Neue Details zu den eingeschränkten Rechten des Internet Explorer 7

Nachdem Microsoft bereits letzte Woche bestätigte, dass der Internet Explorer 7 unter Longhorn mit eingeschränkten Rechten laufen und das Arbeiten ohne Admin-Rechte durch eine neue Rechteverwaltung in Longhorn einfacher wird, wurden nun weitere Details bekannt. Bislang blieb vor allem unklar, wie genau die Einschränkungen aussehen. Bekannt war nur, dass sie sich wohl irgendwie von jenen unterscheiden werden, die bislang schon existieren, wenn ein Anwender mit den eingeschränkten Rechten eines "Benutzer"-Kontos arbeitet.

Mittlerweile lüftet sich der Nebel etwas. Wie John Bedworth, Development Manager for Internet Explorer Security bei Microsoft erläuterte, geht es vor allem um jene Rechte, die auch ein eingeschränkter Nutzer noch hat. So hat er in der Standardkonfiguration immer noch Vollzugriff auf den ihm zugeordneten User-Zweig in der Registry sowie auf seinen Unterordner unter "Dokumente und Einstellungen". Der IE 7 hingegen soll selbst diese Rechte nicht mehr haben.

Der Ansatz erscheint gut, denn in der Tat haben Schädlinge in der Standard-Konfiguration auch bei eingeschränkten Nutzer-Accounts noch Chancen, sich in das System einzunisten. Grund dafür sind unter anderem der Autostart-Ordner im User-Verzeichnis unter Dokumente und Einstellungen, auf die der User Vollzugriff hat, sowie einige Run-Schlüssel in der Registry, für die das Gleiche gilt. Daher empfiehlt c't schon seit längerem, nicht nur ohne Admin-Rechte zu arbeiten, sondern zusätzlich alle dann noch verfügbaren Autostarts zu verrammeln. Per Knopfdruck erledigt das das Progrämmchen Kafu.exe (Keine Autostarts Für User), das c't in Ausgabe 15/04 vorstellte (Selbstschutz, Das Sicherheitskonzept von Windows 2000 und XP).

Sind alle Autostarts verboten, hat ein Schädling (sofern er nicht über eine Sicherheitslücke Admin-Rechte erlangt) kaum noch eine Chance, sich in das System einzunisten -- selbst wenn ein eingeschränkter Benutzer ein Schädlingsprogramm startet, reicht ein simpler Neustart, um den Schädling in einen inaktiven und ungefährlichen Datenhaufen zu verwandeln, der sich mit einem Virenscanner leicht beseitigen lässt.

Wie Microsoft den Entzug der Rechte umsetzen will, ist noch nicht bekannt. Denkbar wäre, dass der IE nicht im Sicherheitskontext des Anwenders läuft, sondern über Mechanismen wie Runas mit den Rechten eines deutlich weniger privilegierten Kontos startet, unabhängig davon, ob der Anwender als Admin oder eingeschränkter Nutzer arbeitet. Das wäre eine Abkehr vom Prinzip, dass jedes Programm grundsätzlich mit jenen Rechten läuft, über die auch der Anwender verfügt, der es startete.

Sollte die Vermutung korrekt sein, würde das auch erklären, warum der IE 7 nur unter Longhorn mit den drastisch eingeschränkten Rechten laufen soll, nicht aber unter Windows XP -- dort fehlt schlicht das passend konfigurierte Konto. Unter XP wird der IE 7 also wie gewohnt im Sicherheitskontext des Anwenders laufen. Andererseits sollte es kein Problem darstellen, es nachzurüsten -- insofern bleibt weiterhin unklar, warum Microsoft bislang diese zusätzliche Sicherheit unter XP nicht bereitstellen will. Möglich ist daher auch, dass sich hinter dem diffusen Schlagwort "User Account Protection" noch andere Mechanismen zum Erleichtern des Arbeitens ohne Admin-Rechte verbergen als die bislang bekannten.

Das Sicherheitskonzept von Windows erläuterte c't in Ausgabe 15/04 (Selbstschutz, Das Sicherheitskonzept von Windows 2000 und XP), den praktischen Einsatz zeigen zwei weitere Artikel in Ausgabe 15/04 (Es geht auch ohne, Arbeiten ohne Admin-Rechte unter Windows) sowie in Ausgabe 18/04 (Undercover, Programme unter Windows 2000 oder XP in anderem Sicherheitskontext starten). (axv)