Bundesamt für Sicherheit in der Informationstechnik

M 4.338 Einsatz von File und Registry Virtualization bei Clients ab Windows Vista

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Windows-Altanwendungen, kurz Altanwendungen (legacy applications), bezeichnet Anwendungen, die ursprünglich für ältere Windows-Versionen entwickelt wurden, nun aber auch unter einer aktuellen Windows-Version, wie Windows Vista, Windows 7 und Windows 8, betrieben werden sollen. Häufig zeichnen sich Altanwendungen, die für Standardbenutzer entwickelt worden sind, durch eine bestimmte Sicherheitsschwäche aus: Altanwendungen erfordern Schreibrechte in kritische Datei-Ordner oder Registry-Schlüssel. Zu kritischen Datei-Ordnern gehören beispielsweise die Ordner %ProgramFiles% (in einer Standardinstallation C:\Programme) oder %SystemRoot% (in einer Standardinstallation). Ein kritischer Registry-Bereich ist HKLM\Software. Schreiboperationen in diese kritischen Bereiche erfordern administrative Privilegien. In der Folge muss sich der Standardbenutzer mit einem Administratorkonto anmelden, um eine Altanwendung des beschriebenen Typs nutzen zu können. Dies gefährdet die Integrität des Windows-Systems durch mögliche Schadprogramme, die mit den Privilegien des angemeldeten Kontos, hier einem Administratorkonto, laufen.

Windows-Versionen ab Windows Vista nutzen für den sicheren Einsatz von Altanwendungen die Techniken File Virtualization und Registry Virtualization. Die damit verbundenen Mechanismen erlauben den Betrieb der Altanwendung unter dem Konto eines Standardbenutzers, das heißt ohne administrative Privilegien. Dadurch wird die beschriebene Gefährdung der Integrität des eigentlichen, nicht "virtualisierten" Windows-Systems unterbunden. Bei File Virtualization und Registry Virtualization leiten Windows-Versionen ab Windows Vista alle Schreibzugriffe und im Bedarfsfall auch Lesezugriffe einer Anwendung um, die als Ziel kritische Verzeichnis- oder Registry-Bereiche haben, zu denen die Anwendung nicht berechtigt ist. Diese Umleitung erfolgt in spezielle Bereiche, die nur für den angemeldeten Benutzer gelten. Für Operationen in Verzeichnisse erfolgt der umgeleitete Zugriff auf den Bereich %UserProfile%\AppData\Local\VirtualStore, für Operationen in Registry-Bereiche erfolgt die Umleitung nach HKEY_CURRENT_USER\Software\Classes\VirtualStore. Die Schädigung der Integrität dieser Bereiche gefährdet nicht die Integrität des eigentlichen Windows-Systems, die Integrität des für den betreffenden Benutzer sichtbaren, "virtualisierten" Systems bleibt jedoch ungeschützt.

Grundsätzlich sollten Altanwendungen für Standardbenutzer, die vor Windows Vista nur mit administrativen Privilegien liefen, nicht eingesetzt werden. Möglicherweise ist der Betrieb einer solchen Altanwendung aber für die Erledigung einer Aufgabenstellung in einem Fachverfahren oder einem Geschäftsprozess unerlässlich. In solchen Einzelfällen kann der Betrieb der Altanwendung nach einer Abwägung der Sicherheitsrisiken ab Windows Vista erwogen werden.

In den Windows-Client-Versionen ab Windows Vista beinhaltet das Kommandozeilenwerkzeug reg .exe eine Erweiterung um den Befehl FLAGS. Mit diesem kann ein Administrator für Registry-Schlüssel unterhalb von \HKLM\Software steuern, ob eine Registry Virtualization unterstützt werden soll oder nicht.

Es sollte kritisch geprüft werden, ob der Betrieb von Altanwendungen des beschriebenen Typs notwendig ist. Es empfiehlt sich, die Menge der Registry-Schlüssel, die eine Registry Virtualization unterstützen sollen, im Hinblick auf die Erfordernisse der Altanwendungen zu minimieren.

Langfristig muss in Betracht gezogen werden, die Altanwendungen des beschriebenen Gefährdungstyps durch sichere Anwendungen zu ersetzen. Sichere Anwendungen erfordern als Anwendung für Standardbenutzer keine Schreiboperationen in kritische Verzeichnis- und/oder Registry-Bereiche. Der Umstieg auf sichere Anwendungen empfiehlt sich auch deshalb, weil Microsoft selbst die Techniken der File Virtualization und Registry Virtualization nur als Übergangslösungen für bisher unsichere Altanwendungen betrachtet. Eine Einschränkung der File und Registry Virtualization ist, dass sie keine 64-Bit-Anwendungen unterstützt und auch nicht bei der Ausführung einer Anwendung mit Administrationsrechten funktioniert.

Prüffragen:

  • Ist die Notwendigkeit des Betriebs von Altanwendungen unter einer Windows-Client-Version ab Windows Vista einer kritischen Prüfung unterzogen worden?

  • Ist die Registry Virtualization auf die notwendigen Schlüssel beschränkt?

  • Gibt es eine Strategie zum Umstieg auf sichere Anwendungen als Alternative zu Altanwendungen unter Windows-Client-Versionen ab Windows Vista?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK