vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


17

Microsoft


Früher hatten Microsoft-Produkte den Ruf, sehr wenig Sicherheit zu bieten. Zum Glück hat sich das bis heute etwas gebessert. Allerdings müssen Sie schon zu Windows NT greifen, wenn Sie mit einer halbwegs sicheren Microsoft-Plattform arbeiten wollen. Microsoft hat in den Mailing-Listen zur Internet-Sicherheit oft genug klargestellt, daß man nicht vorhat, die Sicherheitskontrollen von Microsoft Windows 3.11, 95 oder 98 neu zu schreiben.

Aus diesem Grund werde ich hier auch nur kurz auf DOS oder ältere Versionen des Windows-Betriebssystems eingehen. (Den Platz widme ich lieber Windows NT.) Ich beginne dieses Kapitel mit den wenigen Informationen, die zum Knacken eines Rechners erforderlich sind, auf dem ein anderes Microsoft-Betriebssystem als NT installiert ist.

17.1 DOS

Microsofts Betriebssystem DOS ist das meistgenutzte Betriebssystem aller Zeiten. Es ist klein, erfordert wenig Speicher und kommt mit wenigen Befehlen aus. DOS 6.22 hat nur ca. 1/16 der Befehle eines vollständigen Unix.

Obwohl die Popularität von DOS in den letzten Jahren nachgelassen hat, benutzen es immer noch sehr viele. (Ich begegne auf Netzwerk-Computern oft einer Mischung aus DOS und Windows 3.11. Und das, obwohl diese Kombination von Natur aus unsicher ist.) Ich möchte die Schwachstellen solcher Systeme im folgenden kurz aufzeigen.

17.1.1 IBM-kompatible Systeme

Microsoft DOS läuft nur auf IBM-kompatibler Hardware. Bei der Entwicklung der IBM- Architektur stand die Sicherheit nicht an erster Stelle. Deshalb ist jedes DOS-basierte System sehr leicht zu attackieren. Das fängt schon beim BIOS-Paßwort an.

Das BIOS-Paßwort

BIOS-Paßwörter (die auf den 286er zurückdatieren) können von jedem deaktiviert werden, der physikalischen Zugang zum Rechner hat.

Hinweis:

BIOS-Paßwörter werden verwendet, um die Konsole vor unberechtigten Benutzern zu schützen. Das BIOS-Paßwort erzwingt beim Booten ein Paßwort- Prompt. Der Bootvorgang wird praktisch angehalten, bis der Anwender das korrekte Paßwort eingegeben hat.

Um den BIOS-Paßwortschutz zu deaktivieren, müssen Sie nur die CMOS-Batterie auf dem Mainboard außer Betrieb setzen, indem Sie sie z.B. entfernen oder kurzschließen. Wenn das BIOS-Paßwort gelöscht ist, kann ein Cracker auf das System zugreifen. Netzwerk-Workstations sind auf diese Weise leicht zu knakken. Dabei ist es nicht einmal unbedingt erforderlich, daß der Angreifer den Rechner auseinandernimmt. Er kann auch ein Hilfsprogramm zum Stehlen des Paßworts (Password Capturing Utility) benutzen. Damit kann jeder das BIOS-Paßwort auslesen, während der Rechner läuft. Die beliebtesten sind:

http://pipeta.chemia.pk.edu.pl/pub/misc/util/biospass/amipass.arj

http://www.chips.navy.mil/oasys/info/ami.zip

http://samarac.hfactorx.org/Filez/aw.zip

Nachdem er einmal drin ist, wird der Cracker sich weiteren bzw. privilegierten Zugriff verschaffen wollen. Um auf einem vernetzten DOS-Rechner privilegierten Zugriff zu erhalten, muß der Cracker Benutzerkennungen und Paßwörter herausfinden. Dazu wird er sich wahrscheinlich eines Utilities zum Tastatur-Recording (Key-capture Utility) bedienen.

17.1.2 Tastatur-Recorder

Tastatur-Recorder zeichnen Tastatureingaben auf, die nach einem bestimmten Ereignis gemacht werden. (Der üblichste Auslöser ist das Einloggen.) Diese Tastatureingaben werden dann in einer verborgenen Datei gespeichert.

Das Verzeichnis, in dem die Tastatureingaben gespeichert werden, kann ebenfalls verborgen werden. Die beliebteste Methode, ein Verzeichnis zu verbergen, ist die Verwendung des (ALT)+(2)+(5)+(5)-Zeichens als Verzeichnisnamen. Dieses Zeichen ist ein erweitertes ASCII-Zeichen. In Windows erscheint es im Dateimanager als ein Kringel, den man leicht übersieht. Kids verwenden diese Methode, um Spiele und schlüpfrige Fotos auf ihren Rechnern zu Hause und in der Schule zu verbergen.

Tip:

Verborgene Dateien werden im allgemeinen durch den attrib-Befehl erzeugt oder durch den Tastatur-Recorder selbst; d.h. der Programmierer hat diese Möglichkeit in die Software integriert.

Es gibt einige Tastatur-Recorder für DOS. Die beliebtesten und ihre Dateinamen stehen in Tabelle 17.1. Um diese Utilities zu finden, geben Sie am besten in der Suchmaske von http://altavista.digital.com/ den Dateinamen ein.

Tabelle 17.1: Beliebte Tastatur-Recorder

Utility

Dateiname

Eigenschaften

Keycopy

keycopy.zip

Zeichnet bis zu 200 Tastenanschläge in WordPerfect, MultiMate, Norton Editor und Standard-Befehlszeilenumgebungen auf.

Playback

PB19C.ZIP

Zeichnet Tastatureingaben auf und gibt sie in genau derselben Reihenfolge und Geschwindigkeit wieder, in der sie eingegeben wurden. Gut für die Simulation von Logins geeignet.

Phantom2

phantom2.zip

Zeichnet Tastatureingaben in allen Umgebungen auf. Dieses Utility hat viele Vorzüge, unter anderem die zeitbasierte Wiedergabe.

Keytrap

keytrap1.zip

Leistungsfähiges Werkzeug zur Aufzeichnung von Tastatureingaben zu einem festgelegten Zeitpunkt.

Im allgemeinen brauchen Cracker aber keine Tastatur-Recorder. DOS hat keine obligatorische oder gar freiwillige Zugriffskontrolle. Deshalb ist das Spiel schon vorbei, sobald ein Cracker an einen Prompt gelangt ist. Die einzige Möglichkeit, dies zu verhindern, ist die Installation von Zusatzprogrammen zur Zugriffskontrolle.

17.1.3 Zugriffskontroll-Software für DOS

Mit den folgenden Paketen kann man eine Zugriffskontrolle für DOS einrichten.

Secure 1.0

Secure 1.0 verhindert, daß unbefugte Benutzer auf ein bestimmtes Verzeichnis zugreifen können. Das Verzeichnis bleibt allerdings für den Benutzer sichtbar, er kann nur nicht darauf zugreifen. Die unregistrierte Version ermöglicht die Kontrolle über ein Verzeichnis. Sie finden sie hier:

ftp://ftp.cs.cuhk.edu.hk/pub/simtel/win3/security/secure10.zip

Secure File System (SFS)

SFS ist eine exzellente Sammlung von Sicherheitsanwendungen für DOS. Sie bietet eine High-Level-Kryptographie für DOS-Volumes (bis zu fünf gleichzeitig), verbesserte Stealth- Eigenschaften und eine gute Dokumentation. Außerdem erfüllt SFS den Federal Information Processing Standard (FIPS). Seine Kompatibilität mit vielen Disk-Caching- und Speicherverwaltungsprogrammen macht das Programm recht vielseitig. Hier die Adresse:

ftp://ftp.telepac.pt/pub/garbo/pc/crypt/sfs110.zip

Sentry

Sentry ist für ein Shareware-Produkt ziemlich vollständig und ermöglicht Ihnen sogar den Schutz einzelner Dateien. Außerdem bietet es Paßwortalterung und einigen Support für Windows. Sie können Sentry an folgender Site finden:

ftp://ftp.digital.com/pub/micro/pc/simtelnet/msdos/security/sentryba.zip

Encrypt-It

Encrypt-It bietet eine High-Level DES-Verschlüsselung für DOS, die auf einzelne Dateien oder eine Reihe von Dateien angewandt werden kann. Das Programm ermöglicht es Ihnen auch, Ihre Verschlüsselung über Makros von bis zu 1.000 Zeichen Länge zu automatisieren. Das Paket enthält ein Benchmark-Tool, mit dem Sie bestimmen können, wie gut eine bestimmte Datei verschlüsselt ist. Sehen Sie hier nach:

http://www.maedae.com/

LCK2

LCK2 sperrt das Terminal, während Sie weg sind. Es erlaubt keinen Warmstart oder Interrupt- Tastenkombinationen ((Strg)+(Alt)+(Entf) oder (Strg)+(Pause)). Das könnte für Umgebungen nützlich sein, in denen es den Benutzern strengstens untersagt ist, die Rechner neu zu starten. Sie finden es hier:

ftp://ftp.lib.sonoma.edu/pub/simtelnet/msdos/security/lck100.zip

Gateway2

Gateway2 fängt Reboot-Versuche mit (Strg)+(Alt)+(Entf) und den Funktionstasten (F5) und (F8) ab. (Das Drücken der (F5)- oder (F8)-Taste hält den Bootvorgang an und umgeht Konfigurationsdateien wie AUTOEXEC.BAT und CONFIG.SYS. Das ist eine Möglichkeit, an einen Prompt zu gelangen.) Gateway2 hat noch weitere Vorzüge, wie z.B. die Unterstützung eines Paßwortschutzes für bis zu 30 Benutzer auf einem einzigen Rechner. Sehen Sie hier nach:

ftp://ftp.lib.sonoma.edu/pub/simtelnet/msdos/security/gatewy12.zip

17.1.4 Sites mit DOS-Sicherheitstools

Im folgenden sind einige Sites aufgeführt, auf denen Sie Sicherheitstools für die DOS- Umgebung finden.

Der Simtel-DOS-Security-Index

Diese Seite bietet Nützliches zu Paßwortschutz, Zugriffsbeschränkungen und Schutz des Bootvorgangs. Sie finden sie an folgender Adresse:

http://www.cpdee.ufmg.br/simtel/simtel_index_security.html

Die CIAC-DOS-Security-Tools-Seite

Diese Seite enthält wichtige Informationen zum Thema Zugriffsbeschränkung und bietet ein Programm zum Schutz von bestimmten Zylindern einer Festplatte an.

http://ciac.llnl.gov/ciac/ToolsDOSSystem.html

DOS-Sicherheitstools bei Cypher.net

Diese Seite bietet Material zu Paßwortschutz, Zugriffskontrolle und Bootschutz. Sie befindet sich unter:

http://www.cypher.net/tools/dossecure.html

The Repository at Oakland.edu

Diese Site enthält Informationen zu Paßwortschutz, Zugriffskontrolle und Bootschutz. Sie finden sie unter:

ftp://oak.oakland.edu/pub/simtelnet/msdos/security/

17.2 Windows for Workgroups und Windows 95

Windows for Workgroups und Windows 95 bieten nur wenig mehr Sicherheit als DOS. Beide verlassen sich auf das PWL-Paßwortschema. PWL-Dateien werden erstellt, wenn Sie Ihr Paßwort erzeugen, und befinden sich per Voreinstellung im Verzeichnis C:\WINDOWS. Davon abweichende Speicherpfade finden Sie in der SYSTEM.INI. (In der SYSTEM.INI wird der PWL-Pfad festgelegt.)

