| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Kaum eine Software steht so "unter Feuer" wie Windows-Betriebssysteme – nicht zuletzt deshalb will Microsoft mit der Weiterentwicklung zu Windows Vista das "sicherste Windows aller Zeiten" bereitstellen. Die Messlatte hierfür hat Bill Gates im Jahr 2002 mit Beginn der Trustworthy-Computing-Initiative hoch angelegt: Sicherheit wurde zur Top-1-Priorität erklärt. Windows Vista ist nun die erste Betriebssystemversion, deren Entwicklung von Beginn an unter dieser Prämisse stand.
Die Analyse der Entwicklungsprozesse hatte schnell verdeutlicht, dass eine signifikante Weiterentwicklung der Windows-Sicherheit nur dann erfolgreich sein konnte, wenn man die Entwickler zu einem sehr frühen Zeitpunkt des Produktdesigns mit einbezog. Das Ergebnis dieser Überlegung war die Etablierung des Security Development Lifecycle (SDL): ein Sicherheits-Design- und Entwicklungsprozess, der die Entwicklerteams bereits in der Entwurfs-Phase unterstützt.
Etablierte Entwicklungsverfahren wie Threat Modeling und regelmäßige, interne Penetration Tests wurden mit neuen Techniken und Tools für Software-Entwickler kombiniert. Obwohl ursprünglich für interne Zwecke entwickelt, stehen diese Tools mittlerweile auch den Nutzern von Microsoft Visual Studio zur Verfügung. Ein weiterer wichtiger Schritt war die Einbeziehung externer Sicherheitsexperten, ebenfalls bereits bei der Produktentwicklung.
Ein Ergebnis dieser neuen Prozesse ist die Reduzierung der potenziellen Angriffsfläche durch Entfernung oder Überarbeitung von Anwendungsschnittstellen (APIs), die in der Vergangenheit gehäuft für Angriffe genutzt wurden.
Als weiteres Haupteinfallstor für Attacken waren in der Vergangenheit Windows-Dienste bekannt. Bereits mit der Überarbeitung der – in der Standardkonfiguration aktivierten – Dienste wurde mit Windows XP ServicePack 2 (SP2) ein wichtiger Schritt zur Risikominimierung unternommen. Für Vista wurde das Windows Services Hardening weiterentwickelt: Windows-Dienste sind nun profiliert, das heißt ein Regelwerk definiert, welche Aktionen für sie zugelassen sind. Hinzu kommt eine enge Integration mit der neuen Windows-Firewall: Versucht ein Windows-Dienst beispielsweise eine Netzwerkkommunikation zu führen, die nicht seinem im Profil definierten Verhalten entspricht, so wird dies durch die Windows-Firewall verhindert.
Auch neue Hardware kann die Sicherheit eines Windows-PCs verbessern – wenn das Betriebssystem in der Lage ist, sie zu nutzen. Auch hier gab es die ersten Ansätze mit der Data Execution Prevention (DEP) in SP2 für Windows XP, um Systeme vor Buffer Overruns zu schützen. Windows Vista setzt verstärkt auf DEP und gibt Software-Entwicklern zusätzlich die Möglichkeit, DEP für ihren Programmcode explizit zu aktivieren, selbst wenn systemweite Einstellungen anders lauten.
DEP arbeitet im Zusammenspiel mit einem anderen Schutzmechanismus: der Address Space Layout Randomization (ASLR). ASLR ordnet ausführbare Komponenten beim Systemstart nach dem Zufallsprinzip im Hauptspeicher an. So wird es für Angriffscode erheblich schwieriger, den Adressbereich einer "schwachen" Anwendung im Speicher vorherzusagen und über Buffer Overruns in das System einzudringen.
Mit der stärkeren Verbreitung von 64-Bit-Prozessoren kommen noch zwei weitere Schutzmechanismen neu ins Spiel: die Kernel Patch Protection (der sog. PatchGuard) und das Mandatory Driver Signing. PatchGuard soll die Manipulation des Kernel durch unautorisierte Software verhindern, was insbesondere die Bedrohung durch Rootkits reduzieren kann. Driver Signing hat vor allem eine bessere Zusammenarbeit zwischen Treiber-Entwicklern und Microsoft zum Ziel: Weniger Sicherheitsprobleme und eine erhöhte Stabilität von Treibern sollten das Ergebnis sein.
Einer der größten Kritikpunkte an Windows ist die weit verbreitete Nutzung administrativer Berechtigungen durch Standard-Anwender. Deutlich weniger Malware hätte in den letzten Jahren den Weg in die Schlagzeilen gefunden, wenn Nutzer mit weniger lokalen Rechten für die Windows-Registry und das Dateisystem ausgestattet gewesen wären. Andererseits haben Administratoren diese Entscheidung nicht freiwillig gefällt: Unsauber programmierte Software und die Erfordernis, notwendige Konfigurationsänderungen (z. B. für Wireless LAN) in Windows zuzulassen, sorgen für einen sehr hohen Planungs- und Installationsaufwand, wenn man nur mit Standard-Berechtigungen arbeiten will. Viele Unternehmen haben an dieser Stelle den "leichteren" Weg gewählt und den User zum Admin gemacht. Ein zentraler Aspekt bei der Entwicklung von Windows Vista war die Beseitigung dieses Problems.
Um dieses Ziel zu erreichen, hat Microsoft zunächst erneut geprüft, welche Tätigkeiten auch für Anwender erlaubt sein sollten und welche ausschließlich zu den administrativen Aufgaben gehören – eigentlich eine simple Unterscheidung, die sich jedoch alleine aufgrund der Vielzahl von Möglichkeiten in der Praxis sehr schwierig gestaltet und die von vielen Details abhängig ist. So ist beispielsweise die Änderung der Systemuhrzeit eine administrative Aktion (Sicherheitsimplikation: Logfiles). Dagegen sollte die Anpassung der Zeitzone auch dem Anwender möglich sein.
Bezüglich der Geräteinstallation ermöglicht es Vista (potenziell) benötigte Treiber durch den Administrator in einem so genannten Trusted Driver Store abzulegen. Treiber aus diesem Bereich kann der Anwender dann selbst installieren – andere Geräte erfordern administrative Berechtigungen. Diese "Aufräumaktionen" haben dafür gesorgt, dass Vista-Nutzer nun alle erforderlichen Tätigkeiten auch als Standardanwender ausüben können sollten. Microsoft nennt diese Technik User Account Control (UAC) oder Benutzerkontosteuerung.
Der nächste Schritt bestand in einer entsprechenden Umsetzung im User-Interface: Jede administrative Aufgabe ist jetzt mit einem kleinen Sicherheits-Icon gekennzeichnet. Führt ein Administrator eine solche Aktion aus, so wird er trotz seiner Berechtigungen dazu aufgefordert, dies explizit zu bestätigen ("Administrator Approval Mode"). Viele Systemverwalter dürften diese Vorgehensweise zwar als lästig empfinden, allerdings ist die doppelte Absicherung durchaus sinnvoll. Die Bestätigung kann zudem auch mit der Nutzung einer Smartcard gekoppelt werden. Und ein Umgehen dieser Dialogbox, beispielsweise durch einen Skriptbefehl oder – wie derzeit heiß diskutiert – durch die Vista-eigene Spracherkennung ist nicht möglich.
Versucht hingegen ein "normaler" Benutzer eine administrative Aktion durchzuführen, wird eine erweiterte Dialogbox angezeigt, die es ihm einfach und schnell ermöglicht, sich hierzu mit einem anderen Benutzerkonto anzumelden. Dies erleichtert besonders Servicepersonal die Arbeit an einem PC. Ist die administrative Aufgabe abgeschlossen, wird automatisch wieder im Benutzerkontext weitergearbeitet.
Microsoft hat diese einschneidende Design-Änderung in Windows ausgiebig geprüft und auch unter dem Aspekt der Anwendungskompatibilität getestet. Für Anwendungen, die administrative Berechtigungen (implizit) benötigen, gibt es die Technik der "virtuellen Verzeichnisse": Sie lenkt Schreib- oder Lese-Zugriffe auf geschützte Bereiche der Registry oder des Dateisystems ohne Wissen der Applikation in weniger sensitive Bereiche um, sodass keine Anpassung der Anwendung erforderlich ist.
Im Zusammenspiel mit der nächsten Windows-Server-Generation zielt Vista mit einem weiteren Verfahren vor allem auf bessere Sicherheit beim Verbindungsaufbau mit Netzwerken: Zurzeit gibt es nur wenige Möglichkeiten zu verhindern, dass PCs an ein Netzwerk angeschlossen werden, die nicht den jeweiligen Sicherheitsanforderungen entsprechen. Veraltete Viren-Pattern und nicht-aktualisierte Systeme werden jedoch oft von Malware begleitet – bei einer ständig steigenden Anzahl von mobilen Systeme eine wachsende Bedrohung für Unternehmen.
An dieser Stelle greift Microsofts Network Access Protection (NAP) ein: Über Richtlinien definiert das IT-Personal, welche Auflagen ein Client erfüllen muss, bevor ein Verbindungsaufbau mit dem Netzwerk möglich ist. Systeme, welche die Anforderungen nicht erfüllen, werden entweder abgewiesen oder in spezielle Netzwerksegmente umgeleitet, wo über Update-Server Aktualisierungen und Patches bereitstehen. Da NAP bereits auf Netzwerkebene aktiv wird, ist das Zusammenspiel mit anderen Netzwerkkomponenten äußerst wichtig. Microsoft hat daher gemeinsam mit anderen Unternehmen an dieser Funktionalität gearbeitet, um eine weitreichende Kompatibilität zu vergleichbaren Verfahren wie beispielsweise der Network Admission Control (NAC) von Cisco sicherzustellen.
