Vista: Weit mehr als Oberflächenpolitur

Eric Tierling, Master in Information Systems Security Management (Professional), blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück. Neben Hunderten an Fachbeiträgen hat er über 50 Bücher veröffentlicht. Er ist Spezialist für Themen rund um die Informationssicherheit sowie einer der bekanntesten Experten Deutschland für Windows Server und Microsoft-basierte Infrastrukturen.
Was Unternehmen mit dem XP-Nachfolger "Windows Vista" erwartet, zeigt dessen gerade erschienene Pre-Beta 2. Vor allem auf den Sicherheitsaspekt hat Microsoft großen Wert gelegt.

Eine neue Richtung beschreitet Windows Vista bereits bei der Installation: Erstmals setzt Microsoft auf ein Image-basierendes Setup. Die erforderlichen Dateien sind in einem Image untergebracht, das die Namenserweiterung .wim trägt und zu Beginn der Installation auf die Festplatte kopiert wird. Als Konsequenz daraus erfolgt das Setup nun von Anfang an in grafischem Gewand.

Vista-Hardware

Obgleich einige Medien meldeten, dass Windows Vista eine Arbeitsspeichergröße von wenigstens 2 GB und eine Grafikkarte mit mindestens 256 MB benötigt, hat Microsoft bislang noch keine exakten Systemanforderungen veröffentlicht.

Um beispielsweise die Vista-Oberfläche in voller Pracht mit halbdurchsichtigen Fenstern nutzen zu können, ist eine Direct-X-9-fähige Grafikkarte mit 64 MB oder mehr nötig. Für Corporate-Desktops und -Notebooks spielen diese Merkmale jedoch eine untergeordnete Rolle. Windows Vista läuft daher auch auf PCs, die eine ältere AGP-Grafikkarte mit zum Beispiel 16 MB Speicher besitzen.

Für die Vista-Beta 1 empfiehlt Microsoft ein Minimum-RAM von 512 MB. Dass dieser Wert im finalen Vista-Release kräftig nach unten fallen wird, ist unwahrscheinlich. Unternehmen, die in den nächsten Monaten die Anschaffung neuer PCs planen, sind also gut beraten, diesen gleich 512 MB und mehr zu spendieren.

Welche Editionen wird es geben?

• Wie Windows XP wird Vista in mehreren Editionen erhältlich sein. Gerüchte sprechen von sieben bis neun oder gar 20 unterschiedlichen Ausführungen. Offiziell hat Microsoft dazu bislang noch keine Stellung bezogen.

• Klar ist lediglich, dass es weiterhin eine auf private Benutzer zugeschnittene Home- sowie eine für Business-Anwender gedachte Professional-Produkt- linie geben wird. Fest steht ferner, dass das Gros der Vista-Editionen sowohl als 32-Bit-x86- wie auch als 64-Bit-Fassung für Athlon 64 und andere Chips erscheinen wird.

• Hinweise auf eine mögliche Edition für Power-User, die alle Vista-Features umfasst, liefert aber die Versionsmeldung "Ultimate Edition" der Pre-Beta 2. In dieser Vorabversion sind die Media-Center- sowie Tablet-PC-Funktionalität vereint, die bei Windows XP nur in getrennten Editionen enthalten sind.

• Sicher ist außerdem, dass es mit "Windows Vista Enterprise" eine Edition ausschließlich für Kunden des Microsoft-Lizenzprogramms Software Assurance geben wird. Hier sind alle Sprachmodule für das Multilanguage-User-Interface (MUI) enthalten, so dass Konzerne sich auf ein einziges Betriebssystem-Image beschränken können, das eine Vielzahl unterschiedlicher Sprachen beinhaltet. Die Enterprise-Variante beinhaltet auch "Virtual PC Express", so dass sich ältere Anwendungen, die unter Vista direkt nicht laufen, in einer virtuellen Maschine weiterverwenden lassen.

Mehr zum Thema

www.computerwoche.de/go/

*81922: Unternehmen werden schnell auf Vista umsteigen;

*81307: Sicherheits-Features für Longhorn;

*81154: Gates verspricht Entwicklern gute Geschäfte.

Weiterführende Links:

• Technische Ressourcen zu Windows Vista:

www.microsoft.com/technet/ windowsvista/default.mspx;

• technische Hintergründe zum Windows-Vista-Deployment: www.microsoft.com/technet/ windowsvista/deploy/default. mspx;

• Windows Automated Installation Kit (WAIK) User’s Guide: www.microsoft.com/downloads/details.aspx?FamilyID= fe43b82d-da66-4481-a904-270511a061b8&displaylang= en;

• Microsoft Windows Vista Self-Guided Tour:

www.microsoft.com/technet/ windowsvista/evaluate/sgtour.mspx.

Ein einziges Image kann mehrere unterschiedliche CPU-Plattformen beziehungsweise die korrespondierenden HAL-Treiber unterstützen,so dass die Notwendigkeit entfällt, für jeden Prozessor oder jede Hardwareplattform (Multiprozessor-PC etc.) ein separates Abbild zu erstellen. Um einzelne Dateien zu ersetzen oder neue hinzuzufügen, braucht kein neues Image kreiert zu werden. Die automatische Komprimierung sorgt zudem dafür, dass Images nicht zu groß werden und sich bei Bedarf per LAN übertragen lassen. Weitere Details hierzu sowie zu den neuen Deployment-Befehlen wie "X Image" sind im Users-Guide des Windows Automated Installation Kit (WAIK) zu finden.

Schneller Zugriff

Die neue Benutzeroberfläche von Windows Vista präsentiert sich im Vergleich zum XP-Interface moderner und ist einfacher zu bedienen. Anstatt sich durch Start- und untergeordnete Programm-Menüs zu hangeln, reicht jetzt das Eintippen weniger Buchstaben aus, um einen schnellen Zugriff auf alle Einträge zu erhalten, die diese Zeichenfolge besitzen.

Der Windows-Explorer hat ebenfalls ein neues Gewand bekommen. Die traditionellen Menüleisten am oberen Fensterrand sind einer Leiste gewichen, die einen schnellen, kontextsensitiven Zugriff auf alle Elemente derselben oder jeweils höher gelegenen Ebene gestattet. Nach ein wenig Einarbeitung ist so eine rasche Navigation innerhalb des Betriebssystems und auf der Festplatte möglich.

Zudem ziert jedes Explorer-Fenster ein Suchfeld, um den PC nach bestimmten Informationen zu durchforsten. Hierzu setzt Windows Vista auch auf die Eigenschaften, die mit einer Datei verbunden sind. Auf diese Weise ist es relativ leicht, beispielsweise alle Dokumente eines bestimmten Benutzers zu suchen. Zur sinnvollen Anwendung dieser Funktion hat Microsoft den "Datei-speichern"-Dialog angepasst: Im Notepad-Editor zum Beispiel können Anwender Schlüsselwörter oder Kommentare zu einer Datei direkt hinzufügen.

Selbst gelöschte Informationen lassen sich mit Windows Vista besser wiederfinden. Denn in das neue Client-Betriebssystem hält die bislang nur aus Windows Server 2003 bekannte "Schattenkopie"-Funktion Einzug. Gelöschte Dokumente können Anwender dadurch ebenso wiederherstellen wie frühere Versionen von Dokumenten, die inzwischen bereits mehrfach überschrieben worden sind. Allerdings betrifft dies nur Dokumente, die sich in freigegebenen Ordnern des PC befinden - denn nur diese werden von der Schattenkopie-Funktion regelmäßig gesichert. Zur Datensicherung von Dokumenten, die sich nicht in Freigaben befinden, stattet Microsoft Windows Vista mit dem neuen Windows-Backup-Programm "Safe Docs" aus. Praktischerweise kommt dieses mit inkrementellen und zeitgesteuerten Sicherungen zurecht.

Das iSCSI-Target

Eine interessante Perspektive eröffnet die iSCSI-Unterstützung: Mit Hilfe des eingebauten iSCSI-Initiators kann der Vista-PC auf Festplatten zugreifen, die ein entsprechender Storage-Anbieter - ein "iSCSI-Target" - via TCP/IP-Netz bereitstellt. Hierfür kommen File-Server, NAS- (Network Attached Storage) oder SAN-Lösungen (Storage Area Network) in Betracht, die ihre Speicherkapazitäten über das Netz als iSCSI-Target offerieren und die in aller Regel schon mit entsprechenden Backup-Verfahren ausgestattet sind. Der Benutzer bekommt von all dem nichts mit: Für ihn erscheinen per iSCSI eingebundene Laufwerke wie lokale Festplatten.

Browser zieht nach

Ebenfalls in Windows Vista enthalten ist der Internet Explorer 7 (IE 7). Auffälligstes Merkmal von Microsofts runderneuertem Web-Browser ist das von Firefox und Opera bereits bekannte Tabbed-Browsing. Hierbei lassen sich mehrere Web-Seiten innerhalb einer einzigen Web-Browser-Instanz anzeigen und über Register, die am oberen Fensterrand zu finden sind, gezielt auswählen.

Endlich unterstützt der IE auch RSS-Feeds, über die sich Informationen und News im Pull-Verfahren abonnieren und abrufen lassen. Microsofts Pläne für RSS gehen allerdings weiter: Nach den Vorstellungen aus Redmond sei zum Beispiel denkbar, firmeninterne oder Mitteilungen von Anwendungen per RSS zur Verfügung zu stellen und über ein kleines Ticker-Programm direkt in der Sidebar von Windows Vista anzuzeigen.

Nützlich im IE 7 ist ferner die Möglichkeit, eine Übersicht aller geöffneten Tab-Seiten in einer zusammenfassenden Seitenvorschau zu erhalten. Beim Ausdruck einer einzelnen Web-Seite kann diese endlich per Mausklick so verkleinert werden, dass alles auf ein einziges Blatt Papier passt - Menüleiste und Fußzeile also nicht mehr, wie beim Internet Explorer 6 üblich, auf einem weiteren Blatt landen.

Alles in allem bietet der Internet Explorer 7 in der derzeitigen Pre-Beta 2 aber zu wenig. Selbst Freeware-Browser-Zusätze für den jetzigen Internet Explorer 6 (allen voran Maxthon) zeigen, wie komfortabel und effizient das Web-Browsing heute schon sein kann. Optionen, um alle geöffneten Browser-Tabs rasch per Mausrad durchzublättern oder als Sitzung zu speichern und später gemeinsam erneut aufzurufen, kennt die neue Internet-Explorer-Beta beispielsweise nicht.

Security allerorten

Mehr Sicherheit ist eines der wichtigsten Designziele von Windows Vista. Zum Beispiel lassen sich die Datei-, Registry- und Netzzugriffsmöglichkeiten für jeden Systemdienst selektiv begrenzen. Sollte ein Dienst kompromittiert werden, hält sich der Schaden dennoch in engen Grenzen.

Überreste der einstigen Next-Generation Secure Computing Base (NGSCB) sind in Windows Vista als "Full-Volume Encryption" (FVE) und "Secure-Startup" zu finden. Ziel des Ganzen ist es, bereits beim Start des PC Schutz vor Manipulationen und Datenklau zu bieten. Der Gefahr des Datenverlustes soll Full Volume Encryption einen Riegel vorschieben. Anders als EFS (Encrypting File System) zur verschlüsselten Speicherung von Dateien, das die Microsoft-Betriebssysteme seit Windows 2000 mit an Board haben, verschlüsselt FVE den gesamten Systemdatenträger, so dass auch Windows-Auslagerungs- und Ruhezustandsdatei nur noch in chiffrierter Form auf der Festplatte des Computers landen.

Secure Startup

Das komplementäre Secure-Startup überprüft unmittelbar nach dem Anschalten des PC dessen Hardwarekonfiguration und vergleicht diese mit dem zuvor gespeicherten Fingerabdruck des Systems. Nur wenn beides übereinstimmt, erhält der Computer das Go zum Laden des Master Boot Record (MBR) der Festplatte, von wo aus schließlich der Start des Betriebssystems erfolgt. Um die erforderlichen Schlüsselinformationen sicher aufzubewahren, scheidet eine Ablage auf der Festplatte allerdings aus. Vielmehr greift Secure-Startup auf das Trusted Platform Module (TPM) zurück - einen kleinen Sicherheitschip, der ursprünglich als Hardwareschutz für NGSCB dienen sollte. Hingegen ist auf Computern, die über kein TPM verfügen, eine Nachrüstung unmöglich und das Sicherheitspotenzial von Secure-Startup somit nicht nutzbar.