17.2.1 Das Paßwortlisten(PWL)-Paßwortschema

Das PWL-Paßwortschema ist nicht sicher und kann durch einfaches Löschen der Dateien überwunden werden.

Hinweis:

Wenn der Cracker keine Zeichen seines Eindringens hinterlassen will, wird er die PWL-Dateien wahrscheinlich nicht löschen. Statt dessen wird er neu booten, das Laden von Windows unterbrechen ((F5) oder (F8)) und die SYSTEM.INI editieren. Dort wird er die Pfadangabe von der Voreinstellung (C:\WINDOWS) in ein temporäres Verzeichnis ändern. In diesem temporären Verzeichnis wird er eine andere PWL-Datei einfügen, zu der ihm das Paßwort bekannt ist. Dann wird er neu booten und sich anmelden. Nach getaner Arbeit wird er die SYSTEM.INI wieder in ihren alten Zustand versetzen.

Bei komplexeren Cracking-Schemata muß der Angreifer das Paßwort tatsächlich in Erfahrung bringen (z.B. wenn der Cracker ein lokales Windows-System verwendet, um einen entfernten Windows-NT-Server zu knacken). In solchen Umgebungen hat der Cracker zwei Möglichkeiten: Er kann entweder die PWL-Paßwortdatei des Windows-95-Rechners knakken oder das Paßwort aus dem Cache-Speicher ziehen, während das Ziel noch eingeloggt ist. Beide Techniken werden wir kurz vorstellen.

Knacken von PWL-Dateien

Normale PWL-Dateien zu knacken, die auf dem durchschnittlichen Windows-95-Rechner erzeugt worden sind, ist einfach. Dafür brauchen Sie nur ein Utility namens Glide.

Glide

Glide dient zum Knacken von PWL-Dateien. Für Interessierte liegt der Quellcode des Programms bei. Um Glide zu verwenden, geben Sie den Dateinamen (PWL) und den damit verbundenen Benutzernamen ein. Glide ist sehr effektiv und kann im Web unter folgender Adresse gefunden werden:

http://morehouse.org/hin/blckcrwl/hack/glide.zip

Hinweis:

Um dieses Problem zu beheben, sollten Sie Zugriffskontroll-Software von Drittanbietern installieren. Sollten Sie gezwungen sein, sich auf den PWL- Paßwortschutz zu verlassen, können Sie Ihre Lage trotzdem verbessern. GLIDE kann keine Paßwort-Dateien knacken, die auf einem Rechner mit installiertem Windows 95 Service Pack 1 erzeugt worden sind. Sie sollten also wenigstens immer die neuesten Service-Packs installieren.

17.2.2 Herausziehen des Paßworts aus dem Cache-Speicher

In dem PWL-System werden zwei unterschiedliche Funktionen verwendet: eine zum Verschlüsseln und Speichern des Paßworts und eine andere zum Abrufen. Diese Routinen sind:

Das Paßwort verbleibt im Cache. Sie können in VC++ oder VB eine Routine schreiben, die sich das Paßwort eines anderen Benutzers holt. Die einzige Einschränkung ist, daß der andere Benutzer eingeloggt sein muß, wenn das Programm ausgeführt wird (so daß sein Paßwort abgefangen werden kann). Das Paßwort kann dann in einen anderen Speicherbereich ausgelagert werden. Wenn Sie soweit gekommen sind, können Sie das Paßwort-Sicherheitsschema umgehen, indem Sie die so gecachte Version des Paßworts benutzen. (Diese Technik wird Cache Flushing genannt. Sie beruht auf demselben Prinzip wie die Verwendung eines Debuggers zur Aufdeckung von Authentifizierungsschemata in Client-Software.)

Sie können auch erzwingen, daß das gecachte Paßwort in der Auslagerungsdatei gespeichert wird. Das ist jedoch eine mühsame und aufwendige Methode; es gibt andere, leichtere Wege.

Tip:

Eine Methode ist, die Paßwort-Datenbank sehr schnell mit mehreren Einträgen zu bombardieren. Dazu können Sie ein Utility wie Claymore verwenden. Durch diese Technik füllen Sie den für Paßwörter verfügbaren Platz vollständig aus. Dies verursacht einen Überlauf, und die Routine verwirft ältere Paßwörter. Allerdings hinterläßt diese Methode deutliche Spuren.

Auf jeden Fall ist das PWL-System von Natur aus mangelhaft und bietet sehr wenig Schutz gegen Eindringlinge. Wenn Sie Windows 95 verwenden, müssen Sie Zugriffskontroll-Software von Drittanbietern installieren. Im folgenden sind einige solche Produkte und deren Hersteller aufgeführt.

17.2.3 Zugriffskontroll-Software für Windows 95

Cetus StormWindows

Cetus Software, Inc.
P.O. Box 700
Carver, MA 02330
E-Mail: support@cetussoft.com URL: http://www.cetussoft.com/

Cetus StormWindows für Windows 95 ermöglicht Ihnen, fast alles in Ihrer Windows-95- Umgebung wirkungsvoll zu verbergen und zu schützen, wie z.B.:

Insgesamt bietet Cetus StormWindows für Windows 95 eine sehr umfassende Zugriffskontrolle. (Dieses Produkt verhindert auch die meisten alternativen Boot-Versuche, wie Warmstarts, (Strg)+(Alt)+(Entf) und Funktionstasten.)

Clasp 97

Ryan Bernardini
4 Grand Banks Circle
Marlton, NJ 08053
E-Mail: ryan@cyberenet.net URL: http://www.cyberenet.net/~ryan/Clasp97/

Clasp 97 bietet guten Paßwortschutz, deaktiviert den Zugriff auf Windows 95 und verhindert Warmstarts und (Strg)+(Alt)+(Entf)-Tastenkombinationen.

ConfigSafe 95 von Tech Assist, Incorporated

Tech Assist, Inc.
11350 66th Street Suite 105
Largo, FL 33773-5524
Tel. 001-800-274-3785
E-Mail: info@toolsthatwork.co URL: http://www.toolsthatwork.com/csafe95.htm

ConfigSafe 95 schützt Registry- und DLL-Dateien davor, überschrieben oder gefälscht zu werden. Das ist wichtig, weil die Registry in bestimmten Fällen die Paßwörter in Klartext enthält.

DECROS Security Card von DECROS, Ltd.

DECROS, Ltd.
J. S. Baara 40
370 01 Ceske Budejovice, Tschechien
Tel. 0042-38-731 2808
E-Mail: info@decros.cz URL: http://www.decros.cz/

DECROS Security Card bietet eine physikalische C2-Level-Zugriffskontrolle für Windows 95 mit Hilfe eines Keykarten-Systems. Ohne eine solche Karte kann niemand auf das System zugreifen.

Desktop Surveillance 97

Omniquad
E-Mail: support@omniquad.com URL: http://www.omniquad.com/

Desktop Surveillance 97 ist ein vollständiges Utility für die Zugriffskontrolle unter Windows 95. (Dieses Produkt bietet sehr gute Protokollierungs- und Audit-Möglichkeiten.)

FutureLock von Nerds Unlimited

Nerds Unlimited
5 Rowes Mews - St Peters Basin - Quayside
Newcastle Upon Tyne - England - NE6 1TX
Tel. 0044-191-2765056
E-Mail: webmaster@nerdsunlimited.com URL: http://www.nerdsunlimited.com/

FutureLock bietet eine Zugriffskontrolle für Windows 95 und unterstützt bis zu 999 Benutzer pro Rechner.

HD95Protect

Gottfried Siehs
E-Mail: g.siehs@tirol.com URL: http://www.geocities.com/SiliconValley/Lakes/ 8753/

HD95Protect hat eine Zugriffskontrolle auf Hardware-Ebene und schränkt den Zugriff auf die Festplatte ein.

Secure4U

Advanced Computer Research
E-Mail: sales@acrmain.com URL: http://www.acrmain.com/index.html

Secure4U verfügt über wirksame Filter- und Zugriffskontrollmöglichkeiten. Es zielt speziell darauf ab, Java- und andere Plug-Ins und Sprachen mit eingebettetem Text daran zu hindern, in Ihr Netzwerk einzudringen.

StopLock 95 von PCSL

PCSL
Park Creek Place 3625 N. Hall Street Suite 740
Dallas, TX 75219
Tel. 001-214-520-2229
E-Mail: kmacfarlane@pcsl.com URL: http://www.pcsl.com/

StopLock bietet eine Zugriffskontrolle für Windows 95. Das Paket enthält auch eine Boot- Kontrolle, Audit-Funktionen und Protokollierungstools.

Windows Task-Lock von Posum

Posum L.L.C.
P.O. Box 21015
Huntsville, AL 35824
Tel. 001-205-895-8361
E-Mail: 103672.2634@compuserve.com URL: http://posum.com/

Windows Task-Lock 4.1 bietet eine einfache, preiswerte und effektive Möglichkeit, bestimmte Anwendungen für Windows 95 mit einem Paßwort zu schützen, unabhängig davon, wie sie ausgeführt werden. Es ist leicht zu konfigurieren und erfordert wenig oder gar keine Änderungen Ihrer aktuellen Systemkonfiguration. Optionale Sound-Ereignisse, Stealth-Modus und ein Paßwort-Timeout sind ebenfalls verfügbar.

CyberWatch

CyberWatch ist ein Programm zur Erkennung von Gesichtern. Die Software erkennt nur die Gesichter, die in ihrer Gesichterdatenbank abgelegt sind. Der Computer sieht sich also wirklich Ihr Gesicht an, um zu bestimmen, ob Sie ein autorisierter Benutzer sind. Das Unternehmen behauptet, daß CyberWatch auf dem Einsatz neuronaler Netze basiert. Sehen Sie sich es mal an:

http://www.miros.com/

WP WinSafe

WinSafe ist ein sehr vielversprechendes Utility, das Ihnen die Kontrolle einzelner Laufwerke ermöglicht. Dadurch können Sie zum Beispiel Unbefugte daran hindern, auf Ihr CD-ROM- Laufwerk zuzugreifen. Besonders interessant ist, daß WinSafe auch Netzwerk-Laufwerke schützt. Sie können das Utility testen, indem Sie sich die Shareware-Version besorgen.

Warnung:

Die Dokumentation warnt davor, daß die Verwendung des Policy-Editors zum Einstellen des Real Mode von DOS möglicherweise zu Konflikten mit WinSafe führen könnte.

Sie finden WinSafe hier:

http://kite.ois.com.au/~wp/index.htm

SafeGuard

Die SafeGuard-Reihe (darunter SafeGuard Easy, SafeGuard Pro und PC/DACS für DOS/ Windows) bietet Festplatten-Verschlüsselung, Schutz gegen Booten von Diskette, Paßwortalterung und Authentifizierung und unterstützt pro Rechner bis zu 15 Benutzer. Safe Guard unterstützt mehrere wirksame Verschlüsselungsalgorithmen, darunter DES und IDEA. Besonders interessant ist, daß diese Produkte über ein Netzwerk installiert werden können (und damit der Aufwand von Einzelinstallationen entfällt).

http://www.mergent.com/utimacohome.nsf/lookup/dms/

Secure Shell

Secure Shell (SSH) ermöglicht eine sichere, verschlüsselte Kommunikation über das Internet. SSH ist ein ausgezeichneter Ersatz für Telnet oder rlogin. Es verwendet IDEA- und RSA-Verschlüsselung und ist daher extrem sicher. Es heißt, daß die Schlüssel jede Stunde verworfen und durch neue Schlüssel ersetzt werden. SSH schließt die Möglichkeit vollkommen aus, daß Dritte Ihre Kommunikation abfangen können (z.B. Paßwörter, die ansonsten in Klartext übermittelt würden). SSH-Sitzungen können nicht übernommen oder gekidnappt werden und auch nicht ausspioniert werden. Der einzige Nachteil ist, daß auch Ihr Gegenüber SSH verwenden muß, damit es funktioniert. Sie denken vielleicht, daß eine so verschlüsselte Kommunikation schrecklich langsam sein muß, aber dem ist nicht so. Unter folgender Adresse finden Sie eine der Haupt-Distributionsseiten für SSH:

http://www.datafellows.com/f-secure/

Formlogic Surveillance Agent

Der Surveillance Agent ist ein einfaches, aber mächtiges Werkzeug zur Überwachung von Systemprozessen. Es kann auf zwei Arten verwendet werden: Entweder wird Ihre Überwachung offenkundig vorgenommen oder sie erfolgt, ohne eine Spur zu hinterlassen. Das Programm wird normalerweise beim Hochfahren in den Speicher geladen und startet beim Einloggen. Alternativ dazu können Sie auch einen Auslöser bestimmen, so daß ein bestimmtes Ereignis den Überwachungsprozeß anstößt. Wenn z.B. jemand versuchen sollte, auf Ihren persönlichen Kalender zuzugreifen, könnte dies eine Überwachung auslösen. Die Autoren dieser Software haben an alles gedacht. So können Sie z.B. den Überwachungsprozeß auch als irgendeinen anderen Prozeß tarnen (falls an Ihrem Arbeitsplatz ein paar schlaue Cracker herumlaufen). Dieses sehr vollständige Tool ist dafür maßgeschneidert, jemanden auf frischer Tat zu ertappen, und es ist wahrscheinlich gut dazu geeignet, Computer-Kriminalität am Arbeitsplatz auf die Spur zu kommen.

ftp://ftp.rge.com/pub/systems/simtelnet/win3/security/spy1116.zip

Fortres 101

Dieses Programm ist ein ausgezeichnetes Tool. Wie auf der Fortres-Homepage beschrieben, kann das Produkt Benutzer daran hindern:

...Boot-Vorgänge zu unterbrechen; Windows zu verlassen; an ein DOS-Prompt zu kommen; Icons hinzuzufügen, zu verschieben oder zu löschen; die Erscheinung von Windows zu verändern; Software zu installieren, zu kopieren oder herunterzuladen; vom Administrator nicht abgesegnete Programme laufen zu lassen; Low-Level- System-Tools laufen zu lassen; Drukkerkonfigurationen zu ändern; Bildschirmschoner-Konfigurationen zu ändern; wichtige Systemdateien zu löschen; Dateien auf Festplatte zu speichern; oder sich Dateien auf der Festplatte auch nur anzusehen.

Das Utility läuft unter Windows 3.11 und Windows 95. Der Preis schreckt Gelegenheitsanwender wahrscheinlich ab, aber Systemadministratoren, die mehrere Windows-basierte Systeme verwalten müssen, sollten sich das Programm zulegen. Mehr Informationen finden Sie hier:

http://www.fortres.com/fortres.htm

17.3 Sicherheitslücken von Microsoft-Anwendungen

In dem nun folgenden Abschnitt möchte ich Schwachstellen einiger häufig verwendeter Microsoft-Anwendungen aufführen. Der Microsoft Internet Explorer (Microsofts Webbrowser) und Microsoft Exchange (ein Paket zur Mail-Verwaltung) sind zwei wichtige Netzwerkanwendungen. Deshalb möchte ich mit ihnen beginnen.

17.3.1 Microsoft Internet Explorer

Es gibt mehrere ernstzunehmende Schwachstellen im Internet Explorer. Solche, die als kritisch oder ernst eingestuft sind, können zu einer Gefährdung des Systems führen und dürften deshalb für Systemadministratoren besonders interessant sein.

Schwachstelle Paßwort-Authentifizierung

Microsoft Internet Explorer, Version 3.x unter Windows NT 4.0

Auswirkungen: Der MSIE offenbart Ihren Benutzernamen, Paßwort, Domain etc.

Einstufung: kritisch

Abhilfe: Der ursprüngliche Patch verursachte zusätzliche, in anderem Zusammenhang stehende Probleme und wurde wieder entfernt; regelmäßig unter http://support.microsoft.com/ nachschauen.

Weitere Informationen: http://support.microsoft.com/support/kb/articles/q111/7/ 21.asp

Beigetragen von: unbekannt

Beschreibung: Der MSIE sendet Ihr Paßwort, Ihren Benutzernamen, Domainnamen und Ihre Arbeitsgruppe an jeden entfernten Server, der diese anfordert. Diese Werte werden in Klartext gesendet - dies ist eine kritische Sicherheitslücke. Böswillige Webmaster können sich auf diese Weise wichtige Informationen verschaffen.

Schwachstelle Icons

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Entfernter Code kann auf Ihrem Rechner ausgeführt werden.

Einstufung: äußerst ernst

Abhilfe: http://www.microsoft.com/ie/ oder Upgrade

Weitere Informationen: http://www.njh.com/latest/9703/970306-01.html

Beigetragen von: David Ross

Beschreibung: In Windows NT 4.0 können Bösewichte ein Icon auf Ihrem Desktop plazieren, das, wenn Sie es anklicken, Code von einem beliebigen entfernten Rechner aufrufen und ausführen kann.

Schwachstelle ISP-Scripts

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Unautorisierter Code kann auf Ihrem Rechner ausgeführt werden.

Einstufung: äußerst ernst

Abhilfe: Upgrade

Weitere Informationen: http://web.mit.edu/crioux/www/ie/index.html

Beigetragen von: Chris Rioux

Beschreibung: ISP-Scriptdateien werden vom MSIE automatisch heruntergeladen. Böswillige Webmaster können dies ausnutzen, um ein beliebiges Programm auf Ihrem Rechner laufen zu lassen. So könnten sie sogar Ihre gesamte Festplatte löschen, wenn die Berechtigungen dies erlauben.

Schwachstelle LNK (CyberSnot)

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Entfernte Rechner können unautorisierten Code auf Ihrem Rechner ausführen.

Einstufung: ernst

Abhilfe: Upgrade

Weitere Informationen: http://mapp.org/oasis/iebug.html

Beigetragen von: den Leuten bei www.cybersnot.com

Beschreibung: Webmaster mit bösen Absichten können MSIE veranlassen, mit einer LNK- Erweiterung verbundene Befehle zur Bearbeitung an den lokalen Rechner zu senden. Das bedeutet, daß eine LNK-Anweisung, die als URL ausgedrückt ist, auf dem lokalen Rechner ausgeführt wird. Fies.

Schwachstelle HTML

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Böswillige Webmaster können Batch-Dateien auf Ihrem Rechner ausführen.

Einstufung: ernst

Abhilfe: Upgrade

Weitere Informationen: http://main.succeed.net/~kill19/hack/os/nt/ie4.html

Beigetragen von: unbekannt

Beschreibung: HTML-Code kann so geschrieben werden, daß er, wenn er heruntergeladen wird, beliebige Batch-Dateien auf Ihrem Rechner ausführen kann. Das scheint zwar nicht so schlimm zu sein (da nur Dateien ausgeführt werden können, die bereits auf Ihrer Platte sind), aber böswillige lokale Nutzer könnten dies ausnutzen, um Ihre Festplatte zu zerstören. Dazu plazieren sie dort eine Batch-Datei, zu deren Ausführung sie berechtigt sind oder auch nicht. Sie laden sich die gewünschte Seite herunter, und die Batch-Datei wird mit Ihren Berechtigungen ausgeführt.

Schwachstelle Java Virtual Machine

Microsoft Internet Explorer, Version 3.01

Auswirkungen: Böswillige Webmaster können Verbindungsanforderungen umleiten.

Einstufung: ernst

Abhilfe: Java deaktivieren oder Upgrade

Weitere Informationen: http://neurosis.hungry.com/~ben/msie_bug/

Beigetragen von: Ben Mesander

Beschreibung: MSIEs Java-Implementierung ist fehlerhaft und ermöglicht es entfernten Rechnern, Ihren Rechner zu veranlassen, Verbindungsanforderungen an andere Rechner zu senden.

Schwachstelle Jscript IFRAME

Microsoft Internet Explorer, Version 4.0

Auswirkungen: Böswillige Webmaster können Dateien auf Ihrem Rechner lesen.

Einstufung: mittel bis ernst

Abhilfe: http://www.microsoft.com/msdownload/ieplatform/ie4patch/ie4patch.htm

Weitere Informationen: http://www.geog.ubc.ca/snag/bugtraq/msg00818.html

Beigetragen von: Ralf Huskes

Beschreibung: Mit Hilfe von Jscript und dem IFRAME-Objekt kann ein böswilliger Webmaster an HTML-, Text- und vielleicht auch andere Dateien auf Ihrem Rechner gelangen. Diese werden für das Opfer unsichtbar in einen Frame-Bereich geladen. Dann kann der Webmaster Ihre lokalen Dateien per DHTML-Routine lesen.

Schwachstelle MSIE-4.0-Puffer-Überlauf

Microsoft Internet Explorer, Version 4.0

Auswirkungen: Der Rechner blockiert, und beliebiger Code kann ausgeführt werden.

Einstufung: mittel bis ernst

Abhilfe: ftp://ftp.axion.net/resbuff.exe (Patch)

Weitere Informationen: http://www.microsoft.com/ie/security/?/ie/security/buffer.htm

Beigetragen von: L0pht

Beschreibung: Dieser Puffer-Überlauf ist eine ernste Sache. Es besteht die Möglichkeit, beliebigen Code in nicht dafür vorgesehenen Speicherbereichen laufen zu lassen. Allerdings sind noch keine Fälle bekannt, wo dies passiert ist. Microsoft hat einen Patch herausgegeben, der unter der oben genannten URL erhältlich ist. Widersinnigerweise kann dieser Angriff durch eine URL ausgelöst werden.

Ich sollte vielleicht darauf hinweisen, daß der MSIE 4.0 eine recht neue Anwendung ist. Ich würde Ihnen empfehlen, Version 3.0x mit allen Patches zu versehen und neue Informationen zu Version 4.0 abzuwarten. (Ich habe 4.0 wieder von meinem Microsoft-Rechner entfernt.)

17.3.2 Microsoft FrontPage

Microsoft FrontPage und die FrontPage-Erweiterungen beinhalten schwerwiegende Sicherheitsprobleme. Wenn Sie einen FrontPage-Web-Server betreiben (oder einen Server, der die FrontPage-Erweiterungen verwendet), sollten Sie sich folgender Schwachpunkte bewußt sein:

Schwachstelle VTI_BIN und VTI_PVT

FrontPage Version 1.0

Auswirkungen: Entfernte Benutzer können Paßwort- oder andere sicherheitsrelevante Dateien lesen.

Einstufung: ernst bis kritisch

Abhilfe: bislang keine

Weitere Informationen: bei bugtraq@netspace.org

Beigetragen von: Perry Harrington

Beschreibung: 1. Entfernte Benutzer können eine FTP-Verbindung herstellen, ein /VTI_BIN- Verzeichnis einrichten, ausführbare Dateien dort speichern und diese dann ausführen. 2. Entfernte Benutzer können auf Paßwort- und Administrationsdateien im /VTI_PVT-Verzeichnis zugreifen, indem sie einfach nur ihren Ort angeben. Ich empfehle Ihnen, sich an Microsoft zu wenden. In der Zwischenzeit sollten Sie die Möglichkeit des anonymen FTP deaktivieren.

Dies ist ein extrem gefährliches Sicherheitsloch, und zwar aus folgendem Grund: Jeder, der eine ganz normale Suchmaschine benutzt, kann verletzbare Rechner identifizieren. Im Frühjahr 1998 löste dies eine wahre Welle von Angriffen aus. Das Problem betrifft Server, die eine von jedermann lesbare Verzeichnisstruktur haben. Cracker können solche Rechner herausfinden, indem sie nach vti_bin und vti_pvt suchen. Dadurch können leicht wichtige Informationen offengelegt werden. Im allgemeinen kann man Informationen wie diese herausziehen:

Options None
<Limit GET POST>
order deny,allow
deny from all
allow from all
require group authors administrators
</Limit>
<Limit PUT>
order deny,allow
deny from all
</Limit>
AuthType Basic
AuthName default_realm
AuthUserFile c:/frontpage\ webs/content/_vti_pvt/service.pwd
AuthGroupFile c:/frontpage\ webs/content/_vti_pvt/service.grp

Diese Informationen können zum Knacken des entfernten Rechners verwendet werden. Zumindest können Sie schnell herausfinden, welche Gruppen gültig sind. Außerdem können Sie feststellen, wo die Paßwortdateien gespeichert sind. (Meistens suchen Cracker nach authors.pwd, aber auch service.pwd ist eine vielversprechende Datei.)

Während ich dieses Buch schrieb, habe ich über http://altavista.digital.com/ verwundbare Sites gesucht. Ich mußte nur eine Seite mit Suchergebnissen durchgehen! Mein erstes Opfer fand ich in Rußland, unter http://natlib.udm.ru/, der Staatsbibliothek der Republik Udmurt. Ihre Paßwörter waren in Klartext einsehbar. Durch Anfordern von http://natlib.udm.ru/private/adf/info/_vti_pv t konnten Eindringlinge an diesen Text gelangen:

# -FrontPage-
adf:FL5TMQXmUS2sc

Das nächste vielversprechende Opfer war Theta Marine Communications unter:

http://www.thetamarine.com/

Durch Eingabe von http://www.thetamarine.com/indexpage/_vti_pvt bekam ich diesen Text:

# -FrontPage-
john:hOjvzyUVvmzSo
JOHN:8e6n7t4NVa.mg

Wenn Sie diese Paßwörter erst einmal haben, ist der Rest nur noch eine Frage der Zeit. Noch einmal: Dies ist ein kritisches Sicherheitsloch. Sie sollten wenigstens die Dateiberechtigungen korrekt setzen, so daß niemand Ihre PWD-Dateien herunterladen kann.

17.4 FrontPage-Erweiterungen

FrontPage Version: Frontpage 97

Auswirkungen: Entfernte Benutzer können privilegierten Zugriff erhalten.

Einstufung: mittel bis ernst

Abhilfe: Upgrade auf das Update für die FrontPage-98-Erweiterungen

Weitere Informationen: http://www.microsoft.com/frontpage/wpp/1330update.htm

Beigetragen von: Bob LaGarde

Beschreibung: Entfernte Benutzer können shtml.dll verwenden, um asp.dll zu überschreiben und somit den Server zu zwingen, ASP-Quellcode anzuzeigen. Die einzige Lösung ist bislang ein Upgrade auf das Update für FrontPage-98-Erweiterungen.

Schwachstelle WebBots

FrontPage Version 1.1 und Frontpage 97 mit WebBot-Komponenten

Auswirkungen: Entfernte Benutzer können Webseiten Informationen hinzufügen.

Einstufung: mittel

Abhilfe: Upgrade

Weitere Informationen: http://wi.ba-loerrach.de/system/serk/security.htm

Beigetragen von: unbekannt

Beschreibung: Entfernte Benutzer können Informationen an Webseiten anhängen, indem sie die WebBot-Komponenten Ergebnisse speichern oder Diskussion verwenden. Das ist zwar keine kritische Sicherheitslücke, aber es wäre doch ziemlich peinlich, wenn Sie eines Tages zur Arbeit kämen und Ihre Webseiten wären neu geschrieben worden. Installieren Sie besser eine neuere Version von FrontPage.

17.4.1 Microsoft Exchange

Microsoft Exchange 5.0 hat vier wichtige Schwachstellen.

Schwachstelle SMTP

Microsoft Exchange Version 5.0

Auswirkungen: Der Server wird beim Bearbeiten endloser Zeichenketten abstürzen.

Einstufung: mittel - Denial-of-Service

Abhilfe: Service-Pack 1 für Microsoft Exchange installieren

Beigetragen von: Sean Boulter

Beschreibung: SMTP-Nachrichten mit einer ungewöhnlich langen Zeichenkette in der Betreffzeile führen zu einer Überlastung des Information Store. (Das passiert auch bei beschädigten Headern.)

Schwachstelle Web Connector

Microsoft Exchange Version 5.0

Auswirkungen: Benutzer können auf jedes beliebige Postfach zugreifen.

Einstufung: mittel bis ernst

Abhilfe: noch keine verfügbar

Weitere Informationen: http://www.dhp.com/~fyodor/sploits/NT.ms.exchange.5.0.html

Beigetragen von: Geremy Cohen und Russ Cooper

Beschreibung: Per Voreinstellung erben alle Postfächer den Exchange Service Account (SA) auf dem Exchange Server. Dieser Bug ist schwer reproduzierbar und erfordert privilegierten Zugang. Dennoch sollte Microsoft ihn beheben.

Schwachstelle Paßwort-Cache

Microsoft Exchange Version 5.0

Auswirkungen: Paßwörter verbleiben im Cache.

Einstufung: mittel bis ernst

Abhilfe: Speicherung von Paßwörtern im Cache deaktivieren

Weitere Informationen: http://www.njh.com/latest/9708/970825-04.html

Beigetragen von: Rajiv Pant

Beschreibung: Exchange-Paßwörter verbleiben n Minuten im Cache, wie in dem Wert für das Cache-Aufbewahrungslimit in der Registry definiert. Um das Caching von Paßwörtern zu vermeiden, empfehlen einige Leute, die Cache-Größe auf 0 zu setzen.

Schwachstelle Puffer-Überlauf

Microsoft Exchange Version 5.0

Auswirkungen: Der Überlauf kann ermöglichen, daß fremder Code ausgeführt wird.

Einstufung: mittel bis ernst

Abhilfe: Service-Pack 1 für Exchange

Weitere Informationen: http://www.rootshell.com/archive-ybhats7qq2cdgmj6/199801/ exchange5.txt

Beigetragen von: http://www.rootshell.com

Beschreibung: Die Leute von http://www.rootshell.com/ haben einen Exploit gepostet, der den Exchange Server zum Absturz bringt. Man munkelt, daß beliebiger Code auf den Stack geschoben und ausgeführt werden kann.

17.4.2 Applikationen und Add-Ons von Drittanbietern

Es gibt mehrere Anwendungen von Drittanbietern, die Ihr Windows-NT-System einem beträchtlichen Risiko aussetzen können. Im folgenden Abschnitt gehe ich kurz auf diese Probleme ein.

iCat Carbo

Windows-NT-Version: Alle Versionen, auf denen der iCat-Carbo-Server läuft.

Auswirkungen: Diese Sicherheitslücke macht all Ihre Dateien jedermann verfügbar.

Einstufung: ernst

Abhilfe: keine, von der ich wüßte

Weitere Informationen: http://www.hack101.com/board/Security_bug.txt

Beigetragen von: Mikael Johansson

Beschreibung: Der iCat-Carbo-Server ist eine Einkaufskorb-Anwendung für Web-Shops. Momentan (während ich dies schreibe) können entfernte Benutzer eine URL senden, die jede beliebige Datei auf der Festplatte preisgibt. Wenden Sie sich für aktuelle Informationen an die Hersteller von Carbo.

CCMAIL 8

Windows-NT-Version: Alle Versionen, auf denen CCMAIL 8 läuft.

Auswirkungen: Das Paßwort für Ihr Postfach kann herausgefunden werden.

Einstufung: mittel bis ernst

Abhilfe: Sperren Sie die Berechtigungen in %systemroot%\~ccmaint.bat.

Weitere Informationen: http://www.kitee.fi/~am/hp/files/CC_MAINE.HTM

Beigetragen von: Carl Byington

Beschreibung: Die Batch-Datei ccmaint.bat hat falsche Berechtigungen, so daß jeder auf sie zugreifen kann. Das kann dazu führen, daß lokale Benutzer Ihr Postfach-Paßwort herausfinden können. Überprüfen Sie die Dateiberechtigungen.

Netscape FastTrack

Windows-NT-Version: Alle Versionen, auf denen FastTrack 3.0x läuft.

Auswirkungen: Entfernte Benutzer können Zugriff auf admin-Verzeichnisse erlangen.

Einstufung: mittel bis ernst

Abhilfe: Deaktivieren Sie die Möglichkeit des Verzeichnis-Browsens.

Beigetragen von: Matthew Patton

Beschreibung: In Umgebungen, die .nsconfig-Dateien verwenden, können Zugriffskontrollen von entfernten Benutzern umgangen werden. Wenden Sie sich für Informationen über die neusten Entwicklungen an Netscape.

Eudora Mail Client

Eudora-Versionen: Eudora Light, Eudora Pro

Auswirkungen: Benutzer können Mail-Paßwörter knacken.

Einstufung: mittel

Abhilfe: Keine Lösung dokumentiert. Wenden Sie sich an Qualcomm.

Weitere Informationen: http://www.msfc.nasa.gov/EmailServices/bulletins/b-97- 104.html

Beigetragen von: Sander Goudswaard

Beschreibung: Eudoras Verschlüsselung des Mail-Paßworts ist schlecht und kann mit Hilfe des EUDPASS.COM-Utilities attackiert werden. (Noch dazu ist das Paßwort in der INI-Datei gespeichert, wodurch es leicht zugänglich ist.) Mir ist zur Zeit keine Lösung dieses Problems bekannt.

WS_FTP

WS_FTP-Version: Alle Versionen

Auswirkungen: Benutzer können WS_FTP-Paßwörter knacken.

Einstufung: mittel

Abhilfe: Sperren der WS_FTP.INI

Weitere Informationen: http://www.dhp.com/~fyodor/sploits/ws_ftp.ini.pathetic.crypt.html

Beigetragen von: Milosch Meriac

Beschreibung: Die Datei WS_FTP.INI enthält Paßwörter, die leicht zu knacken sind. Wenn Sie lokalen Benutzern ermöglichen, an diese Datei zu gelangen oder sie zu lesen, sind Ihre Accounts auf anderen Systemen gefährdet. Ändern Sie entweder die Berechtigungen für das Verzeichnis, in dem die Datei enthalten ist, oder speichern Sie Paßwörter nicht mehr auf Ihrer Festplatte.

DFÜ-Netzwerk

Windows-Version: Windows 95

Auswirkungen: Lokale Benutzer können Ihr Paßwort für das DFÜ-Netzwerk stehlen.

Einstufung: mittel

Abhilfe: Speichern Sie Ihr Paßwort nicht ab.

Beigetragen von: Peter Moon

Beschreibung: Das Paßwort für das DFÜ-Netzwerk von Windows 95 ist leicht zu stehlen. Es gibt ein Programm, mit dem jeder lokale Benutzer an das Paßwort kommen kann. Der einzige Schutz besteht darin, daß Sie Ihr Paßwort nicht mehr abspeichern, sondern bei jeder Verbindung manuell eingeben.

17.4.3 Andere Microsoft-Anwendungen

Es gibt viele andere Microsoft-Anwendungen, die Sicherheitslücken haben. Das gilt besonders für veraltete Versionen, da Microsoft nicht gewillt ist, diese zu verbessern. Wenn Sie überhaupt etwas Sicherheit möchten, müssen Sie nicht nur Windows NT kaufen, sondern auch viele Ihrer vorhandenen Anwendungen upgraden. Dieses Upgrade-Spielchen kann sehr kostspielig werden. Deshalb scheuen viele größere Firmen Microsoft-Produkte inzwischen oder schränken ihre Abhängigkeit von diesen auf ein Minimum ein.

Microsofts größte Herausforderung ist es, Benutzerfreundlichkeit mit Stabilität und Sicherheit unter einen Hut zu bringen. Die Stabilität ist ein wichtiges Thema (in Unternehmen wahrscheinlich das wichtigste). Ständige Upgrades sind für Behörden und Unternehmen aber nicht gut, da sie immer zu einem Anstieg des TCO führen.

Hinweis:

Der TCO (total cost of ownership) ist ein ökonomischer Wert. Er definiert den gesamten Betrag, den Sie für einen Rechner während seiner »Lebensdauer« ausgeben. Das heißt im Klartext: Wieviel Geld wird Sie der Rechner kosten, bis Sie ihn ausrangieren? Wenn Sie Microsoft-Produkte verwenden, wird Ihr TCO sehr hoch sein. Kontinuierliche Upgrades sind sehr teuer und für Microsoft sehr einträglich. Viele Netzwerk-Profis kritisieren den Software-Giganten dafür, und dies nicht ohne Grund. Für Netzwerke sind fast alle anderen Betriebssysteme stabiler als die von Microsoft und viel preisgünstiger, da sie oft jahrelang ohne Upgrades auskommen. Viele Administratoren haben inzwischen erkannt, daß die Entscheidung für Microsoft mit lebenslangen Upgrades und einer drastischen Inflation des TCO einhergeht.

Auf jeden Fall haben viele ältere Microsoft-Anwendungen ernste Sicherheitsprobleme, die nie behoben werden. Eine dieser Anwendungen ist Microsoft Access.

Microsoft Access

Microsoft Access ist eine beliebte Anwendung und Programmierumgebung zur Erzeugung und Verwaltung von Datenbanken. Das Access-Paket bietet Paßwortschutz für einzelne Datenbanken. In den Versionen 1.0 und 2.0 ist dieses Paßwortschema von Natur aus fehlerhaft und bietet Ihnen sehr wenig wirkliche Sicherheit.

Das Paßwortschema von Access hat drei grundlegende Fehler. Erstens führt Access die Authentifizierung basierend auf einem internal security identifier (SID) durch. Dieser SID wird daraus hergeleitet, daß der Benutzername und der personal identifier (PID) einen Algorithmus durchlaufen (wobei diese Variablen als Schlüssel verwendet werden). Wenn ein Cracker nun einen neuen Account anlegt und dabei denselben Benutzernamen und PID benutzt, erhält er genau denselben SID. Dies ermöglicht es Crackern, die Sicherheitskontrollen zu umgehen.

Noch unsicherer sind in Microsoft Access 1.0 erzeugte Alt-Datenbanken. Die »einzigartige« SID, die beim Setup für die Administratoren erzeugt wurde, wird auf Diskette 1 des Diskettensatzes geschrieben. (Deshalb kann jeder mit Zugriff auf Diskette 1 alle Sicherheitskontrollen auf diesem bestimmten Rechner umgehen.) Außerdem kann jeder eine alternative Datei SYSTEM.MDA aufspielen und sich Zugang zu sonst für ihn gesperrten Dateien verschaffen. Schließlich, und vielleicht ist dies der wichtigste Fehler, können die SIDs aller Benutzer gelesen und manuell verändert werden, wodurch ein Cracker die Privilegien jedes Benutzers erhalten kann.

Dies sind alles sehr ernste Fehler, die wahrscheinlich nie mehr behoben werden. Wenn Ihre Daten in einer Access-Datenbank gespeichert sind, sollten Sie aufpassen. Die einzige wirkliche Lösung ist, entweder eine Zugangskontrolle auf Betriebssystemebene zu aktivieren oder eine Zugangskontroll-Software eines Drittanbieters zu installieren.

17.4.4 Noch mehr andere Anwendungen

Letztendlich kann jede herkömmliche Anwendung für Endanwender geknackt werden, die einen Paßwortschutz für Dokumente anbietet. Tabelle 17.2 führt diese Anwendungen zusammen mit den Adressen der Tools auf, die sie knacken können. Sie sollten diese Paßwort-Cracker selbst ausprobieren. Diese Erfahrungen werden Sie immer daran erinnern, daß nichts auf Ihrem Rechner am Arbeitsplatz, in der Schule oder zu Hause wirklich sicher ist.

Tabelle 17.2: Paßwort-Cracker für beliebte Anwendungen

Anwendung

Adresse des Cracking-Programms

ARJ-Archive

http://www.l0pht.com/pub/blackcrwl/hack/brkarj10.zip

CuteFTP-Paßwörter

http://www.tyco.net.au/~watson/files/passwords/ucffire.zip

Microsoft Excel

http://www.net-security.sk/crack/ostatne/excelCrack.zip

Microsoft Word

http://www.net-security.sk/crack/ostatne/wp1.zip

WordPerfect

ftp://utopia.hacktic.nl/pub/crypto/applied-crypto/wpcrack.tar.gz

ZIP-Archive

http://morehouse.org/hin/blckcrwl/hack/fzc104.zip

Windows-Bildschirmschoner

http://morehouse.org/hin/blckcrwl/hack/scrncrck.zip

17.4.5 Zusammenfassung zu DOS, Windows und Windows 95

DOS, Windows und Windows 95 sind ausgezeichnete Systeme, aber keines von ihnen ist sicher. Wenn Ihre Firma diese Betriebssysteme schon nutzt, sollten die Rechner auf jeden Fall hinter einer Firewall verborgen werden. Das gilt besonders für Windows 95, da dies noch nicht gründlich genug erforscht ist und eventuell Sicherheitslücken aufweist, die noch nicht entdeckt worden sind. (Außerdem hat Microsoft nicht die Absicht, die Sicherheit von Windows 95 zu verbessern.)

Wenden wir uns also der Sicherheit von Windows NT zu.

17.4.6 Windows NT

Microsoft mag für schlechte Sicherheit weithin bekannt sein, aber dies gilt nicht unbedingt für Windows NT. Die Anfangsinstallation von Windows NT bietet genauso gute Sicherheitsvorkehrungen owie die meisten anderen Plattformen. Der einzige Haken ist, daß Sie stets mit den neuesten Entwicklungen Schritt halten müssen.

Fragen Sie sich erst einmal folgendes, bevor Sie weiterlesen: Habe ich Windows NT mit NTFS installiert und die Service-Packs in der richtigen Reihenfolge installiert? Wenn nicht, ist Ihr Windows-NT-System nicht sicher, und der Rest dieses Kapitels kann Ihnen auch nicht weiterhelfen. Installieren Sie erst die Service-Packs bzw. installieren Sie Windows NT mit aktiviertem NTFS.

Hinweis:

Man könnte glauben, daß die Reihenfolge, in der man die Service-Packs installiert, keine Rolle spielt. Das ist aber leider nicht so. Es gibt dokumentierte Fälle von Anwendern, die die Service-Packs in abweichender Reihenfolge installiert haben und bei denen später Probleme auftraten. Ich empfehle Ihnen, sich zu notieren, wann Sie die Packs installiert haben und welche Probleme bei der Installation aufgetreten sind.

Da das Hauptthema dieses Buches die Internet-Sicherheit ist, beginnen wir die Betrachtung von Windows NT mit dem IIS (Internet Information Server).

17.4.7 IIS (Internet Information Server)

IIS ist ein sehr beliebtes Server-Paket und hat, wie die meisten Server-Pakete, Sicherheitslücken. Wir befassen uns hier sehr gründlich mit IIS. Beachten Sie aber bitte, daß wir nicht alle Schwachstellen besprechen. Es existieren noch weitere, die aber weniger ernst sind.

Schwachstelle CMD/BAT

IIS Version 1.0

Auswirkungen: Entfernte Benutzer können beliebige Befehle ausführen.

Einstufung: kritisch

Abhilfe: ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/cmdbat/

Beigetragen von: unbekannt

Beschreibung: IIS 1.0 handhabt Dateien mit Endung CMD oder BAT mit Hilfe von CMD.EXE mittels MIME-Mapping. Dies ermöglicht es Crackern, Befehle auf Ihrem Server auszuführen. Leider werden die so ausgeführten Befehle nicht aufgezeichnet. Ein Cracker könnte also theoretisch Systemdateien löschen und Ihr System außer Betrieb setzen, ohne jemals entdeckt zu werden. Installieren Sie den Patch.

Schwachstelle IIS Active Server Pages

IIS Version 3.0 und möglicherweise andere

Auswirkungen: Entfernte Benutzer können Dateien überschreiben.

Einstufung: ernst bis kritisch

Abhilfe: keine

Beigetragen von: Daragh Malone

Beschreibung: Active Server Pages können dazu verwendet werden, jede beliebige Datei zu überschreiben. Cracker, die diese Schwachstelle ausnutzen, müssen Scripting-Erfahrung haben. Der Code ist jedoch auch im Internet zu bekommen. Derzeit gibt es keine Abhilfe, außer /wwwroot nicht für andere freizugeben.

Schwachstelle IIS ASP URL

IIS Version 2.0+ unter Windows NT 4.0

Auswirkungen: Entfernte Benutzer können ASP-Quellcode ansehen.

Einstufung: ernst

Abhilfe: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes- postsp2/iis-fix/

Beigetragen von: Weld Pond von L0pht

Beschreibung: ASP-Quellcode kann von einem entfernten Rechner aus untersucht werden. Die Technik ist unkompliziert und erfordert keine speziellen Programmierkenntnisse. Der Cracker nimmt die gewünschte URL, ersetzt den letzten Punkt durch die Zeichen %2e und lädt neu. Das System liefert dann den Quellcode.

Schwachstelle WEBHITS.EXE

IIS Version 3.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können IIS verwenden, um nach Schwachstellen zu suchen.

Einstufung: ernst

Abhilfe: WEBHITS.EXE löschen oder in ein anderes Verzeichnis als das vorgegebene verschieben

Beigetragen von: Andrew Smith

Beschreibung: WEBHITS.EXE ist ein Bestandteil der IIS-Suchmaschine unter dem Index Server. Entfernte Benutzer können dieses Modul verwenden, um Paßwörter, Benutzernamen und andere sicherheitsrelevante Dinge in Erfahrung zu bringen.

Schwachstelle Lange Dateinamen

IIS Version 4.0

Auswirkungen: Auf geschützte Dateien kann von entfernten Rechnern zugegriffen werden.

Einstufung: ernst

Abhilfe: ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/security/sfn-fix

Beigetragen von: Greg Skafte

Beschreibung: Wenn ein Dateiname lang ist und Windows ihn im Befehlszeilenmodus kürzt (z.B. filena~1.com statt filename.com), kann die verkürzte Version von entfernten Rechnern aus aufgerufen werden, obwohl der vollständige Dateiname geschützt bleibt.

Schwachstelle NEWDSN.EXE

IIS Version 3.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können beliebige Dateien erzeugen.

Einstufung: mittel

Abhilfe: NEWDSN.EXE löschen oder in ein anderes Verzeichnis als das vorgegebene verschieben

Beigetragen von: Vytis Fedaravicius

Beschreibung: Dies ist ein ziemlich schwer auszunutzender Bug, da er sich nicht auf allen Rechnern gleich auswirkt. Aber ist die Vorstellung nicht schrecklich, daß Anwender eine BAT-Datei erzeugen könnten, die alle wichtigen Systemdateien löscht?

Schwachstelle GET

IIS Version 2.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen und einen Reboot erzwingen.

Einstufung: mittel - Denial-of-Service

Abhilfe: ftp://ftp.microsoft.com/ oder SP2

Beigetragen von: unbekannt

Beschreibung: Nicht gepatchte Server, auf denen IIS 2.0 unter Windows NT 4.0 läuft, können aus dem Netz geworfen werden. Die Methode ist einfach: Cracker stellen eine Telnet- Verbindung zu Port 80 her und geben Get ../.. ein. Das Ergebnis? Der Rechner muß neu gebootet werden. (Dieser Angriff bringt auch Microsoft-Proxy-Server zum Absturz, was noch viel kritischer ist.)

Schwachstelle CPU-Überlastung

IIS Version 2.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen und einen Reboot erzwingen.

Einstufung: mittel - Denial-of-Service

Abhilfe: unbekannt

Beigetragen von: Max Newbould

Beschreibung: Cracker verbinden sich mit Ihrem Web-Server und geben viele beliebige Befehle ein. Nach ca. 20 Befehlen rast die Systemauslastung auf 100%, wodurch ein Neustart erforderlich wird. Wenden Sie sich an Microsoft oder suchen Sie unter ftp:// ftp.microsoft.com/ nach aktuellen Patches.

Schwachstelle Lange URLs

IIS Version 2.0 (unter Windows NT 4.0)

Auswirkungen: Entfernte Benutzer können Ihren Server zum Absturz bringen.

Einstufung: mittel - Denial-of-Service

Abhilfe: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes- postSP3/iis-fix

Beigetragen von: Todd Fast

Beschreibung: Indem sie eine extrem lange Zeichenkette als URL senden, können Cracker Ihren Web-Server zum Absturz bringen und Sie zwingen, den Service neu zu starten. Diese Schwachstelle ist nicht leicht reproduzierbar. Die erforderliche Länge liegt zwischen 4-10 Kbyte und variiert je nach Release.

Wenn Sie alle Service-Packs installieren und die hier beschriebenen Sicherheitslücken patchen, wird Ihr IIS-Server schon etwas sicherer sein.

17.4.8 Allgemeine Sicherheitslücken in Windows NT

Sequenznummer-Attacken

NT-Version: alle Versionen

Auswirkungen: Entfernte Benutzer können sich Admin-Privilegien aneignen.

Einstufung: ernst bis kritisch

Abhilfe: keine, wenden Sie sich an Microsoft

Weitere Informationen: http://www.engarde.com/software/seqnumsrc.c

Beigetragen von: Bill Stout

Beschreibung: Sitzungen können übernommen werden, indem die TCP-Sequenznummer erraten wird. (Das ist eigentlich ein Spoofing-Problem. Es betrifft viele Netzdienste, darunter RPC, Netbios und SMB-Verbindungen.) Unter dem Link finden Sie den Quellcode, um den Exploit zu kopieren. Weitere Informationen finden Sie hier:

http://www.rito.com/nt/ntsec/default.htm.

Schwachstelle GetAdmin

NT-Version: alle Versionen

Auswirkungen: Lokale Benutzer können sich Admin-Privilegien aneignen.

Einstufung: kritisch

Abhilfe: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes- postSP3/getadmin-fix

Weitere Informationen: http://www.ntsecurity.net/security/getadmin.htm

Beigetragen von: David LeBlanc, Thomas Lopatic und anderen

Beschreibung: GETADMIN.EXE ist ein Utility, das von lokalen Benutzern verwendet werden kann, um sich Admin-Privilegien anzueignen. Dies ist eine kritische Sicherheitslücke.

Schwachstelle Windows NT Backup

NT-Version: alle Versionen

Auswirkungen: Paßwörter in Backups können die Systemsicherheit gefährden.

Einstufung: ernst

Abhilfe: Verschlüsseln Sie Ihre Backups.

Beigetragen von: Paul Ashton

Beschreibung: Jeder, der ein Backup-Band mit Paßwörtern besitzt, kann dieses benutzen, um sich auf Ihrem Server und vielleicht auch anderen Windows-NT-Servern zu authentifizieren.

Schwachstelle NBTSTAT

Windows-NT-Version: alle Versionen und auch Windows 95

Auswirkungen: Entfernte Benutzer können Zugriff auf freigegebene Verzeichnisse erlangen.

Einstufung: ernst

Abhilfe: Schützen Sie Ihre Verzeichnisse durch Paßwörter.

Beigetragen von: Chris Williams

Beschreibung: Der Angreifer muß nur das Ziel zu seiner lmhosts-Datei hinzufügen und eine NETBIOS-Sitzung starten. Dann kann er beginnen, die Verzeichnisse durchzugehen. Dies ist eine ernste Schwachstelle. Momentan scheint es außer dem Paßwortschutz keine andere Möglichkeit zu geben, sich davor zu schützen.

17.4.9 Weitere Schwachstellen mit geringerer Bedeutung

Windows NT hat noch weitere Schwachstellen, die vielleicht nicht kritisch, aber dennoch ernst zu nehmen sind. Sie sind in Tabelle 17.3 aufgelistet, zusammen mit den URLs, unter denen Sie mehr darüber erfahren können:

Tabelle 17.3: Weitere Schwachstellen von Windows NT

Schwachstelle

Beschreibung und URL

Out of Band (OOB)

OOB-Attacken sind die schlimme Form von Denial-of-Service-Attacken. Viele Plattformen sind für OOB-Attacken anfällig, einschließlich Windows NT und 95. Die Abhilfe finden Sie hier: ftp://ftp.microsoft.com/bussys/winnt/winnt-
public/fixes/usa/NT351/hotfixes-postSP5/oob-fix/

Port 1031

Wenn ein Cracker eine Telnet-Verbindung zu Port 1031 Ihres Servers herstellt und Müll sendet, wird dies Ihren Server aus dem Netz werfen. Das ist eine Ausnutzung einer Sicherheitslükke in der Datei INETINFO.EXE. Suchen Sie bei Microsoft nach aktuellen Patches.

NTCrash

Ein wirkungsvolles Denial-of-Service-Utility mit Namen NTCrash zwingt einen NT-Server in die Knie. Den Quellcode finden Sie hier: http://world.std.com/~loki/security/nt-exploits/ntcrash.zip. Zur Zeit ist mir keine Abhilfe bekannt. Testen Sie es einfach und sehen Sie, was passiert.

DOC-Dateien

Dies ist eine ganz bizarre Sicherheitslücke. Dateien mit der Erweiterung *.DOC können ausgeführt werden, auch wenn sie gar keine richtigen DOC-Dateien sind. Wenn ein Cracker ein Programm namens DESTROY_SERVER.EXE schreibt und es in DESTROY_SERVER.DOC umbenennt, ist es ausführbar. Offensichtlich funktioniert dies nur, wenn die Datei von der Befehlszeile aus aufgerufen wird, was Sie wahrscheinlich nie tun würden. Der Angreifer könnte diesen Aufruf jedoch auch in einer Batch-Datei verbergen.

17.4.10 Interne Sicherheit von Windows NT

Der Großteil dieses Kapitels beschäftigt sich mit Remote-Sicherheit, wobei die Angreifer aus fremden Netzwerken kommen. Leider gehen Angriffe aber nicht immer nur von fremden Netzwerken aus. Manchmal greifen auch Ihre eigenen Benutzer Ihren Server an. Damit befaßt sich das folgende Kapitel.

Interne Sicherheit im allgemeinen

Im allgemeinen hat Windows NT nur eine leidliche interne Sicherheit zu bieten. Dies ist grundverschieden zu seiner externen Sicherheit, die meines Erachtens sehr gut ist (wenn Sie immer die neuesten Patches installieren). Sie sollten wenigstens NTFS verwenden. Wenn Sie das nicht tun, besteht überhaupt keine Hoffnung, Ihre Rechner zu schützen. Denn es gibt einfach zu viele Dinge, die lokale Benutzer machen können, und zu viele Dateien und Dienste, die sie benutzen können.

Einige Systemadministratoren behaupten, daß sie NTFS nicht brauchen. Sie meinen, daß sie durch eine sorgfältige Administration und die Kontrolle der Personen, die Zugang zu Ihren Rechnern bekommen, mehr oder weniger auf der sicheren Seite sind. Das sind leider Wunschvorstellungen.

Das RDISK-Sicherheitsloch

Ein ausgezeichnetes Beispiel ist das RDISK-Sicherheitsloch. RDISK ist ein Windows-NT- Utility, mit dem Sie Rettungsdisketten für den Notfall erstellen können. Das ist ein wertvolles Hilfsprogramm für einen Systemadministrator; wenn es jedoch der falschen Person in die Hände gerät, stellt RDISK ein riesiges Sicherheitsloch dar. Ein Benutzer kann RDISK anweisen, von allen Sicherheitsinformationen (einschließlich Paßwörtern und Registry- Informationen) im Verzeichnis C:\WINNT\REPAIR einen Dump anzulegen. Von dort aus kann der Angreifer einen Paßwort-Cracker laden. Innerhalb von Stunden ist der gesamte Rechner bloßgelegt. Möchten Sie es einmal selbst ausprobieren? Dann geben Sie an einem Prompt folgenden Befehl ein: rdisk /s.

Gehen Sie dann ins Verzeichnis C:\WINNT\REPAIR. Dort finden Sie alle Informationen, die Sie zum Knacken des Rechners benötigen.

17.4.11 Eine gute interne Sicherheit aufbauen

Der Aufbau einer guten internen Sicherheit ist nie zu Ende. Es gibt keine Liste mit Tools, die Sie installieren können, um Ihren Rechner für alle Zeiten zu schützen. Es tauchen immer wieder neue Sicherheitslöcher auf. Und obwohl Microsoft wirklich viel getan hat, um die Sicherheit von NT zu verbessern, ist das ständige Streben nach Benutzerfreundlichkeit ihrer Produkte für die Bemühungen um ernsthafte Sicherheit eher hinderlich.

Ein amüsantes Beispiel dafür wurde durch Vacuum von Rhino9 (einer bekannten Hacker- Gruppe) beschrieben, der die Beobachtung machte, daß der Versuch der Beschränkung des Benutzerzugangs zu der Systemsteuerung ein erfolgloses Unterfangen ist. Er schrieb:

Wenn Sie über Start/Einstellungen/Systemsteuerung oder das Arbeitsplatz-Icon keinen Zugang zur Systemsteuerung haben, klicken Sie auf Start/Hilfe/Index. Alle normalerweise angezeigten Icons sind als Hilfethemen aufgeführt. Wenn Sie z.B. auf »Netzwerk« klicken, erscheint ein Windows-NT-Hilfefenster mit einer netten kleinen Abkürzung, über die Sie zu den Netzwerkeinstellungen der Systemsteuerung gelangen.

Dieses Problem klingt simpel und nicht sehr bedrohlich. Es trifft aber für die meisten Systemressourcen und sogar Administrationswerkzeuge zu. (Microsoft wird dies wahrscheinlich auch nie ändern. Ihre Verteidigung würde wahrscheinlich so lauten: Es erhöht die Benutzerfreundlichkeit, zu jedem Programm, das in der Online-Hilfe behandelt wird, eine direkte Verknüpfung anzubieten.)

Sie sollten wenigstens Protokollierungs-Utilities und einen Sniffer installieren. Ich empfehle Ihnen außerdem, eine umfassende Liste aller Anwendungen oder Ressourcen zu erstellen, die keine Protokollierungsmöglichkeiten haben. Wenn diese Anwendungen oder Ressourcen auch nicht mit Hilfe anderer Anwendungen protokolliert werden können, empfehle ich Ihnen, sie zu löschen oder wenigstens von ihren vorgegebenen Verzeichnissen in andere zu verschieben.

17.4.12 Ein Tip für die Einrichtung eines NT-Servers von Grund auf

Um einen möglichst sicheren Windows-NT-Server einzurichten, müssen Sie schon bei der Installation alles richtig machen. Wenn Sie Windows NT bereits mit FAT installiert haben, kommt dies natürlich etwas spät für Sie. Ich würde Ihnen dann zu einer Neuinstallation raten. Um festzustellen, ob Sie eine Neuinstallation vornehmen sollten, sollten Sie Ihren ursprünglichen Installationsvorgang mit den typischen Vorbereitungen für ein C2-System vergleichen. Dazu empfehle ich Ihnen, sich den Secure Windows NT Installation and Configuration Guide der Navy herunterzuladen. Dieses Dokument enthält die umfassendste Anleitung für eine sichere Installation, die derzeit in gedruckter Fassung verfügbar ist. Sie finden sie hier:

http://infosec.nosc.mil/TEXT/COMPUSEC/navynt.zip (Word)
http://infosec.nosc.mil/TEXT/COMPUSEC/navynt.pdf (PDF)

Die Anleitung führt Sie durch die Konfiguration des Dateisystems, Audit-Policy, Registry, Benutzerverwaltung, Benutzerkonten-Policy, Benutzerrechte, Vertrauensbeziehungen, System-Policy und die Systemsteuerung. Mit Hilfe der gut erläuterten Schritt-für-Schritt- Anleitung lernen Sie Windows-NT-Sicherheit praktisch nebenbei. Obwohl es nur 185 Seiten umfaßt, ist das Navy-Dokument mehr wert als 10 oder gar 100 Bücher wie dieses. Wenn Sie diese Anleitung befolgt haben, sind Sie bei der Einrichtung eines sicheren Servers schon sehr viel weiter gekommen.

17.4.13 Tools

Wenn Sie Ihren Server eingerichtet haben, können Sie sich verschiedene unverzichtbare Tools besorgen, mit denen Sie seine Sicherheit verbessern können. Kein Windows-NT- Administrator sollte je ohne diese Tools angetroffen werden.

Administrator Assistant Tool Kit 2.0

Das Administrator Assistant Tool Kit 2.0 ist eine Programmsammlung, die Utilities für die Organisation der Systemadministration von Windows-NT-Rechnern enthält.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
E-Mail: Services@box.omna.com URL: http://www.ntsecurity.com/

FileAdmin

FileAdmin ist ein fortgeschrittenes Tool zur Handhabung von Dateiberechtigungen in großen Netzwerken. Dieses Utility kann Ihnen viele Stunden Arbeit ersparen.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
E-Mail: Services@box.omna.com
URL: http://www.ntsecurity.com/

Kane Security Analyst

Kane Security Analyst ermöglicht eine Echtzeit-Erkennung von Eindringlingen in Windows NT. Dieses Utility erkennt und meldet Sicherheitsverletzungen und ist sehr flexibel konfigurierbar.

Intrusion Detection, Inc.
217 East 86th Suite 213
New York, NY 10028
Tel. 001-212-348-8900
E-Mail: info@intrusion.com
URL: http://www.intrusion.com/

NetXRay Analyzer

NetXRay Analyzer ist ein wirkungsvoller Protokoll-Analyzer (Sniffer) und ein Netzwerküberwachungs-Tool für Windows NT. Er ist wahrscheinlich der umfangreichste verfügbare Sniffer für Windows NT. (Kurios ist, daß dieses Produkt selbst ein kleines Sicherheitsloch hat. David LeBlanc entdeckte, daß Version 2.6 einen Puffer-Überlauf hat.)

Cinco Networks, Inc.
6601 Koll Center Parkway Suite 140
Pleasanton, CA 94566
Tel. 001-510-426-1770
E-Mail: marketing@ngc.com
URL: http://www.cinco.com/

NT Crack

NT Crack ist ein Tool, das Windows-NT-Paßwörter prüft. Es ist das NT-Äquivalent zu Crack für Unix.

Secure Networks, Inc.
Suite 330 1201 5th Street S.W
Calgary, Alberta Canada T2R-0Y6
Tel. 001-403-262-9211
E-Mail: jwilkins@secnet.com
URL: http://www.secnet.com/

NT Locksmith

NT Locksmith ermöglicht den Zugriff auf einen Windows-NT-Rechner ohne Paßwort. Es ist ein Rettungs-Utility, das Ihnen ermöglicht, ein neues Admin-Paßwort festzulegen.

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
E-Mail: info@winternals.com
URL: http://www.winternals.com/

NTFSDOS Tools

NTFSDOS Tools ermöglicht es Ihnen, von einer DOS-Diskette aus Kopier- und Rename- Berechtigungen für Windows NT zu erlangen. Ein großartiges Tool für Notfälle (z.B. wenn Sie das Admin-Paßwort verloren haben. Hm...).

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
E-Mail: info@winternals.com
URL: http://www.winternals.com/

NTHandle

NTHandle identifiziert offene Prozesse in Windows NT und ermöglicht Ihnen so, ein Auge auf Ihre Anwender zu haben.

NT Internals - Mark Russinovich
E-Mail: mark@ntinternals.com
URL: http://www.sysinternals.com/

NTRecover

NTRecover ist ein Rettungsprogramm. Es ermöglicht Ihnen, auf tote Windows-NT-Laufwerke über serielle Schnittstellen zuzugreifen. Nicht schlecht, oder?

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
E-Mail: info@winternals.com URL: http://www.winternals.com/

NTUndelete

NTUndelete ermöglicht Ihnen, Dateien, die an einem Prompt oder aus Anwendungen heraus gelöscht worden sind, zu speichern und später wiederherzustellen.

Winternals Software LLC
P.O. Box 49062
Austin, TX 78705
Fax: 001-512-427-5869
E-Mail: info@winternals.com
URL: http://www.winternals.com/

PC Firewall 1.02

PC Firewall 1.02 ist eine bidirektionale Paketfilter-Sammlung für Windows 95 und Windows NT.

McAfee (Network Associates, Inc.)
2805 Bowers Ave
Santa Clara, CA 95051
Tel. 001-408-988-3832
E-Mail: ordermaster@nai.com
URL: http://www.nai.com/

PWDUMP

PWDUMP erstellt einen Dump (Speicherauszug) von Paßworteinträgen, die in der Registry aufbewahrt sind.

Jeremy Allison
E-Mail: jra@cygnus.com
URL: ftp://samba.anu.edu.au/pub/samba/pwdump/pwdump.c

RedButton

RedButton ist ein Tool zum Testen von Sicherheitslücken in öffentlich zugänglichen Registries auf entfernten Rechnern.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
E-Mail: Services@box.omna.com
URL: http://www.ntsecurity.com/

RegAdmin

RegAdmin ist ein fortgeschrittenes Tool zur Handhabung von Registry-Einträgen in großen Netzwerken. Es spart sehr viel Zeit.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
E-Mail: Services@box.omna.com
URL: http://www.ntsecurity.com/

ScanNT Plus

ScanNT Plus ist ein Wörterbuch-Utility zum Knacken von Paßwörtern. Testen Sie Ihre NT- Paßwörter damit.

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
E-Mail: Services@box.omna.com
URL: http://www.ntsecurity.com/

Somarsoft DumpAcl

Somarsoft DumpAcl erstellt Dumps von Berechtigungen für das Windows-NT-Dateisystem in der Registry, einschließlich Freigaben und Drucker. Es verschafft einen Überblick über Berechtigungen, der in großen Netzwerken normalerweise schwer zu erlangen ist.

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
E-Mail: info@somarsoft.com URL: http://www.somarsoft.com/

Somarsoft DumpEvt

Somarsoft DumpEvt erzeugt Dumps von Ereignisprotokollinformationen, die zur Analyse in eine Datenbank importiert werden können.

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
E-Mail: info@somarsoft.com
URL: http://www.somarsoft.com/

Somarsoft DumpReg

Somarsoft DumpReg erstellt Dumps von Registry-Informationen zur Analyse. Es ermöglicht außerdem eine gute Suche und einen Abgleich von Schlüsseln.

