19.04.2007 | Autor / Redakteur: Manuela Reiss / Stephan Augsten
Wohl über kaum ein Vista-Detail wurde so viel geschrieben wie über das Aero-Userinterface. Aber die wirklichen Neuerungen von Windows Vista stecken unter der bunten Oberfläche. Insbesondere im Bereich Sicherheit hat das neue Microsoft-System viel Neues zu bieten, wodurch sich finanzielle Zusatzaufwendungen reduzieren lassen.
Jeder sollte heute wissen, dass Viren und Würmer eine Bedrohung darstellen – und auch die Gefahren durch Phishing sind hinlänglich bekannt. Doch mit der immer größeren Verbreitung mobiler Geräte nimmt auch die Gefahr zu, Schaden durch ihren Verlust zu erleiden. Das gleiche gilt für die aufgrund der technischen Möglichkeiten gestiegene Gefahr, Opfer von Wirtschaftskriminalität zu werden.
Damit aber steigt auch der Aufwand, diesen Gefahren zu begegnen. Um nicht in eine Kostenfalle zu laufen, bedarf es daher immer stärkeren Überlegungen, wie diesen Gefahren am Effizientesten begegnet werden kann.
Gerade in diesem Bereich unterscheidet sich Vista von seinen Vorgängerversionen. Microsoft adressiert mit Vista genau die beschriebenen Bedrohungen und kann damit einen Beitrag zur Begrenzung der Kosten für Sicherheitsmaßnahmen leisten.
Laut einiger Meldungen im Internet sind im vergangenen Jahr allein auf den Flughäfen in Deutschland, Österreich und der Schweiz mehr als 5.000 mobile Geräte, die meisten davon Laptops, durch Diebstahl oder Vergessen verloren gegangen. Das Risiko, dass damit wichtige Daten oder Passwörter Mitbewerbern oder Verbrechern zugänglich werden, ist kaum zu beziffern.
Nun kann Windows Vista zwar nicht den Verlust eines Gerätes verhindern, mit dem integrierten Schutz lässt sich aber sicherstellen, dass zumindest die Daten der verlorenen Geräte nicht in fremde Hände gelangen. Hierfür bietet Windows Vista neben dem verschlüsselnden Dateisystem EFS und dem Rechtemanagement-System RMS als neue Funktion das Festplatten-Verschlüsselungssystem Bitlocker.
Die Bitlocker-Technologie setzt an zwei Punkten an: Zum einen führt sie bei jedem Bootvorgang eine Integritätsprüfung durch, die unter anderem sicherstellt, dass sich das verschlüsselte Laufwerk im entsprechenden Computer befindet, zum anderen verschlüsselt sie die Systempartition. Dies verhindert, dass ein Dieb ein anderes Betriebssystem starten oder ein Tool verwenden kann und so die Datei- und Systemverschlüsselung von Windows Vista umgeht.
Das Volume kann in diesem Fall ausschließlich von Windows Vista ausgelesen werden und auch nur dann, wenn die richtigen Schlüssel bereitgestellt werden. Das Offline-Anzeigen von Dateien auf geschützten Laufwerken ist damit nicht mehr möglich. Die Verschlüsselung erfolgt mit Hilfe des Advanced Encryption Standards (AES) wahlweise mit 128 oder 256 Bit.
Für den Einsatz von Bitlocker ist ein TPM-1.2-Chip (Trusted Platform Module) Voraussetzung. Hierbei handelt es sich um einen in der Hardware integrierten Chip, der eine Prüfsumme enthält und damit über eine Art Fingerabdruck des Systems verfügt. Bei jedem Neustart des Computers überprüft Windows Vista, ob die Betriebssystemdateien bei einem Offline-Angriff verändert wurden. Der notwendige TPM-Chip ist aktuell zwar noch längst nicht in allen Rechnern zu finden, wird aber Bestandteil der kommenden Sicherheitsarchitekturen von AMD und Intel sein. Optional kann Bitlocker zusätzlich die Eingabe eines PIN oder einen Key auf einem Dongle anfordern, mit dem sich der Nutzer zusätzlich verifizieren muss.
Die Bitlocker-Technologie hat noch einen Zusatznutzen: In vielen Unternehmen verursacht die sichere Außerbetriebnahme von Geräten hohe Kosten. Mit Bitlocker wird es in den meisten Fällen nicht mehr erforderlich sein, sensible Daten von den Festplatten zu löschen. Hier genügt es, den Schlüssel zu vernichten, mit denen die Daten chiffriert wurden.
Auf USB-Sticks, iPods und ähnlichen Geräten lassen sich bereits heute mehrere Gigabyte Daten speichern. Damit stellen USB-Geräte eine der größten Gefahrenquellen für Datendiebstahl und Wirtschaftskriminalität im Unternehmen dar.
Gefahren birgt aber nicht nur das Entfernen von Daten, sondern auch die Möglichkeit, ungewollte Daten wie unlizenzierte Programme Spiele oder virenverseuchte Dateien in das Unternehmensnetzwerk einzubringen. Erschwert wird die Kontrolle der USB-Anschlüsse dadurch, dass die Nutzung ausgewählter Geräte wie Tastaturen und Mäuse meist erlaubt sein soll. Zudem sollen oft einzelne Funktionen bei USB-Geräten möglich sein, beispielsweise die Synchronisation eines Handhelds mit dem Outlook-Kalender – andere Funktionen sollen aber verboten bleiben, wie beispielsweise die Speicherung von Dokumenten. Das Versiegeln oder der Ausbau der USB-Anschlüsse ist daher in der Regel keine Lösung.
Mit Windows Vista sind nun USB-Geräte innerhalb des Betriebssystems administrierbar. Der XP-Nachfolger beinhaltet eine Reihe von Gruppenrichtlinien, mit denen gesteuert werden kann, welche USB-Geräte bzw. -Typen zugelassen sind und wer diese nutzen darf. Bild 2 zeigt die verfügbaren Richtlinien zur Verwaltung von USB-Geräten im Container Computerkonfiguration.
Zusätzliche Richtlinien finden sich im entsprechenden Container der Benutzerkonfiguration. Zwar können die mitgelieferten Gruppenrichtlinien nicht mit einer zentral verwaltbaren Lösung mit eigener Administrationskonsole konkurrieren, sie werden aber in vielen Einsatzbereichen ihren Zweck erfüllen. Auf den Einsatz von Drittherstellersoftware wird so mancher Administrator künftig verzichten können.
Der Einsatz einer Firewall und einer möglichst serverbasierten Antivirus-Softwarelösung ist heute für jedes Unternehmensnetzwerk unabdinglich. Nur damit lässt sich das Eindringen von Schadsoftware zuverlässig verhindern. Auch der Schutz der einzelnen Endgeräte wird zunehmend
wichtiger. Dies gilt insbesondere für mobile Rechner, die beispielsweise über VPN auf das Unternehmensnetzwerk zugreifen. Hier stellt das Endgerät das schwächste Glied in der Sicherheitskette dar und dieses gilt es möglichst gut zu schützen.
Windows Vista erfordert auch weiterhin einen externen Virenscanner. Daneben kann Windows Vista mit Hilfe der integrierten Firewall geschützt werden. Diese wurde gegenüber Windows XP in ihrer Funktionalität deutlich erweitert. Wie viele Administratoren erfahren mussten, hat die in Windows XP integrierte Firewall aufgrund ihrer starren Vorgaben häufig notwendige Zugriffe blockiert und damit die Produktivität behindert, was häufig dazu führte, dass sie deaktiviert wurde.
Aus diesen Fehlern hat Microsoft gelernt. Die Firewall von Windows Vista ist deutlich flexibler und an die individuellen Anforderungen anpassbar. Außerdem enthält sie nun auch eine Option, mit der ausgehende Verbindungen blockiert oder unter bestimmten Voraussetzungen zugelassen werden.
Zwar sehen die im Sicherheitscenter angezeigten Funktionen noch weitgehend gleich aus wie bei Windows XP, beim Aufruf der Management-Konsole zur Verwaltung der erweiterten Firewall-Sicherheit eröffnen sich aber zahlreiche neue Möglichkeiten. Bild 3 zeigt die Benutzeroberfläche der neuen Firewall-Konsole. Hier kann der Administrator beispielsweise profilbasiert steuern, ob und welche eingehenden und ausgehenden Verbindungen geblockt bzw. zugelassen werden sollen. Damit ist es möglich, dass der Rechner abhängig vom Aufenthaltsort unterschiedliche Konfigurationen verwendet.
Untersuchungen zufolge verhalten sich Angestellte beim Surfen im Internet im Unternehmen viel leichtfertiger als am PC zu Hause. Dies ist zum einen der menschlichen Natur geschuldet, die das eigene Hab und Gut einfach besser beschützt, zum anderen aber gehen viele Angestellte ganz selbstverständlich davon aus, dass das Unternehmen für ausreichende Schutzmaßnahmen sorgt. Diese Sorglosigkeit aber kann verheerende Folgen haben. Hier ist vor allem Aufklärung erforderlich, auch bei der Verwendung des neuen Internet Explorers 7 (IE 7).
Microsoft will mit dem in Windows Vista integrierten IE 7 das Surfen im Internet sicherer machen. Dies ist auch zwingend erforderlich, hat doch gerade der Internet Explorer in Bezug auf Sicherheit nicht den besten Ruf. Dabei ist der runderneuerte Browser kein exklusives Feature von Windows Vista, sondern kann auch unter Windows XP SP2 und Windows Server 2003 SP1 – mit allerdings eingeschränkter Verfügbarkeit hinsichtlich der neuen Sicherheitsfunktionen – eingesetzt werden.
Unter Windows Vista ist der IE 7 integraler Bestandteil und enthält nur hier mit dem „Geschützten Modus“ (Protected Mode) einen abgesicherten Modus. Mit Hilfe des geschützten Modus installiert Vista eine zusätzliche Sicherheitsschicht um den Browser herum, die verhindern soll, dass Programme, die über den IE ausgeführt werden, direkt auf Systemkomponenten zugreifen können. Arbeitet der IE in diesem Modus kann er nicht mehr auf lokale Ressourcen wie das Dateisystem oder die Registry zugreifen. Einzig das Schreiben von temporären Internetdateien ist gestattet. Erfolgt eine Anfrage, die einen Zugriff auf die gesperrten Ressourcen erfordert, ist eine Bestätigung erforderlich.
Neben dem geschützten Modus hat Microsoft dem IE 7 eine Reihe nützlicher, sicherheitsrelevanter Funktionen beigefügt. Hierzu zählt neben einem Phishingfilter, ausführlichen Sicherheitsberichten bei Zugriff auf SSL-verschlüsselte Seiten, auch die Möglichkeit, den Browser-Verlauf, Cookies und temporäre Internet-Dateien auf einmal löschen zu können. Und nicht zuletzt tragen auch neue Richtlinien dazu bei, den IE 7 zentral administrieren und kontrollieren zu können.
Das regelmäßige Einspielen von Sicherheits-Patches gehört zu den zwingend erforderlichen Aufgaben. Hinzu kommt, dass für jede Software entweder zur Fehlerbeseitigung oder zur Aktualisierung in mehr oder weniger großen Abständen Updates installiert werden müssen.
In international tätigen Unternehmen, die mehrere Sprachversionen verwenden, konnte das Einspielen eines Patches bislang sehr zeitaufwändig sein, da die verschiedenen Sprachversionen bei den Updates zu berücksichtigen waren.
Eine der größten Änderungen hinsichtlich der Architektur von Windows Vista besteht darin, dass es sich hierbei um ein vollständig in Komponenten gegliedertes System handelt. Damit ist Windows Vista das erste Microsoft-Betriebssystem, das modularisiert ist. Dies hat den Vorteil, dass einzelne Komponenten geändert werden können, ohne das gesamte Betriebssystem zu beeinflussen.
Auf diese Weise lassen sich neue Gerätetreiber, Service Packs und Sicherheits-Patches einfacher bereitstellen. Weiterhin ist Windows Vista sprachneutral, das heißt sämtliche Sprachpakete sind optionale Elemente und können einzeln dem Betriebssystem hinzugefügt werden. Der Test auf verschiedene Sprachversionen bei einem Update entfällt damit.
Bei den Vorgängerversionen von Windows Vista haben viele Benutzer mit Administratorenrechten gearbeitet, da sie Aufgaben erledigen mussten, die sie nur im Administratorkontext durchführen konnten. So war mancher Außendienstmitarbeiter als Administrator unterwegs, nur weil er als global Reisender ab und zu die Zeitzone wechseln musste, was Benutzern bisher nicht gestattet war.
Mit Windows Vista hat Microsoft die Benutzerkontensteuerung (User Access Control, UAC) eingeführt. Diese sorgt dafür, dass die meisten Anwendungen mit eingeschränkten Berechtigungen ausgeführt werden. Dies gilt auch für Administratoren, die ebenfalls nur noch mit eingeschränkten Rechten arbeiten. Erfordert ein Zugriff höhere Rechte, wird eine Dialogbox angezeigt, in der die Benutzerkontensteuerung entweder eine Genehmigung zur Ausführung mit erhöhten Rechten anfordert oder die Authentifizierung mit anderen Benutzeranmeldeinformationen fordert.
Von Administratoren erfordert diese Sicherheitsfunktion jedoch Disziplin. Wer permanent UAC-Meldungen erhält, der stumpft irgendwann ab und klickt diese nur noch weg – dies aber dient der Sicherheit natürlich nicht.
Windows Vista mag zwar im Vergleich zu seinem Vorgänger Windows XP deutlich teurer geworden sein, aber gerade die gebotenen Verbesserungen im Bereich Sicherheit wiegen diese Mehrkosten mehr als auf. Kann man mit Vista doch auf den Einsatz von Third-Party-Produkten nicht nur im Security-Bereich in vielen Fällen verzichten und das Sicherheitsrisiko bereits mit Bordmitteln spürbar senken. Zudem wird Sicherheit mit Windows Vista einfacher administrierbar.
Inwieweit Microsoft jedoch den Spagat zwischen Sicherheit auf der einen und Bedienbarkeit auf der anderen Seite geschafft hat, muss sich in der täglichen Praxis erweisen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004148)
