Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie

Windows 7-Sicherheit: Ein großer Sprung
nach vorn oder alles wie gewohnt?
Die Markteinführung von Windows 7 rückt näher. Es wurden bereits Debatten und
Diskussionen über die Sicherheitsverbesserungen der neuen Plattform geführt. Auch einige
potenzielle Probleme sind aufgetreten. In diesem White Paper bzw. Informationsbericht
beschäftigen wir uns mit den bedeutendsten Veränderungen und Ergänzungen sowie der
Frage, wie sich diese auf die Benutzer und Administratoren auswirken.
Sophos White Paper
September 2009
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Windows 7-Sicherheit: Ein großer Sprung nach vorn
oder alles wie gewohnt?
Kann Windows 7 überzeugen, wo Vista
versagte?
Windows Vista wurde zwar groß angekündigt,
die Nachfrage war jedoch mager. Microsoft hat
sich sehr darum bemüht, Hardware-Anbieter
von der Nutzung der damals neuen Plattform
zu überzeugen - jedoch ohne großen Erfolg.
Viele Unternehmen haben sich aufgrund
unterschiedlicher Risikoabwägungen dazu
entschlossen, weiterhin mit der ihnen bekannten
und zuverlässigen XP-Version zu arbeiten, bis die
neue Plattform mit Service Packs und Upgrades
stabilisiert wird.
Aber Microsoft hat eine andere Richtung
eingeschlagen und hastig eine neue Plattform
erstellt.
Die in Vista enthaltenen Upgrades dienten
der Verbesserung visueller Eindrücke und der
Geschwindigkeit der Vorgänge. Die Plattform
hat jedoch auch eine Vielzahl neuer oder
verbesserter Sicherheitsoptionen mit sich
gebracht. Am beachtenswertesten ist dabei
die Benutzerkontensteuerung (UAC), die der
Vorbeugung unbefugter Ausführungen von
Code dienen sollte. Die UAC wurde aufgrund
der aufdringlichen Pop-Up-Fenster stark
kritisiert. Darüber hinaus hat sich Microsoft
fälschlicherweise darauf verlassen, dass sich die
weitgehend ungelernten Benutzer Zeit nehmen, die
Bedeutung der Meldungen zu entschlüsseln anstatt
diese zu ignorieren oder zu deaktivieren.
Ein paar zusätzliche kleine Ergänzungen
führten zu ein wenig extra Sicherheit, z. B. die
Standardverschlüsselung mit BitLocker sowie die
Funktion zur zufälligen Anordnung beim Laden des
Adressbereichs (Address Space Load Randomization).
Andere Systeme blieben jedoch weitgehend
unverändert. Dazu zählen die Einweg-Firewall und
das Sicherheitscenter.
Microsoft möchte mit Windows 7 unter Beweis
stellen, dass es seinen Kritikern Gehör leistet und
hat daher eine Vielzahl dieser Probleme in Angriff
genommen.
Einige Veränderungen sind größtenteils kosmetisch
bedingt - die Upgrades für die Erscheinung des
Desktops erwecken den Eindruck, dass Microsoft
weiterhin den Vista-Ansatz verfolgt und nach
dem Vorbild eines bestimmten konkurrierenden
Betriebssystems mit einem weitaus besseren Ruf in
Hinblick auf das visuelle Erscheinungsbild und das
benutzerfreundliche Design handelt.
Im Großen und Ganzen verspricht Microsoft
neue Ergänzungen und wichtige Upgrades für
Sicherheitslücken in der Vorgängerversion, die ein
größeres Maß an Sicherheit sowie eine leichtere
Nutzung der Funktionen gewährleisten sollen.
Microsoft hat die Schnittstellen zwischen den
Benutzern und der Befugniskontrolle durch das
Vista Sicherheitscenter überholt und dieses zum
Action Center umbenannt, was zwar nach mehr
Spaß klingt, aber doppeldeutig ist. Darüber hinaus
wurde die UAC neu gestaltet, die Firewall in eine
mehr ganzheitliche Funktion umgewandelt und
die Verschlüsselung erweitert. Microsoft verspricht
außerdem ein benutzerfreundlicheres VPN-System.
