Sicherheit unter Windows 7: Tipps und Tricks für den Schutz Ihres Betriebssystems
Orin Thomas
Für den Schutz eines Computers gibt es verschiedene naheliegende Grundregeln: Halten Sie ihn mit den neuesten Updates für Betriebssysteme und Anwendungen auf Stand. Stellen Sie sicher, dass Sie die neueste Antiviren- und Antispywaresoftware installiert haben. Verwenden Sie komplexe Kennwörter, und ändern Sie sie regelmäßig. In diesem Artikel stelle ich einige Sicherheitstipps vor, die über diese grundlegenden Strategien hinaus gehen und mit denen Sie die Sicherheitsfeatures von Windows 7 besser nutzen können.
Vorbereitung auf BitLocker
Eine der bedeutendsten Sicherheitsverbesserungen in Windows 7 betrifft BitLocker, die Technologie zur Festplattenverschlüsselung und zum Schutz der Integrität der Startumgebung, die in Windows Vista erstmals eingesetzt wurde. In Windows 7 ist BitLocker in der Enterprise- und Ultimate-Edition enthalten. Die Technologie sorgt dafür, dass unbefugte Benutzer keine Daten von Festplattenlaufwerken gestohlener oder verlorener Laptops gewinnen können, sofern der Computer zum Zeitpunkt des Verlustes ausgeschaltet war.
Eine Schwierigkeit besteht bei BitLocker jedoch in der Wiederherstellung von Daten nach einem Hardwarefehler, der geschützte Laufwerke sperrt. BitLocker bietet zwar ausgezeichneten Schutz, wird aber von vielen IT-Profis als problematisch empfunden, weil sie nur damit umgehen, wenn Sie Wiederherstellungen durchführen müssen.
Zur Datenwiederherstellung muss man auf die BitLocker-Schlüssel oder -Kennwörter, die zu den gesperrten Laufwerken gehören, Zugriff haben. Bei einer kleinen Anzahl von Computern kann man das sicherlich leicht nachhalten, bei mehreren Hundert ist diese Aufgabe jedoch weitaus schwieriger.
IT-Profis können BitLocker mit Gruppenrichtlinien konfigurieren, so dass es nur aktiviert werden kann, nachdem Wiederherstellungsschlüssel und -kennwörter erfolgreich in Active Directory gesichert wurden. Das Extrahieren dieser Wiederherstellungsdaten wurde durch Verbesserungen an der Konsole „Active Directory-Benutzer und -Computer“ in Windows Server 2008 R2 und an den Remoteserver-Verwaltungstools bei Computern, auf denen Windows 7 ausgeführt wird, weitgehend vereinfacht. Auch das Suchen von Wiederherstellungskennwörtern und -schlüsseln ist viel einfacher als mit den Tools in Windows Vista.
Anstatt spezielle Tools herunterladen, installieren und konfigurieren zu müssen, können Sie von der Registerkarte „BitLocker-Wiederherstellung“ auf BitLocker-Wiederherstellungsschlüssel und -kennwörter zugreifen. Diese ist bei der Anzeige der Eigenschaften von Computerkonten in Active Directory-Benutzer und -Computer sichtbar. Die Sicherung von BitLocker-Schlüsseln und -Kennwörtern ist ein aus drei Schritten bestehendes Verfahren:
1. Navigieren Sie in der Gruppenrichtlinie für die Computerkonten des Systems, die durch BitLocker geschützt werden, zu „Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung“.
2. Falls der Computer nur ein Speicherlaufwerk besitzt, navigieren Sie zum Knoten „Betriebssystemlaufwerke“, und bearbeiten Sie die Richtlinie „Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“. Falls der Computer mehr als ein Speicherlaufwerk aufweist, müssen Sie auch zum Knoten „Festplattenlaufwerke“ navigieren und die Richtlinie „Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können“ bearbeiten. Beachten Sie, dass Sie die Einstellungen zwar identisch konfigurieren können, die Richtlinien aber für unterschiedliche Laufwerke gelten.
3. Um BitLocker so zu konfigurieren, dass Kennwörter und Schlüssel bei der Aktivierung des BitLocker-Schutzes in Active Directory gesichert werden, müssen Sie folgende Einstellungen aktivieren:
· BitLocker-Wiederherstellungsinformationen für Wechseldatenträger in AD DS speichern(oder ggf. Festplattenlaufwerke)
· BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden (oder ggf. Festplattenlaufwerke)
Schlüssel und Kennwörter werden erst nach Anwendung der Richtlinie für geschützte Laufwerke gesichert. Die Kennwörter und Schlüssel von Laufwerken, die vor der Umsetzung der Richtlinie für den BitLocker-Schutz konfiguriert wurden, werden nicht automatisch in Active Directory gespeichert. Sie müssen BitLocker auf diesen Computern deaktivieren und erneut aktivieren, damit diese Wiederherstellungsinformationen in der Active Directory-Datenbank gespeichert werden.
Wiederherstellung eines Datenwiederherstellungs-Agenten
Es besteht eine weitere Möglichkeit, wenn Sie durch BitLocker geschützte Laufwerke wiederherstellen müssen, ohne eindeutige Kennwörter oder Geheimnummern für ein bestimmtes Computerkonto einzugeben: ein Datenwiederherstellungs-Agent. Dies ist ein spezielles, mit einem Benutzerkonto verknüpftes Zertifikat, mit dem man verschlüsselte Daten wiederherstellen kann.
BitLocker-Datenwiederherstellungs-Agenten werden konfiguriert, indem man die Gruppenrichtlinie bearbeitet und ein DRA-Zertifikat über den Assistenten zum Hinzufügen von Datenwiederherstellungs-Agenten angibt. Auf dieses Thema gehe ich gleich näher ein. Um den Assistenten benutzen zu können, muss jedoch ein DRA-Zertifikat in einem zugänglichen Dateisystem verfügbar oder in Active Directory veröffentlicht sein. Computer, die als Host für die Rolle der Active Directory-Zertifikatdienste fungieren, können die Zertifikate ausstellen.
Wenn Sie Daten wiederherstellen müssen, ist ein Benutzerkonto, auf dem das DRA-Zertifikat lokal installiert ist, nicht in der Lage das durch BitLocker geschützte Laufwerk zu entsperren. Sie können auf den Assistenten zum Hinzufügen von Datenwiederherstellungs-Agenten zugreifen, indem Sie zum Knoten Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien öffentlicher Schlüssel“ navigieren, mit der rechten Maustaste auf „BitLocker-Laufwerkverschlüsselung“ klicken und die Option „Datenwiederherstellungs-Agenten hinzufügen“ auswählen.
Um BitLocker mit DRA zu verwenden, müssen Sie auch das Kontrollkästchen „Datenwiederherstellungs-Agent aktivieren“ in der Richtlinie „Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“ (sowie ggf. in der Richtlinie für Festplattenlaufwerke) aktivieren. Sie können für die Wiederherstellung derselben durch BitLocker geschützten Laufwerke sowohl DRA als auch Active Directory-Schlüssel-/-Kennwortsicherungen verwenden.
Die DRA-Wiederherstellung funktioniert bei durch BitLocker geschützten Laufwerken nur dann, wenn BitLocker nach Erzwingung der Richtlinie aktiviert wurde. Der Vorteil dieser Methode gegenüber der Kennwort-/Schlüsselwiederherstellung besteht darin, dass DRA als BitLocker-Hauptschlüssel fungiert. Damit können Sie jedes geschützte Laufwerk, das unter dem Einfluss der Richtlinie geschützt wurde, wiederherstellen und brauchen nicht eindeutige Kennwörter oder Schlüssel für jedes wiederherzustellende Laufwerk zu suchen.
BitLocker To Go
Viele der heutigen Wechselmedien verfügen über eine durchschnittliche Speicherkapazität, die an die meisten kleinen und mittelgroßen Dateifreigaben auf Abteilungsebene von vor zehn Jahren herankommt. Das stellt uns vor verschiedene Herausforderungen.
Zum Ersten würde bei Verlust oder Diebstahl eines Wechselmediums eine erhebliche Menge an Unternehmensdaten gefährdet. Und das vielleicht größere Problem ist Folgendes: Benutzer melden der IT-Abteilung einen fehlenden Laptopcomputer sicherlich schnell, empfinden jedoch nicht dieselbe Dringlichkeit, wenn ein USB-Speichergerät mit Gigabytes an Organisationsdaten verloren gegangen ist.
BitLocker To Go, ein neues Feature in Windows 7, ermöglicht Ihnen den Schutz von USB-Speichergeräten auf ähnliche Weise wie mit BitLocker für Betriebssysteme und Festplattenlaufwerke. Mit Gruppenrichtlinien können Sie Computer in Ihrer Organisation so beschränken, dass sie nur Daten auf Wechselmedien schreiben können, die durch BitLocker To Go geschützt sind. Dies erhöht die Sicherheit, da sichergestellt wird, dass bei Verlust eines Wechselmediums wenigstens die darauf gespeicherten Daten verschlüsselt sind und nicht problemlos von unbefugten Dritten aufgerufen werden können.
Die relevanten BitLocker To Go-Richtlinien befinden sich in dem Knoten „Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung | Wechseldatenträger“ eines Gruppenrichtlinienobjekts. Diese Richtlinien umfassen Folgende:
· Verwendung von BitLocker auf Wechseldatenträgern steuern. Damit können Sie konfigurieren, wie BitLocker auf Wechseldatenträgern eingesetzt wird, und unter anderem festlegen, ob normale Benutzer die Funktion auf Wechseldatenträgern aktivieren oder deaktivieren können. Beispielsweise können Sie bestimmten Benutzern das Speichern von Daten auf Wechseldatenträgern, die bereits mit der Schutzfunktion konfiguriert sind, gestatten, ihnen jedoch die Konfiguration eigener Geräte damit untersagen.
· Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind. Mit dieser Richtlinie können Sie Benutzer in Ihrer Organisation so beschränken, dass sie nur Daten auf Wechselmedien schreiben können, die durch BitLocker To Go-Verschlüsselung geschützt sind. Bei Aktivierung dieser Richtlinie, kann eine unbefugte Person nicht problemlos auf Daten zugreifen, die auf einen Wechseldatenträger geschrieben werden, da diese durch Verschlüsselung geschützt sind.
· Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können. Diese Richtlinie ermöglicht Ihnen die Konfiguration eines Datenwiederherstellungs-Agenten oder das Speichern von BitLocker To Go-Wiederherstellungsinformationen in Active Directory. Diese Richtlinie ist aus folgendem Grund wichtig: Wenn Sie BitLocker To Go für den Schutz von Daten auf Wechseldatenträgern einsetzen möchten, müssen Sie eine Strategie zum Wiederherstellen von Daten für den unvermeidbaren Fall haben, dass ein Benutzer sein BitLocker To Go-Kennwort vergisst.
Wenn Sie BitLocker To Go für ein Wechselmedium konfiguriert haben, muss ein Benutzer ein Kennwort eingeben, um das Gerät auf einem anderen Computer zu entsperren. Nach Eingabe des Kennworts hat der Benutzer auf einem Computer, auf dem die Enterprise- oder Ultimate-Edition von Windows 7 läuft, Lese-/Schreibzugriff auf das Gerät. Sie können BitLocker To Go auch so konfigurieren, dass der Benutzer auf Computern mit anderen Versionen von Microsoft-Betriebssystemen nur schreibgeschützten Zugriff auf durch BitLocker To Go geschützte Daten erhält.
Möchte Ihre Organisation mit BitLocker To Go arbeiten müssen Sie für den Fall verlorener oder vergessener Kennwörter eine gewisse Strategie haben. Die Konfiguration der BitLocker To Go-Wiederherstellung erfolgt ähnlich wie für die BitLocker-Wiederherstellung. In diesem Fall müssen Sie die Richtlinie „Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können“ unter „Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung | Wechseldatenträger“ aktivieren.
Sie können die BitLocker To Go-Kennwörter in Active Directory sichern lassen, wo sie für Administratoren mit Zugriff auf die Konsole „Active Directory-Benutzer und -Computer“ und das Computerkonto, in dem das Gerät ursprünglich geschützt wurde, zugänglich sind. Außerdem können Sie eine Richtlinie konfigurieren, nach der Daten mit einem DRA geschützt wird. Dabei kann ein Benutzer, dem das DRA-Zertifikat zugewiesen wurde, Daten von den Laufwerken wiederherstellen, ohne dass einzelne Kennwörter wiederhergestellt werden müssen.
Konfigurieren von AppLocker
Kein Antimalware-Dienstprogramm kann jedes bösartige Programm abfangen. AppLocker kann eine weitere Schutzdimension hinzufügen. Mit dieser Technologie können Sie eine Liste von bekanntermaßen sicheren Anwendungen erstellen und die Ausführung auf die Anwendungen beschränken, die auf der Liste stehen. Zwar wäre diese Art der Sicherung eines Computers für jemanden, der regelmäßig neue und ungewöhnliche Software ausführt, umständlich, doch haben die meisten Unternehmen eine Standard-Systemumgebung, in der Änderungen an Anwendungen sich eher allmählich vollziehen. Dadurch ist es praktikabler, nur die Ausführung von Anwendungen mit grünem Licht zu erlauben.
Sie können diese AppLocker-Autorisierungsregeln über ausführbare Dateien hinaus auch auf Skripte, DLLs und Dateien im MSI-Format ausdehnen. Sofern die ausführbare Datei, das Skript, die DLL oder das Installationsprogramm nicht durch eine Regel autorisiert ist, wird die Ausführung nicht erlaubt.
AppLocker vereinfacht die Erstellung der Regelliste für autorisierte Anwendungen mit einem Assistenten zur Automatisierung des Vorgangs. Dies ist eine der deutlichen Verbesserungen von AppLocker im Vergleich zu Softwarebeschränkungsrichtlinien, einer Technologie in früheren Windows-Versionen mit einer ähnlichen Kernfunktion.
AppLocker kann auch Regeln verwenden, die Dateien anhand der digitalen Signatur des Dateiherausgebers identifizieren. So können Sie Regeln erstellen, welche für die aktuellen und zukünftigen Dateiversionen gelten. Dadurch wird den Administratoren der Aufwand für die Aktualisierung der Regeln nach Anwendung von Softwareupdates erspart. Die ausführbare Datei, das Skript, Installationsprogramm oder die DLL wird mitsamt der Überarbeitungen immer noch von der ursprünglichen Regel abgedeckt. Das war mit Softwarebeschränkungsrichtlinien nicht möglich, da die Administratoren gezwungen waren, bei Änderungen der Softwarekonfiguration auch die Regeln zu aktualisieren.
Um mehrere AppLocker-Richtlinienregeln als Referenz zur Anwendung auf andere Computer zu erstellen, führen Sie die folgenden Schritte aus:
1. Konfigurieren Sie einen Referenzcomputer, der unter Windows 7 läuft, mit allen Anwendungen, die Sie in Ihrer Umgebung ausführen möchten.
2. Melden Sie sich mit einem Benutzerkonto, das über lokale Administrator-Zugriffsrechte verfügt, an dem Computer an.
3. Starten Sie den Editor für lokale Gruppenrichtlinien, indem Sie Gpedit.msc vom Textfeld „Programme/Dateien durchsuchen“ ausführen.
4. Navigieren Sie zu „Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker | Ausführbare Regeln“ des lokalen Gruppenrichtlinienobjekts. Klicken Sie mit der rechten Maustaste auf den Knoten „Ausführbare Regeln“, und klicken Sie dann auf „Regeln automatisch generieren“. Dadurch wird der Assistent zum automatischen Erstellen ausführbarer Regeln gestartet.
5. Geben Sie c:\ in das Textfeld mit der Bezeichnung „Ordner mit den Dateien, die analysiert werden sollen“ ein. Geben Sie „Alle ausführbaren Dateien“ in das Textfeld mit der Beschriftung „Name, mit dem dieser Regelsatz identifiziert wird“ ein, und klicken Sie auf „Weiter“.
6. Wählen Sie auf der Seite „Regeleinstellungen“ die Option „Herausgeberregeln für digital signierte Dateien erstellen“, und wählen Sie für den Fall, dass eine Datei nicht signiert ist, außerdem die Option „Dateihash: Regeln werden mit einem Dateihash erstellt“. Stellen Sie sicher, dass die Option „Verringern der Regelanzahl durch Gruppieren ähnlicher Dateien“ nicht ausgewählt ist, und klicken Sie dann auf „Weiter“.
7. Die Generierung der Regeln nimmt eine gewisse Zeit in Anspruch. Klicken Sie nach erfolgter Generierung auf „Erstellen“. Wenn Sie gefragt werden, ob Sie die Standardregeln erstellen möchten, klicken Sie auf „Nein“. Das ist nicht nötig, da Sie durch Erstellung von Regeln für alle ausführbaren Dateien auf dem Referenzcomputer bereits umfassender Regeln als die Standardregeln erstellt haben.
8. Wenn auf dem Computer Anwendungen auf mehreren Laufwerken gespeichert sind, wiederholen Sie die Schritte 5 bis 7, und geben Sie bei Ausführung des Assistenten für automatisch generierte ausführbare Regeln den entsprechenden Laufwerksbuchstaben ein.
9. Nach der Generierung der Regeln können Sie die Liste zulässiger Anwendung im XML-Format exportieren. Klicken Sie hierzu mit der rechten Maustaste auf den Knoten „AppLocker“ und anschließend auf „Richtlinie exportieren“. Sie können diese Regeln auch in andere Gruppenrichtlinienobjekte importieren, z. B. in diejenigen, die in Ihrer Organisation für portable Computer gelten. Durch Anwendung dieser Regeln per Richtlinie können Sie die Ausführung von Anwendungen so begrenzen, dass nur die auf dem Referenzcomputer vorhandenen zugelassen werden.
10. Bei der Konfiguration von AppLocker müssen Sie sicherstellen, dass der Anwendungsidentitätsdienst über die Dienstkonsole aktiviert ist und dass ausführbare Regeln per Richtlinie erzwungen werden. Ist dieser Dienst deaktiviert, finden AppLocker-Richtlinien keine Anwendung. Sie können den Startstatus des Dienstes zwar in der Gruppenrichtlinie konfigurieren, müssen aber beschränken, welche Benutzer lokalen Administratorzugriff haben, damit sie AppLocker nicht umgehen können. Sie aktivieren die Durchsetzung ausführbarer Regeln, indem Sie auf den Knoten „Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker“ und dann auf „Richtlinien“ klicken. Aktivieren Sie die Option „Konfiguriert“ unter „Ausführbare Regeln“, und stellen Sie dann sicher, dass „Regeln erzwingen“ ausgewählt ist.
Hoffentlich haben Sie hier gelernt, wie Sie BitLocker bereitstellen und wiederherstellen, mit BitLocker To Go arbeiten und AppLocker-Richtlinien konfigurieren. Der Einsatz dieser Technologien in Kombination mit normalen Verwaltungs- und Wartungsaufgaben (z. B. dafür zu sorgen dass die neuesten Updates, Antivirus- und Antispywareprogramme auf den Computern vorhanden sind) erhöhen Sie die Sicherheit der Computer in Ihrer Organisation, die unter Windows 7 ausgeführt werden.
Orin Thomas*(orin.thomas@gmail.com) ist Systemadministrator und Windows Consumer Security MVP mit Sitz im australischen Melbourne. Er hat eigenständig und mit anderen Autoren zusammen mehr als ein Dutzend Textbücher für Microsoft Press* geschrieben.