Die neuen Sicherheitsfunktionen von Windows 7 nutzen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.11.2009 Michael Pietroforte*

Die neuen Sicherheitsfunktionen von Windows 7 nutzen

Sicherheitsaspekte sind ein entscheidendes Argument beim Wechsel auf ein neues Betriebssystem. In Windows 7 hat Microsoft vor allem bei den Sicherheits-Features einiges verbessert. UAC, BitLocker (toGo) und AppLocker sind die wichtigsten Neuerungen für den Anwender.

Mit Windows Vista wollte Microsoft sein Client-Betriebssystem deutlich sicherer machen. Dazu wurden einige grundlegende Systemänderungen vorgenommen. Doch dies führte zu zahlreichen Inkompatibilitäten mit bestehender Hard- und Software. Zudem fand Microsoft bei Vista keine echte Balance zwischen mehr Sicherheit und der Gängelung des Anwenders. Nicht zuletzt dadurch wurde Vista zum Flop, vor allem im Firmenumfeld. Doch mit Windows 7 soll nun alles besser werden. Und wie es bislang aussieht, ist Microsoft mit seinem neuen Client-OS endlich mal wieder ein Glücksgriff gelungen.

DIFFERENZIERTE UAC Eines der misslungenen und das am meisten kritisierten Features von Windows Vista ist die User Account Control (UAC), zu Deutsch "Benutzerkontensteuerung". Bei jeder scheinbar noch so unwichtigen Änderung am System erscheint ein Bestätigungsdialog. Genervten Anwendern bleibt oft nichts anderes übrig, als UAC ganz abzuschalten. Schon mit dem Service Pack 1 für Vista hatte Microsoft die Zahl der Bedingungen reduziert, die zu einer UAC-Meldung führen. In Windows 7 wurde hier noch einmal nachgebessert. Darüber hinaus gibt es zwei neue Konfigurationsmöglichkeiten, die zwar die Sicherheit vermindern, aber dafür zu noch weniger Sicherheitsdialogen führen. Insgesamt kennt UAC in Windows 7 nun vier Modi:

1. Immer melden, wenn ein Programm oder der Anwender das System verändern möchte; 2. Nur melden, wenn ein Programm Systemänderungen vornehmen will (Standardeinstellung); 3. Nur melden, wenn ein Programm versucht, Systemänderungen vorzunehmen. Der Bildschirmhintergrund wird bei diesem Modus nicht abgedunkelt; 4. Keine Meldungen.

Für die Beta-Version von Windows 7 wurden zwei Angriffe bekannt, die UAC in der Standardkonfiguration aushebeln konnten. In dem einen Fall war Schadsoftware in der Lage, ohne Bestätigung des Anwenders die UAC gänzlich abzuschalten. Bei der zweiten Variante konnten Angreifer Administrationsrechte erlangen, weil in der Standardeinstellung die vom Anwender veranlassten Systemänderungen keine UAC-Meldung hervorrufen. Zunächst spielte Microsoft diese Risiken herunter, mittlerweile sind die Fehler aber gefixt. Unter anderem muss der Anwender künftig Konfigurationsänderungen an der Benutzerkontensteuerung grundsätzlich bestätigen.

Stärken und Schwächen von Windows 7 UAC Plus: Weniger UAC-Meldungen, Mehr Einstellungsmöglichkeiten

Minus: Sicherheitsgewinn bei den beiden neuen Modi ist fraglich, UAC-Meldungen lassen sich für bestimmte Programme nicht abschalten (zum Beispiel "Symantec UAC" oder "Smart UAC")

BITLOCKER FESTPLATTEN-VERSCHLÜSSELUNG Das größte Manko von Vistas Festplattenverschlüsselung "BitLocker" besteht darin, dass die nachträgliche Installation großen Aufwand verursacht. Ist das Betriebssystem schon installiert, muss die bereits vorhandene Systempartition zunächst verkleinert werden, um für die BitLocker-Partition Platz zu schaffen. Microsoft hatte deshalb das "BitLocker Drive Preparation Tool" nachgereicht, das bei einer späteren Einrichtung der Verschlüsselungsfunktion behilflich ist. Allerdings ist die Prozedur für die Umstellung einer größeren Zahl von Rechnern zu umständlich.

Bei Windows 7 umgeht Microsoft die nachträgliche Installation elegant: Die BitLocker-Partition wird standardmäßig bereits bei der Installation des Betriebssystems eingerichtet. Sie benötigt etwa 200 MByte Speicherplatz. Wird das "Windows Recovery Environment" (Windows RE) zusätzlich installiert, sind 400 MByte fällig. Der Administrator kann dann in der Systemsteuerung die Verschlüsselung des Systemlaufwerks anstoßen.

Gegenüber anderen alternativen Lösungen, wie etwa dem kostlosen "TrueCrypt", hat BitLocker auch noch unter Windows 7 den Nachteil, dass die Handhabung bei PCs ohne Trusted Platform Module (TPM) umständlich ist. Zwar gibt es inzwischen einige Business-Laptops mit TPM-Chip. In die günstigeren Consumer-Notebooks und insbesondere in die derzeit populären Netbooks wird er jedoch in der Regel nicht eingebaut. Anwender müssen dann einen USB-Stick mit sich führen, von dem BitLocker beim Hochfahren des Systems den Startup Key lädt.

Der entscheidende Vorteil von BitLocker ist, dass sich die Wiederherstellungsschlüssel der Benutzer im Active Directory speichern lassen. Sollte ein Anwender den USB-Stick verlieren oder sein Passwort vergessen haben, dann kann der Administrator den Zugriff auf die mit BitLocker verschlüsselten Daten freischalten.

Bei Windows 7 ist es jetzt außerdem möglich, einen Data Recovery Agent (Wiederherstellungsagent) zu bestimmen. Das Verfahren zur Widerherstellung verschlüsselter Daten ist ähnlich wie beim Encrypting File System (EFS). Über einen Generalschlüssel kann ein Administrator alle mit BitLocker codierten Daten im Unternehmen wiederherstellen. Das spart Speicherplatz im Active Directory und vereinfacht die Entschlüsselung der Daten. Allerdings birgt diese Methode auch das Risiko, dass der Generalschlüssel in die falschen Hände geraten kann.

Ein weiterer Vorteil von BitLocker ist, dass es sich zentral über Gruppenrichtlinien konfigurieren lässt. Unter Windows 7 kann der Systemverwalter verbindliche Richtlinien für die Festplattenschlüsselung und den Datenzugriff vorgeben. So kann er jetzt die Passwortkomplexität festzulegen oder das Speichern auf Festplatten verbieten, wenn sie nicht mit BitLocker verschlüsselt wurden. Neu ist auch die Unterstützung von Smartcards für die Authentifizierung.

Stärken und Schwächen von Windows 7 BitLocker Plus: Einfachere nachträgliche Verschlüsselung des Systemlaufwerks, Generalschlüssel für den Wiederherstellungsagenten, Zentrale Konfiguration über Gruppenrichtlinien

Minus: Nur für die Ultimate- und Enterprise-Version verfügbar, Umständliche Handhabung auf Computern ohne TPM, Verschwendung von 200 MByte Speicherplatz auf PCs, die BitLocker nicht nutzen

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: