Admin-Tools E-Book

Impressum

Admin-Tools

Mehr als 300 freie Werkzeugefür Netzwerk- und Systemadministratoren

John Pardey

Heinemann Verlag

Inhaltsverzeichnis

Titelseite

Impressum

Vorwort

1. Security

1.1 Windows-Server

1.2 Windows-Client

1.3 Linux

1.4 LAN, WAN & Internet

1.5 Sonstige

2. Monitoring

2.1 Windows

2.2 Linux, Unix, macOS und andere

2.3 Storage

2.4 Netze

3. Virtualisierung

3.1 Server

3.2 Clients

3.3 Storage

3.4 Cloud

3.5 Container & Kubernetes

4. Serveradministration

4.1 Windows-Server

4.2 Linux

4.3 Microsoft Exchange und SharePoint

4.4 Scripting und Automatisierung

4.5 Datenbanken

5. Clientmanagement

6. Storage

6.1 Backup

6.2 Dateisynchronisation

6.3 Imaging

6.4 HDD/SDD-Verwaltung

7. Softwareverteilung und Patchmanagement

7.1 Softwareverteilung

7.2 Patchmanagement

8. Dokumentation

9. Sonstige Tools

Softwareverzeichnis

Vorwort

In diesem IT-Administrator Kompakt finden Sie eine Sammlung kostenloser Tools für nahezu jede Admin-Aufgabe aus unserer monatlichen Rubrik "Tipp, Tricks und Tools". Dazu haben wir die kleinen und großen Helfer, die in über 15 Jahren zusammengekommen sind, auf Aktualität und Verfügbarkeit geprüft. Dabei haben wir uns bei einigen Programmen trotz ihres betagten Alters dafür entschieden, sie in dieses Buch zu nehmen, weil sie nach wie vor nützlich sind und oft auch nichts dagegen spricht, sie auf aktuellen Plattformen noch einzusetzen. Und Sie werden auch auf einige Anwendungen stoßen, die nicht umsonst, aber dennoch so günstig zu haben sind, dass wir auch dieseberücksichtigen.

Was Sie hier nicht finden – und dass sagen wir mit einem gewissen Stolz – sind die typischen Tools, die eine Internetsuche nach den "10 besten Admin-Tools" zutage fördert. WireShark, Notepad++, Fiddler oder gar 7Zip kennt und hat jeder Admin, unser Buch will Sie mit nützlichen Spezialwerkzeugen für die unterschiedlichsten Aufgaben versorgen. Dabei beschreiben wir die Problemstellung, für die sich das jeweilige Programm anbietet und stellen dessen Features vor. So ist diese Sammlung auch etwas zum Schmökern – die technischen Details zu Installation und Konfiguration liefert in der Regel sowieso die Website des jeweiligen Tools.

Da wir gerade beim Thema Installation sind: Der Einsatz aller Tools aus dieser Sammlung erfolgt selbstverständlich auf eigenes Risiko und wir übernehmen keine Gewähr, dass alles so funktioniert wie vom Entwickler vorgesehen. Also testen Sie das jeweilige Werkzeug bitte intensiv, bevor Sie es auf Ihre Produktivumgebung loslassen.

Abschließend gilt der besondere Dank der IT-Administrator Redaktion unserer emsigen Verlagsassistentin Sabine Scherzer, die mit ihrer unermüdlichen Fleißarbeit das Gerüst für dieses Buch auf die Beine gestellt hat. Wir alle wünschen Ihnen viel Spaß mit den IT-Administrator "Admin-Tools".

1. Security

1.1 Windows-Server

1.1.1 SID2Username

Oft plagen sich Administratoren mit dem Problem, dass sie unter "HKEY_USER" den Registry-Eintrag eines bestimmten Benutzers suchen, ihn aber nicht sofort finden. Ähnlich sieht es bei Fehlermeldungen aus, die lediglich eine SID (Security-ID) enthält, aber keinen Hinweis auf den Benutzer, den das Problem betrifft. Besonders im Ter- minalserver-Umfeld, in dem sich viele Benutzer ein System teilen, sind dies zwei häufig anzutreffende Problemstellungen. Denn bei einem Terminalserver können unter "HKEY_USER" viele Hives existieren, die als Schlüsselnamen nur die SID besitzen. Das Werkzeug SID2Username [Link-Code nt001] erzeugt auf Knopfdruck den zur SID gehörigen Benutzernamen und umgekehrt. Wenn der Administrator das Programm startet, liest es die Zwischenablage aus und zeigt sofort die gewünschte Information an. Beispielsweise ermöglicht das Werkzeug über einen Rechtsklick in der Registry auf den entsprechenden Schlüssel über den Menüpunkt "Schlüsselnamen kopieren", den zugehörigen Benutzernamen sofort anzuzeigen.Voraussetzung für das Tool ist das .NET Framework – administrative Privilegien sind nicht nötig.

1.1.2 SetACL

Gerade bei der Installation von Clients und Servern mit allen nötigen Schritten ist die Schaffung eines vollautomatisierten Prozesses sehr hilfreich. Dabei kommen die unterschiedlichsten Methoden und Mittel zum Einsatz. Eine der wichtigsten Maßnahmen ist die Härtung des Servers durch Setzen von Rechten auf Dateien, Order, Registry- Schlüssel, Drucker, Diensten und Netzwerk-Freigaben – kurz: die Konfiguration der Access Control Lists (ACL). Mit Bordmitteln lässt sich das nur sehr aufwändig und mit einer Menge an unterschiedlichen Tools bewerkstelligen. Ein kleines Werkzeug je- doch bringt die vielen Arbeitsschritte unter einen Hut. Das Open-Source-Tool SetACL [Link-Code nt002] für die Befehlszeile ist ein vollwertiger Ersatz für das Windows- eigene CACLS.EXE und geht noch weit darüber hinaus. Nicht nur, dass es die Rechte für Dateien, Order, Registry-Schlüssel, Drucker, Dienste und Netzwerk-Freigaben setzen kann: Sie können auch ein komplettes Listing von ACLs für Ordner und deren Unterordner erstellen. SetACL ist durch die Verwendung in der Kommandozeile für Skripte und Batchfiles prädestiniert und existiert zudem als ActiveX-Control.

1.1.3 Userbooster Light und Userbooster Professional

Die Verwaltung eines Verzeichnisdienstes wie etwa Microsofts Active Directory oder anderer LDAP-basierter Dienste ist aufgrund der oftmals vier- oder gar fünfstelligen Anzahl von Objekten im Verzeichnis an sich schon eine komplexe Aufgabe. Erschwert wird die Administration beispielsweise noch durch die Vielzahl an Verwaltungsober- flächen, die zu durchlaufen sind, wenn an einem Objekt mehrere, unterschiedliche Aktivitäten wie etwa das Erstellen von Postfachkonten, die Modifikation von Datei- systemrechten oder das Verwalten von Gruppenmitgliedschaften notwendig sind. Das Tool Userbooster [Link-Code nt003] tritt daher an, die Administration zu ho- mogenisieren und so Zeit zu sparen und Fehler zu minimieren. Das Programm ist, anders als früher, mittlerweile für den kommmerziellen und privaten Einsatz kostenlos verfügbar. Neben der Verwaltung des Verzeichnisdienstes über eine einheitliche GUI erlaubt das Tool, zusätzliche Aufgaben im Zusammenhang mit der Anlage eines Be- nutzerobjektes in einem Arbeitsschritt zu realisieren. Dazu gehören die Erstellung einer Mailbox, die Erzeugung von Profilbeziehungsweise Heimlaufwerken mit den jeweiligen Rechten im Dateisystem oder die Unterstützung von DFS (Distributed File System). Die Software arbeitet darüber hinaus mit Platzhalter-Variablen, die die Ver- waltung der speziellen Anforderungen in einer generischen Vorlage ermöglichen. Zusätzlich ist die Integration in MS Office ein weiteres Hilfsmittel bei der Erstellung von Template-Vorlagen. Das direkte Importieren und Exportieren in MS Excel reduziert die notwendigen Anpassungen auf das absolute Mindestmaß.

1.1.4 NTFS Permissions Reporter

Administratoren, die viel mit Systemdateien arbeiten beziehungsweise diese modifizieren und ändern, müssen dazu oftmals die Besitzrechte, Sicherheitseinstel- lungen und Zugriffsrechte für eine solche Datei ändern. Der übliche Weg dazu führt über einen Rechtklick auf eine Datei oder einen Ordner, die Auswahl der Eigenschaften und ein Klick auf den Reiter "Sicherheit". Hier erhält der IT-Verantwortliche für jede Datei und jeden Ordner angezeigt, wem die Besitzrechte zuge- sprochen sind und welche Zugriffsrechte bestimmte User und Gruppen haben. Doch schon diese Beschreibung lässt erahnen, dass dieser Prozess bei vielen Dateien und vielen Rechten darauf leicht unüberschaubar wird. Das freie Werkzeug NTFS Permissions Reporter [Link-Code c5pe3] schafft hier Abhilfe. Es erlaubt Admi- nistratoren, sich schnell einen Überblick über die Zugriffsrechte und die Sicher- heitseinstellungen zu verschaffen. Ebenfalls reportet das Werkzeug die Besitzrechte von Dateien und Ordnern. Das Programm listet die gewünschten Daten nach Aus- wahl der Partitionen, Ordner und Dateien detailliert auf. Ändern lassen sich diese Einstellungen aus dem NTFS Permissions Reporter jedoch nicht. Nach der Installation und dem Start des Programms legt der Administrator zunächst den zu scan- nenden Bereich fest. Dies erfolgt auf Basis der durch das Programm angezeigten vorhandenen Partitionen. Der Scanbereich lässt sich individuell anpassen, etwa indem ein einzelner Ordner außerhalb der festgelegten Partition zusätzlich aus- gewählt wird. Als Ergebnis der Rechteuntersuchung erhält der Administrator eine Übersicht der einzelnen Ordner und der darin enthaltenen Dateien mit ihren Si- cherheitseigenschaften. Der NTFS Permissions Reporter liegt neben der freien auch als Kaufversion vor, doch erfreulicherweise bietet die freie Version dem IT- Verantwortlichen einen Funktionsumfang, der in vielen Fällen ausreicht.

Die Ergebnisse des NTFS Permissions Reporter in der Baumansicht.

1.1.5 Attack Surface Analyzer

Eine der kniffeligsten Fragen für den IT-Sicherheitsbeauftragten dreht sich um die Änderung des Sicherheitsstatus eines Windows-Server, wenn darauf eine neue Ap- plikation installiert wird. Denn ein bis dahin als nachweislich sicher kategorisierter Server kann nach dem Aufspielen durchaus neue Sicherheitslöcher aufweisen. Doch zu ermitteln, welche dies sind und wie schwer diese wiegen, kann in der Praxis enorm schwierig sein. Für besonders kritische Server stellt dies in Sachen Auditierbarkeit und Compliance unter Umständen ein ernstes Problem dar. Microsoftbietet dafür den freien Attack Surface Analyzer [Link-Code d4pe3]. Dieses Werkzeug soll sowohl Systemadministratoren als auch Softwareentwickler dabei unterstützen, die mögli- cherweise durch eine neue Applikation erzeugten Sicherheitsmängel aufzuspüren. Dazu erstellt das Tool zunächst einen Snapshot des Rechners, um den aktuellen Sys- temzustand festzuhalten. Danach kann der IT-Verantwortliche dieWindows-Installation

beliebig verändern, zum Beispiel indem er ein neues Programm einrichtet. Anschließend läuft der Attack Surface Analyzer ein zweites Mal und vergleicht den neuen Systemzustand mit dem zuvor angefertigten Snapshot. Dieser Analyse entgeht keine Abweichung: Registrierungseinträge, Dateien, geöffnete Netzwerk-Ports und mehr. Ein großer Vorteil für den IT-Verantwortlichen im Unternehmen ist dabei natürlich, das diese Analyse funktioniert, ohne dass Zugriff auf den Quellcode besteht. Ein Zustand, der eher Normalität denn Ausnahme ist. So kann unabhängig vom Hersteller eine Aussage hinsichtlich der Sicherheit der neuen Anwendung getroffen werden. Die Analyse selbst erfolgt dabei über eine GUI. Die Kommandozeile wird benötigt, wenn ältere Windows-Versionen untersucht werden sollen oder der Wunsch nach Automa- tisierung der Prüfung besteht.

1.1.6 AD ACL Scanner

Hat der Administrator den Auftrag, einem neuen Kollegen im Unternehmen seine Rechte im Active Directory einzurichten, fällt sein Blick vielleicht auch auf Rechte, die so eigentlich gar nicht mehr benötigt werden – beispielweise solche von Gruppen oder Anwendern, die gar nicht mehr existieren oder auch zu privilegierte Rechte einzelner User. Hier gibt es zahlreiche denkbare Szenarien und Möglichkeiten, doch leider sind die Möglichkeiten für den Administrator, solche problematischen Rechte effektiv zu ermitteln, nicht sonderlich groß. Das dachte sich wohl auch der schwedische Microsoft-Mitarbeiter Robin Granberg und stellt Windows-Admins seinen AD ACL Scanner [Link-Code d8pe4] kostenlos zur Verfügung. Im Kern dokumentiert das Tool die Berechtigungen in einer Active-Directory-Struktur. Es untersucht die AD- internen Berechtigungen auf OUs, Benutzerobjekte et cetera, nicht jedoch Berechtigungen auf Dateiservern und vergleichbares. Im Kern ist das kleine Werkzeug ein PowerShell-Skript mit grafischer Oberfläche. Es erzeugt tabellarische Übersichten der Berechtigungen von Active-Directory-Containern und -Objekten. Die Berichte lassen sich als HTML- oder CSV-Dateien exportieren. Auf diesem Wege ist es auch möglich, verschiedene Stände der Berechtigungen miteinander zu vergleichen. Ebenfalls sehr nützlich auf dem Weg zu sauberen Berechtigungen ist die Fähigkeit des Scanners, die Ergebnisse zu filtern.

1.1.7 File Permissions Check

Auch im gepflegtesten Windows-Dateiserver kann es vorkommen, dass die Rechte in Dateien und Ordnern nicht konsistent sind. Hat sich in den für "Normaluser" unzugänglichen Ordner der Geschäftsführung ein File eingeschlichen, das sich nicht um diese restriktive Zugriffspolitik schert, kann dies durchaus unangenehm für das Unternehmen und den IT-Verantwortlichen werden. Im Regelfall kann der Administrator erwarten, dass ein in einem bestimmten Ordner abgelegtes File die Rechte dessen Zugriffsrechte annimmt. Hat der Admin jedoch den Verdacht, dass sichdies in dem einen oder anderen Fall nicht so verhält, unterstützt ihn das freie File Permissions Check [Link-Code f4pe2] bei der Suche nach Abweichlern. Dazu liefert das Tool eine intuitive GUI, über die sich Datei-Shares hinsichtlich abweichender Rechte scannen lassen. So gefundene Dateien lassen sich mit File Permissions Check auf das geforderte Rechte-Niveau setzen. Damit ist die Funktionalität des Werkzeugs auch schon allumfänglich erläutert und es bleibt nur zu erwähnen, dass sich die Ergebnisse des Scans als CSV- oder HTML-Bericht exportieren lassen.

1.1.8 LauschAngriff

Eine ganze Reihe von Szenarien sind vorstellbar, bei denen der IT-Verantwortliche Ordner oder Laufwerke auf Löschungen, Umbenennungen, Kopieren oder Zugriffe überwachen möchte. Denkbare wäre der Bedarf nach einer sehr genauen Überwachung, ob Malware sensible Daten verändert. In einem anderen Umfeld soll vielleicht sichergestellt werden, dass gewisse Dateien nicht unbeobachtet gelöscht werden. Sofern die fraglichen Daten nicht absolut hochsensibel sind und daher professionellen Schutz unterliegen sollten, ist vielleicht das kostenlose Tool LauschAngriff [Link-Code fape2] ein Weg um sicherzustellen, dass niemand Unbefugtes Daten manipuliert. Mit der Software lassen sich Ordner oder ganze Laufwerke überwachen und die dortigen Vorgänge dokumentieren. Das Tool dokumentiert beispielsweise Schreibzugriffe sowie das Löschen. Kopieren und Umbenennen von Dateien. Ebenso werden Erstellzeitänderungen, Zugriffszeitänderungen, Dateiattribute und Sicherheitseinstellungen über- wacht. Die ermittelten Daten lassen sich als XLS, CSV, TXT oder HTML exportieren. Gezielte Prüfungen ermöglicht LauschAngriff etwa durch Filter zur Auswahl bestimmter Dateitypen zur Überwachung. Nach der Installation lässt sich das zu überwachende Laufwerk oder Verzeichnis über eine Baumstruktur auswählen. Die zu überwachenden Änderungen lassen sich granular einstellen, beispielsweise ist es möglich, eine Datei nur hinsichtlich einer möglichen Größenänderung zu monitoren.

1.1.9 Local Administrator Password Solution

In Windows-Umgebungen, in denen sich Anwender ohne Domänen-Credentials in das Netz einloggen, ist das Passwortmanagement unter Umständen eine komplexe Angelegenheit. Umso mehr, als dass Microsoft seit einiger Zeit die Verteilung lokaler Adminpasswörter über Gruppenrichtlinien unterbunden hat. Zu groß sind die Sicherheitsbedenken bei diesem Vorgehen, dass ein Ausspähen von Username und Passwort per Pass-the-Hash ermöglicht. Für die Verwaltung solcher Passwörter stellt Microsoft das Tool Local Administrator Password Solution (LAPS) [Link-Code g3pe2] bereit. LAPS generiert pro Client ein dynamisches Passwort und hinterlegt es im Active Directory. Dazu wird es in vier Komponenten ausgeliefert: Die "GPO Client Side Extension" werden auf jedem Client benötigt, der mittels LAPS verwaltet werden soll; als Managementtools sind ein "Fat Client UI" zum Auslesen der Passwörter aus dem AD, ein PowerShell-Modul und ein Group Policy Template zur Verteilung der Konfiguration auf den Client per GPO mit an Bord. Sind die zufällig generierten Pass- wörter verteilt, ist ein Domänenadministrator in der Lage festzulegen, welche Nutzer –etwa Helpdesk-Mitarbeiter – autorisiert sind, die Passwörter lesen zu können. Zusammengefasst arbeitet LAPS wie folgt: Im Zentrum steht die erwähnte GPO Client Side Extension, die während eine Guppenrichtlinienupdates zunächst prüft, ob das Passwort des lokalen Administrators abgelaufen ist. Ist dies der Fall, wird ein neues Passwort erzeugt und kontrolliert, ob dies mit der Passwort-Policy übereinstimmt. Passt alles, hinterlegt das Tool das neue Passwort sicher im Active Directory. Gleichzeitig vermerkt LAPS dort auch, wann das neue Passwort seine Gültigkeit verliert. Letztendlich wird das Passwort dann tatsächlich geändert.

1.1.10 JiJi AuditReporter

Wenn der Chef im Büro steht und ad hoc erfahren möchte, welche Anwender oder Administratoren im Active Directory, auf File-, Exchange- oder SharePoint-Servern in den letzten 48 Stunden Änderungen angestoßen haben und dazu noch den genauen Zeitpunkt der jeweiligen Änderungen einfordert, dürfte so mancher IT-Verantwortliche blass werden. Diese Informationen sind selten griffbereit. Dabei hat der IT-Verantwortliche noch Glück, wenn nur der Chef danach fragt und nicht ein externer Auditor. Graue Haare, die sich vermeiden lassen. Das nervenschonende Mittel der Wahl könnte in diesem Szenario der kostenlose JiJi AuditReporter [Link-Code g5pe3] sein. Diese webbasierte Auditing-Software hilft bei der Nachverfolgung und dem Reporting von Änderungen im Active Directory und Gruppenrichtlinien, MS Exchange- und SharePoint-Servern sowie Windowsbasierten Dateiservern. Zunächst sei jedoch angemerkt, dass die Software nur für Unternehmen mit weniger als 500 Anwendern kostenlos ist. Eine Linie die der Hersteller bei zahlreichen seiner Produkte zieht – für KMUs sicher in vielen Fällen eine erfreuliche Marketingstrategie. Interessierte, die sich für einen Download entscheiden, erhalten im Übrigen den kompletten "Identity Managers" des Herstellers. Dieser enthält den AuditReporter und ist für zwei Wochen voll funktionsfähig. Danach bleibt er aber wie erwähnt für KMUs weiterhin kostenlos nutzbar. Neben den erwähnten Features wie Audit und Echtzeitberichten beantwortet die Soft- ware jederzeit die Fragen Wer, Wann, Was und Wo Änderungen an den genannten Systemen durchgeführt hat. Diese Berichte lassen sich im Übrigen auch zeitgesteuert automatisieren und beispielsweise an E-Mail-Adressen verschicken. Dies kann für einen definierten Zeitraum erfolgen, lässt sich aber auch wie ein Alarm einrichten, der bei jeder Änderung einen Hinweis an den IT-Verantwortlichen sendet.

1.1.11 Change Notifier for Group Policy

Änderungen sind in großen IT-Infrastrukturen mit vielen Administratoren oft nur schwer nachzuvollziehen, sofern diese überhaupt vom IT-Verantwortlichen bemerkt werden. Nicht umsonst hat sich mit dem Changemanagement eine eigene Disziplin etabliert, die dieses Thema angeht. So haben in Windows-basierten Umgebungen Änderungen an den Gruppenrichtlinien tiefgreifende Auswirkungen auf alle denkbaren Aspekte des Clients – nicht zuletzt der Sicherheit. Sind hier mehrere Administratoren in der Lage, GPOs zu ändern, ist es empfehlenswert, diese zentral im Blick zu behalten. Einen kostenlosen Helfer für diese Aufgabe bietet Netwrix mit dem Change Notifier for Group Policy [Link-Code g6pe1]. Die händische Suche mit Windows-Bordmitteln nach Anpassungen der Gruppenrichtlinien erfordert vom Admin langwierige Suche in Logs unter Zuhilfenahme von PowerShell-Skripten. Und selbst dann bleibt ihm meist nur die Erkenntnis, dass etwas geändert wurde – die Details, die das Betriebs- system dazu ausspuckt bleiben oft kryptisch. Das Netwrix-Tool automatisiert die Überwachung von GPO-Änderungen (Links und Policies) und sendet dem IT-Verantwortlichen jeden Tag einen entsprechenden Bericht per E-Mail zu. Darin werden alle Modifikationen der Gruppenrichtlinien aufgelistet, inklusive ursprünglichem und jetzigem Wert. Und selbstverständlich berücksichtigt der Report auch alle gelöschten oder neu erstellten GPOs.

Der Change Notifier for Group Policy liefert tägliche Berichte zu Änderungen in Gruppenrichtlinien.

1.1.12 NTFS Permissions Auditor

Die unter NTFS an Anwender vergebenen Rechte wie "nur Lesen" oder "Lesen/Schreiben" sind in ihrer Gesamtheit für den Administrator nur schwer nachzuvollziehen. Es bedarf beispielsweise immer einer Prüfung ob Herr Müller aus dem Marketing Schreibrechte in einem bestimmten Verzeichnis hat, obwohl er einer Gruppe angehört, die dort nur Lesen darf. Dazu haben NTFS-Rechte auch Auswirkungen in der Registry, in AD-Objekten und sogar bei Druckern. Und gerade in diesen hinsichtlich IT-Sicherheit kritischen Zeiten, ist ein schneller Überblick aller gesetzten NFTS-Rechte recht nützlich. Genau dies bietet die freie Variante des NTFS Permissions Auditor [Link-Code i7pe9] von Albusbit. Zwar gilt es hier gleich am Anfang zu betonen, dass die Free-Edition eine deutlich abgespeckte Variante der bezahlpflichtigen Software gleichen Namens ist, doch letztendlich liefert die kostenlose Variante eine schnelle Analyse der Rechtestruktur im NTFS. Diese kann sich der Nutzer in zwei Ansichten darstellen lassen: "Folder Tree View" liefert ein Audit basierend auf den Verzeichnissen und den darin vergebenen Rechten, währen "Principial View" den Fokus auf Gruppen und Benutzer legt. In beiden Ansichten liefert der NTFS Permissions Auditor Infor- mationen zu allen Arten von Rechten, deren Vererbung, Dömaneninformationen wie deren Namen und SID und Details zu den Nutzer-Accounts. Dabei erlaubt die Software das Audit für eine unbegrenzte Anzahl von Verzeichnissen. Sind diese alle abgearbeitet hat der IT-Verantwortliche noch die Option, die Ergebnisse als Bericht zu exportieren. Dies ist als Excel-, CSV-, XML-, HTML- und PDF-Datei möglich. Dabei hat der Be- richtersteller erneut die Wahl zwischen den beiden erwähnten Ansichten.

1.1.13 FolderSecurityViewer

Die Basis der Sicherheit eines Dateiservers unter Windows sind die Zugriffsrechte. Doch mit der Zeit geht oft der Überblick verloren, wenn neue Mitarbeiter ins Un- ternehmen kommen, Gruppen für den Zugriff neu erstellt werden oder Rechte auf Grund einer Umstrukturierung der Firma neu vergeben werden. Zwar bietet der Windows Explorer hier den Zugriff auf die ACLs und die PowerShell erlaubt eine Analyse per Get-ACL-Cmdlet, doch Werkzeuge für eine umfassende Berichtser- stellung zu den Details der vergebenen Rechte, sucht der Admin in den Bordmitteln vergebens. Für Admins, die Überblick in komplexen Berechtigungsstrukturen benötigen, steht die kostenfreie Variante des FolderSecurityViewer [Link-Code i0pe7] (FSV) als Helfer bereit. Diese reine Reportingwerkzeug lässt kein Bearbeiten der Rechte auf dem Verzeichnis zu, liefert aber eine detaillierte Aufstellung darüber, wer was darf. Im Zentrum der Rechteanalyse steht dabei der "Permissions Report", der die vorhandenen Verzeichnisberechtigungen zeigt. Diesen Bericht kann sich der IT-Verantwortliche einfach per Doppelklick auf einen Verzeichnis in der automatisch von FSV erzeugte Übersicht oder er gibt den UNC-Pfad händisch ein. Das Ergebnis stellt die Zugriffrechte (ACLs) der User dar, wobei das Tool Gruppen direkt auf einzelne Anwender herunterbricht, deren Zugehörigkeit zu Gruppen aber darstellt. Für eine erste Analyse greift der Nutzer nun auf den Button "Differences Found" zurück, der Abweichungen in den Berechtigungen des aktuellen Ordners und seiner Unterverzeichnisse ermittelt. Während der Permissions-Report von einem bestimmten Verzeichnis ausgeht und die dazugehörigen Berechtigungen anzeigt, ist der "Owner Report" ein Benutzerkonto der Zugriffpunkt. Dieser Bereicht listet für eine gewählte Verzeichnisstruktur, wo der entsprechende User überall Ei- gentümer von Ordnern ist. Ergänzend liefert der "Share Report" eine Übersicht über die Berechtigung von freigegebenen Dateien und Verzeichnissen. Der "Folder Report" widmet sich den Eigenschaften eines Verzeichnisses oder eines ganzen Baums. Dieser Bericht liefert allerdings keine für die Security relevanten Informa- tionen, sondern zeigt wie viele Dateien sich in einem Ordner befinden oder wie viel Speicherplatz diese belegen. Die Abstriche, die Administrator bei der freien Version im Vergleich zur kostenpflichtigen vornehmen muss, liegen im Bereich der langfristigen Beobachtung der Rechte: Nur die kommerzielle Variante erlaubt es, Berichte zu laden, zu speichern und zu vergleichen. Ist also nur ein Blick auf den aktuellen Ist-Zustand gefragt, leistet die freie Variante von FolderSecurityViewer absolut ihrenDienst.

1.1.14 System32

Auch Cloud und 5G-Netze ändern wenig an dem Umstand, dass ein gewisses Zeit- volumen des Administrator dem Troubleshooting reserviert ist. Dabei ist der Umstand, nie zu wissen, wann die Systeme diese Zeit vom Administrator "abrufen", mindestens ebenso ärgerlich wie die Tatsache, dass der IT-Verantwortliche während der Fehlersuche oft weitere Zeit verliert, weil sich die Probleme in nichtssagenden Event-Log-IDs oder Fehlercodes wiederspiegeln. Genau an dieser Stelle will die Website System32 [Link- Code j3pe7] dem Administrator unter die Arme greifen. Für den Fall, dass er beim Troubleshooting mit den erwähnten kryptischen Hinweisen konfrontiert wird, findet sich auf der Seite eine Datenbank mit entsprechender Erklärung – und einiges mehr. So gibt es auf der aufgeräumten Website insgesamt vier grundsätzliche Bereiche: "Se- curity Log", "Event Log", "Codes" und "Geo IP". Während die letzten drei Suchfelder darstellen, führt ein Klick auf "Security Log" zu einer Unterseite mit nach Stichworten und ID sortierten Event-Log-Einträgen. Hat der IT-Verantwortliche auf die eine oder andere Art den gesuchten Eintrag gefunden, offeriert eine Detailseite verschiedene Hinweise und Ressourcen zur Lösung des Problems. Greift der Administrator hingegen auf "Event Log" zurück, kann er eine Suche zum Aufspüren der Hintergründe der aktuellen Situation nutzen. Beide Ansätze greifen also auf identische Ressourcen zurück, unterscheiden sich aber darin, welche Infos aktuell zur Verfügung stehen. Hat der IT-Verantwortliche eine Fehlermeldung von seinem System erhalten, ist "Codes" die richtige Anlaufstelle. Hier lassen sich normale Windows-Fehlercodes ebenso eingeben wir Fehler aus dem Task Scheduler, Stop-Codes oder Blue screen-Informationen. Schließlich ermöglich "GeoIP" die Ermittlung eines Server-Standorts auf Basis der IP-Adresse. Hier lassen sich einzelne Adressen ebenso nutzen wie kommaseparierte Adresslisten. Neben der Möglichkeit, sich die räumliche Verteilung der Server auf einer Google-Map anzuschauen ist sicher die Möglichkeit interessant, die gefunden Server von den beiden Threat-Intelligence-Plattformen Cymon.io und ThreatCrowd auf ihr Bedrohungspotenzial analysieren zu lassen. Ergänzt wird die Website um einen Link zu einer Sammlung von Admin-Tools von Eventsentry sowie Anleitungen zum Zugriff auf das Event Log per Skript. Hier finden sich Beispiele die den Zugriff auf die Logdateien mit Python, der PowerShell oder auch Ruby illustrieren.

