Windows Vista - Desktop Security

Windows Vista ist das erste Windows, das vollständig nach den Richtlinien des Trustworthy Computing entwickelt wurde. Wieviel diese Initiative punkto Sicherheit auf dem Desktop gebracht hat, zeigen wir in diesem zweiten Teil unserer Vista-Serie.

Artikel erschienen in Swiss IT Magazine 2007/01

     

Mit Windows Vista stellt Microsoft als oberste Direktive erstmals Sicherheit über Komfort – der Benutzer muss manuell Einstellungen verändern, um Sicherheits-Features abzuschalten oder einzuschränken. In früheren Versionen von Windows war das Gegenteil der Fall, denn zugunsten der einfachen und bequemen Bedienbarkeit waren einige Sicherheits-Features von Haus aus deaktiviert.
Zusätzlich enthält Windows Vista einige Komponenten, die aktiv und in Echtzeit das Betriebssystem überwachen und Bedrohungen verhindern. Dazu zählen, neben einer vollständig überarbeiteten Firewall, der Windows Defender, der Spyware und ähnliche Eindringlinge erkennt, sowie die User Account Control (UAC), über die man sich temporär Administrationsrechte zuweisen kann, um Installations- oder Konfigurationsaufgaben durchführen zu können, ohne erst auf ein Administrationskonto wechseln zu müssen. Darüber hinaus wurde auch Internet Explorer 7.0 in Sachen Security aufgepeppt und verfügt mit dem Protected Mode über einen speziellen Betriebsmodus, der nur in Vista zu finden ist.


Sicherheitscenter

Seit dem Service Pack 2 für Windows XP verfügt Windows über das sogenannte Sicherheitscenter. Dabei handelt es sich um ein Applet in der Systemsteuerung, mit dem alle sicherheitsrelevanten Einstellungen überwacht und eingestellt werden können. Wie schon in Windows XP überwacht das Sicherheitscenter von Windows Vista die Firewall, die automatischen Updates, den Schutz vor Viren und sonstiger Schadsoftware. Neu hinzugekommen ist hingegen die Überwachung son­stiger Sicherheitseinstellungen wie Internetsicherheits- und Benutzerkonteneinstellungen.





Mit dem Sicherheitscenter kann überprüft werden, welche Anwendung als Firewall, als Antivirus und als Antispyware eingerichtet ist und wie deren Status ist. Interessant ist hierbei, dass das Sicherheitscenter nicht nur Windows-eigene Anwendungen überwachen kann, sondern auch Applikationen von anderen Anbietern. Für jede dieser Aufgaben wird überprüft, ob eine entsprechende Anwendung installiert ist, ob sie aktiv ist und ob die Signaturen für Antivirus und Antispyware auf dem aktuellen Stand sind.






Mit den Benutzerkonteneinstellungen kann vorgegeben werden, ob der Benutzer als Administrator oder als normaler Benutzer mit eingeschränkten Rechten fungiert. Dadurch wird es möglich, Windows Vista mit normalen Benutzerrechten zu nutzen und gegebenenfalls auf ein Benutzerkonto mit erweiterten Rechten auszuweichen. Über die Internetsicherheitseinstellungen werden die Vorgaben für den Internet Explorer gesteuert. Mit ihrer Hilfe können beispielsweise die Konfigurationen für ActiveX oder Scripting vorgenommen werden. Einstellungen, die dabei nicht als «sicher» gelten, werden vom Sicherheitscenter rot hinterlegt, so dass man die kritischen Aspekte auf einen Blick erfassen kann. Ausserdem zeigt Internet Explorer in der Informationsleiste die Meldung «Die aktuellen Sicherheitseinstellungen sind ein Risiko für den Computer. Klicken Sie hier, um die Sicherheitseinstellungen zu ändern …» an. Das Sicherheitscenter warnt zudem, dass nicht empfohlene Einstellungen verwendet werden.




Schliesslich kann das Sicherheitscenter mit Hilfe des Befehls Internetsicherheitseinstellungen jetzt zurücksetzen auch dazu verwendet werden, um die vorgenommene Konfiguration für den IE wieder auf sichere Werte zurückzusetzen.


Windows-Firewall

Die Firewall von Windows Vista ist im Vergleich zu der Firewall von Windows XP deutlich erweitert worden. So arbeitet diese nun bidirektional, dass heisst, sie überwacht sowohl den eingehenden wie auch den ausgehenden Datenverkehr. Eingehende Daten werden dabei blockiert, es sei denn, sie sind die Antwort auf eine vorausgegangene ausgehende Anfrage, oder es gibt eine Regel, die eine entsprechende Ausnahme definiert. Ausgehende Anfragen werden generell zugelassen, es sei denn, es gibt eine Regel, die den ausgehenden Verkehr verbietet.





Die Regeln können dabei umfangreich nach IP-Quell- und
-Zieladressen, nach TCP-, UDP- oder sonstigen Ports, nach ICMP und ICMPv6, den verwendenden Diensten beziehungsweise Anwendungen und IP-Protokollnummern konfiguriert werden. Nützlich ist hierbei insbesondere, über die Ausnahmenliste kompletten Anwendungen den Datentransfer zu gestatten beziehungsweise zu verwehren, ohne sämtliche benutzte Ports einzeln konfigurieren zu müssen.
Für die Konfiguration der Firewall auf Remotecomputern gibt es ein Snap-in basierend auf der neuen Microsoft Management Console 3.0 (MMC) mit der Bezeichnung Windows-Firewall mit erweiterter Sicherheit, das sich in der Systemsteuerung unter System und Wartung, Verwaltung findet.






Die Einstellungen sowie der Regelsatz für die Firewall werden von Windows Vista nicht pauschal abgespeichert, sondern es wird für jedes Netzwerk, mit dem der Computer verbunden wird, ein eigenes Profil angelegt. Sobald eine Verbindung zu einem Netzwerk hergestellt wird, für das bereits ein Profil existiert, werden die bestehenden Einstellungen geladen und angewendet. Als Basis für neue Profile existieren unter Windows Vista zwei Vorlagen, nämlich das «Private Profil» und das «Öffentliche Profil». Neben den individuellen Einstellungen eines Profils können auch diese Vorlagen angepasst werden. Schliesslich kann nach dem Herstellen einer Netzwerk-Verbindung das zugeordnete Profil mit Hilfe des Netzwerk- und Freigabecenters geändert werden, um dynamisch zur Laufzeit verschiedene Regelsätze anwenden zu können.


Windows Defender

Mit Windows Defender bringt Windows Vista eine eigene Lösung für Anti-Spyware mit, die Rootkits, Trojaner, Spyware und sonstige Schadsoftware erkennen und unschädlich machen soll. Ausser der in Vista integrierten Version steht Windows Defender auch als eigenständige Applikation zum Download für Windows XP bereit.




Windows Defender sucht von Haus aus beständig nach schädlicher Software und informiert den Anwender im Falle des Falles – je nach Risiko der Bedrohung entweder mit Hilfe eines Symbols im Systemtray oder in schwereren Fällen mit Hilfe eines warnenden Dialogs, wobei in diesem Fall ein Eingreifen des Benutzers erforderlich ist. Windows Defender ist so konfiguriert, dass er eine möglichst hohe Sicherheit bietet, ohne den Benutzer dabei durch allzu viele Dialoge zu belasten. Daher kann die Konfiguration von Windows Defender in den meisten Fällen so belassen werden, wie sie ist. Alle Aktionen, die Windows Defender durchführt, wie beispielsweise das Aktualisieren von Anti-Spyware-Definitionen oder das Entdecken von Schadsoftware, werden in der Ereignisanzeige von Windows protokolliert, so dass sich auch eine Postmortem-Analyse erstellen lässt. Welche Bedrohungen von Windows Defender wie gehandhabt werden sollen, lässt sich in Windows Defender unter Extras > Optionen > Optionen für den Echtzeitschutz einstellen. Insbesondere können hier Einstellungen für nicht klassifizierte Bedrohungen und Software, deren Ausführung zulässig ist, vorgenommen werden.






Ausser dem Echtzeitschutz bietet Windows Defender auch die Möglichkeit, einen Scan «on Demand» auszuführen. Hierbei bietet das Schutzprogramm dem Benutzer die folgenden Optionen:




- es kann ein Schnellscan ausgeführt werden, bei dem die Angriffspunkte überprüft werden, die am häufigsten betroffen sind;


- es lässt sich ein vollständiger Scan ausführen, bei dem alle Ordner, Dateien, Registry-Einträge und laufenden Anwendungen untersucht werden;


- es kann ein vollständig benutzerdefinierter Scan durchgeführt werden, mit dem sich gezielt bestimmte Laufwerke und Ordner überprüfen lassen.




Wenn eine Bedrohung gefunden wird, bietet Windows Defender verschiedene Varianten, wie darauf reagiert werden kann. Der mutmassliche Schädling kann entweder vollständig entfernt, bis zum nächsten Scan ignoriert, in Quarantäne genommen oder als gefahrlos markiert werden. Wird eine Bedrohung in Quarantäne genommen, so wird sie temporär aus dem System entfernt und kann später wiederhergestellt werden, falls das Entfernen nicht den gewünschten Effekt hatte.


Virenschutz fehlt

Zu beachten ist, dass Windows Defender nur vor Spyware schützt und daher ein echtes Antiviren-Tool nicht ersetzen kann. Da Microsoft in Windows Vista kein Antivirus mitliefert, müssen sich die Benutzer nach wie vor bei Drittherstellern eindecken. In der untenstehenden Tabelle erhalten Sie einen Überblick über die für Vista aktuell verfügbaren und geplanten Desktop-Antiviren-Werkzeuge. Microsoft selber plant, Windows Vista im Rahmen des kostenpflichtigen Online-Services Windows Live OneCare um eine Antiviren-Lösung zu ergänzen. Dieser ist in Europa allerdings erst in Form einer Betaversion verfügbar (http://ideas.live.com).


User Account Control

In früheren Versionen von Windows haben sich Benutzer oft aus Gründen der Bequemlichkeit der Gruppe «Lokale Administratoren» zugewiesen, um sich für Aufgaben wie das Installieren von Anwendungen oder Verändern von Konfigurationseinstellungen nicht jedes Mal auf ein Administratorenkonto umloggen zu müssen. Der Nachteil daran ist, dass jegliche Software – auch potentiell eingefangene Schadsoftware – mit den Rechten des aktuellen Benutzers ausgeführt wird und daher vollen Zugriff auf das System hat.




Die User Account Control – zu deutsch Benutzerkontensteuerung – von Windows Vista verringert die Notwendigkeit, als Administrator zu arbeiten, und definiert, welche Aktionen ein normaler Benutzer ausführen darf und was dem Administrator vorbehalten bleibt.
Wird als normaler Benutzer gearbeitet, aber eine Aktion ausgeführt, die erweiterte Rechte benötigt, fordert Windows Vista den Benutzer auf, das Kennwort des Administrators einzugeben, um die Aktion zu autorisieren. Sofern der Benutzer bereits als Administrator angemeldet ist, entfällt diese Nachfrage zwar, allerdings wird Windows Vista ihn bei kritischen Änderungen nochmals explizit auffordern, diese von der Software initiierte Massnahme zu erlauben.






Anwendungen, die für frühere Versionen von Windows (Windows XP und älter) entwickelt wurden, werden eine virtuelle Registry und ein virtuelles Dateisystem vorgespiegelt. Versucht eine solche Anwendung, auf einen Bereich der Registry oder des Dateisystems zuzugreifen, für den Administratorrechte erforderlich wären, wird sie auf das virtuelle Spiegelbild umgeleitet, so dass die Anwendung ohne Anpassung lauffähig bleibt. Diese Virtualisierung ist allerdings nur als Übergangslösung zu verstehen, bis die Anwendungen an die User Account Control angepasst wurden. Das Verhalten der User Account Control kann über die lokalen Sicherheitsrichtlinien (secpol.msc) reguliert werden.


Fazit

Windows Vista bringt mit dem überarbeiteten Sicherheitscenter und den integrierten Komponenten Windows-Firewall, Windows Defender und der User Account Control ein grundsolides Sicherheitskonzept mit, das für eine deutlich sicherere Basis sorgt als dies unter vorherigen Windows-Versionen der Fall war. Dennoch sollte die verbesserte Ausgangs­position nicht darüber hinwegtäuschen, dass Bedrohungen existieren, die Windows nicht abfangen kann. Einen wachsamen Benutzer können also auch die Sicherheits-Features von Windows Vista nicht ersetzen.






Antivirensoftware für Windows Vista


IE 7.0: Mehr Sicherheit beim Surfen

Im Gegensatz zu früheren Versionen von Internet Explorer wird IE 7.0 von Windows Vista in einem geschützten Modus ausgeführt, mit dem der Browser von den übrigen laufenden Anwendungen isoliert wird. Ausserdem wird verhindert, dass Webseiten Daten ausserhalb des Ordners für temporäre Internetdateien schreiben. Dies verhindert das Einschleusen von Schadcode in das Betriebssystem über entsprechend präparierte Webseiten.





Zudem werden Add-ons restriktiv behandelt, so sind beispielsweise ActiveX-Steuerelemente von Haus aus deaktiviert. Über einen eigenen Add-on-Manager können Erweiterungen zu Internet Explorer einzeln aktiviert, deaktiviert oder entfernt werden.
Des weiteren verfügt IE 7 über einen Phishingfilter, der Websites einerseits automatisch nach verdächtigem Content absucht und andererseits mit einer Liste bekannter Phishing-Sites vergleicht. Bei suspekten Sites wird eine Warnmeldung ausgegeben und die Adresszeile gelb eingefärbt. Via Extras > Phishingfilter erhält man Zugang zu den aktiven Anti-Phishingeinstellungen. Über diese lassen sich verdächtige Seiten auch manuell überprüfen. Für den persönlichen Datenschutz gibt es neu einen Befehl, mit dem sich auf einen Schlag alle beim Browsen angehäuften Daten wie Cache, Cookies, die History, Formulardaten und Passwörter löschen lässt. Der Befehl lässt sich via Extras > Internet Optionen > Allgemein über die Löschen-Taste im Bereich Browserverlauf auslösen.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER