Vista: Mehr Sicherheit

Kernel-Schutz bei 64-Bit-Systemen

Bei 64-Bit-Systemen gibt es weitere Schutzmechanismen. Mit der Kernel Patch Protection wird verhindert, dass Kernel-Module durch nicht autorisierte Software ausgetauscht werden können. Außerdem müssen alle Kernel-Module und Treiber digital signiert werden.

Microsoft hat das nur für die 64-Bit-Systeme umgesetzt, weil die dadurch erforderlichen Änderungen in der Programmierung bei der vergleichsweise geringen Anzahl von 64-Bit-Anwendungen mit Kernel-Modulen und Treibern relativ leicht umzusetzen sind und frühzeitig – auch schon für Windows XP und den Windows Server 2003 – kommuniziert werden konnten. Für die 32-Bit-Versionen von Windows gibt es dagegen so viel Software von Drittherstellern, dass eine solche Umstellung zu vielen Kompatibilitätsproblemen mit Anwendungen führen würde.

Zugriffschutz mit User Account Control

Eines der größten Probleme für die Sicherheit ist, dass sehr viele Benutzer mit vollen administrativen Berechtigungen angemeldet sind und Angreifer bei erfolgreichen Angriffen dann auch die volle Kontrolle über das angegriffene System erhalten.

Mit dem Ansatz der User Account Control (UAC) versucht Microsoft, das Problem zu minimieren. Dabei werden die Standardprivilegien von Benutzern für normale Zugriffe genutzt. Falls administrative Aktivitäten erfolgen, werden die Benutzer – soweit sie überhaupt höhere Rechte erhalten dürfen – gefragt, ob sie bestimmte Aktivitäten mit erhöhten Berechtigungen durchführen möchten (Bild 1).

Bild 1: Die User Account Control fragt, bevor Anwendungen mit erhöhten Berechtigungen ausgeführt werden.
Bild 1: Die User Account Control fragt, bevor Anwendungen mit erhöhten Berechtigungen ausgeführt werden.

Damit können beispielsweise auch Administratoren nun mit einem Benutzerkonto arbeiten. Solange sie Standardaufgaben wie den Zugriff auf ihre E-Mails durchführen, arbeitet das System mit eingeschränkten Berechtigungen. Falls administrative Aufgaben ausgeführt werden müssen, wird in den Modus mit höheren Berechtigungen geschaltet.

Die UAC ist ein Verfahren, das einen Kompromiss zwischen der Sicherheit und der Nutzbarkeit des Systems sucht. Grundsätzlich kann man auch heute schon unterschiedliche Benutzerkonten definieren und beispielsweise einzelne administrative Anwendungen mit Ausführen als im Kontext eines anderen Benutzers starten. Das ist aber unbequem und wird daher wenig genutzt. Mit der UAC erfolgt kein Wechsel zwischen Benutzerkonten. Vielmehr arbeitet das System in den meisten Situationen mit reduzierten Privilegien und wechselt nur in Ausnahmefällen in einen Modus mit umfassenderen Berechtigungen.

Der Ansatz der UAC wird derzeit noch optimiert. Die Zielsetzung ist dabei, mit möglichst wenigen Abfragen an Benutzer auszukommen, gleichzeitig aber sicherzustellen, dass kritische Aktivitäten im System, die administrative Berechtigungen erfordern, ausschließlich mit einer Bestätigung erfolgen und damit auch nicht mehr von einem Angreifer ohne Sichtbarkeit für den Benutzer durchgeführt werden können. Das Konzept werden wir in einer der folgenden Ausgaben von Expert’s inside Windows NT/2000 näher betrachten.