Windows Vista: Sicherheit

Schutz vor Malware

Unter Malware – einer Zusammensetzung aus malicious (boshaft) und Software bezeichnet man Computerprogramme die vom Anwender unerwünschte Funktionen ausführen. In diese Kategorie fallen sowohl Computerviren als auch Würmer, Viren, Spyware (die ohne Erlaubnis Informationen über den Anwender sammelt) und andere ähnliche Programme.

Neben den im Internet Explorer 7 vorhandenen Schutzmechanismen beinhaltet auch Windows Vista selbst einige neue Funktionen um das System sicherer gegen Malware zu machen.

User Account Control / Benutzerkontensteuerung (UAC)

Windows Vista trennt damit Aufgaben die ein normaler Benutzer durchführen soll und solche die nur vom Administrator ausgeführt werden können. In Windows XP und früher mussten für viele Funktionalitäten Administratorrechte verwendet werden. So konnte z.B. früher die Uhrzeit im Windows nur mit Administratorrechten verstellt werden – das ist auch gut so – jedoch musste man auch für die Konfiguration der Zeitzone Administrator sein. Das ist im Zeitalter der mobilen Geräte nicht mehr einzusehen. Des weiteren kann unter Windows Vista auch ein normaler Anwender vom Administrator freigegebene Gerätetreiber installieren (z.B. Druckertreiber von einem bestimmten Hersteller). Damit sollte in Zukunft wesentlich seltener Administratorfunktionalität notwendig sein.

Zusätzlich kann der Administrator wenn die User Account Control aktiviert ist nicht mehr unbemerkt Administratorfunktionen aufrufen. Wenn ein Benutzer als Administrator angemeldet ist, versucht Administrative Tätigkeiten auszuführen, dann rückt der Desktop in den Hintergrund und wird Abgedunkelt. Es erscheint ein Eingabefenster bei dem der Benutzer diesen administrativen Eingriff ins System bestätigen muss. Zusätzlich sind alle Funktionalitäten die Administrative Rechte erfordern mit dem bekannten Schild Symbol gekennzeichnet. Damit weiß der Benutzer schon im Vorfeld, dass er für diesen Zugriff administrative Rechte benötigen wird.

uac-datetime.gif

Wie seit langem Bekannt sollten Benutzer nur mit „normalen“ Benutzerkonten am System angemeldet sein. Windows hat das den Benutzern in der Früheren Zeit nicht leicht gemacht, da für viele Funktionalitäten Administrationsrechte notwendig waren. Aus diesem Grund arbeiteten viele Benutzer standardmäßig mit Administrator Rechten. Malware kann damit sehr leicht unentdeckt ins System gelangen. UAC schützt in Windows Vista auch davor – denn wenn eine Komponente Administrationsrechte benötigt, wird der Administrator nochmals extra darauf hingewiesen und er muss diese Aktion gesondert bestätigen.

Windows Defender

Windows Defender ist ein Programm zur Bekämpfung von Malware wie Popupfenstern, Spyware und anderen unerwünschten Programmen. Windows Defender überwacht in Echtzeit das Betriebssystem und Punkte wie z.B. Autostart oder Registry in dem sich Malware Komponenten bevorzugt einnisten.  Wenn ein Zugriff verdächtiger erfolgt wird der Anwender darauf hingewiesen. Es wird empfohlen diesen abzulehnen. Falls der Zugriff erwünscht ist, kann der Anwender ihn aber auch genehmigen. 

Die Einstellungen von Windows Defender können in Unternehmensnetzwerken zentral über Gruppenrichtlinien gesteuert werden.

Windows Defender ist als Schutz gegen Malware emfpohlen – ist aber kein Antivirenprogramm. Um einen umfassenden Schutz zu gewährleisten ist zusätzlich der Einsatz eines aktuellen Antiverenprogrammes unumgänglich erforderlich.

