Zehner. Windows Vista Security

Transkript

1

2 Zehner Windows Vista Security

3

4 Marcel Zehner Windows Vista Security

5 Der Autor: Marcel Zehner, smart dynamic ag, Bern Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen oder Teilen davon entsteht. Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) auch nicht für Zwecke der Unterrichtsgestaltung reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden Carl Hanser Verlag München Gesamtlektorat: Fernando Schneider Sprachlektorat: Sandra Gottmann, Münster-Nienberge Herstellung: Monika Kraus Umschlagdesign: Marc Müller-Bremer, Rebranding, München Umschlaggestaltung: MCP Susanne Kraus GbR, Holzkirchen Datenbelichtung, Druck und Bindung: Kösel, Krugzell Ausstattung patentrechtlich geschützt. Kösel FD 351, Patent-Nr Printed in Germany ISBN

6 Inhalt Einleitung Benutzerkontensteuerung Lokales Administratorenkonto deaktiviert! Standardbenutzerrechte ein entscheidender Vorteil! Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! Anwendungen mit Standardbenutzerrechten ausführen eine wahre Herausforderung! Steuerung mittels Gruppenrichtlinien Deaktivieren der Benutzerkontensteuerung Für Entwickler Rückblick Integritätskontrolle mit Verbindlichkeitsstufen Der neue Schutzmechanismus von Windows Vista Verfügbare Verbindlichkeitsstufen und Richtlinien Verbindlichkeitsstufen für Objekte Verbindlichkeitsstufen für Prozesse Verbindlichkeitsstufen von Benutzerkonten Rückblick Internet Explorer Umfassender Schutz durch mehrere Sicherheitsschichten Schutzschicht 1 Adressleistensicherheit und IDN-Unterstützung Schutzschicht 2 Sicherheitsstatusanzeige, Zertifikatsverwaltung und Phishing-Filter Schutzschicht 3 Warnung bei unsicheren Einstellungen Schutzschicht 4 Reduzierte Angriffsoberfläche Schutzschicht 5 ActiveX Opt-In Schutzschicht 6 Dateiausführungsverhinderung (Data Execution Prevention, DEP) Schutzschicht 7 Geschützter Modus...56 V

7 Inhalt Webseite mit IE7-Demos Weitere Sicherheitseinstellungen Sicherheitszonen Datenschutzeinstellungen Zertifikatsverwaltung Löschen von persönlichen Informationen Konfiguration über Gruppenrichtlinien Installation von ActiveX-Elementen steuern Rückblick Schützen von Daten und Betriebssystemdateien Das NTFS-Dateisystem Lokale Sicherheit auf Datei- und Ordnerebene Jumpstart und Refresh! Besitzer von Systemobjekten Umleitungen im Dateisystem Verbindlichkeitsstufen Sie erinnern sich? Kontrolle ist gut, Überwachung ist besser Das verschlüsselte Dateisystem (Encrypting File System, EFS) Lösungen ohne Zertifizierungsstelle Lösungen mit einer Windows Server-Zertifizierungsstelle Steuerung über Gruppenrichtlinien Noch etwas zum Abschluss von EFS Partitionsverschlüsselung mit BitLocker BitLocker einrichten BitLocker über die Kommandozeile verwalten Wiederherstellung Schlüsselspeicherung im Active Directory Gruppenrichtlinien für BitLocker-Konfiguration Rückblick Update-Management Automatische Updates über Microsoft Update Windows Server Update Services (WSUS) Installation von WSUS WSUS-Basiskonfiguration Computergruppen WSUS-Clients konfigurieren WSUS-Clients registrieren Updates verwalten Rückblick Sicherer Netzwerkbetrieb Netzwerkverbindungen LAN-Verbindungen WLAN-Verbindungen Virtuelle private Netzwerke (VPN) VI

8 Inhalt 6.2 Die Windows-Firewall Netzwerktypen für Netzwerke festlegen Die Standardkonsole der Windows-Firewall Die erweiterte Konsole der Windows-Firewall Firewall-Konfiguration mithilfe von Gruppenrichtlinien IPsec ohne Firewall IPsec-Konfiguration über Gruppenrichtlinien Rückblick Erweiterter Schutz vor Malware und Viren Automatische Updates Echtzeitschutz zum Erkennen neuer unerwünschter Programme Manuelle Scans zum Suchen nach bereits installierten Spyware-Programmen Verlauf Extras Optionen Microsoft SpyNet Unter Quarantäne Software-Explorer Informationen in der Ereignisanzeige Konfiguration über Gruppenrichtlinien Rückblick Windows-Dienste absichern Dienst- und Systemkonten Viele Dienste standardmäßig nicht ausgeführt Dienste werden mit tiefstmöglichen Rechten und isoliert ausgeführt Dienste können für den Netzwerkbetrieb eingeschränkt werden Isolation der Session Rückblick Hardware und Treiber Neue Gruppenrichtlinieneinstellungen Treibersignaturen Rückblick Benutzerkonten und Kennwörter Übersicht zur Benutzerauthentifizierung Kennwortspeicherung Übertragung über das Netzwerk Schutz der lokalen Benutzerdatenbank von Windows Vista Kennwortrichtlinien und Kontosperrung Dienstkonten Ausbildung, Ausbildung, Ausbildung Rückblick VII

9 Inhalt 11 Verschiedene Sicherheitseinstellungen Kernel Patch Protection (PatchGuard) Code-Integrität Address Space Layout Randomization (ASLR) Remotedesktopverbindungen Software Restriction Policies Rückblick Register VIII

10 Einleitung Sicherheit, Sicherheit, Sicherheit. Überall in der Welt der Informationstechnologie geht es nur noch um dieses eine Thema. Nur noch? Natürlich nicht, aber Sicherheit ist mittlerweile zum Top Concern, also zum Thema Nummer eins, vieler Firmen geworden. In einer vernetzten Welt, in der jeder mit jedem kommunizieren kann, alle erdenklichen Informationen in öffentlichen Netzwerken abgerufen werden können und Firmennetzwerke von jedem Punkt dieser Welt aus zugänglich sind, existiert auch eine Reihe von Risiken. Und diese Risiken sind enorm. Ereignisse wie beispielsweise das Täuschen von Benutzern, der Zugriff auf fremde Informationen oder das Außerkraftsetzen von Diensten gehören leider mittlerweile zur Tagesordnung. Unter dem Deckmantel des Internets lässt sich leicht eine kriminelle Tat begehen, ohne dass es möglich ist, jemals herauszufinden, woher und von wem ein Angriff ausgeübt worden ist. Aber damit müssen wir lernen zu leben, und in naher Zukunft wird sich das bestimmt nicht zum Besseren ändern. Was aber kann dagegen unternommen werden? Wie kann man sich schützen, um die Angriffsfläche der eigenen Firmeninfrastruktur zu minimieren? Wie kann ich meine Firma schützen und sicher machen? Die Kurzantwort auf diese Frage lautet: Ihr Netzwerk wird niemals sicher sein es lässt sich bestenfalls optimal schützen. Selbst wenn Sie jedes verfügbare Sicherheitstool dieser Welt installieren, wird das der Fall sein. Weshalb das denn nun wieder? Nun, Sicherheit ist komplex, vielschichtig und dynamisch. In einem Sicherheitskonzept müssen deshalb verschiedenste Bereiche, Komponenten und Prozesse eingebunden werden, die weit über die Grenzen der Informationstechnologie hinausreichen. Technische Sicherheit in der IT reicht dabei bei Weitem nicht aus. Deshalb wird das Buch, das Sie in den Händen halten (oder natürlich das PDF, das Sie lesen), auch nicht alle Bereiche abdecken können. Das soll es aber auch nicht. Es soll sich auf einen einzigen Bereich fokussieren, und das ist das Client-Betriebssystem Windows Vista. Sicherheit bei Client-Betriebssystemen Mit diesem Buch möchte ich Ihnen, liebe Leserinnen und Leser, die neuen Abwehrmechanismen, die Windows Vista bietet, ein bisschen genauer aufzeigen und erklären, wie diese in einer Firmenumgebung eingesetzt werden können, um die Gesamtsicherheit der IT- Landschaft entscheidend zu erhöhen. Dabei geht es mir einerseits darum aufzuzeigen, wel- 1

11 Einleitung che Mechanismen Windows Vista für den Schutz des Betriebssystems bietet und wie Sie diese konfigurieren können, andererseits aber auch darum, dass Sie verstehen, was diese Einstellungen genau bedeuten. Ich bin überzeugt, dass umfangreiches und tiefes Sicherheitsdenken und -verständnis nur dann möglich ist, wenn auch die Hintergründe von Diensten, Konfigurationen oder von was auch immer verständlich sind. Ich zeige Ihnen daher in diesem Buch auch auf, wie Windows Vista mit Ihren Konfigurationen umgeht und was hinter den Kulissen alles vor sich geht. Ein nicht unwesentlicher Baustein einer solchen Sicherheitsarchitektur stellen Clients dar. Clients sind diejenigen Komponenten, die am häufigsten vertreten sind (in den meisten Fällen jedenfalls), und sie werden unter anderem genutzt, um mit unbekannten Partnern zu kommunizieren. Wie bitte? Unbekannte Partner? Viele Clients arbeiten mit Internetressourcen, und dabei handelt es sich um Webserver, Webseiten und Webdienste, die nicht vertrauenswürdig, meistens komplett unbekannt sind. Dieser Kommunikationspfad vom internen Netzwerk zur Außenwelt ist nicht vertrauenswürdig und muss ganz besonders gesichert werden, einerseits mit zentralen Komponenten wie beispielsweise einer Firewalloder Proxy-Infrastruktur, andererseits aber auch auf dem Endgerät selber, nämlich dem Client. Es ist auch möglich, dass mobile Clients das firmeninterne Netzwerk verlassen und sich mit fremden, unbekannten Netzwerken verbinden. Was in diesem Zustand dann genau passiert, lässt sich nicht detailliert nachvollziehen. Fakt ist aber, dass diese Geräte zu einem späteren Zeitpunkt wieder am Firmennetzwerk angebunden werden. Da nicht bekannt ist, was in der Zwischenzeit mit diesen Geräten passiert ist, besteht auch hier ein erhöhtes Risiko. Die Liste mit solchen Beispielen lässt sich fast endlos weiterführen. Wichtig ist mir persönlich, dass die gezeigten Beispiele zum Nachdenken anregen. Gibt es solche Szenarien auch in meiner Firma? Wie arbeiten unsere Anwender mit ihren Clients? Habe ich überhaupt in irgendeiner Art und Weise die Kontrolle über meine Clients? Sind meine Anwender geschult, und wissen sie, wie sie sich verhalten müssen? Im Ungang mit ? Im Umgang mit dem Internet? Technische Sicherheit ist nicht ausreichend Wie aber kann Windows Vista hier ansetzen, um die Sicherheit eines Clients und dadurch des gesamten Netzwerks entscheidend zu verbessern? Bevor wir uns das anschauen, ist etwas ganz besonders zu erwähnen: Die beste Konfiguration, die höchsten Sicherheitseinstellungen und die umfangreichste Überwachung sind unter Umständen wertlos, wenn Benutzer sich falsch verhalten. Einfaches Beispiel gefällig? Ein Benutzer erhält einen Anruf von einer unbekannten Person, die behauptet, dass sie seit Kurzem in der Helpdeskabteilung arbeitet. So weit nichts Außergewöhnliches. Wenn dieser Anrufer den Benutzer auffordert, ihm sein Kennwort zwecks Verifizierung am Telefon durchzugeben, wird es schon kritischer. Viele Benutzer werden dem Wunsch des Anrufers vom Helpdesk der in Wirklichkeit jemand ganz anderes ist und die Absicht hat, an sensitive Firmendaten zu gelangen nachkommen und ihm ihr Kennwort bedenkenlos mitteilen. Sie denken, das kann in Ihrer Firma nicht passieren? Versuchen Sie es! Und Sie werden erstaunt sein über den Erfolg. 2

12 Einleitung Aber Moment einmal, ich habe ja eine Firewall, einen Virenscanner, eine Anti-Spy- Lösung und erst noch ein superkomplexes Administratorenkennwort. Eigentlich kann da nichts passieren. Wenn eine fremde Person nennen wir sie einmal Angreifer mit der gezeigten Methode an ein Kennwort eines Unternehmens kommt, ist das schon äußerst kritisch. Angriffe sind oft mehrstufig und eine erfolgreiche Authentifizierung an einem fremden Netzwerk oft der beste Einstiegspunkt, um den Angriff später auszuweiten. Und das gezeigte Beispiel ist nur eines von vielen, um Benutzer zum falschen Handeln zu bringen. Diese Technik wird im Übrigen als Social Engineering bezeichnet und ist heute weit verbreitet, um Netzwerke bzw. Firmen anzugreifen. Mit diesem kleinen Beispiel möchte ich lediglich aufzeigen, dass technische Sicherheit nicht alles ist. Nichtsdestotrotz ist sie sehr wichtig, um den Schutz einer Infrastruktur zu vervollständigen. Und jetzt kommt (endlich) Windows Vista zum Zug! Sicherheit mit Windows Vista Noch vor ein paar Jahren hat sich im Bereich Netzwerksicherheit alles fast ausschließlich um das Thema Firewall gedreht, andere Themen waren nicht oder nur begrenzt relevant. Die Zeiten haben sich aber geändert, und das Sicherheitsdenken hat sich bis zu den Endgeräten ausgeweitet. Schließlich soll Sicherheit ja mehrschichtig sein, um es einem potenziellen Angreifer schwieriger zu machen, erfolgreich zu werden. Und genau hier setzt Windows Vista an. Mit neuen Sicherheitsmechanismen, die Clients schützen können, um das Gesamtsicherheitskonzept eines Unternehmens zu vervollständigen. Dazu hat Microsoft in den letzten Jahren einiges auf den Kopf gestellt, um mit Windows Vista wirklich das sicherste Windows-Betriebssystem aller Zeiten auf den Markt zu bringen. Das hört sich vielleicht ein bisschen übertrieben an und sehr marketingorientiert, ist aber tatsächlich so. Windows Vista ist das erste Betriebssystem, das vollständig nach dem neuen Security Development Lifecycle entwickelt worden ist. Dabei wird die Sicherheit anders als bei älteren Betriebssystemen und Produkten von Anfang an in den Entwicklungsprozess integriert. Sicherheit ist demnach nicht einfach ein simples Add-On, sondern fester Bestandteil des Produkts. Dazu aber später mehr. Wer sollte dieses Buch lesen? Für wen hat dieses Buch einen Nutzen? Wer sollte es lesen und sich mit den Inhalten vertraut machen? Nun, dieses Buch ist primär auf Tätigkeitsbereiche von System Engineers, Administratoren und technischen Projektleitern, die im Firmenumfeld arbeiten, fokussiert. Es geht primär darum, die neuen Sicherheitsmechanismen von Windows Vista zu durchleuchten und Ihnen anhand vieler Beispiele zu erklären, wie einzelne Funktionen implementiert sind, warum sie in das neue Betriebssystem eingebettet worden sind und natürlich wie alles richtig konfiguriert wird. Auch Heimanwender werden von den Inhalten dieses Buches profitieren, allerdings werden diese einige Funktionen, die ausschließlich für den privaten Bereich relevant sind, also Funktionen wie beispielsweise Windows Mail oder Windows Kalender, vermissen. Diese Programme werden im Firmenumfeld kaum eingesetzt und werden daher nicht berücksichtigt. Das Buch ist so hoffe ich zumindest gee- 3

