Microsoft: Das Patch-Erlebnis verbessern

Microsoft hat angekündigt, im kommenden Jahr weitreichende Verbesserungen in puncto Sicherheit durchzuführen. Dazu gehören bessere und kleinere Patches, detaillierte Anleitungen für Administratoren und die Einführung neuer Sicherheitstechniken. In dem neu veröffentlichten Dokument Enhancing Customer Security fasst Microsoft seine künftigen Sicherheitsbemühungen in drei Punkten zusammen.

Als erstes verspricht man in Redmond kleinere und effizientere Patches. Das Einspielen von Sicherheitspatches (was man bei Microsoft selbst treffenderweise the patching experience -- das Patch-Erlebnis -- nennt) soll ab 2004 stark verbessert werden: Bis Ende nächsten Jahres sollen alle Patches über die gleichen Installationsroutinen eingespielt werden. Das ebnet den Weg für die Gewährleistung, alle eingespielten Patches auch wieder deinstallieren zu können ("rollback"), was bislang nicht mit allen Patches möglich war.

Zudem will Microsoft die Patches kleiner machen; durch so genanntes Delta-Patching sollen künftig nur noch die wirklich nötigen Code-Teile geändert werden, statt komplett neue Versionen der Dateien einzuspielen. Über Hot Patching will der Konzern außerdem erreichen, dass Updates eingespielt werden, ohne das System neustarten zu müssen. Schließlich wollen die Redmonder auch ihre Sicherheitstools verbessern; Momentan gibt es auf einigen Systemen widersprüchliche Ergebnisse mit dem Microsoft Baseline Security Analyzer und Windows-Update. Ab Mitte 2004 sollen alle Analyse-Programme konsistente Resultate ausgeben.

Ein weiterer Punkt adressiert Microsofts Informationspolitik zur Sicherheit. Laut dem Konzern haben sich viele Kunden beschwert, dass zwar detaillierte technische Informationen zu den Patches vorliegen, diese aber zu komplex und unverständlich seien. Lieber wünsche man sich Schritt-für-Schritt-Anleitungen zum Einspielen der Sicherheitsupdates. Damit solche Informationen besser auffindbar sind, stellt Microsoft bereits jetzt mit Authoritative Security Guidance for the Enterprise eine Webseite zur Verfügung, die Administratoren 17 solcher Schritt-für-Schritt-Anleitungen zur Verfügung stellt. Weitere sollen ab März 2004 folgen.

Zusäzlich geht es um prinzipielle Verbesserungen in Microsofts Sicherheitstechnologie. Bereits im Oktober hatte Microsoft sicherheitsrelevante Änderungen für das Service Pack 2 (SP2) für Windows XP angekündigt, jetzt gibt man noch einmal Details bekannt. Unter anderem will man eine verbesserte Version der Internet-Verbindungsfirewall integrieren, die auch in der Defaultkonfiguration aktiviert ist. Der RPC-Dienst soll nur noch mit eingeschränkten Rechten laufen und keine unautorisierten Verbindungen mehr entgegennehmen.

Vielversprechend klingen die neuen Schutzmaßnahmen vor Buffer Overflows, die auch dann greifen würden, wenn keine spezifischen Patches installiert sind: Zukünftig sollen Windows-Komponenten mit dem "GS-Flag" kompiliert werden, welches seit MS Visual C++ 2003 zur Verfügung steht. Das ist vom Prinzip her das gleiche wie IBMs Stack Smashing Protector; durch Einfügen von Zufallswerten (Cookies) in den Stack sollen Stapelüberläufe wesentlich schwieriger auszunutzen sein. Auch die Sicherheitsmaßnahmen in Browser, Mail-Client und Messenger sollen verbessert werden, indem beispielsweise Attachments nur noch mit sehr eingeschränkten Rechten ausführbar seien und der Browser potenziell gefährliche Inhalte blockiere.

Zu guter letzt betont Microsoft aber auch, dass für ein sicheres Internet noch mehr gefordert ist. So gehe man beispielsweise nach wie vor scharf gegen Computer-Kriminelle vor; in diesem Zusammenhang stünden auch zwei Festnahmen von Amerikanern, die in Verbindung zu dem Blaster-Wurm stehen. Internet-Angriffe sind keine harmlosen Streiche, sondern Verbrechen, die kritische Systeme von Einzelpersonen und Unternehmen zerstören können, betont der Software-Konzern. (pab)