Das Programm benötigt ähnlich wie Virenscanner aktuelle Signaturen die bequem über Microsoft Update verteilt werden.  Defender macht sich nach der Installation im Normalfall nur durch ein Icon in der Taskleiste bemerkbar.

defender.jpg

Defender ist standardmäßig in Windows Vista enhalten, kann aber gratis auch für Windows XP unter http://www.microsoft.com/defender nachinstalliert werden.

Windows Firewall

Seit Windows XP Servicepack 2 beinhaltet das Betriebssystem eine personal Firewall – d.h. eine Firewall die am Client installiert ist und das System schützt. Eine Firewall ist en wesentlicher Bestandteil des Schutzes eines Systemes – neben dem einspielen der aktuellen Sicherheitsupdates sowie eines aktuellen Virenscanners und Malware Erkennung. Es schützt das System vor Angriffen von außen, auch  wenn es grundsätzlich für diese Angriffe verwundbar wäre.

Die Vista Firewall filtert nicht nur eingehende Datenverbindungen – sondern auch ausgehende Verbindungen. Die Firewall ist in die Funktionen zur automatischen Netzwerkerkennung von Vista integriert – sodass auch standortspezifische vorgaben (z.B. im Büro, zu Hause und unterwegs) getroffen werden können. Man kann daher das System z.B. bei Nutzung des öffentlichen Internets über Hotspot strikter schützen, als man das etwa im Büro machen würde.

Alle Einstellungen der Firewall können im Unternehmensnetzwerk wiederum zentral über Gruppenrichtlinien gesteuert werden.

Automatische Updates

Automatische Updates sind ebenfalls ein alter Bekannter. Über automatische Updates kann ein Benutzer angeben, wann der Rechner sich die aktuellsten Sicherheitsupdates für das System aus dem Internet laden soll. Diese Funktion ist besonders sinnvoll, wenn man über eine Breitbandinternet Verbindung verfügt und sich das System jede Nacht automatisch mit den aktuellsten Updates versorgt.

In einem Unternehmensnetzwerk kann man selbst seinen Update Server betreiben (WSUS Windows Software Update Services). Dazu wird eine Serverkomponente installiert, die sich automatisch mit dem Microsoft Update Server verbindet und die aktuellsten Sicherheitsupdates einmal ins Unternehmen repliziert. Die Client Stationen laden dann ihre Updates nicht mehr aus dem Internet, sondern innerhalb des Unternehmens vom eigenen Update Server. Dies hat mehrere Vorteile: Man schont natürlich Bandbreite – zusätzlich kann der Administrator die Updates auch testen, bevor er sie Hausintern zur Verteilung freigibt.

Windows Sicherheitscenter (WSC)

Das Sicherheitscenter prüft im Hintergrund den Status der wichtigsten Sicherheitsfunktionen von Windows Vista:

·         Firewall

·         Windows Defender

·         Automatische Updates

·         Virenscanner

·         Weitere Sicherheitseinstellungen (UAC, Internet Explorer)

Zusätzlich zu den in Vista Integrierten Funktionalitäten kann das Sicherheitscenter auch Sicherheitssoftware von bestimmten Drittherstellern überwachen (etwa Firewalls oder Virenscanner) Im Sicherheitscenter ist auf den ersten Blich zu erkennen welche Komponenten installiert sind, bzw. auch auf dem neuesten Stand sind. Es gibt Ratschläge über zu aktivierende Komponenten.  Sollte ein Abonnement  für z.B. einen Virenscanner abgelaufen sind, stellt das Sicherheitscenter auch entsprechende Links zur Verlängerung der Funktionen auch zu Drittherstellern bereit.

Das gesamte Sicherheitscenter kann in Unternehmensnetzwerken wiederum zentral über Gruppenrichtlinien konfiguriert werden.

Internet Explorer 7 (IE7)

Neben den Funktionalitäten die auch beim IE7 für Windows XP zur Verfügung stehen bietet der IE7 unter Windows Vista eine zusätzliche Funktionalität – den geschützten Modus.

Der geschützte Modus für den IE7 beschränkt den Zugriff aus dem IE auf bestimmten Prozesse, Dateien und Systemressourcen. Im geschützten Modus wird der IE  mit sehr eingeschränkten Rechten ausgeführt. Der IE kann ohne Zustimmung des Benutzers keine Einstellungen, Benutzerdateien oder Systemdateien verändern – sondern sich nur innerhalb der „temproären Internetdateien“ bewegen. Standardmäßig ist der geschützte Modus unter Vista für alle Zonen außer den vertrauenswürdigen Sites aktiviert. Diese Einstellungen können wiederum für Unternehmensnetzwerke zentral über Gruppenrichtlinien vorgegeben werden.

Datensicherheit

Bitlocker Drive Encryption

Die Bitlocker Laufwerksverschlüsselung verschlüsselt die gesamte Systemvolume des Betriebssystems so dass nicht autorisierte Benutzer nicht darauf zugreifen können. Auch mit bekannten Methoden – z.B. die Festplatte in ein anderes System  als zweite Platte einzubauen etc. kann hier nichts erreicht werden. Um größtmöglichen Schutz zu erzielen wird dazu ein im Computer vorhandener Chip (das Trusted Platform Module – TPM 1.2) verwendet. Der TPM Chip überprüft beim Starten die Hardwareintegrität des Computers. Falls erkannt wird, dass Dateien auf der Platte manipuliert wurden verweigert der Computer den Startvorgang. Zusätzlich wird der Schlüssel mit dem die Platte verschlüsselt ist sicher im TPM Modul abgelegt. Sollte der Computer über keinen TPM Chip verfügen, so kann der Schlüssel auch auf z.B. einem USB Stick abgelegt werden. Die Überprüfung der Systemintegrität entfällt dann aber.

Bitlocker ist in der Ulitmate Edition von Windows und in der über Volumslizenzprogramme verfügbaren Enterprise Edition enthalten.

Bitlocker schützt vor allem dagegen, dass bei verlorenen oder gestohlenen Computern auch die Daten in die Hände der Diebe fallen. Es ersetzt jedoch nicht das Encrypted Files System (EFS) das schon aus Windows 2000 bekannt ist. EFS schützt auch die Daten von Benutzern die sich am System berechtigterweise anmelden.

Encrypted File System

Das Encrypted File System (Verschlüsseltes Dateisystem) oder kurz EFS ist seit Windows 2000 bekannt und auch in Windows XP enthalten. Das EFS ist in das Dateisystem integriert und schützt Daten vor unbefugtem Zugriff. Versucht ein berechtigter Benutzer auf eine Datei zuzugreifen, so wird im Hintergrund der Schlüssel dazu abgefragt, die Datei entschlüsselt und an die Applikation weitergegeben. Die betreffende Applikation bemerkt von diesem Vorgang nichts, und muss daher auch EFS nicht gesondert unterstützen. Windows Vista erweitert das System um folgende zusätzliche Funktionalitäten:

·         Die Benutzerschlüssel können auf Smartcards gespeichert werden.

·         Wiederherstellungsschlüssel können auf Smartcards gespeichert werden

·         Die Auslagerungsdatei kann mit EFS verschlüsselt werden. Datei wird der Schlüssel beim Start des Systems erzeugt und beim herunterfahren wieder vernichtet.

·         Der Offlinedateicache kann mit EFS verschlüsselt werden – damit können gecachete Dokumente nur vom Benutzer gelesen werden, der den Cache angelegt hat.

·         Es gibt zahlreiche neue Gruppenrichtlinien um die Funktionalität von EFS besser steuern zu können.

400px-EFS_operation_scheme.png
Grafik: Wikipedia

Weiterführende Literatur:

Microsoft Technet: Sicherheit und Datenschutz unter Windows Vista:
http://www.microsoft.com/germany/technet/prodtechnol/windowsvista/secprot/default.mspx