computerwoche.de

Archiv

Licht und Schatten bei Windows XP

31.05.2002
Von Michael Pietroforte
Windows ist das am weitesten verbreitete Desktop-Betriebssystem. Die Migration auf XP steht bei vielen Unternehmen in nächster Zeit an. Zahlreiche neue Merkmale, besonders im Bereich Sicherheit, machen das jüngste Produkt der Redmonder interessant. Doch für den Unternehmenseinsatz sind manche dieser Funktionen nur unzureichend ausgelegt.

Das Thema Sicherheit gewinnt in der IT-Branche zusehends an Bedeutung. Insbesondere Microsoft-Produkte stehen immer wieder im Visier von Attacken aller Art. Innerhalb der Sicherheitskette ist oft der Desktop-Rechner das schwächste Glied. Für den Einsatz im professionellen Umfeld hatte bereits Windows 2000 mit einer Reihe neuer sicherheitsrelevanter Funktionalitäten aufwarten können. Der Nachfolger Windows XP bringt einige interessante Verbesserungen im Detail, aber auch vollkommen neue Features, die den ein oder anderen Systemadministrator zum Upgrade bewegen könnten.

Automatische Updates: Das wichtigste neue Sicherheits-Feature ist die automatische Update-Funktion. Seit der Einführung von Windows XP im Oktober 2001 stellte Microsoft so immerhin schon elf Sicherheits-Updates zur Verfügung. Bei bestehender Internet-Verbindung wird regelmäßig auf neue Updates hingewiesen, die dann per Mausklick geladen und installiert werden können. Der Aktualisierungsaufwand für den Anwender reduziert sich so auf ein Minimum. Da nur Administratoren über die nötigen Installationsrechte verfügen, empfiehlt es sich, im Unternehmensnetz diese Funktion per Gruppenrichtlinie zu deaktivieren.

Ein Mehr an Sicherheit bringt oft auch ein Mehr an Konfigurationsaufwand mit sich. Gerade den an technischen Details nicht interessierten Anwender versuchten die Entwickler von Windows XP vor mühevoller Kleinarbeit zu verschonen. Ein typisches Beispiel hierfür ist die Internet-Verbindungs-Firewall ICF (Internet Connection Firewall), eine Personal Firewall, die Bestandteil der Home- und der Professional-Ausgabe ist. Sie wird beim Einrichten einer DFÜ-Verbindung standardmäßig aktiviert und erfordert normalerweise keinerlei weitere Eingriffe. Fungiert der PC als Internet-Gateway, stehen auch die anderen Computer im Netz hinter der Deckung der Firewall. Während Anwendungen hinter der Firewall benötigte Ports automatisch öffnen können, laufen alle aus dem Internet initiierten Verbindungsaufbauversuche ins Leere.

Mit Personal Firewalls von Drittanbietern kann es die ICF mit ihren spartanischen Konfigurationsmöglichkeiten nicht aufnehmen. So fehlt zum Beispiel eine Kontrolle darüber, welche Anwendungen des eigenen Computers Zugriff auf das Internet erhalten. Damit bietet die Firewall keinen Schutz gegen Trojaner. Auch gegen Würmer wie Nimda ist die ICF wirkungslos.

Für den Einsatz im Unternehmensnetz ist die Internet-Verbindungs-Firewall weniger geeignet, da sie auch Systemadministratoren den Zugriff auf die Arbeitsplatzrechner verwehrt, die sich nicht im selben Subnetz befinden. Eine zentrale Konfiguration, wie man sie von professionellen Personal-Firewall-Systemen kennt, ist mit der ICF nicht möglich. Immerhin kann man über Gruppenrichtlinien die Internet-Verbindungs-Firewall deaktivieren, wobei dies dann keinen Einfluss auf die Konfiguration der ICF außerhalb der Domäne hat.