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
E-Mail: info@somarsoft.com
URL: http://www.somarsoft.com/

Somarsoft RegEdit

Somarsoft RegEdit ist ein vollständiges Programm zum Editieren und Handhaben der Registry, das Basic unterstützt. (Es ist sozusagen die gedopte Version von RegEdit.)

Somarsoft, Inc.
P.O. Box 642278
San Francisco, CA 94164-2278
Tel. 001-415-776-7315
E-Mail: info@somarsoft.com
URL: http://www.somarsoft.com/

Virtuosity

Virtuosity ist ein umfassendes Verwaltungs- und Umstellungs-Tool. (Gut für große Umstrukturierungen.)

Midwestern Commerce, Inc. (Ntsecurity.com)
1601 West Fifth Avenue Suite 207
Columbus, OH 43212
Tel. 001-614-336-9223
E-Mail: Services@box.omna.com
URL: http://www.ntsecurity.com/

17.4.14 Gute Online-Informationsquellen

Im nächsten Abschnitt finden Sie viele gute Links zu Windows-NT-Informationen. Die meisten von ihnen werden ständig aktualisiert.

Das FTP-Archiv der Mailing-Liste zu Windows-NT-Sicherheit

Dies ist ein Archiv aller in der Mailing-Liste zu Windows-NT-Sicherheit geposteten Beiträge. Das Archiv reicht bis zum Juli 1996 zurück und enthält Beiträge von Windows-NT- Sicherheitsexperten und -Enthusiasten. Ich empfehle Ihnen, sich die gesamten Dateien herunterzuladen.

Informationen aus der Dateiliste zu ziehen kann ziemlich mühselig sein, da sie als reine Textdatei vorliegt. Das ist eine gute Aufgabe für Perl. Sie können mit ein paar Zeilen Code die ganzen Betreffzeilen aus dem Text ziehen:

#!/usr/bin/perl
if(/^Subject: (.*)) {
print;
}

Wenn Sie die Betreffzeilen haben, haben Sie schon einen besseren Überblick. Noch mehr Licht bringen Sie in die Sache, wenn Sie alle mit RE: beginnenden Betreffzeilen unterdrükken. Im allgemeinen suchen Sie ja nach dem ersten Beitrag, da dieser meistens ein durch den Autor neu entdecktes Sicherheitsloch beschreibt. Solche Beiträge stammen häufig von Leuten, die routinemäßig Sicherheitslücken von Betriebssystemen aufdecken. Viele von ihnen sind Autoritäten auf bestimmten Gebieten der Windows-NT-Sicherheit (z.B. Leute wie David LeBlanc und Russ Cooper). Alles in allem ist diese Liste wirklich gut.

ftp://ftp.iss.net/pub/lists/ntsecurity-digest.archive/

AlphaNT

Diese Site beherbergt Tools, Dokumente und andere Informationen über Windows NT auf der DEC Alpha-Plattform. Dieses Dateiarchiv ist eine gewaltige Sammlung von Utilities und Programmen für alles mögliche, von der Sicherheit bis hin zur Entwicklung.

http://dutlbcz.lr.tudelft.nl/alphant/

Windows NT Security FAQ

Dieses Dokument mit häufig gestellten Fragen zur Windows-NT-Sicherheit ist ein absolutes Muß, wenn Sie ein Neuling auf diesem Gebiet sind. Ich gehe jede Wette mit Ihnen ein, daß mehr als die Hälfte der Fragen, die Sie zur NT-Sicherheit haben, in diesem Dokument beantwortet sind.

http://www.it.kth.se/~rom/ntsec.html

NTBugTraq

NTBugTraq ist eine ausgezeichnete Informationsquelle, die von Russ Cooper von RC Consulting betreut wird. Die Site beinhaltet eine Datenbank mit Windows-NT-Sicherheitslücken und die archivierten und mit einer Suchfunktion versehenen Versionen der NTBugTraq-Mailingliste.

http://www.ntbugtraq.com/

MS Internet Security Framework FAQ

Dieses Dokument beschäftigt sich mit dem MS Internet Security Framework. Es beantwortet viele Fragen zu Windows NT, Microsoft-Verschlüsselung und Microsoft-Sicherheit.

http://www.ntsecurity.net/security/inetsecframe.htm

NTSECURITY.COM

Diese Site wird von der Aelita Software Group der Midwestern Commerce, Inc., betreut, einer bekannten Entwicklungsfirma, die unter anderem Sicherheitsapplikationen für Windows NT entwickelt.

http://www.ntsecurity.com/default.htm

Expert Answers for Windows NT

Dies ist ein Forum, in dem fortgeschrittene Windows-NT-Themen diskutiert werden. Es ist eine gute Adresse, um mögliche Lösungen für sehr undurchschaubare und konfigurationsspezifische Probleme zu finden. Regelmäßige Teilnehmer posten klare, kurz gehaltene Fragen und Antworten wie: »Ich habe einen PPRO II mit NT 4.0 und IIS 3, auf dem MS Exchange 5.0 läuft, mit SP3 für NT und SP1 für Exchange. Warum stürzt mein Mailserver ab?«

http://community.zdnet.com/cgi-bin/podium/show?ROOT=331&MSG=331&T=index

Windows NT Security Issues bei Somarsoft

Das Dokument zu Windows-NT-Sicherheitsthemen bei Somarsoft behandelt fortgeschrittene Sicherheitslücken im Windows-NT-Betriebssystem. Sie finden es hier:

http://www.somarsoft.com/security.htm

The ISS Vulnerability Database

Die Sicherheitslücken-Datenbank von Internet Security Systems ist eine sehr gute Quelle, um herauszufinden, ob Ihr Rechner mit allen nötigen Patches versehen ist. Sie finden sie hier:

http://www.iss.net/vd/library.html

Enhanced Security for [Windows] NT 5.0

Dieser Artikel über die verbesserte Sicherheit von Windows NT 5.0 wurde von Michael A. Goulde geschrieben. Er behandelt interessante Themen und gibt einen kleinen Ausblick darauf, was bei Version 5.0 zu erwarten ist.

http://www.microsoft.com/ntserver/community/seybold.asp?A=7&B=4

Association of Windows NT Systems Professionals

Dies ist eine Gruppe, die Informationen über fortgeschrittene Windows-NT-Themen, Sicherheit und Entwicklung austauscht. Sie besteht seit 1993.

http://www.ntpro.org/ntpro.html

Windows NT Magazine Online

Sie denken wahrscheinlich, daß kommerzielle Magazine keine gute Quelle für Sicherheitsinformationen sind. Bei dieser Site ist das zum Glück anders. Sie finden hier einige wertvolle Artikel und Editorials.

http://www.winntmag.com/

Defense Information Infrastructure Common Operating Environment
(DII COE), Version 3.1, Gesammelte Dokumente zu NT 4.0

Es gibt eine Reihe von Dokumenten, die Standards für die Entwicklung und Administration auf der Windows-NT-Plattform spezifizieren.

http://spider.osfl.disa.mil/cm/dii31/dii31_nt40.html

Securing Windows NT Installation

Dies ist ein unglaublich detailliertes Dokument von Microsoft über die Installation eines sicheren Windows-NT-Servers. Das Microsoft-Team hat in den letzten Jahren wegen der Sicherheit viel Druck bekommen, und dieses Dokument ist die Antwort darauf.

http://www.microsoft.com/ntserver/guide/secure_ntinstall.asp?A=2&B=10

Steps for Evaluating the Security of a Windows NT Installation

Ein ausgezeichnetes Dokument von Tom Sheldon, Autor des Windows NT Security Handbook . Es beschreibt die notwendigen Schritte zur Errichtung eines sicheren Windows-NT- Servers.

http://www.ntresearch.com/ntchecks.htm

Coopers and Lybrand White Paper on NT

Daran müssen Sie sich erinnern - in diesem Dokument attestierten C&L Mitte 1997 die Sicherheit von Windows NT 4.0. Naja! Obwohl das Dokument etwas voreilig war, ist es immer noch lehrreich (obwohl man vielleicht mehr darüber erfährt, welche Kriterien C&L für die Sicherheitsprüfung anwenden, als über NT-Sicherheit an sich).

http://www.microsoft.com/ntserver/guide/cooperswp.asp?A=2&B=10

Troubleshooting Windows NT

Diesen informativen und recht technischen Artikel zur Systemadministration unter Windows NT finden Sie auf dieser Seite:

http://www.ntsystems.com/nts110fe.htm

Das NT-Archiv der University of Texas am Austin Computation Center

Diese Site enthält eine breite (und manchmal eklektische) Auswahl an Tools und Fixes für Windows NT.

ftp://microlib.cc.utexas.edu/microlib/nt/

17.4.15 Bücher über Windows-NT-Sicherheit

Die folgenden Titel sind verschiedenartige Abhandlungen über Windows-NT-Sicherheit. Wenn Sie knapp bei Kasse sind, würde ich Ihnen zunächst zum Erwerb des Windows NT Security Handbook raten. Es ist ein gründliches Buch, das zu den am meisten benutzten Nachschlagewerken von Windows-NT-Administratoren zählt.

Windows NT Systemadministration. Aeleen Frisch. O'Reilly & Associates, 1998. ISBN: 3897211181.

Internet Security With Windows NT. Mark Joseph Edwards. Duke Communications, 1997. ISBN: 1882419626.

Microsoft Windows NT Network Administration Training. Microsoft Educational Services Staff. Microsoft Press, 1997. ISBN: 1572314397.

Pcweek Microsoft Windows NT Security: System Administrator's Guide. Nevin Lambert, Manish Patel, Steve Sutton. Ziff Davis, 1997. ISBN: 1562764578.

Windows NT Administration: Single Systems to Heterogeneous Networks. Marshall Brain, Shay Woodard und Kelly Campbell. Prentice Hall, 1994. ISBN: 0131766945.

Windows NT Security Guide. Steve A. Sutton. Addison-Wesley Pub Company, 1996. ISBN: 0201419696.

Windows NT Security Handbook. Tom Sheldon. Osborne McGraw-Hill, 1996. ISBN: 0078822408.

Windows NT Security: A Practical Guide to Securing Windows NT Servers and Workstations. Charles B. Rutstein. McGraw-Hill, 1997. ISBN: 0070578338.

Windows NT Server 4 Security Handbook. Lee Hadfield, Dave Hatter und Dave Bixler. Que, 1997. ISBN: 078971213X.

Windows NT Server and Unix: Administration, Co-Existence, Integration and Migration. G. Robert Williams und Ellen Beck Gardner. Addison-Wesley Publishing Company, 1998. ISBN: 0201185369.

Windows NT Benutzer-Administration. Ashley J. Meggitt und Timothy D. Ritchey. O'Reilly & Associates, 1998. ISBN: 3897211114.

WWW Security: How to Build a Secure World Wide Web Connection. Robert S. MacGregor, Alberto Aresi und Andreas Siegert. Prentice Hall, 1996. ISBN: 0136124097.

17.5 Zusammenfassung

Windows NT ist eine ausgezeichnete Server-Plattform. Wie seine Entsprechungen ist jedoch auch Windows NT nicht von sich aus sicher. Um einen sicheren Server zu betreiben, müssen Sie drei Dinge tun:

Wenn Sie diese Dinge beachten, sollten Sie keine Probleme bekommen.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel