Mit Windows Vista wollte Microsoft sein Client-Betriebssystem deutlich sicherer machen. Dazu wurden einige grundlegende Systemänderungen vorgenommen. Doch dies führte zu zahlreichen Inkompatibilitäten mit bestehender Hard- und Software. Zudem fand Microsoft bei Vista keine echte Balance zwischen mehr Sicherheit und der Gängelung des Anwenders. Nicht zuletzt dadurch wurde Vista zum Flop, vor allem im Firmenumfeld. Doch mit Windows 7 soll nun alles besser werden. Und wie es bislang aussieht, ist Microsoft mit seinem neuen Client-OS endlich mal wieder ein Glücksgriff gelungen.
Differenzierte UAC
Eines der misslungenen und das am meisten kritisierten Features von Windows Vista ist die User Account Control (UAC), zu Deutsch "Benutzerkontensteuerung". Bei jeder scheinbar noch so unwichtigen Änderung am System erscheint ein Bestätigungsdialog. Genervten Anwendern bleibt oft nichts anderes übrig, als UAC ganz abzuschalten. Schon mit dem Service Pack 1 für Vista hatte Microsoft die Zahl der Bedingungen reduziert, die zu einer UAC-Meldung führen. In Windows 7 wurde hier noch einmal nachgebessert. Darüber hinaus gibt es zwei neue Konfigurationsmöglichkeiten, die zwar die Sicherheit vermindern, aber dafür zu noch weniger Sicherheitsdialogen führen. Insgesamt kennt UAC in Windows 7 nun vier Modi:
-
Immer melden, wenn ein Programm oder der Anwender das System verändern möchte;
-
Nur melden, wenn ein Programm Systemänderungen vornehmen will (Standardeinstellung);
-
Nur melden, wenn ein Programm versucht, Systemänderungen vorzunehmen. Der Bildschirmhintergrund wird bei diesem Modus nicht abgedunkelt;
-
Keine Meldungen.
Für die Beta-Version von Windows 7 wurden zwei Angriffe bekannt, die UAC in der Standardkonfiguration aushebeln konnten. In dem einen Fall war Schadsoftware in der Lage, ohne Bestätigung des Anwenders die UAC gänzlich abzuschalten. Bei der zweiten Variante konnten Angreifer Administrationsrechte erlangen, weil in der Standardeinstellung die vom Anwender veranlassten Systemänderungen keine UAC-Meldung hervorrufen. Zunächst spielte Microsoft diese Risiken herunter, mittlerweile sind die Fehler aber gefixt. Unter anderem muss der Anwender künftig Konfigurationsänderungen an der Benutzerkontensteuerung grundsätzlich bestätigen.
|
Plus |
Weniger UAC-Meldungen |
|
Mehr Einstellungsmöglichkeiten |
|
|
Minus |
Sicherheitsgewinn bei den beiden neuen Modi ist fraglich |
|
UAC-Meldungen lassen sich für bestimmte Programme nicht abschalten (zum Beispiel "Symantec UAC" oder "Smart UAC") |
BitLocker Festplatten-Verschlüsselung
Das größte Manko von Vistas Festplattenverschlüsselung "BitLocker" besteht darin, dass die nachträgliche Installation großen Aufwand verursacht. Ist das Betriebssystem schon installiert, muss die bereits vorhandene Systempartition zunächst verkleinert werden, um für die BitLocker-Partition Platz zu schaffen. Microsoft hatte deshalb das "BitLocker Drive Preparation Tool" nachgereicht, das bei einer späteren Einrichtung der Verschlüsselungsfunktion behilflich ist. Allerdings ist die Prozedur für die Umstellung einer größeren Zahl von Rechnern zu umständlich.
Bei Windows 7 umgeht Microsoft die nachträgliche Installation elegant: Die BitLocker-Partition wird standardmäßig bereits bei der Installation des Betriebssystems eingerichtet. Sie benötigt etwa 200 MByte Speicherplatz. Wird das "Windows Recovery Environment" (Windows RE) zusätzlich installiert, sind 400 MByte fällig. Der Administrator kann dann in der Systemsteuerung die Verschlüsselung des Systemlaufwerks anstoßen.
