Ziel eines Angreifers ist das Ausnutzen von Schwachstellen der Systeme – insbesondere deren Betriebssysteme – und Anwendungen gleichermaßen. Dabei stehen nicht nur Server oder Arbeitsstationen im Fokus der Angreifer. Netzwerkgeräte wie Router, Switches oder Access-Points sind vor allem in den letzten Jahren immer häufiger das Ziel von Angriffen. So spüren Security-Forscher zunehmend Schadsoftware auf Peripheriegeräten auf [1]. Geben Sie in Ihrem Unternehmen Smartphones mit Zugang zum internen Netzwerk an Ihre Mitarbeiter aus, sind auch diese Geräte potenzielle Einfallstore für Angreifer.

In der Literatur gibt es einige hundert unterschiedliche Angriffsvektoren. Davon sind manche sehr gut erforscht und Angreifern wie Verantwortlichen gut bekannt. Das macht es im Grunde einfach, sich gegen Angriffe abzusichern. Bruteforce-Angriffe auf SSH-Server, fehlende Verschlüsselung in der Kommunikation und Distributed Denial-of-Service (DDos) lassen sich etwa durch Werkzeuge wie Fail2Ban, eine Public-Key-Infrastruktur und Loadbalancer-Dienstleister wie Cloudflare gut in den Griff bekommen. Während auch der in den letzten Jahren sehr erfolgreiche CEO-Betrug durch Awareness-Kampagnen heute oft abgewehrt werden kann, gibt es gegen Angriffe mit sogenannten Zero-Day-Exploits, also unveröffentlichten Schwachstellen in Hard- oder Software, so gut wie kein effektives Gegenmittel.

In letzter Zeit werden vor allem drei unterschiedliche Angriffsvektoren in der Öffentlichkeit diskutiert. Erpressungstrojaner, sogenannte Ransomware, gelangen häufig über gefälschte E-Mails beziehungsweise infizierte E-Mail-Anhänge in Organisationsnetzwerke. Öffnet der Empfänger die vermeintlich harmlose Office-Datei im Anhang und aktiviert auch noch enthaltene Makros, kann sich der Schädling im System einnisten. Dort warten die schadhaften Programme zunächst ab und analysieren Zugriffsmuster, Arbeitszeiten, Freigaben im lokalen Netzwerk oder existierende Backup-Systeme. Haben sie genug Informationen gesammelt, beginnt der Wettlauf gegen die Zeit.

Die Schadsoftware verschlüsselt möglichst unbemerkt so viele Daten wie möglich, bestenfalls auch die zugehörigen Backups, sofern diese nicht vor entsprechendem Zugriff geschützt sind. Bemerken Sie als Verantwortlicher den Schaden, ist es oft schon zu spät. Wichtige Dateien sind verschlüsselt und Sie erhalten eine Nachricht mit der Option, den Freischaltcode für die Entschlüsselung Ihrer Daten gegen Zahlung eines Lösegelds zu erhalten. Oft bieten die Programme sogar an, testweise einzelne Dateien zu entschlüsseln. Diese Funktion wird von den Kriminellen gezielt angeboten, um das Vertrauen des Anwenders in die Funktionsfähigkeit zu stärken. Die Opfer sind dann oft deutlich eher bereit, das geforderte Lösegeld zu bezahlen.

Gestohlene Identitätsdaten sind ein weiterer Angriffsvektor, der in den letzten Jahren immer häufiger größere Schäden verursacht. Das sogenannte Account-Takeover ist gerade im Bereich von Onlineshops ein nicht zu unterschätzendes Problem. Dabei machen sich Kriminelle vor allem zunutze, dass viele Anwender auch heute noch gleiche Passwörter für den Zugang zu unterschiedlichen Diensten verwenden. Die Identitätsdaten werden aber nicht immer bei den Dienstleistern selbst erbeutet. Zwar gibt es viele große Onlinedienste, die den illegalen Zugriff auf Kundendaten durch eine Schwachstelle in Ihren Systemen eingestehen mussten – Kriminelle sind aber leider auch immer noch sehr erfolgreich beim Versand gut gefälschter Phishing-E-Mails an die Anwender. Damit erhalten sie meist zuverlässig gültige Zugangsdaten für Onlinekonten direkt aus den Händen der User selbst.