1.1.15 Ping Castle

Auch wenn es zahlreiche Regeln und Best Practices zur Absicherung des Active Directory gibt, sind diese jedoch ohne geeignete Tools nur schwer einzuhalten und zu überwachen. Das kostenlose Ping Castle [Link-Code m8pe9] übernimmt diese Aufgabe, indem es das AD auf zahlreiche Risikofaktoren prüft und detaillierte Berichte erstellt. Dem Entwickler Vincent le Toux zufolge entstand Ping Castle aus einem Projekt für einen internationalen Konzern, dessen Verzeichnisdienst mehr als 300 Domänen umfasst. Das Tool kann daher nicht nur einzelne Domänen unter zahlreichen Kriterien durchleuchten, sondern skaliert auch für Umgebungen mit komplexen Forests und Vertrauensbeziehungen. Ping Castle prüft das Active Directory anhand von mehr als 70 Regeln. Sie sollen Verstöße gegen unterschiedlichste Empfehlungen und Sicherheitsrichtlinien aufspüren. Dazu zählt beispielsweise die Existenz inaktiver Objekte (User, Computer, Betriebssysteme) und veralteter Protokolle. Weitere Prüfkriterien sind unter anderem ACLs und Delegierungen, in GPOs enthaltene Passwörter, Pass- wortregeln oder Mitglieder in administrativen Gruppen. Die Software entdeckt auch Accounts, deren Passwort nie abläuft oder wo dieses leer sein darf. Ping Castle ist ein Kommandozeilentool, das dem Admin zahlreiche Schalter und Optionen bietet, aber auch im Standardmodus für den Einstieg geeignet ist. Dieser schlägt dann die aktuelle Domäne vor, bevor er die Prüfroutine startet. Als Ergebnis produziert die Software einen Report im XML- und HTML-Format. Das Tool läuft portabel, eine Installation ist also nicht notwendig. Gleichzeitig eignet es sich sehr gut für den Einsatz in Skripten, die so in regelmäßigen Abständen Sicherheitsdaten des AD ermitteln können. In seinen Berichten listet die Software verschiedene Prüfpunkte anhand ihres Risikogrades und kommt zu einer Gesamtbewertung. Diese ist durch die Kennzeichnung in Rot/Grün sehr gut für eine Managementpräsentation geeignet, um Nichttechnikern ein Gefühl für das Risiko im eigenen Unternehmen zu geben. Gleichzeitig ist der Report aber auch sehr nützlich für Admins, denn sie erhalten nicht einfach nur bunte Bilder, sondern sehr praxisnah Hinweise für konkrete Maßnahmen und Links zu pas- senden Artikeln etwa imTechNet.

1.1.16 Purple Knight

Die Sicherheit des lokalen Active Directory sowie der Authentifizierung via Azure AD ist elementar, um die Kompromittierung des Netzwerks zu vermeiden. Doch die Angriffe auf diese Dienste werden immer ausgefeilter und der IT-Verantwortliche muss die wichtigsten Indikatoren kennen, um zu wissen, ob aktuell ein Angriff stattfindet oder bereits ein Einbruch in den Verzeichnisdienst stattgefunden hat. Die frei Software Purple Knight [Link-Code mape6] ordnet Sicherheitsindikatoren vor und nach einem Angriff den MITRE-ATT&CK und ANSSI-Frameworks zu und bietet eine Gesamtrisikobewertung zusammen mit der Wahrscheinlichkeit eines Eindringens und spezifischen Abhilfemaßnahmen. Admins können Purple Knight verwenden, um AD und Azure AD proaktiv gegen neue Taktiken und Techniken von Angreifern zu schützen, und zwar mit einer integrierten Bedrohungsmodellierung, die ein Team von Sicherheitsexperten ständig aktualisiert. Um Sicherheitslücken wie mangelhafte Konfigurationen und Policies zu erkennen, fragt das Werkzeug die AD-Umgebung ab und führt eine Reihe von nichtinvasiven Tests gegen die häufigsten und erfolgreichsten Angriffsvektoren durch, die mit bekannten Security-Frameworks wie dem MITRE ATT&CK korrelieren. Die Software benötige hierzu weder eine spezielle Installation noch besondere Berechtigungen. Das Tool zeige anhand von fünf zentralen Sicherheitsaspekten des AD (Delegation, Account-Sicherheit, AD-Infrastruktur, Group- Policy- und Kerberos-Sicherheit) Indikatoren für die Zeit vor, während und nach einem An-griff an. Nach Abschluss der Analyse erhält der Admin einen Bericht, der eine Gesamtrisikobewertung, die ermittelten Indikatoren für die Angreifbarkeit und die Wahrscheinlichkeit einer Kompromittierung sowie eine Empfehlung konkreter Maßnahmen gegen Schwachstellen beinhaltet. Die Zeit, die Purple Knight für einen Scan benötigt, hängt von der Größe und Komplexität der Active-Directory-Umgebung und den durchgeführten Scans ab. In der Regel dauert ein Scan einer Gesamtstruktur einige Minuten. Zusätzliche Zeit erfordert ein Zerologon-Scan, bei dem RPC ausgeführt wird, um alle Domänencontroller zu überprüfen.

1.1.17 CredentialsFileView

Trotz aller Fortschritte in der IT, die sich nicht zuletzt in den zahlreichen Ansätzen zum Identitäts-Berechtigungsmanagement zeigen, die wir Ihnen in dieser Ausgabe vorstellen, ist das Problem mit dem höchste Supportaufkommen in diesem Umfeld sicher vergessene Zugangsdaten. Oft mündet dies in der Vergabe neuer Credentials, was im Sinne der IT-Sicherheit natürlich zu begrüßen ist. Doch manchmal lassen sich diese Daten auch aus Systemen extrahieren und so dem User wieder zugänglich machen. Ein Werkzeug dafür ist das kostenlose CredentialsFileView [Link-Code k0pe9]. Windows speichert eine ganze Reihe solcher Anmeldedaten verschlüsselt im System. Dazu zählen beispielsweise Logins von Remote-Computern im LAN, Passwörter für E-Mail-Accounts auf Exchange-Servern, Remote-Desktop-User/Passwort-Informationen und einige mehr. CredentialsFileView erfordert keine Installation und lässt sich einfach über sein EXE-File starten. Nach dem Start durchforstet das Tool das jeweilige System auf entschlüsselbare Passwörter, zeigt an, in welchen Verzeichnissen diese liegen und erkennt, inwieweit zum eingeloggten Anwender gehören. Dieser muss als einzige Handlung sein Windows-Passwort eintippen, um die Entschlüsselung der Zugangsdaten zu autorisieren. Diese Eingabe lässt sich allerdings über die Option "Decrypt Credentials files of the current user" umgehen. Dann muss der Nutzer jedoch das Programm mit Administratorenrechten starten und es bedarf zudem der 64-Bit- Version von Windows und CredentialsFileView. Das Tool erlaubt darüber hinaus, Credentials auf externen Speichern und aus anderen Nutzerprofilen zu extrahieren. Dies muss der Admin dann in den entsprechenden Feldern innerhalb des Tools hin- terlegen. Ist alles nach Wunsch eingerichtet, reicht ein Klick auf "OK" und Credenti- alsFileView geht an die Arbeit, die in der Darstellung der ehemals verschlüsselten Zu- gangsdaten mündet.

Mit CredentialsFileView lassen sich bestimmte Zugangsdaten, die Windows verschlüsselt ablegt, bei Verlust aus dem System extrahieren.

1.1.18 Weak Password Finder Tool

Zuletzt orakelte ein Technologie-Kolumnist in einem der größten deutschsprachigen Nachrichtenportale, dass in fünf Jahren Kameras und Gesichtserkennungssoftware wohl so weit fortgeschritten sein werden, dass diese Technologien den Personalausweis ersetzen könnten. Darüber lässt sich trefflich diskutieren, Fakt ist jedoch andererseits, dass aktuell zur Identifikation an IT-Systemen das gute alte Passwort Nummer 1 ist. Dies sollte auf Grund seiner strukturellen Schwächen – nur ein Faktor reicht zum Vollzugriff auf den jeweiligen Account – IT-Verantwortlichen Sorgen in Bezug auf die Sicherheit der eigenen IT-Landschaft machen. Noch schlimmer wird die Sicherheitssituation im Unternehmen, wenn die Anwender schwache Passwörter nutzen, die leicht in Sekundenbruchteilen Opfer von Wörterbuchangriffen werden können. Diese schwachen Passwörter kommen oft aus Bequemlichkeit zum Einsatz und lassen sich in gewissen Bereichen auch nicht durch den Administrator ausmerzen. Doch wenn es um den Zugang zum Unternehmensnetzwerk – in unserem Fall die Active Directory Credentials – geht, sollte eine strikte Regel für sichere Passwörter gelten und auch durchgesetzt werden. Ein völlig kostenloser Helfer für Windows-Admins ist dabei das "Weak Password Finder Tool" [Link-Code h4pe8] von Thycotic. Die Software erlaubt, schnell undeinfach die schwächsten, also riskantesten Passwörter im Active Directory zu finden. Dabei untersucht der Weak Password Finder neben den Benutzer-Accounts auch Dienstkonten und die Dömanenadmin-Accounts. Gerade bei Letzteren sollte allerhöchste Sorgfalt gelten und ein zu schwaches Passwort ist völlig inakzeptabel. Zum Glück findet die Software wie gesagt auch diese und stellt über seine gesam- melten Erkenntnisse zur Passwortsicherheit einen übersichtlichen Bericht für den IT-Verantwortlichen zusammen. Ein interessanter Aspekt ist dabei sicherlich auch die Analyse, inwieweit Anwender mit mehreren Konten hierfür identische Pass- wörter nutzen. Gerade Kollegen aus der IT nutzen ja oft mehrere Konten für unterschiedliche Aufgaben. Hat nun das Konto mit wenig Privilegien im Netz das gleiche Passwort wir jenes mit administrativen Rechten, ist dies auch nicht im Sinne einer Netzwerksicherheit. Der Weak Password Finder kann problemlos in einer oder mehreren Windows-Domänen gestartet werden und greift zur Analyse der Passwörter auf eine Liste mit knapp 1,5 Millionen Einträgen zurück. Und auch das Tool selber ist nach Herstellerangaben sicher, denn es speichert die untersuchten Zugangsdaten niemals und bietet auch dem Weak-Password-Finder-Nutzer keinen Zugriff darauf. Die Software läuft unter Clients ab Windows 7 und ab der Server- Version 2008 R2 in den jeweiligen 64-Bit-Varianten. Zudem ist das. NET Framework 4.5.1 oder höher erforderlich. Nicht unterstützt wird der Microsoft-Verzeichnisdienst, wenn er im "Active Directory Lightweight Directory Services"-Modus läuft. Der Download ist nach einer Registrierung beim Hersteller möglich, der für dieses kostenlose Tool sogar

ein Handbuch unter Link-Code h4pe7 mitliefert.

1.2 Windows-Client

1.2.1 Qualys Windows Client Check

Selbst in der kleinsten Firma oder Außenstelle sollten die Verantwortlichen Sorge für die IT-Sicherheit der Windows-Clients tragen. Doch oft stehen dafür nur ein lokales Anti-Malware-Werkzeug und eine mehr oder weniger umfassende Absicherung des Netzwerks bereit. Für mehr fehlt oft Zeit oder Geld, im schlimmsten Fall beides. Dabei ist diese Grundabsicherung sicherlich besser als gar kein Schutz vor Angriffen, doch das tatsächliche Sicherheitsniveau der Client-Infrastruktur bleibt für den IT-Verantwortlichen mehr oder weniger unbekannt. Das Risiko eines Angriffs ebenso. Ebenso verhindert dieser Zustand letztendlich auch, dass der IT-Verantwortliche das Sicherheitsniveau anheben kann – ihm fehlen schlicht die Ansatzpunkte. Dabei ist es mit der Client-Security wie mit vielen Dingen im Leben: ein Großteil der Arbeit lässt sich mit überschaubarem Aufwand erledigen, erst wenn es an die letzten Prozente geht, wird es teuer, kompliziert oder ähnliches. Daher haben das SANS Institute und der Council on CyberSecurity ein neues, kostenloses Tool [Link- Codee6pe1]entwickelt,mitdemUnternehmendieTop4derkritischenSicherheitskontrollen implementieren können, um Angriffe abzuwehren. Das Cloudbasierte Werkzeug hilft Unternehmen schnell herauszufinden, ob auf den PCs in ihren IT-Umgebungen die vier wichtigsten Sicherheitsvorkehrungen implementiert sind, die nach Einschätzung des Council on CyberSecurity helfen können, 85 Prozent aller Cyber-Angriffe zu verhindern. Konkret untersucht das Tool, ob die folgenden Sicherheitsvorkehrungen implementiertsind:

-Whitelisting von Anwendungen: Nur autorisierte Software darf verwendet werden.

-Patches für Anwendungen: Anwendungen, Plug-Ins und sonstige Software muss stets aktuell sein.

-Patches für Betriebssysteme: Betriebssysteme müssen mit den aktuellsten Fixes auf dem neusten Stand gehalten werden.

-Minimieren von Admin-Rechten: Verhinderung von heimlichen Änderungen durch bösartige Software. Mithilfe der Berichte können die IT-Administratoren ihre nicht konformen Endgeräte finden und die notwendigen Maßnahmen treffen, um sie gegen Angriffe resistenter zu machen.

1.2.2 Bulk Password Control

Praktisch jede Statistik zum Supportaufkommen in Unternehmen sieht das Zurücksetzen oder die Neuvergabe von Passwörtern an erster Stelle des Arbeitsauf- kommens in diesen Abteilungen. Liegt der Userverwaltung dabei ein Active Directory zu Grunde, so hat Microsoft zwar seit Server 2008 einige Mechanismen zur Automatisierung eingebaut, doch decken diese kaum den vollständigen Bedarf eines Administrators ab, der Attribute im AD anpassen muss. Und wie so oft, wenn die Bordmittel nicht ausreichen stellt die Community ein freies Werkzeug bereit, diesmal Bulk Password Control [Link-Code e7pe6]. Diese Software ermöglicht es IT-Verantwortlichen beispielsweise, eine große Anzahl von Passwörtern im Active Directory gleichzeitig zu ändern. Dies kann erfolgen, indem ein Passwort für alle Accounts vergeben wird oder der in Bulk Password Control eingebaute Passwort-Generator erzeugt auf Zufallsbasis jeweils unterschiedliche Passwörter. Auch für das Entsperren von Benutzerkonten steht eine analoge Funktion bereit. Installiert der Administrator noch das begleitende Bulk Modify-Tool, lassen sich auch weitere AD-Attribute im großen Maßstab und automatisch ändern. Und wem das noch nicht weit genug geht, der kann eigene Skripte mit dem Tool verbinden, um eine noch weitergehende Automatisierung zu erzielen. Sinnvoll ergänzt werden die umfassenden Möglichkeiten der Attribut-Änderung mit einer leistungsfähigen Suche. Damit ermittelt der IT-Verantwortlich schnell die gesuchten Inhalte in den Benutzerkonten oder er durchsucht Gruppen beziehungsweise OUs. Dazu stehen vorgefertigte Suchen bereit, der Nutzer kann aber auch seine eigenen Suchparameter definieren und zur Wiederverwendung speichern. Jedes Suchergebnis lässt sich als CSV-Datei exportieren.

1.2.3 WirelessKeyView

Zahlreiche Szenarien sind vorstellbar, bei denen der Zugang zu einem WLAN nicht möglich ist, weil der Anwender seine Zugangsdaten vergessen hat. Noch umfassender sind mögliche Lösungen für dieses Problem, beispielsweise Anruf beim Admin oder den WLAN-Router zurücksetzen. Doch beides ist zeitintensiv. Schneller klappt der Netzzugang unter Umständen mit WirelessKeyView [Link-Code fbpe2] – sofern der Anwender sich schon einmal erfolgreich in besagtes WLAN einloggen konnte. Denn die Software liest auf dem Rechner gespeicherte WLAN-Passwörter aus. WirelessKeyView kann nach dem Download und dem Entpacken mit einem Doppelklick auf die EXE-Datei direkt gestartet werden, eine Installation des Tools ist nicht notwendig. Anschließend macht sich das Werkzeug daran, gespeicherte WLAN-Passwörter zu finden und anzuzeigen. Diese lassen sich in die Zwischenablage kopieren oder auch über das "File"-Menü als TXT- oder XML- Datei exportieren. Im gleichen Menü ist es auch möglich, WLAN-Passwörter von einer bereits gespeicherten Datei zu importieren. Auch ist der Einsatz von WirelessKeyView dazu geeignet, die persönlichen WLAN-Zugangsdaten vor einer Neuinstallation von Windows zu sichern, denn gefundene WLAN-Passwörter lassen sich in der Software speichern. Allerdings funktioniert das Auslesen der eigenen WLAN-Passwörter nur dann, wenn diese durch das Betriebssystem gespeichert wurden.

1.2.4 Prey

Das nagelneue Notebook oder Smartphone nur einen kurzen Moment außer Acht zu lassen, kann schon reichen für einen Verlust durch Diebstahl. Handelt es sich um ein Gerät aus gut gemanagten Umgebungen, ist zumindest die Möglichkeit eines Wipe der wichtigen Unternehmensdaten Standard. Werkzeuge zur Lokalisierung haben es da schon schwerer, solange das Diebesgut ausgeschaltet bleibt – ganz zu schweigen davon, dass Notebooks nur selten mit GPS oder anderen Werkzeugen der Geolokation ausgestattet sind. Hat es der Dieb als nur auf die Hardware und deren gewinnbringender Weiterveräußerung abgesehen, dürfte das Gerät unwiederbringlich verloren sein. Ein kostenloses Werkzeug, das den Standort von Notebooks, Smartphones und Co. lokalisieren kann, ist Prey [Link-Code fbpe3]. Die Software läuft hintergründig im System und ist daher für uneingeweihte Personen nur durch eine Formatierung der Festplatte zu deaktivieren. Voraussetzung der Nutzung ist ein Account beim Anbieter, über den die relevanten Daten aus der Prey-Software gesammelt werden. Greift der Dieb auch nur einmal (mit aktiver Internetverbindung) auf das Gerät zu, zeichnet Prey sein komplettes Vorgehen auf. Nutzer erfahren so, welche Daten eingesehen, welche Programme genutzt, welche Internetverbindungen verwendet wurden. All diese Informationen werden automatisch auf das Nutzerprofil geladen, von wo aus sich der Dieb verfolgen lässt. Besitzt der Laptop eine integrierte Webcam, liefert Prey sogar direkt das "Fahndungsbild". Ist das Notebook jetzt noch mit einem BIOS-Passwort bestückt und USB-Boot deaktiviert, lässt sich mit der gestohlenen Hardware nicht mehr viel anfangen. Zu bedenken gilt jedoch, dass nicht nur das Vorgehen des Diebes aufgezeichnet wird, sondern im Normalbetreib auch das des Anwenders. Ob ein Hersteller solche Daten verwalten soll, muss der Anwender letztendlich selbst entscheiden. Neben Windows- Rechner stellt der Hersteller Prey auch für macOS, Linux, Android und iOS zur Verfügung. Hilfreich ist dabei, dass sich alle Geräte mit einem Account verwalten lassen. Mit der freien Version sind hierbei drei Geräte verwaltbar und sinnvollerweise lässt sich die Prey-App unter Android und iOS auch gut verstecken. Zudem ist die Dein- stallation so gut wie unmöglich – was auch schon manchen Anwender frustriert hat. Genau genommen ist dies aber ein gutes Feature einer Diebstahlschutz-Software. Bedauerlich ist letztendlich nur, dass ein Remote Wipe der Daten nur mit der kostenpflichtigen Edition möglich ist. Hier werden 2 US-Dollar pro Monat fällig. Die sich Nutzer einer Festplattenverschlüsselung jedoch unter Umständen sparen können.

1.2.5 Browser Stored Password Discovery Tool

Jeder Admin ist auch Anwender und weiß daher, wie schnell der Button "Dieses Passwort im Browser speichern" geklickt ist. Denn das dauerhafte Verwahren eines scheinbar belanglosen Passworts für einen x-beliebigen Online-Dienst ist ja auch sehr praktisch. Doch der so gewonnene Komfort geht mit derart gravierenden Sicherheitsproblemen einher, dass das SANS-Institut von diesem Vorgehen in seinen Richtlinien zum Schutz von Zugangsdaten in jedem Fall abrät. Diese lassen sich einerseits mit Passwort-Recovery-Tools extrahieren, was besonders gefährlich bei faulen Usern ist, die für ihren Snapchat-Zugang das gleiche Passwort verwenden wie für kritische Unternehmens- dienste. Andererseits bringt die Speicherung von Credentials im Browser mit sich, dass der Anwender meist nicht darauf achtet, die Passwörter regelmäßig zu ändern, was beispielsweise für Login-Daten Best Practices ist. Um der Verwendung der Browserbasierten Passwortspeicherung auf die Spur zu kommen, bietet Thycotic das kostenlose "Browser Stored Password Discovery Tool" (BWSDT) [Link-Code i3pe9]. Die Nutzung ist dabei denkbar einfach: Nachdem der IT-Verantwortliche einen Suchbereich in seiner Domäne erstellt hat, begibt sich die Software auf die Pirsch, wozu auf den Clients kein Agent notwendig ist. Anschließend präsentiert BWSDT einen Report, der die Nutzung der lokalen Passwortspeicherung über den Browser darstellt. Dabei erfährt der Admin nicht nur, ob dies der Fall ist, sondern beispielsweise auch, für welche Webseiten dies am häufigsten passiert. Dass es sich dabei oft nur um Top-10-Ergebnisse handelt, ist sicher dem kostenlosen Charakter des Werkzeugs geschuldet. Doch der IT-Verantwortliche kann BWSDT so oft laufen lassen wie er will und so mit etwas Geduld alle potenziellen Schwachstellen ausmerzen. Selbstverständlich greift das Browser Stored Password Discovery Tool dabei zu keinem Zeitpunkt weder direkt auf die Passörter zu noch speichert es sensitive Informationen. Vor dem Download ist eine Registrierung beim Hersteller erforderlich.

1.2.6 OSArmor

Malware nutzt immer wieder dieselben Tricks, um sich als Virus, Rootkit oder Ransomware auf den Rechnern einzuschleusen. So etwa die beliebte Verbreitung huckepack mit einem Dokument wie einer Word oder PDF-Datei. Diese versenden die Angreifer per E-Mail und geben sie zum Beispiel als Rechnung aus. Die Datei kann beispielsweise so präpariert sein, dass sie beim Öffnen die Eingabeaufforderung von Windows startet und darüber den Schadcode installiert. Bei derartigem Vorgehen oder ähnlichen Verschleierungsmaßnahmen verschlafen Virenscanner nicht selten die drohende Gefahr. An dieser Stelle setztOSArmor [Link-Code k3pe7] an: Es registriert, wenn eine Anwendung die Eingabeaufforderung starten will und blockiert das. Rund 100 solcher Virentricks überwacht OSArmor und kann damit immer dann Alarm schlagen, wenn das eigentliche Antivirenprogramm versagt hat. Das kostenlose Tool benötigt so gut wie keine Konfiguration und startet nach der Installation automatisch mit der Überwachung des Systems. Diese basiert auf rund 60 vordefinierten Erkennungsregeln für die Systemsicherheit. Wie angedeutet ist die Installation des Werkzeugs schnell erledigt. Nach dem Start des Tools lassen sich die Regeln für die Erkennung verdächtiger Aktivitäten finden sich unter "Open Configurator". Unter den Registerkarten "Main Protection" und "Anti-Exploit" sind bereits alle Optionen aktiviert. Diese bilden den zuvor erwähnten Schutz auf Basis von 60 Policies. Die Registerkarte "Advanced" erlaubt, die Überwachung des Systems noch deutlich verschärfen. Bedauerlicherweise findet sich zu diesen Einstellungen jedoch keine Dokumentation abgesehen davon, dass OS Armor Optionen kennzeichnet, deren Aktivierung zu Fehlalarmen führt. Dies sollte für einen IT-Profi kein Problem sein, soll das Tool jedoch auf Anwender-PCs zum Einsatz kommen, bedarf es hier einer gewissen Schulung zu den möglichen False Positives. Arten die fehlerhaften Warnmeldungen zu sehr aus, lässt sich OSArmor über "Rest to Default" auf die Werkseinstellungen zurücksetzen.

1.2.7 Password Folder

Sollen auf dem Windows-Rechner Verzeichnisse per Verschlüsselung und Passwort geschützt sein, greifen viele Anwender zum ZIP-Tool ihrer Wahl. Dies kann jedoch bei der Verschlüsselung wie auch bei der Entschlüsselung viel Zeit Kosten, insbesondere wenn zahlreiche große Dateien enthalten sind. Soll hingegen das Bordmittel BitLocker zum Einsatz kommen, bleibt die Home-Lizenz außen vor beziehungsweise muss das Gerät über eine passende Hardwareausstattung verfügen. Einfach und vor allem sehr schnell will das kostenlose Password Folder [Link-Code m5pe7] Verzeichnisverschlüsselung zugänglich machen. Password Folder für Windows ist ein schlankes und portables Programm zur Sicherung von Dateien in Verzeichnissen via Passwort und Verschlüs- selung. Und letzteres geschieht laut dem Entwickler mit großer Geschwindigkeit – selbst wenn Ordner mehrere GByte an Daten enthalten, dauert der Vorgang in beide Richtungen nur zwei Sekunden. Dazu kommt natürlich der Schutz der sensiblen Files, denn ohne das vergebene Passwort sind sie unzugänglich. Dies bezieht sich nicht nur auf den reinen Datenzugriff, Password Folder verhindert auch, dass sich geschützte Verzeichnisse kopieren oder anderweitig bewegen lassen. Die Software arbeitet zudem nicht nur mit der lokalen Festplatte zusammen, sondern kann auch Daten auf USB- Sticks und sonstigen mobilen Speichermedien schützen. Durch die Integration von Password Folder in das Kontextmenü ist die Bedienung sehr einfach und schnell zu- gänglich. So reicht ein Klick auf einen Ordner plus das Eintippen eines Passworts, um diese Daten unzugänglich werden zu lassen. Auch lassen sich mehrere Ordner in einem Vorgang absichern. Password Folder ist lediglich 2 MByte groß und als portable Version verfügbar.

1.2.8 Ulauncher

Auf Linux-Desktops bringen Anwendungsstarter die jeweils gewünschten Applikationen und Daten auf den Schirm des Nutzers. Einige dieser im englischen App Launcher genannten Tools durchsuchen dabei nicht nur den lokalen Speicher nach den Wunsch- daten, sondern sind auch in der Lage, sich dazu im Internet umzuschauen. Und teilweise gehen die Fähigkeiten derartiger Werkzeuge noch weiter und sie können Texte übersetzen oder Shell-Befehle ausführen. Doch nicht jede Distribution kommt mit einem so leistungsfähigen Anwendungsstarter daher. Das besonders schnelle Ulauncher [Link-Code n1pe7] steht für alle Linux-Varianten zur Verfügung und bringt zudem eine umfangreiche Sammlung an Erweiterungen mit. Dabei ist Ulauncher mit den spezifischen Installationsbefehlen der jeweiligen Distro zügig auf den Rechner gebracht und steht den Anwender dann mit einigen bemerkenswerten Features zur Seite. Als Erstes ist hier die Fuzzy-Suche zu nennen, die Apps oder Dateien selbst dann findet, wenn sich in der Eingabe ein Rechtschreibfehler eingeschlichen hat. Auch merkt sich Ulauncher die zuletzt aufgerufenen Apps und Daten und ermöglicht so einen noch schnelleren Zugriff. Optional ist dies ebenso über mehrere Sessions hinweg möglich. Noch mehr Geschwindigkeit bringt der Nutzer mit dem Anwendungsstarter in seine Arbeit, indem es ihm möglich ist, auch dessen Start über einen Shortcut zu erledigen. Oder er hinterlegt einfach die Option, dass das Tool automatisch mit dem Booten des Systems seine Arbeit aufnimmt und so dem Nutzer immer zur Verfügung steht.

1.3 Linux

1.3.1 Privileged Account Discovery Tool

Die Verwaltung privilegierter Accounts ist einer der wichtigsten Bereiche der Datensicherheit für jedes Unternehmen. Privilegierte Konten erlauben Administratoren, aber auch anderen Benutzern innerhalb eines Unternehmens, auf kritische Daten und Anwendungen zuzugreifen. Waren diese Accounts früher spärlich gesät, habensich ändernden Unternehmensabläufe dazu geführt, dass solche Konten heute zahlreicher und weiterverbreitet sind. Werden diese nicht sicher verwaltet, sind IT-Verantwortliche den Risiken von verwaisten oder kaum bekannten Konten mit hohen Rechten ausgesetzt. Gleichzeitig agieren Kriminelle und Hacker immer geschickter, wenn es um den Diebstahl und die Verwendung von Zugangsdaten für privilegierte Konten geht. Und längst sollten derartige nicht nur auf Windows-, sondern auch in Linux- und Unix-Maschinen bekannt und dokumentiert sein. Das freie Unix Privileged Account Discovery Tool [Link-Code lbpe8] von Thycotic hilf dabei. Das kostenlose Tool stellt der Anbieter nach einer kurzen Registrierung zum Download zur Verfügung. Startet der Admin anschließen das Tool, führt dieses einen Scan der Umgebung durch, der nach Linux- und Unix-Verwundbarkeiten sucht. Dazu zählen im Umfeld der privi- legierten Accounts neben nicht unterstützten Unix/Linux-Plattformen auch unerwartete Benutzergruppen sowie Accounts und Passwörter, die kein Ablaufdatum haben. Schließlich findet die Software auch Passwörter, die sich noch nie geändert haben. Seine Ergebnisse fasst das Unix Privileged Account Discovery Tool in einem PDF-Bericht wie im Bild auf dieser Seite zu sehen zusammen. Mit diesem Bericht kann der IT-Verantwortliche dann die gefundenen Löcher stopfen – allerdings nicht direkt mit dem Thycotic-Werkzeug, denn dieses erstellt nur den Report, hat aber selbst keine Administrationswerkzeuge an Bord.

1.3.2 Portmaster

Tritt ein Gerät mit dem Internet in Verbindung, hat dies so gut wie immer auch den Upload von Daten zur Folge – und dies bekanntermaßen nicht immer mit dem Wissen und Einverständnis des Anwenders. Denn zahlreiche Anwendungen senden Datepakete zum Zweck der Datensammlung, ohne dem Nutzer einen Vorteil zu verschaffen. Die meisten Bordmittel der Betriebssysteme helfen da kaum weiter, von den Einstel- lungen der besagten Apps einmal ganz zu schweigen. Eine neue Art der persönlichen Firewall gegen diese Art unerwünschten Datentransfers ist das freie Portmaster [Link- Code m8pe7] von Safing. Portmaster steht unter Windows zur Verfügung und auch –als eine Besonderheit – unter Linux, dessen Nutzer auch zunehmend ins Visier von Datensaugern geraten. Aktuell stehen offizielle Pakete für Ubuntu und Fedora bereit, die technische Grundlage bildet auf Linux-Systemen dabei iptables mit nfqueue. Auf beiden Betriebssystemen ermöglicht das kostenlosen Open-Source-Tool den Usern, das Aussenden von Daten zu unterbinden. Ist die Software dem Rechner installiert, zeigt sie auf, welche Programme Daten abfragen und wo – also auch in welche Länder–sie diese hinschicken. Auf dieser Basis lassen sich diese Uploads nunmehr individuell abdrehen – und zwar bis zu einem sehr detaillierten Level. Es zum Beispiel möglich, Facebook im Browser zulassen, aber nicht, dass es sich mit Spotify verknüpft und auch dort Daten abfragt. Portmaster nutzt für DNS-Abfragen standardmäßig Nameserver von Cloudflare. Nach der Aktivierung der erweiterten Einstellungen lässt sich dies umstellen, etwa auf Quad9 oder andere. Pro Applikation zeigt Portmaster die über die aktivierten Filterregeln blockierten URLs an und erlaubt, diese einzeln freizugeben. Aber auch der andere Weg ist gangbar: Bisher nicht blockierte URLs lassen sich zur Sperrliste hinzufügen. Die Entwickler geben jedoch an, dass ihre Software sich noch in einer recht frühen Phase befinde. So könne es derzeit Usern passieren, dass Programme durch das Blockieren von Uploads nicht mehr funktionstüchtig sind. Das Projekt bietet außerdem ein sogenanntes SPN (Safing Privacy Network) an, das vom Funktionsumfang vergleichbar mit dem Tor-Netzwerk ist. Für dessen Nutzung fallen jedoch Gebühren an.

1.3.3 Detectree

Viele Unternehmen stehen vor dem Problem, während eines laufenden Cyberangriffs die bösartigen Aktivitäten und deren Auswirkungen verstehen zu müssen. Dies verschlingt wertvolle Zeit und Ressourcen, die für die Eindämmung des Angriffs und die Schadensminimierung besser eingesetzt wären. Das kostenlose Tool Detectree [Link-Code m9pe7] macht verdächtige Aktivitäten sichtbarer und stellt sie in Relation zueinander. Detectree ist ein Visualisierungstool für IT-Sicherheitsverantwortliche, die im Fall der Fälle schnell Zusammenhänge zwischen den verdächtigen Ereignissen auf einem bestimmten Endpoint schnell erkennen müssen. Die Software strukturiert Logdaten visuell und zeigt so die die Korrelation zwischen der erkannten verdächtigen Aktivität und den mit dieser Erkennung verbundenen Prozessen, Zielen im Netzwerk, Dateien oder Registrierungsschlüsseln auf. Anstatt die als Text dargestellten Logdaten manuell zu sortieren, um eine Ereigniskette zu rekonstruieren, können Sicherheitsverantwortliche anhand der Visualisierung nicht nur die Zusammenhänge erkennen, sondern auch die Art der Verbindungen, einschließlich Interaktionen, Parent-Child-Beziehungen und Codeausführung durch dritte Prozesse. Jedoch ist das Sicherheitswerkzeug nach Angaben der Entwickler vergleichsweise komplex in der Bedienung und der IT-Verantwortliche sollte sich ausführlich damit vertraut machen, damit im Ernstfall auch die gewünschten Ergebnisse zutage treten. Ein erster wichtiger Punkt ist das Hinterlegen der zur Abfrage der Logs notwendigen Parameter. Dazu zählen etwa die ID des zu untersuchenden Endpunkts, Prozessname und -ID und einige mehr. Hier steht aber eine Beispieldatei auf XML-Basis zur Verfügung, in der der Admin den gewünschten Scan definiert. Die Datei zeigt dabei gleichzeitig an, wie De- tectree die verschiedenen Parameter zueinander in Beziehung setzt. Auf dieser Basis kommt das Tool dann im Netz zum Einsatz und erzeugt eine Visualisierung.

1.3.4 Vuls

Viele Administratoren von Linux-Servern schalten automatische Updates für die auf ihren Maschinen installierten Anwendungen ab. Sie verzichten also auf Softwareaktualisierungen über den Package Manager und nehmen Updates von Hand vor. Dies erfolgt zumeist aus Sicherheitsgründen, denn sofern Updates automatisch erfolgen, muss der IT-Verantwortliche sicher sein, dass es darin keine bekannten Schwachstellen gibt, die auf diesem Wege auf seinen Server gelangen können. Dies hat aber zur Folge, dass der Admin selbst prüfen muss, ob neue Softwarepakete einen Eintrag in Schwachstellendatenbanken wie der NVD (National Vulnerability Database) oder vergleichbaren DBs aufweisen. Doch bekanntermaßen ist ein solches, manuelles Vorgehen besonders fehleranfällig, etwa wenn dabei eine Schwachstelle übersehen wird. Einen Ausweg aus diesem Dilemma will der freie Scanner Vuls [Link-Code m0pe7] liefern. Die Open-Source-Software stellt dem IT-Verantwortlichen die für eine manuelle Aktualisierung seiner Systeme notwendigen Sicherheitsanalysen in Sachen Softwareschwach- stellen bereit. Dabei listet das Werkzeug zunächst alle bekannten Lücken in den untersuchten Servern und zeigt auf, welche Systeme konkret betroffen sind. Dies erfolgt automatisiert und verspricht so, dass alle potenziellen Gefahrenherde erkannt werden. Auf dieser Basis erstellt Vuls dann einen Bericht. Die Software unterstützt nahezu alle bekannten Linux-Distributionen, unter anderem FreeBSD-Server, Amazon Linux, CentOS, Debian, Oracle Linux, Raspbian, RHEL, SUSE Enterprise Linux, Fedora und Ubuntu. Zum Einsatz kann der Scanner lokal, in der Cloud und in Docker-Infrastrukturen kommen. Vuls benötigt dabei keine Root-Rechte und bringt auch keine Abhängigkeiten zu anderer Software mit sich. Bei Bedarf lässt sich der Scanner aller- dings auch mit Root-Berechtigung ausführen, um so auf bestimmten Systemen wie etwa Amazon Linux Prozesse zu identifizieren, die vom geplanten Update beeinträchtigt werden könnten. Zudem geben die Entwickler an, dass das Tool den gescannten Server kaum in Sachen Performance belastet.

1.3.5 Nuclei

Schwachstellen, die nicht in den auf Servern installierten Anwendungen, sondern in der Infrastruktur zu verorten sind, machen Admins oft Probleme beim schnellen Aufspüren der Gefahren. Protokolle wie DNS, HTTP und TCP finden sich nahezu überall in der IT-Landschaft und sind oft schwer einzugrenzen. Hier hat der Open-Source-Scanner Nuclei [Link-Code m0pe8] den Ehrgeiz, den IT-Verantwortlichen von Anfang an auf die richtige Fährte zu führen. Nuclei ist ein schneller und anpassbarer Schwachstellen-Scanner. Das Tool basiert auf der Programmiersprache Golang, deshalb für die Arbeit damit eine entsprechende Umgebung auf der ausführenden Maschine vorhanden sein muss. Nuclei sendet seine Scans Requests (auch über mehrere Ziele) auf der Grundlage von Vorlagen. Dies hat laut den Entwicklern den Vorteil, dass es nicht zu False Positives oder irrelevanten Ergebnissen kommt. Zudem sollen die Untersuchungen dank dieser Templates auch deutlich schneller laufen als mit vergleichbaren Werkzeugen. Dabei kann der Admin Scan- Vorlagen vom Anbieter, aus der Community und natürlich auch eigene nutzen. Besonders clever ist dabei eine Funktion, die solche Templates automatisch aktualisiert, um immer nach aktuellen Schwachstellen zu scannen. Das Open-Source-Tool sendet seine Anfragen an frei definiere Hosts in der Infrastruktur und sucht dort Probleme in Sachen TCP, SSH, DNS, HTTP/S, SSL, Websocket, Whois und mehr. Diese Anfragen basieren auf den erwähnten Vorlagen, die bei Nuclei in YAML verfasst sind. Diese Scans bringen Schachstellen in Webanwendungen und Netzwerken zum Vor- schein, zeigen aber auch Fehlkonfigurationen im DNS. Darüber hinaus ist das Werkzeug in der Lage, sensible Daten wie Credentials im Source Code und dem lokalen Dateisystem zufinden.

