Bundesamt für Sicherheit in der Informationstechnik

M 4.341 Integritätsschutz ab Windows Vista

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Mit Windows Vista hat Microsoft verschiedene Sicherheitsmechanismen zum Schutz der Integrität kritischer Systemressourcen und zum Schutz der Integrität von Benutzerdaten neu eingeführt. Zu diesen Sicherheitsmechanismen zählen der Windows Integrity Mechanism (WIM), Integritätsebenen (Integrity Level - IL), der Geschützte Modus des Internet Explorers, die Windows Ressource Protection (WRP), der Trusted Installer und die Windows-Ressourcenprüfung (sfc.exe). Welche Sicherheitsmechanismen zum Integritätsschutz eingesetzt werden sollen, ist in Abhängigkeit von den Schutzanforderungen festzulegen.

Windows Integrity Mechanism (WIM) und Integritätsebenen

WIM dient in Verbindung mit der Benutzerkontensteuerung ( UAC ) dem Schutz der Systemintegrität und dem Schutz der Benutzerdaten gegen unbemerkte Integritätsverletzungen durch Schadsoftware. WIM basiert technisch auf so genannten Integritätsebenen (Integrity Level, IL), die bestimmten Betriebssystemobjekten, so genannten Securable Objects, zugeordnet sind. Beispiele für Securable Objects sind Benutzerkonten, Gruppenkonten, Dateien, Ordner, Prozesse und Registry-Schlüssel.

Es gibt folgende Integritätsebenen für Betriebssystemobjekte (hier in absteigender Bedeutung für die Integrität des Gesamtsystems geordnet):

  • System
  • High
  • Medium
  • Low
  • Untrusted

Für die Interaktion zwischen Betriebssystemobjekten auf unterschiedlichen Integritätsstufen können drei Regeln festgelegt werden:

  • No write up (nw)

    Ein Betriebssystemobjekt kann andere Objekte auf einer höheren Integritätsebene nicht modifizieren, auch dann nicht, wenn es zum Beispiel nach Access Control Lists ( ACL ) erlaubt wäre.
  • No read up (nr)

    Ein Betriebssystemobjekt kann auf Daten anderer Objekte auf einer höheren Integritätsebene nicht lesend zugreifen (zum Beispiel auf ein Passwort, das von einem Prozess im Speicher gehalten wird).
  • No execute up (nx)

    Ein Betriebssystemobjekt (zum Beispiel ein Prozess) kann keinen neuen Prozess auf einer höheren Integritätsebene starten.

Standardmäßig ist nur die nw-Regel aktiviert, die nr-Regel und die nx-Regel sind deaktiviert.

Die höchste Integritätsebene für Prozesse, die von einem Standardbenutzer gestartet werden, und für Objekte, die von einem Standardbenutzer erstellt werden, ist Medium. Für Administratoren gilt für entsprechende Aktionen High als höchstmögliche Integritätsebene. Systemdiensten schließlich ist die Integritätsebene System zugeordnet. Ist einem Objekt nicht explizit eine Integritätsebene zugeordnet, dann gilt als Standardebene Medium. Integritätsebenen vererben sich analog den Einträgen einer ACL .

Durch nw-, nr- oder nx-Regeln festgelegte Beschränkungen für die Interaktion zwischen Betriebssystemobjekten werden unabhängig von der ACL der beteiligten Objekte vom Betriebssystem durchgesetzt. So arbeitet beispielsweise ein Administrator bei aktivierter Benutzerkontensteuerung und noch nicht erfolgter Rechteerhöhung als Standardbenutzer auf der Integritätsebene Medium. Gemäß der nw-Regel kann daher der Administrator selbst dann nicht auf Objekte auf der Integritätsebene High schreibend zugreifen, wenn ihm gemäß ACL als Eigentümer Vollzugriff auf das Objekt zusteht. Für den schreibenden Zugriff auf ein Objekt auf der Integritätsebene High benötigt der Administrator (als hier handelndes Betriebssystemobjekt) die Integritätsebene High. Diese Ebene wird dem Administrator erst nach einer Rechteerhöhung durch die Benutzerkontensteuerung zugewiesen. In der Standardkonfiguration erfordert diese Rechteerhöhung die explizite Zustimmung des Administrators. Schreibende Zugriffe des Administrators auf Systemprozesse sind jedoch auch dann noch nicht möglich, da diese auf einer noch höheren Integritätsebene als High laufen, nämlich auf der Ebene System.

Geschützter Modus und Internet Explorer

Unter dem Geschützten Modus (Protected Mode) versteht Microsoft im Wesentlichen die Zuweisung der Integritätsebene Low anstelle von Medium an Prozesse. Der Internet Explorer (IE) ab Version 7 (IE7) läuft ab Windows Vista / Server 2008 standardmäßig im Geschützten Modus, das heißt auf der Integritätsebene Low. Ältere Versionen des Internet Explorers (vor IE7) oder der IE7 unter Windows-Versionen vor Windows Vista / Server 2008 (z. B. unter Windows XP) unterstützen den Geschützten Modus nicht.

Für den Geschützten Modus des IE muss die Benutzerkontensteuerung aktiviert sein, wie es in der Standardkonfiguration ab Windows Vista / Server 2008 der Fall ist. Bei einer Deaktivierung der Benutzerkontensteuerung verliert der IE unmittelbar (und ohne Warnmeldung durch das Betriebssystem) seinen Geschützten Modus.

Vom IE herunter geladene Daten, wie ausführbarer Programmcode, können nur in Verzeichnisse auf der Integritätsebene Low geschrieben werden, da für den IE die Integritätsebene Low gilt. Diese Daten befinden sich dann selbst auf der Ebene Low. Aufgrund der nw-Regel kann der herunter geladene Programmcode nicht unbemerkt schreibend auf Daten des Benutzers (in der Regel auf der Integritätsebene Medium) oder des Betriebssystems (auf der Ebene High oder System) zugreifen. Der Geschütze Modus erschwert somit das unbemerkte Herunterladen und Ausführen von Programmcode durch den IE.

Der IE unterstützt aber bei Bedarf auch das Herunterladen und Speichern von Daten auf die Integritätsebene Medium. Dies ist beispielsweise dann erforderlich, wenn es sich um eine Anwendung handelt, mit der der Benutzer anschließend seine Daten (auf der Ebene Medium) bearbeiten möchte. Hierfür läuft parallel zum Prozess des Internet Explorers ein so genannter User Broker Prozess (IEUser. exe ). Die Nutzung dieses Prozesses um Daten mit der Integritätsebene Medium zu speichern, kann nur nach der expliziten Zustimmung des Benutzers erfolgen. Um zu verhindern, dass unabsichtlich Schadsoftware auf dem IT -System eingeschleppt wird, sind die Benutzer im Umgang mit dem Geschützten Modus zu schulen.

Es gibt Erweiterungen des Internet Explorers (auch Extensions oder Add-ons genannt), die nicht kompatibel zum Geschützten Modus sind, da sie herunter geladene Daten in Bereiche des Dateisystems oder der Registry auf der Integritätsebene Medium schreiben müssen. Der IE nutzt eine Virtualisierung des Dateisystems und der Registry, um diese Erweiterungen zu unterstützen. Virtualisierung bedeutet in diesem Zusammenhang, dass der IE die Schreibzugriffe dieser Erweiterungen in Kopien der benötigten Bereiche umleitet. Diese duplizierten (beziehungsweise virtualisierten) Bereiche liegen auf der Integritätsebene Low. So wird die Integrität der nicht virtualisierten Benutzerdaten nicht gefährdet. Die gleiche Technik setzt Windows ab Vista / Server 2008 zur geschützten Ausführung unsicherer Alt-Applikationen ein (siehe M 4.338 Einsatz von File und Registry Virtualization bei Clients ab Windows Vista ).

Im IE kann der Geschützte Modus gesondert für jede der vier Sicherheitszonen von einem Standardbenutzer aktiviert oder deaktiviert werden. Zu beachten ist, dass in der Standardkonfiguration der Geschützte Modus für die Sicherheitszone Vertrauenswürdige Sites deaktiviert ist. Nur für die anderen drei Sicherheitszonen Internet, Lokales Intranet und Eingeschränkte Sites ist der Geschützte Modus aktiviert.

Für die drei Sicherheitszonen Internet, Lokales Intranet und Eingeschränkte Sites sollte ein Standardbenutzer den Geschützten Modus nicht deaktivieren können. Hierzu muss für jede der drei Sicherheitszonen für das Gruppenrichtlinienobjekt Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer | Internetsystemsteuerung | Sicherheitsseite | Sperrung für <Name der Zone> die Richtlinie Geschützten Modus aktivieren aktiviert werden.

Wenn eine nachweislich vertrauenswürdige Web-Seite inkompatibel mit dem Geschützten Modus ist, dann sollte sie der Sicherheitszone Vertrauenswürdige Sites zugewiesen werden. Für diese Sicherheitszone sollte der Geschützte Modus deaktiviert bleiben. Das damit verbundene erhöhte Risiko des unbemerkten Herunterladens und Ausführens von Programmcode durch den IE ist gegen die Anforderungen zur Verfügbarkeit der betreffenden Web-Seite abzuwägen.

Mit dem Internet Explorer 11 hat Microsoft den Enhanced Protected Mode eingeführt, der in den Schutzfunktionen deutlich weiter geht. Nähere Informationen hierzu finden sich in den Hilfsmitteln zum Baustein Client unter Windows 8.

Windows Resource Protection und Trusted Installer

Neben WIM, Integritätsebenen und Geschütztem Modus ist die Windows Ressource Protection (WRP) ein weiterer Sicherheitsmechanismus ab Windows Vista / Server 2008 zum Integritätsschutz kritischer Systemressourcen. WRP ist die neue Bezeichnung für den in früheren Windows-Versionen als Windows File Protection ( WFP ) bezeichneten Sicherheitsmechanismus.

Zu den kritischen Systemressourcen zählen dabei bestimmte Registry-Schlüssel, Verzeichnisse und Dateien. Die Dateien sind alle Dateien des Typs .dll, . exe , .ocx, und .sys sowie ausgewählte kritische Dateien (insgesamt ca. 90) einer Windows-Installation.

Trusted Installer ist eine zentrale Komponente der WRP Trusted Installer bezeichnet einen Systemdienst zur ordnungsgemäßen Modifikation der kritischen Systemressourcen und eine Benutzergruppe, deren Mitglieder die Eigentümer der kritischen Systemressourcen sind.

Die vollen Zugriffsrechte auf die kritischen Systemressourcen sind auf den Eigentümer des Trusted Installers beschränkt. Die Konten System und Administrator haben auf kritische Systemressourcen nur eingeschränkte Zugriffsrechte, insbesondere keine Schreibrechte. Dadurch werden versehentliche Integritätsverletzungen kritischer Systemressourcen, beispielsweise durch einen Administrator, unterbunden. Allerdings kann sich ein Administrator als Eigentümer einsetzen und selbst volle Zugriffsrechte zuweisen. Vorsätzliche Integritätsverletzungen werden also nur erschwert und nicht grundsätzlich verhindert.

Modifikationen an kritischen Systemressourcen, wie das Einspielen von Service Packs oder Hotfixes, sollten ausschließlich über WRP und den Trusted Installer (in Form des Systemdiensts TrustedInstaller) erfolgen.

Für die manuelle Überprüfung der Integrität von kritischen Systemdateien steht dem Administrator als Kommandozeilenwerkzeug die Windows-Ressourcenprüfung sfc.exe zur Verfügung. Damit lassen sich im Fall festgestellter Integritätsverletzungen die betroffenen Dateien manuell gegen die unversehrten Versionen austauschen.

App-Container Mechanismus und AppLocker ab Windows 8

Mit Windows 8 gibt es eine neue Kategorie von Programmen, die sogenannten Windows- App s (auch Modern UI App s). Ein Windows- App kann ohne Administrator-Rechte installiert werden. Um die Sicherheit der Systemintegrität zu gewährleisten, läuft jede Windows- App innerhalb einer Sandbox (AppContainer) mit eingeschränktem Zugriff auf die Betriebssystem-Ressourcen. Jede Windows- App muss anzeigen, welche Verwendungsberechtigungen (Capabilities) sie benötigt. Verwendungsberechtigungen, welche die Privatsphäre des Benutzers beinträchtigen können, müssen beim ersten Start der Windows- App bestätigt werden (z. B. Zugriff auf Mikrofon, Kamera, Ortung).

Mittels AppLocker ist es zudem möglich, die Installation bestimmter Windows- App s grundsätzlich zu verbieten. Wird AppLocker mit Regeln eingesetzt, die auf einem Dateihash oder einer Signatur basieren, besteht hierdurch auch ein Schutz vor Veränderungen der installierten App s. Nähere Informationen hierzu finden sich in M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker .

Prüffragen:

  • Wurde definiert, welche Sicherheitsmechanismen für den Integritätsschutz ab Windows Vista/Server 2008 umgesetzt werden sollen?

  • Ist sichergestellt, dass Standardbenutzer den Geschützten Modus für die drei Sicherheitszonen Internet, Lokales Intranet und Eingeschränkte Sites nicht deaktivieren können?

  • Wurden die Benutzer für den Umgang mit dem Geschützten Modus geschult, so dass sie nicht ohne hinreichende Prüfung herunter geladene Dateien bzw. Programme autorisieren?

  • Wird der Geschützte Modus für die gewünschten Zonen in den Internetsicherheitseinstellungen erzwungen?

Stand: 15. EL Stand 2016