wEinleitung
Windows 7 hält für einige Werkzeuge bereit, um unerwünschte Angriffe abzuwehren. Hier bekommen Sie einen Überblik über die Sicherheits-Features von Windows 7 vor.
Bisher galt Windows Vista als die sicherste aller Windows-Version. Windows 7 macht dort weiter, wo Vista aufhört und bietet somit mehr Sicherheit. Microsoft setzte bei der Entwicklung auf die Resonanz der Nutzer, um Windows 7 zu verbessern und darüber hinaus sicher zu stellen, dass die Sicherheitsfunktionen auch wirklich intuitiv und benutzerfreundlich sind. Wir zeigen Ihnen die wichtigsten Sicherheitsverbesserungen in Windows 7.
Kern-System-Sicherheit
Microsoft hat für Windows 7 - genau wie für Windows Vista - den Security Development Lebenszyklus (SDL) integriert. Diese Funktion sicherte bislang Vista von Grund auf und hat gleichzeitig die zentralen Sicherheitsfunktionen wie den Kernel Patch Schutz, die Vorbeugung gegen unerlaubte Datenausführung (DEP), die Adress Space Layout Randomization (ASLR) gegen das Ausnützen von Sicherheitslücken sowie die Mandatory Integrity Control, eine Einschränkung von Anwendungen, die unter dem selben Nutzerkonto laufen, jedoch weniger vertrauenswürdig sind, beibehalten. Diese Funktionen bieten eine starke Grundlage, um das Betriebssystem gegen bösartige Software und andere Angriffe zu schützen. Einige der Schlüsselfunktionen sind es durchaus wert, einen genaueren Blick darauf zu werfen.
Verbessertes Nutzerkontenkontrolle (UAC)
Vermutlich sind Sie bereits mit UAC (User Account Control) vertraut. Microsoft hat dieses Feature das erste Mal in Vista vorgestellt. Die Funktion hilft, eingeschränkten Zugang zu gewährleisten und die Privatsphäre zu verbessern. Ihre gewerblichen Kunden können die Funktion verwenden, um Administratoren den Zugang zu den Nutzern zu beschränken. Microsofts ursprünglicher Gedanke war es, Software-Entwickler dazu zu bringen, Programme besser zu kodieren und gleichzeitig den Zugang zu sensitiven Bereichen des Betriebssystems zu beschränken. Viele Nutzer sehen UAC mittlerweile jedoch als Sicherheits-Funktion.
Denken Nutzer an UAC, assoziieren sie es in der Regel mit Zugangsgenehmigung. Microsoft hat seit Vista zwar merkliche Fortschritte im Bereich Typ und Anzahl der Ereignisse, die UAC auslösen, gemacht. Nichtsdestotrotz erhält UAC nach wie vor negative Kritik.
In Windows 7 hat Microsoft die Anzahl an möglichen Anwendungen und Betriebssystem-Prozesse weiter eingeschränkt. Zudem hat Microsoft eine flexiblere Programmoberfläche integriert. Unter Benutzerkonten in den Systemeinstellungen können Sie nun die Einstellungen per Schieberegler anpassen. Der Schieberegler lässt Sie bis zu vier UAC-SIcherheitsstufen wählen, angefangen von permanenter Warnung (dabei handelt es sich um die standardmäßig bei Windows eingestellte Stufe) bis hin zu keiner Warnung. Die höchste Sicherheitsstufe wird selbstverständlich eingestellt, indem man die permanente Warnung aktiviert. Den Regler auf keine Warnung zu stellen hat den Vorteil, dass die Sicherheitswarnungen nicht immer wieder den Arbeitsprozess unterbrechen. Einige UAC-Kernfunktionen wie der Sicherheitsmodus für den Internet Explorer bleiben allerdings immer erhalten.
Eingebaute Fingerabdruck Scanner-Unterstützung
Viele Windows-Nutzer nehmen Einstellungen am Betriebssystem vor, indem sie sich mit einem Benutzernamen und einem Passwort anmelden - das allerdings kann man mit einer sperrangelweiten Haustür samt blinkendem Neonschild "Hier Eintreten" vergleichen. Daher muss die Empfehlung lauten: Jedem Nutzerkonto sollte ein bestmögliches und sicheres Passwort zugeteilt werden (geläufige Wörter wie der Name Ihres Hunds oder Ihres Lieblingsfussballvereins zählen nicht als sicher, da sie anderen Nutzer bekannt sein könnten).
