Mehr Verlass auf Betriebssystem-Services – Teil 2

Dienste unter Windows Server 2008 und Windows Vista härten

15.12.2008 | Autor / Redakteur: Manuela Reiss / Stephan Augsten

Angepackt: Betriebssystem-Dienste lassen sich unter Windows Vista und Server 2008 manuell härten.
Angepackt: Betriebssystem-Dienste lassen sich unter Windows Vista und Server 2008 manuell härten.

Microsoft hat die Dienste unter Windows Server 2008 und Vista mit zahlreichen Sicherheitsverbesserungen ausgestattet. Doch die Gefahr ist damit keineswegs gebannt, denn im Gegenzug benötigen diese Betriebssysteme viele neu eingeführte Dienste. In diesem Beitrag zeigen wir Ihnen, wie Sie Vista- und Server-2008-System in Bezug auf die Dienste härten können.

In Windows-Betriebssystemen sind die Dienste, oder auch Services, eines der Haupteinfallstore für Malware. Besonders viele solcher Dienste bringen die neueren OS-Entwicklungen von Microsoft mit.

Die Enterprise-Standardinstallation von Windows Server 2008 enthält mehr als 100 Dienste. Und selbst Server Core – also der abgespeckte Basisserver ohne General User Interface – bringt noch 70 Dienste mit.

Deshalb hat Microsoft in Vista und Windows Server 2008 zahlreiche Sicherheitsverbesserungen implementiert. Doch die besten Sicherheitsmechanismen helfen nicht, wenn sie nicht angewendet oder durch eine fehlerhafte Konfiguration außer Kraft gesetzt werden. Was es bei den verbesserten Sicherheitsfunktionen für die Dienste zu beachten gilt und welche Maßnahmen darüber hinaus sinnvoll sind, wird im Folgenden erläutert.

Ausführung von Diensten mit den geringstmöglichen Privilegien

In älteren Windows-Versionen laufen alle betriebssystemintegrierten Dienste standardmäßig im Kontext des SYSTEM-Kontos. Windows Vista und Windows Server 2008 verwenden wenn möglich die restriktiveren Konten LOKALER DIENST und NETZWERKDIENST.

Auf Dienste von Fremdherstellern und selbst entwickelte Dienste trifft dies aber nicht zu. Diese verwenden häufig immer noch standardmäßig das Anmeldekonto SYSTEM.

Nach der Installation eines neuen Dienstes ist es daher sinnvoll, mit dem Dienststeuerungstool SC.exe (siehe Bild 1 der Bildergalerie) die SID des Dienstes, das Anmeldekonto und die benötigte Privilegien anzuzeigen. Mit dem Hersteller lässt sich ggf. klären, ob letztere reduziert werden können. Hinweise zur Vorgehensweise finden Sie im Beitrag Windows Vista und Server 2008 bieten höhere Sicherheit für Dienste.

Microsoft empfiehlt, wie bei den integrierten Diensten, anstelle von SYSTEM die Konten LOKALER DIENST und NETZWERKDIENST zu verwenden (sofern der Dienst unter einem solchen Konto ebenfalls funktioniert). Auch kann es in einigen Fällen sinnvoll sein, ein benutzerdefiniertes Dienstanmeldekonto anzulegen und dieses mit den unbedingt benötigten Rechten auszustatten. Ist die Verwendung alternativer Konten aufgrund von Beschränkungen des Produktherstellers nicht möglich, sollte der Einsatz eines Alternativproduktes in Erwägung gezogen werden

Bei der Verwendung benutzerdefinierter Anmeldekonten ist jedoch Vorsicht geboten. Dies gilt insbesondere für die Verwendung von Domänen-Anmeldekonten. So ist das Konto SYSTEM einem benutzerdefinierten Dienstkonto mit Domänen-Administratorrechten immer vorzuziehen. Ersteres verfügt nämlich über zusätzliche Schutzmechanismen, wie beispielsweise hohe Kennwortsicherheit.

Daher sollten auf Rechnern, die keine Domänencontroller sind, niemals benutzerdefinierte Dienstanmeldekonten verwendet werden, die zur Gruppe Domänen-Admins (oder Gruppen mit ähnlich hohen Privilegien) gehören. Wird nämlich ein solcher Dienst kompromittiert, hat dies ggf. Auswirkungen auf die Gesamtstruktur.

Seite 2: Verwendung starker Kennwörter

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2018463 / Betriebssystem)