(0) exportieren Drucken
Alle erweitern

Verbesserungen bei der Sicherheit in Windows 7

Letzte Aktualisierung: März 2009

Betrifft: Windows 7

Dieser Artikel bietet eine Einführung in die Verbesserungen bei der Sicherheit in Microsoft® Windows® 7. Aufbauend auf der Sicherheitsgrundlage von Windows Vista® wurde in Windows 7 auch Kundenfeedback berücksichtigt, um das System noch benutzerfreundlicher zu machen und die Verwaltung zu vereinfachen. Außerdem wurden viele Verbesserungen an der Sicherheit vorgenommen, um das System gegen die immer neuen Bedrohungen zu schützen.

Eine vollständige Übersicht über Ressourcen, Artikel, Demos und Leitfäden finden Sie in der Springboard Series für Windows 7 im Windows Client TechCenter.

Einführung

Auf der Sicherheitsgrundlage von Windows Vista wurde in Windows 7 zusätzliches Kundenfeedback berücksichtigt und das System mit umfassenden Sicherheitsverbesserungen ausgestattet, um auf die ständig wachsende Bedrohungslage reagieren zu können. In diesem Dokument, das in 4 Abschnitte unterteil ist, werden einige der bedeutenderen Sicherheitsverbesserungen in Windows 7 beschrieben:

  • Plattform mit grundlegender Sicherheit: Aufbauend auf den Verbesserungen bei der Sicherheit in Windows Vista wurde in Windows 7 auch Kundenfeedback berücksichtigt, um das System noch benutzerfreundlicher zu machen und die Verwaltung zu vereinfachen.

  • Unterstützung eines sicheren Zugriffs an jedem Ort: Windows 7 bietet die Sicherheitssteuerelemente, die erforderlich sind, damit Benutzer jederzeit auf die für ihre Arbeit erforderlichen Informationen Zugriff haben, egal ob im Büro oder unterwegs.

  • Schutz von Benutzern und Infrastruktur: Windows 7 bietet einen flexiblen Schutz vor Schadsoftware und Eindringlingen, der Benutzern eine ausgewogene Balance zwischen Sicherheit, Steuerung und Produktivität.

  • Schutz von Daten vor nicht autorisiertem Zugriff: Windows 7 bietet eine Erweiterung der BitLocker™-Laufwerkverschlüsselung zum Schutz der auf tragbaren Medien (z. B. USB-Flashlaufwerken, tragbaren USB-Festplatten) gespeicherten Daten, damit nur autorisierte Benutzer die Daten lesen können, selbst wenn die Medien verloren gehen oder gestohlen bzw. missbraucht werden.

Plattform mit grundlegender Sicherheit

Windows 7 beruht auf den strikten Sicherheitsrichtlinien von Windows Vista und setzt alle Entwicklungsprozesse und -technologien fort, die Windows Vista zur bisher sichersten Clientversion von Windows gemacht haben. Grundlegende Sicherheitsfeatures wie der Schutz von Kernelpatches, Diensthärtung, Datenausführungsverhinderung, Address Space Layout Randomization und obligatorische Integritätsebenen bieten auch weiterhin Schutz vor Schadsoftware und Angriffen. Auch Windows 7 wurde nach dem Sicherheitsentwicklungszyklus (Security Development Lifecycle, SDL) von Microsoft entwickelt und erfüllt die allgemeinen Kriterien für das EAL4-Zertifikat (Evaluation Assurance Level 4) und FIPS 140-2 (Federal Information Processing Standard). Aufbauend auf den Sicherheitsgrundlagen von Windows Vista bietet Windows 7 deutliche Verbesserungen bei den Kerntechnologien der Sicherheit wie Ereignisüberwachung und Benutzerkontensteuerung.

Erweiterte Überwachung

Windows 7 bietet erweiterte Überwachungsfunktionen, die es Organisationen ermöglichen, behördliche und unternehmensspezifische Compliance-Anforderungen zu erfüllen. Die verbesserte Überwachung beginnt bei einer vereinfachten Konfiguration und geht bis zu einer höheren Sichtbarkeit der Vorgänge in Ihrer Organisation. So bietet Windows 7 auch einen besseren Einblick in Hintergründe. Sie erfahren z. B. die Gründe für die Zugriffsrechte bestimmter Benutzer auf Informationen und warum jemandem der Zugriff auf bestimmte Informationen verweigert wird. Außerdem können Sie sämtliche Änderungen bestimmter Benutzer oder Gruppen einsehen.

Optimierte Benutzerkonstensteuerung

Die in Windows Vista eingeführte Benutzerkonstensteuerung (User Account Control, UAC) erhöht die allgemeine Sicherheit und reduziert die Gesamtbetriebskosten, da das Betriebssystem ohne Administratorrechte bereitgestellt werden kann. Bei Windows 7 wurde der Ansatz der Benutzerkonstensteuerung konsequent fortgesetzt, und es wurden Verbesserungen an der Benutzerfreundlichkeit vorgenommen: von einer Reduzierung der Anzahl von Betriebssystemanwendungen und -aufgaben, für die Administratorrechte erforderlich sind, bis zu einer flexiblen Aufforderung zur Eingabe der Zustimmung für Benutzer, die weiter mit Administratorrechten arbeiten. Als Ergebnis dieser Anstrengungen können Standardbenutzer nun noch mehr Aufgaben ausführen, und allen Benutzern werden weniger Aufforderungen angezeigt.

e59e093d-e2a8-4cbd-a66e-b8fe6426c5d7

Abbildung 1: Benutzerkonstensteuerung

Unterstützung von Sicherheitsgeräten

In Windows 7 ist es noch einfacher, Sicherheitsgeräte an einen Computer anzuschließen, die verwendeten Geräte zu verwalten und häufig verwendete gerätespezifische Aufgaben auszuführen. Von der Einrichtung bis zur täglichen Verwendung – der Einsatz von Sicherheitsgeräte in Ihrer Umgebung war nie einfacher.

Sicherheit bei erweiterten Speichergeräten

Die verbreitete Verwendung von USB-Flashlaufwerken und anderen persönlichen Speichergeräten hat bei vielen Benutzern Fragen zur Sicherheit der Informationen auf diesen Geräten aufgeworfen. Einige Benutzer benötigen aber keine umfassende Datenverschlüsselung wie sie BitLocker To Go™ bietet. Windows 7 unterstützt sowohl den Kennwortschutz als auch eine zertifikatbasierte Authentifizierung bei IEEE 1667-kompatiblen USB-Speichergeräten. Mit dem Kennwortschutz bei IEEE 1667-Speichergeräten können Benutzer ihre Daten vor fremdem Zugriff schützen.

Integrierte Fingerabdruckleser und Anmeldung

Fingerabdruckleser werden immer häufiger bei Standardlaptops eingesetzt, und mit Windows 7 ist auch sichergestellt, dass sie funktionieren. Die Einrichtung und Verwendung eines Fingerabdrucklesers ist sehr einfach, und die Windows-Anmeldung mit einem Fingerabdruck ist auch bei unterschiedlichen Hardwareanbieter verlässlich. Sie können die Konfigurationen von Fingerabdrucklesern ganz einfach ändern und damit festlegen, wie Sie sich unter Windows 7 anmelden und wie die Fingerabdruckdaten auf dem Computer gespeichert werden.

Verbesserte Unterstützung von Smartcards

Eine kennwortbasierte Authentifizierung hat natürlich deutliche Sicherheitseinschränkungen, aber die Bereitstellung sicherer Authentifizierungstechnologien ist für viele Organisation eine zu große Herausforderung. Die Fortschritte bei Smartcard-Infrastrukturen aus Windows Vista wurden in Windows 7 fortgeführt. Sie vereinfachen die Bereitstellung von Smartcards durch die Unterstützung von Plug & Play. Die für die Unterstützung von Smartcards und Smartcard-Lesern erforderlichen Treiber werden automatisch installiert, ohne dass dafür ein Administratorkennwort oder eine Benutzerinteraktion erforderlich wären, wodurch es noch einfacher geworden ist, eine sichere, doppelte Authentifizierung in Organisationen bereitzustellen. Außerdem wurden in Windows 7 die unterstützten Plattformen von PKINIT (RFC 5349) auf ECC-basierte Smartcards ausgeweitet, sodass auch Zertifikate auf Grundlage elliptischer Kurven für die Windows-Anmeldung verwendet werden können.

Unterstützung eines sicheren Zugriffs an jedem Ort

Windows 7 bietet die Sicherheitssteuerelemente, die erforderlich sind, damit Benutzer jederzeit auf die für ihre Arbeit erforderlichen Informationen Zugriff haben, egal ob im Büro oder unterwegs. Neben der Unterstützung aller bekannten Technologien wie Netzwerkzugriffsschutz (Network Access Protection, NAP) bietet Windows 7 eine noch flexiblere Firewall, Unterstützung für DNS-Sicherheit und komplett neue Paradigmen beim Remotezugriff.

Unterstützung von DNSSec

DNS (Domain Name System) ist ein grundlegendes Protokoll, das für viele alltägliche Internetaktivitäten wie die E-Mail-Übertragung, Suchen im Internet und Instant Messaging erforderlich ist. DNS wurde jedoch vor mehr als 3 Jahrzehnten entwickelt, als ganz andere Sicherheitsprobleme als heute existieren. Mit DNS-Sicherheitserweiterungen (DNSSEC) kann bei DNS der für das heutige Internet erforderliche Sicherheitsstandard eingehalten werden. Windows 7 unterstützt DNSSEC entsprechend den RFCs 4033, 4034 und 4035. Damit haben Organisationen die Sicherheit, dass die DNS-Datensätze nicht gefälscht sind und sie besser gegen böswillige Aktivitäten geschützt sind.

Mehrere aktive Firewallrichtlinien

Unter Windows Vista basiert die Firewallrichtlinie auf dem Typ der hergestellten Netzwerkverbindung – z. B. Heimnetzwerk oder Büro, Öffentlicher Ort oder Domäne (ein vierter, versteckter Typ). Dies kann für IT-Professionals jedoch Sicherheitsprobleme mit sich bringen, wenn ein Benutzer z. B. über ein Heimnetzwerk eine Verbindung mit dem Internet herstellt und anschließend ein virtuelles privates Netzwerk für den Zugriff auf das Firmennetzwerk verwendet. In einem solchen Fall wäre der Netzwerktyp (und damit die Firewalleinstellungen) bereits auf das erste Netzwerk festgelegt worden, mit dem der Benutzer eine Verbindung hergestellt hat, während die Firewalleinstellungen, die für den Zugriff auf das Firmennetzwerk erforderlich wären, nicht gelten.

Windows 7 beseitigt dieses Problem der IT-Professionals durch die Unterstützung mehrerer aktiver Firewallrichtlinien, sodass auf den Benutzercomputern die Informationen zum Domänenfirewallprofil abgerufen und angewendet werden, auch wenn andere Netzwerke auf dem Computer aktiviert wurden. Mit diesen Funktionen, die mit am häufigsten von Firmenkunden gefordert wurden, können IT-Professionals das Herstellen von Verbindungen und das Anwenden von Sicherheitsrichtlinien vereinfachen, indem sie einen Regelsatz für Remoteclients und physisch mit dem Unternehmensnetzwerk verbundene Clients festlegen.

fc1368a2-f6dc-4a8d-b9d4-d873d1cd0e51

Abbildung 2: Windows-Firewall

DirectAccess

Mit Windows 7 wird das Arbeiten unterwegs noch einfacher. Mit DirectAccess können Remotebenutzer jederzeit über eine Internetverbindung auf das Unternehmensnetzwerk zugreifen, ohne dafür extra eine VPN-Verbindung einrichten zu müssen – damit erhöht sich natürlich die Produktivität außerhalb des Büros. Für IT-Professionals bietet DirectAccess eine sichere und flexible Infrastruktur für das Unternehmensnetzwerk zur Remoteverwaltung und -aktualisierung von Benutzercomputern. DirectAccess vereinfacht die IT-Verwaltung durch eine "jederzeit verwaltete" Infrastruktur, in der Computer innerhalb und außerhalb des Netzwerks ständig fehlerfrei, gewartet und aktualisiert sind.

