(0) exportieren Drucken
Alle erweitern

Sicherheitsverbesserungen unter Windows 7

Die Sicherheit ist weiterhin eines der wichtigsten Themen für IT-Spezialisten. Seit Windows® 7 Beta verfügbar ist, werden wir immer wieder gefragt, was Microsoft sich in dieser Hinsicht für das Betriebssystem Windows 7 hat einfallen lassen. Zu diesem Thema gibt es viel zu sagen, mehr als in einem kurzen Artikel möglich ist. Konzentrieren wir uns hier auf drei wesentliche Punkte.

  • Windows 7 baut auf den Sicherheitsgrundlagen des Betriebssystems Windows Vista® auf; verbessert wurden die Überwachung und die Benutzerkontensteuerung (User Account Control, UAC).
  • Unter Windows 7 kann die IT-Abteilung mit AppLocker™ festlegen, welche Software in der Umgebung ausgeführt werden kann.
  • Unter Windows 7 werden die zentrale Features der BitLocker™-Laufwerkverschlüsselung durch die Einführung von BitLocker To Go™ für Wechselmedien erweitert.

Sehen wir uns diese drei Neuerungen nun etwas detaillierter an.

Von Grund auf sichere Umgebung

Windows 7 baut auf den leistungsstarken Sicherheitsfunktionen von Windows Vista auf. Die Entwicklungsprozesse und -technologien, die Windows Vista zur bisher sichersten Version des Windows-Clients gemacht haben, werden beibehalten und erweitert. Grundlegende Sicherheitsfeatures, wie z. B. der Kernelpatchschutz, die Diensthärtung, die Datenausführungsverhinderung, die zufällige Anordnung des Layouts des Adressraums und obligatorische Integritätsebenen bieten weiterhin einen fortschrittlichen Schutz vor Malware und Angriffen. Beim Entwurf und der Entwicklung von Windows 7 wurde der Sicherheitsentwicklungszyklus (Security Development Lifecycle, SDL) von Microsoft genutzt. Windows 7 unterstützt außerdem die Common Criteria-Anforderungen für die Zertifizierung nach Evaluation Assurance Level (Sicherheitsbewertungsstufe) 4 und den Federal Information Processing Standard (Standard für Informationsverarbeitung in US-Behörden) 140-2.

Erweiterte Überwachung

Windows 7 stellt erweiterte Überwachungsfunktionen bereit, um es Organisationen zu erleichtern, gesetzliche Bestimmungen und geschäftliche Richtlinien einzuhalten. Die Erweiterungen der Überwachung reichen von einem vereinfachten Verwaltungsansatz für Überwachungskonfigurationen bis hin zu einer größeren Sichtbarkeit der Vorgänge in der Organisation. Beispielsweise können Sie unter Windows 7 genauer erkennen, warum einem Benutzer der Zugriff auf bestimmte Informationen gewährt oder verweigert wurde. Außerdem ist sichtbar, welche Änderungen von bestimmten Personen oder Gruppen vorgenommen wurden.

Optimierte Benutzerkontensteuerung

Die Benutzerkontensteuerung wurde unter Windows Vista eingeführt, damit ältere Anwendungen mit standardmäßigen Benutzerrechten ausführbar werden und unabhängige Softwarehersteller ihre Software so anpassen können, dass sie problemlos mit standardmäßigen Benutzerrechten ausgeführt werden kann. Für Windows 7 wurde die Investition in die Benutzerkontensteuerung fortgesetzt, und die Benutzerfreundlichkeit wurde anhand einiger Änderungen verbessert. Die Anzahl der Betriebssystemanwendungen und -tasks, für die Administratorrechte erforderlich sind, wurde reduziert, und es wurde ein flexibles Zustimmungsaufforderungsverhalten für Benutzer bereitgestellt, die weiterhin mit Administratorrechten arbeiten. Daher können Standardbenutzer noch mehr Aktionen ausführen als zuvor, und für alle Benutzer werden weniger Aufforderungen angezeigt.

AppLocker

Windows 7 verstärkt Richtlinien für die Anwendungssteuerung mit AppLocker, einem flexiblen, leicht verwaltbaren Mechanismus, mit dem die IT-Abteilung genau angeben kann, welche Programme in der Desktopinfrastruktur ausgeführt werden dürfen, und Benutzer in die Lage versetzt werden, Anwendungen, Installationsprogramme und Skripts auszuführen, die sie für ihre Produktivität benötigen. Daher kann die IT-Abteilung die Standardisierung von Anwendungen in ihrer Organisation durchsetzen und zugleich Vorteile für Sicherheit, Betrieb und Einhaltung von Vorschriften erzielen.

AppLocker stellt eine einfache und leistungsstarke Struktur mit drei Arten von Regeln bereit: Zulassungs-, Verweigerungs- und Ausnahmeregeln. Mit Zulassungsregeln wird die Ausführung von Anwendungen auf als akzeptabel bekannte Anwendungen eingeschränkt, und alle anderen werden blockiert. Mit Verweigerungsregeln wird der umgekehrte Weg beschritten: Die Ausführung aller Anwendungen außer derer in einer Liste bekannter inakzeptabler Anwendungen wird zugelassen. Während viele Unternehmen wahrscheinlich eine Kombination aus Zulassungs- und Verweigerungsregeln einsetzen, sollten in einer idealen AppLocker-Bereitstellung Zulassungsregeln mit integrierten Ausnahmen verwendet werden. Mit Ausnahmeregeln werden Dateien aus einer Zulassungs-/Verweigerungsregel ausgeschlossen, in die sie normalerweise einbezogen wären. Mithilfe von Ausnahmen können Sie beispielsweise eine Regel erstellen, die besagt, dass alle Bestandteile des Betriebssystems Windows ausgeführt werden dürfen außer den integrierten Spielen. Die Verwendung von Zulassungsregeln mit Ausnahmen stellt eine flexible Möglichkeit dar, eine Liste bekannter akzeptabler Anwendungen zu entwickeln, ohne übermäßig viele Regeln erstellen zu müssen.

In AppLocker werden Herausgeberregeln eingeführt, die auf digitalen Signaturen von Anwendungen basieren. Mit Herausgeberregeln können Sie Regeln erstellen, die über Anwendungsupdates hinweg bestehen bleiben, da Sie Attribute wie die Version einer Anwendung angeben können. Beispielsweise kann eine Organisation eine Regel erstellen, die angibt, dass alle Versionen des Programms Acrobat Reader über 9.0 ausgeführt werden dürfen, wenn sie vom Softwareherausgeber Adobe signiert sind. Wenn Adobe ein Update für Acrobat veröffentlicht, können Sie dieses problemlos in der Organisation bereitstellen, ohne eine neue Regel für die neue Anwendungsversion entwickeln zu müssen.

AppLocker-Regeln können auch einem bestimmten Benutzer oder einer bestimmten Gruppe innerhalb einer Organisation zugeordnet werden. Damit werden detaillierte Kontrollen bereitgestellt, mit denen Sie Anforderungen an die Einhaltung von Vorschriften erfüllen können, indem Sie überprüfen und erzwingen, welche Benutzer bestimmte Anwendungen ausführen können. Sie können z. B. eine Regel erstellen, die besagt, dass Personen in der Finanzabteilung die Finanzbranchenanwendungen ausführen dürfen. Damit wird für alle Personen außerhalb der Finanzabteilung (einschließlich Administratoren) die Ausführung Ihrer Finanzanwendungen gesperrt, während die Personen, die die Anwendungen aus geschäftlichen Gründen ausführen müssen, Zugriff auf diese erhalten.

AppLocker stellt dank neuer Tools und Assistenten für die Regelerstellung robuste Funktionen für IT-Administratoren bereit. Dank einem schrittweisen Ansatz und einer vollständig integrierten Hilfe sind die Erstellung neuer Regeln, die automatische Generierung von Regeln sowie der Import/Export von Regeln intuitiv, und ihre Wartung ist einfach.Beispielsweise können IT-Administratoren mithilfe eines Testreferenzcomputers Regeln automatisch generieren und diese dann in eine Produktionsumgebung importieren, um sie umfassend bereitzustellen. Der IT-Administrator kann außerdem Richtlinien exportieren, um eine Sicherung Ihrer Produktionskonfiguration bereitzustellen oder um zur Einhaltung von Vorschriften eine Dokumentation bereitzustellen.

BitLocker und BitLocker To Go

Jedes Jahr gehen Hunderttausende Computer ohne ausreichende Schutzvorrichtungen verloren, werden gestohlen oder außer Betrieb gesetzt. Der Verlust oder Diebstahl von Daten ist jedoch nicht nur ein Problem physischer Computer. USB-Flashlaufwerke, E-Mails, an die Öffentlichkeit dringende Dokumentationen usw. stellen zusätzliche Gefahren dar, dass Daten in falsche Hände geraten. Unter Windows 7 wird der stetigen Gefahr von Datenlecks mit Verwaltbarkeits- und Bereitstellungsupdates für die BitLocker-Laufwerkverschlüsselung und mit der Einführung von BitLocker To Go begegnet, einem Tool, das erweiterten Schutz gegen Datendiebstahl und -offenlegung bereitstellt, indem es die BitLocker-Unterstützung auf Wechselmedien ausdehnt.

Die BitLocker-Laufwerkverschlüsselung (kurz BitLocker genannt) hindert einen Dieb, der ein anderes Betriebssystem startet oder ein Softwarehackingtool ausführt, daran, den Datei- und Systemschutz von Windows 7 zu unterlaufen oder Dateien, die auf dem geschützten Laufwerk gespeichert sind, offline anzuzeigen. BitLocker unter Windows 7 bietet die gleichen wesentlichen Vorteile wie BitLocker unter Windows Vista; die zentrale Funktionalität von BitLocker unter Windows 7 wurde jedoch erweitert, um IT-Spezialisten und Endbenutzern noch größeren Komfort zu bieten. Für Kunden, die Windows Vista nicht mit der für BitLocker erforderlichen Datenträgerkonfiguration mit zwei Partitionen bereitgestellt hatten, war die Neupartitionierung des Laufwerks zur Aktivierung von BitLocker mühseliger als nötig. Während der Installation von Windows 7 werden die erforderlichen Datenträgerpartitionen automatisch erstellt. Dies vereinfacht Bereitstellungen von BitLocker wesentlich. Eine weitere Änderung bei BitLocker unter Windows 7 ist die Möglichkeit, durch einen Rechtsklick auf ein Laufwerk den BitLocker-Schutz zu aktivieren.

In BitLocker unter Windows 7 wurde die Unterstützung des Datenwiederherstellungs-Agents für alle geschützten Volumes hinzugefügt. Hiermit kommen wir einem häufigen Kundenwunsch nach. Die Neuerung ermöglicht der IT-Abteilung, festzulegen, dass alle mit BitLocker geschützten Volumes (das Betriebssystem, feste Volumes und die neuen tragbaren Volumes) mit einem entsprechenden Datenwiederherstellungs-Agent verschlüsselt werden. Der Datenwiederherstellungs-Agent ist eine neue Schlüsselschutzvorrichtung, die auf jedes Datenvolume geschrieben wird, sodass autorisierte IT-Administratoren stets über Zugriff auf mit BitLocker geschützte Volumes verfügen.

BitLocker To Go erweitert die BitLocker-Unterstützung auf Wechselmedien einschließlich USB-Flashlaufwerke und tragbare Laufwerke. Mit BitLocker To Go können Administratoren außerdem steuern, wie Wechselmedien in ihrer Umgebung verwendet werden können und welche Schutzebene sie erfordern. Administratoren können den Schutz der Daten auf jedem Wechselmedium erforderlich machen, auf das Benutzer Daten schreiben möchten, und zugleich zulassen, dass ungeschützte Wechselmedien im Nur-Lesen-Modus verwendet werden. Außerdem stehen Richtlinien zur Verfügung, mit denen geeignete Kennwörter, Smartcards oder Anmeldeinformationen für Domänenbenutzer erforderlich gemacht werden können, um ein geschütztes Wechselmedium zu verwenden.

BitLocker To Go kann eigenständig genutzt werden, ohne dass die Systempartition mit dem herkömmlichen BitLocker-Feature geschützt werden muss. Schließlich stellt BitLocker To Go Nur-Lesen-Unterstützung für Wechselmedien unter älteren Versionen des Betriebssystems Windows bereit. Dies bedeutet höhere Sicherheit, wenn Benutzer Dateien für Personen freigeben, die weiterhin Windows Vista und Windows XP ausführen; diese verwenden das BitLocker To Go-Lesetool.

Wenn Sie Ihren Laptop unterwegs mitnehmen, große Dateien für einen vertrauenswürdigen Partner freigeben oder Arbeit mit nach Hause nehmen, können Sie mit BitLocker und BitLocker To Go sicherstellen, dass nur autorisierte Benutzer die Daten lesen können, auch wenn das Medium verloren geht, gestohlen oder anderweitig missbraucht wird.

Schlussbemerkung

Windows 7 baut auf der Sicherheitsgrundlage von Windows Vista auf und enthält eine Reihe neuer Sicherheitserweiterungen. Dies zeigt, dass Microsoft stets neue und bessere Wege findet, die IT-Investitionen und die Daten der Benutzer zu schützen. Firmen können von Erweiterungen profitieren, die dem Schutz sensibler Unternehmensinformationen dienen, besser vor Malware schützen und den Zugriff auf Ressourcen und Daten des Unternehmens sicherer machen. Endbenutzer können die Vorteile von Computern und Internet in dem Wissen nutzen, dass Windows 7 neue Technologien und Features enthält, mit denen der Datenschutz für persönliche Informationen sichergestellt wird. Letztendlich profitieren alle Benutzer von den flexiblen Sicherheitskonfigurationsoptionen unter Windows 7. Diese Optionen schaffen das richtige Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit für die jeweiligen Anforderungen. 

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft