Windows Vista - Sicherheit

Das Thema Vista-Sicherheit - ein Jahr später

Seit dem Erscheinen von Windows Vista ist über ein Jahr vergangen, ohne dass hier ein ausführlicher Blick auf die Sicherheitsverbesserungen geworfen wurde, die Microsoft seitdem vorgenommen hat. Nun ist es an der Zeit, das zu ändern. Wegen des bevorstehenden Erscheinens von Service Pack 1 ist das besonders wichtig; es wird sicherlich interessant sein zu sehen, inwieweit das erste Service Pack das derzeitige Produkt im Hinblick auf die Sicherheit verbessert. Soweit der Blick in die Zukunft, jetzt aber erst einmal beschrieben, wie es in diesem Moment um die Vista-Sicherheit bestellt ist.

Zu der integrierten Firewall wird in dieser Stelle nicht eingegangen, da diese Funktion in der Regel, insbesondere bei Firmen, ein Produkt eines anderen Anbieters übernimmt. Es geht hier um andere im System verankerte Sicherheitsmaßnahmen, die in Vista umgesetzt wurden. Einige dieser Verbesserungen sind hauptsächlich für die Firmennutzung bestimmt, also werden auch diese im Moment außer Acht gelassen. Unser Schwerpunkt liegt auf dem Schutz für Privatanwender und Kleinunternehmen. Die  unten aufgeführten Merkmale wurden dabei nach der Auswirkung auf die Systemsicherheit sortiert.

Richtlinien für lokale Programminteraktionen

Benutzerkontensteuerung (User Account Control - UAC)

Bei allen früheren Versionen von Windows ist es ein vordringliches Problem, dass Benutzer, sobald sie sich als Administrator in ihr System eingeloggt haben, uneingeschränkten Zugriff auf alle Systemressourcen haben und jede beliebige Art von Veränderung vornehmen können. Das ist von Vorteil, wenn es kontrolliert und mit den entsprechenden Berechtigungen geschieht (Sie können zum Beispiel ohne die Administrator-Berechtigung kein neues Programm installieren); es kann sich jedoch als äußerst gefährlich erweisen, wenn sich Malware auf diesem Kontotyp aktiviert und mit Privilegien auf Administrator-Ebene agiert. Das liegt daran, dass Malware, die von einem Administrator-Konto aus ausgeführt wird, automatisch dieselben Privilegien und Berechtigungen erhält wie der registrierte Besitzer des Systems, so dass sie heimlich Software installieren, Treiber laden, Registry-Einstellungen verändern, sich an legitime Anwendungen hängen, in kritischen Systembereichen schreiben und andere unzulässige Aktivitäten durchführen kann. Diese Schwäche wird regelmäßig von Hackern und Cyberkriminellen ausgenutzt, da die meisten XP-Benutzer ihre Konten als Administrator-Konto (die Standard-Einstellung) einrichten und sich so jedes Mal, wenn sie online gehen, Malware-Bedrohungen aussetzen.

In einem Versuch, diesem Missbrauch von Vorrechten Einhalt zu gebieten, hat Microsoft eine neue Funktion mit der Bezeichnung "Benutzerkontensteuerung" (User Account Control - UAC) eingeführt. Die UAC setzt im Wesentlichen die Rechte jedes beliebigen Programms auf die niedrigste verfügbare Stufe (selbst wenn der Benutzer als Administrator angemeldet ist), führt das Programm mit diesen eingeschränkten Berechtigungen aus und fordert den Benutzer zur Zustimmung auf, wenn zusätzliche Berechtigungen für eine Aktion erforderlich sind. So wird sichergestellt, dass die Programmaktivitäten vom Handlungsspielraum her eingeschränkt sind und Malware wirkungsvoll eingedämmt wird.

Obwohl die UAC die Möglichkeiten der Benutzer zur Isolierung von Malware durchaus positiv beeinflusst, hat sich gezeigt, dass sie aufgrund der sehr hohen Anzahl angezeigter Eingabeaufforderungen für durchschnittliche PC-Anwender leider sehr mühselig ist. Bei Vista löst nahezu jede Aktivität (selbst so einfache Dinge wie etwa ein Wechsel des Bildschirmschoners) ein Warnfenster aus, das eine Bestätigung durch den dazu berechtigten Benutzer erfordert. Das führt natürlich zu ständigen Ablenkungen. Was die UAC wirklich benötigt, ist die Möglichkeit, sich die entsprechenden Antworten für bestimmte Aktivitäten zu merken, damit wiederholte Eingabeaufforderungen unnötig werden.

Isolierung von Anwendungen und abgesicherter Modus für den Internet Explorer

Vista hält einen Prozess mit niedrigeren Privilegien davon ab, mit einem höher privilegierten Prozess zu kommunizieren und verhindert so, dass Malware eine zulässige Anwendung übernimmt oder Interprozessbefehle dazu benutzt, die Aktivitäten des höher privilegierten Prozesses zu kontrollieren. Diese Funktion mit der Bezeichnung Mandatory Integrity Control (MIC - verbindliche Integritätsstufe) blockiert Vorgänge wie Hooking, Injizieren einer DLL (einer fremden ausführbaren Komponente) und die Überwachung oder Verwaltung einer höher eingestuften Anwendung. Diese Einschränkung ist besonders hilfreich, wenn sie auf den Internet Explorer angewendet wird. Wenn IE mit niedrigen Berechtigungen gestartet wird, kann er eine Infektion nicht in anderen Bereichen Ihres Computers verbreiten, selbst wenn der Browser selbst befallen ist.

Address Space Layout Randomization (ASLR - zufällige Anordnung im Adressraum)

Diese Funktion lädt Systemdateien in zufällig ausgewählte Speicherbereiche und erschwert es dadurch schädlichem Code vorauszusehen, wo sich privilegierte Systemfunktionen befinden. ASLR trägt zur Verhinderung der meisten Angriffe mit Remote-Ausführung bei, da Malware keine Möglichkeit hat, das erforderliche Objekt zu lokalisieren, das sich an jeder der 256 möglichen Adressen befinden könnte.

Service Hardening (Absicherung der Windows-Dienste)

Die Funktion Service Hardening verhindert, dass Windows-Dienste unzulässige Operationen durchführen und hält Malware so davon ab, System-Dienste für schädliche Aktivitäten zu benutzen. Darüber hinaus werden Dienste nun von weniger privilegierten Konten anstatt vom Systemkonto aus ausgeführt. Bei der Kommunikation mit internen Windows-Ressourcen benötigen Dienste nun eine Erlaubnis, um auf bestimmte Systemobjekte zu schreiben, und Windows erlaubt Diensten den Zugriff nur auf die Ressourcen, für die Änderungen auch vorgesehen und erlaubt sind. Microsoft hat es in Vista unabhängigen Software-Herstellern ermöglicht, Windows Service Hardening durch die Festlegung von Schreibberechtigungen auch zur Sicherung ihrer eigenen Dienste zu verwenden.

Parental Control (Kindersicherung)

Hier ein kurzer Überblick über die neuen Kindersicherungs-Funktionen:

  • Blockieren bestimmter Inhaltskategorien wie z.B. "Schulschießerei", "Drogen" und anderer heikler Inhalte,
  • Zuweisung benutzerspezifischer Adressen zum Blockieren/Zulassen,
  • optionale Einschränkung des Dateidownloads aus dem Internet mit UAC-Steuerungsfunktionen,
  • White-List für Spiele basierend auf den Einstufungen und Alterskennzeichnungen durch die verantwortlichen Kontrollstellen, außerdem Möglichkeit zur benutzerspezifischen Festlegung von Einschränkungskriterien für Spiele,
  • Zeitbeschränkungen für Konten, die festlegen, wann und wie lange ein Konto benutzt werden darf,
  • Programmstart-Kontrolle, die die Benutzung von Programmen auf eine White-List mit zugelassenen Titeln beschränkt; das wird durch die Windows Software Restriction Policies (Richtlinien für Softwareeinschränkung) umgesetzt,
  • Protokollierung von Aktivitäten, einschließlich Daten über besuchte Websites, gestartete Anwendungen, Benutzungsdauer und andere Statistiken.

Festplatten-Verschlüsselung

Benutzer können Festplatten nun mit einem USB-Schlüssel oder dem Trusted Platform Module (TPM) von Intel verschlüsseln, das in einigen Motherboards integriert ist. Die Bitlocker-Festplattenverschlüsselung ist nur in den Vista-Versionen Enterprise und Ultimate verfügbar; angesichts der zunehmenden Notwendigkeit, kritische Inhalte von tragbaren Geräten zu verschlüsseln, um Daten vor unbefugtem Zugriff zu schützen. Das in Kürze erscheinende SP1 wird diesem Bereich zusätzliche Funktionen hinzufügen.

Spyware-Schutz

Vista enthält den Windows Defender, das kostenlose Anti-Spyware-Programm, das Schutz vor Spyware-ähnlichen Bedrohungen verspricht. In der Praxis hat es in unabhängigen Tests schlecht abgeschnitten, so dass die Benutzer auch weiterhin eine Anti-Spyware-Lösung von Drittanbietern benötigen.

Schlussfolgerung

Vista stellt eine erhebliche Verbesserung gegenüber Windows XP dar und enthält eine Vielzahl neuer Sicherheitsfunktionen, die vorwiegend auf die Stärkung der internen PC-Verteidigung gegen lokale schädliche Aktivitäten ausgerichtet sind. Es handelt sich jedoch nicht um eine Lösung, die nach dem Motto "Installieren und vergessen" funktioniert und 100-prozentige Sicherheit bietet (wie wir ja alle wissen, gibt es so etwas wie 100-prozentige Sicherheit nicht!). Kenntnisse und Verständnis der sicheren Computernutzung sind unerlässlich, um sich beim Surfen im Internet von Problemen fernzuhalten, ebenso wie der Einsatz von Sicherheitslösungen von Drittanbietern, die die Lücken füllen, die Microsoft offen gelassen hat.

Meist gesucht: Fernwartung, Internet, Vista, System, EDV, PC Reparatur, Computer, eCommerce, Internet, Netzwerk, EDV Hilfe, Mail, Versandhandel, Sicherheit, Firewall.  Computer Stuttgart

197768
Seniorenschulung Linktipp: Kostenlose wertvolle Tipps für Interneteinsteiger und Senioren Newsticker :: NETPOLTE Computer, Internet, EDV-Dienstleistungen Computer Service und Notdienst | Stuttgart byteknoten | Computer-, Netzwerk- und Internetdienstleistungen NETPOLTE - EDV am Neckar - IT Outsourcing