Die letzten Meldungen

Störung beim zentralen Anmeldedienst (WebSSO)

27. September 2016

In der Nacht von Montag, den 26.09.2016, auf Dienstag, den 27.09.2016, wurden aufgrund eines fehlerhaften OpenSSL Security Updates in der DFN-AAI fehlerhafte Metadaten generiert. Die zuständigen Kollegen vom DFN haben das Problem bereits behoben.
Weiterlesen...

Störungen beim Aussenzugriff auf www.fau.de über IPv4 (Behoben)

26. September 2016

Seit dem späten Abend kommt es zu Problemen beim Zugriff auf die zentralen Webauftritte www.fau.de und www.fau.eu
Weiterlesen...

Kurzfristige Wartung der FAUbox-Server beendet

26. September 2016

Die Wartung ist beendet. Die FAUbox ist wieder verfügbar.
Weiterlesen...

Meldungen nach Thema

 

Sicherheits-Empfehlungen

Es ist möglich, Windows relativ sicher zu betreiben, wenn einige Punkte berücksichtigt werden. Diese Punkte einzuhalten fordert allerdings Selbstdisziplin. Daher stellen wir auf dieser Seite einige wenige Möglichkeiten vor, die wir selbst in der Windows-Gruppe am RRZE auf unseren eigenen Administratoren-PCs anwenden - mit Erfolg.

  1. Aktuelle Windowsupdates: FAUSUS
    Das Wissenschaftsnetz der FAU ist nicht durch Firewalls vom Internet abgeschottet, wie es bei Klinischen Einrichtungen, Firmen- und Verwaltungsnetzen üblich ist. Daher ist es gerade hier wichtig, daß die PCs mit Netzanbindung (also nahezu alle PCs an der FAU) immer mit den aktuellsten Servicepacks und Sicherheitsupdates versehen sind (unabhängig vom Betriebssystem).

  2. Aktueller Virenscanner: FAUSAV
    Ein Virenscanner ist ein unumgängliches Muss für jeden Windows PC. Ein PC ohne Virenscanner ist insbesondere eine Gefahr für alle anderen PCs in einem Netzwerk.

    Hinweis:
    Der Virenscanner ist die letzte Barriere, falls alle übrigen Sicherheitsmaßnahmen scheitern. Bei vernünftigem Umgang mit dem Internet und einem gut gepflegten Windows PC wird der Sophos Virenscanner kaum etwas zu tun haben.

  3. Arbeiten ohne Admin-Rechte - !ja, das funktioniert tatsächlich auch in der Praxis!
    Hartnäckige Anwendungen und administrative Aufgaben können in über 90% aller Fälle mit etwas Erfahrung und "RunAs..."/"Ausführen als..." (siehe auch diverse CT-Artikel - am Ende dieser Seite) aufgerufen bzw. erledigt werden.

    RunAs im Windows-Explorer Kontext-Menü
    Im Windows-Explorer kann ein Programm direkt mit Administrator-Rechten gestartet werden, ohne als Administrator angemeldet zu sein. Dazu wird zuerst die Programmdatei (Endung: .exe) ausgewaehlt und anschliessend über einen Einfach-Klick mit der rechten Maustaste das Kontext-Menü aufgerufen. Der zweite Eintrag von oben "RunAs" bzw. "Ausführen als" ermöglicht es, eine Administrator-Kennung zum Programmstart anzugeben.

    RunAs Dialogfenster
    In der unteren Hälfte des RunAs-Dialogfensters kann die administrative Kennung angegeben / ausgewählt werden. Anschliessend noch das Passwort eingeben und los gehts...

  4. EMails und Web ohne Admin-Rechte - !das ist immer möglich!
    Eine der tückischsten Fallen an Windows-PCs sind Viren und Trojaner, die sich über Web-Browser und EMail-Client Sicherheitslücken in das System einnisten. Dieser Weg ist deshalb so erfolgreich, weil die Verwendung von Administrator-Rechten beim Surfen und EMail-Lesen es den Schadprogrammen erschreckend einfach machen, sich unbemerkt in das System zu hängen. Die meisten Schadprogramme scheitern erst dann, wenn die verwendete Kennung keine administrativen Rechte benutzt und die Schadsoftware damit sich erst gar nicht in das System einnisten kann.
    Wer ohne administrative Rechte beim täglichen Arbeiten nicht auskommt, sollte zumindest für EMail-Verkehr und Web-Browsen auf eine eigens dafür angelegte Kennung ohne Admin-Rechte zurückgreifen. Das Ummelden ist allerdings umständlicher und zeitaufwendiger, als von vornherein ohne Administrator-Rechte zu arbeiten und dafür die hartnäckigen Programme mit "RunAs" aufzurufen.

  5. Sichere Web-Browser Einstellungen
    Folgende Einstellungen (egal welcher Browser) sollten Sie vornehmen (auch wenn es "etwas unbequem" ist):
    • PopUp-Blocker aktivieren
    • Keine Passwörter speichern
    • Auto-Vervollständigung deaktivieren (oder vervollständigte URLs/Forms immer genau überprüfen)
    • Downloads immer manuell bestätigen
    • Skript-Ausführung (bei IE insbesondere ActiveX) immer manuell bestätigen


  6. Sichere EMail-Client Einstellungen
    Folgende Einstellungen (egal welcher EMail-Client) sollten Sie vornehmen:
    • Keine HTML-Mailansicht verwenden, sondern immer Standard-ASCII / Textansicht einstellen
    • EMails immer als Textmail, nie als HTML-Mail verschicken
    • Anhänge nicht automatisch ausführen
    • Automatische Voransichten ausschalten


  7. Alternative Web-Browser und EMail-Clients verwenden
    Microsoft-Produkte (IE/Outlook) haben einen entscheidenden Nachteil:
    Sie sind weltweit am meisten verbreitet und stellen damit eine Art Monokultur in der Software-Landschaft dar. Daher sind diese Produkte in erster Linie Ziel von Attacken. Viele dieser Attacken sind so produktspezifisch, daß Sie lediglich einen alternativen Browser (z.B. Firefox) oder ein alternatives EMail-Programm (z.B. Thunderbird) wählen sollten. Damit ist Ihr PC den meisten auf Microsoft-Produkte getrimmten Standardattacken erst gar nicht ausgesetzt.

  8. Nur dringend benötigte Anwendungen / Werkzeuge installieren Eine gefährliche Falle ist es, wenn auf einem Windows-PC "mal schnell" ein auf den ersten Blick tolles Tool aus dem Internet oder einer Heft-CD installiert wird. Dabei können im Hintergrund unbemerkt Sicherheitslöcher aufgerissen werden oder auch gleich Viren/Trojaner/... mitinstalliert werden. Ein Sicherheitsvorfall ist dann bereits vorprogrammiert. Überlegen Sie sich also sehr genau, welche Software Sie unbedingt im dienstlichen Einsatz benötigen. Lassen Sie die Software-Installationen von Ihren IT-Spezialisten durchführen, da diese am ehesten beurteilen können, welche Software in der eigenen Umgebung am besten geeignet ist, um keine Sicherheitslücken zu riskieren.

  9. Kein File- & Printsharing (Druck- & Dateifreigabe) an Windows Clients installieren bzw. verwenden
    Im Gegensatz zu Heim-PCs/Heimnetzwerken sind die meisten PCs an der FAU an Server angebunden. Daher kann der Datenaustausch ausschließlich über Serverlaufwerke stattfinden, um die gefährlichen Sicherheitslücken bei Verwendung von Freigaben am Client ganz zu vermeiden.

  10. Speichern von LanManager Password Hashes deaktivieren
    Eine ebenfalls sehr gefährliche Voreinstellung bei Windows sind die so genannten "LanManager Password Hashes", die zur Abwärtskompatibilität zu Windows 3.x/9x und OS/2, sowie Macintosh-Anbindung (vor MacOS X) immernoch mitgespeichert werden. D.h. ein Passwort wird bei Windows zweimal gespeichert. Das NTLM Passwort ist das besser verschlüsselte Passwort, während das LANManager Passwort mit heutiger Technik in knapp weniger als einer Stunde entschlüsselt werden kann. Da die alten Systeme (Windows 3.11 / 95/98/ME) an der FAU nicht mehr verwendet werden, ist die Speicherung des LANManager Passwortes nicht mehr notwendig und sollte daher auch unbedingt deaktiviert werden.

Weitere Informationen

  • Aktion sicheres Windows - Nachrüsten, was Windows fehlt CT 23/05, S. 110
  • Heute ein Admin - Souverän arbeiten ohne Administrator-Rechte unter XP CT 23/05, S.112, Heise Verlag
  • Recht sicher - Windows-Zugriffsrechte für störrische Programme CT 23/05, S.116, Heise Verlag
  • Arbeiten ohne Admin-Rechte - Antworten auf die häufigsten Fragen CT 23/05, S.118, Heise Verlag

Letzte Änderung: 13. Maerz 2012, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit