Zentrale Sicherheitsfunktionen im neuen Microsoft-Betriebssystem – Teil 2 Windows 7-Sicherheit dank AppLocker und überarbeiteter UAC optimiert

Autor / Redakteur: Stefan Riedl / Stephan Augsten

Microsoft baut einen Teil seiner Existenz auf den Erfolg des neuen Betriebssystems Windows 7. Hierfür war es notwendig, mit Windows Vista eingeführte Security-Funktionen wie die Benutzerkontensteuerung (UAC) zu überdenken und neue Sicherheitsmechanismen zu entwicklen. Ein wichtiger neuer Baustein ist die AppLocker-Funktion.

Firmen zum Thema

Unter Windows 7 hat Microsoft die teils schon nervigen Warnungen der Benutzerkontensteuerung reduziert.
Unter Windows 7 hat Microsoft die teils schon nervigen Warnungen der Benutzerkontensteuerung reduziert.
( Archiv: Vogel Business Media )

Die neue AppLocker-Funktion unter Windows 7 dient als vorbeugende Maßnahme gegen unerwünschte Programme auf dem Rechner. Denn dieses Problem ist mit Firewalls nicht umfassend in den Griff zu bekommen.

Spätestens wenn der User ausführbaren Code per E-Mail oder im Peer-to-Peer-Netzwerk erhält oder gar auf einem USB-Stick mitbringt, können unliebsame Programme ins Firmennetzwerk gelangen. Ob es sich um Freeware zur Inneneinrichtung des geplanten Hauses handelt, um einen MP3-Konverter oder gar um echten Schadcode – kein Administrator sieht es gerne, wenn seine User nach eigenem Ermessen Programme installieren.

Einmal eingerichtet, entfernt sich die Software-Konfiguration eines Firmenrechners vom ursprünglichen Zustand. Man könnte das als „Desktop-Entropie“ bezeichnen. Ein Übermaß an installierter Nicht-Standard-Software führt jedoch schnell zu Inkonsistenzen. Außerdem belastet so manches Programm die Bandbreite des Firmennetzwerkes

AppLocker übernimmt Aufgabe der Software Restriction Policies

Das Einschränken der Administrator-Rechte bietet nur bedingt Schutz vor unliebsamen Applikationen. Es ist nämlich nicht ungewöhnlich, dass Nutzer auf ihrem Rechner Software installieren, die keine Administrator-Rechte erfordern – beispielsweise einen alternativen Internet-Browser oder böswillige Grußkarten-Programme, die viral die Runde machen.

Auf diesem Weg kann Malware ins Unternehmen gelangen, die es auf Userdaten abgesehen hat. Unter Windows XP und Vista waren es die so genannten Software Restriction Policies (SRPs), die zur Applikationskontrolle dienten. IT-Administratoren konnten den Software-Wildwuchs über die Vergabe von Rollen und Rechten einschränken.

Im Windows-7-Umfeld schützt nun die neue AppLocker-Funktion vor den genannten Problemen. Der AppLocker verhindert, dass nicht lizensierte Software in der Desktop-Umgebung ausgeführt wird. Geprüfte Applikationen sowie reguläre Updates eingesetzter Software sind hingegen erlaubt.

Seite 2: White- und Blacklisting schränken Software-Installationen ein

White- und Blacklisting schränken Software-Installationen ein

Dazu bedient sich der AppLocker einer einfachen Grundstruktur, die drei Regeltypen vorsieht: Erlauben (Allow), Verweigern (Deny) und Ausnahme (Exception). Dazu wird vom Administrator eine Positiv-Liste mit „bekannten, guten Programmen“ gepflegt. Die Erlauben-Regel ermächtigt User Applicationen aus dieser Liste zu installieren.

Es kann aber auch eine Negativ-Liste mit „bekannten, schlechten Programmen“ geführt werden, für die dem entsprechend Verweigern-Regeln gelten. Bei Microsoft geht man davon aus, dass die meisten Unternehmen eine Kombination aus beiden Herangehensweisen fahren werden. Ausnahmen ermöglichen es, bestimmte Programme von den vorgegebenen Listen zu nehmen.

Doch was landet auf den vorgegebenen Listen? AppLocker führt Publisher-Regeln ein, die auf Digitalen Signaturen für Applikationen basieren. Über diese ist es beispielsweise möglich, die Version einer Software zu bestimmen. Dieses ermöglicht wiederum Regeln, wie „Applikation XY ist erlaubt ab Version 9.0“ oder „Applikation ‚Acrobat Reader’ ist erlaubt, wenn sie von Adobe signiert ist.“

Die AppLocker-Security-Software unterstützt mehrere, unabhängig voneinander konfigurierbare Policies, die ausführbare Dateien, Installationsprogramme, Skripte und DLLs (Dynamic Link Library) betreffen. Damit will Microsoft ein Höchstmaß an Flexibilität erzielen.

Mithilfe der Richtlinien lässt sich beispielsweise regeln, dass die Grafikabteilung automatisch Updates für die Photoshop-Software erhält, solange es sich noch um Version 14 handelt. Das ermöglicht einerseits die Hoheit über die eingesetzte Software, gleichzeitig wird diese aber automatisiert Up-to-Date gehalten.

Geregelte Gruppendynamik

Die Möglichkeit, Regeln für bestimmte User-Gruppen zu definieren, ermöglicht es beispielsweise zu regeln, dass die Finanzabteilung eine spezielle Finanz-Version der ERP-Software nutzt. Regeln lassen sich hierbei importieren, exportieren, selbst erstellen, ändern und individualisieren. Administratoren können beispielsweise in einer Testumgebung Regeln für den Software-Einsatz erstellen und diese dann ins Firmennetzwerk exportieren.

Seite 3: Weniger Warnungen durch die Benutzerkontensteuerung UAC

Weniger Warnungen durch die Benutzerkontensteuerung UAC

Im kommenden Windows 7 setzt Microsoft weiterhin auf „User Account Control“ (UAC). Diese auf Deutsch auch „Benutzerkontensteuerung“ genannte Funktion ist seit Windows Vista ein Teil der Sicherheitsinfrastruktur von Microsoft-Betriebssystemen.

Wenn sich ein User einloggt, wird eine neue Sitzung erstellt und für diese ein Zugangstoken mit den Basisrechten zugeteilt. Von dieser Sitzung aus können dann keine Veränderungen an den Basisrechten vorgenommen werden, die das gesamte System betreffen.

Loggt sich hingegen ein Administrator ein, so werden zwei verschiedene Tokens erstellt. Der eine Token erhält alle Rechte, wie sie typischerweise dem Administrator zugeteilt werden. Der andere Token erhält hingegen nur die Rechte, die auch ein Standard-User erhalten würde.

Benötigt ein Vorgang – wie die Installation einer Software oder von Patches – erweiterte Rechte, so werden diese über den UAC-Mechanismus angefordert. Über einen Bestätigungsdialog muss der Administrator eine Weiterleitung zum uneingeschränkten Token anfordern.

Zu viel Dialog

Hier kam Kritik auf, da unter Vista zu viele Bestätigungen bestätigt werden mussten und eine Tendenz zu erkennen war, dass entsprechende Dialoge nur mehr abgenickt, nicht aber gelesen wurden. Außerdem besteht die Möglichkeit, dass der Dialog einfach abgeschaltet wird, wovon oft Gebrauch gemacht wurde. Um offensichtlich genau dieser Problematik zu entkommen, wurden nun die Bestätigungsdialoge unter Windows 7 minimiert. Knapp ein Drittel der Meldungen soll eingespart werden, was sich im Release Candidate von Windows in etwa bewahrheitet.

Erfolg fest eingeplant

Windows 7 muss ein Erfolg werden. Die Redmonder haben gemeinsam mit den Marktauguren die Marktpotenziele ausgelotet und rechnen damit, dass bis Ende 2010 weltweit etwa 177 Millionen Windows-7-Lizenzen verkauft werden. Die Zahlen sind von vielen Einflussfaktoren abhängig und schwer überprüfbar; Microsoft und IDC rechnen jedoch damit, dass weltweit 300.000 neue Arbeitsplätze durch Windows 7 entstehen.

Erste Verkaufszahlen sprechen für den angepeilten Erfolg: Eine Vorverkaufsaktion Mitte Juli war binnen Stunden ausverkauft. Wer nicht von Vorverkaufsangebot profitieren konnte, erhält in Deutschland bereits heute PCs mit einem Bezugsrecht für Windows 7. Wenn dann zur Markteinführung im Oktober umgestellt wird, fallen dann nur noch Bearbeitungsgebühren an, die je nach Hardware-Hersteller unterschiedlich sein können.

Mehr Informationen dazu gibt es auf einer Upgrade-Webseite für Microsoft Windows 7. Kleinere Hardware-Hersteller arbeiten mit Windows-7-Gutscheinen. Weitere Informationen zum AppLocker auf der Microsoft-TechNet-Homepage.

(ID:2040409)