Dynamisches Duo

Inhaltsverzeichnis

Mit den Voreinstellungen nach einer Installation läuft Windows zwar unkompliziert und komfortabel, leider ist es damit auch verwundbarer für Angriffe. Harden-IT und Secure-IT passen zahlreiche Einstellungen so an, dass Windows resistenter wird und dennoch bei den meisten Anwendern weiterhin reibungslos läuft [1,2]. Während Harden-IT sich insbesondere den Netzwerkeinstellungen widmet, richtet sich Secure-IT vornehmlich an die Desktop-Einstellungen.

Die Tools nehmen Änderungen an Parametern vor, die der Anwender sonst nur über die Systemsteuerung oder mit dem Registry-Editor in den Tiefen der Registry erreicht. Mittels einfacher Dialoge führen sie den Anwender durch die Konfiguration. Zudem geben die bislang nur in englisch verfügbaren Tools Hilfestellungen und Erklärungen, indem sie im Browser die passenden Informationsseiten aus dem Web abrufen. In allen Dialogen ist die für die meisten Fälle empfehlenswerte Einstellung bereits vorgegeben, die der Anwender nur noch akzeptieren muss.

Beide Tools lassen sich auch über die Windows-Eingabeaufforderung mit der Option /s starten und laufen so ohne Benutzerinteraktion durch. Die Einstellungen nehmen sie entsprechend den empfohlenen Werten vor. Administratoren können so mehrere PCs sichern, etwa über Boot-Skripte, ohne mühselig durch die Dialoge klicken zu müssen. Am Ende der Umkonfiguration, egal ob manuell oder automatisch, ist ein Neustart erforderlich, damit die sichereren Einstellungen auch wirksam werden. Sollte anschließend ein Programm nicht mehr richtig arbeiten, lassen sich die Einstellungen wieder rückgängig machen. Harden-IT bedient sich dazu eines vorher gesetzten Wiederherstellungspunktes unter XP. Bei Secure-IT muss man sich nochmals durch alle Dialoge arbeiten und statt der empfohlenen die standardmäßigen Punkte wählen.

Hart wie Stahl

Das Tool Harden-IT ist in der Lage, Windows NT, 2000, 2003 Server und XP widerstandsfähiger gegen Netzwerkangriffe wie SYN-Flooding und Router-Umleitungen zu machen. Dazu aktiviert es die standardmäßig abgeschaltete SYN-Attack-Protection und reduziert unter anderem die Anzahl erlaubter halboffener Verbindungen, die Anzahl der Sendewiederholungen und vergrößert die Backlog-Queue zum Speichern bereits erhaltener SYN-Pakete. Diese Anpassungen sind insbesondere für Server-Systeme sinnvoll, der Arbeitsplatz-PC wird davon kaum profitieren. Allerdings wird auch ein Server mit diesen Einstellungen einer echten DDoS-Attacke kaum widerstehen können.

Die im weiteren Dialog folgenden Einstellungen sind auch für den Client sinnvoll. So akzeptiert er etwa keine IP-Pakete mehr, die ihm eine Adresse für ein neues Gateway aufdrängen wollen. Angreifer leiten mit solchen Tricks den Verkehr im LAN um. Zudem schaltet Harden-IT die genauere Prüfung von fragmentierten Paketen ein und das Multicast Forwarding aus. Darüber hinaus unterbindet es den anonymen Zugriff (Null-Sessions) über das Netzwerk auf den PC, mit dem sich beispielsweise ohne Anmeldung die Namen vorhandener Domänenkonten und Netzwerkfreigaben abfragen lassen.