Taunusstrasse 8
61197 Florstadt

+49 (6035) 70984 0
info@sinetcon.com

Desktop Sicherheit

Wenden Sie eine „Tiefenverteidigungsstrategie” an

Die „Tiefenverteidigungsstrategie“ stellt eine umfassende Sicherheitsphilosophie dar, die Ihre Computerumgebung vor unzähligen Angriffsflanken schützt.

Eine der wenigen Konstanten des Desktop Computings ist, dass nichts je gleich bleibt. In den meisten Fällen ist dies durchaus positiv. Der kontinuierliche Wandel unserer Computerumgebung ist das Resultat von Innovation und Kreativität. Er eröffnet uns neue Möglichkeiten der Interaktion, Kooperation und Verbindung mit unserer Umwelt.

Ebenso wie das Umfeld des Desktop Computings ändert sich jedoch auch das der Desktopsicherheit. Im Zuge neuartiger Plattformen und Daten entstehen auch neue Gefahren. IT-Experten müssen die Augen offen halten und sich mit den verfügbaren Praktiken und Tools zur Abwehr dieser Gefahren vertraut machen.

In Sachen Desktopsicherheit stellt die „Tiefenverteidigungsstrategie“ eine umfassende Sicherheitsphilosophie dar. Diese Strategie schützt die Computerumgebung vor möglichst vielen potenziellen Angriffsflanken. Wir beschäftigen uns im Folgenden damit, wie Ihre Desktopumgebung am besten vor unerwünschter und schädlicher Software geschützt werden kann, welche neuen Technologien die Benutzer und Daten unterwegs schützen und welche Tools die IT-Manager beim Management diversifizierter Computerumgebungen unterstützen.

Malware

Technologisch versierte Straftäter nehmen Ihre Desktopcomputer unermüdlich unter Beschuss. Damit einher gehen unglücklicherweise immer kreativere Versuche, Endbenutzer zur Installation von Malware auf ihren Computern zu verleiten. Zum Glück sind eine Reihe von Tools verfügbar, mit denen die Benutzer und die verbundene Infrastruktur geschützt werden können.

Die Benutzerkontensteuerung (User Account Control, UAC) ist eine Funktion, die unter Windows Vista neu eingeführt wurde. Mit Hilfe dieser Steuerung können Benutzer und Administratoren den Zugriff auf Administratorrechte in der Desktopcomputerumgebung schützen. Die Benutzer können mit den Standardbenutzerrechten alle erforderlichen Aufgaben ausführen. Die administrativen Funktionen der Systeme sind so vor Malware geschützt, die versucht, ohne das Wissen des Benutzers auf Daten zuzugreifen oder Aufgaben auszuführen.

In Windows 7 wurde die Benutzerkontensteuerung in einigen wesentlichen Punkten verbessert. Die Endbenutzererfahrung wurde durch eine Reduzierung der administrativen Funktionen optimiert, für die eine Erweiterung der Rechte erforderlich war.  Darüber hinaus wurde in Windows 7 eine automatische Rechteerweiterung für digital signierte Windows-Programme und neue Betriebsmodi für eine präzisere Steuerung von Ereignissen, die eine explizite Erweiterung erfordern, eingeführt. Eine ausführliche Beschreibung der Benutzerkontensteuerung und des dadurch bereitgestellten Schutzes Ihrer Desktopcomputerumgebung finden Sie im Artikel Einblick in die Windows 7-Benutzerkontensteuerung von Mark Russinovich von Juli 2009.

AppLocker ist eine weitere neue Funktion in Windows 7, mit der Administratoren genau festlegen können, welche Programme in der Umgebung ausgeführt werden dürfen. AppLocker basiert auf den Grundlagen der Softwarebeschränkungsrichtlinien, die in Windows XP und Windows Vista neu eingeführt wurden. Administratoren können hiermit die Installation bestimmter Anwendungen auf den Desktops zulassen oder verweigern.

AppLocker erweitert die Möglichkeiten der Softwarebeschränkungsrichtlinien durch die Integration von Regeln, die auf den digitalen Signaturen der Anwendungen basieren. Auf diese Weise können Administratoren Anwendungen, deren Installation verweigert werden soll, identifizieren, ohne bei jeder Änderung eines Attributs des Programms (z. B. Zeitstempel oder Versionsnummer) die Regeln aktualisieren zu müssen. Das Regelmodul in AppLocker sorgt dabei für höchste Präzision (siehe Abbildung 1). Administratoren können so problemlos umfangreiche Regeln erstellen, die auch notwendige Ausnahmen zulassen.

Abbildung 1 Konfiguration von AppLocker in Windows 7

Darüber hinaus können die AppLocker-Regeln einem bestimmten Benutzer oder einer bestimmten Gruppe innerhalb einer Organisation zugeordnet werden. Auf diese Weise werden spezifische Steuerungen bereitgestellt, mit denen Sie Anforderungen an die Einhaltung von Vorschriften sowie Sicherheitsvorgaben erfüllen können, indem Sie überprüfen und erzwingen, welche Benutzer bestimmte Anwendungen ausführen können.

Benutzerkontensteuerung und AppLocker stellen robuste Mechanismen bereit, mit denen Sie die Installation und Nutzung von Anwendungen auf jedem Computer präzise steuern können. Der nächste Schritt wäre die Erweiterung um Forefront Client Security, ein leistungsstarkes Antiviren- und Antispywaremodul mit Dateischutz in Echtzeit. Sollte eine schädliches Element doch seinen Weg in Ihre Desktopcomputerumgebung finden, können Sie dieses dank der ständig aktualisierten Filter von Forefront Client Security nicht nur erkennen, sondern die Gefahr auch umgehend neutralisieren.

Daten unterwegs

Eine der grundlegendsten Änderungen des letzten Jahrzehnts ist die Tatsache, dass die Computernutzung immer seltener am Desktop stattfindet. Laptops, Netbooks und eine breite Palette an Mobilgeräten machen heute den Löwenanteil unserer Computerplattformen aus. Die Benutzer sind wesentlich mobiler, genau wie ihre Daten. Dies hat selbstverständlich große Vorteile, geht jedoch auch mit gewissen Risiken einher. Laptops und andere tragbare Geräte gehen leichter verloren, werden vergessen oder gestohlen, wodurch potenziell vertrauliche Informationen in unbefugte Hände gelangen können.

Um Sie und Ihre Benutzer vor einem Datenverlust oder Diebstahl zu schützen, gibt es jedoch eine Reihe von Möglichkeiten. Die BitLocker-Laufwerksverschlüsselung (kurz BitLocker) schützt vor einem unbefugten Zugriff auf Ihr Laptop oder Netbook. Die auf dem verschlüsselten Laufwerk gespeicherten Dateien (siehe Abbildung 2) sind geschützt und können von unbefugten Benutzern nicht abgerufen werden. Die Datenverschlüsselung auf Ebene des kompletten Laufwerks, die Integritätsprüfung früh verwendeter Startkomponenten und die optionale Anforderung einer PIN oder eines USB-Flashlaufwerks mit Schlüsselinformationen beim Start bieten Benutzern und Administratoren mehr Sicherheit in Sachen Datenintegrität, wenn ein Mobilgerät einmal verloren geht oder gestohlen wird.

Abbildung 2 BitLocker-Laufwerksverschlüsselung zum Sperren von Daten auf Laufwerksebene

Der Verlust von Laptops und Netbooks ist jedoch nur ein Aspekt der Problematik. Häufig werden tragbare Speichergeräte, beispielsweise USB-Flashlaufwerke, auch einfach verlegt. Mit Hilfe von USB-Flashlaufwerken können große Datenmengen zu sehr geringen Kosten gespeichert werden, was sie zu einer sehr attraktiven Speichermöglichkeit macht. Gleichzeitig erhöht sich jedoch die Gefahr, wenn diese zum Speichern sensibler Daten genutzt werden. BitLocker To Go nimmt Ihnen diese Sorge, indem es die BitLocker-Funktionalität auf Wechseldatenträger erweitert.

Angesichts der höheren Benutzermobilität müssen Daten nicht nur geschützt werden, wenn sie auf physischen Medien gespeichert sind, sondern auch während der Übertragung in öffentlichen Netzen. DirectAccess ist eine neue Funktion, die in Windows 7 eingeführt wurde. Sie erhöht die Sicherheit, wenn Sie von unterwegs eine Verbindung zum Unternehmensnetzwerk herstellen.

Basierend auf standardisierten Technologien wie Internet Protocol Security (IPsec) und Internet Protocol Version 6 (IPv6) ermöglicht DirectAccess Benutzern, mühelos von einem externen Standort eine Verbindung zum Unternehmensnetzwerk herzustellen, ohne dass eine separate VPN-Verbindung erforderlich wäre. DirectAccess verwendet IPsec-Verschlüsselungsmethoden wie Triple Data Encryption Standard (3DES) und Advanced Encryption Standard (AES), um die Sicherheit der Daten während der Übertragung zu gewährleisten. Weitere Informationen über DirectAccess und die optimale Nutzung in Kombination mit Netzwerkzugriffsschutz finden Sie im Artikel The Cable Guy: DirectAccess mit Netzwerkzugriffsschutz (Network Access Protection, NAP) von Joseph Davies von Juni 2010.

Je mehr Anwendungs- und Geschäftsaufgaben in der Cloud erfolgen, umso wichtiger ist es, dass Webbrowser eine möglichst sichere Umgebung für das Online-Computing bereitstellen. Internet Explorer 9, der in Kürze veröffentlich wird, basiert auf einem soliden Fundament von Internetsicherheitsfunktionen, wartet aber gleichzeitig mit einigen lang ersehnten Verbesserungen auf.

Beispielsweise enthält Internet Explorer 9 einen Cross-Site-Scripting-Filter (XSS), mit dem diese momentan so populäre Art des Angriffs erkannt werden kann. XSS-Angriffe zielen darauf ab, legitime Websites durch schädlichen Code zu verunreinigen.

Erkennt der XSS-Filter in Internet Explorer 9 eine Schwachstelle, deaktiviert er die schädlichen Skripts. Darüber hinaus bietet Internet Explorer 9 einen optimierten SmartScreen-Filter, der es Benutzern erleichtert, schädliche Websites, beispielsweise mit Phishing-Angriffen oder Malware, zu erkennen und zu umgehen. Erfahren Sie mehr über Internet Explorer 9 und laden Sie eine Betaversion herunter.

Optimiertes Management

Für IT-Experten ist es wichtig, dass Bereitstellung, Verwaltung und Wartung der Sicherheitstechnologien und –richtlinien möglichst einfach und effizient sind. Windows 7 bietet eine Reihe von Tools, mit denen Sie die Verwaltung der Desktopsicherheitsinfrastruktur optimieren können.

Beispielsweise sind Windows PowerShell Cmdlets nun auch für Gruppenrichtlinien verfügbar. Durch die Verwendung dieser leistungsfähigen Befehlszeilenshell und Skriptsprache können Sie nun eine Vielzahl von Aufgaben im Zusammenhang mit Gruppenrichtlinien auf einfache Weise automatisieren und verwalten. Sie können Gruppenrichtlinienobjekte erstellen, deren Verbindung mit Active Directory-Containern definieren, registrierungsbasierte Richtlinieneinstellungen konfigurieren und Vieles mehr. Auf diese Weise stellen Sie sicher, dass jeder Desktop in der Umgebung der von den Administratoren festgelegten Sicherheitskonfiguration entspricht.

Es ist wichtig, dass Sie die Art der Softwarebereitstellung im Unternehmen steuern, um ein Eindringen potenziell gefährlicher Software zu verhindern. Der ActiveX-Installationsdienst unterstützt Sie bei der Bereitstellung von ActiveX-Steuerelementen mittels Gruppenrichtlinien. So wird sichergestellt, dass Sie diese effizienten Steuerelemente installieren und verwalten können, die die Weberfahrungen der Benutzer maßgeblich verbessern, ohne dabei die Integrität der Desktopsicherheitssteuerung, beispielsweise die Benutzerkontensteuerung, aufs Spiel zu setzen.

Böswillige Angriffe werden sich auch in Zukunft auf die Innovationen im Desktop Computing einstellen. Eine umfassende „Tiefenverteidigungsstrategie“ trägt jedoch wesentlich zur Sicherheit der Benutzer und der wichtigen Geschäftsdaten bei.

.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.