Diesen Monat stopf Microsoft so einige Sicherheitslücken in seinen Betriebssystemen und Anwendungen. Zwölf Sicherheitsupdates, sieben kritische und fünf als wichtig eingestufte, werden am nächsten Dienstag über die automatischen Updates ausgeliefert.

In den bisher veröffentlichten Informationen zu den Updates zeigt sich, dass eine breite Palette von Microsoft-Produkten betroffen ist:

• Windows in allen aktuellen Versionen
• Internet Explorer 6 und 7
• Windows Media Player 11
• Outlook Express 5.5 und 6
• Windows Messenger 4.7 und 5.1
• Access bis 2007
• Excel einschließlich 2007
• PowerPoint einschließlich 2007
• Word bis 2007

Spielen Sie daher die Updates zeitnah auf Ihren Rechnern im Netzwerk ein. 

Voraussichtlich erscheinen die Updates am 12.08. gegen Abend. Damit Ihnen die neuen Updates direkt angezeigt werden, geben Sie in der Kommandozeile den Befehl  wuauclt /detectnow ein. Der Dienst für die automatischen Updates auf Ihrem Rechner prüft dann umgehend, ob neue Updates vorliegen.

Das Internet Storm Center (ISC) hat eine Statistik veröffentlicht, die die Überlebenszeit frisch installierte Computer aufgezeigt, die ans Internet angeschlossen werden. Demnach dauert es nur durchschnittlich fünf Minuten bis ein System geknackt wird. Der Grund hierfür sind automatisierte Angriffe von Programmen, die das Internet permanent nach möglichen Opfern scannen und Standardangriffe auf ungeschützte Systeme durchführen. Systeme ohne aktuelle Sicherheitsupdates, wie beispielsweise direkt nach der Installation, sind hier besonders gefährdet. Selbstverständlich müssen Sie bei Betrachtung der Statistik berücksichtigen, dass in der Realität nicht alle Angriffsversuche erfolgreich sind. Die Zeitspanne ist jedoch trotzdem erschreckend kurz.
 
Das Haupteinfallstor sind offene Ports, ungeschützte Dienste und Sicherheitslücken. Denn nach einer Installation fehlen jedem Windows-System eine erhebliche Anzahl von Patches. In der kommenden Ausgabe von Windows Server Praxis zeigen wir Ihnen deshalb in einem Kurzartikel, wie Sie als Administrator auch Einzelplatzsysteme mit direktem Internetzugriff sicher installieren und dabei garantiert nicht im Patch-Chaos versinken. Eine zusätzliche Checkliste sichert Ihr Vorgehen zukünftig immer ab!

Was Forschern nun mit wenig Aufwand gelungen ist, bietet Hackern in Zukunft die Möglichkeit, ihre Exploits binnen kürzester Zeit automatisch generieren zu lassen.

Durch den Vergleich von Programmdateien vor und nach dem Einspielen eines Patches kann mit einfachen Mitteln herausgefunden werden, wie sich die durch den Patch beseitigte Schwachstelle ausnutzen lässt.

Die Forscher haben hierzu die jeweiligen Änderungen mit Debugging-Mechanismen ausfindig gemacht. Meist wird bei den Patches eine zusätzliche Abfrage von Werten ergänzt. Hierdurch sollen diejenigen Werte verhindert werden, durch die sich die Sicherheitslücke ausnutzen lässt.

Die neu enthaltene Abfrage verrät einem Angreifer jedoch, welche Werte er erzeugen muss, um die Schwachstelle für seine Zwecke zu missbrauchen.

Auf Basis der so gewonnen Informationen kann nach Aussage der Forscher binnen Sekunden automatisch ein Programm generiert werden, das die entsprechenden Werte erzeugt, die durch den Patch verhindert werden. Somit würde die betroffene Anwendung zum Absturz gebracht. Mit geringem Aufwand kann dies zu einem Exploit erweitert werden, der die Sicherheitslücke beispielsweise zur Infektion des Systems ausnutzt.

Allerdings müssen die Patches in Unternehmensumgebungen vor dem Einspielen ausführlich getestet werden. Sicher zu stellen, dass alle Sicherheitspatches binnen Minuten nach dem Erscheinen installiert sind, wird in den wenigsten Bereichen möglich sein.

Bisher gibt es leider noch keinen Ansatz, nach dem dieses Problem gelöst werden kann.

Ich empfehle Ihnen in Ihrem Unternehmen für das Testen von Patches Standardabläufe zu entwickeln. Legen Sie sich eine Checkliste mit Programmen Betriebsabläufen an, die Sie in Ihrem Testsystem durchgehen. So halten sie zumindest die Testzeit für Patches möglichst gering und schließen verheerende Behinderungen Ihrer Unternehmensabläufe trotzdem weitestgehend aus.

SMS-Spam, Telefonspam, Spam in Foren und Blogs, … die Liste der Methoden auf denen unerbetene Informationen Sie belästigen wird immer länger. Jetzt reiht sich ein weiterer Trick ein: Kalender-Spam.

Wundern Sie sich also nicht, wenn Sie demnächst eine Terminerinnerung darauf hinweist, dringend Aktien für $99 zu kaufen oder günstige Pillen aus dem Ausland zu bestellen.

Ursache hierfür ist, dass nun auch Googles Kalenderfunktion mit einem Trick zu einer Spamschleuder umfunktioniert wird. Die Spammer senden hierüber einfach Einladungen zu einem Termin an Ihre E-Mail Adresse. Natürlich handelt es sich nicht um einen Termin zu einem wichtigen Meeting, sondern es wird Ihnen die übliche Palette an sinnloser Werbung präsentiert.

Für viele Empfänger ist dies einfach eine Spam-Mail ohne weitere Auswirkungen. Ist allerdings die automatische Annahme von Terminen bei Ihnen aktiviert, z.B. in Outlook oder direkt auf dem Exchange Server, hat der Spammer sein Ziel erreicht. Obwohl Sie die Mail sofort gelöscht haben, befindet sich ein Eintrag in Ihrem Kalender, der Ihnen Tage, Wochen oder Monate nach dem Erhalt der E-Mail das Geschäft Ihres Lebens verspricht.

So geschehen übrigens bei einem Mitarbeiter des Internet Storm Centers  (ISC): für $150 gleich 1,2 Millionen kassieren, was für ein Angebot.

Zum Glück ist diese Methode noch nicht sonderlich verbreitet. Ich bin aber mal gespannt, was als nächstes kommt…

Prüfen Sie doch einmal, ob Termine in Ihrem Netzwerk automatisch angenommen werden. Wer weiß, was für Termine Sie sonst annehmen

Bei Outlook 2003 und 2007 finden Sie die Einstellung für das automatische Annehmen von Besprechungsanfragen in den Optionen unter “Kalenderoptionen” -> “Ressourcenplanung”. Wenn Sie einen Exchange Server 2007 nutzen, ist die Option ausgegraut, da sie auf dem Server konfiguriert wird.

P.S.: Mein Kalender ist übrigens diese Woche schon voll, Spamtermine bitte nicht vor den 05.05. datieren

Die aktuellen Updates von Microsoft sind für Sie als Internetnutzer unumgänglich. Neben dem Internet Explorer selber befinden sich gravierende Sicherheitslücken in der Bild- (Graphics Device Interface, GDI) und Script-Verarbeitung. Alleine durch den Aufruf einer Internetseite mit Manipulierten Inhalten kann Ihr Computer infiziert werden.

Hinzu kommen zusätzliche Fehler in Plugins, die Sicherheitslücken aufreißen. Die problematischen Module deaktiviert Microsoft hier mit Hilfe des sogenannten „Killbits“ in der Registrierung.

Insgesamt wurden fünf Updates als kritische und drei als hoch eingestuft.
Alle fünf kritischen Updates für verhindern für die jeweiligen Sicherheitslücken unter anderem das Einschleusen von Schadcode.

Betroffen sind hier im Einzelnen die folgenden Produkte:
• Microsoft Project 2000, 2002 und 2003: Durch das Öffnen manipulierte Project-Datei kann Ihr System infiziert werden.
• Graphics Device Interface (GDI): In allen Windows-Versionen ist durch veränderte EMF- oder WMF-Dateien ein Angriff möglich.
• VBScript/JScript unter Windows 2000, XP und Server 2003: Ein Angreifer kann Ihr System durch Ausnutzen der Scripting-Schwachstelle infizieren.
• ActiveX-Kill Bits: Hier wird unter anderem eine Sicherheitslücke im Plugin der Yahoo! Music Jukebox geschlossen.
• Internet Explorer 5 bis 7: Durch die Manipulation von Webseiten ist die Code-Einschleusungen auf Ihren Rechner möglich.

Die drei Updates mit hoher Einstufung beheben Fehler im Programm Visio, dem DNS-Client und im Windows-Kernel.

Spielen Sie die Updates schnellstmöglich ein, um die Sicherheitslücken zu schließen. In Netzwerken sollten Administratoren vor dem Einspielen die Kompatibilität mit den vorhandenen Systemen prüfen.

Detailliere Informationen zu den Updates hat Microsoft wie immer im Technet-Portal veröffentlicht.

Nicht immer haben Sie die Möglichkeit, bei der Verteilung von Windows-Updates eine zentrale Softwarelösung, z.B. den kostenlosen WSUS-Server, einzusetzen.

Aus diesem Grund bietet Microsoft Ihnen jeden Monat die neuesten Updates als ISO-Image zum Download an. Sie haben so die Updates des aktuellen Monats in zahlreichen Sprachversionen für Ihre Microsoft-Betriebssysteme zur Verfügung.

So enthält das aktuelle Image für den Monat April  mit seinen über 2 GB Größe die Updates MS08-020 bis MS08-025 für alle Windows-Betriebssysteme von Windows 2000 bis zum Windows Server 2008.

Laut Microsoft ist dieser Service besonders für Administratoren gedacht, die ohne zentrales Patch-Management Updates in vielen Sprachen bereitstellen müssen.

Auch wenn Ihr Unternehmen nicht international tätig ist: Oft sind Einzelsysteme vom Netzwerk losgelöst. Durch dieses Image wird Ihnen die Aktualisierung solcher Systeme enorm vereinfacht.

Ich selber verwende diese Update-Images direkt nach der Installation von Windows-Computern. So sind die Rechner mit den neuesten Sicherheitsupdates versorgt, bevor Sie an das Internet angeschlossen werden.

Das aktuelle Image erhalten Sie jeden Monat direkt von Microsoft.

Als Administrator müssen Sie häufig Software testen oder für andere Zwecke Ihre E-Mail Adresse preisgeben. Die Folge ist eine Flut an Werbemails, Newslettern und Spam.

Dabei benötigen Sie die Adresse meist nur, um einmalig einen Link in der Bestätigungsmail anzuklicken.

Mit dem Plug-In Temporary Inbox für den Firefox von Mozilla haben Sie nun temporäre E-Mail Adressen für solche Fälle zur Hand. Das Plug-In generiert diese in Echtzeit für Sie. Verwenden können Sie diese beispielsweiche dann, wenn Sie nicht von der Seriosität eines Internetangebots überzeugt sind und Ihre reale E-Mail Adresse schützen wollen.

Im Gegensatz zu anderen Anbietern, wie z.B. dem Portal Spamgourmet, das ich vor der Entdeckung von Temporary Inbox genutzt habe, werden die E-Mail Adressen nicht an Ihre reale Adresse weitergeleitet, sondern direkt über eine Firefox-Adressleiste abgerufen.

Nach der Installation des Plug-Ins klicken Sie in der Browserleiste auf „Random email“. Ihnen wird nun eine zufällige E-Mail Adresse angezeigt. Notieren Sie sich die zufällig generierte Nummer der Adresse, um die Mails später abrufen zu können.

Die Adresse ist nun für 6 Stunden gültig, genug Zeit um die automatische Mail von einer Registrierung abzurufen und den Bestätigungslink zu klicken.

Sie rufen neue E-Mails für die generierte E-Mail-Adresse ganz einfach ab, indem Sie die zufällig generierte Nummer in das Textfeld vor dem Button „Check“ eintragen und dann auf den Button selber klicken. Sie sehen nun im Browser empfangene E-Mails Ihrer temporären E-Mail-Adresse.

Durch das Plug-In für den Internet Explorer und die Möglichkeit, die Fake-Adressen direkt auf der Seite von Temporary Inbox anzulegen, können Sie auch ohne den Firefox temporäre E-Mail Adressen generieren. Übrigens ist auch für Opera ein Plug-In vorhanden. Falls Ihnen eine dauerhafte Weiterleitung auf Ihre richtige Adresse lieber ist, sehen Sie sich Spamgourmet ruhig einmal an

Viele Administratoren nutzen für Netzwerkpläne Visio von Microsoft. Mit einem Plug-In wird Visio nun um die Funktionalitäten des Microsoft Baseline Security Analyzers (MBSA) erweitert.

Das Add-In Microsoft Office Visio 2007 Connector for MBSA 2.1 bringt Ihnen die Funktionen des MBSA zum Prüfen Ihrer Netzwerkcomputer auf bekannte Schwächen und auf fehlende Patches direkt in Ihr Netzwerkdiagramm.

Damit Sie das Add-In einsetzen können, müssen Sie die folgenden Programme installiert haben:

• Visio 2003 Professional oder 2007 Prof.
• .NET Framework 2.0
• Microsoft Baseline Security Analyzer v2.1 (aktuell Beta 2)

Nach der Installation des Add-Ins starten Sie Visio wie gewohnt und wählen entweder ein Basis-Netzwerkdiagramm als Template aus. Ziehen Sie einen Server auf das Arbeitsblatt und tragen Sie den Hostnamen unter „Network Name“ oder die IP-Adresse unter „IP Address“ ein.

Wenn Sie nun den Mauszeiger über den Server platzieren, erscheint links unterhalb des Server-Symbols ein Informationszeichen (kleines “i”). Klicken Sie mit der linken Maustaste auf dieses Zeichen und wählen Sie „Perform Baseline Security Scan…“, um die Optionen für den Sicherheits-Scan zu öffnen, die bereits aus der eigenen Oberfläche des MBSA bekannt sind. Starten Sie hier den Scan.

Als Ergebnis bekommt Ihr Server eine Ampelfarbe zugeordnet, je nach Zustand des Systems. Den ausführlichen Bericht sehen Sie unter dem Zeichnungsblatt.

Anstatt nun alle Geräte in Ihrem Netzwerkdiagramm einzeln zu untersuchen, starten Sie am besten einen kollektiven Untersuchungsvorgang. Sobald Sie in Ihrem die IP-Adressen oder Hostnamen für Ihre Netzwerkobjekte eingetragen haben, tauchen diese innerhalb der Liste im Optionsfenster des MBSA-Scans auf und können für einen kollektiven Scan ausgewählt werden.

“Was bringt mir Vista mit Service Pack 1?” und “Sollte ich mit der Installation noch warten?” sind wohl die häufigsten Fragen, die ich von Kunden und Freunden in den letzten Tagen zu hören bekomme. Obwohl keine großen Neuerungen versprochen wurden: Die Leute sind heiß auf Service Pack 1.

Das neue Service Pack bringt in erster Linie Stabilität und Performance und kann für 32 Bit (ca. 434 MB) oder 64 Bit (ca. 726 MB) direkt bei Microsoft heruntergeladen werden. Über die automatischen Updates, bei denen nur die für das System relevante Daten übertragen werden, fällt die Datenmenge mit ca. 70 MB (32 Bit) und ca. 130 MB (64 Bit) allerdings erheblich geringer aus. Das Service Pack wird in den automatischen Updates ubrigens nicht angezeigt, wenn Software installiert ist, zu der bereits Probleme in Kombination mit dem Service Pack bekannt sind.

Die wichtigsten neuen Features sind aus meiner Sicht die fogenden:

• Alle vor SP1-Veröffentlichung erschienenen Sicherheitspatches sind enthalten
• Bitlocker kann nun auch andere Partitionen als die Boot-Partition verschlüsseln
• Die Verschlüsselung wird durch neue Methoden der Zufallszahl-Generierung verbessert
• Bessere Unterstützung des “Hot-Patchings”, wodurch in Zukunft weniger Neustarts bei Updates nötig sind
• Die Installation eines 64-Bit-Systems von einem 32-Bit-System, z.B. WinPE, ist nun möglich, wodurch in Unternehmensnetzwerken ab sofort ein Installations-Image für beide Versionen ausreicht

Weiterhin wurde an der Performance gefeilt, was sich besonders beim Booten, Herunterfahren und Kopiervorgängen bemerkbar macht.

Diese Meldung ist übigens nur auf den ersten Blick lustig: Sie sollten für die Installation wirklich 1-2 Stunden einplanen…

Bei der Installation des Service Packs habe ich mehrere Stolptersteine ausgemacht, die Sie beachten sollten:

• Es muss genügendFestplattenspeicher frei sein, der zumindest temporär genutzt wird:
  • 5,5 GB bei 32 Bit
  • 8 GB bei 64 Bit
  • “nur” 1,5 GB bei beiden Versionen, wenn die über die automatischen Updates installiert werden

• Einige Treiber führen zu Problemen bei oder nach der Installation. Aktualisieren Sie diese Treiber. Eine Liste der problematischen Treiber gibt es bei Microsoft.
• Auch Schutzsoftware, wie z.B. Virenscanner und Firewalls sollten Sie auf den neuesten Stand bringen. Da diese eng mit dem Betriebssystem zusammenarbeiten, können auch hier ansonsten Probleme entstehen.

Besonders bedauerlich für Unternehmen: “Slipstreaming” ist nicht vorgesehen!

Bisher war es z.B. bei Windows XP möglich, über den Parameter “/integrate” das Service Pack in eine vorhandene Installations-CD zu integrieren, um sich die nachträgliche Installation zu ersparen. Dies ist bei Vistas erstem Service Pack Microsoft vorbehalten. Zwar können Sie mit dem Parameter “-x” die .cap-Dateien extrahieren und z.B. über VLite in eine Installations-DVD einbinden, steht dann aber bei Problemen alleine dar - not supportet by Microsoft…

Vor der Verwendung des Service Packs auf Ihrem Produktivsystem, sollten Sie es auf einem identisch konfigurierten Testsystem, z.B. in einer virtuellen Machine, auf die Kompatibilität mit Ihrer restlichen Software prüfen.

Fazit: Vistas Service Pack lohnt sich alleine schon durch die Geschwindigkeitsvorteile. Wenn Sie vor der Installation die Stolperfallen beseitigen, steht dem erfolgreichen Einsatz des Service Packs nichts im Wege.

„Wie war das Kennwort nur gleich nochmal?“ - Diese Frage stellt sich in der Praxis leider viel zu häufig. Betrifft diese Frage das Administratoren-Kennwort, bereitet die Antwort richtig Kopfschmerzen. Sie beugen dem vor, indem Sie das Administrator-Kennwort für den Notfall sicher im Tresor hinterlegen. Wie aber gehen Sie dabei am besten vor? - Dazu meine Empfehlung:

1. Drucken Sie eine Liste der Zugangsdaten aus.
2. Legen Sie die Liste in ein Kuvert und versiegeln Sie das Kuvert mit einem individuellen Wachsstempel. So können Sie unerlaubten Aufbruch des Kuverts jederzeit feststellen. (Was kostet eigentlich eine individuelle Siegelgravur?- Siehe siegelgravur.de oder anthalion.de oder google.de ;-) )
3. Regeln Sie eindeutig den Zugriff auf den Tresor: Nur der IT-Verantwortliche oder die Geschäftsführung dürfen das Kuvert im Notfall öffnen.

Möchten Sie den Zugriff noch weiter absichern, empfehle ich Ihnen die Implementierung eines 4-Augen-Prinzips:

Legen Sie ein neues Domänen-Administrator-Konto an, dass nur im Notfall verwendet werden darf. Das Kennwort lassen Sie von zwei verschiedenen Verantwortungsträgern (z.B. Personen der Geschäftsführung) hintereinander eingeben: Bitten Sie zunächst die erste Person, den ersten Teil des Kennwortes einzugeben und versiegeln Sie die Zeichenketten in einem Umschlag. Dann bitten Sie die zweite Person, den zweiten Teil einzugeben und versiegeln den Teil ebenfalls.

Beide Umschläge lagern Sie nun in unterschiedlichen Tresoren, auf die unterschiedliche Verantwortungsträger Zugriff haben. Dadurch gewährlisten Sie, dass stets zwei Personen erforderlich sind, um das Kennwort zurück zu setzen.