goSecurity BLOG

Wer kennt das nicht? Ein neuer Server wird in Betrieb genommen und jeder ist froh, dass alles funktioniert. Am besten wird dieser Server nie wieder angefasst. Es könnte ja etwas kaputtgehen.

Leider falsch… In der heutigen, sich täglich wandelnden, IT-Umwelt ist es essentiell wichtig seine Server auch IT-sicherheitstechnisch auf einem guten Stand zu halten. Nachfolgend 10 Tipps, wie Sie Ihre Server mit geringem Aufwand sicherer machen können. Wenn Sie beim ein oder anderen Tipp denken: «Das ist ja selbstverständlich!», umso besser. Tatsächlich handelt es hierbei um die häufigsten Fehler, die wir bei Audits antreffen.

Installierte Software

Oft sind auf Windows-Servern, welche sich in einem produktiven Umfeld befinden, nicht für den Serverbetrieb notwendige Softwareprodukte von Drittanbietern installiert. Solche Produkte sind ein grosses Sicherheitsrisiko, da sie meist einmalig installiert, danach aber nicht gewartet werden. Gerade bei den beliebtesten dieser Produkte wie Adobe Reader, verschiedenen Browsern oder Java werden regelmässig neue, zum Teil gravierende, Sicherheitslücken aufgedeckt. Die Folge ist, dass sich Administratoren von den Servern aus mit einem veralteten und allenfalls mit mehreren Sicherheitslöchern aufweisenden Browser (häufig nicht über einen Proxy) auf Herstellerseiten und Foren bewegen, um Probleme zu lösen. Dieser Fremdverwendung des Servers kann mit dem Einsatz eines Firmenlaptops verhindert werden.

Eine Liste aller installierten Softwareprodukten befindet sich im «Control Panel» unter «Programms and Features».

Passwörter

Zu einfache, zu kurze, leicht knackbare oder durch Kombination erratbare Passwörter sind der Super-Gau in einer IT-Infrastruktur. Wenn ein Angreifer durch Social Engineering oder auf anderem Wege an Passwörter gelangt, kann er sich ohne Probleme einloggen und im schlimmsten Fall das komplette Netzwerk lahmlegen bzw. übernehmen, Firmengeheimnisse stehlen oder wichtige Daten verändern. Solche Manipulationen können für KMUs existentielle Probleme verursachen. Die aktuelle Empfehlung ist es, Mehr-Faktor-Authentifizierungen einzusetzen, sobald mit vertraulichen Daten gearbeitet wird. Handelt es sich um normale Daten die nicht vertraulich sind, reicht eine Ein-Faktor-Authentifizierung mittels Passwort aus. Dabei gilt es aber folgende Einstellungen zu beachten.

Abbildung 1: Active Directory, Empfohlene Passwortanforderungen

Windows Update

Wie auch schon die Drittanbietersoftware gilt es auch das Betriebssystem auf dem neusten Stand zu halten. Optimal für eine KMU-Serverumgebung ist es, wenn sämtliche Server einmal im Monat gepatcht werden. Reservieren Sie sich einen Tag im Monat, am besten kurz nach dem montlichen Windows-Patchday und aktualisieren Sie sämtliche IT-Systeme auf den neusten Stand. Dabei empfiehlt es sich, die Patches zuerst auf Test-Servern auf Herz und Nieren durchzuprüfen bevor diese auf die produktiven Servern aufgespielt werden.

Einen Überblick der Patch-Abstände und installierten Patches finden sie unter «Windows Update» – «View update history»

Antivirus

Netzwerkadministratoren achten oft penibel darauf, dass die Clients der User stets auf dem neusten Stand und mit aktuellen Virendefinitionen versehen sind. Oftmals gehen dabei die Server selber aber vergessen. Achten Sie darauf, dass auch sämtliche Server mit einem stets aktuell gehaltenen Antivirenprogramm versehen sind und zentral überwacht werden.

Aktive Sessions

Wenn sich ein Benutzer nicht ordnungsgemäss vom Server abmeldet, entstehen Aktive Sessions. Die Anmeldeinformationen dieser Accounts werden dann im Zwischenspeicher des Systems gespeichert und können von einem Angreifer, welcher das System erfolgreich übernommen hat ausgelesen werden. Im schlimmsten Fall werden diese Informationen im Klartext gespeichert. Aber auch mittels eines Passwort-Hashes kann sich ein Angreifer an weiteren Systemen anmelden, sofern das gleiche Passwort verwendet wird. Daher sollte besonders darauf geachtet werden, dass der Administrator-Account nur dann verwendet wird, wenn administrative Arbeiten getätigt werden müssen. Achten Sie ebenfalls darauf sich bei getaner Arbeit richtig abzumelden, um aktive Sessions zu vermeiden.

Aktive Sessions finden Sie im «Task Manager» Ihres Server im Tab «Users».

Abbildung 2: Aktive Sessions

Internet Zugriff des Servers

Server benötigen grundsätzlich keinen Zugriff ins Internet. Es gibt Ausnahmen wie DNS-Server, Zeitserver, WSUS-Server oder Antiviren-Server. Aber auch bei diesen Servern sollten nur die jeweiligen Ziel IPs und die benötigten Ports freigeschalten werden. So wird verhindert, dass mit dem Server im Internet gesurft (Problem-Lösungs-Suche direkt am Server) oder ungewollte Verbindungen hergestellt werden.

Service Accounts (Dienste / Scheduled Tasks)

Mehrheitlich werden Dienste auf Servern (z.B. SQL Dienste) mit einem Account ausgeführt, welcher auf dem Server lokale Administratorenrechte besitzt. Dies ist IT-Sicherheitstechnisch als gefährlich einzustufen. Geling es einem Angreifer diesen einen Dienst zu kapern, kann dieser den Server komplett übernehmen.

Werden Dienste wiederum mit den niedrigst möglichen Rechten ausgeführt, kann dieses Risiko minimiert werden. Achten Sie darauf stets Service Accounts zu verwenden und statten Sie diese nur mit den Rechten aus, welche auch benötigt werden.

Das gleiche gilt auch für Scheduled Tasks (geplante Aufgaben).

Persönliche Adminaccounts

Netzwerkadministratoren geben sich selbst bzw. ihrem Active Directory-Account oft Domänen-Admin-Rechte um ihre Arbeit an den Servern möglichst bequem und schnell zu gestalten. Diese Accounts werden dann aber auch für normale tägliche Arbeiten und Ausflüge ins World Wide Web verwendet. Beachten Sie, dass wenn ein Angreifer es schafft einen solchen Account zu übernehmen automatisch Domänen-Admin-Rechte hat.

Achten Sie darauf, dass auch Netzwerk-Admins und andere IT-Mitarbeiter über zwei Accounts verfügen. Einen für tägliche Arbeiten mit normalen User-Rechten und einen Domänen-Admin mit welchem nur Arbeiten erledigt werden, welche höhere Rechte benötigen. So lässt sich das Risiko einer feindlichen Übernahme verkleinern.

RDP Einstellungen

Heutzutage werden Server meist Remote verwaltet. Da kommen die RDP NLA Einstellungen ins Spiel. NLA (Network Level Authentifikation) stellt sicher, dass veraltete Clients mit Sicherheitslücken nicht mehr per RDP auf den Server verbinden können. Ebenso schont NLA die Ressourcen, da eine vollständige Remote Sitzung erst nach erfolgreicher Authentifizierung aufgebaut wird.

Sie können die RDP Einstellungen ihres Servers wie folgt überprüfen:

Abbildung 3: RDP Einstellungen 1

Rechtsklick auf den Windows-Button -> System

Abbildung 4: RDP-Einstellungen 2

Linksklick auf Remote settings

Abbildung 5: RDP-Einstellungen 3

Hier finden Sie die gesuchten NLA-Einstellungen.

NTLM

Passwörter sämtlicher Windows Benutzer werden entweder als LM- oder als NTLM-Hash abgespeichert. LM-Hashes gelten als unsicher, da auch vermeintlich sichere Passwörter rasch geknackt werden können. Windows Server 2003 und Windows XP3 verwenden aus Kompatibilitätsgründen standardmässig LM-Hashes. Per Gruppenrichtlinie kann verhindert werden, dass LM-Hashes gespeichert werden können. Zu beachten gilt es hier aber, dass diese Einstellung nicht für die Passworthistorie gilt. Setzen Sie deshalb den Historie Wert zuerst auf 1 und fordern Sie alle Benutzer auf, dass Passwort zu ändern. Anschliessend kann der Historie Wert wieder gesetzt und das Resultat verifiziert werden.

Diese Richtlinie finden Sie wie folgt:

In den Gruppenrichtlinien muss die Computer Configuration geöffnet werden. Dann geht’s weiter zu Windwos Settings -> Security Settings -> Local Policies -> Security Options

In der Liste der verfügbaren Richtlinien wählen Sie nun «Network security: Do not store LAN Manager hash value on next password change» und schalten diese Einstellung auf «Enabled». Diese Einstellung muss noch mit OK bestätigt werden, damit sie übernommen wird.