Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie
Transcription
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie
Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Die Markteinführung von Windows 7 rückt näher. Es wurden bereits Debatten und Diskussionen über die Sicherheitsverbesserungen der neuen Plattform geführt. Auch einige potenzielle Probleme sind aufgetreten. In diesem White Paper bzw. Informationsbericht beschäftigen wir uns mit den bedeutendsten Veränderungen und Ergänzungen sowie der Frage, wie sich diese auf die Benutzer und Administratoren auswirken. Sophos White Paper September 2009 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Kann Windows 7 überzeugen, wo Vista versagte? Windows Vista wurde zwar groß angekündigt, die Nachfrage war jedoch mager. Microsoft hat sich sehr darum bemüht, Hardware-Anbieter von der Nutzung der damals neuen Plattform zu überzeugen - jedoch ohne großen Erfolg. Viele Unternehmen haben sich aufgrund unterschiedlicher Risikoabwägungen dazu entschlossen, weiterhin mit der ihnen bekannten und zuverlässigen XP-Version zu arbeiten, bis die neue Plattform mit Service Packs und Upgrades stabilisiert wird. Aber Microsoft hat eine andere Richtung eingeschlagen und hastig eine neue Plattform erstellt. Die in Vista enthaltenen Upgrades dienten der Verbesserung visueller Eindrücke und der Geschwindigkeit der Vorgänge. Die Plattform hat jedoch auch eine Vielzahl neuer oder verbesserter Sicherheitsoptionen mit sich gebracht. Am beachtenswertesten ist dabei die Benutzerkontensteuerung (UAC), die der Vorbeugung unbefugter Ausführungen von Code dienen sollte. Die UAC wurde aufgrund der aufdringlichen Pop-Up-Fenster stark kritisiert. Darüber hinaus hat sich Microsoft fälschlicherweise darauf verlassen, dass sich die weitgehend ungelernten Benutzer Zeit nehmen, die Bedeutung der Meldungen zu entschlüsseln anstatt diese zu ignorieren oder zu deaktivieren. Ein paar zusätzliche kleine Ergänzungen führten zu ein wenig extra Sicherheit, z. B. die Standardverschlüsselung mit BitLocker sowie die Funktion zur zufälligen Anordnung beim Laden des Adressbereichs (Address Space Load Randomization). Andere Systeme blieben jedoch weitgehend unverändert. Dazu zählen die Einweg-Firewall und das Sicherheitscenter. Microsoft möchte mit Windows 7 unter Beweis stellen, dass es seinen Kritikern Gehör leistet und hat daher eine Vielzahl dieser Probleme in Angriff genommen. Einige Veränderungen sind größtenteils kosmetisch bedingt - die Upgrades für die Erscheinung des Desktops erwecken den Eindruck, dass Microsoft weiterhin den Vista-Ansatz verfolgt und nach dem Vorbild eines bestimmten konkurrierenden Betriebssystems mit einem weitaus besseren Ruf in Hinblick auf das visuelle Erscheinungsbild und das benutzerfreundliche Design handelt. Im Großen und Ganzen verspricht Microsoft neue Ergänzungen und wichtige Upgrades für Sicherheitslücken in der Vorgängerversion, die ein größeres Maß an Sicherheit sowie eine leichtere Nutzung der Funktionen gewährleisten sollen. Microsoft hat die Schnittstellen zwischen den Benutzern und der Befugniskontrolle durch das Vista Sicherheitscenter überholt und dieses zum Action Center umbenannt, was zwar nach mehr Spaß klingt, aber doppeldeutig ist. Darüber hinaus wurde die UAC neu gestaltet, die Firewall in eine mehr ganzheitliche Funktion umgewandelt und die Verschlüsselung erweitert. Microsoft verspricht außerdem ein benutzerfreundlicheres VPN-System. Die Umsetzung und Vollständigkeit dieser neuen Ideen in Windows 7 wird eine große Rolle spielen, wenn es um die Überzeugung derjenigen Benutzer und IT-Abteilungen geht, die sich in der Vergangenheit gegen Upgrades gesträubt haben. Und für die Vielzahl der Benutzer, die schon seit langem warten, werden Upgrades keine Option mehr darstellen. Microsoft möchte die schlechten Erfahrungen mit Vista nicht wiederholen - groß angelegte Marketing- und Verkaufskampagnen sollen Kunden vom Erwerb der Windows 7-Plattform überzeugen. Es ist nahezu sicher, dass Windows 7 seinen Vorgänger XP verdrängen wird. Daher werden die Sicherheitsstandards der neuen Plattform einen weltweiten Einfluss auf Benutzer haben - ob diese es nun wollen oder nicht. Action Center: Windows Sicherheitscenter umbenannt, aber nicht ersetzt? Microsoft hat das Windows Sicherheitscenter mit XP eingeführt und dieses seither kaum verändert. Für den Einsatz auf Windows 7 wurde es jedoch modernisiert. Das neue "Action Center" (zu Deutsch: Aktionscenter) stellt eine Kombination aus den existierenden Verwaltungs- und Kontrollfunktionen der Firewall und einem sich aktualisierenden 1 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Malware-Schutz mit einer Auswahl zusätzlicher Systemverwaltungsoptionen dar. Dazu gehören Sicherheitskopien, Fehlerbehebung, Spyware-Schutz, die UAC und der allgemeine Entwicklungsstand der Netzwerk- und Sicherheitseinstellungen. Benutzer von Windows Vista, die bisher mit einer Vielzahl von Warnmeldungen zu kämpfen hatten, werden eine große Veränderung feststellen. Windows 7 stellt detailliertere Verzeichnisse potenzieller Probleme bereit, die häufig durch brauchbare Informationen und Tipps unterstützt werden. Die Integration der Malware-Schutzlösungen wurde genauer unter die Lupe genommen und Produkte sind jetzt dazu in der Lage, das Betriebssystem über erforderliche Aktualisierungen zu informieren. Das Vista Sicherheitscenter konnte nur die Aussagen "Abgelaufen" oder "Seit mehr als 30 Tagen abgelaufen" treffen. Produkte stellen nun mehr kundenspezifische Informationen bereit und ermöglichen es den Benutzern, auf größerem Wissen basierte Entscheidungen und individuelle Einstellungen zu treffen (sie können z. B. Funktionen deaktivieren, die sie nicht überwachen möchten). Das Symbol für das Action Center sieht wie eine flatternde Fahne aus. Es zeigt eine kleine rote Markierung an, wenn etwas in Ordnung gebracht werden muss. Auf den ersten Blick scheint es eine gute Idee zu sein, vom Gebrauch der Pop-UpFenster abzusehen, die aufgrund ihrer Häufigkeit kaum noch von Benutzern wahrgenommen wurden. Das Fahnensymbol könnte jedoch einen Schritt zu weit gehen: Das neue Warnsystem könnte unwichtig erscheinen und somit unbrauchbar werden. Benutzer und Entwickler von Sicherheitslösungen werden es aufgrund der verbesserten Integration und Kontrolle sowie der granularen Nachrichten um vieles einfacher haben. Es scheint jedoch weiterhin schwierig zu sein, die richtige Balance zwischen dem Informieren der Benutzer und der Überflutung dieser mit irreführenden Warnmeldungen zu finden. Zugriff verweigert: UAC einfacher, aber noch immer eine Nervenangelegenheit? Die UAC ist nun Teil des Action Centers (und somit ein wichtiges Sicherheitsmerkmal der Plattform) und wurde radikal überarbeitet, um die Auswirkungen auf Benutzer zu minimieren. Dieses System ist erstmals mit Vista erschienen und schnell für die übermäßigen und aufdringlichen Warnmeldungen und Bestätigungsanfragen bekannt geworden. Benutzer haben von diesen Meldungen schnell die Nase voll gehabt und das System folglich ausgeschaltet. Grund dafür waren bestimmte Systemeinstellungen - mehr als neue Software-Installationen oder installierte Programme, die eine Einstellung anpassen wollten (also wenn man von einer Warnmeldung ausgehen würde bzw. sogar eine erhalten möchte). Das neue System bietet neben der Ein- und Aus-Option der Vorgängerversion weitere Funktionen an. Es wird standardmäßig nur um Erlaubnis fragen, wenn ein Programm eines Drittanbieters Veränderungen hervorrufen möchte. Veränderungen durch den Benutzer werden ohne vorherige Bestätigung dieser übernommen. Ein vereinfachtes Schiebesystem ermöglicht den Benutzern die einfache Festlegung mehrerer oder weniger Schutzoptionen. Darüber hinaus kann auch die gelegentlich auftretende und standardmäßig mit Warnmeldungen einhergehende, oft schreckenerregende Verdunkelung des Bildschirms (bis hin zum vollständig schwarzen Bildschirm) deaktiviert werden. Microsoft hat außerdem am Design Pop-Up-Fenster gearbeitet, um diese informativer zu gestalten. Microsoft hat versprochen, die Anzahl der Pop-Ups bedeutend zu reduzieren. Und Pop-Up-Fenster in Windows 7 greifen in der Tat auf bessere Informationen in Hinblick auf befugte Aktionen zurück. Das System sollte also effizienter arbeiten. Es ist jedoch unklar, ob Benutzer dazu in der Lage sein werden, das System richtig einzusetzen. Das liegt daran, dass viele Benutzer nicht wissen, wie sie auf bestimmte Meldungen zu reagieren haben oder einfach nur daran interessiert sind, das Pop-Up-Fenster verschwinden zu lassen. Auf einem Standard-Desktop mit der Grundeinstellung als "Geschützter Administrator" ist das Schließen des Pop-Up-Fensters äußerst einfach. Es muss lediglich "Ja" oder "Nein" ausgewählt werden. Die Standardauswahl lautet "Nein". Benutzer, die es sich zur Gewohnheit gemacht haben, einfach die Eingabetaste zu drücken, sind vor unerwünschten Veränderungen und wahrscheinlich frustrierenden, nicht funktionierenden Software-Anwendungen geschützt. Ein anderes Problem mit den Standardeinstellungen besteht darin, dass Malware das System umgehen konnte, indem sie sich in vertrauenswürdige 2 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Anwendungen eingefügt hat und von dort aus gelaufen ist. Es wurde sogar von Malware berichtet, die vorgibt, eine UAC-bedingte Sicherheitsmeldung zu sein und sich so die Erlaubnis einholt, ungehindert zu operieren. Das alte, kaum brauchbare System konnte somit verbessert werden. Dennoch fehlt es der neuen Plattform an von Grund auf überholten Sicherheitsmodellen. Andere Plattformen stellen normalerweise einen bedarfsgerechten Kontext und detaillierte Informationen bereit, damit Benutzer verstehen, was von ihnen gefragt wird. Diese Modelle arbeiten außerdem mit einem Administrator-Kennwort, das auch eingegeben werden muss, wenn der Administrator bereits eingeloggt ist. Folglich überlegen sich Benutzer genauer, welche Programme sie erlauben und übernehmen somit mehr Verantwortung für ihre eigene Sicherheit. Das UAC-Konzept ist nicht experten-, sondern benutzergesteuert. Es handelt sich dabei um einen fraglichen Ansatz, wenn man berücksichtigt, dass viele Endnutzer nicht die notwendige fachliche Kompetenz aufweisen. Obwohl persönliche Dateien und Tools die Genehmigung des Benutzers und Bearbeitung durch diesen voraussetzen, sollten grundlegende Systeme und Funktionen drastischen Schutzmaßnahmen unterzogen werden. Datenkontrolle: Windows Firewall letztendlich vollständig operationsfähig? Die Windows Firewall war eine der bedeutendsten Sicherheitsverbesserungen, die in der XP-Ära eingeführt wurden. Die anfängliche Version mit standardmäßig ausgeschalteten Einstellungen hatte sich als mangelhaft herausgestellt. Mit SP2 machte Microsoft einen großen Schritt vorwärts und erhöhte mit dem Einsatz der Firewall als StandardApplikation die Sicherheit der Benutzer auf der ganzen Welt. Diese Sicherheitsmaßnahme war aufgrund der ausschließlichen Kontrolle eingehender Daten und der Außerachtlassung ausgehender Daten (wie es bei ordnungsgemäßen Sicherheitslösungen der Fall ist) natürlich bei weitem nicht ideal. Obwohl die Standardfunktion für zustandsbehaftete Paketfilter (Stateful Packet Filtering) etwas Schutz vor geläufigen Exploits geboten hat, fehlte es an erweiterten Funktionen. Und ohne eine zentrale Verwaltung waren die Erzwingung von Richtlinien und die Überprüfung für Unternehmensnetzwerke ungeeignet. Die meisten gut informierten Administratoren haben darin nur eine weitere Funktion gesehen, die zu deaktivieren ist, bevor ein anderer umfassender Schutz eingeführt wird. Nicht zuletzt hat das System einem Laien bzw. einem faulen Heimanwender jedoch ein Grundgerüst zum Schutz vor vielen Arten von Angriffen geboten. Mit dem neuen Betriebssystem ist die Windows Firewall auf dem Vormarsch. Die neue Version verfügt über die entsprechenden Ports für einund ausgehenden Datenverkehr, Protokollfilter einschließlich IPv6-Unterstützung sowie eine Reihe neuer Funktionen. Eine detaillierte Konfiguration ist auf Nutzerebene möglich; die Verbesserungen auf der Ebene der Unternehmensnetzwerke sind jedoch noch bedeutender: Die vollständige Verwaltung und Berichtsfunktionen wurden gut in das Untersystem der Gruppenrichtlinien integriert. Das klingt zwar wie ein Segen für Heimanwender und Unternehmen, der Erfolg hängt jedoch stark von der Bereitwilligkeit und Umsetzung der langjährigen Sicherheitspraktiken ab. Heimanwender - außer die wenig informierten - nutzen Internet-Sicherheitspakete, um Malwareund Firewall-Schutz zu gewährleisten. In der Regel handelt es sich dabei um ein professionelles Firewall-Design und die Integration von AntiMalware-Programmen, die ein höheres Maß an Schutz bieten. Auf Unternehmensebene werden in den meisten Fällen dieselben Praktiken eingesetzt. Anbieter von unternehmensorientierten Sicherheitslösungen bündeln Desktop-Firewalls mit ihren eigenen Schutzmaßnahmen und bieten ihr eigenes zentralisiertes Verwaltungsund Berichterstattungssystem an. In größeren Netzwerken werden Sicherheitsexperten mit Administratorrechten für die Überwachung und Instandhaltung der Schutzmechanismen betraut. Darüber hinaus müssen diese auch Anti-MalwareProgramme, NAC (Netzwerkzugriffskontrolle) und andere Sicherheitsanwendungen überwachen, die sich nicht so gut in das Microsoft-eigene Kontrollsystem integrieren lassen. Zur Verwaltung des Gruppenrichtlinien-Objekts werden sich Sicherheitsexperten mit einem teils schwierigen Lernprozess auseinandersetzen müssen (obwohl eine gewisse Ähnlichkeit mit der Anwendungssoftware auf Benutzerebene und den Richtlinien für Administratoren besteht, und für deren Bedürfnisse geeignet ist). 3 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Das liegt daran, dass sich dieses Prinzip nicht mit den Standard-Arbeitsabläufen der existierenden Sicherheitssysteme verträgt, da diese insbesondere für den Umgang mit den komplexen Anforderungen der Firewall-Konfiguration entworfen worden sind. Für die meisten Heimanwender und Unternehmen wird das Verteilen der Sicherheitsmaßnahmen auf verschiedene Tools sowie die Nutzung verschiedener Layouts und Unterstützungssysteme Zeitverschwendung sein. Existierende, vertrauenswürdige Anbieter von Firewalls werden anscheinend auch in der Zukunft weiterhin eingesetzt werden. Ein Tunnel voraus: DirectAccess, ein einfaches VPN für alle? Das neue DirectAccess-System (zu Deutsch: Direktzugriff) ist wahrscheinlich die interessanteste neue Sicherheitsfunktion für Unternehmen. Es handelt sich um einen eingebauten VPNKlienten, der es Benutzern ermöglicht, "einfach und sicher auf die unternehmerischen Ressourcen auch außerhalb des Büros zugreifen zu können". (Quelle: Microsoft Windows 7-Hauptseite) Das neue System wurde vollständig integriert, es ist immer am Laufen, kompatibel mit Firewalls und NAT-Einstellungen und es ermöglicht den Remotezugriff auf Unternehmensnetzwerke und die Remoteverwaltung von eingeloggten Systemen durch Netzwerkadministratoren. Benutzer benötigen immer häufiger Remotezugriff. Und die Probleme, von denen sie in diesem Zusammenhang den Netzwerksicherheitsadministratoren berichten, wachsen aufgrund der vielen Nummern und Anforderungen an Komplexität. Microsoft hat die Notwendigkeit einer bedeutenden Verbesserung in der Remoteverbindung erkannt und macht den Anschein, diese Unterwegs-Verbindung einfach und sicher zu gestalten. Diesem Prinzip stehen jedoch wichtige Ausführungsund Sicherheitsprobleme im Weg. Der erste große Stolperstein ist die Tatsache, dass der DirectAccess vollständig von IPv6 abhängig ist. Obwohl die IPv6der IPv4-Technologie theoretisch überlegen und besser skalierbar ist, muss sie in dieser modernen Welt noch einen Fortschritt machen. Administratoren müssen die IPv6-Technologie auf allen Arbeitsplätzen und Unternehmensnetzwerke installieren und dabei den richtigen Umgang damit erlernen. Wenn eine komplexe und unbekannte Technologie zum ersten Mal eingesetzt wird, entstehen in der Regel immer ein paar Sicherheitslücken. Microsoft empfiehlt eine Alternative dazu: die Ausführung von Übersetzungstechnologien auf den Arbeitsplatzrechnern und Serverseiten. Höchstwahrscheinlich werden dafür zwei verschiedene Tools und Systeme benötigt, die wiederum zusätzliche Kosten verursachen und zu Unübersichtlichkeit führen. Und mit Komplexität kommen zusätzliche Sicherheitsrisiken. Diejenigen, die in den sauren Apfel beißen und die IPv6-Technologie frühzeitig einsetzen müssen, sollten sich an die Probleme bei der Einführung der IPv4-Technologie erinnern - es wurde nämlich eine große Anzahl von Schwachstellen entdeckt. IPv6 wird ähnliche Probleme mit sich bringen, sobald die Benutzergemeinschaft gewachsen ist und auf Schwachstellen aufmerksam wird. Die ersten Benutzer dieser Technologie werden in den ermüdenden Zyklus der Virenbekämpfung und Installation von Patches verwickelt, bis Programmfehler ausgebügelt werden. Darüber hinaus birgt die Empfehlung von Microsoft über den Einsatz des Systems einige Gefahren. Es soll Daten sicher an die Unternehmensnetzwerke weiterleiten, aber gleichzeitig andere Aktivitäten, wie z. B. das Surfen im Internet mit der typischen (normalerweise kabellosen) Verbindung, ermöglichen. Dies soll der Einsparung unternehmerischer Ressourcen dienen. Sicherheitsbewusste Administratoren werden die Alarmglocken läuten hören, da dieser Ansatz eine Tür zwischen dem mit großer Vorsicht geschütztem Netzwerk und dem mit Bedrohungen durchwachsenem Internet öffnet. Dieser Ansatz sollte in anderen Worten unter allen Umständen vermieden werden. Sobald die IPv6-Technologie erst einmal zur Norm geworden ist, wird sie einen großen Schritt nach vorn darstellen. Das System ist im Augenblick noch unreif und es fehlt ein wenig an Vollständigkeit der Vision. Seriöse Netzwerkadministratoren werden ihre existierenden VPN-Anbieter daher noch eine ganze Zeit lang nutzen. 4 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Ausgesperrt: BitLocker, ein geschäftsfähiges Verschlüsselungssystem? Die BitLocker-Festplattenverschlüsselung wurde mit Vista eingeführt und für den Gebrauch auf Windows 7 etwas erweitert und verbessert. Das trifft jedoch nur auf die Editionen Enterprise und Ultimate zu. Darüber hinaus stellt diese Funktion einige Anforderungen an die Hardware. Es wird ein BIOSkompatibles und eine separate unverschlüsselte Bootpartition benötigt, um auf das verschlüsselte Laufwerk zugreifen zu können. Für eine optimale Leistung wird ein Trusted Platform Module (vertrauenswürdiges Plattformmodul) empfohlen. Dieses bietet eine Reihe von Schutzmaßnamen an; dazu gehören manipulationssicherer Schutz für den sicheren Start, Schlüsselspeicherung und grundlegende kryptographische Funktionen. Im transparenten Betriebsmodus wird kaum mehr als eine Integritätsprüfung beim Start ausgeführt. Dabei können Entschlüsselungsfehler auftreten, oder es wird zumindest eine zusätzliche Bestätigungsanfrage eingeblendet, wenn unbefugte Änderungen vorgenommen wurden. Der Modus zur Benutzerauthentifizierung bietet ein höheres Maß an Verschlüsselungen und Sicherheit. Es wird ein Benutzerkennwort benötigt oder ein Schlüssel, der auf einem USB-Laufwerk gespeichert ist, bevor das geschützte System oder andere Medien entschlüsselt werden. Windows 7 beinhaltet zudem zusätzliche Funktionen zum Verschlüsseln von USBWechsellaufwerken. Diese sollten ohne notwendige Veränderungen mit Windows Vista kompatibel sein. XP-Anwender werden ein neues Plug-In benötigen, um Zugriff auf Daten zu haben, die auf verschlüsselten Laufwerken abgelegt wurden. Zumindest ein Lesezugriff wird so erstattet. Das Plug-In wird nur dann Schutz bieten, wenn das Laufwerk vom Rechner getrennt ist. Wenn das Gerät mit einem Rechner verbunden wird, sind alle auf dem Laufwerk enthaltenden Daten diebstahlgefährdet, sofern sich Malware auf dem Rechner befindet. Es macht genauso wie bei den Verbesserungen der Firewall den Anschein, dass Microsoft in Hinblick auf das ins Betriebssystem eingebaute Qualitäts- und Verschlüsselungssystem gute Arbeit geleistet hat. Die Frage bleibt jedoch bestehen, ob Unternehmen ihre Administratoren davon überzeugen können, von ihren existierenden, gut bekannten, vertrauten Kryptographie-Anbietern loszulassen und das neue System einzusetzen. Immerhin sieht die Situation genauso aus wie bei den Firewalls: Langjährige Probleme machen es schwer, den neuen Schutzmaßnahmen Vertrauen zu schenken. Die Verwaltung ist noch immer ein Kernproblem in Sachen Anwendung der zentralisierten Schlüsselverwaltung; und Disaster Recovery (Katastrophenmanagement) hinkt der soliden Umsetzung auf lokaler Ebene beträchtlich hinterher. AppLocker klingt zwar ein wenig nach BitLocker, hat damit aber nichts zu tun. Die AppLockerFunktion ist ein grundlegendes Whitelisting-System, das es nur zugelassenen Software-Anwendungen erlaubt, auf Windows 7-Systemen zu laufen. Diese Funktion steht nur den Besitzern der Enterprise- und Ultimate-Editionen bereit und kann mithilfe des Gruppenrichtlinien-Modells verwaltet werden. Mehr oder weniger: Andere Sicherheitsvorteile und potenzielle Fallgruben Administratoren, die darüber nachdenken, Windows 7 in einer Unternehmensumgebung einzusetzen, sollten sich einer Reihe anderer Diskussionspunkte bewusst werden. Dazu gehören ein paar Pluspunkte, aber auch einige Risiken. Einige haben darauf hingewiesen, dass sich die eingebaute Virtualisierungstechnologie im XP-Modus kompatibel zu älteren SoftwareAnwendungen verhält, was einen großen Nutzen hat. Andere hingegen machen auf potenzielle Minuspunkte aufmerksam - und das mit gutem Grund. Die zentrale Verwaltung der virtuellen Systeme im XP-Modus ist nur eingeschränkt möglich. Darüber hinaus benötigt ein Gast-System, wie jedes virtuelle Gerät auch, erforderliche PatchVerwaltungstools und Sicherheitssoftware zum Schutz. Viele unerfahrene Benutzer sind in dem Glauben, dass virtuelle Gast-Systeme durch die Sicherheitsfunktionen des Hosts geschützt sind und keine eigenen Patches und Anti-MalwareProgramme benötigen. Daher neigen diese Benutzer dazu, virtuelle Gast-Systeme offen für Angriffe und Bedrohungen zu lassen. Die Nutzung dieser ungeschützten Systeme durch Heimanwender trägt zum Wachstum der Bedrohungen bei, die sich auf Rechner auf der ganzen Welt ausbreiten. Aus unternehmerischer Sicht besteht wenig Bedarf am XP-Modus, da die meisten Software5 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Anwendungen problemlos auf Windows 7 laufen. Der XP-Modus wird hauptsächlich denjenigen dienen, die sich nicht von ihren alten Lieblingsspielen trennen können. Administratoren sollten den XP-Modus auf dem Desktop eines Unternehmens einfach deaktivieren. Wenn der XP-Modus zur Verfügung stehen muss, sollten den üblichen Anforderungen zur Virtualisierung Folge geleistet werden - d. h. äußerst sorgfältige Mehrarbeit, einschließlich Patches und Sicherheit auf der Client-Seite. Es sind Gerüchte aufgekommen, dass europäische Kartellregeln Microsoft eventuell dazu zwingen werden, eine sogenannte "E-Edition" für den europäischen Marktplatz zur Verfügung zu stellen. Diese Edition würde es Benutzern ermöglichen, während der Installation eine Reihe marktführender Browser auszuwählen. Und das Betriebssystem soll etwas offener sein und auch ohne den Internet Explorer funktionieren. Das könnte zwar von Interesse für Heimanwender sein, da sich diese von zusätzlicher Sicherheit und der Nutzung verschiedener Browser beeindrucken lassen. Die unternehmerische Verwaltung von Software ist mit den regulären Patches von Microsoft, wenn auch oft verspätet, jedoch besser bedient. Darüber hinaus werden im Augenblick nur wenige Unternehmen dazu bereit sein, volles Vertrauen in ungenügend unterstützte Open-Source-Alternativen zu legen. In den meisten Fällen wird der Internet Browser wohl der Standardbrowser bleiben, und andere Browser werden nur Alternativen darstellen. Microsoft hat eine Zeit lang starke Kritik aufgrund seines dickköpfigen Verhaltens gegenüber der Standardeinstellung zum Verstecken der Dateierweiterungen in den meisten Windows-Produkten einstecken müssen. Diese Standardeinstellung wurde jahrelang von MalwareAutoren für den Zweck ausgenutzt, ihre Malware als etwas anderes darzustellen. Dieses Problem ist bereits bei Windows NT aufgetreten und wird weitgehend als einer der einfachsten Schritte angesehen, den Microsoft machen könnte, um die Intuition unter Beweis zu stellen, seine Benutzer vor Malware schützen zu wollen. Das Kennwort-Authentifizierungsmodell stellt einen großen Stolperstein in der von Microsoft hoch bewerteten Benutzerfreundlichkeit dar. Außerdem scheint Microsoft bemerkt zu haben, dass dieses Modell ein fehlerhaftes Sicherheitssystem ist. Windows 7 beherbergt eine Ergänzung, die wahrscheinlich allgemein willkommen sein wird. Es handelt sich dabei um die eingebaute Unterstützung für biometrische Geräte. Damit können Fingerabdruck-Sensoren gelesen werden und Entwicklern steht ein API-Zugriff auf andere biometrische Gerätetypen zur Verfügung. Mehr und mehr Geräte haben heutzutage eine Fingerabdruck-Lesefunktion integriert. Obwohl die Einführung der Lesegeräte unterschiedliche Erfolgsraten aufgezeigt hat, könnte dieser Ansatz von den einfach zu knackenden bzw. schnell gestohlenen Kennwörtern zu einer persönlicheren und einzigartigen Methode der Identitätsbestätigung führen. Der Erfolg bzw. die Erfolglosigkeit dieses Modells wird größtenteils von der Integration der Geräte in die Plattformen, Software-Anwendungen und Web-Dienste abhängen. Und Microsoft hat mit diesem Packet einen wichtigen Schritt in Hinblick auf die Bereitstellung dieser Sicherheitsmaßnahmen unternommen. Kann Windows 7 meinen Computern mit den neuen Funktionen Sicherheit bieten? Microsoft hat versucht, einem angebrachten Sicherheitsmodell näher zu rücken, ob die Motivation dafür nun auf ein allgemeines Interesse, etwas besser machen zu wollen, zurückzuführen ist, oder einfach auf der Tatsache beruht, glaubhafter hinsichtlich der Sicherheit sensibler Geschäftsabläufe zu erscheinen. Microsoft hat seinen Benutzern einige interessante und hilfreiche Tools zur Verfügung gestellt, die Anwendern und Netzwerkadministration Kontrolle über ihre Systeme und Daten geben. Viele dieser neuen Tools beinhalten jedoch Fehler verschiedener Art - und einige weisen ernsthafte Defizite in Sachen Vollständigkeit der Vision und Gründlichkeit der Ausführung auf. Andere Pakete hingegen scheinen sehr gut zu funktionieren und vollständig zu sein und nur darauf zu warten, weltweit ihren Nutzen zu erfüllen. Wir haben natürlich nicht erwartet, dass die neue Plattform dazu in der Lage ist, jegliche Malware und Sicherheitsbedrohungen auszuschließen. Microsoft wird wenigstens die geläufigsten Sicherheitsprobleme abdecken, mit denen die nicht informierten und nicht motivierten Heimanwender - die einen Großteil der Microsoft-Kunden ausmachen - zu kämpfen haben, sobald der kostenlose Malware-Schutz mit den Grundlagen zur Sicherheit zur Verfügung steht. Die meisten Unternehmen werden weiterhin professionelle Sicherheitspakete von Drittanbietern nutzen. Es besteht zumindest die Möglichkeit, dass eine Reduzierung leichter Ziele im Bereich der Heimanwender dazu führt, dass auch die Anzahl der Zombies, Spam-Bots und DDoS-Verteiler sinkt, die unsere Netzwerke ständig mit Spam und schädlichen Angriffen belasten. 6 Sophos White Paper Windows 7-Sicherheit: Ein großer Sprung nach vorn oder alles wie gewohnt? Boston, USA | Oxford, UK © Copyright 2009 Sophos GmbH Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert oder übertragen werden.