Einführung 3 Konfiguration von Windows Vista Sicherheitseinstellungen Lernziele: • Die UAC (User Account Control) • Der Windows Defender • Sicherheit im Internet Explorer 7 • Die Firewall Prüfungsanforderungen von Microsoft: • Configure and troubleshoot User Account Control • Configure Windows Defender • Configure Dynamic Security for Internet Explorer 7 • Configure security settings in Windows Firewall Quelle: Microsoft 3.1 Einführung Mit der UAC ist es möglich, Prozesse, die dem Computer schaden könnten, zu vermeiden, und die Sicherheit des Systems zu erhöhen. Malware und Attacken aus dem Internet sind mittlerweile häufig. Hier können Sie mit dem Windows Defender und den Sicherheitseinstellungen des Internet Explorer entgegenwirken. Genauso ist die Windows Firewall ein wichtiges Mittel, um Angriffe auf den Rechner zu verhindern. 129 Konfiguration von Windows Vista Sicherheitseinstellungen 3.2 Die Benutzerkontensteuerung (UAC, User Account Control) Ein großes Problem bei den bisherigen Betriebssystemen von Microsoft war die Tatsache, dass die meisten Benutzer mit administrativen Rechten angemeldet waren, und dadurch alle Vorgänge als Administrator, und damit mit vollen Rechten, steuern konnten. Alle Programme, die als Administrator ausgeführt werden, können an jede Stelle auf dem Computer Daten schreiben, einschließlich den systemrelevanten Verzeichnissen und der Registry. Das bedeutete bisher leider auch, dass Schadprogramme, wie Viren oder Würmer, sollten sie auf den Computer gelangen, ebenfalls vollen administrativen Zugriff auf das System hatten. Es gab zwar schon unter den vorherigen Systemen einige Möglichkeiten, diese Problematik zu umgehen, aber leider wurden diese nicht in ausreichendem Maße wahrgenommen. Aus diesem Grund hat Microsoft mit Windows Vista eine völlig neue Regelung entwickelt. Egal, ob jemand als Administrator oder als Standardbenutzer angemeldet ist, alle Programme werden immer nur mit eingeschränkten Rechten ausgeführt. Sollten erhöhte Rechte benötigt werden, setzt die UAC ein, und bittet um Freigabe für diesen Prozess, oder sogar um die Eingabe eines Kontos mit administrativen Rechten. Dadurch wird die Zugriffsmöglichkeit auf sensible Systemteile erheblich erschwert. 3.2.1 Die Rechte der Benutzer Damit die Benutzerkontensteuerung Sinn macht, muss man sich zunächst überlegen, welche Rechte der Standardbenutzer benötigt. In vorherigen Systemen gab es drei Gruppen, die für die lokale Maschine relevant sind: • Benutzer • Hauptbenutzer • Administratoren Hierbei hatten die Benutzer die wenigsten Rechte. Hauptbenutzer waren eine Art von Zwischending zwischen den rechtelosen Benutzern und den allmächtigen Administratoren. 130 Die Benutzerkontensteuerung (UAC, User Account Control) In Windows Vista wurde dies vereinfacht. Es gibt die Gruppe der Hauptbenutzer zwar noch, aber nur noch aus Gründen der Abwärtskompatibilität. Dies können Sie betrachten, wenn Sie folgenden Weg gehen: • Rechte Maustaste auf „Computer“ • Verwalten • Lokale Benutzer und Gruppen • Gruppen Hier können Sie die Gruppen sehen. Abbildung 3.1: Gruppen Wenn Sie mit der Maus über die Hauptbenutzer streichen, erhalten Sie den Hinweis, dass diese Gruppe aus Gründen der Rückwärtskompatibilität eingeschlossen ist. Schön und gut. Aber welche Rechte hat der normale Benutzer eigentlich? Diese Information erhalten wir, wenn wir die Sicherheitseinstellungen des Computers betrachten. Dafür erstellen wir eine so genannte Managementkonsole (mmc). Dazu klicken Sie auf „Start“ und geben bei „Suche starten“ die Buchstabenkombination „mmc“ ein. 131 Konfiguration von Windows Vista Sicherheitseinstellungen ACHTUNG! Das „Ausführen“, das von älteren Windows Versionen bekannt ist, gibt es in Windows Vista nicht mehr. Sie können aber die Suche verwenden, wenn es sich um eine ausführbare Datei handelt, wird diese geöffnet. Es öffnet sich eine leere Managementkonsole. Diese Konsolen haben den Vorteil, dass Sie eigene Verwaltungstasks hinzufügen können, und sich somit eine maßgeschneiderte Konsole anfertigen können. Die Verwaltungstasks werden „Snap-Ins“ genannt. Also wählen Sie • Datei • Snap-In hinzufügen / entfernen… Abbildung 3.2: Erstellen einer eigenen Verwaltungskonsole Sie fügen jetzt die gewünschten Snap-Ins hinzu. In unserem Fall ist dies das Gruppenrichtlinienobjekt „Lokaler Computer“. In diesem Gruppenrichtlinienobjekt gibt es viele Einstellungen, von denen die meisten mit Sicherheitseinstellungen zu tun haben. 132 Die Benutzerkontensteuerung (UAC, User Account Control) Wir müssen uns an folgende Stelle bewegen: • Computerkonfiguration • Windows-Einstellungen • Sicherheitseinstellungen • Lokale Richtlinie • Zuweisen von Benutzerrechten Abbildung 3.3: Benutzerrechte Hier sind alle Rechte aufgeführt, und dargestellt, welche Gruppe das jeweilige Recht hat. Damit wird deutlich, dass viele Einstellungen nur von Administratoren durchgeführt werden können, aber einige Einstellungen auch von normalen Standardbenutzern gemacht werden können. ACHTUNG! Natürlich können an dieser Stelle auch Änderungen durchgeführt werden. Dies sollten Sie aber nicht tun, denn damit könnten Sie Gruppen oder Personen Rechte zuweisen, die diese Rechte nicht haben sollten. 3.2.2 Anwendungen ausführen, die erhöhte Rechte benötigen All das hat noch nicht direkt etwas mit der Benutzerkontensteuerung zu tun, es wurde nur gezeigt, dass es Berechtigungsunterschiede zwischen Standardbenutzer und 133 Konfiguration von Windows Vista Sicherheitseinstellungen Administratoren gibt. Leider funktionieren nicht alle Anwendungen mit den Rechten eines Standardbenutzers. Dies sind in den meisten Fällen Anwendungen, die schon älter sind, oder nicht für Windows Vista geschrieben worden sind. Abbildung 3.4: Programm als Administrator ausführen Damit diese Anwendungen funktionieren, müssen sie unter einem administrativen Konto ausgeführt werden. Aber es kann natürlich nicht die Lösung sein, nun die Benutzer in die Gruppe der Administratoren aufzunehmen. Wenn Sie eine solche Anwendung haben, legen Sie eine Verknüpfung auf den Desktop, öffnen die Eigenschaften und wechseln auf die Karteikarte „Kompatibilität“. Sie sehen, hier können Sie einen Haken setzen, damit das Programm unter einem administrativen Konto ausgeführt wird. Wenn Sie diese Einstellung für alle Benutzer festlegen möchten, klicken Sie auf 134 Die Benutzerkontensteuerung (UAC, User Account Control) „Einstellungen für alle Benutzer anzeigen“. Dort können Sie dies auch für alle Benutzer festlegen. Abbildung 3.5: Einstellungen für alle Benutzer 3.2.3 Die Einstellungen der Benutzerkontensteuerung Die Benutzerkontensteuerung ist sowohl aktiv, wenn Sie mit einem normalen Benutzerkonto angemeldet sind, als auch, wenn Sie als Administrator angemeldet sind. Wenn Sie als normaler Benutzer angemeldet sind, und Sie möchten Tätigkeiten ausführen, die mehr Rechte erfordern, als Ihnen zur Verfügung stehen, erscheint ein Fenster, in dem Sie die Daten eines lokalen Administratorenkontos eingeben müssen. Wenn Sie dagegen als Administrator angemeldet sind, erscheint ein Bestätigungsdialogfeld, in dem Sie bestätigen müssen, dass Sie diese Aktion genehmigen. Diese Abfrage erscheint immer dann, wenn Sie systemnahe Einstellungen ändern möchten. 135 Konfiguration von Windows Vista Sicherheitseinstellungen Leider ist es etwas störend, wenn während der Arbeit immer wieder Abfragen erscheinen, die man bearbeiten muss. Ich habe deswegen schon von vielen Vista-Benutzern gehört, dass sie die Benutzerkontensteuerung ausgeschaltet haben. Abbildung 3.6: Benutzerkontensteuerung ausschalten Obwohl ich es natürlich verstehen kann, dass dieses Verhalten etwas störend ist, kann ich es auf keinen Fall empfehlen, diese Funktion zu deaktivieren. Sie würden damit die Sicherheit des Vista-Systems wieder auf die Stufe der vorherigen Betriebssysteme herabsetzen, was wirklich schade wäre. Sollten Sie die Benutzerkontensteuerung aber trotzdem ausschalten wollen, können Sie dies relativ einfach tun, indem Sie in der Systemsteuerung die Kontenverwaltung wählen, und dort die „Benutzerkontensteuerung ein- oder ausschalten“. Besser wäre es, die Benutzerkontensteuerung anzupassen, und das Verhalten bei verschiedenen Ereignissen zu konfigurieren. Dazu müssen Sie erneut eine MMC erstellen, und das Gruppenrichtlinienobjekt des lokalen Computers hinzufügen. Diesmal gehen Sie folgenden Weg, um ans Ziel zu gelangen: 136 • Computerkonfiguration • Windows-Einstellungen • Sicherheitseinstellungen • Lokale Richtlinie • Sicherheitsoptionen Die Benutzerkontensteuerung (UAC, User Account Control) Abbildung 3.7: Einstellungen der Benutzerkontensteuerung Hier sind die verschiedenen Einstellungsmöglichkeiten, die Sie gut kennen sollten. Benutzerkontoschutz: Administratorbestätigungsmodus für das integrierte Administratorkonto Hier wird das Verhalten des integrierten Administratorkontos festgelegt. Dieses Konto ist standardmäßig deaktiviert, kann aber aktiviert werden. Optionen: Aktiviert: Der integrierte Administrator wird im so genannten Administratorbestätigungsmodus angemeldet. Dies ist der Modus, der bei jeder Aktion, die systemnah ist, bestätigt oder abgelehnt werden muss. Deaktiviert: Wenn Sie deaktiviert wählen, gibt es für das Administratorkonto keine Benutzerkontensteuerung, und der Administrator hat volle Rechte (dies ist der XPkompatible Modus). Standardeinstellung: Deaktiviert 137 Konfiguration von Windows Vista Sicherheitseinstellungen Benutzerkontensteuerung: Alle Benutzer (inkl. Administratoren) als Standardbenutzer ausführen Dies ist die Einstellung, die für das komplette System das Verhalten festlegt. Optionen: Aktiviert: Nur wenn diese Option aktiviert ist, findet überhaupt eine Benutzerkontensteuerung statt. Wenn Sie diese Einstellung ändern, muss das System neu gestartet werden. Deaktiviert: Es findet keine Benutzerkontensteuerung statt. Standardeinstellung: Aktiviert Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern Hier legen Sie fest, wie das Verhalten des Systems ist, wenn Anwendungen installiert werden sollen. Optionen: Aktiviert: Wenn Anwendungen installiert werden sollen, erscheint automatisch die entsprechende Abfrage. Deaktiviert: In einer Unternehmensumgebung wird oftmals nicht am Einzelplatz installiert, sondern durch Tools, wie SMS oder auch Gruppenrichtlinien. Hier sollte die Option deaktiviert sein. Standardeinstellung: • Aktiviert (privat) • Deaktiviert (Unternehmen) Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind Diese Einstellung sorgt dafür, dass sich Anwendungen, die eine Ausführung mit einer UIAccess-Integritätsebene anfordern (über das Kennzeichnen von UIAccess=true in ihrem Anwendungsmanifest) an bestimmten Stellen im Dateisystem befinden müssen. Tun sie das nicht, werden ihnen keine erhöhten Rechte gewährt. 138 Die Benutzerkontensteuerung (UAC, User Account Control) Folgendes sind diese bestimmten Stellen: • …\Programme\, einschließlich Unterverzeichnissen • …\Windows\system32\r • …\Programme (x86)\, einschließlich Unterverzeichnissen für 64-BitVersionen von Windows Optionen: Aktiviert: Nur Anwendungen, die sich an den richtigen Speicherorten befinden, werden mit UIAccess-Integrität gestartet. Deaktiviert: Auch Anwendungen, die sich nicht an den richtigen Speicherorten befinden, werden mit UIAccess-Integrität gestartet. Standardeinstellung: Aktiviert Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Standardbenutzer Hier legen Sie fest, was bei Anforderungen eines Standardbenutzers passiert. Optionen: Aufforderung zur Eingabe der Anmeldeinformationen: Der Benutzer muss einen Benutzernamen und ein Kennwort eines Kontos mit administrativen Rechten angeben, damit der Vorgang fortgesetzt werden kann. Anhebungsaufforderung automatisch abweisen: Hier wird ein Versuch, eine Aktion auszuführen, die höhere Rechte benötigt, sofort abgewiesen. Standardeinstellung: • Aufforderung zur Eingabe der Anmeldeinformationen (privat) • Anhebungsaufforderung automatisch abweisen (Unternehmen) Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus Der Administratorenbestätigungsmodus ist der Modus, in dem ein Administrator eine Aktion, die systemnah ist, bestätigen oder ablehnen kann (Standardeinstellung). 139 Konfiguration von Windows Vista Sicherheitseinstellungen Optionen: Aufforderung zur Eingabe der Zustimmung: Der Administrator muss zustimmen oder kann ablehnen. Aufforderung zur Eingabe der Anmeldeinformationen: Hier reicht Zustimmen nicht, sondern es müssen die Kontodaten mit administrativen Rechten eingegeben werden. Keine Aufforderung: In diesem Fall wird keine Abfrage gemacht, dies ist eine nicht sichere Einstellung. Standardeinstellung: Aufforderung zur Eingabe der Zustimmung 3.3 Der Windows Defender Der Windows Defender ist eine Antispywaresoftware, das von Microsoft mitgeliefert wird. Spyware und andere möglicherweise unerwünschte Software kann sich jederzeit auf Ihrem Computer „einnisten“, wenn Sie eine Verbindung mit dem Internet herstellen, oder wenn Sie Programme von einer CD, DVD oder anderen Wechselmedien installieren. Spyware kann zunächst nur im Hintergrund installiert werden, und Sie merken nichts davon. Erst nach einiger Zeit wird sie aktiv, und sendet Informationen über Ihr System oder über Ihre privaten Daten. Manchmal bleibt Spyware auf dem Computer aber nicht ohne Hinweise für Sie. Folgende Symptome sind ein Zeichen, dass Ihr Rechner möglicherweise mit Spyware infiziert ist: • Der Webbrowser hat sein Aussehen verändert. Er hat neue Links, Symbolleisten oder Favoriten, die Sie nicht hinzugefügt haben • Der Webbrowser hat eine neue Startseite, die Sie nicht eingestellt haben • Sie werden im Webbrowser immer auf eine bestimmte Seite umgeleitet • Sie sehen im Browser Werbung, auch wenn Sie nicht mit dem Internet verbunden sind • Der Computer läuft plötzlich langsamer als normalerweise Leider ist dies keine komplette Liste. Deswegen sollten Sie ein Tool verwenden, das Spyware und andere bösartige Programme erkennt, und zuverlässig beseitigt. 140
© Copyright 2024 ExpyDoc