Microsoft wird auf der Ende April stattfindenden Windows Hardware Engineering Conference (Winhec) für sein Sicherheitskonzept des Least-Privilege User Account (LUA) werben. Longhorn soll im Gegensatz zu seinen Vorgängern normalen Benutzerkonten keine lokalen Administratorrechte mehr einräumen. Eine solche gravierende Änderung des Rechtesystems bleibt nicht ohne Auswirkungen auf die Kompatibilität mit bestehender Software. Die meisten existierenden Windows-Anwendungen setzen nämlich zu ihrer Installation und Ausführung derartige Benutzerprivilegien voraus. Microsoft muss daher unabhängige Softwarehäuser (ISVs) davon überzeugen, zukünftig LUA-konforme Programme zu entwickeln. Offenbar ziehen die Redmonder dafür die Einführung eines eigenen Logo-Programms in Erwägung.
Unix als Vorbild
Der wichtigste Grund für die Entmachtung normaler Benutzerkonten ist das mit Administratorrechten verbundene Sicherheitsproblem. Alle möglichen Schadprogramme wie Würmer, Trojaner oder Viren laufen im Kontext des angemeldeten Benutzers und genießen die gleichen Rechte wie dieser. Konten mit unnötig hohen Privilegien machen es solcher bösartigen Software leicht, die Kontrolle über das gesamte System zu erlangen.
Während unter Unix das LUA-Prinzip seit jeher gilt, fällt die späte Umstellung für Microsoft aufgrund enormer Altlasten schwer. Zu den notorischen Sünden von Softwareentwicklern gehört es, davon auszugehen, dass alle Benutzer im Verzeichnisbaum unter c:\Programme und in der gesamten Registrierdatenbank Schreibrechte besitzen. Das erschwert die Zurückstufung normaler Benutzerkonten auf minimale Rechte. Longhorn wird LUA-konformer Software innerhalb des Benutzerprofils einen Ordner "Eigene Programme" anbieten. Anwender können dort Software für den eigenen Bedarf installieren, die nicht systemweit verfügbar ist. Ob sich eine Anwendung für diese Art der Nutzung eignet, kann Windows einer separaten Datei ("Manifest") entnehmen, mit der Entwickler ihre Programme zukünftig beschreiben sollen.
Damit Unternehmen mit der Umsetzung des LUA-Konzepts nicht warten müssen, bis ihre gesamte vorhandene Software damit zurechtkommt, soll Longhorn das Ausführen alter Programme auch unter einem Konto mit geringen Rechten ermöglichen. Dazu wird das System kritische Bereiche virtualisieren, so dass beispielsweise Legacy-Code den Eindruck erhält, er könne seine Statusinformationen unterhalb von c:\Programme speichern. In Wirklichkeit bekommt er nur eine Kopie der betreffenden Datei.
Als weitere Sperre gegen Schadprogramme sehen die Windows-Entwickler vor, unter Longhorn auch die Administratorkonten zu entschärfen. Systemverwalter können mit Hilfe einer signierten XML-Datei bestimmten Programmen ihr Vertrauen aussprechen. Nur diese verfügen dann über die vollen Privilegien des aktiven Benutzers. Ein Mail-Client dürfte diese typischerweise nicht erhalten, so dass sich Schadprogramme aus Anhängen nur minimaler Rechte erfreuen können.
Microsoft selbst möchte die Umstellung auf LUA vereinfachen, indem es einige Systemfunktionen nicht mehr an Administratorrechte koppelt. Dazu zählen die Einstellungen für die Energieoptionen und die Benutzung von Virtual Private Networks (VPNs). Außerdem sollen bei der Vergabe von Benutzerrechten keine Kompromisse mehr angeboten werden, indem die Gruppe der "Hauptbenutzer" ("Power User" in der englischen Version) abgeschafft wird. Systemverwalter müssen sich dann nur mehr zwischen einfachen Benutzern und Administratoren entscheiden. (ws)