Viren, Würmer & Co
Acht Schritte gegen Malware
08.11.2006 | Autor / Redakteur: Kevin Beaver / Andreas Donner
Ob nun der Angriff eines schädlichen Programms abgewehrt, oder ein im Windows-Netzwerk bereits aktiver Wurm oder Virus bekämpft werden soll – so lässt sich das Problem lösen.
Es ist nicht leicht, das Netzwerk vor Malware-Befall zu schützen, vor allem, wenn es sich um eine bislang unbekannte Malware handelt. Doch wer die folgenden Sicherheitsmaßnahmen durchführt, kann beim nächsten Angriff zum Retter des Windows-Netzwerkes werden.
1. Notfallplan
Ein Notfallplan muss nicht besonders aufwendig sein. Er sollte vor allem die grundlegenden Maßnahmen enthalten, die für die Entdeckung, Untersuchung, Eindämmung und Entfernung der Malware bzw. für die Wiederherstellung des Systems erforderlich sind.
Hervorragende Tipps, wie man einen solchen Plan erstellt, stehen im „Computer Security Incident Handling Guide“ des US-amerikanischen National Institute of Standards and Technology (NIST). Einen Link zur genannten Dokumentation finden Sie am Ende dieses Beitrages.
2. NetBIOS und MSRPC-Ports sperren
Am besten hält man automatisierte Angriffe in Schach und Schnüffler aus den Systemen, indem man die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 135, 137 und 445 sperrt. Es klingt trivial, aber es gibt noch immer eine Menge Systeme – auch öffentlich zugängliche – die wegen dieser Nachlässigkeit verwundbar sind.
3. Host (WSH) und ActiveX abschalten
Die Elemente Host (WSH) und ActiveX sollten auf Servern und Arbeitsplatzrechnern unterdrückt werden. Die vorgenommenen Einstellungen müssen anschließend allerdings sorgfältig getestet werden: Manche Anwendungen funktionieren ohne Host (WSH) oder ActiveX nicht mehr einwandfrei.
4. Sicherheit durch Group Policy
Die Implementierung von Group Policy oder Local Security Policy macht Windows unempfindlicher gegen Eindringlinge.
5. Hosts schützen
Perimeterschutz – die Abwehr von Malware – reicht alleine nicht aus. Schädlinge, die diese erste Hürde überwinden, z.B. weil sie aus dem Internet heruntergeladen, oder weil infizierte E-Mail-Anlagen geöffnet wurden, bedrohen die Hosts. Durch Hostschutz lässt sich der Zugang zu NetBIOS- und MSRPC-Diensten beschränken. Somit wird verhindert, dass lokale Anwendungen ohne Erlaubnis des Anwenders oder des Administrators mit der Außenwelt kommunizieren.
Die Firewall von Windows hilft hier nicht viel, das neue Antispyware-Produkt von Microsoft bietet dagegen in der Tat einigen Schutz auf diesem Gebiet. Die beste Wahl sind umfassende hostbezogene IDS/IPS wie ZoneAlarm, Symantec Client Security oder BlackICE (bzw. ISS-Businessprodukte, die die gleiche Technologie verwenden).
6. Heuristischer Schutz
Durch die aktivierte Funktion „Heuristik“ ist Antivirus-Software in der Lage, grundlegende Malware-Verhaltensanomalien zu entdecken.
7. Antispyware-Tools
Eine effektive Verteidigung besteht aus mehreren Ebenen. Viele Systeme sind Spyware und ähnlichen Schädlingen schutzlos ausgeliefert. Applikationen, etwa von Finjan oder Sana Security, erkennen Anomalien und schützen vor schädlichen Inhalten.
8. Netzwerkanalysator
Netzwerkanalysatoren überwachen den Netzwerkbetrieb und die Auswirkungen von Malware. Das frei verfügbare Programm Ethereal ist sehr zu empfehlen, allerdings nicht ganz einfach in der Anwendung. Leichter zu bedienen sind kommerzielle Programme wie AiroPeek, AirMagnet Laptop Analyzer und Sniffer Wireless für drahtlose Netzwerke.
Vorbeugen ist besser als heilen – dieser Grundsatz gilt vor allem bei Malware-Ausbrüchen. Mehrere solide Verteidigungsebenen, bestehend aus Windows-Komponenten und Produkten von Drittanbietern, kombiniert mit einer grundlegenden Dokumentation über die notwendigen Schritte – mehr muss und kann ein Netzwerkadministrator nicht tun.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000782)
