Alte Betriebssysteme

Windows Server 2003 nach Support-Ende absichern

| Autor / Redakteur: Thorsten Henning* / Stephan Augsten

Bereits am 14. Juli 2015 beendete Microsoft den erweiterten Support für Windows Server 2003.
Bereits am 14. Juli 2015 beendete Microsoft den erweiterten Support für Windows Server 2003. (Bild: Microsoft)

Unternehmen erhalten für Microsoft-Betriebssysteme wie Windows XP oder Windows Server 2003 über den Lebenszyklus hinaus erweiterten Support. Wie sich veraltete OS-Versionen zumindest vorübergehend weiter betreiben lassen, ohne zum Risiko zu werden, wollen wir heute klären.

Wird eine wichtige Software-Komponente in Rente geschickt, so zieht dies immer eine Herausforderung für IT-Abteilungen nach sich. Microsoft hat für Windows Server 2003/2003 R2 und SBS 2003/2003 R2 am 14. Juli 2015 den Support beendet. Dies bedeutet, dass Schwachstellen weiterhin bekannt gegeben werden, aber nicht mehr behoben werden durch Patches.

Viele Unternehmen sehen sich aber gezwungen, bestimmte ältere Anwendungen für einige Zeit weiterhin auf dem ebenso älteren Betriebssystem zu betreiben. Eine Out-of-Support-Komponente ist wiederum angreifbar und kann das Unternehmen anfällig machen für erhebliche Sicherheits- und Compliance-Risiken.

Angreifer haben es dabei nicht nur darauf abgesehen, weiterhin neue Schwachstellen zu identifizieren. Sie werden auch versuchen, durch Reverse-Engineering von Patches, die Hersteller für neuere Versionen dieser Softwaresysteme herausgeben, ungepatchte Schwachstellen in den älteren, nicht unterstützten Versionen zu identifizieren.

Angesichts der 12 Millionen physischen Server weltweit1, auf denen auch im Jahr 2015 immer noch Windows Server 2003 lief, dürfte eine hohe Anzahl von Servern neu entdeckten Schwachstellen ausgesetzt sein. Zum Beispiel wurde im März 2015, kurz vor Support-Ende, die kritische https://technet.microsoft.com/de-de/library/security/ms15-020.aspx Sicherheitsanfälligkeit CVE-2015-0081 entdeckt.

Microsoft zufolge ermöglicht die Schwachstelle eine Remote-Code-Ausführung, „wenn ein Angreifer einen Benutzer erfolgreich dazu verleitet, eine speziell gestaltete Website zu besuchen, eine speziell gestaltete Datei zu öffnen oder eine Datei in einem Arbeitsverzeichnis zu öffnen, das eine speziell gestaltete DLL-Datei enthält“.

Angriffe, die ungepatchte Schwachstellen ausnutzen, platzieren gewöhnlich Schadcode in einer scheinbar harmlosen Datendatei. Wenn der Benutzer eine solche Datei, beispielsweise eine PDF-Datei, öffnet, macht sich der bösartige Code in dieser Datei die Sicherheitslücke in der ungepatchten Software zunutze und führt seinen Code aus. Sobald ein Server mit Windows Server 2003 mit einem Virus, Trojaner etc. befallen ist, kann diese Schadsoftware auch auf andere Teile des Netzwerks überspringen, auch wenn diese ein aktuelleres Server-Betriebssystem nutzen.

Ungepatchte Server müssten daher vom Internetzugang getrennt und separat betrieben werden, was aus betrieblichen Gründen nicht immer möglich sein dürfte. Deswegen ist eine alternative Lösung gefragt, um bestehende Teile der Umgebung, die Windows Server 2003 oder eines der Derivate nutzen, zumindest bis zur unausweichlichen Migration auf möglichst sichere Weise weiterhin zu betreiben.

Sicherheit aufrechterhalten durch Prävention

Tauchen die ersten ungepatchten Schwachstellen auf, die sich Angreifer zunutze machen wollen, gilt es das Betriebssystem zu schützen, da die Schwachstellen nicht mehr vom Hersteller behoben werden. Dies gelingt nur, wenn der Angriffsversuch und damit die Malware am Verhalten erkannt werden, wozu die richtige Sicherheitslösung erforderlich ist. Herkömmliche Sicherheitsprodukte

erfordern jedoch das Vorwissen zu einer bestimmten Bedrohung, um diese zu verhindern. Oder eine neue Bedrohung wird erst identifiziert, nachdem sie bereits den Weg ins Netzwerk gefunden hat.

Moderne Sicherheitsplattformen verfolgen eine andere Strategie, die dem Problem fehlender Patches nach Support-Ablauf entgegenkommt. Statt sich auf eine Vielzahl einzelner, ständig neuer Angriffe zu konzentrieren, sieht die Strategie vor, proaktiv alle Angriffe zu verhindern, einschließlich unbekannter Malware und Zero-Day-Exploits. Hierzu wird automatisch eine überschaubare Zahl an Kerntechniken blockiert, die jeder Angreifer nutzen muss, um einen Exploit – in diesem Fall an einer Schwachstelle von Windows Server 2003 – auszuführen.

Dies erweist sich als effektiv, da alle Angriffe, die sich auf nicht-gepatchte Sicherheitslücken konzentrieren, auf einer kleinen Sammlung grundlegender Techniken beruhen, die selten geändert werden. Unbekannte Exploits und Zero-Day-Exploits können dann genauso wie bekannte Exploits abgewehrt werden, da Exploit-Techniken – und nicht die einzelnen Exploits – bekämpft werden.

Wenn eine Anwendung gestartet wird, injiziert sich der Agent der verhaltensbasierten Sicherheitssoftware in den Anwendungsprozess. Diese Injektion erfolgt völlig unbemerkt für den Endbenutzer. Wenn die bewaffnete Datendatei damit beginnt, eine Exploit-Technik auszuführen, wird diese im Kern verhindert. Anschließend sammelt die Sicherheitssoftware verschiedene forensische Daten und berichtet die Einzelheiten dieses Exploit-Versuchs an die Sicherheitsverantwortlichen.

Diese präventive Taktik ist auch wirksam, um böswillige .exe-Dateien abzuwehren, die oft versehentlich von Nutzern heruntergeladen und dann ohne deren Wissen ausgeführt werden. Durch das Blockieren von Techniken wie Thread-Injektion können Angriffe mit ausführbaren Dateien gestoppt werden.

Zeitgemäße Sicherheitslösungen dieser Art binden zudem Cloud-Ressourcen für die Bedrohungserkennung mit ein, um unbekannte .exe-Dateien zu überprüfen. Darüber hinaus können richtlinienbasierte Einschränkungen mit einbezogen werden. Zum Beispiel lässt sich die Ausführung von Dateien aus dem Verzeichnis temporärer Dateien in Outlook oder bestimmter Dateitypen direkt von einem USB-Laufwerk untersagen.

Nachhaltiger Ansatz zum Schutz vor neuen Bedrohungen

Windows Server 2003 hat das Ende seiner Lebensdauer aus der Sicht des Herstellers bereits überschritten. Einige Unternehmen nutzen für bestimmte Prozesse aber nach wie vor das alte Betriebssystem. Sie müssen nun ohne Sicherheitspatches auskommen, bis eine Migration auch aus anderen Gründen unausweichlich wird. Eine zeitgemäße Sicherheitsplattform kann dazu beitragen, die Sicherheit auf Systemen, die nicht gepatcht werden können, vorübergehend aufrechtzuerhalten.

Durch automatisierte Sicherheitsüberwachung können Unternehmen so vorerst weiterhin regulatorische Anforderungen erfüllen und Compliance-Bestimmungen gerecht werden. System- und Netzwerkadministratoren sollten daher die Schutzmaßnahmen für Windows Server 2003-Systeme gezielt verstärken, solange diese nicht endgültig abgelöst werden. Ein auf Prävention ausgerichteter Sicherheitsansatz ist aber für die gesamte Netzwerkumgebung, auch für aktuelle Betriebssysteme, eine nachhaltige Lösung zum Schutz vor neuen Bedrohungen.

* Thorsten Henning ist Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44286012 / Server)