IT Sicherheitsmaßnahmen
Selbst der so übermächtige Geheimdienst der USA rät allen Usern, die modernsten Sicherheitsmaßnahmen neben den regelmäßigen Updates zu installieren: dazu gehören Secure Boot, EUFI-Boot, HP Sure Start, Bitlocker, Device Management, also alles Dienste, die wir im Rahmen von EM+S oder MS365 BusinessPremium anbieten und Ihnen bei der Implementation helfen können.
Wenn Angreifer Computer schon vor dem Windows-Start drangsalieren, hat das fatale Folgen und AV-Software ist oft machtlos. Die NSA empfiehlt die Nutzung der Schutzfunktion Secure Boot und gibt Tipps zu dessen Einrichtung und Betrieb.
Secure Boot ist Bestandteil des Unified Extensible Firmware Interface (UEFI). Das bildet die direkte Schnittstelle zwischen der Hardware und dem Betriebssystem. Secure Boot setzt schon vor dem Start von Windows an und prüft etwa, ob der Bootloader korrekt signiert ist. Einen Angriff erkennt Secure Boot und verhindert den Start des Systems. Viren-Scanner sind deshalb machtlos, da der Angriff mit einem solchen Code (Bootkit) bereits vor dem Start von Windows und somit auch des Scanners stattgefunden hat.
Um solche Attacken einzudämmen, hat die NSA nun einen 39-seitigen Bericht mit Tipps zur Secure-Boot-Nutzung veröffentlicht. Darin erklären die Autoren neben der Funktionsweise auch, wie man Secure Boot optimal konfiguriert und welche Tipps es für Admins gibt, die Funktion trotz möglicher Inkompatibilitäten mit Hard- oder Software dennoch zu aktivieren. Dabei gehen die Autoren auch in die Tiefe und erläutern unter anderem die Erzeugung von Schlüsseln und Zertifikaten mit OpenSSL, um diese im Secure-Boot-Kontext einzusetzen.
Als Grundvoraussetzung müssen BIOS-Systeme auf UEFI migriert werden, damit Secure Boot verfügbar ist. Dann muss sichergestellt werden, dass die Funktion auf allen Computern eines Unternehmens aktiv ist. Der UEFI-Zugriff muss mit sicheren Passwörtern geschützt und die Firmware regelmäßig auf den aktuellen Stand gebracht werden. Weitere Tipps finden sich im Bericht.
Quelle: Heise.de