Das ändert sich für Admins

20.07.2006
Von Moritz Jäger

Mit Vista will Microsoft endlich mehr Sicherheit in die Windows-Welt bringen. Eines der neuen Features ist die verbesserte Zugangskontrolle. Dabei handelt es sich um eine zusätzliche Abfrage, wenn der User oder ein Programm sensitive Bereiche des Betriebssystems aufruft. Der an Linux-Systeme erinnernde Dialog verlangt dann ein explizites Eingreifen des Nutzers, entweder durch Bestätigen des Dialogs oder die Eingabe eines Passworts.

Die Sicherheitsabfrage erscheint selbst dann, wenn der Anwender ein Programm im Kontext des Administrators startet. So soll verhindert werden, dass Malware unbemerkt auf das System zugreift. Laut Microsoft wird sich dieses Feature in der finalen Version von Vista auch nicht deaktivieren lassen.

USB-Speicher-Sticks sind die Achillesferse in den meisten Sicherheitskonzepten. Die bisherigen Windows-Versionen bringen keine Verwaltung für die mobilen Speicher mit, ein böswilliger Nutzer kann damit problemlos Daten in das Firmennetz einschleusen oder entwenden. Vista geht dieses Problem direkt in der "Group Policy" an. Je nach Einstellung können Administratoren künftig den Zugriff auf USB-Geräte sperren oder einen reinen Lese- oder Schreibzugriff gewähren.

Microsofts Antwort auf Spyware heißt "Windows Defender". Die Software befindet sich derzeit noch in einem kostenlosen Beta-Test, laut den FAQs soll aber auch die finale Version kostenlos erhältlich sein.

Schöner patchen

Auch für Vista wird es regelmäßig Patches und andere Softwareflicken geben. Da ist es zumindest ein kleiner Trost, dass das Patchen in Unternehmensnetzwerken nun leichter wird. In diesen Netzwerken beziehen die einzelnen Rechner ihre Updates meist von einem lokalen Update-Server. Der Vorteil dabei: Die Pakete müssen nur einmal von Microsoft geladen werden, das spart Bandbreite. Zudem kann der Administrator die Patches evaluieren und hat die Kontrolle, wann und ob ein Update installiert wird.

Microsoft liefert mit dem Windows Software Update Service (WSUS) eine eigene Zusatzlösung. Bislang war es allerdings ziemlich aufwändig, die Windows-XP-Clients davon zu überzeugen, dass die Updates lokal vorhanden sind.

Das ändert sich mit Vista. Das Betriebssystem bezieht seine Updates zwar standardmäßig über Microsoft, unterstützt aber von Haus aus auch den WSUS. Für ein hausweites Update genügt es künftig, die Patch-Dateien in der Managementkonsole des WSUS einzutragen.

BitLocker - der neue Datensafe

Eine der größten Neuerungen im Business-Bereich ist die Verschlüsselungstechnik rund um "BitLocker". Enthalten ist die neue Technologie in der Ultimate- und der Enterprise-Edition sowie der kommenden Server-Version. Das optionale Feature verschlüsselt auf Wunsch die verfügbaren Festplatten. Dabei ist der Schutz bereits während des Bootvorgangs der Fest-platte aktiv.

Für den Einsatz von BitLocker ist das Trusted Platform Module Version 1.2 (TPM 1.2) zwingend Voraussetzung. Der notwendige Chip ist aktuell nur in einzelnen Business-Systemen verbaut, soll aber Bestandteil der kommenden Sicherheitsarchitekturen Presidio (AMD) und LaGrande (Intel) sein.

BitLocker schützt Festplatten sogar nach ihrem aktiven Einsatz. Wenn der Lebenszyklus einer Platte beendet ist, musste sie bisher entweder mechanisch verschrottet oder aufwändig gelöscht werden, um wirklich alle darauf enthaltenen Daten zu beseitigen. Nun reicht es, die entsprechenden Schlüssel zu löschen. Selbst wenn jemand die Festplatten in einen anderen PC einbaut, bleiben die Daten ohne die passenden Zugangsdaten unlesbar.

BitLocker greift dabei auf TPM zurück, um von dem System eine Art Fingerabdruck zu erzeugen. Solange an der eigentlichen Hardware nichts manipuliert wird, bleibt der digitale Fingerabdruck derselbe. Während des Bootvorgangs gleicht BitLocker die Daten ab, erst wenn die beiden Schlüssel übereinstimmen, werden die Daten auf der Festplatte entschlüsselt.

Wahlweise kann der Administrator auch einen PIN oder einen Hash-Key auf einem USB-Stick anfordern lassen, mit dem sich der Nutzer zusätzlich verifizieren muss. Erst wenn alle Schlüssel als gültig anerkannt sind, werden die Daten entschlüsselt, und der Startvorgang wird fortgesetzt.

Aus dem VMK schließlich werden alle Schlüsselwerte für den Nutzer und die Recovery-Optionen erstellt. Löscht man also einen kompromittierten VMK, haben alle damit erstellten Schlüssel keinen Zugriff mehr.

IT-Administratoren können BitLocker künftig wahlweise lokal oder per Remote-Zugriff kontrollieren. Neben der Managementfunktion gibt es verschiedene Assistenten und Scripts. BitLocker wird sowohl in Vista als auch in der kommenden Serverversion "Longhorn" enthalten sein.

Moritz Jäger, tecChannel.de

Was Administratoren sonst noch beachten müssen, können Sie auf www.tecChannel.de erfahren.

Zur Startseite