Aber auch auf dem PC selbst erhöht Vista den Schutz vor Malware und Angriffsversuchen – für Unternehmenskunden besonders interessant sind die erweiterte Windows-Firewall und der neue Windows Defender. Die lokale Firewall filtert jetzt auch den ausgehenden Datenverkehr und verfügt über ein feingranular konfigurierbares Regelwerk. Außerdem wurden die IPSec-Richtlinien in die Firewall-Verwaltung integriert. Windows Defender übernimmt hingegen als integriertes Tool den Schutz vor Spyware. Beide Komponenten lassen sich zentral über das Active Directory (AD) administrieren und auch über zentrale Update-Mechanismen aktualisieren (z. B. die Windows Server Update Services – WSUS).
An der Schnittstelle zum Internet ist nicht zuletzt der Web-Browser ein Haupteinfallstor für Schädlinge und Angriffe – nicht selten "hilft" hierbei die Schwachstelle Mensch. Microsoft hat daher den Internet Explorer (IE) 7 nicht nur technisch überarbeitet, sondern auch versucht, den Schutz des Anwenders vor Informations-Diebstahl durch Social-Engineering-Attacken zu verbessern. Hier sind unter anderem die verbesserte Information des Nutzers über Probleme mit SSL-Zertifikaten, überarbeitete Dialogboxen und der integrierte Phishing-Filter zu nennen.
Die wichtigste Design-Entscheidung war die Abkopplung des IE von Dateisystem und Registry: Der Browser kann nun nicht mehr direkt auf sensitive Bereiche des PC zugreifen, ohne dass ein Anwender mit administrativen Berechtigungen (!) explizit seine Zustimmung erteilt. Alle anderen Aktionen haben entweder nur temporäre Auswirkungen oder werden über einen so genannten Broker-Prozess abgewickelt. Durch dieses "Sandboxing" sollte es für Malware deutlich schwieriger werden, Konfigurationsänderungen vorzunehmen oder sich auf dem PC einzunisten.
Gerade in Zeiten erhöhter Mobilität und "großer" Datenträger im kleinen Gehäuse erlangt auch die Rechteverwaltung auf Datei-Ebene eine höhere Bedeutung. Die Client-Komponente für das Microsoft Rights Management ist daher nun fester Bestandteil von Windows. Zudem kann der Administrator unter Vista per Gruppenrichtlinie im AD genau definieren, welche USB-Komponenten zulässig sind und welche nicht – dies geht bis auf die Ebene der Geräte-GUID.
Zudem wurde das Encrypting File System (EFS) weiterentwickelt, sodass beispielsweise die Ablage von EFS-Schlüsseln auch auf Smartcards möglich ist. Ergänzend umfasst Vista zudem eine Lösung zur vollständigen Verschlüsselung der Systempartition, was bisher nur mit zusätzlichen Tools möglich war. Die so genannte BitLocker Drive Encryption (BDE) verspricht Resistenz sowohl gegen Hacker-Tools als auch das Booten eines anderen Betriebssystems.
Zur Verschlüsselung wird soweit vorhanden ein Trusted Platform Module (TPM) genutzt. Ist diese Hardware-Komponente nicht verfügbar, kann alternativ ein USB-Memory-Stick zum Einsatz kommen – zwar nicht so sicher und komfortabel wie ein TPM, aber für ältere Systeme sicherlich eine akzeptable Lösung. Auch die Verwaltung von BDE ist in ein ganzheitliches Betriebskonzept eingebettet und erfolgt zentral über Active Directory. Die Möglichkeit zur Wiederherstellung verschlüsselter Daten oder auch der technische Ausfall eines TPM-Moduls wurden dabei berücksichtigt.
Windows Vista und der Internet Explorer 7 bieten eine Vielzahl von Neuerungen im Sicherheitsbereich. Viele der neuen Tools und Verfahren werden in den nächsten Monaten ihre Praxistauglichkeit zwar erst noch unter Beweis stellen müssen. Administratoren und Sicherheitsbeauftragte sollten jedoch schon jetzt mit der Evaluierung der neuen Leistungsmerkmale beginnen. Insbesondere die zentrale Administrierbarkeit der Einstellungen über das Active Directory und die Integration in die Microsoft-Update-Prozesse können letztlich für deutliche Arbeitserleichterungen sorgen.
Sven Thimm ist Senior Presales Consultant IT Security bei der Microsoft Deutschland GmbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 100
tag:kes.info,2007:art:2007-1-100
|