Nur kleine Schritte an der Security-Front
Artikel erschienen in Swiss IT Magazine 2003/05
Was hat Microsoft in den letzten Jahren nicht alles an Prügel wegen echter und vermeintlicher Sicherheitsmängel einstecken müssen. Da helfen auch alle Hinweise auf andere Systeme, die nicht weniger Sicherheitslücken zu verzeichnen haben, nichts. Und auch der Verweis darauf, dass Windows 2000 mittlerweile eines der höchsten Sicherheitszertifikate für Betriebssysteme hat und der Prozess von Microsoft zum Umgang und zur Beseitigung von Sicherheitslücken sogar als führend zertifiziert ist, helfen nicht.
Microsoft hat sich die Prügel aber zu Herzen genommen. Brian Valentine, der für die Entwicklung von Windows verantwortliche Manager, erzählt mittlerweile gerne, wie er zu Beginn des letzten Jahres alle Entwicklungsarbeiten gestoppt hatte, um das Sicherheitsdesign zu überprüfen und Programmierer auf sichere Entwicklung hin zu schulen.
Viel wichtiger aus Sicht des Endanwenders ist aber, dass Microsoft endlich erkannt hat, dass man zumindest Server-Betriebssysteme nicht mit "offenen Türen", also lockeren Sicherheitseinstellungen, ausliefern sollte. Schon die Standardkonfiguration muss ein Mindestmass an Sicherheit bieten. Denn wenn Microsoft, wie es seit NT 3.1 der Fall war, auf der einen Seite hinausposaunt, wie sicher das System doch sei, Administratoren auf der anderen Seite aber unzählige Mühen auf sich nehmen müssen, um das System auch nur einigermassen sicher in Betrieb zu nehmen, führt das einfach zu Unglaubwürdigkeit. Dass Microsoft darüber hinaus auch noch das Top-Ziel (fast) jedes Hackers ist, macht das nicht leichter.
Wer jetzt aber grundlegend neue Sicherheitskonzepte beim Windows Server 2003 erwartet, sieht sich getäuscht. Die einzige wirklich grundlegende Neuerung findet sich in der Architektur der Internetinformationsdienste (IIS), bei denen der http-Stack völlig neu entwickelt wurde, um eine höhere Stabilität und Sicherheit und weniger Ansatzpunkte für Angriffe zu bieten.
Microsoft hat sich vielmehr darauf konzentriert, die Sicherheit bei vorhandenen Funktionen sowie deren Administration zu verbessern. Dass die Redmonder nicht ganz von vorne beginnen mussten, zeigt auf der anderen Seite auch, dass die Ansätze von Windows 2000 nicht so schlecht waren.
Die IIS haben aber nicht nur eine neue Architektur, sondern stehen auch sonst exemplarisch für die Optimierungen im Security-Umfeld. Das beginnt schon bei dem Systemkonto, das für die Ausführung der IIS verwendet wird. Statt des bisherigen lokalen Systemkontos mit vollen administrativen Berechtigungen auf dem jeweiligen Rechner, wird mit einem neuen Systemkonto gearbeitet, das als Netzwerkdienst bezeichnet wird. Dieses Konto hat deutlich weniger Berechtigungen. Wenn es einem Angreifer also gelingt, die Kontrolle über einen Server zu erhalten, kann er sich dort weniger frei bewegen und damit auch weniger Schaden anrichten. Dieses neue interne Konto wird auch von anderen Diensten genutzt.
Die zweite wesentliche Änderung liegt darin, dass nicht mehr alle Funktionen automatisch aktiviert sind. Die Dienste, die unter dem Aspekt der Sicherheit kritischer sind wie beispielsweise WebDAV, müssen manuell aktiviert werden. Ebenso sind etliche ältere Scriptformate, die noch aus den ersten Versionen der IIS stammen, nach der Installation per Default deaktiviert.
Die Lernfähigkeit von Microsoft wird auch in einem anderen Bereich sichtbar. Zu den neuen Funktionen von Windows Server 2003 gehört die Role Based Access Control, kurz RBAC. RBAC ist ein gängiger Ansatz für die Definition von Rollen und die Vergabe von Zugriffsberechtigungen in Anwendungen. Beim Windows Server 2003 können solche Rollen zentral definiert und konfiguriert werden.
Allerdings ist diese erste Implementierung noch etwas umständlich in der Bedienung. Softwareentwickler, die sichere Anwendungen erstellen möchten, können nun auf Rollen zurückgreifen, die im System konfiguriert sind. Auf die aufwendige Entwicklung von eigenen Rollenkonzepten, die dann jeweils ebenso aufwendig administriert werden müssen, kann somit verzichtet werden.
Besser gelöst hat Microsoft auch die Bedienung bei IPsec. IPsec steht für IP Security und ist ein Standard für die Verschlüsselung der Kommunikation auf der Ebene des IP-Protokolls. Diese Chiffrierung ist - im Gegensatz beispielsweise zu SSL - transparent für Anwendungen und wird bei vielen Betriebssystemen unterstützt.
Während die IPsec-Konfiguration unter Windows 2000 aber noch reichlich umständlich war, gibt es jetzt einerseits zusätzliche Werkzeuge an der Befehlszeile und andererseits einen überarbeiteten Assistenten.
Neben diesen Änderungen und Erweiterungen lassen sich noch viele andere Detailoptimierungen aufzählen. Beispielsweise sind die Erstellung und die Verteilung von digitalen Zertifikaten und deren Erneuerung viel einfacher als noch bei Windows 2000.
Einige Funktionen, die man schon von Windows XP kennt, haben ebenfalls Eingang in Windows Server 2003 gefunden. Dazu zählt etwa die Unterstützung für sichere WLANs ebenso wie die Internetverbindungs-Firewall. Letztere ist vor allem für kleine Netzwerke interessant, kann aber komplexere und leistungsfähigere Firewall-Lösungen nicht ersetzen. Last but not least gibt es auch bei den Gruppenrichtlinien und den Sicherheitsrichtlinien etliche zusätzliche Parameter, mit denen die Stellschrauben der Sicherheit noch fester zugedreht werden können.
Die meiste Arbeit wurde aber unter der Oberfläche geleistet. Denn die typischen Angriffe der letzten Jahre waren vor allem Pufferüberläufe, bei denen zu lange Parameter an einen Dienst gesendet und von diesem nicht korrekt verarbeitet wurden - also schlicht Szenarien, bei denen Programmierfehler ausgenutzt wurden. Die Beseitigung solcher Schwachstellen in Verbindung mit der sichereren Konfiguration "out-of-the-box" werden helfen, die Zahl der entdeckten Sicherheitslücken bei Windows Server 2003 weiter zu reduzieren. Nichtsdestotrotz dürfte es nur eine Frage von Wochen sein, bis die ersten Sicherheitslecks im kommenden Serverbetriebssystem bekannt werden.