Selbst Passwörter bieten nicht den absoluten Schutz, denn sie sind nur solange sicher bis sie geknackt sind. Ein Passwort zu knacken, ist dabei eine Frage der Zeit und weniger eine Frage des Möglichen - vorausgesetzt ein Hacker beherrscht sein Handwerk. Sicherheitsexperten empfehlen eine doppelte Authentifizierung. Mit anderen Worten: Dem Betriebssystem sollte eine weitere Sicherheits-Option hinzugefügt werden. Viele Computer, vor allem Laptops, sind mit einem eingebauten biometrischen Fingerabdruck-Scanner ausgestattet. Microsoft hat die zwischen Windows 7 und der Fingerabdruck-Hardware vereinfacht. Solche Hardware zu verkaufen, ist zudem ein lukrativer Umsatzbringer.
Biometrie - bessere Treiberunterstützung
Windows 7 bietet eine bessere Treiberunterstützung und zuverlässigeres Lesen von Fingerabdrücken über unterschiedliche Hardware-Plattformen hinweg. Einen Fingerabdruck verwenden und einstellen, um sich damit in Windows 7 anzumelden sowie anderen Nutzern den Zugang zu Anwendungen und Webseiten zu ermöglichen, ist nun einfacher zu bewerkstelligen. Man wählt die Option biometrische Geräte in den Systemeinstellungen, um die Konsole für das Verwalten von Fingerabdrücken aufzurufen und die biometrischen Sicherheitseinstellungen vorzunehmen.
Diese Konsole zeigt jedes verfügbare biometrische Gerät an. Sollte der Fingerabdruckleser noch nicht konfiguriert sein, meldet dies die Statusanzeige. Klicken Sie auf das Statusfeld, um die Konsole aufzurufen.
Man kann wahlweise einen oder alle zehn Finger eintragen. Werden mehrere Finger eingetragen, hat dies den Vorteil, dass man die biometrische Sicherheitsfunktion selbst dann verwenden kann, wenn der primärer Finger beispielsweise ein Pflaster trägt.
Daten schützen
Jedes Jahr werden tausende Computer gestohlen, vor allem Laptops. Wird also nicht auf ausreichende Sicherheitsmaßnahmen geachtet, können sich Diebe als nicht autorisierte Benutzer Zugang zu sensiblen Daten verschaffen. Das Risiko verlorener oder gestohlener Information ist sogar größer als die Verbreitung von Daten auf USB-Sticks und anderen tragbaren Speichermedien.
Windows 7 hat Vistas Datenschutz-Technologie wie das EFS (Encrypting File System) und die Unterstützung für ADRMS (Active Directory Rights Management Services) beibehalten. Neben kleineren Verbesserungen dieser Technologien verfügt Windows 7 über eine deutlich überarbeitete Version des Festplatten-Verschlüsselungs-Tools BitLocker. Zudem bietet Windows 7 die Möglichkeit, tragbare Speichermedien per BitLocker zu verschlüsseln.
Festplatten über BitLocker verschlüsseln
Als BitLocker in Vista das Licht der Welt erblickt hat, konnte das Tool lediglich das primäre Betriebssystem-Laufwerk verschlüsseln. Windows Vista SP2 (Service Pack 2) hat die Funktionalität auf andere Laufwerke ausgedehnt. Dazu gehören weitere Festplatten oder Partitionen auf dem primären Laufwerk. Die Möglichkeit, tragbare Speichermedien zu verschlüsseln, war jedoch bislang nicht möglich. Window 7 bietet BitLocker to Go, eine Funktion, die Daten auf tragbaren Laufwerken sichert und gleichzeitig Geschäftspartner und Kunden weiterhin den Tausch von Daten erlaubt.
Bevor mandie BitLocker-Festplatten-Verschlüsselung verwenden kann, müssen das Laufwerk erst einmal entsprechend konfiguriert werden. Windows setzt eine kleine, nicht verschlüsselte Partition voraus, die die notwendigen Kern-System-Dateien enthält, um den Boot-Vorgang zu beginnen und autorisierte Nutzer festzulegen. Viele bedenken oftmals jedoch nicht diese Einstellung zu Beginn vorzunehmen. Daher hat Microsoft ein Tool entwickelt, das Daten auch noch nachträglich verschiebt und es somit möglich macht, das Laufwerk für die BitLocker-Verschlüsselung neu zu partitionieren.
Sobald das Laufwerk entsprechend partitioniert ist, können die Dateien über BitLocker verschlüsselt werden. Dazu muss man auf die BitLocker-Verschlüsselungs-Option unter den Systemeinstellungen klicken. Anschließend zeigt der BitLocker sämtliche verfügbare Laufwerke sowie deren aktuellen Status an (ob BitLocker die Festplatte zum gegebenen Zeitpunkt verschlüsselt hat oder nicht). Die Anzeige trennt stationäre Festplatten, die mittels BitLocker gesichert sind von tragbaren Laufwerken, die über BitLocker to Go verschlüsselt sind.
Aktiviert man BitLocker, verschlüsselt das Feature bislang ungesicherte Laufwerke. Die Funktion bittet darum, ein Passwort festzulegen, um die Verschlüsselung nachhaltig wieder rückgängig machen zu können, oder wahlweise eine Chip-Karte für die Authentifizierung anzulegen. Anschließend erlaubt es BitLocker, die Wiederherstellungs-Dateien zu speichern. Die Wiederherstellungs-Dateien sind notwendig, um die Daten zu entschlüsseln, sollten das Passwort vergessen werden oder die Authentifizierung anderweitig scheitern.
Da BitLocker die Daten im Hintergrund kodiert, lässt sich Windows wie gewohnt verwenden. Sobald der Vorgang abgeschlossen ist, kann man auf die Verwaltungs-Option von BitLocker klicken, um somit verschlüsselte Dateien automatisch bei der Windows-Anmeldung zu entschlüsseln.
BitLocker ohne TPM verwenden
Standardmäßig erfordert BitLocker einen Trusted Platform Moduel-Chip (TPM), um die BitLocker-Schlüssel-Dateien zu speichern und die Zusammenarbeit zwischen Kodierung und Dekodierung zu erleichtern. Leider fehlen vielen Desktop-Rechnern und Laptops ein derartiger Chip. Doch: Das ist kein Problem.
Microsoft hat BitLocker so entwickelt, dass die Verschlüsselung auch ohne kompatiblen TPM-Chip funktioniert. Der Zugang zu dieser Option ist allerdings nicht ganz einfach und erfordert einige zusätzliche Schritte:
-
Klicken Sie auf das Windows-Logo am linken unteren Bildschirmrand, an jener Stelle, an der Sie die Programm aufrufen.
-
Tippen Sie in das Suchfenster "gpedit.msc" und drücken Sie auf die Eingabetaste Ihrer Tastatur.
-
Wählen Sie unter Administrative Vorlagen, Windows-Komponenten und BitLocker Festplattenverschlüsselung, die Option Betriebssystem-Laufwerk.
-
Aktivieren Sie die zusätzliche Authentifizierung beim Start per Doppelklick auf die entsprechende Option.
-
Klicken Sie auf die Aktivierungs-Schaltfläche und setzen Sie ein Kontrollhäkchen neben der Funktion, die den Einsatz von Bitlocker ohne einen kompatiblen TPM-Chip ermöglicht.
-
Bestätigen Sie über OK.
Mobile Daten mittels BitLocker to Go schützen
Windows Vista hat bereits fest installierte Laufwerke geschützt. Daten auf tragbaren Laufwerken konnte Vista bislang allerdings nicht verschlüsseln. Windows 7 schließt diese Lücke über die neue Option BitLocker to Go. Wenn Sie ein tragbares Laufwerk verschlüsseln wollen, achten Sie darauf, dass Sie es so lange nicht vom Computer trennen, bis dass der Verschlüsselungsprozesses beendet ist. Sollten Sie das tragbare Laufwerk dennoch vorzeitig entfernen, kann dies irreparable Schäden verursachen. Tipp: Sollten es sich nicht vermeiden lassen, den Computer noch vor Ende des Prozesses herunterzufahren oder das Laufwerk zu entfernen, verwenden Sie den Pause-Knopf, um den Vorgang anzuhalten.
BitLocker to Go verschlüsselt Daten auf USB- und anderen tragbaren Speichermedien. Möchte man sensible Dateien mit anderen Nutzern teilen, muss ein Passwort gewählt werden, dass man gewillt ist, mit anderen Nutzer zu tauschen, so dass diese auf die von Ihnen verschlüsselten Dateien zugreifen können. Reicht diese Art Sicherheit nicht aus, so können die Daten zusätzlich über eine Chip-Karte verschlüsselt werden. Bestmögliche Sicherheit ist allerdings nur dann gewährleistet, wenn das kodierte Laufwerk und die Chip-Karte getrennt weitergereicht werden.
Lesen Sie auch:
Windows 7 - welche Fragen Ihre Knden am meisten stellen
Die zehn gefährlichsten Windows-Befehle
Die 7 Todsünden bei der Migration auf Windows 7
Zudem erlaubt BitLocker to Go Administratoren, den Einsatz von tragbaren Speichermedien zu steuern sowie Verschlüsselungsregelungen geltend zu machen. Mittels Group Policy können Administratoren ungeschützte tragbare Medien so konfigurieren, dass Daten nur gelesen werden können und der Einsatz von BitLocker notwendig ist, um Daten überhaupt zu speichern. (pcwelt/cm)