Gegenüber anderen alternativen Lösungen, wie etwa dem kostlosen "TrueCrypt", hat BitLocker auch noch unter Windows 7 den Nachteil, dass die Handhabung bei PCs ohne Trusted Platform Module (TPM) umständlich ist. Zwar gibt es inzwischen einige Business-Laptops mit TPM-Chip. In die günstigeren Consumer-Notebooks und insbesondere in die derzeit populären Netbooks wird er jedoch in der Regel nicht eingebaut. Anwender müssen dann einen USB-Stick mit sich führen, von dem BitLocker beim Hochfahren des Systems den Startup Key lädt.
Der entscheidende Vorteil von BitLocker ist, dass sich die Wiederherstellungsschlüssel der Benutzer im Active Directory speichern lassen. Sollte ein Anwender den USB-Stick verlieren oder sein Passwort vergessen haben, dann kann der Administrator den Zugriff auf die mit BitLocker verschlüsselten Daten freischalten.
Bei Windows 7 ist es jetzt außerdem möglich, einen Data Recovery Agent (Wiederherstellungsagent) zu bestimmen. Das Verfahren zur Widerherstellung verschlüsselter Daten ist ähnlich wie beim Encrypting File System (EFS). Über einen Generalschlüssel kann ein Administrator alle mit BitLocker codierten Daten im Unternehmen wiederherstellen. Das spart Speicherplatz im Active Directory und vereinfacht die Entschlüsselung der Daten. Allerdings birgt diese Methode auch das Risiko, dass der Generalschlüssel in die falschen Hände geraten kann.
Ein weiterer Vorteil von BitLocker ist, dass es sich zentral über Gruppenrichtlinien konfigurieren lässt. Unter Windows 7 kann der Systemverwalter verbindliche Richtlinien für die Festplattenschlüsselung und den Datenzugriff vorgeben. So kann er jetzt die Passwortkomplexität festzulegen oder das Speichern auf Festplatten verbieten, wenn sie nicht mit BitLocker verschlüsselt wurden. Neu ist auch die Unterstützung von Smartcards für die Authentifizierung.
|
Plus |
Einfachere nachträgliche Verschlüsselung des Systemlaufwerks |
|
Generalschlüssel für den Wiederherstellungsagenten |
|
|
Zentrale Konfiguration über Gruppenrichtlinien |
|
|
Minus |
Nur für die Ultimate- und Enterprise-Version verfügbar |
|
Umständliche Handhabung auf Computern ohne TPM |
|
|
Verschwendung von 200 MByte Speicherplatz auf PCs, die BitLocker nicht nutzen |
BitLocker to Go für portable Speicher
BitLocker to Go ist eine Neuerung in Windows 7, die es Anwendern erlaubt, portable Speichermedien wie etwa USB-Sticks zu verschlüsseln. Über das Kontextmenü im Windows Explorer lässt sich der BitLocker-Assistent starten. Nach der Auswahl eines Passworts oder einer Smartcard muss der Anwender noch den Wiederherstellungsschlüssel auf einem anderen Medium, also zum Beispiel auf der Festplatte, ablegen. Dieser wird benötigt, falls das Passwort oder die Smartcard verloren gehen. Administratoren können alternativ die Speicherung des Wiederherstellungsschlüssels im Active Directory erzwingen. Wie bei der Verschlüsselung von Festplatten kann bei BitLocker to Go ein Wiederherstellungsagent eingerichtet werden.
Im Gegensatz zur Festplattenverschlüsselung benötigen Anwender für BitLocker to Go keine Administrationsrechte. Umso wichtiger ist es, dass die IT-Abteilung auf die die ersten Anwender vorbereitet ist, die ihr Passwort zum Entschlüsseln des Speichermediums vergessen haben. Denn anders als beim Encrypting File System (EFS) handelt es sich nicht um das Kennwort für die Windows-Anmeldung und kann daher nicht einfach zurückgesetzt werden.
Administratoren können die Nutzung von BitLocker to Go über Gruppenrichtlinien auch gänzlich unterbinden. Umgekehrt kann der Systemverwalter das Speichern von Daten auf unverschlüsselten portablen Medien verbieten. Dabei ist Windows 7 in der Lage, zwischen Medien zu unterscheiden, die in der eigenen Windows-Domäne oder in einem fremden Netz verschlüsselt wurden.
