeitlimit bis zur jeweils nächsten Neuübertragung wird mit jedem weiteren Verbindungsversuch verdoppelt. Der Wert für das Zeitlimit wird zurückgesetzt, nachdem die Verbindung hergestellt wurde. Der Standardwert für das Zeitlimit wird anhand der gemessenen RTT-Zeit der jeweiligen Verbindung ermittelt.

Sicherheitsanfälligkeit

Ein Benutzer kann in böswilliger Absicht die Ressourcen eines Zielcomputers überlasten, indem keine Bestätigungsmeldungen für die vom Zielcomputer übertragenen Daten gesendet werden.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (TcpMaxDataRetransmissions) Erneutes Senden von nicht bestätigten Daten (empfohlen: 3 , Standardwert: 5) den Wert 3 fest. Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 0 bis 0xFFFFFFFF. Die Standardkonfiguration ist 5.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors kann diese Einstellung über ein Texteingabefeld angepasst werden:

  • Benutzerdefinierte Zahl

  • Nicht definiert

Mögliche Auswirkung

TCP startet einen Zeitgeber für die Neuübertragung, wenn alle ausgehenden Segmente an das IP-Protokoll übergeben wurden. Wenn für die Daten in einem bestimmten Segment vor Ablauf des Zeitgebers keine Bestätigung empfangen wurde, wird das Segment bis zu drei Mal erneut gesendet.

Sonstige Registrierungseinträge

Die Registrierungseinträge in der folgenden Tabelle werden ebenfalls empfohlen. Zusätzliche Informationen zu jedem Eintrag (einschließlich der Position der jeweiligen Registrierungsschlüsseleinstellung) finden Sie in den Abschnitten unter der Tabelle.

Tabelle 10.2: TCP/IP-fremde und der Registrierung hinzugefügte Einträge unter Windows Server 2003

Registrierungseintrag

Format

Sicherster Wert (Dezimal)

MSS: (AutoAdminLogon) Automatische Anmeldung aktivieren (nicht empfohlen)

DWORD

Nicht definiert, außer bei hochsicheren Umgebungen, in denen 0 verwendet werden sollte.

MSS: (AutoReboot) Automatischen Neustart von Windows nach einem Systemabsturz zulassen (empfohlen mit Ausnahme von Hochsicherheitsumgebungen)

DWORD

Nicht definiert, außer bei hochsicheren Umgebungen, in denen 0 verwendet werden sollte.

MSS: (AutoShareWks) Verwaltungsfreigaben aktivieren (nicht empfohlen mit Ausnahme von Hochsicherheitsumgebungen)

DWORD

Nicht definiert, außer bei hochsicheren Umgebungen, in denen 1 verwendet werden sollte.

MSS: (DisableSavePassword) Speichern des DFÜ-Kennworts nicht zulassen (empfohlen)

DWORD

1

MSS: (Hidden) Computer aus der Suchliste ausblenden (nicht empfohlen mit Ausnahme von Hochsicherheitsumgebungen)

DWORD

Nicht definiert, außer bei hochsicheren Umgebungen, in denen 1 verwendet werden sollte.

MSS: (NoDefaultExempt) NoDefaultExempt für IPSec-Filterung aktivieren (empfohlen)

DWORD

1 für Computer unter Windows XP, 3 für Computer unter Windows Server 2003.

MSS: (NoDriveTypeAutoRun) Autorun für alle Laufwerke deaktivieren (empfohlen)

DWORD

0xFF

MSS: (NoNameReleaseOnDemand) NetBIOS-Namensfreigabeanforderungen nur von WINS-Servern zulassen (nur für Server empfohlen)

DWORD

1

MSS: (NtfsDisable8dot3NameCreation) Erstellen der Dateinamen im 8.3-Format deaktivieren (empfohlen)

DWORD

1

MSS: (SafeDllSearchMode) Sicheren DLL-Suchmodus aktivieren (empfohlen)

DWORD

1

MSS: (ScreenSaverGracePeriod) Zeitangabe in Sekunden vor Ablauf des Kulanzzeitraums für den Bildschirmschoner (empfohlen: 0)

Zeichenformat

0

MSS: (WarningLevel) Schwellenwert in % für das Sicherheitsereignisprotokoll zur Erstellung einer Warnmeldung

DWORD

0

Deaktivieren der automatischen Anmeldung: Automatische Anmeldung deaktivieren

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (AutoAdminLogon) Automatische Anmeldung aktivieren (nicht empfohlen) angezeigt. Durch diesen Eintrag wird festgelegt, ob die automatische Anmeldefunktion aktiviert ist. (Der Eintrag ist von der Begrüßungsbildschirmfunktion in Windows unabhängig. Die Deaktivierung der Funktion hat keine Auswirkungen auf den Eintrag.) Dieser Eintrag ist standardmäßig deaktiviert. Bei der automatischen Anmeldung werden die in der Registrierung gespeicherten Angaben zu Domäne, Benutzername und Kennwort verwendet, um Benutzer beim Starten des Computers am Computer anzumelden. Das Anmeldedialogfeld wird nicht angezeigt.

Zusätzliche Informationen finden Sie im Microsoft Knowledge Base-Artikel „Aktivieren der automatischen Anmeldung in Windows XP“ unter https://support.microsoft.com/default.aspx?kbid=315231.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\

hinzufügen.

Sicherheitsanfälligkeit

Wenn einen Computer für die automatische Anmeldung konfiguriert wird, kann jeder Benutzer, der physischen Zugriff auf den Computer erlangt hat, auf alle Computerdaten und -ressourcen zugreifen. Dazu zählen auch Netzwerke, mit denen der Computer verbunden ist. Darüber hinaus wird bei Aktivierung der automatischen Anmeldung das Kennwort als Klartext in der Registrierung gespeichert. Der entsprechende Registrierungsschlüssel, in dem diese Einstellung gespeichert wird, kann von der Gruppe Authentifizierte Benutzer von einem Remotestandort aus gelesen werden. Daher sollte dieser Eintrag nur konfiguriert werden, wenn der Computer physisch gesichert ist und nicht vertrauenswürdige Benutzer die Registrierung nicht von einem Remotestandort aus einsehen können.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (AutoAdminLogon) Automatische Anmeldung aktivieren (nicht empfohlen) keinen Wert fest, es sei denn, es handelt sich um hochsichere Computer, für die der Eintrag auf Deaktiviert gesetzt werden sollte.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 0 (deaktiviert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

Keine. Dieser Eintrag ist standardmäßig deaktiviert.