DirectAccess ermöglicht IT-Professionals eine feine Steuerung des Benutzerzugriffs auf Netzwerkressourcen. So kann z. B. mit Gruppenrichtlinieneinstellungen der Zugriff von Remotebenutzern auf Unternehmensanwendungen gesteuert werden. Außerdem trennt DirectAccess den Internetdatenverkehr vom Zugriff auf interne Netzwerkressourcen, sodass Benutzer auf öffentliche Websites zugreifen können, ohne im Unternehmensnetzwerk zusätzlichen Datenverkehr zu verursachen.

Darüber hinaus basiert DirectAccess auch auf Branchenstandards wie IPv6 und IPSec, sodass die Kommunikation zu jedem Zeitpunkt sicher und geschützt ist.

Schutz von Benutzern und Infrastruktur

Windows 7 bietet einen flexiblen Schutz vor Schadsoftware und Eindringlingen, der Benutzern eine ausgewogene Balance zwischen Sicherheit, Steuerung und Benutzerproduktivität. AppLocker™ und Internet Explorer® 8 sind zwei Beispiele für Anstrengungen bei Technologien, die die Standards beim Schutz des Betriebssystems vor Schadsoftware und Eindringlingen unter Windows 7 erhöhen.

AppLocker

Windows 7 führt mit AppLocker Anwendungssteuerungsrichtlinien wieder ein: eine flexible, einfach zu verwaltende Technologie, mit der IT-Professionals genau angeben können, was in der Desktopinfrastruktur ausgeführt werden darf. Außerdem haben Benutzer damit die Möglichkeit, Anwendungen, Installationsprogramme und Skripts auszuführen, die sie für Ihre Arbeit benötigen. Dadurch können die IT-Mitarbeiter in ihren Organisationen Anwendungsstandards einführen und gleichzeitig die Vorteile bei Sicherheit, Betrieb und Compliance nutzen.

0453a5c5-3593-41af-9941-27ec56f3dd72

Abbildung 3: AppLocker

AppLocker bietet einfache und leistungsstarke Regelstrukturen und führt gleichzeitig Herausgeberregeln ein: regelbasiert nach digitalen Anwendungssignaturen. Herausgeberregeln ermöglichen die Einrichtung von Regeln, die auch nach Anwendungsaktualisierungen noch gelten, da Sie Attribute wie die Anwendungsversion angeben können. So könnte eine Organisation z. B. die Regel "Ausführung aller Versionen ab 9.0 des Programms Acrobat Reader zulassen, wenn sie vom Softwareherausgeber Adobe signiert ist" erstellen. Wenn Adobe nun Acrobat aktualisiert, können Sie die Anwendungsaktualisierung bereitstellen, ohne eine neue Regel für die neue Anwendungsversion erstellen zu müssen.

Internet Explorer 8

Internet Explorer 8 bietet einen höheren Schutz gegen Bedrohungen der Sicherheit und des Datenschutzes. So erkennt das Programm z. B. bösartige Websites und blockiert das Herunterladen von Schadsoftware. Der Datenschutz z. B. wird dadurch verbessert, dass auf einem gemeinsam genutzten Computer keine Spuren der besuchten Webseiten gespeichert werden. Außerdem können Sie noch besser Auswählen und Steuern wie Websites Benutzeraktionen nachverfolgen können. Darüber hinaus steigert Internet Explorer 8 durch bessere Einschränkungen für ActiveX®-Steuerelemente, eine verbesserte Add-On-Verwaltung, höhere Zuverlässigkeit (einschließlich automatischer Wiederherstellung nach einem Absturz und von Registerkarten) und erweiterte Unterstützung von Standards zur Barrierefreiheit auch das Vertrauen.

Schutz von Daten vor nicht autorisiertem Zugriff

Jedes Jahr gehen hunderttausende Computer ohne geeignete Schutzfunktionen verloren, werden gestohlen oder außer Betrieb gesetzt. Datenverluste treten aber nicht nur bei physischen Computerproblemen auf. Die Allgegenwärtigkeit von USB-Flashlaufwerken, E-Mail-Kommunikation, verlorenen Dokumenten usw. sind mögliche Wege, auf denen Daten in die falschen Hände geraten können.

Auch Windows 7 bietet die Datenschutztechnologien aus Windows Vista wie verschlüsselndes Dateisystem (Encrypting File System, EFS), integrierte Active Directory®-Rechteverwaltungsdienste und präzise Steuerungen für USB-Anschlüsse. Neben Aktualisierungen dieser Technologien weist Windows 7 mehrere bedeutende Verbesserungen an der beliebten BitLocker-Laufwerkverschlüsselung auf.

BitLocker und BitLocker To Go

Windows 7 reagiert auf das andauernde Risiko von Datenverlusten mit Verwaltungs- und Bereitstellungsaktualisierungen für die BitLocker-Laufwerkverschlüsselung und die Einführung von BitLocker To Go: erweiterter Datenschutz gegen Diebstahl und Offenlegung durch eine erweiterte BitLocker-Unterstützung für Wechselspeichermedien. Durch die Erweiterung der BitLocker-Unterstützung auf FAT-Datenvolumes werden noch mehr Datenträgerformate und Geräte unterstützt, einschließlich USB-Flashlaufwerken und tragbaren Datenträgern. Dadurch können Benutzer BitLocker für noch vielfältigere Datenschutzanforderungen nutzen.

Egal ob auf einer Reise mit Ihrem Laptop, bei der Freigabe großer Dateien für einen vertrauenswürdigen Partner oder beim Arbeiten von zu Hause aus: Mit BitLocker und BitLocker To Go geschützte Geräte stellen sicher, dass nur autorisierte Benutzer die Daten lesen können, selbst wenn die Medien verloren gehen oder gestohlen oder missbraucht werden. Und außerdem ist der BitLocker-Schutz ganz einfach bereitzustellen und für den Endbenutzer intuitiv anzuwenden, was zu einer verbesserten Compliance und Datensicherheit führt.

Administratoren können mit BitLocker To Go auch steuern, wie Wechselspeichermedien in ihrer Umgebung verwendet werden können und welcher Schutz für sie erforderlich ist. Die Administratoren können für alle Wechselspeichermedien, auf die Benutzer Schriebzugriff haben, einen Datenschutz erzwingen, während ungeschützte Speichergeräte trotzdem im schreibgeschützten Modus verwendet werden können. Außerdem ist es möglich, mit Richtlinien einen Schutz durch geeignete Kennwörter, Smartcards oder Anmeldeinformationen von Domänenbenutzern erforderlich zu machen, um die Wechselspeichermedien zu schützen. Und schließlich bietet BitLocker To Go auch eine konfigurierbare schreibgeschützte Unterstützung von Wechselmedien unter älteren Windows-Versionen, um einen sicheren Austausch von Dateien mit Benutzern von Windows Vista oder Windows XP zu ermöglichen.

e943c762-933c-4d36-9e78-dd7b47a69f11

Abbildung 4: BitLocker-Laufwerkverschlüsselung

Schlussfolgerung

Aufbauend auf der Sicherheitsgrundlage von Windows Vista wurden in Windows 7 Verbesserungen bei der Sicherheit eingeführt, die den Benutzern das Vertrauen geben, dass Microsoft ihren Schutz ernst nimmt. Unternehmen profitieren von Erweiterungen bei der Sicherheit vertraulicher Unternehmensdaten, die einen höheren Schutz gegen Schadsoftware bieten und von beliebigen Orten einen sicheren Zugriff auf Unternehmensressourcen und -daten erlauben. Für alle Kunden bieten sich Vorteile bei der Nutzung ihrer Computer und des Internets, wenn sie wissen, dass Windows 7 immer auf dem neuesten Stand ist, wenn es darum geht, ihre Privatsphäre und persönlichen Daten zu schützen. Und schließlich haben alle Benutzer etwas von den flexiblen und leicht zugänglichen Konfigurationsoptionen für die Sicherheit unter Windows 7, mit denen jeder die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit für seine persönliche Situation finden kann.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft