3 Konfiguration von Windows Vista Sicherheitseinstellungen

Einführung
3
Konfiguration von Windows
Vista Sicherheitseinstellungen
Lernziele:
• Die UAC (User Account Control)
•
Der Windows Defender
•
Sicherheit im Internet Explorer 7
•
Die Firewall
Prüfungsanforderungen von Microsoft:
•
Configure and troubleshoot User Account Control
•
Configure Windows Defender
•
Configure Dynamic Security for Internet Explorer 7
•
Configure security settings in Windows Firewall
Quelle: Microsoft
3.1
Einführung
Mit der UAC ist es möglich, Prozesse, die dem Computer schaden könnten, zu
vermeiden, und die Sicherheit des Systems zu erhöhen.
Malware und Attacken aus dem Internet sind mittlerweile häufig. Hier können Sie mit
dem Windows Defender und den Sicherheitseinstellungen des Internet Explorer
entgegenwirken. Genauso ist die Windows Firewall ein wichtiges Mittel, um Angriffe
auf den Rechner zu verhindern.
129
Konfiguration von Windows Vista Sicherheitseinstellungen
3.2
Die Benutzerkontensteuerung (UAC, User
Account Control)
Ein großes Problem bei den bisherigen Betriebssystemen von Microsoft war die
Tatsache, dass die meisten Benutzer mit administrativen Rechten angemeldet waren,
und dadurch alle Vorgänge als Administrator, und damit mit vollen Rechten, steuern
konnten.
Alle Programme, die als Administrator ausgeführt werden, können an jede Stelle auf
dem Computer Daten schreiben, einschließlich den systemrelevanten Verzeichnissen
und der Registry.
Das bedeutete bisher leider auch, dass Schadprogramme, wie Viren oder Würmer,
sollten sie auf den Computer gelangen, ebenfalls vollen administrativen Zugriff auf das
System hatten.
Es gab zwar schon unter den vorherigen Systemen einige Möglichkeiten, diese
Problematik zu umgehen, aber leider wurden diese nicht in ausreichendem Maße
wahrgenommen.
Aus diesem Grund hat Microsoft mit Windows Vista eine völlig neue Regelung
entwickelt.
Egal, ob jemand als Administrator oder als Standardbenutzer angemeldet ist, alle
Programme werden immer nur mit eingeschränkten Rechten ausgeführt.
Sollten erhöhte Rechte benötigt werden, setzt die UAC ein, und bittet um Freigabe für
diesen Prozess, oder sogar um die Eingabe eines Kontos mit administrativen Rechten.
Dadurch wird die Zugriffsmöglichkeit auf sensible Systemteile erheblich erschwert.
3.2.1
Die Rechte der Benutzer
Damit die Benutzerkontensteuerung Sinn macht, muss man sich zunächst überlegen,
welche Rechte der Standardbenutzer benötigt.
In vorherigen Systemen gab es drei Gruppen, die für die lokale Maschine relevant sind:
•
Benutzer
•
Hauptbenutzer
• Administratoren
Hierbei hatten die Benutzer die wenigsten Rechte.
Hauptbenutzer waren eine Art von Zwischending zwischen den rechtelosen Benutzern
und den allmächtigen Administratoren.
130
Die Benutzerkontensteuerung (UAC, User Account Control)
In Windows Vista wurde dies vereinfacht. Es gibt die Gruppe der Hauptbenutzer zwar
noch, aber nur noch aus Gründen der Abwärtskompatibilität.
Dies können Sie betrachten, wenn Sie folgenden Weg gehen:
•
Rechte Maustaste auf „Computer“
•
Verwalten
•
Lokale Benutzer und Gruppen
• Gruppen
Hier können Sie die Gruppen sehen.
Abbildung 3.1: Gruppen
Wenn Sie mit der Maus über die Hauptbenutzer streichen, erhalten Sie den Hinweis,
dass diese Gruppe aus Gründen der Rückwärtskompatibilität eingeschlossen ist.
Schön und gut.
Aber welche Rechte hat der normale Benutzer eigentlich?
Diese Information erhalten wir, wenn wir die Sicherheitseinstellungen des Computers
betrachten.
