Kurzanleitung zur Nutzung der Konfigurations-Toolkits für Windows

Die Toolkits bestehen aus einer Reihe von Skript-Dateien, welche benutzt werden können, um ein Windows-System robust gegen internetbasierte Angriffe zu machen.

Komplettkonfigurationen

Teilkonfigurationen
 

In Abhängigkeit vom Ziel der Systemkonfiguration können diese Skripte benutzt werden, um die Systemsicherheit zu erhöhen.

QuickWinSec.bat

Vorbereitung und Start 

  1. Überprüfen Sie die Systemvoraussetzung
    • Windows Vista/Windows Server 2008 oder höher.
    • Administrative Kommandozeile.
  2. Laden Sie sich das Skript QuickWinSec.bat von https://softsrv.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/QuickWinSec.cab herunter.
  3. Öffnen Sie eine Kommandozeile mit administrativen Rechten, indem Sie die rechte Maustaste auf den Shortcut "Eingabeaufforderung" unter "START -> Alle Programme -> Zubehör" drücken und anschließend den Befehl "Als Administrator ausführen" auswählen.
  4. Enpacken Sie das Archiv mit dem Befehl "expand QuickWinSec.cab -F:* C:\Windows\TEMP" oder mit dem Windows Explorer.
  5. Passen Sie die Zielkonfiguration an Ihr System an, s. Abschnitt "Anpassen der Zielkonfiguration"
  6. Starten Sie die Konfiguration mit dem Aufruf "QuickWinSec.bat i".

Standardzielkonfiguration

Folgende Änderungen werden am System durchgeführt, wenn Sie die QuickWinSec.bat unangepasst ausführen.

  • Versiegeln des Systems per Software Whitelisting:

    Das Laden von Programmen und DLLs ist standardmäßig verboten und für Standardbenutzer nur aus zugelassenen Verzeichnissen (%SystemDrive%\Program files und %SystemDrive%\Windows) erlaubt.
    Administratoren dürfen Programme und DLLs aus beliebigen Verzeichnissen starten, aber nicht automatisch, sondern erst nach einer Heraufstufung des jeweiligen Programms per UAC-Zustimmungsabfrage durch den Kontextmenübefehl "Als Administrator ausführen" des jeweiligen Programmes.
     
  • Isolieren vom Internet per Windows Firewall wie folgt:
     
    Eingehender Netzwerkverkehr ist grundsätzlich verboten und nur für festgelegte Ausnahmen auf das lokale Subnetz beschränkt. Ausgehender Netzwerkverkehr ist grundsätzlich erlaubt.
       
  • Herabstufen aller administrativen Konten:
     
    Die automatische Nutzung von administrativen Rechten für administrative Konten ist abgeschaltet.
     
  • Installation von Microsoft Security Essentails (Optional)

Eine ausführliche Beschreibung der Änderungen, die vom Skript QuickWinSec.bat durchgeführt werden, finden Sie unter: Schnellabsicherung von Windows.

Alle Änderungen des Skriptes können mit dem Aufruf "QuickWinSec.bat u" rückgängig gemacht werden.

Anpassen der Zielkonfiguration

Konfiguration ohne Versiegeln des Systems

  • Legen Sie eine Datei namens quickwinsec.cfg im Pfad der QuickWinSec.bat an.
  • Fügen Sie folgende Zeile in die Datei quickwinsec.cfg ein:
     
    SEAL=0
     
  • Das System wird nicht per Software Whitelisting versiegelt.
     
  • Starten Sie das Konfigurationsskript "QuickWinSec.bat"

Konfiguration mit Software Restrictions anstatt mit Applocker

Legen Sie eine Datei namens quickwinsec.cfg im Pfad der QuickWinSec.bat an.

  • Fügen Sie folgende Zeile in die Datei quickwinsec.cfg ein:
     
    SRPv2Support=0
      
  • Die Versiegelung des Systems wird mit Software Restrictions und nicht mit Applocker ausgeführt.
     
  • Starten Sie das Konfigurationsskript "QuickWinSec.bat"

Isolierung vom Internet: ConfigFW.bat

Vorbereitung und Start

  1. Überprüfen Sie die Systemvoraussetzung
    • Windows Vista/Windows Server 2008 oder höher.
    • Administrative Kommandozeile.
  2. Laden Sie sich das Skript ConfigFW.bat von https://softsrv.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/ConfigFW.cab  herunter.
  3. Öffnen Sie eine Kommandozeile mit administrativen Rechten, indem Sie die rechte Maustaste auf den Shortcut "Eingabeaufforderung" unter "START -> Alle Programme -> Zubehör" drücken und anschließend den Befehl "Als Administrator ausführen" auswählen.
  4. Enpacken Sie das Archiv mit dem Befehl "expand configfw.cab -F:* C:\Windows\TEMP" oder mit dem Windows Explorer.
  5. Passen Sie die Zielkonfiguration an Ihr System an, s. Abschnitt "Anpassen der Zielkonfiguration"
  6. Starten Sie die Konfiguration mit dem Aufruf "ConfigFW.bat".

Standardzielkonfiguration

Folgende Änderungen werden am System durchgeführt, wenn Sie die ConfigFW.bat unangepasst ausführen.

  • Isolierung vom Internet per Windows Firewall wie folgt:

    sämtlicher eingehender und ausgehender Verkehr ist abgeschaltet,
    außer für folgende Ausnahmen:

    eingehender und ausgehender Verkehr für alle vorhandenen Regeln der Windows Firewall ist für alle Adressen des lokalen Subnetzes erlaubt
    ausgehender ICMP-Verkehr ist weltweit erlaubt
    ausgehender DNS-Verkehr auf UDP Port 53 ist weltweit erlaubt
    ausgehender DHCP-Verkehr auf UDP Port 67 ist weltweit erlaubt
    ausgehender NTP-Verkehr auf UDP Port 123 ist weltweit erlaubt
    ausgehender HTTP/HTTPS-Verkehr für den Prozess %systemroot%\system32\svchost.exe ist weltweit erlaubt
    ausgehender RDP-Verkehr für den Prozess %systemroot%\system32\mstsc.exe ist weltweit erlaubt
    ausgehender SSH-Verkehr für den Prozess %systemdrive%\Soft\Tools\putty.exe ist weltweit erlaubt
    beliebiger ausgehender Verkehr ist für folgende Anwendungen erlaubt:
    - Internet Explorer 

    Firewall-Logdateien werden in das Verzeichnis C:\Logs\Firewall geschrieben.

Eine ausführliche Beschreibung des Inhaltes des ConfigFW.cab Archives finden Sie unter: WinConfig-Toolkit.

Weitere nützliche Kommandos zum Umgang mit der Firewall sind:

SortFWLogs.bat - Separieren der Firewall-Logdatei in einzelne Logdateien für abgewiesene, zugelassene, empfangene, gesendete und nicht aufgezeichnete Verbindungen

  • Starten Sie den Prozess mit dem Aufruf "SortFWLogs.bat"

    Folgende Dateien werden unter C:\Logs\Firewall erzeugt:

    FW_ALLOW.txt
    FW_DROP.txt
    FW_INFO-EVENTS-LOST.txt
    FW_RECEIVE.txt
    FW_SEND.txt


ConfigFWAudit.bat - Ein/Auschalten der Aufzeichnung von Firewallereignissen in das Sicherheits-Eventlog

  • Einschalten der Aufzeichnung von Firewallereignissen in das Sicherheits-Eventlog

    ConfigFWAudit.bat 1
     
  • Ausschalten der Aufzeichnung von Firewallereignissen in das Sicherheits-Eventlog

    ConfigFWAudit.bat 0

 
ControlFW.bat - Konfigurieren von globalen Firewall-Parametern, z.B. nur definierten ausgehenden Verkehr zulassen

  • Zulassen von beliebigem ausgehenden ausgehenden Verkehr, jeglicher ausgehender Verkehr ist erlaubt.

    ControlFW.bat outrulesoff
     
  • Deaktivierung von beliebigem ausgehenden Verkehr, nur definierte Ausnahem sind erlaubt.
     
    ControlFW.bat outruleson

Anpassen der Zielkonfiguration

Anpassen der Proxy-Serveradresse

Legen Sie eine Datei namens configfw.cfg im Pfad der ConfigFW.bat an.

  • Fügen Sie folgende Zeile in die Datei configfw.cfg ein:
     
    ###############################
    #Proxy-Serveradresse
    ###############################
    PROXYSERVER=192.168.100.20
     
  • Dadurch wird benutzte Proxy-Server des Systems auf die IP-Adresse 192.168.100.20 konfiguriert.
     
  • Starten Sie das Konfigurationsskript "ConfigFW.bat"

Abschalten des Proxy-Servers und Einschalten des direkten ausgehenden Zugriffes auf das Internet für die Protokolle FTP, HTTP und HTTPS

Legen Sie eine Datei namens configfw.cfg im Pfad der ConfigFW.bat an.

  • Fügen Sie folgende Zeilen in die Datei configfw.cfg ein:
     
    ###############################
    #Proxy-Server Ein/Aus
    ###############################
    USEPROXY=0

  • Dadurch wird der Proxy-Serverzugriff deaktviert und der direkte ausgehende Zugriff auf das Internet für die Protokolle FTP,HTTP und HTTPS aktiviert.
     
  • Starten Sie das Konfigurationsskript "ConfigFW.bat"

Zulassen von IP-Adressen auf den Remote Desktop Port 3389

  • Legen Sie eine Datei namens configfw.cfg im Pfad der ConfigFW.bat an.
  • Fügen Sie folgende Zeile in die Datei configfw.cfg ein:
     
    ###############################
    #Eingehende RDP-Zugriffe
    ###############################
    RDIPs=192.168.100.20/32,10.20.30.0/24
     
  • Dadurch wird der eingehende Zugriff auf den Remote Desktop Port 3389 für die IP-Adresse 192.168.100.20 und das gesamte Subnetz 10.20.30.0 erlaubt.
     
  • Starten Sie das Konfigurationsskript "ConfigFW.bat"

Zulassen von IP-Adressen auf alle geöffneten Ports

  • Legen Sie eine Datei namens configfw.cfg im Pfad der ConfigFW.bat an.
  • Fügen Sie folgende Zeile in die Datei configfw.cfg ein:
     
    ###############################
    # Zugelassene IP-Adressen
    ###############################
    ALLOWEDIPs=192.168.100.20/32,10.20.30.0/24

     
  • Dadurch wird der eingehende Zugriff auf alle geöffneten Ports des Firewalls für die IP-Adresse 192.168.100.20 und das gesamte Subnetz 10.20.30.0 erlaubt.
     
  • Starten Sie das Konfigurationsskript "ConfigFW.bat"

Abschalten des Firewalls für bestimmte IP-Adressen

  • Legen Sie eine Datei namens configfw.cfg im Pfad der ConfigFW.bat an.
  • Fügen Sie folgende Zeile in die Datei configfw.cfg ein:
     
    ###############################
    #Vertrauenswürdige IP-Adressen
    ###############################
    TRUSTEDIPs=192.168.100.20/32,10.20.30.0/24
     
  • Dadurch das Firewall für die IP-Adresse 192.168.100.20 und das gesamte Subnetz 10.20.30.0 abgeschaltet.
     
  • Starten Sie das Konfigurationsskript "ConfigFW.bat"

Öffnen von bestimmten ausgehenden und eingehenden Ports im Firewall

  • Legen Sie eine Datei namens fw_rules.cfg im Pfad %Systemdrive%\Logs\WinConfig an.
  • Fügen Sie folgende Zeilen in die Datei fw_rules.cfg ein:
     
    #################################
    #Ausgehende RDP-Zugriffe
    #################################
    192.168.100.20/32,10.20.30.0/24 3389;TCP;OUT
     
  • Dadurch wird der ausgehende Zugriff auf den Remote Desktop Port 3389 auf die IP-Adresse 192.168.100.20 und auf das gesamte Subnetz 10.20.30.0 erlaubt.
     
    ###############################
    #Eingehende HTTPS-Zugriffe
    ###############################
    192.168.100.20/32,10.20.30.0/24;443;TCP;IN

     
  • Dadurch wird der eingehende Zugriff auf den https Port 443 von der IP-Adresse 192.168.100.20 und von dem gesamte Subnetz 10.20.30.0 erlaubt.
        
  • Starten Sie das Konfigurationsskript "ConfigFW.bat"

Versiegelung des Systems: Applocker-Toolkit

Vorbereitung und Start 

  1. Überprüfen Sie die Systemvoraussetzung
  2. Öffnen Sie eine Kommandozeile mit administrativen Rechten, indem Sie die rechte Maustaste auf den Shortcut "Eingabeaufforderung" unter "START -> Alle Programme -> Zubehör" drücken und anschließend den Befehl "Als Administrator ausführen" auswählen.
     
  3. Führen Sie folgende Kommandos aus:


    Deaktivieren der 2 MB Größenbeschränkung von Gruppenrichtliniendateien registry.pol
     
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy" /v DisableBufferingOfPolicyReads /t REG_DWORD /d 0x1 /f

    Folgende Kommandos sind nur unter Windows 7 Enterpise/Ultimate und Windows Server 2008 R2 für die Funktion von Applocker nötig:
     
    sc config AppIDSvc start= auto
    sc start AppIDSvc

     
  4. Laden Sie sich das Skript WinConfig.bat von https://softsrv.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/ApplockerToolKit.cab   herunter.
  5. Enpacken Sie das Archiv in ein Verzeichnis Ihrer Wahl z.B. mit dem Befehl "expand applockertoolkit.cab -F:* C:\Soft\Tools" oder mit dem Windows Explorer.
     
  6. Passen Sie die Zielkonfiguration an Ihr System an, s. Abschnitt "Anpassen der Zielkonfiguration"
     
  7. Starten Sie die Versiegelung mit dem Aufruf "srp-sealsystem.bat".

Standardzielkonfiguration

Folgende Aktionen werden am System durchgeführt, wenn Sie die entsprechenden Skripte des Applocker-Toolkits unangepasst ausführen.

  • Software Whitelist Status anzeigen
     
    SRP-Status.bat 
     
  • Software Whitelist deaktivieren
     
    SRP-Disable.bat
      
  • Software Whitelist aktivieren
     
    SRP-Enable.bat
     
  • System "versiegeln"
     
    SRP-SealSystem.bat 
     
      
  • Programm in die Software Whitelist aufnehmen
     
    SRP-Hashobject.bat C:\Soft\Apps\SuperEditor\supereditor.exe
     
  • Verzeichnisinhalt in die Software Whitelist aufnehmen
     
    SRP-Hashobjects.bat C:\Soft\Apps\SuperTools
     
  • Applocker Logging in das Eventlog aktivieren
     
    SRP-ConfigAudit.bat 1
     
  • Applocker Logging in das Eventlog deaktivieren
     
    SRP-ConfigAudit.bat 0

Eine ausführliche Beschreibung des Applocker-Toolkits finden Sie unter Skriptbasierte "Versiegelung" des System mittels Applocker - keine 0-Day-Exploits mehr.

Anpassen der Zielkonfiguration

Abschalten der Rekonfiguration der Anti-Virus Software Sophos-AV

Wie kann ich das Abschalten/Einschalten des On-Access-Scanners von Sophos Anti-Virus durch das SRP-Enable.bat/SRP-Disable-Skript unterbinden?

Passen Sie die Variable ConfigAV für die Skripte SRP-Enable.bat und/oder SRP-Disable.bat an.

Dazu gehen Sie wie folgt vor:

  1. Legen Sie eine leere Datei namens SRP-Enable.cfg und/oder SRP-Disable.cfg  im Verzeichnis der Skripte SRP-Enable.bat und SRP-Disable.bat (standardmäßig in C:\Soft\Tools) oder im Pfad C:\Logs\WinConfig an.
      
  2. Fügen Sie folgende Zeile in die entsprechende cfg-Datei ein, um eine Rekonfiguration des Sophos On-Access Scanners zu unterbinden:

    ConfigAV=0
     

Veränderung der Liste der durchsuchten Verzeichnisse für den Aufbau der Software Whitelist

  1. Passen Sie die Variable $Dirs für die Skripte SRPv1.ps1 und/oder SPRv2.ps1 an.

    Dazu gehen Sie wie folgt vor:

    Legen Sie eine leere Datei namens SRPv1.cfg (alle Betriebssysteme vor Windows 7/Windows Server 2008 R2) oder SRPv2.cfg (alle Betriebssysteme ab Windows 7/Windows Server 2008 R2) im Verzeichnis der Skripte SRPv1.ps1/SRPv2.ps1 (standardmäßig in C:\Soft\Tools) oder im Pfad C:\Logs\WinConfig an.
      
  2. Fügen Sie folgende Zeile in die entsprechende cfg-Datei ein, um
     
    a) die Variable $Dirs zu überschreiben:

    $Dirs="D:\Soft\Apps","D:\Soft\Tools","D:\Program Files","D:\Windows"

    b) die Variable $Dirs zu erweitern:

    $Dirs+="C:\MyApps" 
     
  3. Versiegeln Sie das System mit dem Skript SRP-SealSystem.bat erneut.

WinConfig.bat

Vorbereitung und Start 

  1. Überprüfen Sie die Systemvoraussetzung
    • Windows 8/Windows Server 2012 oder höher.
    • Administrative Kommandozeile.
  2. Laden Sie sich das Skript WinConfig.bat von https://softsrv.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/WinConfig.cab  herunter.
  3. Öffnen Sie eine Kommandozeile mit administrativen Rechten, indem Sie die rechte Maustaste auf den Shortcut "Eingabeaufforderung" unter "START -> Alle Programme -> Zubehör" drücken und anschließend den Befehl "Als Administrator ausführen" auswählen.
  4. Enpacken Sie das Archiv mit dem Befehl "expand winconfig.cab -F:* C:\Windows\TEMP" oder mit dem Windows Explorer.
  5. Passen Sie die Zielkonfiguration an Ihr System an, s. Abschnitt "Anpassen der Zielkonfiguration"
  6. Starten Sie die Konfiguration mit dem Aufruf "winconfig.bat".

Standardzielkonfiguration

Folgende Änderungen werden u.a. am System durchgeführt, wenn Sie die winconfig.bat unangepasst ausführen.

  • Isolierung vom Internet per Windows Firewall wie folgt:

    sämtlicher eingehender und ausgehender Verkehr ist abgeschaltet,
    außer für folgende Ausnahmen:

    eingehender und ausgehender Verkehr für alle vorhandenen Regeln der Windows Firewall ist für alle Adressen des lokalen Subnetzes erlaubt
    ausgehender ICMP-Verkehr ist weltweit erlaubt
    ausgehender DNS-Verkehr auf UDP Port 53 ist weltweit erlaubt
    ausgehender NTP-Verkehr auf UDP Port 123 ist weltweit erlaubt
    ausgehender FTP-Verkehr zu ftp.uni-rostock.de ist erlaubt
    ausgehender HTTP-Verkehr zu proxy.uni-rostock.de auf Port 8080 ist erlaubt
    ausgehender FTP, HTTP und HTTPS wird über einen Proxy-Server gelenkt

    Dabei wird die aktuelle Windows Firewall- und IPsec-Konfiguration gesichert und anschließend überschrieben.

    Die Firewall-Konfiguration ist einfach anpassbar, s. weiter unten Abschnitt  "ConfigFW.bat".
      
  • Versiegelung des Systems per Software Whitelisting
  • Installation aller aktuellen Windows Updates
  • Installation von Sophos-AV

Eine ausführliche Beschreibung der Änderungen, die vom Skript winconfig.bat durchgeführt werden, finden Sie unter: WinConfig-Toolkit.

Anpassen der Zielkonfiguration

Zulassen von IP-Adressen auf den Remote Desktop Port 3389

  • Legen Sie eine Datei namens winconfig.cfg im Pfad der WinConfig.bat an.
  • Fügen Sie folgende Zeile in die Datei winconfig.cfg ein:
     
    RDIPs=192.168.100.20/32,10.20.30.0/24
     
  • Dadurch wird der eingehende Zugriff auf den Remote Desktop Port 3389 für die IP-Adresse 192.168.100.20 und das gesamte Subnetz 10.20.30.0 erlaubt.
     
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Zulassen von IP-Adressen auf alle geöffneten Ports

  • Legen Sie eine Datei namens winconfig.cfg im Pfad der WinConfig.bat an.
  • Fügen Sie folgende Zeile in die Datei winconfig.cfg ein:
     
    ALLOWEDIPs=192.168.100.20/32,10.20.30.0/24
     
  • Dadurch wird der eingehende Zugriff auf alle geöffneten Ports des Firewalls für die IP-Adresse 192.168.100.20 und das gesamte Subnetz 10.20.30.0 erlaubt.
     
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Abschalten des Firewalls für bestimmte IP-Adressen

  • Legen Sie eine Datei namens winconfig.cfg im Pfad der winconfig.bat an.
  • Fügen Sie folgende Zeile in die Datei winconfig.cfg ein:
     
    TRUSTEDIPs=192.168.100.20/32,10.20.30.0/24
     
  • Dadurch das Firewall für die IP-Adresse 192.168.100.20 und das gesamte Subnetz 10.20.30.0 abgeschaltet.
     
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Öffnen von bestimmten ausgehenden und eingehenden Ports im Firewall

  • Legen Sie eine Datei namens fw_rules.cfg im Pfad der WinConfig.bat an.
  • Fügen Sie folgende Zeilen in die Datei fw_rules.cfg ein:
     
    192.168.100.20/32,10.20.30.0/24 3389;TCP;OUT
     
  • Dadurch wird der ausgehende Zugriff auf den Remote Desktop Port 3389 auf die IP-Adresse 192.168.100.20 und auf das gesamte Subnetz 10.20.30.0 erlaubt.

    192.168.100.20/32,10.20.30.0/24;443;TCP;IN
     
  • Dadurch wird der eingehende Zugriff auf den https Port 443 von der IP-Adresse 192.168.100.20 und von dem gesamte Subnetz 10.20.30.0 erlaubt.
       
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Konfiguration ohne Versiegeln des Systems

  • Legen Sie eine Datei namens winconfig.cfg im Pfad der WinConfig.bat an.
  • Fügen Sie folgende Zeile in die Datei winconfig.cfg ein:
     
    SEAL=0
     
  • Das System wird nicht per Software Whitelisting versiegelt.
     
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Konfiguration ohne Installation von Windows Updates

  • Legen Sie eine Datei namens winconfig.cfg im Pfad der WinConfig.bat an.
  • Fügen Sie folgende Zeile in die Datei winconfig.cfg ein:
     
    WUINS=0
     
  • Es werden keine Windows Updates installiert.
     
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Konfiguration ohne Installation einer Anti-Virus Software

Legen Sie eine Datei namens winconfig.cfg im Pfad der WinConfig.bat an.

  • Fügen Sie folgende Zeile in die Datei winconfig.cfg ein:
     
    AVINS=0
      
  • Es wird keine AV-Software installiert.
     
  • Starten Sie das Konfigurationsskript "WinConfig.bat"

Bei Fragen oder Hinweisen zu diesem Dokument melden Sie sich bitte per E-Mail bei joerg.maletzky(at)uni-rostock.de.