Konfigurieren des automatischen Neustarts nach einem Systemabsturz

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (AutoReboot) Automatischen Neustart von Windows nach einem Systemabsturz zulassen (empfohlen mit Ausnahme von Hochsicherheitsumgebungen) angezeigt. Hiermit wird festgelegt, ob nach einem Computerabsturz ein automatischer Neustart erfolgt.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\

hinzufügen.

Sicherheitsanfälligkeit

Es besteht die Gefahr, dass ein Computer in einer Endlosschleife mit unzähligen Abstürzen und Neustarts hängen bleibt. Die einzige Alternative zu diesem Eintrag, die möglicherweise nicht viel hilfreicher ist, besteht darin, den Computer einfach anzuhalten.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (AutoReboot) Automatischen Neustart von Windows nach einem Systemabsturz zulassen (empfohlen mit Ausnahme von Hochsicherheitsumgebungen) auf Deaktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 1 (aktiviert).

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „SO WIRD'S GEMACHT: Konfigurieren von Wiederherstellungstechniken unter Windows“ unter https://support.microsoft.com/?kbid=307973.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors sind folgende Optionen verfügbar:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

Nach einem Computerabsturz erfolgt kein automatischer Neustart.

Aktivieren von Verwaltungsfreigaben

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (AutoShareWks) Verwaltungsfreigaben aktivieren (nicht empfohlen mit Ausnahme von Hochsicherheitsumgebungen) angezeigt. Windows XP Professional erstellt standardmäßig automatische Verwaltungsfreigaben (z. B. C$ und IPC$).

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „Erstellen und Löschen versteckter oder administrativer Freigaben auf Clientcomputern“ unter https://support.microsoft.com/default.aspx?kbid=314984.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
Parameters\

hinzufügen.

Sicherheitsanfälligkeit

Da diese vordefinierten Verwaltungsfreigaben wohlbekannt und auf den meisten Windows-Computern vorhanden sind, sind sie oft Brute-Force-Angriffen zum Erraten von Kennwörtern sowie Angriffen anderer Art ausgesetzt.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (AutoShareWks) Verwaltungsfreigaben aktivieren (nicht empfohlen mit Ausnahme von Hochsicherheitsumgebungen) keinen Wert fest, es sei denn, es handelt sich um hochsichere Computer, für die der Eintrag auf Aktiviert gesetzt werden sollte.

Für diesen Registrierungseintrag sind folgende Werte möglich:

●    1 oder 0. Die Standardkonfiguration ist 1 (aktiviert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

●    Aktiviert

●    Deaktiviert

●    Nicht definiert

Mögliche Auswirkung

Wenn Sie diese Freigaben löschen, entstehen dadurch u. U. Probleme für Administratoren, Programme oder Dienste, die diese Freigaben benötigen. Verwaltungsfreigaben sind z. B. für die ordnungsgemäße Installation und Funktionsweise von Microsoft Systems Management Server (SMS) sowie Microsoft Operations Manager 2000 erforderlich. Außerdem sind Verwaltungsfreigaben für viele Netzwerksicherungsanwendungen von Drittanbietern erforderlich.

Deaktivieren des Speichervorgangs für DFÜ-Kennwörter

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (DisableSavePassword) Speichern des DFÜ-Kennworts nicht zulassen (empfohlen) angezeigt. Hiermit wird festgelegt, ob die mit Telefonbucheinträgen für Netzwerkverbindungen verknüpften Kennwörter gespeichert werden. Wenn der Benutzer über viele Telefonbucheinträge verfügt, können akkumulierte gespeicherte Kennwörter nach Eingabe der Benutzeranmeldeinformationen im Dialogfeld Verbindungsaufbau zu eine kurze Verzögerung verursachen.

Sie können diesen Registrierungswert der Vorlage unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\
Parameters\

hinzufügen.

Sicherheitsanfälligkeit

Ein Angreifer, der den Computer eines mobilen Benutzers stiehlt, kann die Verbindung mit dem Netzwerk der Organisation automatisch herstellen, wenn das Kontrollkästchen Dieses Kennwort speichern für den DFÜ-Eintrag aktiviert ist.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (DisableSavePassword) Speichern des DFÜ-Kennworts nicht zulassen (empfohlen) auf Deaktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 0 (deaktiviert).

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „Die Option "Kennwort speichern" im DFÜ-Netzwerk deaktivieren“ unter https://support.microsoft.com/default.aspx?kbid=172430.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors sind folgende Optionen verfügbar:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

Benutzer können ihre Anmeldeinformationen für DFÜ- und VPN-Verbindungen nicht automatisch speichern.

Ausblenden des Computers in den Suchlisten für Netzwerkumgebung: Computer in der Suchliste ausblenden

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (Ausgeblendet) Computer in der Suchliste ausblenden (nicht empfohlen mit Ausnahme von Hochsicherheitsumgebungen) angezeigt. Sie können einen Computer so konfigurieren, dass er den Browsern in der Domäne keine Ankündigungen sendet. In diesem Fall blenden Sie den Computer in der Suchliste aus, damit der Computer keine Ankündigungen an andere Computer im selben Netzwerk sendet.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „Verbergen eines Windows 2000-basierten Computers in einer Browserliste“ (in englischer Sprache) unter https://support.microsoft.com/kb/321710/en-us.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\
Parameters\

hinzufügen.

Sicherheitsanfälligkeit

Ein Angreifer, der den Namen des Computers kennt, kann leichter zusätzliche Informationen zum Computer sammeln. Bei Aktivierung dieses Eintrags wird eine Methode, mit der Angreifer Informationen zu Computern im Netzwerk sammeln können, eliminiert. Darüber hinaus kann bei Aktivierung dieses Eintrags der Netzwerkverkehr verringert werden. Hierbei handelt es sich jedoch nur um eine kleine Sicherheitsanfälligkeit, da Angreifer alternative Methoden zum Identifizieren und Auffinden von potenziellen Angriffszielen verwenden können.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (Ausgeblendet) Computer in der Suchliste ausblenden (nicht empfohlen mit Ausnahme von Hochsicherheitsumgebungen) keinen Wert fest, es sei denn, es handelt sich um hochsichere Computer, für die der Eintrag auf Aktiviert gesetzt werden sollte.

Für diesen Registrierungseintrag sind folgende Werte möglich:

●    1 oder 0. Die Standardkonfiguration ist 0 (deaktiviert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

●    Aktiviert

●    Deaktiviert

●    Nicht definiert

Mögliche Auswirkung

Der Computer wird nicht mehr in der Suchliste oder der Netzwerkumgebung auf anderen Computern im selben Netzwerk angezeigt.

Aktivieren von IPSec zum Schutz des Kerberos-RSVP-Verkehrs: NoDefaultExempt für IPSec-Filter aktivieren

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (NoDefaultExempt) NoDefaultExempt für IPSec-Filter aktivieren (empfohlen) angezeigt. Die Standardausnahmen zu IPSec-Richtlinienfiltern sind in der Onlinehilfe für Microsoft Windows Server 2003 und Microsoft Windows XP dokumentiert. Diese Filter ermöglichen die Funktion des gegenseitigen Schlüsselaustausches (Internet Key Exchange, IKE) und des Kerberos-Authentifizierungsprotokolls. Mit den Filtern kann das Netzwerk-QoS (Quality of Service) ausgegeben werden (RSVP), und zwar sowohl wenn der Datenverkehr durch IPSec gesichert wird als auch wenn dies nicht der Fall ist (z. B. bei Multicast- und Broadcastverkehr).

Weitere Informationen finden Sie im TechNet-Artikel „Festlegen von Standardausnahmen für IPSec-Filter“ (in englischer Sprache) unter https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/c9a7d986-5b9a-4e01-bb80-82d5e3a87d5c.mspx. Zusätzliche Informationen finden Sie auch im Microsoft Knowledge Base-Artikel „IPSec-Standardausnahmen können in einigen Szenarios zum Überwinden des IPSec-Schutzes verwendet werden“ (in englischer Sprache) unter https://support.microsoft.com/kb/811832/en-us.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\

hinzufügen.

Sicherheitsanfälligkeit

IPSec wird zunehmend für die grundlegende Hostfirewall-Paketfilterung verwendet, insbesondere in Szenarien mit einer Gefährdung durch Internetverbindungen. Die Auswirkungen dieser Standardausnahmen werden jedoch nicht immer richtig verstanden. Einige IPSec-Administratoren erstellen u. U. vermeintlich sichere IPSec-Richtlinien, die jedoch nicht vor eingehenden Angriffen schützen, bei denen die Standardausnahmen verwendet werden. Angreifer können gefälschten Netzwerkverkehr erzeugen, der aus legitimen IKE-, RSVP- oder Kerberos-Protokollpaketen zu bestehen scheint, und diese Protokollpakete dann an andere Netzwerkdienste auf dem Host senden.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (NoDefaultExempt) NoDefaultExempt für IPSec-Filter aktivieren (empfohlen) keinen Wert fest, es sei denn, es handelt sich um Computer mit IPSec-Filtern, für die der Eintrag auf Aktiviert gesetzt werden sollte.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • Durch den Wert 0 wird festgelegt, dass Multicast- und Broadcast-, RSVP-, Kerberos- und IKE (ISAKMP)-Datenverkehr von der IPSec-Filterung ausgenommen werden. Dies ist die Standardkonfiguration für Windows 2000 und Windows XP. Verwenden Sie diese Einstellung nur, wenn Kompatibilität mit einer bereits für Windows 2000 und Windows XP vorhandenen IPSec-Richtlinie gewährleistet sein muss.

  • Durch den Wert 1 wird festgelegt, dass Multicast-, Broadcast- und IKE-Datenverkehr von der IPSec-Filterung ausgenommen, Kerberos-Protokoll- und RSVP-Datenverkehr jedoch nicht ausgenommen werden. Diese Einstellung ist der empfohlene Wert für Windows 2000 und Windows XP.

  • Durch den Wert 1 wird festgelegt, dass RSVP-, Kerberos- und IKE-Datenverkehr von der IPSec-Filterung ausgenommen, Multicast- und Broadcastverkehr jedoch nicht ausgenommen werden. Diese Einstellung wird nur unter Windows Server 2003 unterstützt.

  • Durch den Wert 3 wird festgelegt, dass nur IKE-Datenverkehr von der IPSec-Filterung ausgenommen wird. Die Einstellung wird nur unter Windows Server 2003 unterstützt. Windows Server 2003 verfügt über dieses Standardverhalten, obwohl der Registrierungsschlüssel nicht standardmäßig vorhanden ist.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • 0

  • 1

  • 2

  • 3

Mögliche Auswirkung

Nach Aktivierung dieses Eintrags müssen bereits vorhandene Sicherheitsrichtlinien u. U. geändert werden, um ordnungsgemäß zu funktionieren. Ausführliche Informationen finden Sie im Microsoft Knowledge Base-Artikel „IPSec-Standardausnahmen können in einigen Szenarios zum Überwinden des IPSec-Schutzes verwendet werden“ (in englischer Sprache) unter https://support.microsoft.com/kb/811832/en-us (siehe weiter oben in diesem Abschnitt).

Deaktivieren von Autorun: Autorun für alle Laufwerke deaktivieren

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (NoDriveTypeAutoRun) Autorun für alle Laufwerke deaktivieren (empfohlen) angezeigt. Bei Aktivierung von Autorun werden Daten unmittelbar nach dem Einlegen von Medien in ein Laufwerk gelesen. Daher werden die Setupdatei von Programmen und die Wiedergabe von Audiomedien sofort gestartet.

Um Autorun für alle Laufwerke zu deaktivieren, können Sie diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\

hinzufügen.

Um Autorun nur für CD-/DVD-Laufwerke zu deaktivieren, können Sie diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\

hinzufügen.

Sicherheitsanfälligkeit

Über die Gruppenrichtlinie wird Autorun für alle Laufwerke deaktiviert. Dadurch wird verhindert, dass beim Einlegen von Medien ein schädliches Programm ausgeführt wird.

Ein Angreifer mit physischem Zugriff auf einen Computer kann u. U. eine DVD oder CD mit aktivierter Autorun-Funktion einlegen, damit der Computer automatisch ein schädliches Programm startet.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (NoDriveTypeAutoRun) Autorun für alle Laufwerke deaktivieren (empfohlen) den Wert 255 , Autorun für alle Laufwerke deaktivieren fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • Hexadezimaler Wertebereich

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „Nach dem Einlegen einer CD-ROM funktioniert AutoRun- oder AutoPlay-Funktion nicht“ unter https://support.microsoft.com/default.aspx?kbid=330135.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors sind folgende Optionen verfügbar:

  • Null, Autorun aktivieren

  • 255, Autorun für alle Laufwerke deaktivieren

  • Nicht definiert

Mögliche Auswirkung

Die Autorun-Funktion wird beim Einlegen von CDs oder DVDs mit Autorun-Funktion nicht mehr ausgeführt. Darüber hinaus funktionieren Programme zum Brennen von CDs möglicherweise nicht ordnungsgemäß, da leere CDs nicht erkannt werden können. Medienanwendungen (z. B. Windows Media Player) können neu eingelegte CDs oder DVDs nicht erkennen. Benutzer müssen diese Medien deshalb manuell starten.

Konfigurieren der NetBIOS-Namensfreigabesicherheit: (NoNameReleaseOnDemand) NetBIOS-Namensfreigabeanforderungen nur von WINS-Servern zulassen

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (NoNameReleaseOnDemand) NetBIOS-Namensfreigabeanforderungen nur von WINS-Servern zulassen (nur für Server empfohlen) angezeigt. „NetBIOS über TCP/IP“ (NetBT) ist ein Netzwerkprotokoll, das u. a. eine Möglichkeit zur einfachen Auflösung der NetBIOS-Namen bietet, die auf Windows-basierten Computern für die auf diesen Computern konfigurierten IP-Adressen registriert sind. Durch diesen Wert wird festgelegt, ob der NetBIOS-Name des Computers beim Empfang einer Namensfreigabeanforderung freigegeben wird.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\

hinzufügen.

Sicherheitsanfälligkeit

Das NetBT-Protokoll verwendet keine Authentifizierung und ist deshalb anfällig für Spoofing-Angriffe. Beim Spoofing wird bei einer Übertragung ein anderer Benutzer als Sender angezeigt, als der Benutzer, der die Übertragung tatsächlich ausgeführt hat. Ein Angreifer kann die fehlende Authentifizierung dazu nutzen, ein Namenskonflikt-Datagramm an einen Zielcomputer zu senden, was dazu führt, dass der Computer seinen Namen aufgibt und nicht mehr auf Abfragen reagiert.

Solche Angriffe können wiederholt auftretende Verbindungsfehler auf dem Zielcomputer verursachen oder sogar die Verwendung der Netzwerkumgebung, der Domänenanmeldung, des NET SEND-Befehls oder der zusätzlichen NetBIOS-Namensauflösung stören.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „MS00-047: NetBIOS-Anfälligkeit kann zu Namenskonflikten führen“ unter https://support.microsoft.com/default.aspx?kbid=269239.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (NoNameReleaseOnDemand) NetBIOS-Namensfreigabeanforderungen nur von WINS-Servern zulassen (nur für Server empfohlen) auf Aktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 1 (aktiviert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Wahlweise können Sie auch die Verwendung von WINS in der Umgebung deaktivieren und dafür sorgen, dass in allen Anwendungen DNS für die Namensauflösungsdienste verwendet wird. Hierbei handelt es sich um eine empfohlene langfristige Sicherheitsmaßnahme, die in den meisten Organisationen nicht als kurzfristige Lösung eingesetzt werden kann. In Organisationen, in denen weiterhin WINS ausgeführt wird, liegen normalerweise Anwendungsabhängigkeiten vor, die nur durch entsprechende Aktualisierungen und neue Softwareversionen behoben werden können, die jedoch einer sorgfältigen Planung und eines erheblichen Zeitaufwands bedürfen.

Wenn diese Gegenmaßnahme nicht umgesetzt werden kann, die NetBIOS-Namensauflösung jedoch gewährleistet werden soll, besteht bei bestimmten Computern die Möglichkeit, NetBIOS-Namen im Voraus in die LMHOSTS-Datei zu laden. Weitere Informationen zum Ladevorgang für die LMHOSTS-Datei finden Sie im Microsoft Knowledge Base-Artikel „MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts“ (siehe weiter oben in diesem Abschnitt).

Hinweis: Die Verwaltung von LMHOSTS-Dateien ist mit einem erheblichen Arbeitsaufwand verbunden. Die Verwendung von WINS ist daher der Verwendung der Datei LMHOSTS vorzuziehen.

Mögliche Auswirkung

Angreifer können über das Netzwerk eine Anforderung an den Computer zur Freigabe des NetBIOS-Namens senden. Wie bei allen Änderungen mit möglichen Auswirkungen auf Anwendungen wird empfohlen, diese Änderungen zuerst in einer Testumgebung und dann in der Produktionsumgebung vorzunehmen.

Deaktivieren der automatischen Generierung von 8.3-Dateinamen: Erstellen der Dateinamen im 8.3-Format deaktivieren

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (NtfsDisable8dot3NameCreation) Erstellen der Dateinamen im 8.3-Format deaktivieren (empfohlen) angezeigt. Windows Server 2003 unterstützt 8.3-Dateinamensformate zur Gewährleistung der Abwärtskompatibilität mit 16-Bit-Anwendungen. (Bei der 8.3-Dateinamenskonvention handelt es sich um ein Namensformat, bei dem Dateinamen mit maximal acht Zeichen zulässig sind.)

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\

hinzufügen.

Sicherheitsanfälligkeit

Wenn Sie Dateinamen im 8.3-Format zulassen, kann ein Angreifer durch Eingabe von nur 8 Zeichen auf Dateien verweisen, die z. B. 20 Zeichen lang sind. Auf eine Datei mit einem Namen wie z. B. DasisteinlangerDateiname.doc kann mit dem 8.3-Dateinamen Dasist~1.doc verwiesen werden. Wenn Sie keine 16-Bit-Anwendungen verwenden, kann diese Funktion deaktiviert werden. Bei Deaktivierung der Kurznamenerstellung für die Partition eines NTFS-Dateisystems wird darüber hinaus die Leistung der Verzeichnisauflistung erhöht.

Angreifer können mithilfe der kurzen Dateinamen möglicherweise auf Datendateien und -anwendungen mit langen Dateinamen zugreifen, die anderenfalls schwer zu finden sind. Ein Angreifer, dem es bereits gelungen ist, auf das Dateisystem zuzugreifen, ist anschließend in der Lage, auf Daten zuzugreifen oder Anwendungen auszuführen.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (NtfsDisable8dot3NameCreation) Erstellen der Dateinamen im 8.3-Format deaktivieren (empfohlen) auf Aktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 0 (deaktiviert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

In den 16-Bit-Anwendungen einer Organisation kann nicht auf Dateien zugegriffen werden, deren Namen kein 8.3-Format aufweisen. Einige 32-Bit-Anwendungen erfordern die Verwendung von Kurznamen, da diese in der Regel keine eingebetteten Leerzeichen enthalten und daher ohne Anführungszeichen in Befehlszeilen verwendet werden können. Die Installationsroutinen für einige Programme können fehlschlagen. Bei Programmen, die für die Ausführung auf verschiedenen CPU-Architekturen bestimmt sind, handelt es wahrscheinlich um 16-Bit-Anwendungen. Bei Aktivierung dieses Eintrags kann Exchange 2000 SP2 nicht installiert werden. Außerdem ist die Installation von Service Packs für SQL 2000 nicht möglich, wenn dieser Eintrag aktiviert ist und der Pfad für die Systemvariable %temp% ein Leerzeichen enthält. Eine einfache Problemumgehung stellt die Neudefinition der Pfadvariable ohne Leerzeichen dar (z. B. C:\temp).

Hinweis: Wenn dieser Eintrag auf einen Server angewendet wird, auf dem bereits Dateien mit automatisch erstellten 8.3-Dateinamen vorhanden sind, werden diese Dateinamen nicht gelöscht. Kopieren Sie zum Entfernen der vorhandenen 8.3-Dateinamen die entsprechenden Dateien in einen anderen Speicherort, löschen Sie die Dateien im ursprünglichen Speicherort auf dem Server, und kopieren Sie die Dateien anschließend wieder an den ursprünglichen Speicherort.

Aktivieren der sicheren DLL-Suchreihenfolge: Sicheren DLL-Suchmodus aktivieren (empfohlen)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (SafeDllSearchMode) Sicheren DLL-Suchmodus aktivieren (empfohlen) angezeigt. Zum Konfigurieren der DLL-Suchreihenfolge (Dynamic Link Library) für die Suche nach angeforderten DLLs stehen zwei Verfahren zur Auswahl:

Wenn für „SafeDllSearchMode“ der Wert 1 festgelegt wurde, ergibt sich folgende Suchreihenfolge:

  • Verzeichnis, von dem die Anwendung geladen wurde.

  • Systemverzeichnis.

  • 16-Bit-Systemverzeichnis. Die Funktion zum Abrufen des Pfads für dieses Verzeichnis ist nicht vorhanden. Es wird jedoch danach gesucht.

  • Windows-Verzeichnis.

  • Aktuelles Verzeichnis.

  • Verzeichnisse, die in der Umgebungsvariable PATH aufgeführt sind.

Wenn für „SafeDllSearchMode“ der Wert 0 festgelegt wurde, ergibt sich folgende Suchreihenfolge:

  • Verzeichnis, von dem die Anwendung geladen wurde.

  • Aktuelles Verzeichnis.

  • Systemverzeichnis.

  • 16-Bit-Systemverzeichnis. Die Funktion zum Abrufen des Pfads für dieses Verzeichnis ist nicht vorhanden. Es wird jedoch danach gesucht.

  • Windows-Verzeichnis.

  • Verzeichnisse, die in der Umgebungsvariable PATH aufgeführt sind.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\

hinzufügen.

Sicherheitsanfälligkeit

Wenn ein Benutzer unwissentlich schädlichen Programmcode ausführt, der zusätzliche Dateien mit geänderten Versionen von System-DLLs enthält, können durch den schädlichen Programmcode diese DLL-Versionen geladen werden. Dadurch werden Art und Ausmaß des durch den Code verursachten Schadens möglicherweise noch vergrößert.

Gegenmaßnahme

Setzen Sie den Eintrag MSS: (SafeDllSearchMode) Sicheren DLL-Suchmodus aktivieren (empfohlen) auf Aktiviert.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 1 oder 0. Die Standardkonfiguration ist 0 für Windows XP und 1 für Windows Server 2003.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors werden die Optionen folgendermaßen angezeigt:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Mögliche Auswirkung

In den Anwendungen wird erzwungen, dass zuerst im Systempfad nach DLLs gesucht wird. Bei Anwendungen, für die spezielle, in der jeweiligen Anwendung enthaltene DLL-Versionen erforderlich sind, werden durch diesen Eintrag u. U. Leistungs- oder Stabilitätsprobleme verursacht.

Sofortige Anwendung des Bildschirmschoner-Kennwortschutzes: Zeitangabe in Sekunden vor Ablauf des Kulanzzeitraums für den Bildschirmschoner (empfohlen: 0)

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (ScreenSaverGracePeriod) Zeitangabe in Sekunden vor Ablauf des Kulanzzeitraums für den Bildschirmschoner (empfohlen: 0) angezeigt. Windows enthält einen Kulanzzeitraum zwischen dem Start des Bildschirmschoners und der tatsächlichen automatischen Sperrung der Konsole, wenn die Bildschirmschonersperre aktiviert ist.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\

hinzufügen.

Sicherheitsanfälligkeit

Der Standardkulanzzeitraum vor Aktivierung der Bildschirmschonersperre beträgt 5 Sekunden. Während dieses Standardkulanzzeitraums ist der Computer anfällig für potenzielle Angriffe durch Benutzer, die an die Konsole herantreten und sich vor Aktivierung der Sperre am Computer anmelden. Über einen Registrierungseintrag kann der Kulanzzeitraum entsprechend geändert werden.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (ScreenSaverGracePeriod) Zeitangabe in Sekunden vor Ablauf des Kulanzzeitraums für den Bildschirmschoner (empfohlen: 0) den Wert 0 fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 0 bis 255. Der Standardwert ist 5 Sekunden.

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors wird der Wert für diesen Eintrag in einem Texteingabefeld angezeigt:

  • Benutzerdefinierte Zahl

  • Nicht definiert

Mögliche Auswirkung

Benutzer müssen ihr Kennwort eingeben, wenn der Bildschirmschoner aktiviert ist und die Konsolensitzung fortgesetzt werden soll.

Speicherplatzwarnung für das Sicherheitsprotokoll: Schwellenwert in % für das Sicherheitsereignisprotokoll zur Erstellung einer Warnmeldung

Dieser Eintrag wird im Sicherheitskonfigurations-Editor als MSS: (WarningLevel) Schwellenwert in % für das Sicherheitsereignisprotokoll zur Erstellung einer Warnmeldung angezeigt. Windows Server 2003 und Service Pack 3 für Windows 2000 enthalten eine neue Funktion zum Erstellen einer Sicherheitswarnmeldung im Sicherheitsereignisprotokoll beim Überschreiten eines benutzerdefinierten Schwellenwerts. Wenn dieser Wert z. B. auf 90 gesetzt ist, wird im Protokoll ein Ereigniseintrag mit der Ereignis-ID 523 erstellt, sobald das Sicherheitsprotokoll zu 90 % voll ist. Dieser Eintrag enthält den folgenden Text:

Das Sicherheitsprotokoll ist jetzt 90 % voll.

Hinweis: Diese Einstellung hat keine Auswirkungen, wenn das Sicherheitsereignisprotokoll so konfiguriert ist, dass Ereignisse bei Bedarf überschrieben werden.

Sie können diesen Registrierungswert der Vorlagendatei unter dem Unterschlüssel

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\

hinzufügen.

Sicherheitsanfälligkeit

Wenn der Schwellenwert des Sicherheitsprotokolls von 90 % erreicht ist und der Computer nicht so konfiguriert wurde, dass Ereignisse bei Bedarf überschrieben werden, werden neue Ereignisse nicht im Protokoll erfasst. Wenn der Schwellenwert des Protokolls erreicht ist und der Computer so konfiguriert wurde, dass er heruntergefahren wird, wenn im Sicherheitsprotokoll keine Ereignisse mehr erfasst werden können, wird er heruntergefahren und steht nicht mehr für Netzwerkdienste zur Verfügung.

Gegenmaßnahme

Legen Sie für den Eintrag MSS: (WarningLevel) Schwellenwert in % für das Sicherheitsereignisprotokoll zur Erstellung einer Warnmeldung den Wert 90 fest.

Für diesen Registrierungseintrag sind folgende Werte möglich:

  • 0 bis 100. Die Standardkonfiguration ist 0 (kein Warnereignis wird generiert).

In der Benutzeroberfläche des Sicherheitskonfigurations-Editors sind folgende Optionen verfügbar:

  • 50 %

  • 60 %

  • 70 %

  • 80 %

  • 90 %

  • Nicht definiert

Mögliche Auswirkung

Bei dieser Einstellung wird eine Sicherheitswarnmeldung erstellt, wenn im Sicherheitsprotokoll der Schwellenwert von 90 % erreicht wird. Wenn das Protokoll allerdings so konfiguriert ist, dass Ereignisse bei Bedarf überschrieben werden, wird kein Sicherheitsereignis ausgelöst.

Unter Windows XP mit SP2 und Windows Server 2003 mit SP1 verfügbare Registrierungseinträge

Die zuvor in diesem Kapitel erläuterten Registrierungseinträge gelten für Microsoft Windows XP mit SP1 und Windows Server 2003.

In Windows XP SP2 und Windows Server 2003 SP1 sind zusätzliche sicherheitsbezogene Registrierungseinträge verfügbar, mit denen bestimmten Sicherheitsanforderungen in Ihrer Umgebung entsprochen werden kann.

Die folgenden Registrierungseinträge sind sowohl unter Windows XP mit SP2 als auch unter Windows Server 2003 mit SP1 verfügbar.

RestrictRemoteClients

Wenn eine Schnittstelle über RpcServerRegisterIf registriert wird, ermöglicht RPC der Serveranwendung, den Zugriff auf die Schnittstelle (normalerweise durch einen Sicherheitsrückruf) einzuschränken. Der Registrierungsschlüssel RestrictRemoteClients erzwingt, dass RPC zusätzliche Sicherheitsüberprüfungen für alle Schnittstellen durchführt, auch wenn für die Schnittstelle kein Sicherheitsrückruf registriert ist. RPC-Clients, die die Named Pipe-Protokollsequenz (ncacn_np) verwenden, sind von diesen Einschränkungen ausgenommen. Die Named Pipe-Protokollsequenz kann aufgrund von mehreren schwerwiegenden Abwärtskompatibilitätsproblemen nicht eingeschränkt werden.

Für den Registrierungsschlüssel RestrictRemoteClients stehen die folgenden drei DWORD-Werte zur Verfügung:

  • 0. Dies ist der Standardwert unter Windows Server 2003 mit SP1. Hiermit wird der Computer veranlasst, die RPC-Schnittstelleneinschränkung zu umgehen. Die Serveranwendung trägt die alleinige Verantwortung für die Umsetzung von geeigneten RPC-Einschränkungen. Diese Konfiguration entspricht der Konfiguration früherer Windows-Versionen.

  • 1. Dies ist der Standardwert unter Windows XP mit SP2. Alle anonymen Remoteaufrufe mit Ausnahme von Aufrufen, die über Named Pipes (ncacn_np) eingehen, werden durch die RPC-Laufzeit abgelehnt.

  • 2. Alle anonymen Remoteaufrufe werden (ausnahmslos) durch die RPC-Laufzeit abgelehnt. Bei dieser Konfiguration kann ein Computer keine anonymen Remoteaufrufe über RPC empfangen.

Entwickler können Anwendungen so anpassen, dass Flags an das RPC-Subsystem übergeben werden. Durch die Flags wird angegeben, ob der Client oder Server anonyme RPC-Anforderungen akzeptieren kann.

Sicherheitsanfälligkeit

RPC-Schnittstellen, die nicht authentifizierte Verbindungen zulassen, können bei potenziellen Pufferüberläufen zur Remoteverbreitung von schädlichem Code ausgenutzt werden.

Gegenmaßnahme

Die Standardkonfiguration für RestrictRemoteClients unter Windows Server 2003 mit SP1 und Windows XP mit SP2 ermöglicht die Abwärtskompatibilität. Legen Sie für RestrictRemoteClients den Wert 1 oder 2 fest, um zusätzlichen Schutz vor Würmern zu erzielen, die über eine Remoteverbindung Pufferüberläufe bei RPC-Diensten ausnutzen.

Mögliche Auswirkung

Bei Aktivierung des Registrierungsschlüssels RestrictRemoteClients kann nicht anonym auf die Schnittstelle für die RPC-Endpunktzuordnung zugegriffen werden. Diese Einschränkung stellt eine erhebliche Sicherheitsverbesserung dar, ist jedoch auch mit Änderungen in Bezug auf die Auflösung der Endpunkte verbunden. Wenn ein RPC-Client derzeit einen Aufruf über einen dynamischen Endpunkt durchführt, fragt der Client zunächst die RPC-Endpunktzuordnung auf dem Server ab, um festzustellen, mit welchem Endpunkt die Verbindung hergestellt werden soll. Diese Abfrage wird anonym durchgeführt, auch wenn RPC-Sicherheit beim RPC-Clientaufruf verwendet wird. Anonyme Aufrufe an die Schnittstelle für die RPC-Endpunktzuordnung können unter Windows Server 2003 mit SP1 nicht ausgeführt werden, wenn für RestrictRemoteClients der Wert 1 oder ein höherer Wert festgelegt ist. Daher muss die Laufzeit des RPC-Clients geändert werden, damit eine authentifizierte Abfrage für die Endpunktzuordnung durchgeführt wird. Wenn der Schlüssel EnableAuthEpResolution festgelegt ist, wird die Laufzeit des RPC-Clients über NTLM bei der Endpunktzuordnung authentifiziert. Diese authentifizierte Abfrage erfolgt nur, wenn beim eigentlichen RPC-Clientaufruf RPC-Authentifizierung verwendet wird.

Einige Anwendungen und Dienste werden möglicherweise nicht ordnungsgemäß ausgeführt, wenn dieser Schlüssel aktiviert ist. Daher sollte er vor Bereitstellung in Ihrer Umgebung gründlich getestet werden. Wenn die Aktivierung dieses Schlüssels vorgesehen ist, sollten Sie auch den Schlüssel EnableAuthEpResolution verwenden, um die Authentifizierung für die RPC-Endpunktzuordnung zu aktivieren.

EnableAuthEpResolution

Anonyme Aufrufe an die Schnittstelle für die RPC-Endpunktzuordnung können aufgrund des Standardwerts für den neuen Schlüssel RestrictRemoteClients standardmäßig nicht unter Windows XP mit SP2 ausgeführt werden. Daher muss die Laufzeit des RPC-Clients geändert werden, damit eine authentifizierte Abfrage für die Endpunktzuordnung durchgeführt wird. Legen Sie hierzu für den Schlüssel EnableAuthEpResolution den Wert 1 fest. Bei dieser Konfiguration wird die Laufzeit des RPC-Clients über NTLM bei der Endpunktzuordnung authentifiziert. Diese authentifizierte Abfrage erfolgt nur, wenn beim eigentlichen RPC-Clientaufruf RPC-Authentifizierung verwendet wird.

Sicherheitsanfälligkeit

RPC-Schnittstellen, die nicht authentifizierte Verbindungen zulassen, können bei potenziellen Pufferüberläufen zur Remoteverbreitung von schädlichem Code ausgenutzt werden.

Gegenmaßnahme

Für zusätzlichen Schutz vor Würmern, die über eine Remoteverbindung Pufferüberläufe bei RPC-Diensten ausnutzen, konfigurieren Sie RestrictRemoteClients so wie im vorherigen Abschnitt beschrieben, und verwenden Sie dann EnableAuthEpResolution zur Aktivierung der NTLM-Authentifizierung für RPC-Computeranforderungen.

Mögliche Auswirkung

Clients, die den Schlüssel EnableAuthEpResolution nicht verwenden, können keine RPC-Dienstanforderungen an Server senden, bei denen der Schlüssel RestrictRemoteClients aktiviert ist. Bei RPC-basierten Diensten kann diese Einschränkung bewirken, dass die Dienste nicht mehr ausgeführt werden.

RunInvalidSignatures

Unter Windows Server 2003 mit SP1 und Windows XP mit SP2 wird die Installation von signierten Codeobjekten, die über eine ungültige Signatur verfügen, standardmäßig verhindert. Diese Signaturen können ungültig sein, weil der Code geändert wurde oder weil das Signaturzertifikat abgelaufen oder auf einer Zertifikatsperrliste (CRL, Certificate Revocation List) aufgeführt ist. In Internet Explorer 6.0 wird die Installation von signiertem Code mit ungültigen Signaturen bereits blockiert. Durch das Service Pack steht dieses Verhalten nun für alle Anwendungen zur Verfügung.

Sicherheitsanfälligkeit

Ein signiertes Microsoft ActiveX®-Steuerelement, das manipuliert wurde, könnte von einer Anwendung heruntergeladen und ausgeführt werden, wodurch der das Steuerelement ausführende Computer beeinträchtigt werden kann.

Gegenmaßnahme

Wenn Sie für RunInvalidSignatures den Standardwert festlegen, wird diese Sicherheitsanfälligkeit behoben.

Mögliche Auswirkung

Anwendungen, die legitime signierte Steuerelemente erfordern, funktionieren nicht, wenn die Signaturen der Steuerelemente aus irgendwelchen Gründen ungültig sind. Bei einer Anwendung mit einer anscheinend ungültigen Signatur können Sie die Konfiguration dieses Schlüssels ändern, damit das Steuerelement heruntergeladen und ausgeführt werden kann. Dadurch entsteht jedoch eine Sicherheitsanfälligkeit. Es ist besser, wenn Sie sich an die Entwickler des in der Anwendung verwendeten Steuerelements wenden, um eine Version mit einer gültigen Signatur zu erhalten.

Unter Windows XP mit SP2 verfügbare Registrierungseinträge

Die folgenden Registrierungseinträge sind nur unter Windows XP mit SP2 verfügbar.

Security Center-Registrierungseinträge für XP

Es stehen drei Security Center-Registrierungswerte zur Verfügung. Durch diese Werte wird festgelegt, ob in Bezug auf eine bestimmte Funktion Warnmeldungen für den Benutzer angezeigt werden. Wenn ein Schlüssel über den Wert 0 verfügt oder nicht vorhanden ist, sind das Benachrichtigungssymbol und das Warnsystem für diese Funktion aktiviert. Wenn ein anderer Wert als 0 vorhanden ist, sind das Benachrichtigungssymbol und das Warnsystem für die Funktion deaktiviert.

Alle drei Werte befinden sich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center. Bei den Werten handelt es sich um:

  • AntiVirusDisableNotify

  • FirewallDisableNotify

  • UpdatesDisableNotify

Sicherheitsanfälligkeit

Benutzer, die die Warnfunktionen des Security Centers deaktivieren, erhalten möglicherweise keine entsprechenden Warnmeldungen, wenn die auf ihren Computern installierten Antivirus- oder Firewalldienste oder der Dienst „Automatische Updates“ aus irgendwelchen Gründen nicht ordnungsgemäß funktionieren.

Gegenmaßnahme

Wenden Sie einen Gruppenrichtlinien-Registrierungseintrag an, um die entsprechende Konfiguration für Warnmeldungen zu erzwingen.

Mögliche Auswirkung

Diese Registrierungswerte werden in der Benutzeroberfläche des Security Centers angezeigt, wenn die Security Center-Funktion aktiviert ist. Benutzer mit lokalem Administratorzugriff können die Werte im Security Center ändern.

StorageDevicePolicies\WriteProtect

Benutzer können standardmäßig USB-Blockspeichergeräte auf ihren Windows XP-Computern bereitstellen. Medien in diesen Geräten können ohne Einschränkungen gelesen oder beschrieben werden. Unter SP2 können Administratoren nun die Verwendung von USB-Blockspeichergeräten zum Beschreiben von Medien einschränken.