Häufig genug sind Insider Teil eines sehr erfolgreichen Angriffsvektors. Während in vielen Unternehmen der entfernte Zugriff über Firewalls, VPN und besondere Zugriffsrechte auf das lokale Netzwerk eingeschränkt ist, gilt das nicht für den physischen Zugriff auf Ressourcen vor Ort. Somit können Techniker, Reinigungspersonal oder andere Mitarbeiter mit weitreichendem Zutritt zu Büro-, Drucker- und Serverräumen auch direkten Zugriff auf die Systeme nehmen. Nicht gesperrte Benutzersitzungen, Systemboot über USB-Geräte oder installierte Hardware-Keylogger zum Abgreifen der Benutzerpasswörter stellen ein großes Risiko für die Integrität der Arbeitsplätze, Server und Drucker dar.

Sie können durch einfache Methoden die Angriffsoberfläche eines Systems verringern. Als Beispiel verwenden wir dafür ein Datenbanksystem. Im Standardfall öffnet dieses einen Netzwerk-Socket und lauscht auf allen IP-Adressen des Betriebssystems auf eingehende Verbindungen – natürlich auch auf Verbindungen aus dem Internet. Wenn Sie den Datenbankzugriff hingegen nur lokal verwenden, sollten Sie das Netzwerkinterface für den Serverprozess so auswählen beziehungsweise die lokale IP-Adresse so konfigurieren, dass kein Zugriff aus dem Internet möglich ist.

Eine am Perimeter installierte Firewall hat im Übrigen einen ähnlichen Effekt, zumindest was den Zugang aus dem  Internet angeht. Ist ein Angreifer jedoch bereits in Ihrem Netzwerk, kann diese Firewall Ihr Unternehmen nicht mehr schützen. Aber auch lokale Angreifer können Sie einschränken. In vielen Distributionen gibt es einen passwortlosen Zugriff auf das Administrator-Konto der Datenbank für lokal angemeldete Benutzer. Dieses Konto sollten Sie also ebenfalls einschränken. Mit nur wenigen Handgriffen haben Sie so die Angriffsoberfläche Ihres Datenbankservers verringert.

Microsoft hat in Windows 10 bereits mit der Version 1709 den Windows Defender Exploit Guard eingeführt. Dieser besteht aus vier unterschiedlichen Komponenten, der Attack Surface Reduction (ASR), der Network Protection, dem Controlled Folder Access und der Exploit Protection. Die Abkürzung ASR kommt bei Microsoft mehrfach zum Einsatz, so finden Sie unter ASR auch die Azure Site Recovery. In diesem Artikel nutzen wir ASR jedoch ausschließlich für die Attack Surface Reduc-tion. Diese besteht aus unterschiedlichen Maßnahmen zum Schutz vor Schadsoftware, die Ihr System über installierte Office-Programme, Skripte oder E-Mails angreifen möchte. Die Network Protection schützt Ihr System auf Basis des Defender SmartScreen und fügt diesem weitere Regeln hinzu, die ausgehenden HTTP-Datenverkehr zu solchen Zielen unterbinden, deren Domain- oder Hostnamen eine niedrige Vertrauenswürdigkeit besitzen.

Der Controlled Folder Access schützt Ihre Daten in bestimmten Ordnern vor dem Zugriff weniger vertrauenswürdiger Programme auf Ihrem System. Dieses Feature können Sie im Security-Center des Win­dows Defender konfigurieren. Beim Zugriff eines Programms aus nicht vertrauenswürdiger Quelle auf einen der von Ihnen geschützten Ordner erhalten Sie die Meldung "Zugriff verweigert" des Windows Defender. Die Exploit Protec-tion ist der logische Nachfolger des Enhanced Mitigation Experience Toolkits (EMET) und bietet zusätzliche Features wie den Code Integrity Guard, die Blockade von Win32k-Systemaufrufen oder eine Integritätsprüfung des Heap-Speicherbereichs. Alle Sicherheitsfeatures des Windows Defender Exploit Guard können Sie nach Aktivierung auf der eigens dafür eingerichteten Demo-Webseite [2] von Microsoft ausprobieren.

Der volle Umfang von ASR steht nur mit einer Lizenz für Windows 10 Enterprise zur Verfügung. Einige der Regeln lassen sich aber auch in anderen Versionen nutzen. Für das Aktivieren und Konfigurieren der ASR-Regeln auf Ihren Systemen haben Sie unterschiedliche Möglichkeiten: Microsoft Intune, Mobile Device Management (MDM), Microsoft Endpoint Configuration Manager, Gruppenrichtlinien und die PowerShell. Je nachdem, welches Werkzeug Sie üblicherweise für die Konfiguration Ihrer Maschinen verwenden, gestaltet sich die Aktivierung der Regeln unterschiedlich komfortabel.

Im Bild auf der nächsten Seite sehen Sie die unterschiedlichen ASR-Regeln im Endpoint Configuration Manager. Dort erhalten Sie weitere Informationen zu den Auswirkungen der unterschiedlichen Regeln. Auch wenn es auf den ersten Blick sinnvoll erscheint, alle Regeln zu aktivieren, sollten Sie abhängig von der tatsächlichen Tätigkeit Ihrer Mitarbeiter auf dem betroffenen System unterschiedliche Regelsätze definieren. Dabei können Sie für jede Regel unterschiedliche Aktionen wählen. Um zunächst die Auswirkungen unterschiedlicher Regeln zu überprüfen, wählen Sie den Audit-Modus. Sie können dann im Ereignis-Log zunächst die Effekte der einzelnen Regeln kontrollieren.

Möchten Sie zunächst ohne die verfüg­baren Device-Management-Werkzeuge ASR-Regeln auf einzelnen Systemen aus­probieren, bietet sich die PowerShell als schnelle Alternative zum Testen an. Im Gegensatz zu den grafischen Oberflächen benötigen Sie bei der Auswahl der Regeln in der PowerShell die für jede Regel vergebene GUID. Von Windows Defender kennen Sie bereits die PowerShell-Cmdlets Get-, Set- und Add-MpPreference. Mit diesen können Sie etwa für einzelne Ordner oder Prozesse Ausnahmen in der Überwachung definieren.

Mit der Einführung der Attack Surface Reduction können Sie damit auch die Aktionen für die ASR-Regeln verändern. Mit dem Parameter "AttackSurfaceReductionRules_Ids" geben Sie eine oder mehrere der GUIDs an, für die Sie den Status ändern möchten. Den neuen Status übergeben Sie mit dem Parameter "AttackSurfaceReductionRules_Actions". Für drei unterschiedliche Regeln könnten Sie dann die Aktionen wie folgt konfigurieren, wenn Sie die erste Regel deaktivieren, die zweite Regel aktivieren und für die dritte Regel die Überprüfung abschalten möchten:

Dabei müssen Sie beachten, dass Sie die Aktion für jede Regel mit einem Komma getrennt angeben müssen, auch dann, wenn es für alle Regeln dieselbe Aktion sein soll.

Möchten Sie den Schutz durch die ASR-Regeln für einzelne Objekte ausschalten, können Sie diese mit dem Parameter "AttackSurfaceReductionOnlyExclusions" angeben. Geben Sie als Argument den absoluten Pfad zu einem Verzeichnis oder einem Programm an. Beachten Sie dabei den Unterschied zwischen den Aufrufen von "Set-MpPreference" und "Add-MpPreference". Mit dem ersten Aufruf wird die existierende Liste der Ausnahmen komplett gelöscht und eine neue Ausnahmeliste mit den übergebenen Werten angelegt. Möchten Sie hingegen einzelne Objekte als Ausnahme einer bestehenden Liste hinzufügen, verwenden Sie dafür das zweite Cmdlet.

Insgesamt definiert Microsoft 15 unterschiedliche ASR-Regeln für die Ausführung von Inhalten aus empfangenen E-Mails oder aus Office heraus und von Skriptdateien. In den nachfolgenden Abschnitten erläutern wir für diese Regeln die GUID und die Auswirkung der Regelanwendung.

Die Regel mit der GUID "BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550" verhindert die Ausführung von Programmen und Skripten, JavaScript ebenso wie Visual Basic oder PowerShell, wenn diese aus Outlook oder von Outlook.com gespeichert werden. Microsoft verspricht dabei, dass auch Dateianhänge von E-Mails anderer Webmail-Provider geschützt seien, eine Übersicht unterstützter Provider ist in der Dokumentation aber nicht zu finden. Outlook selbst können Sie mit der Regel "26190899-1602-49E8-8B27-EB1D0A1CE869" beim Erstellen von Kindprozessen deutlich einschränken.

Zum Schutz Ihres Systems aus Office-Anwendungen heraus gibt es unterschiedliche Regeln. Mit der Aktivierung der GUID "D4F940AB-401B-4EFC-AADC-AD5F3C50688A" verhindern Sie, dass Office-Anwendungen weitere Kindprozesse starten. Damit werden also solche Makros eingedämmt, die Dateien aus dem Internet nachladen und ausführen. Diese Regel führt mitunter dazu, dass auch legitime Programme und Makros, die Sie als Erweiterung Ihres Office-Pakets nutzen, nur eingeschränkt arbeiten. Dafür lassen sich aber wie zuvor bereits beschrieben Ausnahmen definieren, die Sie natürlich wohlüberlegt einsetzen sollten.

Um zu verhindern, dass aus Office heraus Schadsoftware auf der Festplatte Ihres Systems gespeichert wird, also für die spätere manuelle Ausführung etwa durch einen Ihrer Mitarbeiter, aktivieren Sie die Regel mit der GUID "3B576869-A4EC-4529-8536-B80A7769E899". Mit dem Aktivieren verhindern Sie automatisch eine sehr häufig eingesetzte Methode zum dauerhaften Einnisten von Schadsoftware auf einem System. Aufrufe der Win32-API aus den Office-Anwendungen heraus blockieren Sie durch die Regel "92E97FA1-2EDF-4476-BDD6-9DD0­B4DDDC7B". Damit verhindern Sie das direkte Ausführen von Schadsoftware – ohne dass diese vorher auf die Festplatte geschrieben wurde.

Sie verhindern den Zugriff auf Bereiche des Arbeitsspeichers fremder Prozesse und damit das Einschleusen von Schadsoftware in andere laufende Prozesse aus Microsoft Office heraus, indem Sie die Regel mit der GUID "75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84" aktivieren. Diese können Sie zumeist gefahrlos anwenden, es gibt so gut wie keine legitime Software für Unternehmen, die eine solche Funktionalität implementiert.

Skripte, die etwa zum Download und anschließenden Installation von Schadsoftware auf einem System genutzt werden, verhindern Sie mit der Aktivierung der folgenden beiden Regeln: Mit der GUID "D3E037E1-3EB8-44C8-A917-57927947­596D" blocken Sie JavaScript in der Form, dass keine aus dem Internet oder von einem anderen internen System heruntergeladenen Inhalte ausgeführt werden können. Die GUID "5BEB7EFE-FD9A-4556-801D-275E5FFC04CC" verhindert die Ausführung von Skripten, wenn darin Methoden zur Verschleierung des Quellcodes erkannt werden.

Die Ausführung unbekannter oder bisher ungenutzter Software auf Ihren Systemen verhindern Sie mit der Regel hinter der GUID "01443614-CD74-433A-B99E-2ECDC07BFC25". Diese wird jedoch nur dann aktiv, wenn Sie zugleich auch die Cloud-Delivery-Protection von Microsoft Defender aktivieren. Das erreichen Sie mit dem Kommando

Die somit aktivierte Cloud-Delivery-Protection benötigen Sie auch bei der folgenden Regel mit der GUID "C1DB55AB-C21A-4637-BB3F-A12568109D35". Diese verhindert, dass ausführbare Dateien auf Ihr System gelangen, die Microsoft als potenzielle Ransomware klassifiziert. Bei den Ausführungsverhinderungen müssen Sie immer im Hinterkopf behalten, dass die Liste der Ausnahmen, die Sie vielleicht bei einer der vorherigen Regeln bereits erweitert haben, bei der Prüfung für alle Regeln gleichermaßen gelten.

Die Nutzung von Analysewerkzeugen wie Mimikatz [3] zum Abgreifen gültiger Log-in- oder Sitzungsdaten über den Local Security Authority Subsystem Service (LSASS) schränken Sie mit der Regel "9E6C4E1F-7D60-472F-BA1A-A39EF­669E4B2" ein. Microsoft selbst erwähnt in der Dokumentation zu dieser Regel, dass sie unter Umständen viele Fehlalarme erzeugen kann, weil auch die legitime Nutzung der LSASS-Schnittstelle etwa beim Erstellen eines Kindprozesses durch die Anwendung der Regel eingeschränkt wird.

Als Administrator kennen Sie die Vorzüge der Remote-Ausführung mit Werkzeugen wie PsExec oder der WMI. Da diese Techniken sehr regelmäßig auch von Schadsoftware-Autoren genutzt werden, können Sie die Remote-Ausführung mit der ASR-Regel "D1E49AAC-8F56-4280-B9BA-993A6D77406C" einschränken. Das Gleiche gilt für die Ausführung von Programmen, die von externen Speichermedien wie einem USB-Stick gestartet werden. Die Regel mit der GUID "B2B­3F03D-6A65-4F7B-A9C7-1C7EF7­4A9B­A4" schränkt die Ausführungsrechte von Programmen oder Skripten, die auf externen Geräten gespeichert sind, ein.

Die dauerhafte Installation von Malware mittels WMI-Event-Benachrichtigungen – beziehungsweise entsprechend konfigurierter Trigger-Funktionen für bestimmte Events – verhindern Sie mit der Regel "E6DB77E5-3DF2-4CF1-B95A-636979351E5B". Diese Regel steht Ihnen derzeit jedoch nur bei der Verwendung von Gruppenrichtlinien oder der PowerShell zur Verfügung, da es in den grafischen Werkzeugen noch keinen Namen, und damit auch keinen Zugriff auf die Konfiguration dieser Regel gibt. Offiziell ist sie daher in der Microsoft-Dokumentation als nicht unterstützt aufgeführt.

Als einziges Programm, das nicht von Microsoft stammt, können Sie mit der Regel "7674BA52-37EB-4A4F-A9A1-F0F9A­1619A2C" auch den Adobe Reader in seiner Funktionalität einschränken. Insbesondere bei gezielten Social-Engineering-Angriffen über E-Mails, aber auch bei klassischem Spam befindet sich die Schadsoftware häufig in PDF-Dateien versteckt. Oft finden diese ihren Weg zu den Nutzern in komprimierten Archiven, um an der zentralen Firewall vorbeizukommen. Daher kann es für Sie durchaus sinnvoll sein, die Fähigkeit zum Starten von Kindprozessen für den Adobe Reader einzuschränken.

Wenn Ihnen die Eingabe der GUIDs für den Aufruf des Cmdlet zu kompliziert ist, finden Sie auf Gitlab entsprechende quelloffene Werkzeuge, die Sie bei der Auswahl und Aktivierung der Regeln unterstützen [4]. Aus dem Repository können Sie die ausführbare Datei beziehungsweise das PowerShell-Skript herunterladen und ausführen, sofern Sie nicht bereits die Ausführung heruntergeladener Inhalte mittels ASR verhindern.

Um die Effktivität der verfügbaren ASR-Regeln zu überprüfen, bietet es sich an, die bereits erwähnte von Microsoft zur Verfügung gestellte Webseite mit Beispielen [2] zu besuchen. Dort erhalten Sie als registrierter Benutzer für jede ASR-Regel entsprechende Testdateien, die Sie auf Ihrem System mit aktiviertem ASR-Regelsatz nicht öffnen oder starten können sollten. So lernen Sie auch die Einträge in der Ereignisanzeige und die Warnungen des Microsoft Defender kennen.

Für den Einsatz auf Produktivsystemen sollten Sie zunächst alle Regeln im Audit-Modus konfigurieren. So stellen Sie schnell fest, welche Aktivitäten Ihrer Mitarbeiter mit den ausgewählten ASR-Regeln kollidieren. Anschließend passen Sie die Regelsätze für die Verteilung über Ihr Device-Management an und verteilen diese auf die relevanten Systeme.

Microsoft hat über die letzten Jahre hinweg immer wieder neue Ansätze zum Schutz vor Schadsoftware entwickelt. Nicht alle davon sind am Ende erfolgreich gewesen. Grundsätzlich sollten Sie auch über Ihre Win­dows-Systeme hinaus die Angriffsoberfläche des gesamten Unternehmensnetzwerks im Blick haben. Die in diesem Artikel beschriebene Attack Surface Reduction als Teil des Windows Defender Exploit Guard deckt zwar nur einen kleinen Bereich möglicher Angriffspunkte ab, wenngleich es sich dabei um sehr häufig genutzte Methoden der Angreifer handelt. Darüber hinaus bietet Ihnen die ASR einen einfachen Einstieg und kann im Einsatz sinnvolle Maßnahmen zum Schutz Ihrer gesamten IT-Infrastruktur treffen. Dieser Workshop hat Ihnen die Funktionsweise der ASR-Regeln aufgezeigt und deren Verwendung dargestellt.