Windows 7

Blog von Microsoft Deutschland

Keine Admin-Rechte = sicherere PCs

Keine Admin-Rechte = sicherere PCs

  • Comments 37
  • Likes

Was schwer nach Binsenweisheit klingt, wurde nun durch eine Analyse belegt: Arbeiten Anwender unter Windows 7 ohne administrative Rechte, bleiben 90 Prozent aller Angriffe auf Windows-Sicherheitslücken wirkungslos. Im Fall von Microsoft Office sind es sogar 100 Prozent.

Laut einem Bericht des IT-Sicherheitsproduktherstellers Beyond Trust kann ein Großteil aller Sicherheitsprobleme in Microsoft-Produkten durch die Wegnahme von Admin-Rechten eingeschränkt werden. Beyond Trust untersuchte alle im Jahr 2009 von Microsoft veröffentlichten Security Bulletins für Windows, Office und dem Internet Explorer. Das Ergebnis fiel deutlich aus: 64 Prozent aller Sicherheitslücken könnten nicht missbraucht werden, wenn der gerade angemeldete Nutzer keine Admin-Befugnisse hat.

Unter Windows 7 werden so 90 Prozent aller als kritisch eingestuften Sicherheitslücken ausgekontert, im Fall von Office und dem Internet Explorer 8 sind es sogar 100 Prozent. Dass Windows 7 insgesamt besser abgesichert ist als beispielsweise Windows XP, geht ebenfalls aus dem Report hervor: Unter Windows XP lassen sich durch den Entzug der Administrator-Privilegien nur 62 Prozent der Angriffe auf Sicherheitslücken verhindern.

Interessant ist auch der hohe Wert von 87 Prozent in Bezug auf Remote Code Execution. Denn diese Königsklasse unter den Attacken – der Angreifer kann hierdurch beliebigen, eigenen Code auf dem PC des Opfers abarbeiten lassen – hätte nur in 13 Prozent aller Fälle Erfolg, würden die Admin-Rechte entzogen. Insgesamt bleiben mehr als vier von fünf (81 Prozent) aller in 2009 als kritisch eingestuften Schwachstellen ohne Wirkung, wenn der Anwender nur mit normalen Nutzerrechten arbeitet.

Auch wenn es nicht um Zero-Day-Exploits geht, gegen die ohnehin kaum ein Kraut gewachsen ist: Diese Zahlen machen deutlich, wie wichtig die korrekte Vergabe von Nutzerrechten ist. Denn in kaum einem Unternehmen werden die am Patch-Tag bereitgestellten Sicherheitsupdates sofort auf den Arbeitsstationen installiert. Nachdem Angreifer aber manchmal binnen Stunden nach Veröffentlichen der Updates durch Reverse-Engineering herausgefunden haben, wie die geschlossene Sicherheitslücke genau beschaffen und somit zu missbrauchen ist, kann nur durch umfassenden Schutz der PCs in der Zwischenzeit Schlimmeres verhindert werden. Andernfalls steigt das Risiko einer Infektion in der Zeit zwischen Veröffentlichung und Installation der Updates erheblich an. Zu den möglichen Schutzmaßnahmen gehört auch die Vergabe passender Rechte für die Anwender.

Quelle: Microsoft Sicherheits-Newsletter

Comments
  • Das hat man schon immer so oft gehört, dass die Admin-Rechte die Sicherheit erhöhen. Microsoft selbst sollte es ja auch wissen.

    Jedoch finde ich es echt schade, dass jedes vorinstallierte Windows Admin-Rechte hat. Viele Anwender wissen ja nicht mal, wie man es umstellt, damit man keine Admin-Rechte hat. Man könnte fast sagen, dass Micorsoft dadurch die Verbreitung von Schadsoftware fördert. Leider.

    Hoffentlich wird es in Windows 8 besser :)

  • Hallo Qwertz,

    das ist schon seit Windows Vista anders geworden. Durch die Benutzerkontensteuerung arbeitet der Anwender standardmäßig nicht mit administrativen Rechten, sondern als Standardanwender, auch wenn er ein administratives Konto einsetzt.

    In der 7. Ausgabe der Microsoft-Analyse zur IT-Sicherheit (SIR) kann man die Auswirkungen dieser Änderung auch sehen: So liegt beim Vergleicht der RTM-Versionen die Infektionsrate von Windows Vista um 85,3 Prozent niedriger als die von Windows XP und bei Vista SP1 um 61,9 Prozent unter der von Windows XP SP3. Je höher die genutzte Service Pack-Version, umso niedriger ist auch die Infektionsrate. Wobei Benutzer, die Service Packs installieren, ihre Computer in der Regel besser warten als Benutzer, die keine Service Packs installieren und zudem oft vorsichtiger sind beim Surfen im Internet, beim Öffnen von Anhängen und bei anderen Aktivitäten, die Computer für Angriffe anfällig machen können. Und beim Surfen im Internet machen browserbasierte Angriffe auf Windows XP-basierte Rechner 56,4 Prozent aller Microsoft-Schwachstellen aus, während es auf Windows Vista-basierten Rechnern nur noch 15,5 Prozent sind.

    Ich denke, das alles belegt sehr gut, dass wir nicht auf Windows 8 warten müsen. Microsoft nimmt Sicherheit sehr ernst und entwickelt seine Produkte konsequent auch im Hinblick auf Sicherheit weiter.

    Viele Grüße,
    Daniel

  • Ich denke auch, dass es mit Vista um einiges besser geworden ist. Leider gab es in der Standardeinstellung unter 7 wieder einen Rückschritt: Der standardmässig eingestellte (zweithöchste) UAC-Level erlaubt es mit ein paar zusätzlichen Handgriffen, Admin-Aktionen per Code-Injection auszuführen, ohne das ein UAC-Prompt erscheint, wie unter http://pretentiousname.com/misc/win7_uac_whitelist2.html demonstriert wird. Stellt man den UAC-Level auf den höchsten (wie bei Vista üblich), laufen diese Attacken dagegen ins Leere, und man arbeitet wirklich sicher und gleichzeitig komfortabel.

    WinXP-Usern kann ich persönlich SuRun (http://kay-bruns.de/wp/software/surun/) empfehlen, das per UAC-ähnlichen Abfragen erlaubt, einzelne Prozesse wie bei Vista und 7 mit erhöhten Rechten zu starten. Auch unter Vista und Windows 7 (da aber erst ab der Beta-Version 1.2.0.9, zu finden im Forum) kann das Programm einen Mehrwert bieten. (Beispielsweise kann man die Systemsteuerung mit Admin-Rechten starten, um mehrere Einstellungen ohne UAC-Prompts vorzunehmen; unter 7 funktioniert das allerdings noch nicht.)

  • P.s.: Ist eigentlich im Beyond Trust-Bericht das Arbeiten als UAC-Administrator gemeint (UAC-Abfragen ohne Passwort), oder das Arbeiten als wirklich eingeschränkter Standardbenutzer (UAC-Abfragen mit Passwort, d.h. so gennante Over-the-shoulder-elevation)?

  • Wo soll da der Unterschied sein? BTW: Was Du oben zitierst, stimmt nicht: Selbst mit der höchsten Einstellung (wie in Vista) ist es keine Sicherheitsbarriere. Genauso wie es in Vista keine war...

  • @Stefan: Es geht nicht ganz klar aus dem Bericht hervor. Aber da von Unternehmensnetzwerken die Rede ist, gehe ich davon aus, dass ein Standardbenutzer-Konto gemeint ist. Wobei das von Dir zititierte "Problem" in meinen Augen differenziert betrachtet werden muss. Deine Schlußfolgerung,  dass man nur wirklich sicher und gleichzeitig komfortabel arbeitet, wenn man den UAC-Level auf den höchsten (wie bei Vista üblich) Wert einstellt, ist so nicht richtig. Der von Dir bezeichnete Angriff läuft dann zwar exakt so nicht mehr, er könnte aber modifiziert werden und andere Wege ausnutzen, um sich mehr Rechte zu verschaffen. Du interpretierst in UAC etwas hinein, was UAC nicht leisten kann.

    Den zweiten Teil mit der Empfehlung für surun kann man auch kritisch betrachten. Wenn schon Malware im Userkontext auf der Box läuft (wo sie eh problemlos jede Menge Schaden anrichten kann), kann diese dann nicht bei SuRun sich mehr Rechte durch eine Race Condition verschaffen? Immerhin bekommt der Account für eine gewisse Zeit administrative Rechte.

    @xyz: Stefan meint vermutlich ein Standardbenutzer vs. Administrator mit Split Token.

  • @dmelanchthon und @xyz: Stimmt, UAC ist tatsächlich keine Sicherheitsbarriere, das hatte ich vergessen. Und natürlich hat dmelanchthon deswegen auch Recht, es gibt (zumindest theoretisch) verschiedene Möglichkeiten, UAC zu umgehen. Trotzdem erscheint mir der höchste UAC-Level um einiges sicherer zu sein als die Standardeinstellung unter Windows 7.

    SuRun habe ich empfohlen, weil es zumindest unter XP das Arbeiten erleichtert. Welche Wege es gibt, das Programm auszutricksen (z.B über Race conditions), kann ich nicht sagen. Die nähere Funktionsweise erläutert der Programmierer unter http://kay-bruns.de/wp/software/surun/surun-interna/ , zudem ist der Quellcode frei verfügbar. Wenn ich es richtig verstehe, wird der Benutzer allerdings zu keinem Zeitpunkt auch nur kurzfristig Administrator (im Gegensatz zu SuDown).  (Ich muss auch sagen, dass ich mich in System-Sicherheitsarchitektur nur rudimentär auskenne.)

    Ich meinte übrigens wirklich "Standardbenutzer" vs. "Administrator mit Split Token". Letzteren habe ich als "UAC-Admin" bezeichnet, ein selbst ausgedachter (und deswegen missverständlicher) Begriff. Übrigens scheint es nochmals etwas sicherer zu sein, als Standardbenutzer mit Over-the-shoulder zu arbeiten als als Split Token-Admin. Am sichersten ist natürlich, als Standardbenutzer ohne OTS zu arbeiten (siehe http://blogs.msdn.com/crispincowan/archive/2008/04/28/uac-desert-topping-or-floor-wax.aspx )

  • @dmelanchton

    Ist vielleicht ein bisschen spät, aber die UAC hilft nicht, dass trotzdem jeder Nutzer standardmässig Admin ist.

    Aber so weit ich weiss, betrachtet Microsoft selbst die UAC auch nicht als ein Sicherheitsfeature bezeichnet. Vergleiche dazu, den Bericht von Joanna Rutkowska, der sich wundert daß Microsoft selbst die neuen Sicherheitsfunktionen in Windows Vista gar nicht mehr als Sicherheitsfunktionen ansieht (Quelle: http://theinvisiblethings.blogspot.com/2007/02/vista-security-model-big-joke.html)

    Deshalb kann die UAC keine Lösung sein. Ich würde es ja begrüssen, dass jeder Anwender in Windows 8 standardmässig kein Admin mehr ist, so wie beispielsweise in Ubuntu.

  • //Edit:

    Empfehlenswert ist auch das hier: http://macmark.de/osx_security.php?PHPSESSID=53652395355356c7e01f10b9a73710b4#windows_architekturfehler

  • Es gibt einen Unterschied zwischen Security Feature und Security Boundary. Du scheinst die beiden in Bezug auf UAC zu verwechseln. Die Lösung, die Ubuntu und MacOS implementiert, ist meiner Meinung nach nicht besser. Ist bei beiden der Standardaccount nicht auch in der Root-Gruppe enthalten? Ich habe gerade keine aktuellen Installationen, um das zu verifizieren aber nach meinem Kenntnisstand sind das nicht einfache Benutzer. Die Nutzung von sudo dazu stellt eine eigene Gruppe von Sicherheitsproblemen dar, die wir bewußt bei Windows nicht implementiert haben.

    Dem Link auf die Seite macmark.de bin ich mal gefolgt. Der Artikel ist tendenziös und enthält fehlerhafte Informationen und Interpretationen. Die Sicherheitsarchitektur von Windows Vista und Windows 7 ist meines Erachtens der von Apple MacOS weit überlegen. Muss sie ja auch, weil Windows wesentlich häufiger angegriffen wird.

    Dazu ein Zitat von Dai Zovi: "Exploit writing on the Mac is fun.  Exploit writing on Windows Vista is hard work."

  • @dmelanchton

    "Es gibt einen Unterschied zwischen Security Feature und Security Boundary. Du scheinst die beiden in Bezug auf UAC zu verwechseln." - Also ist die UAC gar kein Feature? Dann ist es irgendwie in meinen Augen sinnlos; kenn mich aber auch nicht so gut mit dem ganzen Sicherheits-Dingens aus :) PS: Hier noch die meldung in deutsch: http://www.heise.de/security/meldung/Microsoft-relativiert-Vista-Sicherheitsfunktionen-146509.html

    "Der Artikel ist tendenziös und enthält fehlerhafte Informationen und Interpretationen." - Wieso ist er fehlerhaft? Die Aussagen die in diesem Blog geschrieben sind werden immer mit Quellen belegt?

    "Muss sie ja auch, weil Windows wesentlich häufiger angegriffen wird. " - Das ist doch kein Argument, wie die Vergangenheit oft genug gezeigt hat. Auch ist Linux doch erwiesenermassen das sicherere OS, obwohl es weniger angegriffen wird?

    Dazu ein Zitat von Dai Zovi: "Exploit writing on the Mac is fun.  Exploit writing on Windows Vista is hard work." - Das Macs unsicherer bei offline angriffen sind hat sich ja schon oft genug gezeigt ;)

  • Das hier verspricht noch eine lustige Betriebssystemdiskussion, die wie in den anderen Fällen nicht sehr ergiebig sein wird... Mein Standpunkt ist, kurz zusammengefasst, folgender:

    UAC ist kein "security boundary", erlaubt es aber, einfacher als Admin zu arbeiten und ist im Vista-Level trotz allem ziemlich sicher bzw. alles andere als einfach zu umgehen. Oder, wie es Leo Davidson ausdrückt: "UAC in Vista provided a good security layer between admin and non-admin code and user interfaces.

    UAC was not a security boundary in the strict technical sense but it did do a good job of making it very difficult to cross from one side to the other without user consent. That is worth keeping." (http://pretentiousname.com/misc/win7_uac_whitelist2.html)

    Nicht umsonst hat Microsoft Integrity Levels, die UAC-Abfrage über einen sicheren Desktop etc. eingeführt. Meines Erachtens gehören mit dem Split Token-Admin z.B. Viren, die sich im Windows-Verzeichnis ohne weiteres installieren können, der Vergangenheit an. (Sicher, das war unter XP als Standardbenutzer auch nicht anders, aber unter XP hat man eben nicht von vornherein als Standardbenutzer gearbeitet.)

    Der Standard-Level von Windows 7 allerdings erlaubt es ohne weiteres auch bösartigen Programmen, Admin-Aktionen auszuführen, ohne dass eine UAC-Abfrage erscheint. Theoretisch ist das auch im höchsten UAC-Level möglich, aber das scheint derartig schwierig zu sein, dass es bis jetzt in der Praxis nicht oder kaum aufgetaucht ist - und zeigt, dass MS in dieser Hinsicht durchaus gute Arbeit geleistet hat. Trotzdem sollte man für Windows 8 auch hier noch weiter verbessern, z.B. Standardbenutzer wirklich zum Standard machen o.ä., denn "sicher ist sicher" (blöder Kalauer, zugegeben).

    Eine Diskussion zwischen Leo Davidson und Chris Corio, der an der UAC-Entwicklung beteiligt war, findet man in den Kommentaren unter http://www.withinwindows.com/2009/06/10/uac-uac-go-away-come-again-some-other-day/ .

    Persönlich bin ich übrigens im grossen und ganzen zufriedener 7-(Standard)Benutzer und sehe keinen echten Grund, das Betriebssystem zu wechseln - sonst würde ich auch nicht in diesem Blog vorbeischauen. Aber das ist nur meine persönliche Meinung. ;-)

  • @Qwertz: Noch einmal: "Es gibt einen Unterschied zwischen Security Feature und Security Boundary". Wenn mir der Unterschied nicht klar wäre, würde ich keine Diskusionb um UAC anfangen. Du sagst selbst von Dir, dass Du Dich "nicht so gut mit dem ganzen Sicherheits-Dingens aus"kennst. Dementsprechend würde ich an Deiner Stelle erst die Unterschiede nachschlagen, bevor ich mir ein Urteil wie "dann ist es irgendwie in meinen Augen sinnlos" erlaube.

    Just my 0.02 €.

    Zum zweiten Punkt: Der Artikel, den Du zitiert hast, ist fehlerhaft. Du verlangst jetzt von mir, dass ich das mit Quellen belege. Darf ich Dich vorher etwas fragen: Mit welchem Recht wirfst Du mir einfach einen Artikel über den Zaun, den irgendjemand geschrieben hat und verlangst von mir, dass ich die Arbeit leiste, ihn Stück für Stück zu widerlegen? Warum beweist Du nicht erst einmal die Aussagen des Artikels? Es wird soviel Unsinn im Netz geschrieben, dass ich mich 24h am Tag damit beschäftigen könnte, sowas auseinanderzunehmen. Nur ist mir meine Zeit zu schade dafür.

    Aber da Du so nett gefragt hast und ich eh noch nicht schlafen wollte, schauen wir uns ein paar Sachen daraus an. Ich fang mal ganz oben an: http://macmark.de/osx_security.php

    6.0 Einleitung

    "Ich werde darlegen, warum das UNIX-Betriebssystem Mac OS X keine durch ungeeignete System-Architektur bedingten Schwachstellen bietet, die ein Angreifer wirkungsvoll ausnutzen könnte."

    Schau mal bei Secunia vorbei. Ich sehe da 137 Advisories für Mac OS X von 2003-2007 (wobei nicht eins pro Sicherheitslücke veröffentlicht wird, sondern manchmal viele Lücken mit einem Advisory gepatched werden).

    "Eine wirkungsvolle Schwachstelle ist eine, mit deren Hilfe ein Fremder ohne Zutun der Benutzer den Rechner in Standardkonfiguration per Netzwerk übernehmen könnte."

    72% der Advisories betreffen remote ausnutzbare Schwachstellen, 19% sofortigen Systemzugriff, 13% Rechteerhöhung, 13% Security bypass, etc. Schon hier könnte man aufhören zu argumentieren, weil die Grundannahme des Autors falsch und widerlegt ist.

    6.0.1.1 Scheinargument Marktanteil widerlegt

    "Wenn der Verbreitungsgrad eine Rolle spielen würde, dann müßte der Apache Webserver deutlich mehr Sicherheitsprobleme haben als der Microsoft Internet Information Server, denn während zwei von drei Internet-Seiten auf dem Apache Webserver liefen und nur jede fünfte Internetseite auf dem Microsoft Internet Information Server, hatte der Apache Webserver deutlich weniger unter Sicherheitsproblemen aller Art zu leiden als der Microsoft Internet Information Server. Damit ist das Scheinargument 'Marktanteil' widerlegt."

    Schau Dir dazu mal Apache vs IIS Myths an. Der IIS6 ist ab Version 6 deutlich weniger anfällig als der Apache. Vergleiche einmal IIS6 mit Apache 2.0.x und IIS7 mit Apache 2.2.x. Auch diese Aussage ist also falsch.

    6.0.2.2 Geboren für Mehrbenutzer-Betrieb und Netzwerk

    "Andere Betriebssysteme, zu denen das marktbeherrschende gehört, wurden ursprünglich für Einzelplatznutzung ohne Netzwerk ausgelegt. Dort fehlte daher im Grundkonzept alles, was mit Sicherheit in Bezug auf Netzwerkbetrieb und mehrere gleichzeitige Benutzer zu tun hat."

    Diese Aussage kann man nur auf die Windows 9x-Schiene beziehen und nicht auf Windows ab NT aufwärts. Man sollte schon Mac OS X auch mit Windows ab NT vergleichen und nicht mit Windows 9x. Mit der Argumentation könnte man sonst auch sagen: Apples Betriebssystem wurde ursprünglich für die Nutzung durch nur ein einziges Programm ohne Netzwerk ausgelegt. So war das mit Mac OS am Anfang.

    6.0.2.3 Datei-Trennung

    "Generell sind UNIX-Betriebssysteme aufgrund ihrer typischen Beschränkung der Benutzerberechtigungen nicht so leicht von Viren zu befallen. Hier sind sowohl Prozesse als auch Dateien unterschiedlicher Nutzer sauber und sicher voneinander getrennt. So kann ein Virus, der unter einem normalen Benutzer oder Administrator läuft, nicht in andere Benutzer- oder System-Verzeichnisse schreiben."

    Das gilt bei Viren im Benutzerkontext nicht nur für Mac OS X, sondern auch für Windows. Wobei Rechteerhöhung, wie oben gesehen, ja bei Mac OS X auch recht einfach zu bewerkstelligen ist. Damit stimmt die Aussage dann nicht mehr. Und der letzte Halbsatz ist nicht wirklich ernst gemeint, oder? Was mit administrativen Rechten läuft, kann sehr wohl auf Benutzer- und Systemverzeichnisse schreiben. Es kann sich nämlich die Rechte nehmen. Mal ehrlich: Wie soll man jemanden ernst nehmen, der so einen "Unsinn" schreibt?

    "Dateisysteme von UNIX-Betriebssystemen verwenden schon seit ewigen Zeiten mindestens Zugriffsrechte auf Dateiebene."

    Das gilt nicht nur für Mac OS X, sondern auch für Windows. Falls hier wieder Windows 9x gemeint ist - Mac OS kannte auch keine Zugriffsrechte früher.

    "Unter Mac OS X ist ein Administrator nicht gleichmächtig mit dem System. Auf Systemverzeichnisse beispielsweise hat nur das System (root) Schreibrechte."

    Das gilt nicht nur für Mac OS X, sondern auch für Windows ("Trusted Installer", "System", etc. sind bekannt?)

    "Administratoren sind in der Gruppe admin und nicht in der System-Gruppe wheel, in der nur root Mitglied ist."

    Apples eigene Dokumentation sagt: "Administratoren in Mac OS X sind Mitglieder der Gruppen "admin" und "wheel", während der Superuser mit der Bezeichnung "root" ein Mitglied der Gruppen "admin" und "staff" ist." Also ist die Aussage falsch (oder Apples Dokumentation - ich habe gerade keinen Mac hier, um nachzusehen - "wheel" gab es wohl nur vor Mac OS X 10.2).  

    BTW: Die dort folgende Anleitung ist nett:

    Gehen Sie wie folgt vor, um den Papierkorb für den angemeldeten Benutzer zu löschen: 1. Öffnen Sie das Programm "Terminal". 2. Geben Sie "sudo rm -rf" ein.

    Wieviele Nutzer drücken jetzt Enter, bevor sie weiterlesen und laufen in ein Desaster?

    "Dafür muß man unter OS X so gut wie nie als root arbeiten und sich vor allem nie als root anmelden, wozu man jedoch auf anderen Unices und Windows (da heißt es anders) dann doch (gelegentlich) gezwungen ist."

    Lies mal Mac OS X : Password Does Not Work As Expected After a Change. Dort findest Du eine Tabelle, warum in Mac OS X ein Root-Account erzeugt wird und für welche Fälle man ihn braucht, weil diese *nicht* mit dem normalen Admin-Account gehen. Das "nie als root anmelden" ist damit auch widerlegt.

    Weiterhin muss man für einfachste Konfigurationsaufgaben manchmal auch tief in das System von der Kommandozeile eingreifen. Hast Du mal versucht, festzulegen, dass immer der 64-bit Kernel in Mac OS X geladen werden soll?

    Das geht so:

    "It’s ridiculous that Apple did not provide a system preference panel for this... Edit the file /Library/Preferences/SystemConfiguration/com.apple.Boot.plist (and) Insert arch=x86_64 into the Kernel Flags field." Oder: "Open a Terminal window and enter this command: sudo nvram boot-args='arch=x86_64'"

    Und nur mal am Rand: Der Administrator-Account (gleichbedeutend mit Root) ist ab Windows Vista deaktiviert. Mit dem soll man sich nicht nur nicht, sondern kann sich standardmäßig auch nicht anmelden.

    "Kein normaler Benutzer und kein Administrator hat Zugriff auf die privaten Verzeichnisse der anderen Benutzer. So etwas ist unter Mac OS X und jedem anderem UNIX nur dem System (root) möglich."

    Unter Windows sind die privaten Verzeichnisse auch geschützt. Die Besitzübernahme ist bei Mac OS X aber nicht nur dem Root-User möglich, sondern allen Admin-Accounts: Mac OS X 10.2: How to Change Ownership & Permissions Using the Finder.

    "Eine Datei-Trennung unter Windows gab es anfangs überhaupt nicht und mit Vista immer noch nicht sauber, wodurch es Schadprogrammen erleichtet wird, sich zu verbreiten und Schaden zu verursachen."

    Hmm. Bei Mac OS gab es keine Datei-Trennung. Das kam meines Wissens erst mit HFS Plus. Das ist also eine Behauptung, die schlichtweg falsch ist.

    "Bei den Betriebssystemen von Microsoft war FAT seit 1976/77 über 20 Jahre (und wohl auch heute noch) das am meisten eingesetzte Dateisystem."

    NTFS gibt es jetzt wie lange schon? Und kann man Vista oder Windows 7 auf FAT installieren? (Die Antwort ist natürlich nein).

    "Ein Sicherheitsmodell, wie es von UNIX-Dateisystemen bekannt ist, bieten die Dateisysteme unter Windows nicht."

    Wie bitte? Das ist doch wohl ein Scherz.

    "Beim NTFS gibt es allerdings ebenfalls keine dem UNIX-Modell entsprechenden Datei-Besitzer oder Zugriffssteuerung"

    Falsch. Natürlich gibt es Besitzer und Berechtigungen.

    "aber mit Hilfe von ACLs konnte das trotzdem umgesetzt werden."

    Ach ja. Windows kennt ACLs. Und das schon ganz lange. Mac OS X erst seit seit Tiger (10.4), wobei das Apple Mac OS X Server version 10.4+ File Services Administration Manual "traditional Unix permissions if possible" empfiehlt.

    Das simple rwx-Modell gilt übrigens einem modernen ACL-System als unterlegen! Beispiel gefällig? Lies mal A deeper look at drop box permissions issues.

    "Die ACL-Umsetzung, die mit Windows NT eingeführt wurde, war allerdings unsicher: Um abwärtskompatibel zu bleiben, erlaubt das Betriebssystem, diese zu ignorieren."

    Was bitte schön wird damit gemeint?

    "In einigen Fällen jedoch hat der 'TrustedInstaller' mehr Rechte. Das kann aber ein Administrator ohne Probleme ändern, indem er den Besitz der Datei übernimmt und die Zugriffsrechte anpaßt und falls nötig auf 'ok' und 'fortfahren' klickt."

    Wie die Besitzübernahme unter Mac OS X geht, habe ich oben schon zitiert. Was daran unter Vista nun schlecht sein soll, ist mir ein Rätsel.

    "Wenn man unter Vista einen Benutzer anlegt, dann gibt es kein Eingabefeld für die Festlegung eines Paßwortes. Jeder Benutzer, auch die allmächtigen Vista-Administratoren, sind erst einmal ohne Paßwort."

    Hier hat jemand nicht verstanden, dass Konten ohne Kennwort sich nur lokal anmelden können. Dadurch sind sie sicherer als Konten mit einem schwachen Kennwort, die nämlich über das Netzwerk angreifbar sind. Natürlich kann man beim Anlegen von Benutzern ein Passwort angeben.

    6.0.2.4 Prozeß-Trennung

    "Beim zur Zeit marktbeherrschenden Betriebssystem ist das genau andersherum: Dort läuft jeder Prozess mit maximalen Berechtigungen (ein Windows-Administrator ist gleichmächtig wie System) und geringere Rechte sind die Ausnahme (und nicht die Regel)."

    Das ist schlicht falsch. Schau einfach mal selbst z.B. mit dem Process Explorer nach.

    "Und man macht sich nicht die Mühe, ein Programm in mehrere kleine Programme aufzuteilen, um sicherheitsrelevante Aktionen nur in einem kleinen Spezialprogramm zu verwenden. Daher läuft das gesamte Programm und, was es nochmals verschlimmert, alle von ihm verwendeten Programmbibliotheken, als hochprivilegierte Prozesse, wenn auch nur ein kleiner Anteil hohe Rechte benötigt."

    Das ist auch falsch. Einfaches Gegenbeispiel ist der Taskmanager, der sowohl im Benutzer-, als auch im administrativen Kontext laufen kann.

    "Was bei UNIX undenkbar ist, ist bei Windows Normalität: Alles arbeitet als Windows-Administrator, der einem UNIX-Root entspricht."

    Das ist ebenso falsch. Schau Dir einfach mal den Protected Mode im IE an. Oder die Berechtigungen der einzelnen Systemdienste, die unterschiedlichste Berechtigungsstufen haben können.

    "Ein Administrator von Mac OS X hingegen ist nicht Root. Und ein Administrator muß, wenn er systemrelevante Dinge tun will, sich nochmals authentifizieren mit Paßwort."

    Tja, diese Methode ist anfällig gegen Passwortsniffing. Eine Malware muss im Userkontext nur den Dialog grafisch nachmachen und einblenden. Gibt der Anwender dann das Passwort ein, hat sie das Kennwort und der Malware gehört das System.

    "Unter dem bei den Autoren von Schadprogrammen als Ziel sehr beliebtem anderen Betriebssystem hingegen hat solch ein Programm unter einem Benutzer alle nur denkbaren Möglichkeiten; es ist ein Paradies für Schadprogramme."

    Das ist schlicht falsch. Ein Malware-Programm, das im Benutzerkontext gestartet wird, hat keine administrativen Rechte.

    Und so weiter und so fort. Kannst Du jetzt verstehen, warum es müßig ist, dieses Dokument zu widerlegen? Es wäre vermutlich effektiver, wenn ich beschreibe, was an den Aussagen stimmt ;-)

    @Stefan:

    "Der Standard-Level von Windows 7 allerdings erlaubt es ohne weiteres auch bösartigen Programmen, Admin-Aktionen auszuführen, ohne dass eine UAC-Abfrage erscheint. Theoretisch ist das auch im höchsten UAC-Level möglich, aber das scheint derartig schwierig zu sein, dass es bis jetzt in der Praxis nicht oder kaum aufgetaucht ist - und zeigt, dass MS in dieser Hinsicht durchaus gute Arbeit geleistet hat."

    Deine Schlußfolgerung ist falsch. Das geht nicht nur theoretisch und ist gar nicht so schwer. Malware hat sich bisher nur nicht die Mühe gemacht, als Non-Admin zu laufen, weil es bisher nicht notwendig war. Es gibt genug Boxen, wo der Benutzer Gott sein will, weil er sich sonst bevormundet fühlt ;-) Nicht weil es zu schwer wäre. Malware entwickelt sich aber weiter. So könnte Malware z.B. über eine Shell Extension sich im Userkontext einnisten und wird dann ausgeführt, wenn ein anderes Programm höhere Rechte per Elevation bekommt. Das würde z.B. auch SuRun aushebeln. Schau Dir dazu mal den Vortrag Windows Security Boundaries von Mark an. Er ist sehr lehrreich. Mark ist ein fantastischer Redner und erklärt die Thematik sehr genau.

    Damit wünsche ich allen Lesern eine Gute Nacht!
    Daniel

  • @dmelanchton

    Wow! Ich hätte jetzt echt nicht gedacht, dass Du einen so ausführlichen Widerleg bringst. Mir hätten eigentlich nur 2-3 Beispiele geriecht, die dort nicht stimmen, aber dass es so ausführlich von dir wird *thumbs up*

    "Es wird soviel Unsinn im Netz geschrieben.." - Das weiss ich auch, nur erschien mir der Artikel seriös und WOT meinte er sei "Vertrauenswürdig". Aber du hast das Gegenteil ja sehr ausführlich jetzt bewiesen ;)

    Vielen Dank, das Du dir die Zeit genommen hast!

  • @dmelanchthon: Den Vortrag von Mark werde ich mir bei Gelegenheit gerne ansehen. :-) Seinen Process Explorer benutze ich ja auch, es ist irgendwie faszinierend, den Prozessen beim Arbeiten zuzusehen. ;-)

    Wie gesagt, ich beschwere mich ja nicht in erster Linie, dass UAC kein Security boundary ist, sondern eher, dass der Standardlevel in Windows 7 noch "lascher" (?) ist als unter Vista. Ich kann es akzeptieren, wenn UAC irgendwie kreativ umgangen wird (das machen Hacker ja nun mal gerne ;-) ), aber mein Eindruck ist, dass man es den Hackern dann eher schwieriger und nicht noch einfacher machen sollte.

    Ansonsten Danke für Deine ausführlichen Antworten. :-) Und wie gesagt, Windows 7 benutze ich gerne. (Als Standardbenutzer ;-) )

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment