Da ich die Frage in den vergangenen Wochen immer wieder bekommen habe, möchte ich an dieser Stelle auf einige gute TechNet Ressourcen verweisen, die sich mit der Migration von älteren SBS-Lösungen auf den modernen Windows Server 2012 Essentials beschäftigen.
Wer den Windows Server 2012 Essentials einmal selbst ausprobieren will wird hier fündig http://technet.microsoft.com/de-de/evalcenter/jj659306.aspx
Kleiner Tipp: Wer sich mit Windows Server Essentials beschäftigt, der sollte sich jetzt auch über Office 365 informieren. Die einfache Anbindung von Office 365 an den Windows Server 2012 Essentials ist neben Backup und Remote Access eine der wichtigsten Vorteile des - insbesondere für kleine Unternehmen geeigneten - Infrastrukturservers.
Bei Microsoft veranstalten wir ja sehr viele Events. Meist beschränken sich diese aber auf eines oder wenige Produkte; nicht selten natürlich bei Neuveröffentlichungen. Einen anderen Weg gehen jetzt die Kollegen, die die Microsoft Synopsis 2013 organisieren.
Die Konferenz vereint alle erfolgreichen Microsoft-Formate zum Thema Server, wie die Serverlaunchveranstaltungen und den System-Management-Summit. Egal ob IT-Entscheider oder IT Professional – Synopsis 2013 ist für alle ein Pflichttermin, deren IT-Strategie Microsoft-Server-Lösungen beinhaltet. Sie erhalten Ideen, Ausblicke und Informationen zu Themen wie Unified Device-Management, Big Data Analytics, hybriden Infrastrukturen sowie Produktivität und Zusammenarbeit.
Oder in Produkten gesprochen u.a. zu: Windows Server, Windows Azure, SQL, System Center, Exchange und SharePoint.
Sehen wir uns am 10. und 11. April 2013 auf der Microsoft Synopsis 2013 in Darmstadt? Jetzt anmelden & Ticket sichern!
PS. die Videos zur Windows Server 2012 Launchveranstaltung (Roadshow im September 2012 und virtueller Launch Ende November 2012) stehen nur noch bis Ende März unter http://aka.ms/WS12-Videos zur Verfügung.
Webcams mit Internetanschluss erfreuen sich großer Beliebtheit. Kein Wunder, sie sind inzwischen enorm günstig zu haben und die Konfiguration für den Internetzugriff hat sich dank automatischer Portfreigaben via UPnP oder Web-Portalen der Anbieter vereinfacht. Das Problem dabei: Ist die Firmware der Kameras schlampig programmiert, schafft man so statt einer Sicherheitsfunktion für sich selbst ein Überwachungstool für Spanner und andere neugierige Internetnutzer.
Was wie die fixe Idee eines Verschwörungstheoretikers klingt ist – zumindest für die Besitzer von älteren Trendnet-Webcams –, seit etwa einem Jahr Realität: Vor gut einem Jahr erschien im Blog der Console Cowboys ein Beitrag, in dem der Verfasser auf eine Schwachstelle in verschiedenen Trendnet-Kameras hinweist. Diese macht es möglich, dass man den Live-Stream der Kamera selbst dann als anonymer Nutzer abrufen kann, wenn eigentlich ein Nutzername und Passwort gesetzt ist. Tatsächlich hat Trendnet am 7. Februar 2012 eine Firmware veröffentlicht, die das Sicherheitsproblem aus der Welt schafft.
Man möchte meinen, dass damit das Problem behoben ist, schließlich müssten die jeweiligen Besitzer oder ihre IT-Verantwortlichen nur die Firmware aktualisieren. Doch offenbar haben sich nicht alle Besitzer der Kamers diesen Rat zu Herze genommen. Denn noch finden sich reichlich angreifbare Kameras offen im Netz. Wie leicht das passiert, demonstrierte eine Website. Sie zeigte auf einer Weltkarte die gerade ohne weiteren Login zugänglichen Webcams. Ein Klick auf die Markierung startete den Livestream der Kamera. Inzwischen hat Google den Zugriff der Cam-Übersichtsseite auf die API seines Maps-Angebots unterbunden. Die verwundbaren Kameras sind dennoch weiterhin abrufbar. Entsprechende Listen mit IP-Adressen finden sich an verschiedenen Stellen im Web.
Das anhand der Cams aufgezeigte Problem ist nicht neu. Denn für Netzwerkhardware fehlt in vielen privaten, kleineren und mittleren Netzwerken oftmals die eine Strategie zum Umgang mit Sicherheitsupdates. Das gilt nicht nur für Kameras, sondern beispielsweise auch für Router, IP-Telefone, Netzwerkspeicher oder Netzwerkdrucker. Privatpersonen und Unternehmen sollten also in jedem Fall die Hardware mit in ihre Update-Pläne einbeziehen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Roter Oktober ist nicht mehr nur ein U-Boot im gleichnamigen Film und Buch von Tom Clancy. Die Experten von Kaspersky haben den Namen auch einem kürzlich gefundenen Botnet gegeben. Dieses war vor allem in Osteuropa, früheren Staaten der Sowjetunion sowie Zentralasien aktiv. Ich will mich hier im Blog aber nicht mit dem Botnet an sich beschäftigen (das haben, mehr oder weniger reißerisch, beispielsweise Heise, die Süddeutsche Zeitung oder Spiegel Online getan), sondern Gegenmaßnahmen und einen allgemeinen Schutz vor solchen Attacken aufzeigen.
Laut der Analyse von Kaspersky nutzt das Botnet für die Infektion manipulierte Word- und Excel-Dateien. Diese attackieren das System über drei bekannte Schwachstellen: CVE-2009-3129, CVE-2010-3333 und CVE-2012-0158. Die Bezeichnungen zeigen auf den ersten Blick, dass es sich inzwischen nicht mehr um Zero-Day-Schwachstellen handelt, sondern dass sie in den Jahren 2009, 2010 und 2012 dokumentiert wurden. Die Lücken sind auch keine ungepatchten Altlasten, im Gegenteil. Microsoft hat bereits vor Jahren die entsprechenden Updates veröffentlicht:
Hätten die Attacken also verhindert werden können? Dem aktuellen Stand der Kaspersky-Ermittlungen zufolge mit hoher Wahrscheinlichkeit.
Laut dem Blogeintrag passierten die ersten Attacken durch Missbrauch des Excel-Bugs am 19.05.2010 – also fast ein halbes Jahr nachdem Microsoft einen passenden Patch bereit stellte. Die Attacken über Word begannen im Sommer 2012. Auch hier gab es seit mehreren Monaten Updates für beide Sicherheitslücken.
Wir können natürlich nur darüber spekulieren, warum die Updates auf den vom Roten Oktober infizierten Rechnern unterblieben sind beziehungsweise zu spät installiert wurden. Fest steht jedoch, dass beispielsweise durch das Aktivieren der automatischen Update-Funktion von Windows Update (das auf allen Versionen von Windows aktiv ist) oder den Einsatz diverser anderer Software-Updatetools, ein erheblich besserer Schutz gewährleistet gewesen wäre.
„Roter Oktober“ zeigt, wie wichtig eine solide Update-Strategie für Unternehmen und Einzelnutzer ist. Sie ist die Basis für den Schutz gegen (unbekannte) Schwachstellen. Gleichzeitig ist mir natürlich bewusst, dass der Umgang mit den zahlreichen Updates - nicht nur Microsoft liefert ja Bulletins aus, sondern auch alle anderen Softwarehersteller - mitunter sehr zeit- und ressourcenfressend ist. Dennoch sollten insbesondere die von uns als "kritisch" gekennzeichneten Updates umgehend getestet und wennmöglich auch installiert werden.
Unternehmen finden übrigens relevante Informationen rund um das Verteilen von Updates in unserer Technet-Sektion zum Windows Server Update Service. Allen Endnutzern raten wir dringend, die automatisierte Update-Prozedur zu aktivieren und nach der Installation den Rechner – falls notwendig – schnellstmöglich neu zu starten.
Zu Beginn des Jahres blickt man ja gerne mal nach vorne, in die Zukunft. Schon allein deswegen versuchen wir uns am Ausblick auf die Top-5-Sicherheitsbedrohungen für 2013. Ideengeber hierfür ist Tim Rains, der Director unseres Trustworthy-Computing-Bereichs. Wobei wir seinen englischsprachigen Blogeintrag natürlich mit lokalen Thesen unterstützen.
Glaskugel-Einsatz Nummer 1: Kriminelle profitieren von ungewollten Konsequenzen staatlicher Spionage
Das Malware-Autoren gerne Trittbrett fahren, kann man ihnen wohl kaum verdenken. Erst recht nicht, wenn die ursprüngliche Malware und die dazugehörigen Zero-Day-Exploits (angeblich) von Staaten und deren (wahrscheinlich vorhandenen) innoffiziellen Malware-Autoren-Teams verfasst werden. Ein Beispiel dafür ist die Malware Stuxnet: Diese hat eine Reihe von Zero-Day-Attacken in Windows-Systemen genutzt, das Ziel der Malware war allerdings recht beschränkt. Sobald die Lücken allerdings bekannt wurden, haben zahlreiche Kriminelle eine Chance gewittert und ihre Malware entsprechend angepasst. Mit dem Ergebnis, dass im ersten Halbjahr 2012 rund 85 Prozent der weltweit genutzten Exploits auf Stuxnet und die Schwachstelle CVE-2010-2568 zurückzuführen waren - wir haben diese im Patch MS10-046 bereits 2010 geschlossen.
Tim Rains sieht voraus, dass dieses Verhalten in den nächsten Jahren weiter zunehmen wird. Staaten oder staatliche Organisationen werden sich gegenseitig weiter beharken und dabei wird es immer wieder Gelegenheiten für Malware-Autoren geben. Das gilt nicht nur für Krisengebiete, sondern lässt sich im Zweifel auch lokal in Deutschland beobachten: Als der CCC den deutschen „Staatstrojaner“ untersuchte, entdeckten sie einige schlampig programmierte Stellen. Mit deren Hilfe könnte sich andere Malware im System des überwachten Nutzers einnisten und unentdeckt im Hintergrund arbeiten.
Glaskugel-Einsatz Nummer 2: Angreifer wechseln auf Apps, Filme oder Musik
Wer sich etwas zurückerinnert: Vor einigen Jahren waren Makros das Haupteinfallstor für Malware, inzwischen ist dieser Infektionspfad so gut wie ausgetrocknet, die Malware-Autoren setzen in erster Linie auf Drive-By-Infektionen. Im nächsten Jahr könnte sich dies wieder ändern, so zumindest Tim Rains. Denn mit dem Zuwachs im Bereich der mobilen Systeme müssen die Angreifer ihre Strategien ändern.
Für Android hat sich dies bereits mehrfach bewahrheitet, Google musste bereits einige Male verseuchte Apps aus dem Markt nehmen. Neben Apps sieht Rains einen weiteren künftigen Angriffsvektor: Musik- und Videodateien. Die Malware ASX/Wimad beispielsweise nutzt das ASF-Dateiformat, um Systeme mit Hilfe von Multimediadateien zu infizieren. Dabei ist der Schädling so erfolgreich, dass er es bereits in die Top-10 der Schadsoftware-Hitliste geschafft hat.
Glaskugel-Einsatz Nummer 3: Cross-Site-Scripting und Drive-By-Attacken bleiben Lieblinge
Auch wenn Glaskugel-Einsatz Nummer 2 neue Angriffswege verspricht, so bleiben die Klassiker Drive-By-Attacken und Cross-Site-Scripting dennoch der Hauptangriffsweg im Jahr 2013. Das liegt auch daran, dass Exploit-Kits wie das Blackhole-Kit (mehr Informationen dazu hier) diese Attacken quasi als Standard-Angriffsweg in ihre Bausätze aufnehmen. Da ist die Vorhersage, dass sich daran wenig ändern wird, relativ einfach. Never change a winning system, das gilt leider auch für Kriminelle.
Glaskugel-Einsatz Nummer 4: Software-Updates werden einfacher
Drive-By-Attacken missbrauchen häufig bekannte Schwachstellen, für die es längst Updates gibt. Das Problem ist allerdings, dass die Aktualisierungsvorgänge meist langwierig, umständlich und nervig sind. Laut Tim Rains scheint allerdings ein Umdenken einzusetzen: Im letzten Jahr sind Attacken deutlich kürzer erfolgreich, zumindest wenn es um Schwachstellen in Adobe Flash geht. Das liegt auch daran, dass Adobe sein Update-Verhalten geändert hat und regelmäßige, automatische Updates ausliefert. Microsoft macht dies ja mit den automatischen Software-Updates ähnlich, auch wir können hier eine positive Bilanz ziehen. Bleibt zu hoffen, dass andere Hersteller in 2013 auf den Zug aufspringen und ihre Aktualisierungsprozeduren entsprechend anpassen.
Glaskugel-Einsatz Nummer 5: Rootkits entwickeln sich in 2013
Zwei neue Techniken stehen für das nächste Jahr vor dem Durchbruch: UEFI und Secure Boot. Beide schützen gegen Rootkits und andere Schädlinge, die bereits vor dem Start des Betriebssystems geladen werden. Für Rains bedeutet dies allerdings nicht das Ende von Rootkits und Co. Im Gegenteil. Er geht davon aus, dass die Macher der Rootkit-Schädlinge zumindest versuchen werden, ihre Malware auf diese neuen Techniken anzupassen. Allerdings lässt sich noch nicht absehen ob und wie erfolgreich sie werden.