Sicherheit

    Kostenlose Zertifikate mit makecert.exe erstellen

    makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen.

    Sicherheitslücke in MHTML-Handler von Windows: Internet Explorer für Angriffe anfällig

    Windows-LogoMicrosoft warnt in einem Security Advisory vor einer ernstzunehmenden Sicherheitslücke im MHTM-Handler (Mime HTML) von Windows. Der Bug ermöglicht es nach Angaben des Software-Herstellers Angreifern, über den Browser Internet Explorer eigene Scripts auszuführen und sich so Zugang zu sensitiven Daten zu verschaffen, die auf fremden Rechnern lagern. Das erfolgt - altbewährter Manier - dann, wenn das Opfer eine Web-Site besucht oder zu deren Besuch verleitet wird, auf welcher der Schadcode platziert ist.

    Hierarchischer Aufbau einer Windows-PKI

    PKI mit 2-Stufen-Layout (Quelle: Microsoft)Die hier als einfaches Beispiel für eine Microsoft-PKI dienende Zertifizierungsstelle kann nicht als Beispiel für Planung oder Design dienen: Beides ist in diesem Sinne nicht vorhanden, es wurde lediglich ein Service auf einem Active-Directory-Server installiert und konfiguriert. In der Praxis reicht so ein Setup selten aus: Sicherheitstechnisch sollte man sowohl die Zertifizierungsstelle von Servern mit anderen Rollen physisch trennen als auch ihre Komponenten untereinander.

    Microsoft IPsec Diagnostic Tool

    Das kostenlose IPsec Diagnostic Tool von Microsoft analysiert Fehler und Probleme, die beim Betrieb von IPSec auftreten. Dazu sammelt es alle verfügbaren Log-Daten, die das Protokoll hinterlässt und präsentiert das Ergebnis in Textform.

    Sophos: Kostenlose Antiviren-Software für Mac-Rechner

    Startbildschirm von Sophos Antivirus for MacZwar schreiben wir auf WindowsPro vorzugsweise über Tools für Windows-Umgebungen. Doch im einen oder anderen Netzwerk dürften sich auch Apple-Mac-Systemen finden. Man denke nur an "Kreativabteilungen" wie Marketing, Werbung und PR.

    IPSec mit Windows 7 und Windows Server 2008 R2

    Per IPSec verschlüsselte Telnet-VerbindungDie Klartext-Übertragung sensibler Daten will man im lokalen Netzwerk nicht haben, da ein beliebiger Netzwerk-Sniffer ausreicht, um die mitzulesen. Eine Strategie dagegen kann sein, auf sichere Protokolle umzusteigen, etwa im Intranet nur noch HTTPS statt HTTP zu verwenden. Wenn das mit den vorhandenen Anwendungen nicht möglich ist, bietet sich an, den gesamten Datenverkehr mit IPSec auf der Vermittlungsschicht (internet layer) des TCP/IP-Protokollstapels zu verschlüsseln.

    PowerShell-ExecutionPolicy setzen, Scripts signieren und ausführen

    Unsignierte Scripts werden von PowerShell nicht ausgeführtIn der Vorein­stellung ist Power­Shell kompr­omiss­los auf Sicher­heit getrimmt: Man kann generell keine Scripts ausführen, nur die Shell interaktiv benutzen. Damit soll ver­hindert werden, dass Schad­code ausge­führt und ein Computer oder Benutzer­konto dadurch kompro­mittiert wird.

    Microsoft Attack Surface Analyzer

    Ein neues Microsoft-Tool mit dem Namen Microsoft Attack Surface Analyzer soll Administratoren, Entwicklern und IT-Sicherheitsbeauftragten helfen, Systemveränderungen sichtbar zu machen, die durch die Installation von Software verursacht werden.

    Zertifikat-Richtlinien für Benutzer und Gruppen

    ZertifizierungsstelleNach der Ein­richtung einer Zertifi­zierungs­stelle ohne weitere Konfi­guration stehen zunächst alle Zertifikat­typen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anfor­derung auto­matisch ausge­stellt. Für bestimmte Zertifikat­typen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikat­typen diese Berechtigungen feiner abstufen.

    EFS-Verschlüsselung in einer Domäne verwalten

    Die ausgestellten Zertifikate lassen sich an der Konsole der Zertifizierungsstelle nachverfolgenIn einer Organisation möchte man EFS-Verschlüsselung zentral verwalten statt, wie an Stand-Alone- oder Workgroup-Rechnern, jedem Benutzer selbst die Erzeugung und Sicherung seiner Schlüssel und Zertifikate zu überlassen. So ist gewährleistet, dass auch nach einem Password-Reset, der Restaurierung des Gerätes per Image oder ähnlichen administrativen Eingriffen der Benutzer Zugriff auf seine verschlüsselten Dateien hat: Schlüssel, Zertifikate und Wie­der­her­stellungs­agenten verwaltet das Active Directory. Voraussetzung dazu ist die Einrichtung einer PKI.

    Seiten