Dafür erstellen wir eine so genannte Managementkonsole (mmc). Dazu klicken Sie auf
„Start“ und geben bei „Suche starten“ die Buchstabenkombination „mmc“ ein.
131
Konfiguration von Windows Vista Sicherheitseinstellungen
ACHTUNG!
Das „Ausführen“, das von älteren Windows Versionen bekannt ist, gibt es in Windows
Vista nicht mehr. Sie können aber die Suche verwenden, wenn es sich um eine
ausführbare Datei handelt, wird diese geöffnet.
Es öffnet sich eine leere Managementkonsole.
Diese Konsolen haben den Vorteil, dass Sie eigene Verwaltungstasks hinzufügen
können, und sich somit eine maßgeschneiderte Konsole anfertigen können.
Die Verwaltungstasks werden „Snap-Ins“ genannt.
Also wählen Sie
•
Datei
•
Snap-In hinzufügen / entfernen…
Abbildung 3.2: Erstellen einer eigenen Verwaltungskonsole
Sie fügen jetzt die gewünschten Snap-Ins hinzu. In unserem Fall ist dies das
Gruppenrichtlinienobjekt „Lokaler Computer“.
In diesem Gruppenrichtlinienobjekt gibt es viele Einstellungen, von denen die meisten
mit Sicherheitseinstellungen zu tun haben.
132
Die Benutzerkontensteuerung (UAC, User Account Control)
Wir müssen uns an folgende Stelle bewegen:
•
Computerkonfiguration
•
Windows-Einstellungen
•
Sicherheitseinstellungen
•
Lokale Richtlinie
•
Zuweisen von Benutzerrechten
Abbildung 3.3: Benutzerrechte
Hier sind alle Rechte aufgeführt, und dargestellt, welche Gruppe das jeweilige Recht
hat.
Damit wird deutlich, dass viele Einstellungen nur von Administratoren durchgeführt
werden können, aber einige Einstellungen auch von normalen Standardbenutzern
gemacht werden können.
ACHTUNG!
Natürlich können an dieser Stelle auch Änderungen durchgeführt werden. Dies sollten
Sie aber nicht tun, denn damit könnten Sie Gruppen oder Personen Rechte zuweisen,
die diese Rechte nicht haben sollten.
3.2.2
Anwendungen ausführen, die erhöhte Rechte
benötigen
All das hat noch nicht direkt etwas mit der Benutzerkontensteuerung zu tun, es wurde
nur gezeigt, dass es Berechtigungsunterschiede zwischen Standardbenutzer und
133
Konfiguration von Windows Vista Sicherheitseinstellungen
Administratoren gibt.
Leider funktionieren nicht alle Anwendungen mit den Rechten eines
Standardbenutzers.
Dies sind in den meisten Fällen Anwendungen, die schon älter sind, oder nicht für
Windows Vista geschrieben worden sind.
Abbildung 3.4: Programm als Administrator ausführen
Damit diese Anwendungen funktionieren, müssen sie unter einem administrativen
Konto ausgeführt werden.
Aber es kann natürlich nicht die Lösung sein, nun die Benutzer in die Gruppe der
Administratoren aufzunehmen.
Wenn Sie eine solche Anwendung haben, legen Sie eine Verknüpfung auf den
Desktop, öffnen die Eigenschaften und wechseln auf die Karteikarte „Kompatibilität“.
Sie sehen, hier können Sie einen Haken setzen, damit das Programm unter einem
administrativen Konto ausgeführt wird.
Wenn Sie diese Einstellung für alle Benutzer festlegen möchten, klicken Sie auf
134
Die Benutzerkontensteuerung (UAC, User Account Control)
„Einstellungen für alle Benutzer anzeigen“. Dort können Sie dies auch für alle
Benutzer festlegen.
Abbildung 3.5: Einstellungen für alle Benutzer
3.2.3
Die Einstellungen der
Benutzerkontensteuerung
Die Benutzerkontensteuerung ist sowohl aktiv, wenn Sie mit einem normalen
Benutzerkonto angemeldet sind, als auch, wenn Sie als Administrator angemeldet sind.
Wenn Sie als normaler Benutzer angemeldet sind, und Sie möchten Tätigkeiten
ausführen, die mehr Rechte erfordern, als Ihnen zur Verfügung stehen, erscheint ein
Fenster, in dem Sie die Daten eines lokalen Administratorenkontos eingeben müssen.
Wenn Sie dagegen als Administrator angemeldet sind, erscheint ein
Bestätigungsdialogfeld, in dem Sie bestätigen müssen, dass Sie diese Aktion
genehmigen. Diese Abfrage erscheint immer dann, wenn Sie systemnahe Einstellungen
ändern möchten.
135
Konfiguration von Windows Vista Sicherheitseinstellungen
Leider ist es etwas störend, wenn während der Arbeit immer wieder Abfragen
erscheinen, die man bearbeiten muss.
Ich habe deswegen schon von vielen Vista-Benutzern gehört, dass sie die
Benutzerkontensteuerung ausgeschaltet haben.
Abbildung 3.6: Benutzerkontensteuerung ausschalten
Obwohl ich es natürlich verstehen kann, dass dieses Verhalten etwas störend ist, kann
ich es auf keinen Fall empfehlen, diese Funktion zu deaktivieren. Sie würden damit die
Sicherheit des Vista-Systems wieder auf die Stufe der vorherigen Betriebssysteme
herabsetzen, was wirklich schade wäre.
Sollten Sie die Benutzerkontensteuerung aber trotzdem ausschalten wollen, können Sie
dies relativ einfach tun, indem Sie in der Systemsteuerung die Kontenverwaltung
wählen, und dort die „Benutzerkontensteuerung ein- oder ausschalten“.
Besser wäre es, die Benutzerkontensteuerung anzupassen, und das Verhalten bei
verschiedenen Ereignissen zu konfigurieren.
Dazu müssen Sie erneut eine MMC erstellen, und das Gruppenrichtlinienobjekt des
lokalen Computers hinzufügen.
Diesmal gehen Sie folgenden Weg, um ans Ziel zu gelangen:
136
•
Computerkonfiguration
•
Windows-Einstellungen
•
Sicherheitseinstellungen
•
Lokale Richtlinie
•
Sicherheitsoptionen
Die Benutzerkontensteuerung (UAC, User Account Control)
Abbildung 3.7: Einstellungen der Benutzerkontensteuerung
Hier sind die verschiedenen Einstellungsmöglichkeiten, die Sie gut kennen sollten.
Benutzerkontoschutz: Administratorbestätigungsmodus für das integrierte
Administratorkonto
Hier wird das Verhalten des integrierten Administratorkontos festgelegt. Dieses Konto
ist standardmäßig deaktiviert, kann aber aktiviert werden.
Optionen:
Aktiviert:
Der integrierte Administrator wird im so genannten Administratorbestätigungsmodus
angemeldet. Dies ist der Modus, der bei jeder Aktion, die systemnah ist, bestätigt oder
abgelehnt werden muss.
Deaktiviert:
Wenn Sie deaktiviert wählen, gibt es für das Administratorkonto keine
Benutzerkontensteuerung, und der Administrator hat volle Rechte (dies ist der XPkompatible Modus).
Standardeinstellung:
Deaktiviert
137
Konfiguration von Windows Vista Sicherheitseinstellungen
Benutzerkontensteuerung: Alle Benutzer (inkl. Administratoren) als
Standardbenutzer ausführen
Dies ist die Einstellung, die für das komplette System das Verhalten festlegt.
Optionen:
Aktiviert:
Nur wenn diese Option aktiviert ist, findet überhaupt eine Benutzerkontensteuerung
statt. Wenn Sie diese Einstellung ändern, muss das System neu gestartet werden.
Deaktiviert:
Es findet keine Benutzerkontensteuerung statt.
Standardeinstellung:
Aktiviert
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte
Rechte anfordern
Hier legen Sie fest, wie das Verhalten des Systems ist, wenn Anwendungen installiert
werden sollen.
Optionen:
Aktiviert:
Wenn Anwendungen installiert werden sollen, erscheint automatisch die entsprechende
Abfrage.
Deaktiviert:
In einer Unternehmensumgebung wird oftmals nicht am Einzelplatz installiert, sondern
durch Tools, wie SMS oder auch Gruppenrichtlinien. Hier sollte die Option deaktiviert
sein.
Standardeinstellung:
•
Aktiviert (privat)
•
Deaktiviert (Unternehmen)
Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die
an sicheren Orten installiert sind
Diese Einstellung sorgt dafür, dass sich Anwendungen, die eine Ausführung mit einer
UIAccess-Integritätsebene anfordern (über das Kennzeichnen von UIAccess=true in
ihrem Anwendungsmanifest) an bestimmten Stellen im Dateisystem befinden müssen.
Tun sie das nicht, werden ihnen keine erhöhten Rechte gewährt.
138
Die Benutzerkontensteuerung (UAC, User Account Control)
Folgendes sind diese bestimmten Stellen:
•
…\Programme\, einschließlich Unterverzeichnissen
•
…\Windows\system32\r
•
…\Programme (x86)\, einschließlich Unterverzeichnissen für 64-BitVersionen von Windows
Optionen:
Aktiviert:
Nur Anwendungen, die sich an den richtigen Speicherorten befinden, werden mit
UIAccess-Integrität gestartet.
Deaktiviert:
Auch Anwendungen, die sich nicht an den richtigen Speicherorten befinden, werden
mit UIAccess-Integrität gestartet.
Standardeinstellung:
Aktiviert
Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten
Rechten für Standardbenutzer
Hier legen Sie fest, was bei Anforderungen eines Standardbenutzers passiert.
Optionen:
Aufforderung zur Eingabe der Anmeldeinformationen:
Der Benutzer muss einen Benutzernamen und ein Kennwort eines Kontos mit
administrativen Rechten angeben, damit der Vorgang fortgesetzt werden kann.
Anhebungsaufforderung automatisch abweisen:
Hier wird ein Versuch, eine Aktion auszuführen, die höhere Rechte benötigt, sofort
abgewiesen.
Standardeinstellung:
• Aufforderung zur Eingabe der Anmeldeinformationen (privat)
•
Anhebungsaufforderung automatisch abweisen (Unternehmen)
Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten
Rechten für Administratoren im Administratorbestätigungsmodus
Der Administratorenbestätigungsmodus ist der Modus, in dem ein Administrator eine
Aktion, die systemnah ist, bestätigen oder ablehnen kann (Standardeinstellung).
139
Konfiguration von Windows Vista Sicherheitseinstellungen
Optionen:
Aufforderung zur Eingabe der Zustimmung:
Der Administrator muss zustimmen oder kann ablehnen.
Aufforderung zur Eingabe der Anmeldeinformationen:
Hier reicht Zustimmen nicht, sondern es müssen die Kontodaten mit administrativen
Rechten eingegeben werden.
Keine Aufforderung:
In diesem Fall wird keine Abfrage gemacht, dies ist eine nicht sichere Einstellung.
Standardeinstellung:
Aufforderung zur Eingabe der Zustimmung
3.3
Der Windows Defender
Der Windows Defender ist eine Antispywaresoftware, das von Microsoft mitgeliefert
wird. Spyware und andere möglicherweise unerwünschte Software kann sich jederzeit
auf Ihrem Computer „einnisten“, wenn Sie eine Verbindung mit dem Internet
herstellen, oder wenn Sie Programme von einer CD, DVD oder anderen
Wechselmedien installieren.
Spyware kann zunächst nur im Hintergrund installiert werden, und Sie merken nichts
davon. Erst nach einiger Zeit wird sie aktiv, und sendet Informationen über Ihr System
oder über Ihre privaten Daten.
Manchmal bleibt Spyware auf dem Computer aber nicht ohne Hinweise für Sie.
Folgende Symptome sind ein Zeichen, dass Ihr Rechner möglicherweise mit Spyware
infiziert ist:
•
Der Webbrowser hat sein Aussehen verändert. Er hat neue Links,
Symbolleisten oder Favoriten, die Sie nicht hinzugefügt haben
•
Der Webbrowser hat eine neue Startseite, die Sie nicht eingestellt haben
•
Sie werden im Webbrowser immer auf eine bestimmte Seite umgeleitet
•
Sie sehen im Browser Werbung, auch wenn Sie nicht mit dem Internet
verbunden sind
•
Der Computer läuft plötzlich langsamer als normalerweise
Leider ist dies keine komplette Liste. Deswegen sollten Sie ein Tool verwenden, das
Spyware und andere bösartige Programme erkennt, und zuverlässig beseitigt.
140