Windows-Sicherheit verbessern:
User mit Administrator-Rechten torpedieren Windows-Sicherheit

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
04.02.2009

Regelmäßig werden Sicherheitslücken bei Windows bekannt. Rund 92 Prozent der als kritisch eingestuften Fehler würden ohne ernste Folgen bleiben, wenn der User an seinem Rechner nicht als Administrator angemeldet wäre.

Sicherheitsfachleute und Systemverwalter warnen immer wieder davor, »Otto Normal-Nutzer« auf einem Windows-Rechner als Administrator arbeiten zu lassen. In den meisten Fällen reicht es aus, dem User die Rechte eines »Standardbenutzers« zuzuweisen.

Der Entzug der Admin-Rechte würdedie Gefahr durch kritische Windows-Sicherheitslücken drastisch senken.

Doch die Praxis sieht anders aus. Nach Informationen von Microsoft [1] ist auf 75 Prozent der Windows-Rechner ein Nutzer eingerichtet, der als Admin fungiert. Das heißt, er kann nach Belieben Programme installieren oder entfernen und das Betriebssystem selbst modifizieren.

Die US-Firma Beyond Trust [2], ein Hersteller von Software für die Systemverwaltung, hat herausgefunden, dass sich die meisten Sicherheitslücken in Windows und Office-Anwendungen »entschärfen« ließen, wenn die Nutzer keine Admin-Rechte besäßen.

Auch IT-Kosten lassen sich verringern

Das Unternehmen stellte das bei einer Analyse der 80 Sicherheitswarnungen fest, die Microsoft im vergangenen Jahr veröffentlichte. In den Bulletins wurde auf 150 Schwachstellen in Programmen wie Windows, Office oder anderen Microsoft-Applikationen hingewiesen.

Laut Beyond Trust hätte ein Herabstufen der Nutzerrechte bei 53 Prozent der Windows-Sicherheitslücken, die 2008 auftraten, vor Angriffen oder Schäden geschützt. Bei Office hätte dieses Vorgehen in 94 Prozent der Fälle geholfen, beim Internet-Explorer in 89 Prozent. Bei den als kritisch klassifizierten Windows-Lücken wären sogar 92 Prozent ohne größere Folgen geblieben.

Das Ausführen von Fremdcode, etwaSchadsoftware, könnte in 87 Prozentder Fälle verhindert werden.

Doch nicht nur Sicherheitsprobleme könnten auf diese Weise vermieden werden. Die Beratungsgesellschaft Gartner [3] hat ermittelt, dass sich die IT-Support-Kosten um etwa 24 Prozent reduzieren ließen, wenn Desktop-Systeme nicht mit Administrator-Rechten ausgestattet würden.

Microsoft versucht seit Veröffentlichung von Windows Vista, dem Problem zu umfassender User-Rechte mit der User-Access-Control-Funktion (UAC) beizukommen. Bei kritischen Aktionen, etwa der Installation von neuen Programmen, fragt sie beim Nutzer nach und fordert ihn auf, den Vorgang zu gestatten.

Allerdings beklagten sich viele Windows-Nutzer über die Störungen durch dieses Nachhaken von Windows. Deshalb will Microsoft die UAC bei Windows 7 wieder »lockern«. Dies soll die Zahl der Meldungen von UAC reduzieren.

Microsoft weist Kritik an UAC zurück

Wie bereits gemeldet [4], hat ein Windows-Fachmann dieses Vorgehen als gefährlich kritisiert. Microsoft hat das mittlerweile zurückgewiesen. Der Mechanismus ließe sich nur mit Zustimmung des Nutzers aushebeln, oder wenn Schadcode auf den Rechner übertragen würde.

Amerikanische Sicherheitsexperten wollen dieser Argumentation jedoch nicht folgen. Einige monieren, dass selbst »Script-Kiddies«, also relativ unerfahrene Hacker, die UAC von Windows 7 umgehen könnten.

Andere plädieren für völlig neue Security-Konzepte, etwa »Sandboxes«, in denen neue Programme überprüft werden, bevor sie auf den Rechner gelangen.

[1] http://www.microsoft.de/
[2] http://www.beyondtrust.com/
[3] http://www.gartner.de/
[4] sicherheitsproblem-in-beta-version-von-windows-7-entdeckt/

Verwandte Artikel