Sicherheitsfeatures in Windows Vista Teil 2
Die grundlegenden Änderungen im Sicherheitsbereich können Sie hier nachlesen --> http://www.security-dome.eu/Vista_Sicherheit_Teil_1.html
Obwohl Vista ohne Zweifel sehr viel für die Sicherheit getan hat, sind doch einige Probleme offensichtlich.
Kontenverwaltung:
Das Hauptproblem bezüglich der Kontenerstellung bei der Installation von Vista habe ich bereits in diesem Artikel näher beschrieben --> http://www.security-dome.eu/Installation_Vista_Beta.html
Bekannte Dateiendungen:
Auch hier wieder ein „alter Bekannter“! Auch bei Vista werden bekannte Dateiendungen in der Standardinstallation ausgeblendet. Dies lässt sich aber wieder ändern:
Man öffnet hierzu den Reiter „Organize“ am linken oberen Bildschirmrand --> dann auf „Folder Options“ --> Reiter „View“ auswählen. Dort befinden sich die besagten Einstellungen.
Das Microsoft weiterhin an diesen zwei Punkten festhält ist absolut nicht nachvollziehbar! Ein Grossteil der bekannten Sicherheitslücken und Angriffe basieren auf diese zwei Punkte!
Hier könnte mit wenig Programmieraufwand und ohne neue Tools die Sicherheit um ein vielfaches verbessert werden!
Kernel:
Microsoft hat in Vista den Kernel weiter gegen Manipulation und Veränderungen durch Dritte abgesichert. Ziel ist es, dass nur noch original Windows-Updates den Kernel verändern dürfen. Für Anbieter von systemnahen Programmen (Virenscanner, Firewalls usw.) bedeutet dies eine komplette Neuentwicklung ihrer Lösungen. Microsoft bietet aber eine entsprechende Unterstützung an. Welche Auswirkungen dieses Thema im Einzelnen haben wird, wird die Zukunft zeigen. Momentan sind die Informationen hierzu noch zu unsicher.
Netzwerk:
Der komplette Netzwerkstack wurde in Vista überarbeitet bzw. erneuert. Dies war notwendig, um den neuen Standard IPv6 zu integrieren. Ebenfalls wurde die Unterstützung von neuen Protokollen implementiert und für eine Kompatibilität IPv4 und IPv6 gesorgt.
Dieser neue Netzwerkstack wird natürlich – wie alle Neuentwicklungen – für diverse Risiken und Stabilitätsprobleme sorgen. Auch die Integration neuer Protokolle bietet neue Angriffspotentiale. Die weitere Entwicklung bleibt hier abzuwarten.
Auch die Netzwerkonfiguration ist erheblich umfangreicher geworden. Es gibt jetzt einen grafisch animierten „Network Center“. So richtig erschliessen wollen sich mir so einige Begriffe und Einstellungen aber nicht!
So kann man grundlegend zwischen einem „Public Network“ und einem „Private Network“ unterscheiden. Das „Public Network“ wird als unsicheres Netwerk wie z.B. in einem Internet-Kaffee oder am Flughafen bezeichnet. Das „Private Network“ verbindet man gerne mit dem bekannten lokalen Netzwerk (LAN).
Schaltet man allerdings die Konfiguration auf „Private Network“ um, ist immer noch eine Verbindung zum Internet möglich – also genau genommen in ein „Public Network“. Gemeint ist anscheinend der Zugang über ein fremdes Gastnetzwerk z.B. über einen W-LAN Hotspot.
Windows Firewall:
Die Windows Firewall ist zumindest in diesem Beta-Build als problematisch anzusehen!
Im Einzelnen heisst das:
Der geschützte Windows Host kann trotz eingeschalteter Firewall erkannt werden (kein Vollständiger Stealth-Modus)
Eine Einstellung kann weiter Konfigurationsänderungen im Hintergrund bewirken, ohne das der User über diese Automatismen unterrichtet wird
Es werden nicht alle Programme erkannt, die eine Netzwerkverbindung aufbauen
Selbst verbotene Programme können weiterhin Netzwerkverbindungen aufbauen
Kein Vollständiger Stealth-Modus:
Eine Windows Firewall in der Standardkonfiguration antwortet trotzdem auf LLTD-Anfragen.
TCP-Anfragen an einen inaktiven Port werden mit einem RST-Packet beantwortet.
IPv6 UDP-Anfragen an einen inaktiven Port werden mit einem „ICMPv6 unreachable error beantwortet
Ein Netzwerk kann auch von ausserhalb entdeckt werden, indem routingfähige IPv4 oder IPv6 Packete gesendet werden, oder über manipulierte ICMP-Fehler im Header.
Einstellungen im Hintergrund:
Änderungen in der Datei- und Druckerfreigabe oder der Medienfreigabe haben eine übergreifende Regeländerung zur Folge, über die der User nicht oder unzureichend informiert wird.
Programmerkennung:
Der Firefox-Browser wurde von der Windows Firewall erkannt.
Retrospect Backup wurde nicht von der Firewall entdeckt und konnte ungefragt ein Update laden
SSD und Ad-Aware konnten Updates laden und wurden nicht erkannt
Acrobat Reader konnte Netzwerkverbindungen aufbauen ohne Erkennung durch die Firewall
Kommunikation trotz Verbot:
Trotz dem Verbot für den Firefox-Browser konnte dieser weiterhin uneingeschränkte Internetverbindungen aufbauen. Eine Änderung zwischen „Private und Public Network“ brachte keine Änderung.
Laut einer tagesaktuellen Information von meinem Kollegen „Braveheart“ bietet aber die Microsoft Management Console (MMC) eine sehr viel umfangreichere und feinere Einstellung der Microsoft Firewall. Ich habe dies kurz überprüft und kann die Information von „Braveheart“ bestätigen.
Ich werde diesem Thema einen eigenen Bericht widmen. Nach meinen jetzigen Erkenntnissen können aber nur statische Regeln erstellt werden. Einen „Nachfragemodus“ gibt es nicht.
Trotzdem kann man sagen, ist eine Desktop Firewall von einem Dritthersteller absolut empfehlenswert. Aber genau hier gibt es einige Probleme:
Desktop Firewalls von Drittherstellern:
Wir haben schon eine grosse Anzahl an Firewalllösungen unter Windows Vista getestet. Die komplette Tabelle finden Sie hier --> http://www.security-dome.eu/Tabelle_Vista-Kompatible_Anwendungen.html
Wichtige Informationen zu dieser Tabelle finden Sie hier --> http://www.security-dome.eu/Vista-Projekt_kompatible_Programme.html
Momentan ist keine Desktop Firewall kompatibel zu Vista. Die Hersteller stehen einfach vor zu vielen tief greifenden Systemänderungen:
Änderungen des Kernels und den Berechtigungen
Änderungen im Netzwerkstack, IPv6 und neuen Protokollen (wobei eine reine IPv6 Unterstützung von den meisten Herstellern bereits geboten wird)
Hier wird es also noch einige Zeit dauern, bis kompatible und stabile Lösungen angeboten werden.
Virenscanner:
Auch Virenscanner haben so ihre Probleme mit der Kernel-Kompatibilität. Allerdings – und das ist erfreulich - bieten bereits zwei Hersteller funktionelle und stabile Freewarelösungen an!
Diese finden Sie ebenfalls in der Tabelle --> http://www.security-dome.eu/Tabelle_Vista-Kompatible_Anwendungen.html
Aber auch diese Lösungen müssen ihren wirklichen Schutz in produktiven Tests beweisen!
User Account Control:
Dieses neue Sicherheitsfeature arbeitet sehr sicher und stabil! Nähere Informationen dazu finden Sie hier --> http://www.security-dome.eu/Vista_Sicherheit_Teil_1.html
Trotzdem konnte ich einige Besonderheiten feststellen:
Kopieren von Ordnern funktioniert nicht – kopieren der darin enthaltenen Dateien aber wohl
Programme erkennen die Administratorrechte nicht korrekt
Kopieren von Ordnern:
Dieses Problem konnte sowohl von Braveheart unter einer lokal installierten Vista 64bit Beta 2, als auch von mir unter einer virtuell installierten Vista 32bit Beta 2 beobachtet werden.
Dieses Problem hängt nicht an fehlenden Berechtigungen, da Ordner ihre Berechtigungen an darin enthaltene Dateien vererben. Der Kopiervorgang bricht aber mit dieser Fehlermeldung ab.
Erkennung der Administratorrechte:
UAC vergibt selbst unter dem Administratorkonto an startende Programme nur einen User-Token. Erst wenn das Programm einen Administrator-Token anfordert, wird dieser ausgestellt (nach einer entsprechenden Bestätigung des Warnfensters).
Einige Programme starten aber anscheinend mit dem User-Token, und prüfen die Berechtigungen erst, wenn „administrative Aufgaben“ zu erledigen sind (z.B. ein Programm Update).Sie fordern das Administrator-Token aber nicht explizit an, weshalb administrative Aufgaben abgebrochen werden.
Beobachten konnte ich dies bei folgenden Programmen / Aktionen:
Acrobat Reader 7 / Update
Retrospect Express 7.5 / Retrospect Launcher startet nicht
Allerdings hat Microsoft in der neuen Beta 2 diesen Schutz aufgeweicht! War vorher keinerlei Aktion möglich, bis das entsprechende Warnfenster der UAC bestätigt wurde, wird das Fenster nun in die Taskleiste abgelegt.
Dies provoziert folgende Probleme:
Der User vergisst das Warnfenster in der Taskleiste
Der User ist nicht mehr gezwungen, sich mit dem aktuellen Problem auseinanderzusetzen, bis er weiter arbeiten kann
Da nun andere Prozesse im Hintergrund starten können, bzw. Aktionen tätigen können, ist die (theoretische) Gefahr von automatisierten Bestätigungen erhöht!
Parental Control:
Auch dieses Sicherheitsfeature arbeitet sehr zuverlässig die Regeln ab! Allerdings ist es datenschutzrechtlich sehr bedenklich! Sehen Sie dazu meinen Bericht --> http://www.security-dome.eu/Vista_Sicherheit_Teil_1.html
Einziges feststellbares Problem ist das Beenden des Explorers, wenn die Regeln bearbeitet werden. Der Explorer startet aber automatisch neu. Dieses Problem ist bereits bei Microsoft bekannt und sollte in der neuesten Beta behoben sein.
Windows Defender:
Auch dieses Sicherheitsprogramm arbeitet ohne Probleme. Es warnt sogar vor der Veränderung wichtiger Systemdateien und Autostartbereichen. Ausserdem bemerkt es bekannte, sowie unbekannte Installationsprogramme und zeigt ein entsprechendes Aktionsfenster.
Hierbei werden alle bemerkten veränderten Bereiche einzeln aufgeführt und können ebenso einzeln erlaubt oder verboten werden.
Die Zuverlässigkeit der eigentlichen Scanengine für Spy- und Adware muss aber ebenfalls in einem Praxistest geprüft werden.
Zusammenfassung:
Insgesamt zeigen sich die Sicherheitsfeatures in Vista schlüssig – und bis auf wenige Ausnahmen auch sicher.
Die tief greifenden Änderungen im Netzwerkstack und im Kernel werden aber zumindest am Anfang wohl nicht die Stabilität zeigen, wie in Windows XP.
Auch Programme haben schwere Kompatibilitätsprobleme in diesem Bereich! Bleibt für den Anwender zu hoffen, das die Softwarehersteller kostenlose Updates / Patche zur Verfügung stellen werden.
Über weitere Erkenntnisse werde ich berichten
Frank Richter