Teil 8: Benutzerkonten und andere neue Features

Die Benutzerkontensteuerung wird von weiteren Sicherheitsfunktionen flankiert, die in Kombination zum Beispiel die Grundlage für den besonderen Geschützten Modus im Internet Explorer 7 bilden. Dazu gehört das Mandatory Integrity Control (MIC), das auch die Allmacht von Administratoren beschneidet. Die Idee dahinter sind vier Vertrauensstufen: Low, Medium, High und System.

Bei der Anmeldung erhält jeder Anwender die Stufe Medium. Werden über die Benutzerkontensteuerung erhöhte Rechte angefordert, dann klettert die Stufe auf High.

Hinter diesen Stufen stecken in Wirklichkeit SIDs, also Sicherheits-IDs, und die können Dateien, Ordnern, Registry-Einträgen, aber auch Pipes, Prozessen oder Window Stations zugewiesen werden. Anders als bei den bisherigen Berechtigungen, die es natürlich weiterhin gibt, speichert Vista diese SIDs nicht in der DACL (Discretionary Access Control List, Zugriffskontrollliste), sondern der SACL (System Access Control List, Liste von Überwachungseinstellungen), die bislang nur für Auditing- Aufgaben (Überwachung) genutzt wurde.

Bemerkenswert: Die Vertrauensstufe hatVorrang vor den klassischen Berechtigungen, und bevor Vista die Berechtigungen der DACL überhaupt auswertet, überprüft es zuerst, ob überhaupt die nötige Vertrauensstufe vorliegt. Ist einer Ressource keine besondere Vertrauensstufe zugewiesen, dann erhält sie die Stufe Medium, und das hat wichtige Konsequenzen. Weil grundsätzlich Inhaber einer bestimmten Vertrauensstufe nicht auf höhere Vertrauensstufen zugreifen können, schützt das Modell nämlich sehr einfach und zuverlässig vor verschiedenen Formen der ungewollten Privilegienerhöhung.

Der Internet Explorer 7 wird von Vista zum Beispiel in der ungewöhnlich niedrigen Vertrauensstufe Low ausgeführt, jedenfalls dann, wenn der Geschützte Modus aktiv ist. Selbstwenn eine bösartige Webseite nun eine Sicherheitslücke ausnutzen und den Browser "übernehmen" würde, könnte der wegen der Vertrauensstufen nur auf Ressourcen gleicher oder niedrigerer Stufe zugreifen.

Die einzigen Orte, die auch die niedrige Stufe Low aufweisen, sind Ordner für temporäre Internetdateien. Weil alle nicht besonders gekennzeichneten Ressourcen automatisch die Stufe Medium erhalten, kann ein außer Kontrolle geratener Internet Explorer sich nur langweilen, aber kaum etwas anrichten.

Dieser Schutz ist auf Wunsch durchlässig, was ein mögliches Sicherheitsrisiko darstellt. Aber nur so kann der Internet Explorer weiterhin ein integraler Bestandteil des Betriebssystems bleiben. Öffnen Sie beispielsweise einen Link, der auf ein Excel-Dokument verweist, dann öffnet Vista nicht einfach Excel, weil diese Anwendung eine höhere Vertrauensstufe besitzt. Stattdessen erscheint wieder eine Rückfrage, und nur wenn Sie zustimmen, wird der Link in Excel geöffnet. Das heruntergeladene Dokument befindet sich nun in einer höheren Vertrauensstufe, nämlich der Stufe, die Excel besitzt.

MIC kann künftig selbst allmächtige Administratoren einschränken. Weil Sie selbst nach Anforderung der erhöhten Rechte maximal die Vertrauensstufe High erreichen können, bleiben Ressourcen der Stufe System tabu. Die können nur vom Dienst System verwendet werden, also von Vista selbst. In früheren Betaversionen hatte Microsoft diese Vertrauensstufe dazu eingesetzt, Vista-Dateien vor Veränderungen zu schützen. Von diesem Prinzip ist man seit Build 5472 aber wieder abgerückt und markiert die Vista-Eingeweide inzwischen wieder mit der Stufe Medium.

Wichtig bleibt MIC aber dennoch, und zwar wegen einesweiteren Kürzels: User Interface Privilege Escalation (UIPI). Damitwird verhindert, dass Prozesse niedrigerer Vertrauensstufe auf Prozesse höherer Vertrauensstufe zugreifen können, und erst dasmacht die Benutzerkontensteuerung wirklich rund.

Wie Sie gesehen haben, können sich auf dem Vista-Bildschirm Programmfenster mit unterschiedlichen Vertrauensstufen tummeln: der Internet Explorer 7 mit der Stufe Low, normale Programme mit Stufe Medium, Programme mit erhöhten Rechten in der Stufe High und womöglich vom System gestartete Prozesse mit der Stufe System.

Eine Malware, die den Internet Explorer durch eine Sicherheitslücke gestartet haben könnte, würde zwar nur mit der Stufe Low ausgeführt, könnte aber über so genannte Shatter- Angriffe versuchen, mit manipulierten Window- Messages oder Hooks sich in einen anderen Prozess mit mehr Rechten einzuklinken. Gelänge diese "feindliche Übernahme", wäre der Virus plötzlich mit den Rechten seines Opfers ausgestattet.

Was früher bei entsprechenden Sicherheitslücken funktionierte, ist nun von vornherein ausgeschlossen. Ein Prozess der Stufe Low könnte höchstens andere Prozesse der Stufe Low angreifen.