Berichte über das neue Windows Vista häufen sich mit jeder Beta und jeder neuen Testversion. Allerdings geht es darin meist um die neue Aero-Oberfläche oder augenscheinliche Features wie die Sidebar oder die neue Suche. Die wenigsten Berichte erwähnen, was sich neben den optischen Neuerungen bei der Sicherheit und Administration getan hat.
In diesem Beitrag wollen wir genau in diese Lücke springen. Wir wollen auf die neuen Funktionen eingehen, die Administratoren das Leben erleichtern sollen. Dabei werfen wir unter anderem einen Blick auf die neuen Sicherheitsoptionen und die neuen Möglichkeiten beim Patch-Deployment, also die Technik unter dem glänzenden Lack.
Bitte beachten Sie: Dieser Artikel und die besprochenen Features basieren auf der derzeit aktuell erhältlichen Beta 2 von Windows Vista. Bis zum Release kann es also unter Umständen noch zu Änderungen kommen.
Mehr Sicherheit - endlich
Mit Vista will Microsoft endlich mehr Sicherheit in die Windows-Welt bringen. Eins der neuen Features ist die verbesserte Zugangskontrolle. Dabei handelt es sich um eine zusätzliche Abfrage, wenn der User oder ein Programm sensitive Bereiche des Betriebssystems aufruft. Der an Linux-Systeme erinnernde Dialog verlangt dann ein explizites Eingreifen des Nutzers, entweder durch Bestätigen des Dialogs oder die Eingabe eines Passworts.
Die Sicherheitsabfrage erscheint selbst dann, wenn der Anwender ein Programm im Kontext des Administrators startet. So soll verhindert werden, dass Malware unbemerkt auf das System zugreift. Laut Microsoft wird sich dieses Feature in der finalen Version von Vista auch nicht deaktivieren lassen.
USB-Speicher-Sticks sind die Achillesferse in den meisten Sicherheitskonzepten. Die bisherigen Windows-Versionen bringen keine Verwaltung für die mobilen Speicher mit, ein böswilliger Nutzer kann damit problemlos Daten in das Firmennetz einschleusen oder entwenden. Vista geht dieses Problem direkt in der Group Policy an. Je nach Einstellung können Administratoren künftig den Zugriff auf USB-Geräte sperren oder einen reinen Lese- oder Schreibzugriff gewähren.
Microsofts Antwort auf Spyware heißt Windows Defender. Nach der Übernahme der Firma Giant hat der Redmonder Software-Konzern das zugekaufte Know-how genutzt, um eine eigene Anti-Spyware-Lösung direkt in Vista zu integrieren. Die Software befindet sich derzeit noch in einem kostenlosen Beta-Test, laut den FAQs soll aber auch die finale Version kostenlos erhältlich sein.
Schöner patchen
Auch für Vista wird es regelmäßig Patches und andere Software-Flicken geben. Da ist es zumindest ein kleiner Trost, dass das Patchen in Unternehmensnetzwerken nun leichter wird. In diesen Netzwerken beziehen die einzelnen Rechner ihre Updates meist von einem lokalen Update-Server. Der Vorteil dabei: Die Pakete müssen nur einmal von Microsoft geladen werden, das spart Bandbreite. Zudem kann der Administrator die Patches evaluieren und hat die Kontrolle, wann und ob ein Update installiert wird.
Microsoft liefert mit dem Windows Software Update Service (WSUS) eine eigene Zusatzlösung. Bislang war es allerdings ziemlich aufwendig, die Windows-XP-Clients davon zu überzeugen, dass die Updates lokal vorhanden sind.
Das ändert sich mit Vista. Das Betriebssystem bezieht seine Updates zwar standardmäßig über Microsoft, unterstützt aber von Haus aus auch den WSUS. Für ein hausweites Update genügt es künftig, die Patch-Dateien in der Management-Konsole des WSUS einzutragen.
BitLocker - der neue Datensafe
Eine der größten Neuerungen im Business-Bereich ist die Verschlüsselungstechnik rund um BitLocker. Enthalten ist die neue Technologie in den Ultimate- und der Enterprise-Edition sowie der kommenden Server-Version. Das optionale Feature verschlüsselt auf Wunsch die verfügbaren Festplatten. Dabei ist der Schutz bereits während des Bootvorgangs aktiv.
Für den Einsatz von BitLocker ist das Trusted Platform Module Version 1.2 (TPM 1.2) zwingend Voraussetzung. Der notwendige Chip ist aktuell nur in einzelnen Business-Systemen verbaut, soll aber Bestandteil der kommenden Sicherheitsarchitekturen Presidio (AMD) und LaGrande (Intel) sein.
BitLocker schützt Festplatten sogar nach ihrem aktiven Einsatz. Wenn der Lebenszyklus einer Platte beendet ist, musste sie bisher entweder mechanisch verschrottet oder aufwendig gelöscht werden, um wirklich alle darauf enthaltenen Daten zu beseitigen. Nun reicht es, die entsprechenden Schlüssel zu löschen. Selbst wenn jemand die Festplatten in einen anderen PC einbaut, bleiben die Daten ohne die passenden Zugangsdaten unlesbar.
Geschützter Bootvorgang
Die BitLocker-Technologie setzt an zwei Punkten an. Zum einen führt sie bei jedem Bootvorgang eine Integritätsprüfung durch, zum anderen verschlüsselt sie die ausgewählten Festplattenpartitionen.
BitLocker greift dabei auf TPM zurück, um von dem System eine Art Fingerabdruck zu erzeugen. Solange an der eigentlichen Hardware nichts manipuliert wird, bleibt der digitale Fingerabdruck derselbe. Während des Bootvorgangs gleicht BitLocker die Daten ab, erst wenn die beiden Schlüssel übereinstimmen, werden die Daten auf der Festplatte entschlüsselt.
Wahlweise kann der Administrator auch einen PIN oder einen Hash-Key auf einem USB-Stick anfordern lassen, mit dem sich der Nutzer zusätzlich verifizieren muss. Erst wenn alle Schlüssel als gültig anerkannt sind, werden die Daten entschlüsselt, und der Startvorgang wird fortgesetzt.
Daten, aber sicher
Die Verschlüsselung der Partitionen macht sich ebenfalls TMP zu Nutze. Zunächst wird die angegebene Partition mit dem Full Volume Encryption Key (FVEK) verschlüsselt; dieser nutzt einen 256-Bit-AES-Algorithmus. Anschließend wird der FVEK erneut verschlüsselt, diesmal mit dem Volume Master Key (VMK), ebenfalls in 256 Bit AES.
Der Volume Master Key wird also als zusätzliche Schicht zwischen dem Anwender und den verschlüsselten Daten eingeführt. Das hat mehrere Vorteile. Der Anwender kommuniziert nie direkt mit dem Basisschlüssel, kann diesen also nicht mitloggen oder auslesen. Wenn die Sicherheit kompromittiert wurde, muss zudem nur der VMK neu erzeugt werden. Ein Ent- und anschließendes Neuverschlüsseln sämtlicher Partitionen mit geändertem Key ist daher nicht notwendig.
Aus dem VMK schließlich werden alle Schlüsselwerte für den Nutzer und die Recovery-Optionen erstellt. Löscht man also einen kompromittierten VMK, haben alle damit erstellten Schlüssel keinen Zugriff mehr.
IT-Administratoren können BitLocker künftig wahlweise lokal oder per Remote-Zugriff kontrollieren. Neben der Management-Funktion gibt es verschiedene Assistenten und Scripts. BitLocker wird sowohl in Vista als auch in der kommenden Server-Version „Longhorn“ enthalten sein.
Adios DOS - zumindest teilweise
Bereits in den aktuellen Windows-Versionen sollten die letzten Reste des alten MS-DOS beseitigt werden. Dies wurde allerdings nur halbherzig umgesetzt, wie beispielsweise die völlig veraltete Installationsroutine zeigt. Diese ersetzt Vista nun durch WinPE. Das steht für Microsoft Windows Pre-Installation Environment. Im Gegensatz zur Windows XP-PE-Version ist die Vista-Variante für jedermann erhältlich.
WinPE kommt bei der Installation, bei Recovery-Funktionen und beim Troubleshooting zum Einsatz. Es enthält sämtliche Kernfunktionen von Windows Vista und ist damit den bisherigen Notfallkonsolen deutlich überlegen. So kann WinPE unter anderem auf Netzwerklaufwerke zugreifen und enthält alle Netzwerktreiber, die auch Vista beiliegen.
Sollten Treiber fehlen, lassen sich diese nachladen - egal, ob von USB, CD/DVD oder einer Freigabe. WinPE unterstützt neben der 32- auch die 64-Bit-Architektur. Der größte Vorteil ist allerdings, dass sich Win32-Anwendungen direkt aus WinPE starten lassen. Damit stehen beispielsweise auch unter einem Notfallsystem dieselben Anwendungen zur Verfügung wie direkt unter Vista. Ein weiterer Vorteil ist, dass WinPE sowohl Multithreading als auch Multitasking unterstützt.
Benchmark-Suite mitgeliefert
Komplett neu ist die Leistungsbewertung. Diese Funktion testet die verschiedenen Komponenten des Rechners und beurteilt diese. Aus den Einzelwertungen erstellt das Programm eine Gesamtwertung. Diese Bewertung geht von eins bis fünf, wobei fünf die beste Wertung darstellt.
Die Leistungsbewertung liefert Administratoren und Anwendern einen einheitlichen Anhaltspunkt, wie leistungsstark die einzelnen Geräte sind und wo Nachholbedarf besteht.
Microsoft plant zudem einen neuen Online-Marketplace, der die einzelnen Bewertungen nutzt. Dort ist dann bei den einzelnen Anwendungen die empfohlene Bewertungsstufe angegeben. Das macht es deutlich einfacher zu entscheiden, ob sich eine Software für die aktuelle Rechnerumgebung eignet .
Fazit
Vista-Administratoren werden es leichter haben. Denn mit Vista ziehen endlich wieder richtig innovative Features in die Windows-Welt ein. Besonders BitLocker hat das Zeug, im Business-Bereich neue Maßstäbe zu setzen. Wenn das System eine akzeptable Geschwindigkeit aufweist, kann es sich innerhalb kürzester Zeit zum Standard mausern. Die kommenden Business-Plattformen unterstützen TPM in jedem Fall, und besonders mobile Geräte wie Notebooks profitieren von dem nativen Datenschutz.
Aber auch andere neue Funktionen, etwa die verbesserte Patch-Routine, die Kontrolle über USB-Storage-Geräte oder WinPE, sorgen dafür, dass die Arbeit mit Vista leichter von der Hand geht. WinPE kommt künftig auch beim Deployment des Betriebssystems eine tragende Rolle zu. Schade ist allerdings, dass die neue Dateistruktur WinFS komplett verworfen wurde.
Sie sehen, Vista enthält nicht nur Spielereien wie transparente Fensterrahmen oder Mac-gleiche Icons. Unter der Haube hat sich fast ebenso viel getan, nur sind die Neuerungen optisch meist nicht auf den ersten Blick erkennbar. Bleibt zu hoffen, dass Microsoft nicht im letzten Moment von diesen sinnvollen Neuerungen Abstand nimmt. (Moritz Jäger, tecChannel.de/tö)