Samstag, 20. Januar 2018
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Sicherheit beginnt bei der Hardware-Auswahl

Oftmals konzentrieren sich die IT-Systemverantwortlichen auf die Bereiche „Software“ und „Netzwerk“, wenn es darum geht, Server, Clients oder Mobilgeräte auf den aktuellen Sicherheitsstand zu bringen (oder zu halten). Dabei sollte allerdings nicht vergessen werden, dass die Basis einer sicheren IT-Infrastruktur bereits bei der Auswahl der Hardware beginnt. Im Bereich der (Hardware-) Firewall-Systeme, Router und Gateways – sprich im Netzwerkbereich – wird meistens darauf geachtet.

Aber oftmals wird die physikalische Basis bei den Clients, Workstations, Desktop-Systemen und Notebook nicht in diese Überlegungen mit einbezogen. Oftmals spielen an dieser Stelle eher Kosten- und Budgetfragen eine Rolle, sowie die benötigte Performance (von CPU, DRAM oder Grafikkarte), oder die benötigten Speicherkapazitäten und Leistungsdaten bei SSDs oder HDDs.

Daten entsprechend verschlüsselt, können die Daten auf den Festplatten leicht von Dritten ausgelesen werden. Aber auch bei den stationären Systemen, etwa Desktop- und Workstations, müssen die IT-Leiter auf eine robuste und sichere Basis bauen.

Zwar werden diese Systeme (hoffentlich) nicht aus dem Unternehmen „getragen“, doch bestimmte Schadsoftware könnte sich (etwa über spezielle UEFI-Funktionen) Zugriff auf die Firmware oder Bootsektoren der Massenspeichermedien verschaffen. Das ist allerdings nicht nur auf die „Client-Seit“ begrenzt, sondern sollte auch bei Serversystemen beachtet werden. Besonders bei Systemen, die VMs bereitstellen, müssen besondere Anforderungen gestellt werden.

Um bereits auf der Hardware-Seite eine möglichst hohe Sicherheit zu erreichen, sollten sich die Systembetreuer folgende Checkliste genauer ansehen, und dabei die Hardwarekomponenten von bestehenden Systemen genau unter die Lupe nehmen. Auch bei allen Neuanschaffungen sollten die Administratoren im Hinterkopf behalten werden.

Hauptprozessor (CPU)

Bestimmte Sicherheitsfunktionen werden bereits durch den Hauptprozessor bereitgestellt, beziehungsweise im Zusammenspiel mit dem Mainboard-Chipsatz. Hier sind unter anderen folgende Intel-CPUs (Stand heute am besten Generation 7) empfehlenswert:

  • Intel i3/i5/i7/i9-7x
  • Core M3-7xxx
  • Xeon E3-xxxx
  • Atom, Celeron, Pentium (Aktuelle Varianten)

Auch AMD sollte an dieser Stelle nicht vernachlässigt werden, auch hier gilt es, auf möglichst aktuelle Prozessor-Generationen zu setzen:

  • A Series Ax-9xxx
  • E Series Ex-9xxx
  • FX Series (FX-9xxx)

Allerdings wurden bei vielen aktuellen und älteren CPUs gravierende Sicherheitslücken aufgedeckt. Dies betrifft sowohl Intel-CPUs, Prozessoren von AMD und anderen Herstellern. Somit gelten aktuell (beinahe) alle eingesetzten CPUs als kompromittiert. Inzwischen haben die Hersteller reagiert, und bieten entsprechende Hotfixes und Sicherheits-Patches an. Die grundliegende Schwachstelle wird dabei allerdings nicht beseitigt, sondern die Ausnutzung der Spectre- und Meltdown-Fehler soll auf diese Weise erschwert oder verhindert werden. Dies geht allerdings meistens mit einem Leistungseinbruch der CPU einher. Auch bleibt abzuwarten, ob die kommenden CPU-Generationen “hardwaremäßig” als sicher gelten werden.

Virtualisierung

Um entsprechende Sicherheitsmerkmale beim Einsatz von virtuellen Maschinen (VMs) zu nutzen, müssen passende Virtualisierungsfunktionen vorhanden sein. Passende Funktionen (etwa für Hypervisoren wie ESXi oder Hyper-V) sind etwa im 64-Bit-CPUs von Intel oder ARM v8.2 CPUs verfügbar. Entsprechende Prozessoren müssen eine Input-Output Memory Management Unit (IOMMU) bei allen virtuellen I/O-Geräten unterstützen. Als weitere essentielle Funktionen gelten:

  • VT-d
  • AMD-Vi,
  • ARM64 SMMUs,
  • Second Level Address Translation (SLAT),
  • Intel Vt-x mit Extended Page Tables (EPT), oder
  • AMD-v mit Rapid Virtualization Indexing (RVI).