Mit BitLocker to Go verschlüsselte Medien können auch unter Vista und XP gelesen werden. Die älteren Windows-Varianten können darauf allerdings keine Daten schreiben. Zudem ist es nicht möglich, eine Datei direkt vom USB-Stick zu öffnen. Nach Eingabe des Passworts wird der Anwender aufgefordert, die Dateien zu wählen, die er auf die Festplatte kopieren möchte. Diese Prozedur ist nicht nur umständlich, sondern verringert auch die Sicherheit, da die Dateien dann unverschlüsselt auf der Festplatte liegen. Für Anwender, die ihre Daten regelmäßig auch auf Windows-Versionen ohne vollständige BitLocker-Unterstützung nutzen wollen, dürfte BitLocker to Go daher kaum interessant sein. TrueCrypt ist hier komfortabler.
|
Plus |
In Windows Explorer integriert |
|
Zentrale Konfiguration über Gruppenrichtlinien |
|
|
Speicherung von Wiederherstellungsschlüsselinformationen im Active Directory |
|
|
Minus |
Schreibzugriff nur unter Windows 7 Enterprise und Ultimate |
|
Umständliche Handhabung unter Windows Vista und XP |
|
|
Gesamter USB-Stick muss verschlüsselt werden |
AppLocker sperrt unerwünschte Programme (mit Video)
AppLocker ist ein neues Feature von Windows 7 Enterprise, mit dem Administratoren festlegen können, welche Anwendungen im Unternehmensnetz ausgeführt werden dürfen. Die "Richtlinien für Softwareeinschränkung" ("Software Restriction Policies") von Windows XP und Vista erfüllen im Prinzip die gleiche Funktion wie AppLocker, sind bei Administratoren aber wegen ihrer aufwändigen Pflege nicht besonders beliebt. Windows 7 bietet sie aber aus Kompatibilitätsgründen nach wie vor an.
AppLocker kennt drei verschiedene Regeltypen:
-
Path Rules
-
File Hash Rules
-
Publisher Rules
Path Rules und File Hash wurden schon von den Richtlinien für Softwareeinschränkung unterstützt. Path Rules können die Ausführung von Programmen auf bestimmte Verzeichnisse beschränken. Wenn Benutzer jedoch Anwendungen von einem anderen Verzeichnis als dem "Programme"-Ordner starten müssen, beispielsweise eine Verschlüsselungs-Software von einem USB-Stick, dann kommt der Einsatz von Path Rules nicht in Frage.
Bei den File Hash Rules muss der Administrator für alle erlaubten Programme einen Hash-Wert berechnen. Nur wenn die hinterlegte Prüfsumme mit dem vor jedem Start ermittelten Wert übereinstimmt, läuft die Anwendung. Die Verwaltung der Hash-Werte ist aber meist sehr aufwändig, zumal sie sich bei jedem Software-Update ändern.
Die neuen Publisher Rules von AppLocker vereinfachen das Management ungemein. Programme werden anhand der vom Softwarehersteller vergebenen digitalen Signaturen identifiziert. Die meisten neueren Anwendungen sind inzwischen damit ausgestattet. Der Systemverwalter kann damit den Zugriff auf Anwendungen eines bestimmten Herstellers (beispielsweise Microsoft), den Produktnamen (Word), den Dateinamen (word.exe) und die Versionsnummer (6.0 oder höher) freigeben. Ebenso kann mittels Richtlinien der Start bestimmter Anwendungen verhindert werden.
Das folgende Video liefert Ihnen einen Schnelleinstieg in AppLocker und die zur Verfügung stehenden Möglichkeiten. Hinweis: Weitere How-Do-I-Videos finden Sie bei Microsoft TechNet.
Alle AppLocker-Regeltypen lassen sich auf Anwendungen (exe), Skriptdateien (ps1, .bat, .cmd, .vbs, .js), Installationsdateien (.msi, msp) und Systembibliotheken (.dll, ocx) anwenden. Darüber hinaus kann der Systemverwalter die Richtlinien auf bestimmte Benutzergruppen beschränken. Auch können für jede Regel Ausnahmen definiert werden. Durch Kombination von Zulassungs- und Beschränkungsrichtlinien beziehungsweise Path- und Publisher Rules lässt sich recht präzise definieren, welche Anwendungen im Unternehmensnetz erlaubt sind. (ala/mec)
|
Plus |
Publisher Rules sind einfacher zu handhaben als die Richtlinien für Softwarebeschränkungen |
|
Konfiguration von Ausnahmen und Beschränkung auf Benutzergruppen ist möglich |
|
|
Assistenten und vordefinierte Regelsätze erleichtern die Erstellung von Richtlinien |
|
|
Minus |
Nur für Windows 7 Enterprise und Ultimate verfügbar |
|
Keine Unterstützung für ältere Windows-Versionen |