Vista: Mehr Sicherheit

Windows Service Hardening

Eine dieser Maßnahmen ist das Windows Service Hardening. Die Dienste sind bei Windows ein beliebtes Angriffsziel, da sie in der Regel mit hohen Berechtigungen – häufig als lokales Systemkonto mit administrativen Rechten – ausgeführt werden. Ein erfolgreicher Angriff auf einen solchen Dienst gibt dem Angreifer entsprechend volle administrative Berechtigungen zumindest für das lokale System.

Bei Windows Vista wurde daher das Konzept der eingeschränkten Dienste (restricted services) eingeführt. Die eingeschränkten Dienste können mit einem Minimum an Berechtigungen ausgeführt werden, und ihre Aktivitäten sind auf die lokale Maschine oder das Netzwerk beschränkt. Im Rahmen dieses Konzepts wird beschrieben, welche Privilegien welche Dienste benötigen, welche Regeln für den Zugriff auf Systemressourcen gelten und welche ein- und ausgehenden Ports verwendet werden dürfen. Die Einhaltung dieser Regeln wird von anderen Systemkomponenten wie der Windows Firewall überwacht.

Die Funktionalität ist für den Endanwender und Administrator weitgehend transparent, weil die Einstellungen für die Dienste von Microsoft bzw. Drittanbietern vorgenommen werden.

Wie so oft bei solchen Neuerungen wird es allerdings einige Zeit dauern, bis dieses Konzept auf breiter Basis die erforderliche Akzeptanz gefunden hat. Die Problematik liegt darin, dass zwar Microsoft selbst seine Dienste entsprechend beschreiben und damit schützen kann, was bei Windows Vista auch bei den zentralen Diensten der Fall ist. Bis aber alle Dritthersteller von Anwendungen ihre Dienste entsprechend modifiziert haben, wird noch einige Zeit vergehen. Zudem ist das Konzept aus Gründen der Kompatibilität optional – ein Dienst kann also auch weiterhin ohne die zusätzlichen Schutzmechanismen des Windows Service Hardenings betrieben werden.

Hardwareschutz

Schon beim Service Pack 2 für Windows XP und beim Service Pack 1 für den Windows Server 2003 wurde die Unterstützung der so genannten NXTechnologie von Prozessoren eingeführt, mit der die Hardware über Zugriffe auf Speicherbereiche wacht. Diese Funktionalität wurde bei Windows Vista noch ausgebaut. Anwendungsentwickler können ihre Programme als NX-konform markieren. Damit werden die von diesen Anwendungen genutzten Speicherbereiche auch bei der 32-Bit-Version von Windows Vista durch die NXHardware – soweit vorhanden – geschützt.

Neu ist auch das Konzept der ASLR (Address Space Layout Randomization), mit dem gängige Systemkomponenten beim Start einem zufällig unter 256 möglichen Bereichen ausgewählten Speicherblock zugeordnet werden. Damit werden Angriffe schwieriger, weil es nicht mehr so einfach vorhersagbar ist, wo sich welche Systemkomponente im Speicher gerade befinden.