All diese Virtualisierungs-Features müssen im BIOS/UEFI (Basic Input Output System / Unified Extensible Firmware Interface) aktiviert werden, und dem Betriebssystem beziehungsweise für den Hypervisor zur Verfügung stehen. Die Systembetreuer sollten darauf achten, das Mainboard „aktuell“ zu halten (durch Firmware-Updates).

Trusted Platform Module (TPM)

Wichtig ist ebenfalls eine passende Sicherheitsfunktion auf der Hauptplatine. Daher ist TPM (Trusted Plattform Management) quasi ein „Muss“. Die Systeme sollten mindestens mit TPM 2.0 (oder höher) ausgestattet sein. Etwa Intel (PTT), AMD, TPM von Infineon, STMicroelectronics oder Nuvoton. Folglich muss das komplette System den Spezifikationen der „Trustworthy Computing Group“ entsprechen.

Platform Boot Verification

Eine sichere Boot-Umgebung ist für ein sicheres IT-Konzept sehr wichtig. Das beinhaltet „Intel Boot Guard“ im entsprechenden abgesicherten Boot-Modus, „AMD Hardware Verified Boot“, oder einen vergleichbaren Modus eines weiteren OEM-Herstellers.

Random Access Memory (RAM)

Generell empfiehlt sich hier ein Minimum von 8 GByte Hauptspeicher (bei Notebook- und Desktop-Systemen). Für Workstations (etwa CAD-Systeme) werden in der Regel deutlich größere Mengen an DRAM (Dynamic Random Access Memory) eingesetzt. Im Server-Bereich kommen eher 64 GByte oder (deutlich) mehr eingesetzt, dies variiert je nach Einsatzzweck. Auf besondere Sicherheitsmerkmale müssen die Systembetreuer dabei nicht achten.

Firmware

Um die aktuellen Security-Spezifikationen von Windows 10 Creators Update zu entsprechen, müssen folgende Punkte vorhanden sein:

  • Standard: Unified Extension Firmware Interface (UEFI) Version 2.4 oder höher
  • Class: Uses UEFI Class 2 oder Class 3
  • Code Integrität: Alle Gerätetreiber müssen HVCI-konform sein (Hypervisor-based Code Integrity)
  • Secure Boot: UEFI Secure Boot muss vorhanden sein, und standardmäßig bereits aktiviert
  • Secure MOR: Secure MOR (Revision 2) wird vorausgesetzt
  • Updates: Windows UEFI Firmware Capsule Update muss zum Aktualisieren der Firmware im laufenden Betrieb vorhanden sein.

Diese Liste geht allerdings etwas über die Minimalvoraussetzungen hinaus, um das aktuelle Windows-10-Update aufzuspielen. Denn an dieser Stelle ist „Mehr“ auch wirklich „Mehr“. Werden diese Sicherheitsmerkmale bereitgestellt, können die Systembetreuer folgenden Windows-Security-Features aktivieren:

  • Windows Defender Application Control
  • Windows Defender Antivirus
  • Windows Defender Exploit Guard
  • Windows Defender Application Guard
  • Windows Defender System Guard
  • Windows Defender Advanced Threat Protection
  • Windows Defender Credential Guard
  • Windows Defender Device Guard
  • Windows Information Protection
  • Windows Hello
  • BitLocker und BitLocker To Go

Fazit

In der aktuellen Bedrohungslage müssen alle IT-Komponenten entsprechend abgesichert werden. Vom Notebook oder Desktop-Client über die Server- und Netzwerkkomponenten bis hin zu den eingesetzten Betriebssystemen und den jeweiligen Applikationen müssen die Systembetreuer für ein zuverlässiges Sicherheitsnetz sorgen. Und dabei ist es nötig, bei der (Hardware-) Basis zu beginnen, und diese „Linie“ komplett durchzuziehen.

Florian Huttenloher / Richard Hay

 

 

Diesen Artikel bewerten
  
 4.23 (9 Bewertungen)
Kommentare
Anmelden
Anmelden