Administratorprivilegien

Ein anderer Vista-Security-Bereich, in dem Microsoft kräftig nachbessert, betrifft den Sicherheitskontext, in dem sich Benutzer bewegen. User Account Protection (UAP), früher Least-Privileged User Account (LUA) genannt, ermöglicht es, dauerhaft mit Administratorprivilegien angemeldet und dennoch davor geschützt zu sein, dass Malware diese weitreichende Berechtigung missbrauchen kann. Der Trick von UAP besteht darin, Anwendungen automatisch in einem eingeschränkten Sicherheitskontext laufen zu lassen, auch wenn der Benutzer als Administrator bei Windows Vista angemeldet ist. Nur Programme, die der Anwender ausdrücklich bestätigt oder die von einem Netzwerkadministrator als vertrauenswürdig gekennzeichnet worden sind, dürfen dann echte Administratorberechtigungen nutzen. Welche Folgen das hat, zeigt sich beispielsweise beim Versuch, die Systemwiederherstellungsfunktion einzuschalten: Selbst wenn der Benutzer über Administratorberechtigungen verfügt, erscheint dann ein Dialogfeld, das eine explizite Bestätigung dieses sicherheitssensi- tiven Vorgangs erwartet.

Besseren Schutz gibt es aber schon während der Anmeldung. Hierzu tauscht Microsoft die internen Anmeldekomponenten gegen solche aus, die flexibler mit alternativen Authentifizierungsverfahren (Biometrie etc.) zurechtkommen. Das Smartcard-Subsystem erfährt ebenfalls eine kräftige Überarbeitung. Dadurch soll es endlich möglich sein, die für die EFS-Dateiverschlüsselung verwendeten Keys auf Smartcards abzulegen - was mit Windows XP leider nicht geht. Zusätzliche Tools sollen ferner eine bequeme Änderung der Smartcard-PIN durch den Anwender gestatten.

Eine Reihe von Funktionen, die Microsoft für Windows Vista plant, sind in der vorliegenden Pre-Beta-2 entweder noch nicht beziehungsweise nur rudimentär implementiert, oder es fehlen Konfigurations- und Anzeigefunktionen. So wartet die aktuelle 5219-Build noch mit den Windows-XP-gemäßen, undurchsichtigen Energieschemas auf.

Angepaßter Energieverbrauch

Bei Windows Vista hingegen soll es neben "stromsparend" und "maximale Geschwindigkeit" standardmäßig nur noch das Energieschema "automatisch" geben. Die dann erfolgende, dynamische Anpassung aller energierelevanten Parameter könnte Notebooks zu längerer Akkulaufzeit verhelfen.

Genauso wird eine Hybridtechnik Windows Vista bessere "Schlafmanieren" beibringen. Der neue Sleep-Modus kombiniert die bisherigen Windows-XP-Verfahren Standby (Arbeitsspeicher-Inhalt im RAM halten) und Ruhezustand (Arbeitsspeicher-Inhalt auf Festplatte speichern). Der Benutzer braucht sich also nicht mehr für einen Schlummermodus gezielt zu entscheiden, sondern genießt die Vorzüge beider Verfahren: Erst speichert der Vista-Sleep-Modus den RAM-Inhalt in die Ruhezustandsdatei, dann versetzt er den PC in den Standby-Schlaf. Falls der PC die Stromzufuhr in diesem Zustand verliert und ein "Aufwachen" dann eigentlich nicht mehr funktionieren kann, greift Vista beim nächsten Start einfach auf die Ruhezustandsdatei zurück.

In der Beta-2-Version, die zum Jahresende 2005 erscheint, sollen die bislang noch fehlenden Funktionen vorhanden und Windows Vista weitgehend "Feature-complete" sein. Spätestens dann dürfte klar sein, wohin die Reise mit Microsofts neuem Client-Betriebssystem geht. Doch schon die jetzigen Eindrücke zeigen deutlich, dass Windows Vista weit mehr als ein Windows XP mit aufgepeppter Oberfläche und Suchfunktionen ist. (ue)