1.4 LAN, WAN & Internet

1.4.1 PacketFence

Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Diese Sicherheitstechnologie ist jedoch anspruchsvoll sowohl bei der Inbetriebnahme als auch bei der weiteren Verwaltung durch den Administrator – sicher auch ein Grund, warum nur wenige Unternehmen solche Systeme etablieren. Dennoch ist NAC in Umgebungen mit vielen externen Zugängen zum LAN – sei es durch Dienstleister, Werksstudenten oder Praktikanten – ein mächtiges Werkzeug, um für Sicherheit im Netz zu sorgen. Ist sich der IT-Verantwortliche nicht sicher, ob ein NAC-System für sein Szenario passt, kann ein Test mit einer freien Software vielleicht entsprechende Erkenntnisse bringen. Ein solches Open-Source-Werkzeug ist PacketFence [Link-Code g9pe2]. Als NAC-System bietet es IT-Verantwortlichen ein Portal zur Registrierung der Clients, in dem auch die Sicherheitsmängel beseitigt werden. Pa- cketFence erlaubt die zentral für kabellose wie kabelgebundene Netze, unterstützt 802.1X ebenso wie die Isolierung problematischer Geräte auf Layer 2. Für einen weitgehend unproblematischen Start sorgt das Tool, indem es der Administrator als fertiges VMware-Image herunterladen kann, das er zum Beispiel auf einem ESX- Server oder mittels VMware-Player laufen lassen kann. Dadurch entfällt die Installation und es ist sichergestellt, dass alle Komponenten (Webserver, MySQL, Packet- Fence) Hand in Hand arbeiten. Nach der Inbetriebnahme ist zwischen drei Betriebsarten zu wählen: ARP-Manipulation, DHCP/DNS und VLAN-Isolation. Bei der ARP-Manipulation muss sich PacketFence mit einem Netzwerkinterface im selben Subnetz oder VLAN befinden wie die PCs und Laptops, die es sichern soll. Die Software betreibt in diesem Modus ARP-Poisoning und sendet jedem neuen Host gefälschte ARP-Replies für die IP-Adresse des Default-Gateways. Der getäuschte Rechner wird also Pakete, die er an sein Default-Gateway adressiert, in Wahrheit immer zum PacketFence-Host schicken. PacketFence kann so das erwähnte Portal einblenden. Im Fall der VLAN-Isolation ist Voraussetzung, dass das Tool den eingesetzten Switch administrieren kann. Der Switch ist so konfiguriert, dass alle Client- Ports per Default einem MAC-Detection-VLAN zugeordnet sind. Der Switch informiert Packet-Fence per SNMP-Traps sobald ein neuer Host auftaucht. Wie der Switch den neuen Teilnehmer erkennt, hängt vom Hersteller des Switch ab – dies ist auf der Homepage des Tools ausführlich dokumentiert. Darüber hinaus vergleicht das Tool den Netzwerkverkehr an einem Mirrorport des Switch mit Snort-Patterns und prüft auf Verstöße, die der IT-Verantwortliche selbst definiert. So ist zum Beispiel das Verwenden von P2P-Software als Verstoß interpretierbar und kann dazu führen, dass PacketFence den Benutzer ins Quarantäne-VLAN verfrachtet. Dort trifft der uneinsichtige Anwender wieder auf das Portal und erhält eine entsprechende Belehrung. Auch andere Netzwerk-Anomalitäten, die zum Beispiel auf Viren hinweisen, lassen sich als Verstoß konfigurieren. Genauso der Versuch, Verbindungen zu nicht vorhandenen IP-Subnetzen aufzubauen. Wir erwähnten eingangs, dass sich Packet- Fence für Testzwecke eignen könnte, was auch daran liegt, dass der Software einige Features fehlen, die kommerzielle Werkzeuge bieten: Hier sticht besonders die schwierige Active-Directory-Integration hervor. Auch die Verknüpfung zu Patchmanagement-Systemen könnte sich einfachergestalten.

Packetfence erlaubt zur Abgrenzung des Netzes den Einsatz selbstdefinierter "Realms".

1.4.2 Haka

Die Netzwerk- und Paketanalyse ist ein komplexes Feld, das versierte Administratoren erfordert. Wer sich auf die Nutzung von Wireshark & Co. versteht, kann dem Unternehmen, wenn es im Netzwerk einmal brennt, wertvolle Troubleshooting-Dienste leisten. Und für die Experten im Protokollwesen stellt das folgende Werkzeug ganz spezielle Dienste bereit. Die Open-Source-Programmiersprache Haka [Link-Code g0pe8] erlaubt es Netzwerkmanagern, Richtlinien auf aufgezeichneten oder im laufenden Betrieb auftretenden Datenverkehr anzuwenden. Haka versteht sich dabei als Security-Tool, das dabei hilft, unerwünschte Pakete aus dem Netz zu entfernen und bösartige Aktivitäten zu unterbinden. So erlauben die Policies dem Nutzer, Pakete zu filtern, zu verändern oder aus dem Datenstrom zu entfernen. Dabei versteht sich Haka ausdrücklich als ein Werkzeug für IT-Profis ohne Entwicklerhintergrund. Aber auch wenn keine tiefen Programmierkenntnisse erforderlich sind, dürfte eine Einarbeitung notwendig sein. Unterstützt wird Haka seit neuestem durch "Hakabana". Dieses Zusatztool visualisiert den Netzwerkverkehr und liefert so ergänzende Informationen für denHaka-Nutzer.

1.4.3 Tortilla

Der allgegenwärtigen Internetüberwachung entziehen sich zahlreiche Nutzer über TOR, dass im Browser verhindern soll, dass Dritte erfahren, welche Seiten Nutzer besuchen und von wo sie das tun. Tor funktioniert mit einer Vielzahl von Programmen, die TCP benutzen. Dazu zählen unter anderem Webbrowser, Instant-Messaging-Clients oder auch Remote-Logins. Dazu nutzt Tor ein dezentralisiertes Netzwerk, das Daten verschlüsselt und über einen zufälligen und so nicht von Dritten verfolgbaren Weg durch das Internet verteilt. Diese nützlichen Features ebnen aber auch den Weg, Tor als Sicherheitswerkzeug der IT-Abteilung einzusetzen – sofern es von einigen seiner Schwächen befreit wird. Hier setzt das Open-Source-Tool "Tortilla" [Link-Code h2pe1] aus der Crowdstrike-Entwicklung an. Das kostenlose quelloffene Tool ist für Windows in der 32- und 64-Bit-Version verfügbar. Grundsätzlich erlaubt Tortilla dem User, TCP/IP- und DNS-Datenverkehr sicher, anonym und transparent über Tor zu routen. Dies erfolgt ungeachtet der Client-Software und bedarf weder eines VPNs noch zusätzliche Hardware oder virtuelle Maschinen. Tortialla löst zwei zentrale Tor-Probleme: Zum einen macht die Software Tor auch unter anderen Browsern als Mozilla möglich. Die Nutzung des "Tor Browser Bundle" zwingt den Anwender zu Mozilla, obwohl dieser nach wie vor zahlreiche Sicherheitslücken aufweist und im Zusammenspiel mit Tor keine Plug-ins erlaubt. Kritisch sind hier mögliche Sicherheitslücken, denn – so die Tortilla-Entwickler – würde Mozilla kompromittiert werden, wäre auch der Tor-Tunnel nicht mehr sicher. Das zweite gelöste Problem behebt einen Fehler, der Datenverkehr von TCP und DNS über SOCKS-Proxy betrifft. So mit Tortilla aufgebohrt lässt sich Tor innerhalb von virtuellen Maschinen nutzen. Das macht es zu einem ausgezeichneten Werkzeug für Sicherheitsexperten, die für Angriffe präparierte Websites besuchen oder testen wollen, ohne dabei Spuren zu hinterlassen. Dazu muss das Tool nicht in der VM installiert werden, die Verbindung zum Tor-Netzwerk lässt sich auch nach dem Start der virtuellen Maschine herstellen. Die Software ist zudem ausfallsicher und kann daher vor oder nach dem Start einer VM oder von Tor selbst laufen.

1.4.4 LuLu

Unter macOS existiert eine Firewall, die das System gegen eingehende Angriffe schützen soll. Doch das Blockieren ausgehender Verbindungen, typisch etwa für Malware, die Code nachladen will oder mit ihrem Command-and-Control-Server in Verbindung tritt, ist dabei nicht vorgesehen. Hier setzt die kostenlose Firewall LuLu [Link-Code iape9] an, deren Code zudem Open Source zur Verfügung steht. Über diese Firewall, die ausgehende Verbindungen kontrolliert, lässt sich Apps der Zugriff auf das Netz verbieten. Dabei unterstützt das Tool Regeln auf Prozessebene: ein Prozess oder eine Anwendung darf sich also entweder mit dem Netzwerk verbinden oder nicht. Dabei gilt selbstverständlich wie bei anderen Firewalls, dass, wenn ein legitimer Prozess durch bösartigen Code missbraucht wird, um Netzwerkaktionen durchzuführen, dies eben erlaubt ist. Der Entwickler dieser Firewall ist Patrick Wardle, ein anerkannter IT-Sicherheitsexperte. Er hatte in der Vergangenheit einige kommerzielle Produkte, die die Lücke der macOS-Firewall schließen sollen, scharf kritisiert und schließlich seine Eigenentwicklung vorgestellt. Wobei er nicht vergisst, davor zu warnen, dass Firewalls für den ausgehenden Verkehr – LuLu eingeschlossen – grundsätzlich Probleme haben. In diesem Datenverkehr gebe es einfach zu viele Möglichkeiten, vertrauenswürdige Protokolle und Prozesse zu kapern und an einer Firewall vorbei zu schmuggeln. Deshalb vertritt Wardle die Ansicht, eine Firewall allein wäre nicht ausreichend und für die optimale Sicherheit wären weitere Sicherheitslösungen auf dem Client und auch im Netzwerk selbst erforderlich. Dennoch will es LuLu natürlich besser machen als die Konkurrenz. Nach der Installation überwacht das Tool alle Internetzugriffe von Dritthersteller-Apps. Dabei kann der Nutzer über Regeln festlegen, welche Anwendungen frei nach außen kommunizieren dürfen. Versucht ein neues Tool auf einen Server zugreifen, sieht der Nutzer ein Warnfenster und kann den Zugriff erlauben oder verweigern. Dabei überprüft das Tool die Signierung einer App und bei einem Prozess die Art der Signierung. Zudem ist eine Kontrolle über Virustotal möglich.

Über die Regeln der LuLu-Firewall steuert der macOS-Nutzer, welche Prozesse Verbindungen nach außen aufbauen dürfen.

1.4.5 Browser Security Plus