13 Einleitung kig ausgelegt und behandelt viel Hintergrundwissen, das bestimmt vielen Lesern bisher noch nicht bekannt ist. Freuen Sie sich also über ein nicht ganz alltägliches Buch. Es ist schwierig, ein Buch, das sich ausschließlich mit Sicherheitsfunktionen befasst, für jedermann sinnvoll strukturiert aufzubauen. Einige Themen überschneiden sich oder bauen aufeinander auf, andere wiederum sind komplett unabhängig und isoliert. Das alles in einen harmonischen Ablauf zu bringen ist eine echte Herausforderung, und ich hoffe, dass mir dieses Meisterstück zumindest einigermaßen gelungen ist. Die einzelnen Kapitel sind grundsätzlich autonom, d.h., Sie können die Kapitel losgelöst voneinander lesen und die Inhalte durcharbeiten. Wie ich bereits in der Einleitung erwähnt habe, ist Sicherheit ein dynamischer Prozess. Was heute relativ sicher ist, kann morgen absolut unsicher sein, was heute aktuell ist, kann übermorgen veraltet sein. Wie lange die Inhalte in diesem Buch Gültigkeit haben bzw. wie lange sie für den Leser wertvoll sind, lässt sich natürlich nicht mit Bestimmtheit sagen. Fakt ist allerdings, dass die erwähnten Technologien mit größter Wahrscheinlichkeit während der gesamten Lebensdauer von Windows Vista aktuell bleiben werden. Natürlich werden einige Komponenten aktualisiert, vielleicht auch erweitert werden, aber diese Neuerungen bauen auf den heute aktuellen Informationen auf. Sie verlieren demnach kein Know-how, keine investierte Zeit und auch kein Geld. Mit einer Webseite zum Buch möchten wir Ihr Know-how aber regelmäßig auffrischen, und so erhalten Sie die Möglichkeit, sich kostenlos über Neuerungen in diesem Bereich zu informieren. Verwenden Sie dazu lediglich folgende URL: Danksagungen Ich schreibe diese Zeilen (und den Großteil des Buchs) kurz nach der Durchführung der TechEd in Orlando/USA im Juni Ich bin seit zwei Wochen in den Vereinigten Staaten, um mir einerseits die letzten Informationen für dieses Buch aus erster Hand bei Microsoft zu beschaffen, andererseits um das Manuskript zum Buch fertigzustellen. Meine Familie meine Lebenspartnerin Valerie sowie unsere beiden Kinder Jana-Alena und Linus sind in der Schweiz geblieben, damit ich mich voll auf die bevorstehende Aufgabe konzentrieren kann. Für dieses Verständnis möchte ich den dreien danken. Ich vermisse euch und freue mich, bald wieder zu Hause zu sein! Ebenfalls bedanken möchte ich mich bei allen Technical Readers alles gute Freunde von mir, die viel Zeit investiert haben, um meine geschriebenen Texte kritisch zu analysieren und mir wertvolles Feedback zu geben. Besten Dank an dieser Stelle, ich hoffe, ihr seid auch beim nächsten Buch wieder so engagiert dabei! Auch das Team des Carl Hanser Verlags soll nicht unerwähnt bleiben. Allen, besonders aber meinem Lektor Fernando Schneider, der die Idee zu diesem Buch hatte und mir den entscheidenden Anstoß zum Schreiben gegeben hat, möchte ich herzlich danken. Ich freue mich über viele weitere Bücher! So, und jetzt gehts los... 4

14 1 Benutzerkontensteuerung Eines der wohl meisterwähntesten und aufsehenerregendsten Features von Windows Vista ist die Benutzerkontensteuerung (User Account Control, UAC). Bereits lange vor dem Launch von Windows Vista wurde viel über diese neue Funktion berichtet, die dem neuesten Clientbetriebssystem mehr Sicherheit einhauchen soll, und auch heute wird bei Aufzählungen der Windows Vista-Highlights oft zuerst die Benutzerkontensteuerung erwähnt. Grundsätzlich geht es bei dieser Funktion darum, dass Benutzer für tägliche Aufgaben keine Administrationsrechte mehr benötigen. Microsoft hat bereits bei früheren Releases von Windows-Betriebssystemen darauf hingewiesen, dass Benutzer mit normalen Benutzerrechten anstelle von lokalen Administrationsrechten arbeiten können, allerdings hat sich das in der Praxis alles andere als bewährt. Mit normalen Benutzerrechten lässt sich ein System nicht wirklich sinnvoll nutzen, weil essenzielle Aktivitäten schlicht nicht wahrgenommen werden können. Mit normalen Benutzerrechten lässt sich beispielsweise unter Windows XP keine vollständige Wireless-Einrichtung inkl. WEP/WPA-Konfiguration vornehmen, genauso bei Eingriffen in die Energieoptionen Konfigurationsänderung Fehlanzeige! Auch sind viele Anwendungen nicht oder nur eingeschränkt ausführbar, weil diese möglicherweise Konfigurationsänderungen an Orten speichern, an denen Standardbenutzer keine Rechte besitzen. Um dieses Problem zu umgehen, haben sich viele Administratoren entschieden, Benutzern lokale Administrationsrechte zuzuweisen, sodass diese uneingeschränkt mit ihren Systemen arbeiten können. Aus Sicht der Produktivität und Nutzbarkeit in erster Linie sicher ein Vorteil, sicherheitstechnisch aber ein großer Nachteil. Durch die permanent hohen nein, höchstmöglichen Rechte, die Anwender besitzen, wird es für Angreifer, Malware oder Viren deutlich einfacher, ein System zu kompromittieren, weil der immer aktive Administratorenkontext eine breite Angriffsfläche ohne Einschränkungen bietet. Installationen oder Konfigurationsänderungen können so ohne große Probleme und Kenntnis des Anwenders erfolgen und einen Rechner innerhalb kürzester Zeit zu einer Virenschleuder oder einem Zombie umfunktionieren. 5

