Mehr Sicherheit mit SP2
Artikel erschienen in Swiss IT Magazine 2004/11
Sicherheit ist das Thema Nr. 1 beim Service Pack 2 für Windows XP. Die Bedeutung des Themas wird spätestens nach dem Start eines Computers mit installiertem Service Pack 2 deutlich. Schon beim ersten Booten wird vor dem Anmeldedialog ein Bildschirm angezeigt, in dem entschieden werden muss, ob zukünftig mit automatischen Updates des Betriebssystems gearbeitet werden soll oder nicht. Microsoft empfiehlt natürlich die Verwendung der automatischen Updates – das ist grundsätzlich auch sinnvoll, weil damit sichergestellt ist, dass neue Patches unmittelbar bei Verfügbarkeit eingespielt werden. In Unternehmensnetzwerken sollte allerdings statt dessen mit den SUS (Software Update Services) gearbeitet werden, weil sich darüber der Zugriff auf die Updates zentralisieren lässt und die neuen Updates vor der Bereitstellung für die Clients im Unternehmen getestet werden können.
Wer die Systemsteuerung von Windows XP nach der Installation des Service Pack 2 öffnet, findet dort als neue Option das Sicherheitscenter. In diesem sind die verschiedenen Schnittstellen für die Sicherheitskonfiguration zusammengefasst. Im Bereich Ressourcen zusammengefasst sind einige Links zu sicherheitsrelevanten Bereichen der Microsoft-Website. Bei den Sicherheitseinstellungen selbst gibt es die drei Bereiche Internetoptionen, System und Windows-Firewall, auf die wir im folgenden detailliert eingehen.
Der bekannteste Bereich ist zweifelsohne Internetoptionen. Wenn man diesen öffnet, wird das gleiche Dialogfeld wie beim Befehl Extras - Internetoptionen im Internet Explorer angezeigt. Die von Microsoft angekündigte zusätzliche Sicherheitszone für das lokale System fehlt in der uns vorliegenden Vor-Release-Version noch.
Änderungen gibt es dagegen im Register Datenschutz. Dort lassen sich nun nicht mehr nur die Cookie-Behandlung einstellen und Listen von vertrauenswürdigen und nicht vertrauenswürdigen Sites bearbeiten, sondern im unteren Bereich auch Popups sperren. Damit können zumindest die meisten dieser Fenster, die bei vielen Websites automatisch beim Start oder Beenden angezeigt werden, verhindert werden - was in vielen Fällen auch unerwünschte Werbung vermeidet. Unter dem Aspekt der Sicherheit ist das vor allem deshalb wichtig, weil so die Gefahr von unerwünschten Zugriffen auf nicht sichere Websites reduziert werden kann.
Im Register Programme fällt insbesondere die neue Schaltfläche Add-Ons verwalten auf. Als Add-on gelten dabei nicht nur funktionale Erweiterungen des Internet Explorer wie beispielsweise der Windows Messenger, sondern auch die Toolbars von eBay oder Google. Die Add-on-Verwaltung wurde in letzter Zeit mehrfach als Schwachstelle für Angriffe genutzt. Mit der neuen Steuerung lässt sich nun festlegen, welche Add-ons zugelassen sind, und unerwünschte Add-ons können gezielt deaktiviert werden.
Über den Bereich System des Sicherheitscenter gelangt man zum gleichnamigen Bereich der Systemsteuerung. Hier finden sich allerdings keine Änderungen im Vergleich zu Windows XP vor dem Service Pack 2. Auch weiterhin sind dort die Register beispielsweise für die Festlegung von Computername und Domänenzugehörigkeit oder zur Konfiguration der Remote-Unterstützung zu finden. Immerhin, falls letztere aktiviert wird, wird die Konfiguration der Windows-Firewall automatisch so angepasst, dass die Remote-Zugriffe erlaubt sind.
Die meisten Änderungen finden sich denn auch bei dieser Windows-Firewall (vormals Internet Connection Firewall, ICF). Diese ist neu standardmässig aktiviert und kann zentral über Gruppenrichtlinien konfiguriert werden. Und sie bietet wesentlich mehr Konfigurationsoptionen in übersichtlicherer Weise als bisher.
Der Zugriff auf die Windows-Firewall kann einerseits über das Sicherheitscenter erfolgen, andererseits aber auch über die klassische Ansicht der Systemsteuerung über einen entsprechenden Eintrag. Ausserdem lässt sich die Windows-Firewall auch in den Eigenschaften einer Netzwerkverbindung über das Register Erweitert oder direkt im Ordner Netzwerkverbindungen über die Netzwerkaufgaben mit Windows-Firewalleinstellungen ändern konfigurieren. Die Windows-Firewall ist also nicht mehr so versteckt wie bei Windows XP vor dem Service Pack 2.
Im Gegensatz zu anderen Firewall-Lösungen schützt die Windows-Firewall ausschliesslich vor definierten eingehenden Paketen. Ausgehende Pakete dagegen werden nicht analysiert, so dass beispielsweise auch keine Zugriffe auf das Internet untersucht werden. Das hat den Vorteil, dass man nicht schon unmittelbar nach der Aktivierung der Firewall mit unzähligen Meldungen bezüglich der Zugriffe auf das Internet konfrontiert wird. Zudem ist das Ziel der Windows-Firewall der Schutz vor Angriffen aus dem Internet, die häufig über bestimmte Ports eine Verbindung zum angegriffenen System aufbauen. Solche eingehenden Verbindungen werden, wenn sie nicht explizit zugelassen wurden, wirksam blockiert. Ergänzend hat Microsoft ausserdem auch andere Sicherheitsfunktionen rund um den Internet Explorer und Attachments bei Outlook Express, Outlook, dem Windows Messenger und anderen Produkten verbessert.
Bei der Konfiguration der Windows-Firewall muss man zunächst entscheiden, ob diese aktiviert oder deaktiviert sein soll. Letzteres ist nur dann sinnvoll, wenn der Computer mit anderen Firewall-Lösungen geschützt wird. Bei einer aktivierten Firewall lässt sich die Option Keine Ausnahmen zulassen setzen, um auch definierte Ausnahmen zu deaktivieren - das ist vor allem für Notebook-Benutzer wichtig, die beim mobilen Arbeiten mit strengeren Sicherheitsregeln als im lokalen Netzwerk arbeiten möchten. Es ist allerdings leider etwas umständlich, diese Option ein- und auszuschalten, da dazu immer erst die Konfigurationsschnittstelle der Windows-Firewall - beispielsweise über das Sicherheitscenter - geöffnet werden muss.
Im Register Ausnahmen wird darauf konfiguriert, welche Anwendungen auch eingehende Zugriffe durchführen dürfen. Windows XP hat ein API, über das Anwendungen die entsprechende Konfiguration gleich selbst vornehmen können. Wenn man beispielsweise im Bereich System der Systemsteuerung und dort im Register Remote den Remotedesktop von Windows XP aktiviert, wird der entsprechende Eintrag automatisch auch bei den Ausnahmen für die Windows-Firewall gesetzt. Dieser Ansatz ist sinnvoll, damit bei Anwendungen, die solche Zugriffe benötigen, keine manuelle Konfiguration erforderlich ist.
Zusätzliche Ausnahmen lassen sich durch Auswahl entweder von Programmen oder von Ports konfigurieren. Der Zugriff auf die lokal installierten Programme wird dabei über die bekannte Schaltfläche Programm erreicht. Nach der Auswahl einer Anwendung wird darauf mit Bereich ändern der Bereich ausgewählt, für den dieser Port nicht gesperrt sein soll, wobei hier alle Computer, nur das lokale Subnetz oder aber eine benutzerdefinierte Liste von Systemen angegeben werden kann. Alternativ lassen sich auch TCP- und UDP-Ports sowie die berechtigten Systeme festlegen, über die ein Zugriff erfolgen darf.
Das Öffnen zusätzlicher Ports ist nur dann erforderlich, wenn eingehende Zugriffe auf das geschützte System erfolgen sollen. Das kann beispielsweise für Chats, Online-Games und andere Anwendungen erforderlich sein. Die Menge solcher Szenarien ist auf einem Client aber doch ziemlich begrenzt.
Vorsicht ist bezüglich der von Anwendungen - oder von Windows XP selbst - definierten Ausnahmen geboten. Wenn beispielsweise die Datei- und Druckerfreigabe zugelassen wird, werden die Ports 137-139 und 445 für sämtliche Zugriffe geöffnet. Genau dies sind aber Ports, die von Würmern wie Sasser genutzt wurden. Darf keine Fernadministration des Systems erfolgen oder sind Freigaben konfiguriert, dann sollte zumindest der Bereich für mögliche Zugriffe eingeschränkt werden. Dazu wird im Register Ausnahmen der Dienst oder das Programm und dann die Schaltfläche Bearbeiten ausgewählt. Auch beim Remotedesktop wird standardmässig der Bereich Alle - der Zugriffe aus dem Internet einschliesst - zugelassen. Hier kann eine Einschränkung auf das lokale Subnetz oder wenige definierte IP-Adressen des Helpdesks Sinn machen.
Weitergehende Einstellungen lassen sich schliesslich über das Register Erweitert vornehmen. Dort wird zunächst festgelegt, für welche der konfigurierten Netzwerkverbindungen die Windows-Firewall aktiviert werden soll - der Administrator kann also entscheiden, dass beispielsweise nur eine externe Verbindung geschützt wird, während die Zugriffe aus dem LAN nicht überwacht werden. Auch individuelle Sicherheitseinstellungen für jede Verbindung lassen sich hier konfigurieren.
Darüber hinaus kann hier auch noch die Protokollierung und der Umgang mit ICMP-Paketen definiert werden. ICMP (Internet Control Message Protocol) wird beispielsweise für ping und tracert, also für Fehler- und Statusinformationen in TCP/IP-Netzwerken, genutzt.
Die beschriebene, lokale Konfiguration ist allerdings nur dann sinnvoll, wenn die Windows-Firewall bloss auf einigen wenigen Systemen eingesetzt wird, also im sogenannten SOHO-Bereich (Small Office/Home Office). In grösseren Umgebungen wird eine solche lokale Konfiguration dagegen nicht nur zu aufwendig, sondern sogar zu einem Sicherheitsrisiko. Hier sollte deshalb mit der zentralen Konfiguration über die Gruppenrichtlinien des Active Directory gearbeitet werden. Mit welcher der beiden Möglichkeiten man aktuell arbeitet, wird im Register Allgemein angezeigt. Wenn dort der Text «Die Windows-Firewall verwendet die Domäneneinstellungen» erscheint, gelten die Gruppenrichtlinien.
Um in diesen die Definitionen für die Windows-Firewall vornehmen zu können, muss allerdings zunächst die aktualisierte Richtlinienvorlage installiert werden. Die system.adm findet sich im Unterverzeichnis inf des Windows-Verzeichnis auf dem Windows XP-System. Hier muss die mit dem Service Pack 2 gelieferte Datei im Gruppenrichtlinien-Editor über den Befehl Vorlagen hinzufügen/entfernen im Kontextmenü von Computerkonfiguration - Administrative Vorlagen ausgewählt werden, wodurch die vorhandene Richtlinienvorlage überschrieben wird.
Im nächsten Schritt wird bei Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Sicherheitscenter entschieden, ob dieses Feature aktiviert werden soll. Das Sicherheitscenter dient hier einerseits als Konfigurationsschnittstelle für sicherheitsrelevante Dienste, andererseits werden hier aber auch alle Meldungen über sicherheitskritische Ereignisse zusammengefasst.
Die meisten Einstellungen gilt es aber bei Computerkonfiguration - Administrative Vorlagen - Netzwerk - Netzwerkverbindungen - Windows-Firewall vorzunehmen. Auf der obersten Ebene kann man authentifizierte IPsec-Zugriffe - also Zugriffe über sichere IP-Verbindungen - zulassen. Darunter werden das Standardprofil und das Domänenprofil konfiguriert. Ersteres legt die Einstellungen fest, die gelten, wenn der Computer nicht mit der Domäne verbunden ist, also beispielsweise für ein Notebook, das ausserhalb des Firmennetzwerks eingesetzt wird. Das Domänenprofil gilt dagegen logischerweise während der Verbindung mit einer Domäne.
Über die verschiedenen Richtlinieneinstellungen werden nun die gleichen Einstellungen wie bei der lokalen Konfiguration vorgenommen. Mit Programmausnahmen festlegen und Portausnahmen festlegen lassen sich zusätzliche Ausnahmen konfigurieren. Ausserdem kann man hier auch genau steuern, welche Ausnahmen zulässig sind und welche nicht. Über die Gruppenrichtlinien lässt sich so mit wenig Aufwand eine einheitliche Konfiguration der Windows-Firewall im gesamten Netzwerk erzwingen.
Vor der Installation des Service Pack 2 für Windows XP müssen einige Entscheidungen getroffen werden. Grundlegend ist etwa der Entscheid, ob die Windows-Firewall aktiviert werden soll oder nicht und ob zusätzlich oder alternativ eine andere Personal Firewall in den Einsatz gelangt. Wird die Windows-Firewall eingesetzt, sollte man prüfen, ob sie über die Gruppenrichtlinien oder auf anderem Weg konfiguriert werden soll. Neben der lokalen Konfiguration können beispielsweise auch Batch-Dateien in Anmeldeprogrammen genutzt werden. Ausserdem muss man entscheiden, welche Zugriffe erforderlich sind und erlaubt sein sollen und welche nicht.
Durch die aktivierte Windows-Firewall kann es vor allem in der Anfangsphase Situationen geben, in denen Benutzer über einen Zugriffsversuch informiert werden, der abgeblockt wurde - falls die Benachrichtigungen nicht über die Gruppenrichtlinien deaktiviert wurden. Im produktiven Einsatz muss daher und auch wegen möglicher Einschränkungen der Zugriffe zunächst mit einem erhöhten Helpdesk-Aufwand gerechnet werden. Auf der anderen Seite lassen sich bei konsequenter Nutzung der neuen Sicherheitsfunktionen von Windows XP Service Pack 2 - und das ist nicht nur die Windows-Firewall - und beim zusätzlichen Einsatz der Software Update Services (SUS) beziehungsweise des direkten Windows Update über Microsofts Website die Sicherheitsrisiken für sämtliche Computer im Unternehmen wesentlich verringern. Die Windows-Firewall ist dabei ein wichtiger Baustein, der vor allem durch die leichte Administrierbarkeit und seine im Vergleich zu vielen anderen Produkten wenigen Meldungen über nicht erlaubte Zugriffe überzeugen kann.
In den letzten Jahren haben Anbieter wie McAfee mit der Personal Firewall plus und Guardian, Symantec mit der Norton Personal Firewall oder Zone Labs mit Zone Alarm Pro erfolgreich sogenannte Personal Firewalls auf den Markt gebracht. Mit der in Windows XP SP2 integrierten, funktional erweiterten und standardmässig aktivierten Windows-Firewall stellt sich nun die Frage, ob man derartige Produkte überhaupt noch benötigt - eine Frage, die nicht mit einem einfachen Ja oder Nein zu beantworten ist.
Zunächst sind zwei wichtige Einschränkungen der Windows-Firewall zu beachten: Es gibt keinen integrierten Viren-Scanner, und es wird nur eingehender Datenverkehr untersucht. Dem stehen aber auch wichtige Vorteile gegenüber: Die Windows-Firewall sichert den Rechner bereits während des Boot-Prozesses, weil sie sehr tief im System verankert ist. Und die Windows-Firewall kann zentral über die Gruppenrichtlinien konfiguriert werden.
Nach den aktuellen Aussagen von Microsoft wird das Service Pack zwar die Anti-Viren-Pakete von Ahnlab, Etrust; Kaspersky, McAfee, Norton, Panda, Sophos und Trend Micro erkennen und unterstützen, wobei es im Fall von Ahnlab und Norton zum aktuellen Zeitpunkt wohl noch ein paar Integrationsprobleme gibt. Die Personal Firewalls werden dagegen nicht direkt unterstützt. Es gibt zwar einige Beta-Tester, die diese parallel zur Windows-Firewall einsetzen, aber diese Konfiguration wird offiziell nicht gebilligt. Personal Firewalls von anderen Anbietern werden auch nicht im Sicherheitscenter integriert.
Die Entscheidung darüber, ob man die Windows-Firewall oder eine Lösung eines anderen Anbieters nutzt, kann man über verschiedene Kriterien treffen. Die erste Frage ist, ob Windows XP in einem Netzwerk mit dem Active Directory eingesetzt wird. Hier hat die Windows-Firewall den Vorteil, dass sie zentral über Gruppenrichtlinien konfiguriert werden kann.
Grundsätzlich stellt sich auch die Frage, ob der Einsatz von Personal Firewalls ohne eine enge Integration mit zentralen Systemmanagement-Werkzeugen wie den Gruppenrichtlinien oder Novells ZENworks überhaupt akzeptabel ist, denn die Sicherheitseinstellungen dürfen nicht individuell vom Benutzer verwaltet werden, sondern müssen zentral vorgegeben sein. Für die meisten Benutzer ist das Management viel zu komplex - und ohne zentrales Management entstehen schnell unkontrollierbare Sicherheitslücken, die den Sinn solcher Firewalls in Frage stellen.
Das zweite Kriterium betrifft die Anzahl der Schutzschichten. Wenn die Windows-Firewall nur noch eine Ergänzung zu weiteren Firewalls an der Aussengrenze des Netzwerks ist, kann man eher auf Produkte mit grösserer Funktionalität verzichten als in Umgebungen, in denen es keinen weiteren Schutz gibt.
Bei der Nutzung von Personal Firewalls sollte man auch genau testen, ob diese wirklich handhabbar sind. Viele Produkte konfrontieren den Benutzer nach der Aktivierung mit so vielen Meldungen, dass an ein produktives Arbeiten über längere Zeit nicht mehr zu denken ist - geschweige denn, dass die Meldungen für die Benutzer wirklich nachvollziehbar wären.
Wer seinen PC oder ein kleines Netzwerk bisher bereits mit einer gut funktionierenden Personal Firewall gesichert hat, kann dabei sicher bleiben. Wer in Netzwerken einen zentral administrierbaren zusätzlichen Schutz benötigt oder noch keine Personal Firewall einsetzt, für den ist die Windows-Firewall des Windows XP Service Pack 2 eine interessante Lösung – am besten im Verbund mit einem Virenscanner.