Microsoft hatte bei Windows Vista das System in seinen Fundamenten wesentlich verändert, um vor allem die Sicherheit zu verbessern. Dies führte zu zahlreichen Inkompatibilitäten mit bestehender Hard- und Software, die der Akzeptanz des XP-Nachfolgers schadeten. Obendrein waren einige der neuen Sicherheitsfunktionen noch nicht ausgereift, was bei vielen Umsteigern zusätzlichen Unmut hervorrief.
Eine der Neuerungen ist die "User Account Control" (UAC), zu Deutsch "Benutzerkontensteuerung". Sie dürfte wohl das am meisten kritisierte Feature von Vista sein. Bei jeder scheinbar noch so unwichtigen Änderung am System erscheint ein Bestätigungsdialog. Genervten Anwendern bleibt oft nichts anderes übrig, als UAC ganz abzuschalten. Schon mit dem Service Pack 1 für Vista hat Microsoft die Zahl der Bedingungen reduziert, die zu einer UAC-Meldung führen.
1: Differenzierte UAC
In Windows 7 bessert der Hersteller hier noch einmal nach. Darüber hinaus gibt es zwei neue Konfigurationsmöglichkeiten, die zwar die Sicherheit vermindern, aber auch die Sicherheitsdialoge.
Insgesamt kennt UAC in Windows 7 vier Modi:
Stärken und Schwächen
(+) Weniger UAC-Meldungen;
(+) mehr Einstellungsmöglichkeiten.
(-) Sicherheitsgewinn bei den beiden neuen Modi ist fraglich;
(-) UAC-Meldungen lassen sich für bestimmte Programme nicht abschalten (zum Beispiel "Symantec UAC" oder "Smart UAC").
Immer melden, wenn ein Programm oder der Anwender das System verändern möchte.
Nur melden, wenn ein Programm das System modifizieren will.
Wie unter 2., aber der Bildschirmhintergrund wird bei diesem Modus nicht abgedunkelt.
• Keine Meldungen.
Variante 2 ist die Standardeinstellung. In der letzten Version vor der aktuellen Beta wurde bei der Einstellung 3 dem Anwender lediglich ein Hinweis angezeigt, eine Bestätigung war nicht erforderlich. Das zeigt, dass die Umbauarbeiten bei UAC noch weitergehen.
Inzwischen wurden außerdem zwei Methoden bekannt, die UAC in der Standardkonfiguration auszuhebeln. In dem einen Fall wurde gezeigt, dass Schadsoftware theoretisch in der Lage ist, ohne Bestätigung des Anwenders die UAC ganz abzuschalten. Bei der zweiten Variante können Angreifer Administrationsrechte erlangen, weil in der Standardeinstellung die vom Anwender veranlassten Systemänderungen keine UAC-Meldung hervorrufen.
2: AppLocker sperrt unerwünschte Programme
AppLocker ist ein neues Feature von Windows 7 Enterprise, mit dem Administratoren festlegen können, welche Anwendungen im Unternehmensnetz ausgeführt werden dürfen. Die "Richtlinien für Softwareeinschränkung" ("Software Restriction Policies") von Windows XP und Vista erfüllen im Prinzip die gleiche Funktion, sind bei Administratoren wegen ihrer aufwändigen Pflege aber nicht besonders beliebt. Windows 7 unterstützt sie nach wie vor. Dagegen wird es AppLocker für ältere Windows-Versionen nicht geben.
Stärken und Schwächen
(+) Publisher Rules sind einfacher zu handhaben als die Richtlinien für Softwarebeschränkungen;
(+) Konfiguration von Ausnahmen und Beschränkung auf Benutzergruppen ist möglich;
(+) Assistenten und vordefinierte Regelsätze erleichtern die Erstellung von Richtlinien.
(-) Nur für Windows 7 Enterprise und Ultimate verfügbar;
(-) keine Unterstützung für ältere Windows-Versionen.
AppLocker kennt drei verschiedene Regeltypen:
Path Rules,
File Hash Rules und
Publisher Rules.
Path Rules und File Hash werden bereits von den Richtlinien für Softwareeinschränkung unterstützt. Erstere können die Ausführung von Programmen auf bestimmte Verzeichnisse beschränken. Wenn Benutzer jedoch Anwendungen von einem anderen Verzeichnis als dem "Programme"-Ordner starten müssen, beispielsweise eine Verschlüsselungssoftware von einem USB-Stick, dann kommt der Einsatz von Path Rules nicht in Frage. Bei den File Hash Rules muss der Administrator für alle erlaubten Programme eine Hash-Funktion berechnen. Das ist meist sehr aufwändig, zumal sich die Hash-Werte bei jedem Software-Update ändern.
Die neuen Publisher Rules von AppLocker schaffen Abhilfe für beide Probleme. Programme werden anhand der vom Softwarehersteller vergebenen digitalen Signaturen identifiziert. Die meisten neueren Anwendungen sind inzwischen damit ausgestattet. Der Systemverwalter kann damit den Zugriff auf Anwendungen eines bestimmten Herstellers (beispielsweise Microsoft), den Produktnamen (Word), den Dateinamen (word.exe) und die Versionsnummer (6.0 oder höher) freigeben. Ebenso kann mittels Richtlinien der Start bestimmter Anwendungen verhindert werden.
Alle AppLocker-Regeltypen lassen sich auf Anwendungsdateien (exe), Skriptdateien (ps1, bat, cmd, vbs, js), Installationsdateien (msi, msp) und Systembibliotheken (dll, ocx) anwenden. Darüber hinaus kann der Systemverwalter die Richtlinien auf bestimmte Benutzergruppen beschränken, und für jede Regel können Ausnahmen definiert werden. Durch Kombination von Zulassungs- und Beschränkungsrichtlinien beziehungsweise Path- und Publisher Rules lässt sich recht präzise definieren, welche Anwendungen im Unternehmensnetz erlaubt sind.
3: Festplatten-Verschlüsselung BitLocker
Das größte Manko von Vistas Festplattenverschlüsselung "BitLocker" besteht darin, dass die nachträgliche Installation großen Aufwand verursacht. Ist das Betriebssystem schon installiert, muss die bereits vorhandene Systempartition zunächst verkleinert werden, um für die BitLocker-Partition Platz zu schaffen. Microsoft hatte deshalb das "BitLocker Drive Preparation Tool" nachgereicht, das bei einer späteren Einrichtung der Verschlüsselungsfunktion behilflich ist.
Stärken und Schwächen
(+) Einfachere nachträgliche Verschlüsselung des Systemlaufwerks;
(+) Generalschlüssel für den Wiederherstellungsagenten;
(+) zentrale Konfiguration über Gruppenrichtlinien.
(-) Nur für die Ultimate- und Enterprise-Version verfügbar;
(-) umständliche Handhabung auf Computern ohne TPM;
(-) Verschwendung von 200 MB Speicherplatz auf PCs, die BitLocker nicht nutzen.
Bei Windows 7 wird die BitLocker-Partition standardmäßig bereits mit der Installation des Betriebssystems eingerichtet. Sie benötigt etwa 200 MB Speicherplatz. Falls "Windows Recovery Environment" (Windows RE) installiert wird, sind es 400 MB. Der Administrator kann in der Systemsteuerung die Verschlüsselung des Laufwerks anstoßen.
Gegenüber alternativen Lösungen wie etwa dem kostenlosen "TrueCrypt" hat BitLocker auch unter Windows 7 den Nachteil, dass die Handhabung bei PCs ohne Trusted Platform Module (TPM) umständlich ist. Zwar gibt es inzwischen einige Business-Laptops mit TPM-Chip, in die günstigeren Consumer-Notebooks und insbesondere in die derzeit populären Netbooks wird er jedoch in der Regel nicht eingebaut. Anwender müssen dann einen USB-Stick mit sich führen, von dem BitLocker beim Hochfahren des Systems den Startup Key lädt.
Der entscheidende Vorteil von BitLocker ist indes, dass sich die Wiederherstellungsschlüssel der Benutzer im Active Directory speichern lassen. Sollte ein Anwender den USB-Stick verlieren oder sein Passwort vergessen haben, dann kann der Administrator damit den Zugriff auf die mit BitLocker verschlüsselten Daten ermöglichen.
Bei Windows 7 ist es jetzt außerdem möglich, einen Data Recovery Agent (Wiederherstellungsagent) zu bestimmen. Das Verfahren zur Widerherstellung verschlüsselter Daten ähnelt dem beim Encrypting File System (EFS). Über einen Generalschlüssel kann ein Administrator alle mit BitLocker codierten Daten im Unternehmen wiederherstellen. Das spart Speicherplatz im Active Directory und vereinfacht die Entschlüsselung der Daten.
Ein weiterer Vorteil von BitLocker ist, dass es sich zentral über Gruppenrichtlinien konfigurieren lässt.
4: BitLocker to Go für portable Speicher
BitLocker to Go ist eine Neuerung in Windows 7, die es Anwendern erlaubt, portable Speichermedien wie etwa USB-Sticks zu verschlüsseln. Über das Kontextmenü im Windows Explorer lässt sich der BitLocker-Assistent starten. Nach der Wahl eines Passworts oder Eingabe einer Smartcard muss der Anwender noch den Wiederherstellungsschlüssel auf einem anderen Medium, also zum Beispiel auf der Festplatte, ablegen. Dieser wird benötigt, falls das Passwort oder die Smartcard verloren gehen. Administratoren können alternativ die Speicherung des Wiederherstellungsschlüssels im Active Directory erzwingen. Wie bei der Codierung von Festplatten kann bei BitLocker to Go ein Wiederherstellungsagent eingerichtet werden.
Stärken und Schwächen
(+) In Windows Explorer integriert;
(+) zentrale Konfiguration über Gruppenrichtlinien;
(+) Speicherung von Wiederherstellungsschlüsselinformationen im Active Directory.
(-) Schreibzugriff nur unter Windows 7 Enterprise und Ultimate;
(-) umständliche Handhabung unter Windows Vista und XP;
(-) gesamter USB-Stick muss verschlüsselt werden.
Im Gegensatz zur Festplattenverschlüsselung benötigen Anwender für BitLocker to Go keine Administrationsrechte. Umso wichtiger ist es, dass die Systemverwaltung auf die ersten Anwender vorbereitet ist, die ihr Passwort zum Entschlüsseln des Speichermediums vergessen haben. Denn anders als beim Encrypting File System (EFS) handelt es sich dabei nicht um das Kennwort für die Windows-Anmeldung, und es kann nicht einfach zurückgesetzt werden.
Administratoren können die Nutzung von BitLocker to Go über Gruppenrichtlinien aber auch ganz unterbinden. Umgekehrt kann der Systemverwalter jedoch das Speichern von Daten auf unverschlüsselten portablen Medien verbieten.
Nach Eingabe des Passworts wird der Anwender aufgefordert, die Dateien zu wählen, die er auf die Festplatte kopieren möchte.
Diese Prozedur ist nicht nur umständlich, sondern verringert auch die Sicherheit, da die Dateien dann unverschlüsselt auf der Festplatte liegen.