Um den Schreibzugriff auf Medien in diesen Geräten für Benutzer einzuschränken, können Sie unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies den DWORD-Wert WriteProtect hinzufügen und auf 1 setzen. Bei Konfiguration dieses Werts werden Schreibanforderungen an bereitgestellte USB-Blockspeichergeräte vom Windows-Treiber für USB-Blockspeichergeräte abgelehnt.

Sicherheitsanfälligkeit

Ein Angreifer kann Daten stehlen, indem diese mit einem austauschbaren USB-Gerät kopiert werden.

Gegenmaßnahme

Wenn für WriteProtect der Wert 1 festgelegt ist, blockiert Windows XP mit SP2 alle Schreibvorgänge auf USB-Blockspeichergeräten.

Mögliche Auswirkung

Dieser Registrierungsschlüssel bietet einen teilweisen Schutz vor ernsthaften Bedrohungen. Einem erfahrenen Angreifer stehen jedoch noch viele andere Möglichkeiten zur Verfügung, um Daten mit einem USB-Gerät zu stehlen. Zur Umgehung dieser Sicherheitsmaßnahme kann ein USB-Gerät z. B. so programmiert werden, dass es nicht als Blockspeichergerät, sondern beispielsweise als Drucker oder CD-ROM-Gerät aufgelistet wird. In Organisationen, in denen verhindert werden soll, dass Benutzer oder Angreifer vertrauliche Daten können, kann dieser Eintrag in Verbindung mit Maßnahmen zur Steuerung des physischen Zugriffs sowie weiteren Maßnahmen zur Einschränkung des Zugriffs auf USB-Geräte mit beschreibbaren Medien als Teil einer umfassenden Sicherheitsstrategie verwendet werden.

Unter Windows Server 2003 mit SP1 verfügbare Registrierungseinträge

Die folgenden Registrierungseinträge sind nur unter Windows Server 2003 mit SP1 verfügbar.

UseBasicAuth

DAV (Distributed Authoring and Versioning) ist ein HTTP-basiertes Protokoll, das den Remotezugriff auf Dateisysteme und Dateiserver ermöglicht. Benutzer können über UNC-Pfade auf Ressourcen auf DAV-Servern zugreifen. Der WebDAV-Redirector unter Windows Server 2003 kommuniziert jedoch mit Webservern, die DAV über HTTP unterstützen, und kann keine SSL-geschützten Sitzungen verwenden. Wenn bei diesen Websites die Standardauthentifizierung verwendet werden kann, werden bei DAV-Anforderungen die Anmeldeinformationen zur Authentifizierung des Benutzers als Klartext übertragen.

Unter Windows Server 2003 mit SP1 wurde der WebDAV-Redirector so geändert, dass Benutzeranmeldeinformationen nie mit Standardauthentifizierung gesendet werden. Diese Änderung kann Anwendungen oder Geschäftsprozesse beeinträchtigen, für die der Standard-DAV-Redirector des Computers erforderlich ist. (Microsoft Office verwendet einen eigenen unabhängigen DAV-Client und bleibt deshalb von diesem Eintrag unbeeinflusst.)

Unter Windows Server 2003 SP1 wurde der Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\
Parameters\UseBasicAuth eingeführt. Wenn Sie hierfür den Wert 1 festlegen, kann der WebDAV-Redirector des Computers mit Webservern kommunizieren, die nur die Standardauthentifizierung unterstützen.

Sicherheitsanfälligkeit

Angreifer könnten einen Webserver mit Standardauthentifizierung einrichten und anschließend Benutzer dazu verleiten, eine Verbindung zu diesem Server herzustellen, um deren Anmeldeinformationen zu erhalten.

Gegenmaßnahme

Standardmäßig verwendet der WebDAV-Redirector unter Windows Server 2003 keine Standardauthentifizierung. Die Sicherheitsanfälligkeit wird dadurch behoben.

Mögliche Auswirkung

Anwendungen, die über den integrierten WebDAV-Redirector auf Webressourcen zugreifen, schlagen fehl, wenn der Webserver nur die Standardauthentifizierung unterstützt. Dieses Problem kann auf zwei Arten gelöst werden: Sie können den Webserver so konfigurieren, dass sicherere Authentifizierungsmethoden unterstützt werden, oder Sie können UseBasicAuth aktivieren. Die bessere Lösung ist jedoch, den Webserver so zu konfigurieren, dass die Anmeldeinformationen des Benutzers nicht offen gelegt werden.

DisableBasicOverClearChannel

Der WebDAV-Redirector ist Teil des Remote-Dateisystemstapels. Beim Versuch der Benutzer, URLs auf Remotecomputern zu öffnen, werden u. U. die Anmeldeinformationen der Benutzer offen gelegt, wenn der Remoteserver nur die Standardauthentifizierung unterstützt. Ein Angreifer kann einen Benutzer durch Spoofing zu einer Website führen, die (über DAV) Anmeldeinformationen anfordert und die Standardauthentifizierung verwendet. Falls der Benutzer antwortet, werden die Anmeldeinformationen gegenüber dem schädlichen Host offen gelegt.

Durch den Registrierungseintrag UseBasicAuth wird festgelegt, ob für WebDAV-Anforderungen die Standardauthentifizierung verwendet werden kann. Wenn Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\
Parameters\ DisableBasicOverClearChannel den Wert 1 festlegen, wird die Verwendung der Standardauthentifizierung bei anderen Webressourcen gesperrt.

Sicherheitsanfälligkeit

Angreifer könnten einen Webserver mit Standardauthentifizierung einrichten und anschließend Benutzer dazu verleiten, eine Verbindung zu diesem Server herzustellen, um deren Anmeldeinformationen zu erhalten.

Gegenmaßnahme

Legen Sie auf Clientcomputern für DisableBasicOverClearChannel den Wert 1 fest, um die Herstellung einer Verbindung zu HTTP-Servern mit Standardauthentifizierung einzuschränken.

Mögliche Auswirkung

Viele eingebettete Geräte (z. B. Router, Druckserver und Kopierer), die HTTP-Zugriff bieten, unterstützen nur die Standardauthentifizierung. Dasselbe gilt für einige Geschäftsanwendungen. Wenn für DisableBasicOverClearChannel der Wert 1 festgelegt ist, ist keine Authentifizierung der Clientcomputer bei diesen Geräten oder Anwendungen möglich.

Weitere Informationen

Die folgenden Links bieten weitere Informationen zu einigen Einträgen, die in diesem Kapitel erläutert wurden:

In diesem Beitrag

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um Informationen zu Updates und neuen Versionen zu erhalten

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

 Dd443757.pageLeft(de-de,TechNet.10).gif11 von 14Dd443757.pageRight(de-de,TechNet.10).gif