15 1 Benutzerkontensteuerung 1.1 Lokales Administratorenkonto deaktiviert! Eine wichtige Neuerung, die eigentlich nichts mit der Benutzerkontensteuerung zu tun hat, ist die Tatsache, dass das lokale Administratorenkonto unter Windows Vista standardmäßig deaktiviert ist. Wie soll denn ein Windows Vista-Rechner ohne aktives Administratorenkonto administriert werden? Ganz einfach: Beim Setup des Betriebssystems wird ein zusätzliches Konto angelegt, das über Administratorenrechte verfügt und somit die volle Verwaltungshoheit über den Rechner besitzt. Weshalb das so ist? Um sich erfolgreich an einem System anzumelden, benötigt man einen gültigen Anmeldenamen und das zugehörige Kennwort. Bei allen Betriebssystemen vor Windows Vista hatte der Administrator und somit das heikelste Benutzerkonto eines Systems jeweils den Anmeldenamen Administrator. Somit war immer bereits eine der beiden benötigten Informationen für eine erfolgreiche Anmeldung mit den höchstmöglichen Rechten vorhanden, und es musste nur noch das entsprechende Kennwort ausfindig gemacht werden. Eine Umbenennung des Kontos und somit auch des Anmeldenamens hatte hier Abhilfe geschafft. Tatsächlich? Nun, wenn man es genau betrachtet, nur begrenzt. Jedes Benutzerkonto (unabhängig davon, ob es sich dabei um ein lokales Konto oder ein Domänenkonto handelt) besitzt eine Security-ID (SID) die eindeutig sein muss. Alles, was nun irgendetwas mit Berechtigungen zu tun hat, wird über diese SID abgehandelt, sei es der Zugriff auf Ressourcen oder das Anwenden eines bestimmten Rechts. Bei dem zweiten Teil dieser SID handelt es sich um die Relative ID (RID), und die ist bei jedem Standardadministratorenkonto jeweils 500. Ein Konto kann umbenannt oder verschoben werden (nur in einer Active Directory-Domäne), aber die SID und daher auch die RID bleiben immer unverändert, wodurch eine Identifizierung relativ einfach ist. Unabhängig davon, ob das mit integrierten Tools, mit Werkzeugen von Drittherstellern oder mit Skripten erfolgt, ist das Resultat immer das gleiche: Sie wissen anschließend, bei welchem Konto es sich um das Standardadministratorenkonto handelt. Und das ist schlecht. Folgendes Beispiel zeigt die Informationsbeschaffung mithilfe von WMIC (Windows Management Instrumentation Console), einem Werkzeug, das mit Windows Vista (und auch mit früheren Betriebssystemen) mitgeliefert wird. 6

16 1.1 Lokales Administratorenkonto deaktiviert! Abbildung 1.1 WMIC zum Identifizieren des lokalen Standardadministratorenkontos Aufgrund des RID-Werts von 500 kann das Konto identifiziert werden. Im gezeigten Beispiel ist das Administratorenkonto in Master umbenannt worden, was aber offensichtlich nicht sehr viel gebracht hat. Es ist innerhalb weniger Sekunden bekannt. Mit dem gezeigten Beispiel soll lediglich beleuchtet werden, dass eine Umbenennung des Standardadministratorenkontos unter Umständen nicht den gewünschten Effekt bringt. Aber bei Ihrem Windows Vista ist das ja kein Problem das Konto ist ja deaktiviert, und das effektive Administratorenkonto kann nicht so einfach ausfindig gemacht werden. Abbildung 1.2 Deaktiviertes Standardadministratorenkonto 7

17 1 Benutzerkontensteuerung 1.2 Standardbenutzerrechte ein entscheidender Vorteil! Mit dem Release von Windows Vista haben Standardbenutzer neue und sinnvollere Rechtezuweisungen erhalten, sodass viele Aktivitäten, die Benutzer wahrnehmen möchten oder müssen, jetzt ohne Administratorenrechte möglich sind. Es ist demnach grundsätzlich nicht mehr notwendig, einen Benutzer in die lokale Administratorengruppe aufzunehmen, nur weil er Wireless-Konfigurationen, Zeitzonen- oder Energieschema-Anpassungen vornehmen muss. Was aber hat sich an den Rechten für Standardbenutzer genau geändert? Was können Standardbenutzer neu tun? Folgende Liste schafft Klarheit: Anzeigen der Systemzeit und des Datums Ändern der Zeitzone (für mobile Benutzer, die unterschiedliche Zeitzonen bereisen) Einrichten von WEP/WPA (für die Verbindung mit sicheren WLAN-Netzwerken) Ändern der Anzeigeeinstellungen Ändern von Energieeinstellungen bzw. Energieplänen Installieren von zusätzlichen Schriftarten Einrichten von Druckern und anderen Geräten (sofern entsprechende Treiber zur Verfügung stehen) Erstellen und Konfigurieren von VPN-Verbindungen (für den sicheren Zugriff auf private Netzwerke, beispielsweise das eigene Firmennetzwerk) Installation von kritischen Updates (falls Geräte über längere Zeit nicht mehr mit dem Firmennetzwerk verbunden waren und daher nicht mehr dem aktuellsten Patch- und Sicherheitsstand entsprechen) Installieren von ActiveX-Controls (wenn ein Administrator die entsprechenden Sites zuvor freigegeben hat) Defragmentieren der Festplatte (wird automatisch und regelmäßig mithilfe eines geplanten Tasks ausgeführt) Aufgrund der erweiterten Rechte der Standardbenutzergruppe wird die Gruppe Hauptbenutzer nicht mehr benötigt. Die Gruppe steht nach wie vor zur Verfügung, um Migrationsszenarien zu vereinfachen, wird aber für neue Implementierungen grundsätzlich nicht mehr eingesetzt. Mit diesen neuen Rechten können Standardbenutzer ihr Gerät bzw. Betriebssystem schon mal sinnvoller und bequemer nutzen. Was aber, wenn ein Benutzer administrative Tätigkeiten wahrnehmen muss und Standardrechte doch nicht ausreichen? Was, wenn Benutzer Anwendungen ausführen müssen, die nicht Vista-konform programmiert worden sind und mit Standardrechten nicht auskommen, weil beispielsweise Schreibfunktionen fehlschlagen? Hier kommt jetzt endlich die Benutzerkontensteuerung zum Zug. 8

18 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! Schauen wir uns zuerst das Beispiel der erweiterten Verwaltung an. Wenn Benutzer erweiterte Konfigurationsänderungen vornehmen müssen, beispielsweise neue Verbindungen durch die Windows Firewall zulassen möchten, dann reichen Standardbenutzerrechte natürlich nicht mehr aus. Damit sich Benutzer für solche Operationen nicht extra ab- und neu anmelden müssen, bietet die Benutzerkontensteuerung die Möglichkeit, die aktiven Rechte zu erhöhen, sodass für die anstehende Konfigurationsänderung und nur für genau diese Administrationsrechte aktiviert werden. Alle anderen Programme und Aktivitäten werden nach wie vor mit Standardbenutzerrechten ausgeführt. Da nur für eine bestimmte Aktion Administrationsrechte benötigt werden, bleibt das gesamte System in einem verhältnismäßig sicheren Zustand und ist dennoch bequem nutzbar die Balance zwischen Sicherheit und Nutzbarkeit ist also fürs Erste realisiert. Wie aber kann ein Benutzer seine Rechte erhöhen, um beispielsweise erweiterte Konfigurationen vornehmen zu können? Dazu stehen verschiedene Möglichkeiten zur Verfügung. Benutzer können ihre Rechte erhöhen, indem sie bei einer entsprechenden Aktion für die Standardbenutzerrechte nicht mehr ausreichen ein anderes Konto mit Administrationsrechten verwenden, um sich zu authentifizieren. Die entsprechenden Informationen dazu werden in ein Anmeldefenster eingegeben und die Rechte anschließend erhöht. Falls ein Benutzer bereits mit einem Konto, das über Administrationsrechte verfügt, angemeldet ist, muss lediglich die Erhöhung der Rechte bestätigt werden. Eine Eingabe von Anmeldeinformationen ist nicht notwendig. Sobald für eine bestimmte Aktion erhöhte Rechte benötigt werden, wird dies dem Benutzer durch Anzeige eines entsprechenden Fensters mitgeteilt. Je nach Aktivität und Konfiguration werden dazu (optisch) unterschiedliche Prompts verwendet. Abbildung 1.3 Zustimmung zur Rechteerhöhung 9

19 1 Benutzerkontensteuerung Abbildung 1.4 Eingabe von Anmeldeinformationen zur Rechteerhöhung Die oben aufgeführten Möglichkeiten, die Rechte bei Bedarf zu erhöhen, lassen sich mithilfe von Gruppenrichtlinien noch detailliert konfigurieren. Aber das werden wir uns später in diesem Kapitel ansehen. Die meisten Aktionen, die unter Windows Vista ein Erhöhen der Rechte benötigen, werden auf der grafischen Oberfläche mit einem Schildsymbol dargestellt. Somit ist sofort ersichtlich, für welche Aufgaben die Rechte von Standardbenutzern nicht mehr ausreichen. Abbildung 1.5 Schildsymbole bedeuten Rechteerhöhung. 10

20 1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! Was aber läuft im Hintergrund ab, wenn Rechte über eine der gezeigten Varianten erhöht werden? Bei einer erfolgreichen Anmeldung eines Benutzers an einem Rechner wird ein Access Token generiert. Dabei handelt es sich um ein geschütztes Objekt, das Informationen zum Benutzerkonto, dessen Gruppenmitgliedschaften und verfügbare Benutzerrechte enthält. Dieses Access Token kommt immer bei sicherheitsrelevanten Aktivitäten zum Zuge, beispielsweise wenn der Anwender auf Dateien zugreift oder eine Konfigurationsänderung am System vornimmt. Dann werden die Aktivitäten jeweils mit den Informationen des Access Tokens verglichen und der Zugriff entsprechend gewährt bzw. verweigert. Wenn nun unter Windows Vista für eine Aktivität nicht genügend Rechte zur Verfügung stehen, kann ein Benutzer diese unter Angabe von Anmeldeinformationen eines Administratorenkontos erhalten. Dazu wird ein zweites Access Token (Admin-Token) angelegt, das über mehr Möglichkeiten bzw. Rechte verfügt. Auf dieses Admin-Token hat nur genau derjenige Prozess Zugriff, für den die Rechteerhöhung vorgenommen worden ist. Für alle restlichen Prozesse steht ausschließlich das Standard-Token zur Verfügung. Das genau gleiche Verhalten tritt auf, wenn sich ein Benutzer anmeldet, dessen Konto einer Administratorengruppen angehört. Eigentlich ist dieser Benutzer von Beginn an als Administrator authentifiziert, dennoch werden die Rechteinformationen in zwei Tokens, einem Standard- und einem Admin-Token, abgelegt. Falls das Recht für eine Aktivität erhöht werden muss, ist lediglich eine Aktivierung des zweiten Tokens notwendig. Wie dies genau erfolgt, lässt sich konfigurieren. Beispielsweise ist es möglich, die Aktivierung lediglich über eine Bestätigung (und ohne erneute Authentifizierung) zu realisieren. Bei Bedarf kann allerdings auch festgelegt werden, dass eine erneute Authentifizierung unter Eingabe von Benutzername und Kennwort erfolgen muss. Abbildung 1.6 Split Token bei Administratorenanmeldung 11