RRZN - Sicherheitsmängel

Hier eine kleine Zusammenstellung der gravierendsten Sicherheitsmängel:

XP stattet nach der Neuinstallation jeden Nutzer mit Administrator Rechten aus, also nach der Installation unbedingt die Rechte der einzelnen Benutzer auf eingeschränkt stellen. Es sollte nach Möglichkeit nur ein Administrator-Account im System existieren. Der Builtin- Administrator-Account (der Account den man bei der Installation einmalig angelegt hat) wird aber im Login Screen nicht angezeigt und man kann sich auch nicht mit diesem anmelden. Trotzdem keinen neuen Administrator-Account anlegen, sondern den Builtin-Administrator-Account zum Login Screen hinzufügen. Er befindet sich tief im System versteckt und stellt so ein potentielles Sicherheitsrisiko da. Es gibt leider nur einen sehr umständlichen Weg. In der Windows Registry muss man unter dem Ordner HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList einen neuen Schlüssel mit dem Namen des Accounts hinzufügen und den Wert auf 1 setzen. Danach erscheint der Account bei der nächsten Anmeldung.
Der Universal Plug and Play (UPnP) Dienst, welcher Peer-to-peer Plug and Play Funktionalitäten für Netzwerkgeräte bereitstellt, weist mehrere Schwachstellen auf. Bei Windows XP wird dieser Dienst standardmäßig mitinstalliert. Die anderen Windows Versionen sind nur betroffen, wenn der Internet Connection Sharing Client, welcher mit Windows XP ausgeliefert wird, auf dem System installiert wurde. Durch aktiviertes UPnP ist einem Angreifer z.B. möglich über das Netzwerk beliebigen Programmcode mit administrativen Privilegien ausführen. Es gibt ein Tool, welches Unpnp bei Windows XP deaktiviert. Unter www.grc.com/unpnp/unpnp.htm (ist auch wieder umkehrbar).
Windows XP Home führt voreingestellt alle Applikationen mit vollen administrativen ("root") Privilegien aus und bietet jedem User damit volle UNIX Raw Sockets Unterstützung. Dieses war eigentlich nur für die Internet Protokoll Forschungen gedacht und an den Administrator- Account gebunden. Bisher fand sich in keinem Windows für Heimanwender eine volle Unterstützung für Raw-Sockets. Damit war es den Heimanwendern unmöglich, auf den Kern der Netzwerk-Struktur zuzugreifen. Mit der Home-Edition von Windows XP ändert sich das. So kann z.B. ein eingeschleuster Trojaner auf einem XP-Home-System direkt auf den Netzwerk-Kern zugreifen und dadurch enormen Schaden anrichten. Wird etwa ein Trojaner zu einer Denial-of-Service-Attacke benutzt, kann er nun die IP-Adresse des befallenen Systems verschleiern und somit unentdeckt bleiben. Um den Zugriff auf Raw-Sockets für jeden User auszuschalten gibt es das Tool SocketLock. Das Tool gibt es unter grc.com/dos/sockettome.htm.
Windows XP hat standardmäßig einen Service implementiert, der sich Remote Assistance nennt. Mit diesem wird eine Fernwartung des Systems ermöglicht. Dieser Dienst nutzt den gleichen Code wie der Microsoft Terminal Server, für den mittlerweile 251 Sicherheitslücken und Patches bekannt sind. Es wird empfohlen diese Möglichkeit auszuschalten. Über SYSTEMSTEUERUNG > LEISTUNG UND WARTUNG > SYSTEM > REMOTE beide Häkchen entfernen.
In der Benutzerverwaltung von Windows XP (unter START > SYSTEMSTEUERUNG > LEISTUNG UND WARTUNG > VERWALTUNG > COMPUTERVERWALTUNG > Lokale Benutzer und Gruppen), existiert ein von Windows XP automatisch angelegtes Konto mit dem Namen <Support_388945a0>, welches laut Microsoft nur für den OEM-Vertrieb Bedeutung hat. Dieses am besten löschen da es sich um eine mögliche Hintertür handeln könnte.
Bei Windows XP ist standardmäßig die sehr wichtige Einstellung <Erweiterungen bei bekannten Dateiendungen anzeigen> nicht gesetzt. Dies ermöglicht gefährlichen Programmen, wie z.B. Würmer und Viren den Benutzer auszutricksen. Eines der bekanntesten Beispiele hierfür war der Virus Love-Letter-For-You.txt.vbs. Die Dateiendung .vbs wird von Windows XP nicht angezeigt. Diese Sicherheitslücke lässt sich zum Glück leicht beheben, einfach unter ARBEITSPLATZ > EXTRAS > ORDNEROPTIONEN > ANSICHT das Häkchen bei <Erweiterungen bei bekannten Dateiendungen anzeigen> setzen.
Statt des altbekannten "Press Ctrl-Alt-Del to logon" benutzt XP einen Linux ähnlicher Logon-Screen. Alle eingetragenen Benutzer sind dort mit einem Icon aufgelistet. Man muss nur noch das entsprechende Icon anklicken und kann dann das Passwort eingeben oder wird gleich eingeloggt, wenn kein Passwort vergeben ist. Sicherheitstechnisch ist dies sehr bedenklich. Ein Eindringling erfährt auf diese Weise sogleich die möglichen Benutzernamen und muss nur noch das Passwort herausfinden. Außerdem bietet XP dem Benutzer die Möglichkeit an, einen Hinweis auf das Passwort einzublenden. Dann reicht oft schon ein wenig "Social Engineering" und das System ist offen. Es wird empfohlen in den alten Anmelde Modus umzuschalten. Hierfür einfach unter Einstellungen > Benutzerkonten > Art der Benutzeranmeldung ändern das Häkchen bei Willkommensseite verwenden entfernen.
Windows XP hat standardmäßig die Administrativ Shares eingeschaltet. Das heißt, dass jede Datei auf der Festplatte im Netzwerk freigegeben ist. Zwar können nur Mitglieder der Administratoren Gruppe auf diese Dateien zugreifen, aber diese Voreinstellung kann es Hackern erleichtern Zugriff auf bestimmte Bereiche zu bekommen auf die sie eigentlich keinen Zugriff hätten. So sind z.B. als Voreinstellung C: und C:\Windows freigegeben. Man kann diese Freigabe entfernen indem man auf die jeweiligen Verzeichnisse geht und dann mit rechts klickt und Eigenschaften auswählt. Dort geht man auf das Freigabe Tab und setzt das Häkchen bei “Diesen Ordner nicht freigeben”. Durch das $ im Freigabenamen wurden die Ordner in der Netzwerkumgebung nicht angezeigt. Leider werden die Freigaben bei jedem neuen booten von Windows XP erneut gesetzt. Man kann die Shares nur permanent entfernen, indem man in der Registry im Ordner HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\LanmanServer\Parameters die Werte von AutoShareServer (für einen Server) oder AutoShareWks (für eine Workstation) auf Null setzt. Wenn die Schlüssel nicht existieren muss man sie anlegen.
Windows XP besitzt als erstes Microsoft Betriebssystem eine eigene Firewall. Gegen Angriffe aus dem Web leistet diese Firewall ihren Dienst recht ordentlich. Allerdings werden nur eingehende Verbindungsanfragen blockiert. Ist ein schädliches Programm wie ein Trojaner auf Ihrem Rechner installiert, der Daten ins Netz sendet, reagiert die Firewall nicht. Wird ein Microsoft-Programm gestartet, das auf das Web zugreift, öffnet die integrierte Firewall ohne Wissen des Users verschiedene Ports, und ignoriert dabei die Einstellungen.

	IT-Sicherheit > Risiken & Maßnahmen > Windows XP > Sicherheitsmängel
RRZN Organisation IT-Support Forschung und Lehre E-Mail Internet Backup und Archiv IT-Sicherheit Ernstfall Antivirensoftware Firewall Risiken & Maßnahmen Browsersicherheit Windows XP Passwörter Sichere E-Mail Data-Leakage Windows Fernwartung Serversicherheit Skype Softwareaktualität Windows Update Embedded Systems Zertifizierung (UH-CA) LUH-Regelungen Dokumente & Links Hochleistungsrechnen Clustersystem Software RRZN-Handbücher Kurse Leibniz Universität Hannover	Hier eine kleine Zusammenstellung der gravierendsten Sicherheitsmängel: XP stattet nach der Neuinstallation jeden Nutzer mit Administrator Rechten aus, also nach der Installation unbedingt die Rechte der einzelnen Benutzer auf eingeschränkt stellen. Es sollte nach Möglichkeit nur ein Administrator-Account im System existieren. Der Builtin- Administrator-Account (der Account den man bei der Installation einmalig angelegt hat) wird aber im Login Screen nicht angezeigt und man kann sich auch nicht mit diesem anmelden. Trotzdem keinen neuen Administrator-Account anlegen, sondern den Builtin-Administrator-Account zum Login Screen hinzufügen. Er befindet sich tief im System versteckt und stellt so ein potentielles Sicherheitsrisiko da. Es gibt leider nur einen sehr umständlichen Weg. In der Windows Registry muss man unter dem Ordner HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList einen neuen Schlüssel mit dem Namen des Accounts hinzufügen und den Wert auf 1 setzen. Danach erscheint der Account bei der nächsten Anmeldung. Der Universal Plug and Play (UPnP) Dienst, welcher Peer-to-peer Plug and Play Funktionalitäten für Netzwerkgeräte bereitstellt, weist mehrere Schwachstellen auf. Bei Windows XP wird dieser Dienst standardmäßig mitinstalliert. Die anderen Windows Versionen sind nur betroffen, wenn der Internet Connection Sharing Client, welcher mit Windows XP ausgeliefert wird, auf dem System installiert wurde. Durch aktiviertes UPnP ist einem Angreifer z.B. möglich über das Netzwerk beliebigen Programmcode mit administrativen Privilegien ausführen. Es gibt ein Tool, welches Unpnp bei Windows XP deaktiviert. Unter www.grc.com/unpnp/unpnp.htm (ist auch wieder umkehrbar). Windows XP Home führt voreingestellt alle Applikationen mit vollen administrativen ("root") Privilegien aus und bietet jedem User damit volle UNIX Raw Sockets Unterstützung. Dieses war eigentlich nur für die Internet Protokoll Forschungen gedacht und an den Administrator- Account gebunden. Bisher fand sich in keinem Windows für Heimanwender eine volle Unterstützung für Raw-Sockets. Damit war es den Heimanwendern unmöglich, auf den Kern der Netzwerk-Struktur zuzugreifen. Mit der Home-Edition von Windows XP ändert sich das. So kann z.B. ein eingeschleuster Trojaner auf einem XP-Home-System direkt auf den Netzwerk-Kern zugreifen und dadurch enormen Schaden anrichten. Wird etwa ein Trojaner zu einer Denial-of-Service-Attacke benutzt, kann er nun die IP-Adresse des befallenen Systems verschleiern und somit unentdeckt bleiben. Um den Zugriff auf Raw-Sockets für jeden User auszuschalten gibt es das Tool SocketLock. Das Tool gibt es unter grc.com/dos/sockettome.htm. Windows XP hat standardmäßig einen Service implementiert, der sich Remote Assistance nennt. Mit diesem wird eine Fernwartung des Systems ermöglicht. Dieser Dienst nutzt den gleichen Code wie der Microsoft Terminal Server, für den mittlerweile 251 Sicherheitslücken und Patches bekannt sind. Es wird empfohlen diese Möglichkeit auszuschalten. Über SYSTEMSTEUERUNG > LEISTUNG UND WARTUNG > SYSTEM > REMOTE beide Häkchen entfernen. In der Benutzerverwaltung von Windows XP (unter START > SYSTEMSTEUERUNG > LEISTUNG UND WARTUNG > VERWALTUNG > COMPUTERVERWALTUNG > Lokale Benutzer und Gruppen), existiert ein von Windows XP automatisch angelegtes Konto mit dem Namen <Support_388945a0>, welches laut Microsoft nur für den OEM-Vertrieb Bedeutung hat. Dieses am besten löschen da es sich um eine mögliche Hintertür handeln könnte. Bei Windows XP ist standardmäßig die sehr wichtige Einstellung <Erweiterungen bei bekannten Dateiendungen anzeigen> nicht gesetzt. Dies ermöglicht gefährlichen Programmen, wie z.B. Würmer und Viren den Benutzer auszutricksen. Eines der bekanntesten Beispiele hierfür war der Virus Love-Letter-For-You.txt.vbs. Die Dateiendung .vbs wird von Windows XP nicht angezeigt. Diese Sicherheitslücke lässt sich zum Glück leicht beheben, einfach unter ARBEITSPLATZ > EXTRAS > ORDNEROPTIONEN > ANSICHT das Häkchen bei <Erweiterungen bei bekannten Dateiendungen anzeigen> setzen. Statt des altbekannten "Press Ctrl-Alt-Del to logon" benutzt XP einen Linux ähnlicher Logon-Screen. Alle eingetragenen Benutzer sind dort mit einem Icon aufgelistet. Man muss nur noch das entsprechende Icon anklicken und kann dann das Passwort eingeben oder wird gleich eingeloggt, wenn kein Passwort vergeben ist. Sicherheitstechnisch ist dies sehr bedenklich. Ein Eindringling erfährt auf diese Weise sogleich die möglichen Benutzernamen und muss nur noch das Passwort herausfinden. Außerdem bietet XP dem Benutzer die Möglichkeit an, einen Hinweis auf das Passwort einzublenden. Dann reicht oft schon ein wenig "Social Engineering" und das System ist offen. Es wird empfohlen in den alten Anmelde Modus umzuschalten. Hierfür einfach unter Einstellungen > Benutzerkonten > Art der Benutzeranmeldung ändern das Häkchen bei Willkommensseite verwenden entfernen. Windows XP hat standardmäßig die Administrativ Shares eingeschaltet. Das heißt, dass jede Datei auf der Festplatte im Netzwerk freigegeben ist. Zwar können nur Mitglieder der Administratoren Gruppe auf diese Dateien zugreifen, aber diese Voreinstellung kann es Hackern erleichtern Zugriff auf bestimmte Bereiche zu bekommen auf die sie eigentlich keinen Zugriff hätten. So sind z.B. als Voreinstellung C: und C:\Windows freigegeben. Man kann diese Freigabe entfernen indem man auf die jeweiligen Verzeichnisse geht und dann mit rechts klickt und Eigenschaften auswählt. Dort geht man auf das Freigabe Tab und setzt das Häkchen bei “Diesen Ordner nicht freigeben”. Durch das $ im Freigabenamen wurden die Ordner in der Netzwerkumgebung nicht angezeigt. Leider werden die Freigaben bei jedem neuen booten von Windows XP erneut gesetzt. Man kann die Shares nur permanent entfernen, indem man in der Registry im Ordner HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\LanmanServer\Parameters die Werte von AutoShareServer (für einen Server) oder AutoShareWks (für eine Workstation) auf Null setzt. Wenn die Schlüssel nicht existieren muss man sie anlegen. Windows XP besitzt als erstes Microsoft Betriebssystem eine eigene Firewall. Gegen Angriffe aus dem Web leistet diese Firewall ihren Dienst recht ordentlich. Allerdings werden nur eingehende Verbindungsanfragen blockiert. Ist ein schädliches Programm wie ein Trojaner auf Ihrem Rechner installiert, der Daten ins Netz sendet, reagiert die Firewall nicht. Wird ein Microsoft-Programm gestartet, das auf das Web zugreift, öffnet die integrierte Firewall ohne Wissen des Users verschiedene Ports, und ignoriert dabei die Einstellungen.
	Top Druckversion Letzte Änderung: 07.07.2006 Birgit Gersbeck-Schierholz

	© Leibniz Universität Hannover Impressum Verantwortlich RRZN