Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Diensthärtung 177
werden, ob die Firewall aktiviert ist, und weil sie für alle drei Firewallprofile gelten. Sie
können außerdem nur verwendet werden, um den Zugriff einzuschränken, nicht um ihn zu
erlauben. Weil sich Microsoft darauf konzentriert, die Domänenisolierung auf Dienste auszuweiten,
steigt die Widerstandsfähigkeit von Windows gegenüber Netzwerkangriffen.
Etliche Angriffe, zum Beispiel der Blaster-Wurm, wären verhindert oder zumindest eingedämmt
worden, wären diese Firewallregeln damals schon aktiv gewesen.
Und falls Ihnen jemand erzählt, dass die Windows-Firewall standardmäßig keine ausgehenden
Filter aktiviert hat, können Sie auf die Dutzenden von Regeln verweisen, die in der
Standardeinstellung aktiv sind.
Sitzung-0-Isolierung
Am Anfang dieses Kapitels habe ich erwähnt, dass in Windows alle Dienste in Sitzung 0
laufen. Alle Benutzermodusanwendungen und -programme laufen in einer anderen Sitzung.
Das soll verhindern, dass Benutzer und die von ihnen ausgeführten Programme (unter denen
Malware sein kann) ohne Weiteres Kerndienste manipulieren können. Etwa 86 Prozent aller
Windows-Verwundbarkeiten, die in den letzten Jahren dokumentiert wurden, ergaben sich
nur, weil Endbenutzer mit Social Engineering dazu gebracht wurden, Code auf dem Desktop
auszuführen (http://www.infoworld.com/article/07/10/19/42OPsecadvise-insider-threats_1.
html). Daher ist die Isolierung für Dienstsitzungen eine sehr wichtige Entwicklung.
Der einzige potenzielle Nachteil der Sitzung-0-Isolierung besteht darin, dass alte Dienste
manchmal erwarten, dass eine direkte Interaktion mit dem Endbenutzer möglich ist. Solche
Dienste können keine Meldungen und Eingabeaufforderungen mehr anzeigen. Ohne irgendeine
Übergangslösung würde ein alter Dienst seine Meldungen in Sitzung 0 anzeigen, wo
der Endbenutzer sie nicht lesen kann. Microsoft stellt den Dienst Erkennung interaktiver
Dienste (ui0detect) bereit, damit alte Dienste mit interaktiven Endbenutzern kommunizieren
können. Wenn dieser Dienst gestartet wurde (er wird nicht automatisch gestartet), erkennt
der Dienst, falls alte Dienste versuchen, mit dem Benutzer zu kommunizieren, und macht
den angemeldeten interaktiven Benutzer darauf aufmerksam. Microsoft hat öffentlich erklärt,
dass der Ui0detect-Dienst nur eine Übergangslösung ist, die in Zukunft nicht mehr zur
Verfügung steht. Hersteller müssen ihre Dienste so anpassen, dass sie mit Benutzern in anderen
Sitzungen über RPC, COM, Named Pipes oder andere Methoden kommunizieren.
Weitere Informationen zur Sitzung-0-Isolierung finden Sie unter http://www.microsoft.com/
whdc/system/vista/services.mspx.
Verbindliche Integritätsebenen
Alle Dienste haben in der Standardeinstellung die verbindliche Integritätsebene System. (In
Kapitel 2 finden Sie weitere Informationen über Integritätsebenen.) Abbildung 6.19 zeigt die
Integritätsebenen für mehrere Dienste. Nur die verbindliche Integritätsebene TrustedInstaller
ist höher. Sie erlaubt Windows über den TrustedInstaller-Dienst, Dienste zu aktualisieren,
installieren, entfernen und ersetzen, verringert aber gleichzeitig die Gefahr, dass andere
Prozesse und Benutzer Dienste manipulieren können.