Vergitterte Fenster, Teil 1
Microsoft will mit Service Pack 2 Windows XP widerstandsfähiger gegen Angriffe von Viren, Würmern und Hackern machen. Welche Änderungen und neuen Sicherheitstechniken dahinter stecken, beleuchtet dieser Überblick.
- Daniel Bachfeld
Netzwerkschutz, Speicherschutz, sichere E-Mail-Verarbeitung, sichereres Web-Browsing und verbesserte Pflege des Systems sollen helfen, die Gefahr aus dem Netz zu entschärfen. Das Dokument "Changes to Functionality in Microsoft Windows XP Service Pack 2" beschreibt detailliert, welche Änderungen Service Pack 2 mit sich bringt, welchen Einfluss dies auf vorhandene Applikationen hat und wie Entwickler oder Anwender bei Problemen Abhilfe schaffen können [1]. Anhand der Beta-Version des Service Packs 2 haben wir uns einen ersten Eindruck von der Umsetzung dieser Versprechungen verschafft.
Paradigmen..
Mit dem Service Pack 2 verschiebt Microsoft tatsächlich den Fokus vom Komfort hin zu mehr Sicherheit. Waren die alten Sicherheitseinstellungen wenig restriktiv und ließen eigentlich alles zu, sind die zukünftigen Standardeinstellungen derart streng, dass einige Programme ihren Dienst versagen können. Insbesondere die Voreinstellungen der eingebauten Windows Firewall und überhaupt zur Erreichbarkeit von Diensten können hier zu Umstellungsschwierigkeiten führen.
Die Änderungen und Neuerungen an der Netzwerksicherheit machen den Löwenanteil im Service Pack 2 aus. Unter anderem deaktiviert Microsoft den Windows Nachrichtendienst, um Privatanwender beim Surfen im Internet vor lästigen Nachrichtenfenstern mit dubiosen Meldungen zu schützen. Auch der Warndienst zur Benachrichtigung über Systemereignisse und Alarmen funktioniert auf die gleiche Weise und wird deshalb ebenfalls abgeschaltet. Allerdings ist dies nicht für alle Szenarien sinnvoll, etwa in Unternehmensnetzen, die den Nachrichten- und Warndienst immer noch zur Kommunikation einsetzen. Dort müssen die Dienste explizit wieder unter /Verwaltung/Dienste aktiviert werden.
..Wechsel
Der Windows Firewall - ehemals Internet Connection Firewall (ICF)- bürdet Microsoft zukünftig wesentlich mehr Aufgaben auf [3]. Standardmäßig wird sie von nun an für alle Netzwerkschnittstellen aktiviert -- bisher ist sie das nur für DFÜ-Adapter. Zudem schließt sie ein kleines Zeitfenster zwischen dem Aktivieren des Netzwerkstacks und dem Hochfahren der Firewall. Ein Angreifer könnte während des Boot-Vorganges versuchen, in das noch ungeschützte System einzudringen. Die dafür eingeführte statische Boot-Time-Policy lässt während des Starts jedoch nur einfache Netzwerkkommunikation wie DHCP und DNS zu. Sind alle Dienste geladen, aktiviert die Firewall die konfigurierbare Run-Time-Policy.
Die Änderung der Firewall-Konfiguration wirkt sich zukünftig nicht mehr nur für ein einzelnes Interface aus. Ändert der Anwender eine Einstellung oder Regel, so gilt diese für alle vorhanden Schnittstellen, ebenso wie für nächträglich zum System hinzugefügte. Allerdings besteht immer noch die Möglichkeit Regeln beispielsweise nur für eine Netzwerkkarte zu setzen.
