Zehner
Windows Vista Security

Marcel Zehner
Windows
Vista Security
Der Autor:
Marcel Zehner, smart dynamic ag, Bern
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem
Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen.
Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflich-
tung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine
juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die
auf irgendeine Art aus der Benutzung dieser Informationen  oder Teilen davon  entsteht.
Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei
von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbe-
zeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu
der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als
frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Bibliografische Information Der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der
Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im
Internet über abrufbar.
Dieses Werk ist urheberrechtlich geschützt.
Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder
Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages
in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren)  auch nicht für Zwecke der
Unterrichtsgestaltung  reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, ver-
vielfältigt oder verbreitet werden.
© 2007 Carl Hanser Verlag München

Gesamtlektorat: Fernando Schneider
Sprachlektorat: Sandra Gottmann, Münster-Nienberge
Herstellung: Monika Kraus
Umschlagdesign: Marc Müller-Bremer, Rebranding, München
Umschlaggestaltung: MCP · Susanne Kraus GbR, Holzkirchen
Datenbelichtung, Druck und Bindung: Kösel, Krugzell
Ausstattung patentrechtlich geschützt. Kösel FD 351, Patent-Nr. 0748702
Printed in Germany
ISBN 978-3-446-41356-6
www.hanser.de/computer
V
Inhalt
Einleitung............................................................................................................................. 1
1 Benutzerkontensteuerung....................................................................................... 5
1.1 Lokales Administratorenkonto  deaktiviert!...........................................................................6
1.2 Standardbenutzerrechte  ein entscheidender Vorteil! .............................................................8
1.3 Verwaltung von Windows Vista  Rechteerhöhung bei Bedarf!..............................................9
1.4 Anwendungen mit Standardbenutzerrechten ausführen  eine wahre Herausforderung! .......13
1.5 Steuerung mittels Gruppenrichtlinien.....................................................................................21
1.6 Deaktivieren der Benutzerkontensteuerung............................................................................27
1.7 Für Entwickler........................................................................................................................29
1.8 Rückblick...............................................................................................................................29
2 Integritätskontrolle mit Verbindlichkeitsstufen................................................... 31
2.1 Der neue Schutzmechanismus von Windows Vista ...............................................................31
2.2 Verfügbare Verbindlichkeitsstufen und Richtlinien...............................................................32
2.3 Verbindlichkeitsstufen für Objekte ........................................................................................33
2.4 Verbindlichkeitsstufen für Prozesse.......................................................................................38
2.5 Verbindlichkeitsstufen von Benutzerkonten ..........................................................................40
2.6 Rückblick...............................................................................................................................42
3 Internet Explorer 7 ................................................................................................. 43

3.1 Umfassender Schutz durch mehrere Sicherheitsschichten .....................................................43
3.1.1 Schutzschicht 1  Adressleistensicherheit und IDN-Unterstützung..........................44
3.1.2 Schutzschicht 2  Sicherheitsstatusanzeige, Zertifikatsverwaltung und
Phishing-Filter..........................................................................................................45
3.1.3 Schutzschicht 3  Warnung bei unsicheren Einstellungen........................................52
3.1.4 Schutzschicht 4  Reduzierte Angriffsoberfläche.....................................................54
3.1.5 Schutzschicht 5  ActiveX Opt-In............................................................................54
3.1.6 Schutzschicht 6  Dateiausführungsverhinderung
(Data Execution Prevention, DEP)..........................................................................55
3.1.7 Schutzschicht 7  Geschützter Modus......................................................................56
Inhalt
VI
3.1.8 Webseite mit IE7-Demos .........................................................................................57
3.2 Weitere Sicherheitseinstellungen...........................................................................................58
3.2.1 Sicherheitszonen ......................................................................................................58
3.2.2 Datenschutzeinstellungen.........................................................................................61
3.2.3 Zertifikatsverwaltung ...............................................................................................63
3.2.4 Löschen von persönlichen Informationen ................................................................65
3.3 Konfiguration über Gruppenrichtlinien..................................................................................65
3.4 Installation von ActiveX-Elementen steuern .........................................................................67
3.5 Rückblick...............................................................................................................................71
4 Schützen von Daten und Betriebssystemdateien............................................... 73
4.1 Das NTFS-Dateisystem .........................................................................................................73
4.1.1 Lokale Sicherheit auf Datei- und Ordnerebene  Jumpstart und Refresh!...............75
4.1.2 Besitzer von Systemobjekten ...................................................................................76
4.1.3 Umleitungen im Dateisystem...................................................................................78
4.1.4 Verbindlichkeitsstufen  Sie erinnern sich? .............................................................80
4.1.5 Kontrolle ist gut, Überwachung ist besser................................................................81
4.2 Das verschlüsselte Dateisystem (Encrypting File System, EFS)............................................87
4.2.1 Lösungen ohne Zertifizierungsstelle ........................................................................90

4.2.2 Lösungen mit einer Windows Server-Zertifizierungsstelle ......................................98
4.2.3 Steuerung über Gruppenrichtlinien ........................................................................112
4.2.4 Noch etwas zum Abschluss von EFS .....................................................................116
4.3 Partitionsverschlüsselung mit BitLocker..............................................................................116
4.3.1 BitLocker einrichten...............................................................................................120
4.3.2 BitLocker über die Kommandozeile verwalten......................................................126
4.3.3 Wiederherstellung ..................................................................................................127
4.3.4 Schlüsselspeicherung im Active Directory.............................................................128
4.3.5 Gruppenrichtlinien für BitLocker-Konfiguration...................................................132
4.4 Rückblick.............................................................................................................................136
5 Update-Management ........................................................................................... 137
5.1 Automatische Updates über Microsoft Update ....................................................................138
5.2 Windows Server Update Services (WSUS) .........................................................................142
5.2.1 Installation von WSUS...........................................................................................142
5.2.2 WSUS-Basiskonfiguration.....................................................................................147
5.2.3 Computergruppen...................................................................................................154
5.2.4 WSUS-Clients konfigurieren .................................................................................155
5.2.5 WSUS-Clients registrieren.....................................................................................159
5.2.6 Updates verwalten..................................................................................................159
5.3 Rückblick.............................................................................................................................161
6 Sicherer Netzwerkbetrieb.................................................................................... 163
6.1 Netzwerkverbindungen........................................................................................................163
6.1.1 LAN-Verbindungen ...............................................................................................165
6.1.2 WLAN-Verbindungen............................................................................................170
6.1.3 Virtuelle private Netzwerke (VPN)........................................................................180
Inhalt
VII
6.2 Die Windows-Firewall.........................................................................................................183
6.2.1 Netzwerktypen für Netzwerke festlegen.................................................................186
6.2.2 Die Standardkonsole der Windows-Firewall ..........................................................188

6.2.3 Die erweiterte Konsole der Windows-Firewall ......................................................191
6.2.4 Firewall-Konfiguration mithilfe von Gruppenrichtlinien .......................................205
6.3 IPsec ohne Firewall..............................................................................................................205
6.3.1 IPsec-Konfiguration über Gruppenrichtlinien ........................................................210
6.4 Rückblick.............................................................................................................................211
7 Erweiterter Schutz vor Malware und Viren ........................................................ 213
7.1 Automatische Updates .........................................................................................................217
7.2 Echtzeitschutz zum Erkennen neuer unerwünschter Programme.........................................218
7.3 Manuelle Scans zum Suchen nach bereits installierten Spyware-Programmen....................219
7.4 Verlauf .................................................................................................................................220
7.5 Extras ...................................................................................................................................221
7.5.1 Optionen.................................................................................................................222
7.5.2 Microsoft SpyNet ...................................................................................................224
7.5.3 Unter Quarantäne ...................................................................................................226
7.5.4 Software-Explorer ..................................................................................................227
7.6 Informationen in der Ereignisanzeige ..................................................................................228
7.7 Konfiguration über Gruppenrichtlinien................................................................................229
7.8 Rückblick.............................................................................................................................232
8 Windows-Dienste absichern............................................................................... 233
8.1 Dienst- und Systemkonten ...................................................................................................233
8.2 Viele Dienste standardmäßig nicht ausgeführt.....................................................................237
8.3 Dienste werden mit tiefstmöglichen Rechten und isoliert ausgeführt ..................................237
8.4 Dienste können für den Netzwerkbetrieb eingeschränkt werden..........................................241
8.5 Isolation der Session 0......................................................................................................242
8.6 Rückblick.............................................................................................................................244
9 Hardware und Treiber.......................................................................................... 245
9.1 Neue Gruppenrichtlinieneinstellungen.................................................................................246
9.2 Treibersignaturen.................................................................................................................253
9.3 Rückblick.............................................................................................................................255
10 Benutzerkonten und Kennwörter ....................................................................... 257

10.1 Übersicht zur Benutzerauthentifizierung..............................................................................257
10.1.1 Kennwortspeicherung.............................................................................................258
10.1.2 Übertragung über das Netzwerk.............................................................................259
10.2 Schutz der lokalen Benutzerdatenbank von Windows Vista ................................................264
10.3 Kennwortrichtlinien und Kontosperrung..............................................................................265
10.4 Dienstkonten ........................................................................................................................271
10.5 Ausbildung, Ausbildung, Ausbildung ..................................................................................271
10.6 Rückblick.............................................................................................................................272
Inhalt
VIII
11 Verschiedene Sicherheitseinstellungen ............................................................ 273
11.1 Kernel Patch Protection (PatchGuard) .................................................................................273
11.2 Code-Integrität.....................................................................................................................274
11.3 Address Space Layout Randomization (ASLR)...................................................................275
11.4 Remotedesktopverbindungen...............................................................................................276
11.5 Software Restriction Policies ...............................................................................................279
11.6 Rückblick.............................................................................................................................285
Register............................................................................................................................ 287
1
Einleitung
Sicherheit, Sicherheit, Sicherheit. Überall in der Welt der Informationstechnologie geht es
nur noch um dieses eine Thema. Nur noch? Natürlich nicht, aber Sicherheit ist mittlerweile
zum Top Concern, also zum Thema Nummer eins, vieler Firmen geworden. In einer
vernetzten Welt, in der jeder mit jedem kommunizieren kann, alle erdenklichen Informati-
onen in öffentlichen Netzwerken abgerufen werden können und Firmennetzwerke von je-
dem Punkt dieser Welt aus zugänglich sind, existiert auch eine Reihe von Risiken. Und
diese Risiken sind enorm. Ereignisse wie beispielsweise das Täuschen von Benutzern, der
Zugriff auf fremde Informationen oder das Außerkraftsetzen von Diensten gehören leider
mittlerweile zur Tagesordnung. Unter dem Deckmantel des Internets lässt sich leicht eine
kriminelle Tat begehen, ohne dass es möglich ist, jemals herauszufinden, woher und von

wem ein Angriff ausgeübt worden ist.
Aber damit müssen wir lernen zu leben, und in naher Zukunft wird sich das bestimmt nicht
zum Besseren ändern. Was aber kann dagegen unternommen werden? Wie kann man sich
schützen, um die Angriffsfläche der eigenen Firmeninfrastruktur zu minimieren? Wie kann
ich meine Firma schützen und sicher machen? Die Kurzantwort auf diese Frage lautet: Ihr
Netzwerk wird niemals sicher sein  es lässt sich bestenfalls optimal schützen. Selbst wenn
Sie jedes verfügbare Sicherheitstool dieser Welt installieren, wird das der Fall sein. Wes-
halb das denn nun wieder? Nun, Sicherheit ist komplex, vielschichtig und dynamisch. In
einem Sicherheitskonzept müssen deshalb verschiedenste Bereiche, Komponenten und
Prozesse eingebunden werden, die weit über die Grenzen der Informationstechnologie hin-
ausreichen. Technische Sicherheit in der IT reicht dabei bei Weitem nicht aus. Deshalb
wird das Buch, das Sie in den Händen halten (oder natürlich das PDF, das Sie lesen), auch
nicht alle Bereiche abdecken können. Das soll es aber auch nicht. Es soll sich auf einen
einzigen Bereich fokussieren, und das ist das Client-Betriebssystem Windows Vista.
Sicherheit bei Client-Betriebssystemen
Mit diesem Buch möchte ich Ihnen, liebe Leserinnen und Leser, die neuen Abwehrmecha-
nismen, die Windows Vista bietet, ein bisschen genauer aufzeigen und erklären, wie diese
in einer Firmenumgebung eingesetzt werden können, um die Gesamtsicherheit der IT-
Landschaft entscheidend zu erhöhen. Dabei geht es mir einerseits darum aufzuzeigen, wel-
Einleitung
2
che Mechanismen Windows Vista für den Schutz des Betriebssystems bietet und wie Sie
diese konfigurieren können, andererseits aber auch darum, dass Sie verstehen, was diese
Einstellungen genau bedeuten. Ich bin überzeugt, dass umfangreiches und tiefes Sicher-
heitsdenken und -verständnis nur dann möglich ist, wenn auch die Hintergründe von
Diensten, Konfigurationen oder von was auch immer verständlich sind. Ich zeige Ihnen
daher in diesem Buch auch auf, wie Windows Vista mit Ihren Konfigurationen umgeht und
was hinter den Kulissen alles vor sich geht.
Ein nicht unwesentlicher Baustein einer solchen Sicherheitsarchitektur stellen Clients dar.
Clients sind diejenigen Komponenten, die am häufigsten vertreten sind (in den meisten

Fällen jedenfalls), und sie werden unter anderem genutzt, um mit unbekannten Partnern zu
kommunizieren. Wie bitte? Unbekannte Partner? Viele Clients arbeiten mit Internetres-
sourcen, und dabei handelt es sich um Webserver, Webseiten und Webdienste, die nicht
vertrauenswürdig, meistens komplett unbekannt sind. Dieser Kommunikationspfad vom
internen Netzwerk zur Außenwelt ist nicht vertrauenswürdig und muss ganz besonders ge-
sichert werden, einerseits mit zentralen Komponenten wie beispielsweise einer Firewall-
oder Proxy-Infrastruktur, andererseits aber auch auf dem Endgerät selber, nämlich dem
Client. Es ist auch möglich, dass mobile Clients das firmeninterne Netzwerk verlassen und
sich mit fremden, unbekannten Netzwerken verbinden. Was in diesem Zustand dann genau
passiert, lässt sich nicht detailliert nachvollziehen. Fakt ist aber, dass diese Geräte zu ei-
nem späteren Zeitpunkt wieder am Firmennetzwerk angebunden werden. Da nicht bekannt
ist, was in der Zwischenzeit mit diesen Geräten passiert ist, besteht auch hier ein erhöhtes
Risiko.
Die Liste mit solchen Beispielen lässt sich fast endlos weiterführen. Wichtig ist mir per-
sönlich, dass die gezeigten Beispiele zum Nachdenken anregen. Gibt es solche Szenarien
auch in meiner Firma? Wie arbeiten unsere Anwender mit ihren Clients? Habe ich über-
haupt in irgendeiner Art und Weise die Kontrolle über meine Clients? Sind meine Anwen-
der geschult, und wissen sie, wie sie sich verhalten müssen? Im Ungang mit E-Mail? Im
Umgang mit dem Internet?
Technische Sicherheit ist nicht ausreichend
Wie aber kann Windows Vista hier ansetzen, um die Sicherheit eines Clients und dadurch
des gesamten Netzwerks entscheidend zu verbessern? Bevor wir uns das anschauen, ist
etwas ganz besonders zu erwähnen: Die beste Konfiguration, die höchsten Sicherheitsein-
stellungen und die umfangreichste Überwachung sind unter Umständen wertlos, wenn Be-
nutzer sich falsch verhalten. Einfaches Beispiel gefällig? Ein Benutzer erhält einen Anruf
von einer unbekannten Person, die behauptet, dass sie seit Kurzem in der Helpdeskabtei-
lung arbeitet. So weit nichts Außergewöhnliches. Wenn dieser Anrufer den Benutzer auf-
fordert, ihm sein Kennwort zwecks Verifizierung am Telefon durchzugeben, wird es schon
kritischer. Viele Benutzer werden dem Wunsch des Anrufers vom Helpdesk  der in Wirk-
lichkeit jemand ganz anderes ist und die Absicht hat, an sensitive Firmendaten zu gelangen

 nachkommen und ihm ihr Kennwort bedenkenlos mitteilen. Sie denken, das kann in Ihrer
Firma nicht passieren? Versuchen Sie es! Und Sie werden erstaunt sein über den Erfolg.
Einleitung
3
Aber Moment einmal, ich habe ja eine Firewall, einen Virenscanner, eine Anti-Spy-
Lösung und erst noch ein superkomplexes Administratorenkennwort. Eigentlich kann da
nichts passieren. Wenn eine fremde Person  nennen wir sie einmal Angreifer  mit der
gezeigten Methode an ein Kennwort eines Unternehmens kommt, ist das schon äußerst kri-
tisch. Angriffe sind oft mehrstufig und eine erfolgreiche Authentifizierung an einem frem-
den Netzwerk oft der beste Einstiegspunkt, um den Angriff später auszuweiten. Und das
gezeigte Beispiel ist nur eines von vielen, um Benutzer zum falschen Handeln zu bringen.
Diese Technik wird im Übrigen als Social Engineering bezeichnet und ist heute weit
verbreitet, um Netzwerke bzw. Firmen anzugreifen.
Mit diesem kleinen Beispiel möchte ich lediglich aufzeigen, dass technische Sicherheit
nicht alles ist. Nichtsdestotrotz ist sie sehr wichtig, um den Schutz einer Infrastruktur zu
vervollständigen. Und jetzt kommt (endlich) Windows Vista zum Zug!
Sicherheit mit Windows Vista
Noch vor ein paar Jahren hat sich im Bereich Netzwerksicherheit alles fast ausschließlich
um das Thema Firewall gedreht, andere Themen waren nicht oder nur begrenzt relevant.
Die Zeiten haben sich aber geändert, und das Sicherheitsdenken hat sich bis zu den Endge-
räten ausgeweitet. Schließlich soll Sicherheit ja mehrschichtig sein, um es einem potenziel-
len Angreifer schwieriger zu machen, erfolgreich zu werden. Und genau hier setzt Win-
dows Vista an. Mit neuen Sicherheitsmechanismen, die Clients schützen können, um das
Gesamtsicherheitskonzept eines Unternehmens zu vervollständigen. Dazu hat Microsoft in
den letzten Jahren einiges auf den Kopf gestellt, um mit Windows Vista wirklich das si-
cherste Windows-Betriebssystem aller Zeiten auf den Markt zu bringen. Das hört sich
vielleicht ein bisschen übertrieben an und sehr marketingorientiert, ist aber tatsächlich so.
Windows Vista ist das erste Betriebssystem, das vollständig nach dem neuen Security De-
velopment Lifecycle entwickelt worden ist. Dabei wird die Sicherheit  anders als bei älte-
ren Betriebssystemen und Produkten  von Anfang an in den Entwicklungsprozess integ-

riert. Sicherheit ist demnach nicht einfach ein simples Add-On, sondern fester Bestand-
teil des Produkts. Dazu aber später mehr.
Wer sollte dieses Buch lesen?
Für wen hat dieses Buch einen Nutzen? Wer sollte es lesen und sich mit den Inhalten ver-
traut machen? Nun, dieses Buch ist primär auf Tätigkeitsbereiche von System Engineers,
Administratoren und technischen Projektleitern, die im Firmenumfeld arbeiten, fokussiert.
Es geht primär darum, die neuen Sicherheitsmechanismen von Windows Vista zu durch-
leuchten und Ihnen anhand vieler Beispiele zu erklären, wie einzelne Funktionen imple-
mentiert sind, warum sie in das neue Betriebssystem eingebettet worden sind und natürlich
wie alles richtig konfiguriert wird. Auch Heimanwender werden von den Inhalten dieses
Buches profitieren, allerdings werden diese einige Funktionen, die ausschließlich für den
privaten Bereich relevant sind, also Funktionen wie beispielsweise Windows Mail oder
Windows Kalender, vermissen. Diese Programme werden im Firmenumfeld kaum einge-
setzt und werden daher nicht berücksichtigt. Das Buch ist  so hoffe ich zumindest  gee-