Windows NT - Tips und Tricks

Kapitel 2: Sicherheits- und Stabilitätsbetrachtungen

Letzte Änderung: 17.9.98 von B. Tritsch

Zurück zum Inhalt

Sicherheitseinstellungen

Die Änderung der Sicherheitsattribute von Verzeichnissen und Dateien können mit Hilfe des Datei-Managers, des Explorers oder der Konsoleprogramme Cacls.exe oder Xcacls.exe aus dem Resource Kit durchgeführt werden. Die Sicherheitsmodifikationen mit Hilfe des Explorers oder des Datei-Managers haben eine wesentliche Einschränkung: Rekursive Änderungen in Verzeichnisbäumen ersetzen die vorher gesetzten Attribute, erlauben jedoch keine Ergänzungen. Die einzige Möglichkeit mit Standardmitteln ein Attribut für eine Reihe von Verzeichnissen und Dateien hinzuzufügen, ist die Verwendung des Befehls Cacls in der Kommandozeile.

Der folgende Befehl ergänzt eine Leseberechtigung für alle Dateien mit der Endung .doc für den Benutzer "tritsch":

cacls *.doc /e /p tritsch:r

Der Befehl Cacls verändert direkt die Zugriffsberechtigungen, d.h. die Access Control List (ACL).

Windows NT mit seinem Dateisystem NTFS bietet umfangreiche Sicherheitsoptionen. Dennoch ist ein Rechner unter Windows NT nur so sicher, wie es die Hardware zuläßt. Kann ein NT-Rechner mit Hilfe einer Diskette gestartet werden, so läßt er sich nicht wirksam schützen. Frei verfügbare Werkzeuge wie z.B. NTFSDOS (www.sysinternals.com) erlauben einen lesenden Zugriff auf NTFS-Dateisysteme aus DOS.

Jedoch auch ohne solche Werkzeuge ist das Dateisystem ein zentraler potentieller Angriffspunkt. Um die Sicherheit zu erhöhen, sollten die kritischen Systemdateien möglichst gut geschützt werden. Dies kann schon mit einfachen Mitteln geschehen, sofern die Dateien auf einer NTFS-Partition liegen. Im folgenden soll in einer Tabelle die aus Sicherheitsgründen empfohlenen Rechtevergabe für bestimmte Dateien und Verzeichnisse aufgeführt werden.

Tabelle: Empfohlene Sicherheitseinstellungen der NT-Systemdateien und -verzeichnisse

Art des Objekts

Pfad und Name

Rechte
Dateien \Boot.ini, \Ntdetect.com, \Ntldr
  • Administratoren: Vollzugriff
  • System: Vollzugriff
Dateien \Autoexec.bat, \Config.sys
  • Administratoren: Vollzugriff
  • Jeder: Lesen
  • System: Vollzugriff
Verzeichnisse \WINNT und alle Unterverzeichnisse
  • Administratoren: Vollzugriff
  • Erzeuger/Inhaber: Vollzugriff
  • Jeder: Lesen
  • System: Vollzugriff
Verzeichnis \WINNT\REPAIR
  • Administratoren: Vollzugriff
  • System: Vollzugriff
Verzeichnis \WINNT\SYSTEM32\CONFIG
  • Administratoren: Vollzugriff
  • Erzeuger/Inhaber: Vollzugriff
  • Jeder: List
  • System: Vollzugriff
Verzeichnis \WINNT\SYSTEM32\SPOOL
  • Administratoren: Vollzugriff
  • Erzeuger/Inhaber: Vollzugriff
  • Hauptbenutzer: Ändern
  • Jeder: List (ggf. (RWXD)(Not Spec.))
  • System: Vollzugriff
Verzeichnisse \WINNT\COOKIES
\WINNT\FORMS
\WINNT\OCCACHE
\WINNT\PROFILES
\WINNT\SENDTO
\WINNT\Temporary Internet Files
  • Administratoren: Vollzugriff
  • Erzeuger/Inhaber: Vollzugriff
  • Jeder: Hinzufügen
  • System: Vollzugriff

Weiterhin läßt sich die Sicherheit von Windows NT verbessern, indem auch Verzeichnisse, in denen keine Systemdateien abgelegt sind, entsprechend angepaßt werden.

Tabelle: Empfohlene Sicherheitseinstellungen für verschiedene NT-Verzeichnisse

Art des Objekts

Pfad

Rechte
Allgemeine Verzeichnisse, z.B. für temporäre Dateien C:\Temp
  • Administratoren: Vollzugriff
  • Erzeuger/Inhaber: Vollzugriff
  • Benutzer: Spezial (RWX)(nicht angegeben)
  • System: Vollzugriff
Applikations-Verzeichnisse C:\Win32App
  • Administratoren: Vollzugriff
  • Benutzer: Lesen
  • System: Vollzugriff
Globale Benutzerverzeichnis,
Besitzer: Administratoren		 C:\Users
  • Administratoren: Spezial (Alle)(nicht angegeben)
  • Erzeuger/Inhaber: Vollzugriff
  • Benutzer: List
  • System: Vollzugriff
Benutzerverzeichnisse,
Besitzer: der jeweilige Benutzer		 C:\Users\...
  • (der Benutzer): Vollzugriff
  • Administratoren: Lesen
  • Erzeuger/Inhaber: Vollzugriff
  • System: Vollzugriff
Generisches Benutzerverzeichnis für freien Zugriff,
Besitzer: Administratoren		 C:\Users\Default
  • Administratoren: Vollzugriff
  • Erzeuger/Inhaber: Vollzugriff
  • Benutzer: Spezial (RWX) (nicht angegeben)
  • System: Vollzugriff

Auch bestimmte Registry-Einträge sollten vor dem unkontrollierten Zugriff der Gruppe "Jeder" geschützt werden. Die folgende Tabelle zeigt die empfohlenen Einstellungen für eine erhöhte Sicherheit:

Tabelle: Änderung der Zugriffsberechtigungen in der Registry auf "Lesen" für die Gruppe "Jeder".

Registry-Pfad

Unterschlüssel
HKEY_LOCAL_MACHINE\ Software\ Microsoft\
  • Rpc und alle Unterschlüssel
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ WindowsNT\
  • CurrentVersion
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ WindowsNT\ CurrentVersion\
  • AeDebug
  • Compatibility
  • Drivers
  • Embedding
  • Fonts
  • Font Substitutes
  • GRE_Initialize
  • MCI
  • MCI Extensions
  • Ports und alle Unterschlüssel
  • ProfileList
  • WOW und alle Unterschlüssel
HKEY_LOCAL_MACHINE\ Software\
  • Windows3.1MigrationStatus und alle Unterschlüssel
HKEY_CLASSES_ROOT
  • ... und alle Unterschlüssel

Andere Zugriffsbeschränkungen, insbesondere das Entziehen bestimmter Rechte für das System, können im schlimmsten Fall zur Zerstörung des Gesamtsystems führen. Die Gründe liegen dann oftmals bei der fehlenden Zugriffsmöglichkeit des Systems auf essentielle Dateien zur Startzeit.

Service Packs, Hotfixes und Option Packs

Fehlerbeseitigungen des Herstellers sind eine wichtige Maßnahme zur Stabilisierung eines Systems. Microsoft stellt kostenfrei Service Packs und Hotfixes auf seinen Internet-Servern bereit. Service Packs (= Patches) ersetzen ältere Systemkomponenten durch neuere. Dies dient der allgemeinen Fehlerbeseitigung und der Performance-Verbesserung. Service Packs sind dabei kumulativ, d.h. sie beinhalten immer auch alle Änderungen der Vorgängerversionen. Vor dem Einspielen von neuen Service Packs sollte jedoch sorgfältig auf Erfahrungsberichte in der Fachpresse geachtet werden. Läuft ein Rechner problemlos und sind keine Sicherheitslöcher erkennbar, sollte der Rechner nicht verändert werden.

Hotfixes entfernen sehr gezielt spezielle Fehlerquellen im Laufzeitsystem. Sie sollten nur dann eingespielt werden, wenn ein Rechner aktuell von diesem Fehler betroffen ist. Oftmals wird in Knowledge Base-Artikeln auf die betreffenden Hotfixes referenziert.

Nachdem die Service Packs ein immer größeres Volumen angenommen haben, versucht Microsoft nun zwischen zusätzlichen Funktionen und der Fehlerbehebung bestehender Funktionen zu unterscheiden. Option Packs stellen nun neue Komponenten für ein bestehendes System bereit, während neuere Service Packs ausschließlich der Fehlerbeseitigung dienen.

Desaster Recovery

Im Falle der Zerstörung einer NT-Installation hilft oftmals eine Emergency Repair Disk (ERD). Diese wird während des Reparaturprozesses eingesetzt, der über den Boot-Manager initiiert werden kann. Hierbei muß die entsprechende Option ausgewählt werden und eine aktuelle ERD vorliegen.

Nach jeder Neuinstallation von Anwendungsprogrammen und dem Einspielen von Service Packs sollte die ERD von einem Administrator mit dem Rdisk-Kommando aktualisiert werden. Es schreibt eine Kopie der NT-Registry auf die Diskette. Hierbei werden die Sicherheitsinformationen nur beim ersten mal vollständig gespeichert, jedoch nicht bei der Aktualisierung!

Um die Registry vollständig zu sichern, kann aus der Windows NT Kommandozeile der Befehl "Rdisk /s" aufgerufen werden. Ein Dialogfenster zeigt dann den Fortschritt der Aktion an, die auch die Dateien Autoexec.nt und Config.nt umfaßt. Ziel der Sicherung ist das Verzeichnis %SystemRoot%\Repair.

Rdisk1.gif (1894 Byte)

Abbildung: Fortschrittsanzeige der Sicherung der Registry mit Rdisk /s.

Ist diese abgeschlossen, wird über ein weiteres Dialogfenster gefragt, ob die Dateien auf eine ERD kopiert werden sollen. Falls die Dateien zu groß für eine einzige Diskette sein sollte, kann diese Frage negativ beantwortet werden. Dann muß die Kopieraktion jedoch von Hand auf einen geeigneteren Datenträger erfolgen.

Rdisk2.gif (4068 Byte)

Abbildung: Dialog für das Anlegen einer Emergency Repair Disk.

Der Inhalt einer ERD besteht aus den Dateien, die in der folgenden Tabelle aufgelistet werden. Diese Dateien liegen auch wie oben beschrieben im Systemverzeichnisbaum von Windows NT unter %SystemRoot%\Repair.

Tabelle: Inhalt der Emergency Repair Disk

Dateiname

Beschreibung
Autoexec.nt Kopie der Datei %SystemRoot\system32\Autoexec.nt, die für die Initialisierung der DOS- Emulationsumgebung benötigt wird.
Config.nt Kopie der Datei %SystemRoot\system32\Config.nt, die für die Initialisierung der DOS-Emulationsumgebung benötigt wird.
Default._ Komprimierter Registry-Zweig HKU\DEFAULT.
Ntuser.da_ Komprimierte Datei %SystemRoot%\Profiles\Default User\Ntuser.dat mit dem Profil des Standardbenutzers.
Sam._ Komprimierter Registry-Zweig HKLM\SAM.
Security._ Komprimierter Registry-Zweig HKLM\SECURITY.
Security.log Protokoll der installierten Dateien und Prüfsummen für deren Wiederherstellung.
Software._ Komprimierter Registry-Zweig HKLM\SOFTWARE.
System._ Komprimierter Registry-Zweig HKLM\SYSTEM.

Läßt sich Windows NT jedoch trotz einer aktuelle ERD im Fehlerfall nicht mehr zu Starten bewegen, hilft oftmals nur die Neuinstallation des Betriebssystems und aller benötigten Anwendungsprogramme. Dies ist auch dann nötig, falls der Administrator genau das Problem der korrumpierten Installation kennt. Die Reparatur einer fehlenden oder mit einer fehlerhaften Sicherheitsinformation assoziierten Systemdatei läßt sich eben nur dann durchführen, wenn der Administrator das NT-System starten kann.

Um diese "Deadlock"-Situation auf wichtigen Servern zu vermeiden, hat es sich bewährt, eine zweite NT-Installation auf solch einem Rechner einzuspielen. Sollte das primäre Windows NT nicht mehr startfähig sein, läßt sich über den Boot-Manager die zweite NT-Installation in Betrieb nehmen. Nun können die Dateien des primären NT leicht betrachtet und modifiziert werden.

Das "Zweit-NT" muß dabei nicht zwingend auch eine Server-Installation sein, eine Minimalinstallation von Windows NT Workstation (möglichst auf einer eigenen kleinen Festplattenpartition) ist ausreichend. Beide NT-Installationen sollten jedoch in die selben Domäne eingebunden sein. Nur dann lassen sich die Sicherheitseinstellungen für Dateizugriffe leicht modifizieren.

Boot-Sektor-Viren und Trojanische Pferde

Zum Schutz vor Boot-Sektor-Viren kann neben einem Antivirenprogramm auch eine selbst angefertigte Startdiskette dienen. Diese benötigt alle Dateien und Treiber, um Windows NT zu initialisieren. Der Inhalt einer solchen Diskette, die ein installiertes Windows NT auf der Festplatte voraussetzt, besteht aus folgenden Dateien:

Wichtig ist hierbei, daß die Diskette zuvor unter Windows NT formatiert werden muß. Nur so kann die Startsequenz für NT korrekt ausgeführt werden.

Eine weitere gefährliche Programmspezies für Windows NT sind sogenannte "Trojanische Pferde". Diese richten in der Regel keine direkten Schäden auf der NT-Installation an, protokollieren jedoch bestimmte Benutzerinteraktionen oder Systemzustände mit. Diese Protokollinformationen können dann von einer unberechtigten Person ausgelesen werden, was z.B. zum Ausspähen von Benutzerpaßworten führen kann. Trojanische Pferde basieren oftmals auf modifizierten Dynamic Link Libraries (DLLs), in denen bestimmte Systemfunktionalitäten gekapselt sind. Daher sollten unberechtigte Benutzer niemals Zugriff auf sensible Bereiche des Dateisystems haben, die vom Betriebssystem genutzt werden.

Zum nächsten Kapitel