Die Umsetzung und Vollständigkeit dieser neuen
Ideen in Windows 7 wird eine große Rolle
spielen, wenn es um die Überzeugung derjenigen
Benutzer und IT-Abteilungen geht, die sich in der
Vergangenheit gegen Upgrades gesträubt haben.
Und für die Vielzahl der Benutzer, die schon seit
langem warten, werden Upgrades keine Option
mehr darstellen. Microsoft möchte die schlechten
Erfahrungen mit Vista nicht wiederholen - groß
angelegte Marketing- und Verkaufskampagnen sollen
Kunden vom Erwerb der Windows 7-Plattform
überzeugen. Es ist nahezu sicher, dass Windows 7
seinen Vorgänger XP verdrängen wird. Daher werden
die Sicherheitsstandards der neuen Plattform einen
weltweiten Einfluss auf Benutzer haben - ob diese es
nun wollen oder nicht.
Action Center: Windows Sicherheitscenter
umbenannt, aber nicht ersetzt?
Microsoft hat das Windows Sicherheitscenter mit
XP eingeführt und dieses seither kaum verändert.
Für den Einsatz auf Windows 7 wurde es jedoch
modernisiert. Das neue "Action Center" (zu Deutsch:
Aktionscenter) stellt eine Kombination aus den
existierenden Verwaltungs- und Kontrollfunktionen
der Firewall und einem sich aktualisierenden
1
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Malware-Schutz mit einer Auswahl zusätzlicher
Systemverwaltungsoptionen dar. Dazu gehören
Sicherheitskopien, Fehlerbehebung, Spyware-Schutz,
die UAC und der allgemeine Entwicklungsstand der
Netzwerk- und Sicherheitseinstellungen.
Benutzer von Windows Vista, die bisher mit einer
Vielzahl von Warnmeldungen zu kämpfen hatten,
werden eine große Veränderung feststellen. Windows
7 stellt detailliertere Verzeichnisse potenzieller
Probleme bereit, die häufig durch brauchbare
Informationen und Tipps unterstützt werden. Die
Integration der Malware-Schutzlösungen wurde
genauer unter die Lupe genommen und Produkte
sind jetzt dazu in der Lage, das Betriebssystem über
erforderliche Aktualisierungen zu informieren. Das
Vista Sicherheitscenter konnte nur die Aussagen
"Abgelaufen" oder "Seit mehr als 30 Tagen abgelaufen"
treffen. Produkte stellen nun mehr kundenspezifische
Informationen bereit und ermöglichen es den
Benutzern, auf größerem Wissen basierte
Entscheidungen und individuelle Einstellungen zu
treffen (sie können z. B. Funktionen deaktivieren, die
sie nicht überwachen möchten).
Das Symbol für das Action Center sieht wie eine
flatternde Fahne aus. Es zeigt eine kleine rote
Markierung an, wenn etwas in Ordnung gebracht
werden muss. Auf den ersten Blick scheint es eine
gute Idee zu sein, vom Gebrauch der Pop-UpFenster abzusehen, die aufgrund ihrer Häufigkeit
kaum noch von Benutzern wahrgenommen wurden.
Das Fahnensymbol könnte jedoch einen Schritt
zu weit gehen: Das neue Warnsystem könnte
unwichtig erscheinen und somit unbrauchbar
werden.
Benutzer und Entwickler von Sicherheitslösungen
werden es aufgrund der verbesserten Integration
und Kontrolle sowie der granularen Nachrichten um
vieles einfacher haben. Es scheint jedoch weiterhin
schwierig zu sein, die richtige Balance zwischen
dem Informieren der Benutzer und der Überflutung
dieser mit irreführenden Warnmeldungen zu finden.
Zugriff verweigert: UAC einfacher, aber
noch immer eine Nervenangelegenheit?
Die UAC ist nun Teil des Action Centers (und
somit ein wichtiges Sicherheitsmerkmal der
Plattform) und wurde radikal überarbeitet, um
die Auswirkungen auf Benutzer zu minimieren.
Dieses System ist erstmals mit Vista erschienen
und schnell für die übermäßigen und aufdringlichen
Warnmeldungen und Bestätigungsanfragen
bekannt geworden. Benutzer haben von diesen
Meldungen schnell die Nase voll gehabt und
das System folglich ausgeschaltet. Grund dafür
waren bestimmte Systemeinstellungen - mehr
als neue Software-Installationen oder installierte
Programme, die eine Einstellung anpassen wollten
(also wenn man von einer Warnmeldung ausgehen
würde bzw. sogar eine erhalten möchte). Das neue
System bietet neben der Ein- und Aus-Option der
Vorgängerversion weitere Funktionen an. Es wird
standardmäßig nur um Erlaubnis fragen, wenn
ein Programm eines Drittanbieters Veränderungen
hervorrufen möchte. Veränderungen durch den
Benutzer werden ohne vorherige Bestätigung dieser
übernommen. Ein vereinfachtes Schiebesystem
ermöglicht den Benutzern die einfache Festlegung
mehrerer oder weniger Schutzoptionen. Darüber
hinaus kann auch die gelegentlich auftretende und
standardmäßig mit Warnmeldungen einhergehende,
oft schreckenerregende Verdunkelung des
Bildschirms (bis hin zum vollständig schwarzen
Bildschirm) deaktiviert werden. Microsoft hat
außerdem am Design Pop-Up-Fenster gearbeitet,
um diese informativer zu gestalten.
Microsoft hat versprochen, die Anzahl der Pop-Ups
bedeutend zu reduzieren. Und Pop-Up-Fenster
in Windows 7 greifen in der Tat auf bessere
Informationen in Hinblick auf befugte Aktionen
zurück. Das System sollte also effizienter arbeiten.
Es ist jedoch unklar, ob Benutzer dazu in der Lage
sein werden, das System richtig einzusetzen. Das
liegt daran, dass viele Benutzer nicht wissen,
wie sie auf bestimmte Meldungen zu reagieren
haben oder einfach nur daran interessiert sind,
das Pop-Up-Fenster verschwinden zu lassen. Auf
einem Standard-Desktop mit der Grundeinstellung
als "Geschützter Administrator" ist das Schließen
des Pop-Up-Fensters äußerst einfach. Es muss
lediglich "Ja" oder "Nein" ausgewählt werden. Die
Standardauswahl lautet "Nein". Benutzer, die es
sich zur Gewohnheit gemacht haben, einfach die
Eingabetaste zu drücken, sind vor unerwünschten
Veränderungen und wahrscheinlich frustrierenden,
nicht funktionierenden Software-Anwendungen
geschützt.
Ein anderes Problem mit den Standardeinstellungen
besteht darin, dass Malware das System umgehen
konnte, indem sie sich in vertrauenswürdige
2
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Anwendungen eingefügt hat und von dort aus
gelaufen ist. Es wurde sogar von Malware berichtet,
die vorgibt, eine UAC-bedingte Sicherheitsmeldung
zu sein und sich so die Erlaubnis einholt,
ungehindert zu operieren.
Das alte, kaum brauchbare System konnte
somit verbessert werden. Dennoch fehlt es der
neuen Plattform an von Grund auf überholten
Sicherheitsmodellen. Andere Plattformen stellen
normalerweise einen bedarfsgerechten Kontext
und detaillierte Informationen bereit, damit
Benutzer verstehen, was von ihnen gefragt wird.
Diese Modelle arbeiten außerdem mit einem
Administrator-Kennwort, das auch eingegeben
werden muss, wenn der Administrator bereits
eingeloggt ist. Folglich überlegen sich Benutzer
genauer, welche Programme sie erlauben und
übernehmen somit mehr Verantwortung für
ihre eigene Sicherheit. Das UAC-Konzept ist
nicht experten-, sondern benutzergesteuert. Es
handelt sich dabei um einen fraglichen Ansatz,
wenn man berücksichtigt, dass viele Endnutzer
nicht die notwendige fachliche Kompetenz
aufweisen. Obwohl persönliche Dateien und
Tools die Genehmigung des Benutzers und
Bearbeitung durch diesen voraussetzen, sollten
grundlegende Systeme und Funktionen drastischen
Schutzmaßnahmen unterzogen werden.
Datenkontrolle: Windows Firewall letztendlich vollständig operationsfähig?
Die Windows Firewall war eine der bedeutendsten
Sicherheitsverbesserungen, die in der XP-Ära
eingeführt wurden. Die anfängliche Version mit
standardmäßig ausgeschalteten Einstellungen hatte
sich als mangelhaft herausgestellt. Mit SP2 machte
Microsoft einen großen Schritt vorwärts und
erhöhte mit dem Einsatz der Firewall als StandardApplikation die Sicherheit der Benutzer auf der
ganzen Welt.
Diese Sicherheitsmaßnahme war aufgrund der
ausschließlichen Kontrolle eingehender Daten und
der Außerachtlassung ausgehender Daten (wie
es bei ordnungsgemäßen Sicherheitslösungen der
Fall ist) natürlich bei weitem nicht ideal. Obwohl
die Standardfunktion für zustandsbehaftete
Paketfilter (Stateful Packet Filtering) etwas Schutz
vor geläufigen Exploits geboten hat, fehlte es an
erweiterten Funktionen. Und ohne eine zentrale
Verwaltung waren die Erzwingung von Richtlinien
und die Überprüfung für Unternehmensnetzwerke
ungeeignet. Die meisten gut informierten
Administratoren haben darin nur eine weitere
Funktion gesehen, die zu deaktivieren ist, bevor ein
anderer umfassender Schutz eingeführt wird. Nicht
zuletzt hat das System einem Laien bzw. einem
faulen Heimanwender jedoch ein Grundgerüst zum
Schutz vor vielen Arten von Angriffen geboten.
Mit dem neuen Betriebssystem ist die Windows
Firewall auf dem Vormarsch. Die neue Version
verfügt über die entsprechenden Ports für einund ausgehenden Datenverkehr, Protokollfilter
einschließlich IPv6-Unterstützung sowie eine Reihe
neuer Funktionen. Eine detaillierte Konfiguration ist
auf Nutzerebene möglich; die Verbesserungen auf
der Ebene der Unternehmensnetzwerke sind jedoch
noch bedeutender: Die vollständige Verwaltung und
Berichtsfunktionen wurden gut in das Untersystem
der Gruppenrichtlinien integriert.
Das klingt zwar wie ein Segen für Heimanwender
und Unternehmen, der Erfolg hängt jedoch
stark von der Bereitwilligkeit und Umsetzung
der langjährigen Sicherheitspraktiken ab.
Heimanwender - außer die wenig informierten
- nutzen Internet-Sicherheitspakete, um Malwareund Firewall-Schutz zu gewährleisten. In der
Regel handelt es sich dabei um ein professionelles
Firewall-Design und die Integration von AntiMalware-Programmen, die ein höheres Maß
an Schutz bieten. Auf Unternehmensebene
werden in den meisten Fällen dieselben Praktiken
eingesetzt. Anbieter von unternehmensorientierten
Sicherheitslösungen bündeln Desktop-Firewalls
mit ihren eigenen Schutzmaßnahmen und
bieten ihr eigenes zentralisiertes Verwaltungsund Berichterstattungssystem an. In größeren
Netzwerken werden Sicherheitsexperten mit
Administratorrechten für die Überwachung und
Instandhaltung der Schutzmechanismen betraut.
Darüber hinaus müssen diese auch Anti-MalwareProgramme, NAC (Netzwerkzugriffskontrolle) und
andere Sicherheitsanwendungen überwachen,
die sich nicht so gut in das Microsoft-eigene
Kontrollsystem integrieren lassen. Zur
Verwaltung des Gruppenrichtlinien-Objekts
werden sich Sicherheitsexperten mit einem teils
schwierigen Lernprozess auseinandersetzen
müssen (obwohl eine gewisse Ähnlichkeit mit der
Anwendungssoftware auf Benutzerebene und den
Richtlinien für Administratoren besteht, und für
deren Bedürfnisse geeignet ist).
3
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Das liegt daran, dass sich dieses Prinzip nicht mit
den Standard-Arbeitsabläufen der existierenden
Sicherheitssysteme verträgt, da diese insbesondere
für den Umgang mit den komplexen Anforderungen
der Firewall-Konfiguration entworfen worden sind.
Für die meisten Heimanwender und Unternehmen
wird das Verteilen der Sicherheitsmaßnahmen
auf verschiedene Tools sowie die Nutzung
verschiedener Layouts und Unterstützungssysteme
Zeitverschwendung sein. Existierende,
vertrauenswürdige Anbieter von Firewalls werden
anscheinend auch in der Zukunft weiterhin
eingesetzt werden.
Ein Tunnel voraus: DirectAccess, ein
einfaches VPN für alle?
Das neue DirectAccess-System (zu Deutsch:
Direktzugriff) ist wahrscheinlich die interessanteste
neue Sicherheitsfunktion für Unternehmen.
Es handelt sich um einen eingebauten VPNKlienten, der es Benutzern ermöglicht, "einfach
und sicher auf die unternehmerischen Ressourcen
auch außerhalb des Büros zugreifen zu können".
(Quelle: Microsoft Windows 7-Hauptseite) Das
neue System wurde vollständig integriert, es
ist immer am Laufen, kompatibel mit Firewalls
und NAT-Einstellungen und es ermöglicht den
Remotezugriff auf Unternehmensnetzwerke und
die Remoteverwaltung von eingeloggten Systemen
durch Netzwerkadministratoren. Benutzer
benötigen immer häufiger Remotezugriff. Und die
Probleme, von denen sie in diesem Zusammenhang
den Netzwerksicherheitsadministratoren berichten,
wachsen aufgrund der vielen Nummern und
Anforderungen an Komplexität. Microsoft hat die
Notwendigkeit einer bedeutenden Verbesserung
in der Remoteverbindung erkannt und macht den
Anschein, diese Unterwegs-Verbindung einfach
und sicher zu gestalten.
Diesem Prinzip stehen jedoch wichtige Ausführungsund Sicherheitsprobleme im Weg. Der erste große
Stolperstein ist die Tatsache, dass der DirectAccess
vollständig von IPv6 abhängig ist. Obwohl die IPv6der IPv4-Technologie theoretisch überlegen und
besser skalierbar ist, muss sie in dieser modernen
Welt noch einen Fortschritt machen. Administratoren
müssen die IPv6-Technologie auf allen Arbeitsplätzen
und Unternehmensnetzwerke installieren und
dabei den richtigen Umgang damit erlernen.
Wenn eine komplexe und unbekannte Technologie
zum ersten Mal eingesetzt wird, entstehen in
der Regel immer ein paar Sicherheitslücken.
Microsoft empfiehlt eine Alternative dazu: die
Ausführung von Übersetzungstechnologien auf
den Arbeitsplatzrechnern und Serverseiten.
Höchstwahrscheinlich werden dafür zwei
verschiedene Tools und Systeme benötigt, die
wiederum zusätzliche Kosten verursachen und zu
Unübersichtlichkeit führen. Und mit Komplexität
kommen zusätzliche Sicherheitsrisiken.
Diejenigen, die in den sauren Apfel beißen und
die IPv6-Technologie frühzeitig einsetzen müssen,
sollten sich an die Probleme bei der Einführung
der IPv4-Technologie erinnern - es wurde nämlich
eine große Anzahl von Schwachstellen entdeckt.
IPv6 wird ähnliche Probleme mit sich bringen,
sobald die Benutzergemeinschaft gewachsen ist
und auf Schwachstellen aufmerksam wird. Die
ersten Benutzer dieser Technologie werden in
den ermüdenden Zyklus der Virenbekämpfung
und Installation von Patches verwickelt, bis
Programmfehler ausgebügelt werden.
Darüber hinaus birgt die Empfehlung von
Microsoft über den Einsatz des Systems
einige Gefahren. Es soll Daten sicher an die
Unternehmensnetzwerke weiterleiten, aber
gleichzeitig andere Aktivitäten, wie z. B. das Surfen
im Internet mit der typischen (normalerweise
kabellosen) Verbindung, ermöglichen. Dies soll
der Einsparung unternehmerischer Ressourcen
dienen. Sicherheitsbewusste Administratoren
werden die Alarmglocken läuten hören, da dieser
Ansatz eine Tür zwischen dem mit großer Vorsicht
geschütztem Netzwerk und dem mit Bedrohungen
durchwachsenem Internet öffnet. Dieser Ansatz
sollte in anderen Worten unter allen Umständen
vermieden werden.
Sobald die IPv6-Technologie erst einmal zur Norm
geworden ist, wird sie einen großen Schritt nach
vorn darstellen. Das System ist im Augenblick noch
unreif und es fehlt ein wenig an Vollständigkeit der
Vision. Seriöse Netzwerkadministratoren werden
ihre existierenden VPN-Anbieter daher noch eine
ganze Zeit lang nutzen.
4
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Ausgesperrt: BitLocker, ein geschäftsfähiges Verschlüsselungssystem?
Die BitLocker-Festplattenverschlüsselung wurde mit
Vista eingeführt und für den Gebrauch auf Windows
7 etwas erweitert und verbessert. Das trifft jedoch
nur auf die Editionen Enterprise und Ultimate
zu. Darüber hinaus stellt diese Funktion einige
Anforderungen an die Hardware. Es wird ein BIOSkompatibles und eine separate unverschlüsselte
Bootpartition benötigt, um auf das verschlüsselte
Laufwerk zugreifen zu können. Für eine optimale
Leistung wird ein Trusted Platform Module
(vertrauenswürdiges Plattformmodul) empfohlen.
Dieses bietet eine Reihe von Schutzmaßnamen
an; dazu gehören manipulationssicherer Schutz
für den sicheren Start, Schlüsselspeicherung
und grundlegende kryptographische Funktionen.
Im transparenten Betriebsmodus wird kaum
mehr als eine Integritätsprüfung beim Start
ausgeführt. Dabei können Entschlüsselungsfehler
auftreten, oder es wird zumindest eine zusätzliche
Bestätigungsanfrage eingeblendet, wenn unbefugte
Änderungen vorgenommen wurden. Der Modus
zur Benutzerauthentifizierung bietet ein höheres
Maß an Verschlüsselungen und Sicherheit. Es wird
ein Benutzerkennwort benötigt oder ein Schlüssel,
der auf einem USB-Laufwerk gespeichert ist,
bevor das geschützte System oder andere Medien
entschlüsselt werden.
Windows 7 beinhaltet zudem zusätzliche
Funktionen zum Verschlüsseln von USBWechsellaufwerken. Diese sollten ohne notwendige
Veränderungen mit Windows Vista kompatibel
sein. XP-Anwender werden ein neues Plug-In
benötigen, um Zugriff auf Daten zu haben, die
auf verschlüsselten Laufwerken abgelegt wurden.
Zumindest ein Lesezugriff wird so erstattet.
Das Plug-In wird nur dann Schutz bieten, wenn
das Laufwerk vom Rechner getrennt ist. Wenn
das Gerät mit einem Rechner verbunden wird,
sind alle auf dem Laufwerk enthaltenden Daten
diebstahlgefährdet, sofern sich Malware auf dem
Rechner befindet.
Es macht genauso wie bei den Verbesserungen
der Firewall den Anschein, dass Microsoft in
Hinblick auf das ins Betriebssystem eingebaute
Qualitäts- und Verschlüsselungssystem gute Arbeit
geleistet hat. Die Frage bleibt jedoch bestehen,
ob Unternehmen ihre Administratoren davon
überzeugen können, von ihren existierenden, gut
bekannten, vertrauten Kryptographie-Anbietern
loszulassen und das neue System einzusetzen.
Immerhin sieht die Situation genauso aus wie bei
den Firewalls: Langjährige Probleme machen es
schwer, den neuen Schutzmaßnahmen Vertrauen
zu schenken. Die Verwaltung ist noch immer
ein Kernproblem in Sachen Anwendung der
zentralisierten Schlüsselverwaltung; und Disaster
Recovery (Katastrophenmanagement) hinkt der
soliden Umsetzung auf lokaler Ebene beträchtlich
hinterher.
AppLocker klingt zwar ein wenig nach BitLocker,
hat damit aber nichts zu tun. Die AppLockerFunktion ist ein grundlegendes Whitelisting-System,
das es nur zugelassenen Software-Anwendungen
erlaubt, auf Windows 7-Systemen zu laufen.
Diese Funktion steht nur den Besitzern der
Enterprise- und Ultimate-Editionen bereit und kann
mithilfe des Gruppenrichtlinien-Modells verwaltet
werden.
Mehr oder weniger: Andere Sicherheitsvorteile und potenzielle Fallgruben
Administratoren, die darüber nachdenken,
Windows 7 in einer Unternehmensumgebung
einzusetzen, sollten sich einer Reihe anderer
Diskussionspunkte bewusst werden. Dazu gehören
ein paar Pluspunkte, aber auch einige Risiken.
Einige haben darauf hingewiesen, dass sich
die eingebaute Virtualisierungstechnologie im
XP-Modus kompatibel zu älteren SoftwareAnwendungen verhält, was einen großen Nutzen
hat. Andere hingegen machen auf potenzielle
Minuspunkte aufmerksam - und das mit gutem
Grund. Die zentrale Verwaltung der virtuellen
Systeme im XP-Modus ist nur eingeschränkt
möglich. Darüber hinaus benötigt ein Gast-System,
wie jedes virtuelle Gerät auch, erforderliche PatchVerwaltungstools und Sicherheitssoftware zum
Schutz. Viele unerfahrene Benutzer sind in dem
Glauben, dass virtuelle Gast-Systeme durch die
Sicherheitsfunktionen des Hosts geschützt sind
und keine eigenen Patches und Anti-MalwareProgramme benötigen. Daher neigen diese Benutzer
dazu, virtuelle Gast-Systeme offen für Angriffe
und Bedrohungen zu lassen. Die Nutzung dieser
ungeschützten Systeme durch Heimanwender trägt
zum Wachstum der Bedrohungen bei, die sich auf
Rechner auf der ganzen Welt ausbreiten.
Aus unternehmerischer Sicht besteht wenig
Bedarf am XP-Modus, da die meisten Software5
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Anwendungen problemlos auf Windows 7
laufen. Der XP-Modus wird hauptsächlich
denjenigen dienen, die sich nicht von ihren alten
Lieblingsspielen trennen können. Administratoren
sollten den XP-Modus auf dem Desktop eines
Unternehmens einfach deaktivieren. Wenn der
XP-Modus zur Verfügung stehen muss, sollten
den üblichen Anforderungen zur Virtualisierung
Folge geleistet werden - d. h. äußerst sorgfältige
Mehrarbeit, einschließlich Patches und Sicherheit
auf der Client-Seite.
Es sind Gerüchte aufgekommen, dass europäische
Kartellregeln Microsoft eventuell dazu zwingen
werden, eine sogenannte "E-Edition" für den
europäischen Marktplatz zur Verfügung zu stellen.
Diese Edition würde es Benutzern ermöglichen,
während der Installation eine Reihe marktführender
Browser auszuwählen. Und das Betriebssystem
soll etwas offener sein und auch ohne den Internet
Explorer funktionieren. Das könnte zwar von
Interesse für Heimanwender sein, da sich diese
von zusätzlicher Sicherheit und der Nutzung
verschiedener Browser beeindrucken lassen.
Die unternehmerische Verwaltung von Software
ist mit den regulären Patches von Microsoft,
wenn auch oft verspätet, jedoch besser bedient.
Darüber hinaus werden im Augenblick nur wenige
Unternehmen dazu bereit sein, volles Vertrauen in
ungenügend unterstützte Open-Source-Alternativen
zu legen. In den meisten Fällen wird der Internet
Browser wohl der Standardbrowser bleiben, und
andere Browser werden nur Alternativen darstellen.
Microsoft hat eine Zeit lang starke Kritik aufgrund
seines dickköpfigen Verhaltens gegenüber
der Standardeinstellung zum Verstecken
der Dateierweiterungen in den meisten
Windows-Produkten einstecken müssen. Diese
Standardeinstellung wurde jahrelang von MalwareAutoren für den Zweck ausgenutzt, ihre Malware
als etwas anderes darzustellen. Dieses Problem
ist bereits bei Windows NT aufgetreten und wird
weitgehend als einer der einfachsten Schritte
angesehen, den Microsoft machen könnte, um die
Intuition unter Beweis zu stellen, seine Benutzer
vor Malware schützen zu wollen.
Das Kennwort-Authentifizierungsmodell stellt einen
großen Stolperstein in der von Microsoft hoch
bewerteten Benutzerfreundlichkeit dar. Außerdem
scheint Microsoft bemerkt zu haben, dass
dieses Modell ein fehlerhaftes Sicherheitssystem
ist. Windows 7 beherbergt eine Ergänzung,
die wahrscheinlich allgemein willkommen sein
wird. Es handelt sich dabei um die eingebaute
Unterstützung für biometrische Geräte. Damit
können Fingerabdruck-Sensoren gelesen werden
und Entwicklern steht ein API-Zugriff auf andere
biometrische Gerätetypen zur Verfügung.
Mehr und mehr Geräte haben heutzutage eine
Fingerabdruck-Lesefunktion integriert. Obwohl
die Einführung der Lesegeräte unterschiedliche
Erfolgsraten aufgezeigt hat, könnte dieser Ansatz
von den einfach zu knackenden bzw. schnell
gestohlenen Kennwörtern zu einer persönlicheren
und einzigartigen Methode der Identitätsbestätigung
führen. Der Erfolg bzw. die Erfolglosigkeit dieses
Modells wird größtenteils von der Integration der
Geräte in die Plattformen, Software-Anwendungen
und Web-Dienste abhängen. Und Microsoft hat mit
diesem Packet einen wichtigen Schritt in Hinblick
auf die Bereitstellung dieser Sicherheitsmaßnahmen
unternommen.
Kann Windows 7 meinen Computern mit
den neuen Funktionen Sicherheit bieten?
Microsoft hat versucht, einem angebrachten
Sicherheitsmodell näher zu rücken, ob die
Motivation dafür nun auf ein allgemeines Interesse,
etwas besser machen zu wollen, zurückzuführen
ist, oder einfach auf der Tatsache beruht,
glaubhafter hinsichtlich der Sicherheit sensibler
Geschäftsabläufe zu erscheinen. Microsoft hat
seinen Benutzern einige interessante und hilfreiche
Tools zur Verfügung gestellt, die Anwendern
und Netzwerkadministration Kontrolle über ihre
Systeme und Daten geben. Viele dieser neuen
Tools beinhalten jedoch Fehler verschiedener Art
- und einige weisen ernsthafte Defizite in Sachen
Vollständigkeit der Vision und Gründlichkeit der
Ausführung auf. Andere Pakete hingegen scheinen
sehr gut zu funktionieren und vollständig zu sein
und nur darauf zu warten, weltweit ihren Nutzen zu
erfüllen.
Wir haben natürlich nicht erwartet, dass die neue
Plattform dazu in der Lage ist, jegliche Malware
und Sicherheitsbedrohungen auszuschließen.
Microsoft wird wenigstens die geläufigsten
Sicherheitsprobleme abdecken, mit denen die nicht
informierten und nicht motivierten Heimanwender
- die einen Großteil der Microsoft-Kunden
ausmachen - zu kämpfen haben, sobald der
kostenlose Malware-Schutz mit den Grundlagen zur
Sicherheit zur Verfügung steht.
Die meisten Unternehmen werden weiterhin
professionelle Sicherheitspakete von Drittanbietern
nutzen. Es besteht zumindest die Möglichkeit,
dass eine Reduzierung leichter Ziele im Bereich der
Heimanwender dazu führt, dass auch die Anzahl
der Zombies, Spam-Bots und DDoS-Verteiler
sinkt, die unsere Netzwerke ständig mit Spam und
schädlichen Angriffen belasten.
6
Sophos White Paper
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt?
Boston, USA | Oxford, UK
© Copyright 2009 Sophos GmbH
Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser
Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert
oder übertragen werden.