Windows Live OneCare 2.0 Best Practices for Home Users – Teil 2



Dieser Bericht wurde mir freundlicherweise von „Devilfrank“ aus unserem securITy-dome.eu Forum zur Verfügung gestellt. Vielen Dank an „Devilfrank“ für diese hervorragende und umfassende Ausarbeitung! Den ersten Teil finden Sie im Bereich --> „Interne Links“.



Themen dieses Berichts (was Sie erwartet):

Teil 1:

  1. Einleitung

  1. Installation

Teil 2:

  1. Anpassung des Systems

  1. Schlussbemerkungen

  2. Danksagung

  3. Interne Links

  4. Externe Links










  1. Anpassung des Systems:

3.1. Generelles:

Wie die Feature- Liste (s.o.) erwarten ließ, wird von Windows Live OneCare tief in das System eingegriffen. Die Windows- eigene Firewall wird ebenso deaktiviert wie der Windows-Defender. So jedenfalls präsentiert sich das Sicherheitscenter(s.u.). In Wirklichkeit ist der Windows-Defender jedoch nicht „arbeitslos“.

Die Windows Vista™- Firewall ist allerdings tatsächlich durch eine eigene Firewall ersetzt und ausgeschaltet. Dazu dann später mehr.







3.2. Updates:

Windows Live OneCare integriert sich ebenfalls direkt in die Steuerung der Updates. Dies ist aber auch nur die Übernahme der schon vorhandenen Windows Vista™- Funktion. Wie alle anderen Funktionen ist dieses Feature über das Windows Live OneCare Status-Center erreichbar.




3.3. Virenscanner:

Jetzt kommen wir zum Kernstück von Windows Live OneCare. Ist der integrierte Virenscanner die Ausgabe wert? Um es vorwegzunehmen – Ja. Es gibt drei Varianten von Scans, die über das Status-Center ausgewählt werden können.




Der benutzerdefinierte Scan ist ebenfalls über das Kontextmenu des Explorers aufrufbar, so dass einzelne Dateien sofort überprüft werden können.




Wie gut ist der Virenscanner? Kann er mit den etablierten Anbietern mithalten? Hierzu wurde ein Vergleichstest durchgeführt. Ein Malware-Set mit 85 relativ neuen, infektiösen Dateien wurde bereitgestellt und der Scan gestartet und das war das Ergebnis.

14.02.2008 12:04 Der Viren- und Spyware-Scan wurde abgeschlossen.

Gescannte Elemente: C:\Users\...\Downloads\Malware\

Scan-Art: Benutzerdefinierter Scan

Startzeit des Scans: 14.02.2008 11:51

Endzeit des Scans: 14.02.2008 11:52

Gesamtzahl der gescannten Dateien: 545

Gesamtzahl der nicht gescannten Dateien: 2

Gesamtzahl der gefundenen Bedrohungen: 67

Gesamtzahl der bereinigten Bedrohungen: 0

Gesamtzahl der entfernten Bedrohungen: 29

Gesamtzahl der unter Quarantäne gestellten Bedrohungen: 3

Gesamtzahl der noch vorhandenen, aber gesperrten Bedrohungen: 1



Zum Vergleich wurde ebenfalls der Test mit der NIS2008 durchgeführt:

Prüfstatistik:

Prüfzeit: 14 Sek. (14.02.2008 12:26:47)

Prüfungsoptionen:

Prüfziele: C:\Users\Public\Downloads\Malware\

Anzahl:

Insgesamt überprüfte Elemente: 416

- Dateien und Verzeichnisse: 416

- Registrierungseinträge: 0

- Prozesse und Startelemente: 0

- Netzwerk- und Browser-Elemente: 0

- Andere: 0

Insgesamt erkannte Sicherheitsrisiken: 73

Insgesamt reparierte Elemente: 0

Elemente insgesamt, die Aufmerksamkeit erfordern: 73

Nun ist das mit Sicherheit kein repräsentativer Test, aber er zeigt, das Windows Live OneCare noch nicht ganz mit den etablierten Anbietern mithalten kann. Eine angenehme Überraschung: Sobald Windows Live OneCare erkannt hat, dass das System eventuell kompromittiert ist, wird der Scan automatisch auf den gesamten Computer ausgeweitet. Der überwiegende Teil der Bedrohungen wurde automatisch eliminiert. Sollte das nicht möglich sein, wird der Scanbericht eingeblendet und die mögliche Aktion gleich vorgeschlagen. Sehen Sie dazu auch den Testbericht von 23 Virenscannern im Bereich --> „Externe Links“.




Der Scanvorgang verläuft recht unauffällig im Hintergrund und belastet den Rechner nicht übermäßig, so dass ein paralleles Weiterarbeiten problemlos möglich war.




Nachdem die Bereinigung fertiggestellt ist, wird der Bericht angezeigt und der Vorgang ist beendet.




Dieser ist jedoch nicht wirklich aussagekräftig. Die komplexe Übersicht ist über das Status-Center aufrufbar. Klickt man dort auf „Einstellungen ändern“ gelangt man in das Konfigurationsmenu und kann dann ein Supportprotokoll erstellen lassen, das alle Einzelheiten auflistet.







3.4. Firewall:

Eingefleischte Firewall-Fans sollten dieses Kapitel überspringen, denn die deutlich karge Konfigurierbarkeit der Windows Live OneCare- Firewall wird ihnen den Spaß an diesem Produkt verderben. Und vorab – damit hätten sie sogar recht.

Wie schon oben beschrieben, wird die vorhandene Windows-Firewall kompromisslos ausgeschaltet und ein eigener Firewall-Treiber samt Oberfläche gestartet. Dies ist eine deutliche Schlechterstellung gegenüber vorher. Die Windows- Firewall ist ein mächtiger und sehr fein justierbarer Schutzmechanismus (vgl. hierzu „Windows Vista™ - Best Practices for Home User“ published by DevilFrank) --> „Interne Links“.

Der Ersatz mit dem Windows Live OneCare Firewall ist was die Konfigurationsmöglichkeiten betrifft sehr dürftig.




Direkt nach der Installation meldet sich auch schon die Firewall zu Wort, wenn ein Programm online gehen will, das nicht Bestandteil der mitgelieferten Firewallrichtlinie ist.

Problematisch daran ist, dass diese Firewallrichtlinie nirgends richtig beschrieben ist und auch manuell nicht editiert werden kann. Hier heißt es also auf den Hersteller vertrauen, dass dieser im Rahmen der permanenten Online-Updates diese Richtlinie aktuell hält und die richtige Entscheidung für den User trifft.

Das treibt dem User, der sein System selbst konfigurieren will natürlich die Tränen in die Augen! L

Die Onlinehilfe von Windows Live OneCare ist da auch nicht hilfreich. Die Onlinehilfe finden Sie im Bereich --> „Externe Links“.

Etwas mehr an Informationen liefert das oben schon erwähnte Supportprotokoll. Hier werden zumindest die aktuell erlaubten Applikationen gelistet. Ebenfalls werden dort die existierenden Port- und Protokollregeln aufgeführt. Positiv fällt auf, dass die automatische Zustimmung zu Programmen per Firewallrichtlinie außer Kraft gesetzt werden kann. Es genügt, im Konfigurationsmenu den Haken entsprechend zu setzen und es wird künftig bei jedem Programm nachgefragt.

Firewallrichtlinie zur automatischen Verwaltung des Programmzugriffs aktiviert:

False

Ausführliche Protokollierung aktiviert:

True

Firewallbenachrichtigung aktiviert:

True



Dies hat sich in der Praxis schon gezeigt. Das Update für den Internet Explorer (KB944533) mit dem letzten Patchday erzeugte eine Nachfrage der Firewall, da sich das Programm geändert hatte.

Die Windows Live OneCare Firewall kann im Konfigurationsmenu temporär für einen definierbaren Zeitraum ausgeschaltet werden. Darüberhinaus ist eine Funktion integriert, die die Netzwerktypen überwacht und ggf. das vordefinierte „private Netzwerk“ ausschaltet, wenn eine Verbindung mit einem „öffentlichen Netzwerk“ hergestellt wird. Das bedeutet im Grunde nichts anderes, als dass einige Funktionen und Ports im „öffentlichen Netz“ nicht verfügbar sind. Als „öffentliches Netzwerk“ werden idR. WLAN- und DFÜ-Verbindungen deklariert, die nicht durch einen Router geschützt sind. Hier werden dann aktive Windowsdienste wie bspw. die Druckerfreigabe verborgen.

Die vordefinierten Regeln sind gut durchdacht und sichern das System zuverlässig gegen Attacken sowohl aus dem LAN als auch aus dem WAN, so dass der erste, schlechte Eindruck abgemildert wird.

Die Konfigurationsmöglichkeiten der Windows Live OneCare sind allerdings wirklich sehr dürftig, wie in der Folge zu sehen sein wird. So können die Regeln für die Kommunikation der einzelnen Applikationen nicht individuell angepasst werden. Entweder das Programm darf in das Internet oder nicht. Basta! Eine Einschränkung auf bestimmte Ports oder IP´s ist nicht möglich. Die Endpunkt zu Endpunkt Sicherung der Windows-Firewall ist auch nicht mehr verfügbar. Diese Regelung wird über globale IPSec-Regeln sichergestellt, die jedoch weder eingesehen noch geändert werden können. Vielleicht sind die ja in der Registry zu finden. Sicherlich sogar. Aber das ist eine deutliche Schlechterstellung gegenüber vorher.




Hinter dem Button „Firewall konfigurieren“ verbirgt sich zunächst die Auflistung der automatisch erstellten Firewallzonen für die jeweiligen Netzwerkanwendungen. Diese können über „Speicherort ändern“ geändert werden.




Hoffnungsvoll klickt der erfahrene Firewall-User auf „Erweiterte Einstellungen“ um endlich ans Eingemachte zu kommen und wird wieder enttäuscht. Zwar werden hier brav die erlaubten Applikationen gelistet, aber der Klick auf „Bearbeiten“ offenbart die ganze Dürftigkeit der Konfigurationsmöglichkeiten. „Programmeinschränkungen bearbeiten“ ist ein großer Begriff für die gar dürftige Auswahl, die sich dahinter verbirgt.




Deutlich besser sind die Portregeln definierbar. Zusätzlich zu den automatisch erstellten Regeln können hier eigene Portregeln für alle Richtungen im LAN und/oder WAN erstellt und individuell definiert werden. Hier können sich die Firewall- Fans dann doch nach Herzenslust austoben und über diesen Umweg zumindest global den Datenverkehr an bestimmten Ports reglementieren.




Unter dem Karteireiter Netzwerkverbindungen werden die aktiven Netzwerkverbindungen gelistet. Hier lässt sich lediglich die Zuordnung zu einem vordefinierten Standort (s.o.) ändern.




Damit ist das Thema Firewall schon abgehandelt. Unter dem Strich bleibt das schale Gefühl besonders bei diesem Part der Windows Live OneCare Komplettlösung den Programmierern ausgeliefert zu sein und hoffen zu müssen, dass sie schon alles richtig machen werden.

3.5. Internetoptionen:

Mit der Installation von Windows Live OneCare werden automatisch die Internetzonen des Internet Explorer überprüft und ggf. auf den Standard „Mittelhoch“ für das Internet geändert und der Phishingfilter aktiviert.




Die Sicherheitseinstellungen der Internetzone werden allerdings in bezug auf das .NET-Framework abgeändert und können auch nicht dauerhaft abgeändert werden! Es ist lediglich eine temporäre Änderung während der laufenden Sitzung möglich. Nach dem Browser-Neustart sind die abgebildeten Einstellungen wieder aktiv. Warum das so sein muss können wohl nur die Microsoft™ - Entwickler erklären…

Der HTTP-Datenverkehr wird vom Virenscanner überwacht. Am Beispiel des .ani-Exploits verweigerte der Internet Explorer den Download und der Scanner meldete entsprechend den Versuch.

Der Windows Live OneCare Scanner trägt sich ebenfalls ordnungsgemäß als Dateiscanner in den Windows Live Messenger ein.

Unter dem Strich bleibt der fade Beigeschmack durch die zwangsweise Aktivierung des .NET-Frameworks im Internet Explorer. Aktuell sind (noch) keine Bedrohungen über diesen Vektor bekannt, aber es bleibt der Fakt, dass der User regelrecht „verhaftet“ wird.




3.6. Wartung:

Ebenfalls über das Statuscenter erreichbar ist die Sektion „Wartung“. Diese Leistungsoptimierung optimiert die Einstellungen des Computers für die Sicherheit, Leistung und Zuverlässigkeit. Darüberhinaus wird die Konfiguration der geeigneten Softwaresicherheitsstufen, die Optimierung des Arbeitsspeichers zur Verbesserung der Browser-Geschwindigkeit, die Überwachung von Druckerwarteschlangen und die Optimierung von Netzwerkprotokollen für die Sicherheit und Zuverlässigkeit überwacht und ggf. angepasst.

Beim Optimieren des Computers mithilfe der Leistungsoptimierung führt Windows Live OneCare die folgenden Aktionen aus:

Wird die Option zum Entfernen nicht benötigter Dateien aktiviert, werden in der Standardeinstellung Dateien folgender Typen entfernt:

Diese Leistungsoptimierung steht als planbarer Task zur Verfügung, kann jedoch auch manuell gestartet werden. Wie groß der Performancegewinn tatsächlich ist, kann aktuell noch nicht gesagt werden. Der verwendete Rechner lief auch vorher problemlos und schnell. J

3.7. Sicherung:

Die umfangreichen Backup-Möglichkeiten von Windows Vista™ wurden hier noch einmal vereinfacht und zusammengefasst. Weitere Informationen zu den Backup-Möglichkeiten finden Sie unter --> „Externe Links“.

Die Sicherung umfasst alle Dateien, so dass nach einem Crash die komplette Windowsinstallation inklusive persönlicher Daten, selbst aus Outlook (!) wiederhergestellt werden können.




Diese Sicherung kann sich auf den einen PC beschränken, kann allerdings auch auf die bis zu drei PCs ausdehnt werden, die in der Lizenz enthalten sind und als Windows Live OneCare Gruppe verwaltet und administriert werden können. Zu dieser Gruppenbildung, zentraler Datensicherung, Verwaltung und Administration über Remote-Desktop von Windows Live OneCare an anderer Stelle mehr. Diese Betrachtung ist zu umfangreich und wird demnächst in einer eigenen Publikation behandelt werden.



  1. Schlussbemerkungen:

Insgesamt macht das Windows Live OneCare –Paket einen soliden Eindruck, offenbart jedoch auch Schwächen, die deutlich anzusprechen sind. Die reduzierte Konfigurierbarkeit der integrierten Firewall reduziert dieses Produkt auf User, die ihren PC/ ihr Netzwerk hinter einem Router betreiben. Sicherlich reagiert Microsoft™ hier auf den Trend, dass in zunehmendem Maße Breitbandanschlüsse in Verbindung mit solider SOHO-Router-Technik zum Einsatz kommen.

Für DFÜ-Nutzer und Nutzer öffentlicher WLANs (Hotspots) ist Windows Live OneCare derzeit nicht wirklich zu empfehlen!

Für die Nutzer, die sich hinter einem Router befinden stellt Windows Live OneCare eine gute und im Bereich Internetsicherheit sehr gute Schutzlösung dar, die vollkommen ausreichend für den Einsatz im Heimbereich ist. Der entscheidende Vorteil liegt hierbei darin, dass es sich hier um natives 64-Bit-System handelt, dass sich problemlos in die Windows Vista™- Umgebung integriert. Großer Wert wurde auf die Überwachung und Steigerung der Leistungsperformance gelegt, was sich still im Hintergrund abspielt. Das Preis-/ Leistungsverhältnis bei der hier gewählten Variante Windows Live OneCare 2.0 ist mit drei PC-Lizenzen vollkommen in Ordnung.

Diejenigen, die eine Schutzlösung suchen, die relativ unbemerkt reichlich Aufgaben zum Schutz, zur Pflege und Wartung des Systems realisiert, ist Windows Live OneCare eine Empfehlung. Der fortgeschrittene User wird an manchen Stellen enttäuscht sein und sollte nicht zu diesem Produkt greifen. Windows Vista™x86 (32-Bit)/XP – User haben genügend ausgereifte, auch kostenlose Alternativen zur Verfügung, so dass Windows Live OneCare zwar ein weiterer Mitbewerber auf dem Markt der Sicherheitslösungen, aber kein Überflieger ist.

Aktuell besteht offenbar die Zielgruppe in den Windows Vista™ 64-Bit Usern im Home-Bereich. Dort spielt Windows Live OneCare seine Stärken voll aus.



  1. Danksagung:

Ich möchte mich bei „Devilfrank“ recht herzlich für diese Arbeit bedanken! Er hat uns einen fundierten und sehr umfangreichen Bericht zu den verschiedenen Funktionen und Möglichkeiten von Windows Live OneCare zur Verfügung gestellt. Eine wirklich tolle Arbeit!



  1. Interne Links:

Test 23 portable und lokal installierte Virenscanner: http://www.security-dome.eu/Mobile_Virenscanner_Test-1.html



Windows Live OneCare – „Best Practices for Home Users Teil 1“ published by Devilfrank: http://www.security-dome.eu/Windows_Live_OneCare_Teil1.html

Windows Live OneCare – „Best Practices for Home Users Teil 2“ published by Devilfrank: dieser Bericht



Windows Vista™ - „Best Practices for Home User Teil 1“ published by DevilFrank: http://www.security-dome.eu/Vista_Best_Practices_for_home_Users-1.html

Windows Vista™ - „Best Practices for Home User Teil 2“ published by DevilFrank: http://www.security-dome.eu/Vista_Best_Practices_for_home_Users-2.html

Windows Vista™ - „Best Practices for Home User Teil 3“ published by DevilFrank: http://www.security-dome.eu/Vista_Best_Practices_for_home_Users-3.html





  1. Externe Links:

Hilfe und Erklärungen Kompatibilitätsfragen für 32-Bit-Programme unter 64-Bit-Versionen von Windows Server 2003 und Windows XP: http://support.microsoft.com/kb/896456/de

Bezugsquelle Windows Live OneCare: http://onecare.live.com/standard/de-de/purchase/default.htm

Onlinehilfe von Windows Live OneCare: http://help.live.com/help.aspx?project=onecarev2&queryType=keyword&query=aa_llawerif&sid=8ebd2776-8e0d-4062-8199-3cc673a35ec1_20051618&mkt=de-DE

Backup-Möglichkeiten unter Windows Vista: www.microsoft.com/technet/technetmag/issues/2007/09/Backup/default.aspx?loc=de



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php




Autor: Frank Richter

Co-Autor: Devilfrank

Copyright: Frank Richter – securITy-dome.eu / Devilfrank – securITy-dome.eu

Erstellungsdatum: 28.04.08

Letzte Aktualisierung: 28.04.08



<-- Zurück zu den News