Microsofts Sicherheitsoffensive
Artikel erschienen in Swiss IT Magazine 2004/10
Nicht nur die Anwender leiden unter verschiedensten Angriffen aus dem Internet auch für Microsoft sind die Sicherheitsbedrohungen ein Problem. Neben langfristigen Ansätzen wie der Trustworthy Computing Architecture arbeitet das Unternehmen auch an kurzfristigen Lösungen. Das Service Pack 2 für Windows XP ist deshalb mehr als nur ein typisches Service Pack, weil es mit einer Vielzahl neuer Funktionen die Sicherheit von Windows-Clients erhöhen soll.
Microsoft hat in den letzten Jahren Service Packs vor allem für die Auslieferung von Patches genutzt, mit denen Bugs adressiert wurden. Grössere funktionale Änderungen gab es zuletzt zu Windows-NT-4.0-Zeiten. Dass nun das Service Pack 2 für Windows XP genutzt wird, um viele neue Funktionen einzuführen es gibt von Microsoft unter anderem ein 156 Seiten (!) starkes Word-Dokument allein zu diesen Änderungen, zeigt den Druck, unter dem Microsoft steht. Auch wenn keineswegs jedes Problem nur ein Windows-Problem ist und auch wenn es viele andere Ansätze gibt, um die Sicherheit zu erhöhen, gilt es doch, das Sicherheitsniveau von Windows XP als einem der am weitesten verbreiteten Client-Betriebssysteme signifikant zu verbessern. Und das geht nur über neue Funktionen.
Während die Aufmerksamkeit für Service Packs sonst doch eher gering ist, lenkt Microsoft diese nun bewusst auf das Service Pack 2. Es gibt einen richtigen Beta-Test mit Release Candidates, Webcasts für Entwickler und unter www.micro soft.com/technet/prodtechnol/winxp pro/sp2preview.mspx sogar eine eigene Micro-Site mit Informationen zum anstehenden Release.
Die Hyperaktivität geschieht natürlich nicht nur, weil Microsoft zeigen möchte, wie ernst das Thema Sicherheit in Redmond genommen wird. Der Hauptgrund ist, dass das Service Pack 2 für Entwickler, Administratoren und Anwender einige grundlegende Änderungen bringt. Manche Anwendungen müssen angepasst werden, weil sich APIs ändern. Und Administratoren müssen sich überlegen, wie sie die neuen Funktionen des Service Pack 2 administrieren möchten, was in der Konsequenz fast zwangsläufig dazu führen wird, dass auch dort Gruppenrichtlinien eingesetzt werden, wo diese bisher keine Rolle spielten.
Daher muss man sich auch bereits jetzt, einige Zeit vor dem eigentlichen Release des Service Pack, bereits intensiv damit auseinandersetzen. Als Verfügbarkeitsdatum gibt Microsoft Mitte 2004 an, ohne aber ein konkretes Datum zu nennen. Da der Release Candidate (RC) 2 aber nach Auskunft von Microsoft erst Ende Mai erscheinen soll, dürfte die Final-Version kaum vor Juli auf den Markt kommen.
Ein vollständiger Überblick über die Änderungen im Service Pack 2 würde den Rahmen dieses Artikels sprengen. Die meisten Änderungen betreffen aber fünf Bereiche.
Mehr Schutz des Systems vor Angriffen aus dem Netzwerk
Besserer Schutz vor unbekannten Daten und Mails
Mehr Schutz im Umgang mit dem Internet
Schutz vor Speicherüberläufen auf Systemebene
Bessere Administrierbarkeit des Systems
Hinzu kommen einige weitere Änderungen wie die Unterstützung von Bluetooth sowie einige Anpassungen beim Windows Media Player.
Die gravierendste Änderung betrifft die Internetverbindungs-Firewall (ICF, Internet Connection Firewall). Diese ist auch heute schon in Windows XP integriert, mit dem Service Pack 2 wird sie aber standardmässig aktiviert. Die Einstellungen können dann über Gruppenrichtlinien gesteuert werden. Wer die ICF auf allen Clients im Netzwerk deaktivieren möchte, weil er beispielsweise eine Lösung eines anderen Herstellers nutzt, wird das am einfachsten ebenfalls über Gruppenrichtlinien machen so dass man an diesem Thema kaum noch vorbeikommt. Für Entwickler von Netzwerkanwendungen bedeutet diese Änderung, dass sie eingehende Ports, über die Verbindungen initiiert werden, explizit öffnen müssen. Ausgehende Verbindungen sind dagegen unkritisch, da diese von der Firewall generell zugelassen werden.
Auch für DCOM (Distributed COM), RPC (Remote Procedure Calls) und WebDAV (Web Distributed Authoring and Versioning) gibt es eine Reihe von Änderungen, die Angriffsflächen reduzieren sollen. Diese Anpassungen betreffen zwar vor allem Entwickler, aber auch Administratoren können nun Berechtigungen für solche Schnittstellen besser steuern.
Mit diesen Änderungen sollen Systeme besser vor Angriffen geschützt werden, die über wohlbekannte Ports laufen wie es etwa bei Blaster, aber auch beim aktuellen Sasser-Wurm der Fall war. Die Zielsetzung ist einerseits eine bessere Steuerung der offenen Ports und andererseits die Einschränkung auf nur noch wirklich erforderliche Zugriffe. Offene Schnittstellen sind erforderlich aber nur für die erwünschten Zugriffe.
Der zweite Bereich betrifft einen besseren Schutz vor unbekannten Daten und Mails. Immer noch wird ein erheblicher Teil der Angriffe über Mail-Attachments durchgeführt. Betroffen sind davon vor allem der Windows Messenger und Microsoft Outlook Express.
Beim Windows Messenger wird einerseits zunächst geprüft, ob der Sender von Informationen in der Liste der Kontakte zu finden ist. Abhängig davon werden dann Dateiformate durchgelassen, gesperrt oder es wird ein Dialogfeld angezeigt, in dem auf die potentiellen Gefahren bestimmter Dateiformate hingewiesen wird.
Bei Outlook Express können eingehende Mails nun automatisch von HTML in Text umgewandelt werden. Ausserdem lässt sich verhindern, dass externe HTML-Inhalte beim Öffnen von Mails geladen werden. Damit werden einerseits einige gängige Ansätze von Spammern unterbunden, und andererseits wird auch das Risiko des "Phishing" also von gefälschten Mails, in denen beispielsweise Kennwörter oder Kreditkarteninformationen angefordert werden reduziert.
Um Risiken beim Browsen im Web zu reduzieren, gibt es eine ganze Menge Erweiterungen für den Internet Explorer. Das beginnt damit, dass es eine explizite Zone für die lokale Maschine gibt und damit die Sicherheit auch im internen Netzwerk differenzierter gesteuert werden kann. Ausserdem hat Microsoft etliche Änderungen vorgenommen, um einerseits Zugriffe auf riskante ActiveX-Controls zu verhindern und andererseits zweifelhafte Dateien zu erkennen und zu blockieren. Benutzer werden insbesondere auch vor dem Missbrauch sogenannter Add-ons im Internet Explorer, also funktionaler Erweiterungen, besser geschützt, indem Zugriffe auf diese besser erkannt und unzulässige Aktivierungsversuche wirksamer verhindert werden.
Einer der beliebtesten Ansätze für Angriffe waren bisher Pufferüberläufe. Diese ändern Code im System, so dass ein Virus oder Wurm ausgeführt wird, wenn wieder auf dieses Code-Segment zugegriffen wird. In Zusammenarbeit mit AMD und Intel sind nun Prozessorfunktionen definiert worden, mit denen solche Zugriffe auf Code, der gerade von keinem aktiven Prozess genutzt wird, verhindert wird. Damit lassen sich Pufferüberläufe nicht mehr wie bisher nutzen. Diese Funktionen stehen allerdings nur mit neueren 32-Bit-AMD-Prozessoren mit NX-Funktion (No-Execute Page-Protection) sowie bei den AMD64- und Itanium-Prozessoren zur Verfügung. Bei solchen Systemen wird der Speicherschutz mit der Installation des Service Pack 2 automatisch aktiviert.
All diese geänderten Funktionen müssen auch verwaltet werden. Die zentrale Schnittstelle ist das neue Security Center, über das auf sämtliche Sicherheitsfunktionen von Windows XP zugegriffen werden kann. Weitere Neuerungen sind der Windows Installer 3.0, bei dem insbesondere das Zusammenspiel mit dem für das Patch-Management verwendeten SUS 2.0 (Software Update Service) optimiert wurde. So können Patches nun auch wieder entfernt und Anwendungs-Patches ebenfalls auf diesem Weg eingespielt werden. Ausserdem gibt es, vor allem für die Steuerung des ICF, einige neue Parameter in den Gruppenrichtlinien.
Die Vielzahl der Änderungen mit dem SP2 für Windows XP bedeuten einerseits für Anwendungsentwickler, dass sie ihre Produkte auf die Kompatibilität hin überprüfen müssen. Administratoren müssen sich frühzeitig an den Test des Service Pack machen und eine Deployment-Strategie entwickeln. Zudem muss gerade in Netzwerken, in denen die Gruppenrichtlinien noch nicht genutzt werden, auch geprüft werden, ob und in welcher Form diese zukünftig zum Einsatz kommen sollen oder ob die ICF beispielsweise über Scripts gesteuert wird, die über Anmeldeprogramme verteilt werden.
Der Planungsaufwand ist in jedem Fall erheblich. Der Test der Betaversionen des Windows XP SP2 muss natürlich in Testumgebungen erfolgen, da teilweise kein Upgrade zwischen den RCs unterstützt wird und darüber hinaus auch einzelne Funktionen mit dem SP2 nicht mehr so arbeiten wie bisher. Auf der anderen Seite ist das Windows XP SP2 ein wichtiger Baustein für mehr Sicherheit in Netzwerken, weil damit etliche Lücken geschlossen werden.