1594043

Secure Boot: Schutz ab der ersten Sekunde

11.10.2012 | 09:35 Uhr | Christian Löbering

Trotz der sich stets verbessernden Virenerkennungs-Software hat Windows eine strukturbedingte Schwäche – den Boot-Prozess. Bei normalen Windows-PCs wird nach dem Einschalten der interne Speicher gecheckt, danach übergibt das BIOS die Kontrolle über den Boot-Prozess dem Boot-Manager. Dieser lädt dann das Ladeprogramm für Windows, die Treiber sowie den Windows-Kernel. Anschließend startet Windows, zeigt den Anmeldebildschirm und gibt den Desktop frei. Das Problem hierbei ist, dass Schädlinge (Bootkits oder Rootkits), die sich im Boot-Prozess einklinken, bevor Windows und somit auch die Antiviren-Software läuft, sich vor der Schutz-Software verbergen und so lange unerkannt Schaden anrichten können.

Windows 8 sichert den Boot-Prozess dreifach ab. Erstens: Der BIOS-Nachfolger UEFI („Unified Extensible Firmware Interface“) wird in allen aktuellen PCs und Notebooks verbaut und besitzt eine Funktion zum Überprüfen der digitalen Signaturen aller Prozesse, die während des Boot-Vorgangs gestartet werden. Ist eine Signatur unbekannt, wird der Prozess nicht ausgeführt. Zweitens „Early-launch Anti-Malware“ (ELAM): Dabei handelt es sich um Antiviren-Programme, die besonders früh (bevor Treiber geladen werden) im Boot-Vorgang laufen. Drittens: Rechner, die über einen TPM-Chip verfügen („Trusted Platform Module“), sind in der Lage, über „Measured Boot“ den Startvorgang mitzuschneiden. Dieser Mitschnitt hilft der Antiviren-Software, Schädlinge aufzuspüren, die ihr sonst nicht aufgefallen wären.

Eine Alternative dazu ist für ältere Windows-Versionen nicht verfügbar.

10 coole Metro-Apps für Windows 8

App Container: Schutzschild für Apps
Bereits mit Windows Vista hat Microsoft die sogenannten „Integrity Level“ eingeführt. Dabei handelt es sich um ein dreistufiges Berechtigungssystem auf Datei- und Ordner-ebene, das regelt, welche Datei worauf Lese- und Schreibzugriff hat. Ziel war es, den Schaden, den infizierte Software (beispielsweise Browser) im System anrichten kann, zu minimieren. Das Problem dabei war allerdings, dass aufgrund der groben Abgrenzung in nur drei Stufen meist sogar Programme mit niedrigem Integritäts-Level Zugriff auf das gesamte System erhalten mussten.

App-Entwickler können für ihre Apps bestimmte Systemfunktionen auswählen.
Vergrößern App-Entwickler können für ihre Apps bestimmte Systemfunktionen auswählen.

Mit Windows 8 wurde dieser wichtige Schutzmechanismus runderneuert und in „App Container“ umgetauft. Hierbei lassen sich die Berechtigungsstufen für Apps vom Entwickler wesentlich genauer festlegen. Grundsätzlich laufen alle Windows-8-Apps in jeweils einem App Container. Das bedeutet, sie können weder mit anderen Apps, noch mit Ihren Dateien oder dem System interagieren. Der Entwickler der App kann jedoch Systemfunktionen festlegen, die seine App nutzen muss. So braucht eine News-App etwa Zugriff auf das Internet, aber nicht auf Ihre Webcam, und eine Bildbearbeitungs-App braucht Zugriff auf Ihre Bildbibliothek, aber nicht auf Ihre Dokumentenbibliothek.

Alternative für XP, Vista, 7: Einige Programme wie etwa Google Chrome nutzen bereits unter Windows 7 eine sogenannte Sandbox. Diese verhindert, dass das Programm unerlaubt auf das System zugreift. Mit einem Zusatz-Tool wie etwa dem englischsprachigen Bufferzone Security Pro rüsten Sie so eine Sandbox für alle Programme Ihrer Wahl nach. Nachdem Sie das Programm installiert und gestartet haben, läuft es im Hintergrund. Browser werden dann automatisch in die geschützte Bufferzone verschoben und von dort gestartet. Um andere Programme ebenfalls im geschützten Bereich zu nutzen, klicken Sie mit der rechten Maustaste auf die Programmdatei und wählen „Open inside Bufferzone“. Um die Applikation dauerhaft aus dem Sandkasten heraus zu starten, wählen Sie stattdessen „Move into Bufferzone“.

App Locker: Programme sperren

Über Applocker haben Sie die Möglichkeit, einzelnen Mitbenutzern des Systems den Zugriff auf bestimmte Programme zu verbieten.
Vergrößern Über Applocker haben Sie die Möglichkeit, einzelnen Mitbenutzern des Systems den Zugriff auf bestimmte Programme zu verbieten.

Mit Windows 8 (und Windows 7 Ultimate) können Sie als Administrator Ihres Systems einigen Mitbenutzern beispielsweise die Ausführung ausgewählter Programme verbieten. Die entsprechende Funktion finden Sie, wenn Sie in der Suche gpedit.msc eingeben und dann mit Enter den Editor für Gruppenrichtlinien öffnen. Dort klicken Sie auf „Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Anwendungssteuerrichtlinien, AppLocker“. Nun können Sie mit einem Rechtsklick auf „Ausführbare Regeln“ eine neue Sperre hinzufügen.

Alternative für XP, Vista und 7: Mit dem englischsprachigen Programm Kurupira erreichen Sie Ähnliches. Nachdem Sie das Programm installiert und gestartet haben, klicken Sie auf „Settings“ und vergeben ein Passwort. Dieses dient dazu, dass Ihre Mitbenutzer das Programm weder de-installieren noch die Einstellungen ändern können. Dann klicken Sie auf „Applications, Blocked applications“, tragen in das obere Feld den Fenstertitel des Programms ein, das nicht mehr gestartet werden soll, und klicken auf „Add to Database“. Übrigens: Als Alternative zu Kurupira gibt es auch Easy File Locker , mit dem sich sowohl der Zugriff als auch die Sichtbarkeit von Dateien kontrollieren lässt.

PC-WELT Marktplatz

Was ist Windows 8?

Das neue Microsoft-Betriebssystem ist der Nachfolger von Windows 7 und erschien am 26. Oktober 2012. Windows 8 baut auf seinen sehr erfolgreichen Vorgänger auf und enthält den neuen Kachel-Startbildschirm, der sich an der Oberfläche mit rechteckigen Kästen orientiert, die Microsoft mit Windows Phone 7 eingeführt und später auch bei der Xbox 360 integriert hat. Der zunächst eingeführte Begriff der "Metro-Oberfläche" wurde kurz vor dem Start aus rechtlichen Gründen zurückgezogen. Inzwischen spricht Microsoft von "Windows-Live-Tiles".

1594043