Microsoft hat bereits in den letzten Jahren viel für eine höhere Sicherheit in Windows getan. Von der Qualitätsprüfung von Updates, über neue Sicherheitstechniken im Internet Explorer, bis hin zum kostenlosen Antispyware-Programm Windows Defender. In Windows 8 hat Microsoft nun viele Schutzfunktionen verbessert und einige neue hinzugefügt. Viele davon scheinen gute Arbeit zu leisten, in anderen sind bereits Sicherheitslücken entdeckt worden.
1. Endlich kommt der sichere Windows-Start (mit 10 Jahren Verspätung)
Jedes Betriebssystem hat eine besondere Schwäche. Es ist sein Startvorgang. Denn hier können sich Tarnkappenviren (Rootkits und Bootkits) einschleusen, bevor sich die Schutzmechanismen des Systems aktivieren konnten.
Die gute Nachricht: Windows 8 will das ändern und sichert den den Startvorgang durch drei teils verbesserte und teils neue Techniken ab. Sicher heißt hier: Schon beim Startvorgang überprüft Windows, dass es sich noch in dem Zustand befindet, in dem es einmal eingerichtet und für vertrauenswürdig gehalten wurde. Oder kurz gesagt: Windows kann prüfen, ob es manipuliert wurde. Die drei Techniken heißen Secure Boot, ELAM und Measured Boot.
Die noch bessere Nachricht: Das Prinzip entspricht dem sicheren Boot-Vorgang, wie ihn Microsoft schon vor 10 Jahren unter dem Namen Palladium einführen wollte. Doch während Microsoft damals für seinen Versuch als Big Brother beschimpft wurde und kein Privatanwender Palladium haben wollte, kommen heute Secure Boot, ELAM und Measured Boot eher unverdächtig daher.
Zur Erinnerung: Palladium sagte man nach, dass ein damit geschützter PC beim Startvorgang einen Microsoft-Server kontaktieren müsse. Da man damals ohnehin der Meinung war, Windows würde zu häufig nach Hause telefonieren, hielt man auch von Palladium nichts Gutes: Es würde nur dazu dienen, noch mehr Informationen über den Privatanwender zu sammeln. Es würde kopiergeschützte Musik sichern und geklaute Software, Filme und MP3 sperren. Microsoft hatte Palladium dann erst mal beerdigt und eine veränderte Boot-Sicherung für Business-PCs angeboten.
Secure Boot: Gesicherter Startvorgang für Geräte mit UEFI
Foto: Microsoft
Secure Boot sorgt dafür, dass die ersten Software-Komponenten sicher, also ohne Manipulation, geladen werden. Es sind der Windows-Boot-Loader und der Windows Kernel. Voraussetzung für Secure Boot ist eine Hauptplatine, die statt des alten BIOS ein neues UEFI (Unified Extensible Firmware Interface) und einen TPM-Chip (Trusted Platform Module) hat. UEFI steuert (wie bisher das BIOS) die ersten Prozesse nach dem Einschalten des PCs und lädt den den Windows-Boot-Loader. Der TPM-Chip hat diverse Prüfsummen in Form eindeutiger Hash-Werte gespeichert. Mit dabei sind die Werte der UEFI-Firmware selbst, des Windows- Boot-Loader, des Windows-Kernels sowie der ELAM-Treiber (Early Launch Anti Malware). Somit ist das Grundgerüst von Windows schon mal geladen plus einem Rootkit-Scanner, der im Folgenden das Laden von Treibern überwacht.
Bewertung: Secure Boot ist eine sinnvolle Schutzfunktion. Wer sich selber einen PC mit Windows 8 zusammenstellt, sollte bei der Anschaffung der Hauptplatine auf ein Window-8-Ready-Logo achten. Denn dann sollten auch UEFI und TPM-Chip mit an Bord sein.
ELAM: Der Virenscan beim Startvorgang
Beim ELAM-Treiber (Early Launch Anti Malware) handelt es sich um einen Virenscanner, der nach Rootkits sucht. Das Besondere an ihm: Es ist der erste Treiber, der nach dem Windows-Kernel geladen wird. So kann er alle weiteren Treiber überprüfen. Idealerweise wird der ELAN-Teiber auch über das UEFI und den TPM-Chip überwacht. Doch funktioniert der ELAM-Treiber auch auf PCs mit einem BIOS-Modul. Standardmäßig liefert Microsoft einen ELAM-Treiber mit. Dieser kann von zertifizierten Antiviren-Herstellern ausgetauscht werden. Wer sich also einen Virenscanner von Norton, Kaspersky, G-Data & Co. installiert, der lädt künftig einen ELAM-Treiber dieser Hersteller.
Der ELAM-Treiber kann eigentlich nicht viel. Er besitzt eine Liste mit Hash-Werten von bekannten Rootkits oder Bootkits und vergleicht sie mit den Hash-Werten der zu ladenden Treiber. Stimmen die Werte in einem Fall überein, blockiert er den Start dieses Treiber.
Bewertung: Der ELAM-Treiber ist ein Schritt in die richtige Richtung. Doch kann er neue, also dem Antivirenhersteller bisher unbekannte Viren nicht entdecken. Seine rein Signatur- bzw. Hash-Werte-basierte Arbeitsweise macht das unmöglich. Zudem ist die Größe seiner Hash-Wert-Datenbank mit 128 KB eng bemessen. Auch das Zeitlimit von 50 ms bis zu einer Entscheidung könnte ein Schlupfloch für Rootkits sein. Kurz: ELAM kann bekannte Rootkits stoppen, könnte aber noch verbessert werden.
Measured Boot: Die Kontrolle der Kontrolle
Foto: Microsoft
Die oben beschriebene Technik Secure Boot prüft mithilfe des TPM-Chips, ob die zuerst geladenen Software-Teile auch die sind, die sie sein sollen. Dafür sind auf dem TPM-Chip Hash-Werte hinterlegt. Die zuletzt ausgeführte Technik „Measured Boot“ soll nun sicherstellen, dass diese Werte nicht manipuliert wurden. Dazu liest Measured Boot die Werte aus dem Chip aus und protokolliert auch alle Software-Komponenten, die vor einer auf Windows installierten Antiviren-Software geladen werden. So entsteht ein Boot-Protokoll. Dieses übergibt Measured Boot an die Antiviren-Software (vorausgesetzt sie unterstützt diese Funktion) und lässt sie prüfen, ob das Protokoll wie erwartet ausfällt. Den Referenzwert kann die Software verschlüsselt auf dem PC selber gespeichert haben, oder etwa auf einen Firmenserver, wo er vor Manipulationen eines Virus gut geschützt ist.
Measured Boot gibt es auch für PCs ohne UEFI und TPM-Chip. Eine solche Kombination könnte vielleicht für Firmen sinnvoll sein, die auch auf Geräten mit BIOS-Chips den Boot-Vorgang absichern möchten. Verbreitet wird das aber wohl nicht zum Einsatz kommen.
Bewertung: Measured Boot als Kontrollfunktion des Boot-Vorgangs scheint eine vernünftige Funktion zu sein. Allerdings sieht sie vor, dass das Protokoll des PC-Starts mit Daten auf externen Server abgeglichen wird. Datenschützer könnte das an Palladium (oben) erinnern. Doch das größere Manko könnten Sicherheitslücken sein, die Dan Griffin, Präsident der Sicherheitsfirma JW Secure, auf der Defcon 20 und Toorcamp dieses Jahr vorgeführt hat (ab Minute 33):
7. Neuer Passwortschutz für Windows–Benutzerkonten
Sie können sich über Gesten auf Fotos ausgeführt in Windows anmelden. Dafür suchen Sie sich zunächst ein Foto aus Ihrer Sammlung aus und zeichnen dann drei Gesten darauf: Das können Kreise, Linien oder Tippbewegungen sein. Wo Sie auf dem Foto diese Gesten ausführen, liegt ganz bei Ihnen. Sinnvoll ist diese Funktion nur für Geräte mit Touch-Bildschirm. Dass man ganze drei Gesten ausführen muss, wird aber sicher einige Nutzer abschrecken. Sollte man die nötigen Gesten vergessen haben, dann kann man sich auch per Passwort anmelden.
Außerdem: Wer sich mit seiner Windows-ID (z.B. seiner Hotmail-, Live- oder Outlook.com-E-Mail-Adresse ) in Windows anmeldet, kann das Windows-Passwort auf www.live.com zurücksetzen. Das ist etwa dann sinnvoll, wenn man es für seinen PC vergessen hat, sich auf Live.com noch über ein anderes Gerät, etwa das Smartphone anmelden kann.
Bewertung:Jede Funktion, die das leidige Thema Passwort-Management verbessert, ist begrüßenswert. Ob das Gesten-Passwort viele Freunde finden wird, ist noch unklar.
8. Virenschutz: Der Windows-Defender ist erwachsen geworden
In Windows 8 hat Microsoft sein kostenloses Antiviren-Programm Security Essentials im Windows Defender integriert. Noch in Windows 7 hatte sich der Defender fast ausschließlich um Spyware gekümmert. In Version 8 ist der neue Defender zusammen mit Windows Firewall und den Filtern in Internet Explorer zu einem kompletten Sicherheitspaket angewachsen.
Bewertung: Die ersten Vergleichstests von Antiviren-Programmen und Windows 8 haben zwar gezeigt, dass kostenpflichtige Internet-Sicherheitspakete eine (teils) deutlich bessere Virenerkennungsrate haben, doch als Basisschutz gegen Viren ist der Windows Defender alle Mal nutzbar.
9. Verschlüsselung: Bitlocker nur für Windows Pro
Das Verschlüsselungs-Tool Bitlocker gibt es (wie schon bei Windows 7) nur für die Windows-Versionen Pro. Zwar können sich Nutzer der anderen Versionen für die Verschlüsselung von Datenpartitionen mit der Alternative Truecrypt helfen, doch die Systempartition lässt sich am elegantesten eben doch nur mit Bitlocker verschlüsseln. Idealerweise hat man dafür auch einen TPM-Chip auf der Hauptplatine. Wer zwar die Pro-Version von Windows 8 hat, aber keinen TPM-Chip auf dem Board, dem verrät der Blogger Casten Knobloch wie er die Laufwerksverschlüsselung auch ohne TPM-Chip aktivieren kann .
Übrigens: Windows RT für ARM-basierte Tablets soll standardmäßig mit einer Geräteverschlüsselung kommmen. Diese soll sich allerdings von Bitlocker grundsätzlich entscheiden. Weitere Details fehlen bisher.
Gut: Freunde von Cloud-Lösungen können den Schlüssel für eine Bitlocker-Partition nun auch im Live-Account speichern. Dieser Schlüssel wird dann nötig, wenn man etwa das Windows-Konto gelöscht hat, mit dem man Daten verschlüsselt hatte.
10. File History speichert mehrere Versionen einer Datei
Die neue Funktion File History löst die Schattenkopien von Windows 7 ab. Sie erscheint als „Dateiversionsverlauf“ in der Systemsteuerung. Sie aktivieren die Sicherung, indem Sie zunächst einen externen Datenträger bestimmen („Laufwerk auswählen“). Das Systemlaufwerk oder eine Partition auf dem Systemlaufwerk lässt sich nicht wählen. Ein abschließender Klick auf „Einschalten“ startet das Backup.
Bewertung: Jede Backup-Funktion, die der Anwender auch wirklich nutzt, ist gut. Schlecht an der File History ist allerdings, dass sie standardmäßig nur Dateien aus den Windows-Bibliotheken („Bilder“, „Dokumente“ etc.) sichert. (PC-Welt)