In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Downloaden - PC-Betriebssysteme

Werbung 
Betriebssystem
Neuigkeiten bei der Sicherheit von Windows XP Professional
und Windows XP Home Edition
Von Michael Kessler und den Windows Security Writers
Microsoft Corporation
Veröffentlicht: Juli 2001
Zusammenfassung
Dieser Artikel enthält eine technische Übersicht über die Neuigkeiten bei der Sicherheit und den Diensten zur
Datensicherheit in Windows® XP. Windows XP ist in zwei Editions verfügbar: Windows XP Home Edition für die
private Verwendung und Windows XP Professional für Unternehmen aller Größen.
Wenn Sie Windows XP als Betriebssystem auf einem eigenständigen Computer oder einem Computer
verwenden möchten, der zu einer Arbeitsgruppe gehört, wird Sie speziell die schnelle Benutzerumschaltung
und der Internetverbindungsfirewall interessieren, und falls Sie Windows XP Professional als Teil einer Domäne
verwalten, möchten Sie sicher gerne die Neuigkeiten beim Steuern des Netzwerkzugriffs und beim Festlegen
von Richtlinien für Softwareeinschränkung kennenlernen.
Dies ist ein vorläufiges Dokument und kann vor der endgültigen Herausgabe der
beschriebenen Software noch wesentlich geändert werden. Die in diesem
Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht
der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf
sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung
seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten
Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
Dieses Whitepaper dient nur zu Informationszwecken. MICROSOFT SCHLIESST
FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE
AUSDRÜCKLICH ODER KONKLUDENT.
Die Benutzer sind verantwortlich für das Einhalten aller anwendbaren
Urheberrechtsgesetze. Unabhängig von der Anwendbarkeit der entsprechenden
Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft
Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder
in einem Datenempfangssystem gespeichert oder darin eingelesen werden,
unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln
(elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten,
an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf
den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses
Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken,
Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird
ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2001 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, ActiveX, Active
Directory, Authenticode, IntelliMirror, MSN, Visual Basic, Windows und
Windows NT sind eingetragene Marken oder Marken der Microsoft Corporation in
den USA und/oder anderen Ländern.
Andere in diesem Dokument genannte Produkt- oder Firmennamen können Marken
der jeweiligen Eigentümer sein.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA
Inhalt
Einführung .......................................................................................................................................................... 5
Windows XP Home Edition
5
Windows XP Professional
5
Neuigkeiten bei der Sicherheit von Windows XP Home Edition ................................................................... 7
Persönlich angepasste Anmeldung
7
Schnelle Benutzerumschaltung bei mehreren Benutzern eines Computers
7
Persönliche Datensicherheit
8
Cookieverwaltung
9
Gemeinsame Nutzung der Internetverbindung
10
Funktionsweise der gemeinsamen Nutzung der Internetverbindung
10
Verwendung von Netzwerkprotokollen
11
Remotefunktionalität zur Ermittlung und Steuerung
11
Internetverbindungsfirewall
12
Erhöhter Sicherheitsbedarf
12
Funktionsweise des Internetverbindungsfirewalls
13
Einfache Aktivierung des Firewallschutzes
13
Portzuordnung
14
Ordner "Gemeinsame Dokumente"
14
Neuigkeiten bei der Sicherheit von Windows XP Professional................................................................... 16
Unternehmenssicherheit
16
Sicherheitserweiterungen
16
Gesteuerter Netzwerkzugriff
17
Verwalten der Netzwerkauthentifizierung
17
Einfache Freigabe
17
Erzwingen des Gastkontos
17
Einschränkung für leere Kennwörter
18
Verschlüsselndes Dateisystem (Encrypting File System, EFS)
18
Neuigkeiten bei der Sicherheit von Windows XP
2
EFS-Architektur
18
EFS und NTFS
19
Gewährleisten der Dateivertraulichkeit
19
Funktionsweise von EFS
20
Konfigurieren von EFS für Ihre Umgebung
20
Folgendes kann verschlüsselt werden
21
Verschlüsseln von Offlinedateien
21
Verschlüsseln der Offlinedatei-Datenbank
21
EFS-Remotevorgänge im Zusammenhang mit Dateifreigaben und Webordnern
23
EFS-Remotevorgänge in einer Webordnerumgebung
23
Zertifikatsdienste
24
Speicherung von Zertifikaten und öffentlichen Schlüsseln
24
Speicherung privater Schlüssel
24
Automatische Registrierung von Benutzerzertifikaten
25
Anmeldeinformationsverwaltung
26
Eingabeaufforderungen zu Anmeldeinformationen
26
Gespeicherte Benutzernamen und Kennwörter
27
Schlüsselsammlung
30
Schnelle Benutzerumschaltung
30
Persönliche Datensicherheit
31
Gemeinsame Nutzung der Internetverbindung
31
Standortbezogene Gruppenrichtlinien der gemeinsamen Nutzung der Internetverbindung
Internetverbindungsfirewall
31
31
Standortbezogene Gruppenrichtlinien des Internetverbindungsfirewalls
31
Funktionsweise des Internetverbindungsfirewalls
32
Sicherheitsbezogene Gruppenrichtlinieneinstellungen
32
Richtlinien für Softwareeinschränkung
32
Verwenden von Richtlinien für Softwareeinschränkung
33
Erstellen einer Richtlinie für Softwareeinschränkung
33
Zwei Arten von Richtlinien für Softwareeinschränkung
33
Regeln zur Softwareidentifikation
35
Steuern digital signierter Software
35
Neuigkeiten bei der Sicherheit von Windows XP
3
Internet Protocol Security (IPSec)
36
Begründung für den Bedarf an IPSec
36
Funktionsweise von IPSec zur Abwehr von Netzwerkangriffen
37
Kryptografiemechanismen
38
Funktionsweise von IPSec
38
Smartcardunterstützung
39
PIN statt Kennwort
39
Smartcardstandards
39
Anmelden mit einer Smartcard
40
Smartcards für Verwaltungszwecke
40
Kerberos Version 5-Authentifizierungsprotokoll
41
Voraussetzung für Kerberos
41
Authentifizierer
41
Kerberos Key Distribution Center-Dienst
42
Zusammenfassung .......................................................................................................................................... 43
Verwandte Links ............................................................................................................................................... 44
Neuigkeiten bei der Sicherheit von Windows XP
4
Einführung
Windows® XP stellt die bisher zuverlässigste Version von Windows dar, mit den besten Sicherheits- und
Datenschutzfunktionen, die in Windows je zu finden waren. Die Sicherheit wurde in Windows XP insgesamt
verbessert, so dass Sie mit dem Computer sicher, geschützt und vertraulich arbeiten können. Windows XP ist
in zwei Editions verfügbar: Windows XP Home Edition für die private Verwendung und
Windows XP Professional für Unternehmen aller Größen.
Die Sicherheitsfunktionen in Windows XP Home Edition machen das Einkaufen und Browsen im Internet zu
einer sicheren Angelegenheit. Windows XP Home Edition enthält einen integrierten
Internetverbindungsfirewall, der bei Verbindungen mit dem Internet für einen undurchdringlichen Schutz vor
Sicherheitsgefahren sorgt, insbesondere dann, wenn Sie Standleitungen über Kabel- oder DSL-Modems
verwenden.
Windows XP Professional verfügt über alle Sicherheitsfunktionen von Windows XP Home Edition und
zusätzlich über weitere Funktionen zur Sicherheitsverwaltung. Diese entscheidenden neuen
Sicherheitsfunktionen werden Ihre IT-Kosten reduzieren und die Sicherheit Ihrer Geschäftssysteme erhöhen.
Windows XP Home Edition
 Persönlich angepasste Anmeldung

Schnelle Benutzerumschaltung

Persönliche Datensicherheit

Internetverbindungsfirewall

Ordner "Gemeinsame Dokumente"
Windows XP Professional
 Unternehmenssicherheit

Gesteuerter Netzwerkzugriff

Einfache Freigabe

Einschränkung für leere Kennwörter

Verschlüsselndes Dateisystem

Zertifikatdienste

Anmeldeinformationsverwaltung

Schnelle Benutzerumschaltung

Persönliche Datensicherheit

Gemeinsame Internetverbindung
Neuigkeiten bei der Sicherheit von Windows XP
5

Internetverbindungsfirewall

Richtlinien für Softwareeinschränkung

Internet Protocol Security (IPSec)

Smartcardunterstützung

Kerberos
Neuigkeiten bei der Sicherheit von Windows XP
6
Neuigkeiten bei der Sicherheit von Windows XP Home Edition
Die Sicherheitsdienste von Windows XP Home Edition wurden flexibel gestaltet und berücksichtigen eine
Vielzahl von Sicherheits- und Vertraulichkeitssituationen, denen Sie als privater Benutzer gegenüberstehen
werden. Wenn Sie bereits mit dem Sicherheitsmodell von Microsoft® Windows NT®, Version 4.0, und
Microsoft® Windows® 2000 vertraut sind, erkennen Sie viele der Sicherheitsfunktionen in Windows XP Home
Edition wieder. Gleichzeitig finden Sie auch einige bekannte Funktionen, die sich erheblich geändert haben,
neben neuen Funktionen, die Ihre Möglichkeiten zum Verwalten der Systemsicherheit verbessern werden.
Wenn Sie beispielsweise das Internet für Onlinechats oder zum Senden und Empfangen von E-Mail
verwenden, sind sie möglicherweise Angriffen von Hackern ausgesetzt. Um Sie vor diesen Gefahren zu
schützen, verfügt Windows XP über integrierte erweiterte Sicherheitsfunktionen, die Ihre Onlineaktivitäten
wesentlich sicherer machen.
Werfen wir einen Blick auf die entscheidenden Sicherheits- und Vertraulichkeitsfunktionen von
Windows XP Home Edition, die Sie und Ihre Informationen besser schützen, während Ihre Arbeit mit
Windows produktiver wird als je zuvor.
Beachten Sie Folgendes: Wenn Sie mit Windows XP Home Edition als Teil einer Arbeitsgruppe oder in einer
eigenständigen Umgebung arbeiten und über Administratorrechte für den Computer verfügen, haben Sie Zugriff auf alle
Sicherheitsfunktionen des Betriebssystems. Falls der Computer, auf dem Windows XP Home Edition installiert ist, zu
einem Netzwerk gehört, werden die Sicherheitsoptionen vom Netzwerkadministrator bestimmt.
Persönlich angepasste Anmeldung
Bei Windows XP können alle Familienmitglieder eine komplette eigene Benutzeroberfläche besitzen,
einschließlich Anmeldung und Kennwort. Diese zusätzliche Sicherheitsebene gewährleistet, dass niemand
auf wichtige Dokumente zugreifen oder diese versehentlich löschen kann.
Falls Kinder zum Haushalt gehören, können Sie Profile mit verschiedenen Sicherheitsbeschränkungen
einrichten. Auf diese Weise können Sie Internetsites ausschließen, die für die Kinder ungeeignet wären.
Schnelle Benutzerumschaltung bei mehreren Benutzern eines Computers
Die schnelle Benutzerumschaltung wurde für Heimcomputer entwickelt, damit jeder Benutzer einen einzelnen
Computer so verwenden kann, als wäre er sein eigener. Ein Mitbenutzer muss nicht abgemeldet werden, und
Überlegungen, ob fremde Dateien gespeichert werden müssen, entfallen. Stattdessen führt Windows XP
mithilfe der Terminaldienstetechnologie eindeutige Benutzersitzungen aus, wodurch die Daten der einzelnen
Benutzer vollständig voneinander getrennt bleiben. Und wenn ein Benutzerkennwort verwendet wird, werden
diese Sitzungen auch separat geschützt.
Die schnelle Benutzerumschaltung wird standardmäßig bei der Installation von Windows XP Home Edition
oder Windows XP Professional auf einem eigenständigen oder Arbeitsgruppencomputer aktiviert. Wenn Sie
mit einem Computer, auf dem Windows XP Professional ausgeführt wird, einer Domäne beitreten, ist die
schnelle Benutzerumschaltung nicht verfügbar.
Neuigkeiten bei der Sicherheit von Windows XP
7
Die schnelle Benutzerumschaltung macht es Familien leichter, einen einzelnen Computer gemeinsam zu
nutzen. Wenn beispielsweise eine Mutter mit dem Computer die Finanzen verwaltet und diese Arbeit kurz
unterbrechen muss, kann ihr Sohn in sein eigenes Konto umschalten und ein Spiel ausführen. Die
Finanzanwendung bleibt im Konto der Mutter geöffnet und wird weiter ausgeführt. Für diesen Vorgang ist
keine Abmeldung erforderlich. Die Benutzerumschaltung geht ganz einfach, denn die neue Willkommensseite
kann problemlos mit Bildern für jeden Benutzer angepasst werden, der sich am Computer anmeldet, wie in
Abbildung 1 dargestellt.
Abbildung 1 Willkommensseite der persönlich angepassten Anmeldung und schnellen Benutzerumschaltung
Persönliche Datensicherheit
Microsoft Internet Explorer, Version 6.0, unterstützt den Standard P3P (Platform for Privacy Preferences) des
World Wide Web Consortium (W3C), um Ihnen dabei zu helfen, beim Besuch von Websites die Kontrolle über
Ihre persönlichen Informationen zu behalten. Als Teilnehmer des W3C arbeitete Microsoft mit an der
Entwicklung eines Standards zu Datenschutzrichtlinien für Websites, damit Sie die Möglichkeit haben,
überlegte Entscheidungen zur Menge und Art der online offengelegten Informationen zu treffen. Internet
Explorer 6.0 ermittelt, ob die besuchten Websites, den Standards des W3C entsprechen und teilt Ihnen deren
Status mit, bevor Sie private Informationen übermitteln.
Nachdem Sie in Internet Explorer 6.0 die Datenschutzeinstellungen für die Weitergabe persönlicher
Informationen definiert haben, ermittelt der Browser, ob die von Ihnen besuchten Websites dem Standard
P3P entsprechen. Bei Sites, die P3P entsprechen, vergleicht der Browser Ihre Datenschutzeinstellungen mit
den für die Site definierten Datenschutzrichtlinien. Für diesen Austausch von Richtlinieninformationen
verwendet Internet Explorer HTTP. Anhand Ihrer Datenschutzeinstellungen ermittelt der Browser, ob
persönliche Informationen an die Websites weitergegeben werden dürfen.
Neuigkeiten bei der Sicherheit von Windows XP
8
Cookieverwaltung
Auch die Funktionen zur Cookieverwaltung in Internet Explorer 6.0 werden vom Standard P3P unterstützt. Ein
Cookie ist eine kleine Datei, die von einer bestimmten Website zur Bereitstellung von angepassten
Merkmalen auf Ihrem Computer gespeichert wird. Wenn Sie beispielsweise benutzerdefinierte Einstellungen
für MSN® implementieren, werden diese Informationen in einer Cookiedatei auf Ihrem Computer gespeichert.
MSN liest das Cookie dann jedes Mal, wenn sie die Site besuchen, und zeigt die von Ihnen ausgewählten
Optionen an.
P3P-Websites können ihren Cookies im Rahmen ihrer Datenschutzrichtlinien Richtlinieninformationen
bereitstellen. Beim Konfigurieren von Datenschutzeinstellungen können Sie in Internet Explorer folgende
Cookiebehandlung festlegen:

Kein Cookie darf auf dem Computer gespeichert werden.

Cookies von Drittanbietern werden abgelehnt, d. h. Cookies, die nicht von derselben Domäne wie die
besuchte Website stammen und deshalb nicht unter die Datenschutzrichtlinie dieser Website fallen. Alle
anderen Cookies werden jedoch auf dem Computer gespeichert.

Alle Cookies werden ohne Benachrichtigung an Sie auf dem Computer gespeichert.
In Abbildung 2 und 3 sehen Sie weitere Optionen zur Cookieverwaltung.
Neuigkeiten bei der Sicherheit von Windows XP
9
Abbildung 2 Cookieverwaltung: Datenschutzaktionen pro Site
Abbildung 3 Cookieverwaltung: Erweiterte Datenschutzeinstellungen
Weitere Informationen zu P3P finden Sie in der W3C-Website unter http://www.w3.org/.
Gemeinsame Nutzung der Internetverbindung
Mithilfe der gemeinsamen Nutzung der Internetverbindung (Internet Connection Sharing, ICS) können
mehrere Computer über eine einzige Internetverbindung auf das Internet zugreifen. Verbindungen per DSL,
Kabelmodem oder Telefonleitung können auf sichere Weise von Benutzern auf mehreren Computern
gemeinsam genutzt werden.
Funktionsweise der gemeinsamen Nutzung der Internetverbindung
Ein Computer, der ICS-Hostcomputer (Internet Connection Sharing, gemeinsame Nutzung der
Internetverbindung), ist direkt mit dem Internet verbunden und stellt seine Verbindung den übrigen Computern
im Netzwerk zur Verfügung. Die Clientcomputer können nur über den ICS-Hostcomputer auf das Internet
zugreifen. Die Verwendung einer gemeinsam genutzten Internetverbindung erhöht die Sicherheit des
Netzwerkes, da nur der ICS-Hostcomputer für das Internet sichtbar ist. Die gesamte Kommunikation
zwischen den Clientcomputern und dem Internet läuft über den ICS-Host. Dadurch erscheinen die Adressen
der Clientcomputer nicht im Internet. Die Clientcomputer sind geschützt, da sie von außerhalb des
Netzwerkes nicht sichtbar sind. Lediglich der Computer mit der gemeinsam genutzten Internetverbindung ist
öffentlich sichtbar. Der ICS-Hostcomputer verwaltet außerdem die Netzwerkadressierung. Der ICSHostcomputer weist sich selbst eine permanente Adresse zu und stellt den ICS-Clients DHCP (Dynamic Host
Configuration Protocol) zur Verfügung. Dabei wird jedem ICS-Client eine eindeutige Adresse zugewiesen, so
dass Computer mit anderen Computern im Netzwerk kommunizieren können.
Über die ICS-Funktion ermöglicht Windows XP die gemeinsame Nutzung einer einzigen Internetverbindung
von mehreren Computern in Heim- oder kleinen Büronetzwerken. Diese Funktion war bereits in
Neuigkeiten bei der Sicherheit von Windows XP
10
Windows 2000 Professional und Windows 98 Second Edition enthalten und wurde in Windows XP weiter
verbessert.
Verwendung von Netzwerkprotokollen
Die ICS-Funktion in Windows XP stellt für Heimnetzwerke die Netzwerkadressübersetzung (Network Address
Translation, NAT), DHCP (Dynamic Host Configuration Protocol) und DNS (Domain Name Service) bereit.
Der Benutzer muss somit keine Clients mehr konfigurieren.
Die DNS-Funktionalität in Windows XP wurde verbessert und enthält eine lokalen DNS-Auflösung, die die
Namensauflösung für alle Clients des Heimnetzwerks ausführt. Mithilfe der DNS-Auflösung können auch nicht
auf Windows basierende Netzwerkgeräte die Namensauflösung für Netzwerkclients übernehmen.
Internetnamen, die eine Auflösung erfordern, werden weiterhin zur Auflösung an die DNS-Server des
Internetdienstanbieters weitergeleitet.
Remotefunktionalität zur Ermittlung und Steuerung
Die gemeinsame Nutzung der Internetverbindung beinhaltet auch die Remotefunktionalität zur Ermittlung und
Steuerung. Mithilfe von universellem Plug & Play erkennen Netzwerkclients, ob der ICS-Hosts vorhanden ist
und ermitteln dann seinen Internetverbindungsstatus.
Wenn Sie das Internet über einen anderen persönlichen Computer des Heimnetzwerkes durchsuchen
möchten, stellt der Windows XP-Computer automatisch für diesen anderen persönlichen Computer die
Verbindung zum Internet her, falls die Verbindung nicht bereits besteht. Oder der Benutzer des
Clientcomputers in einem anderen Raum des Hauses weiß, ob eine Internetverbindung besteht und kann sie
gegebenenfalls unterbrechen, um das Telefon für herkömmliche Telefongespräche zu verwenden. Diese
Funktionen sind nützlich, wenn DFÜ-Verbindungen minutenweise abgerechnet werden oder wenn Sie die
Internetverbindung unterbrechen möchten, falls keine Aktivität stattfindet.
In Abbildung 4 sehen Sie die Optionen zum Einrichten der gemeinsamen Nutzung der Internetverbindung.
Neuigkeiten bei der Sicherheit von Windows XP
11
Abbildung 4 Einrichten der gemeinsamen Nutzung der Internetverbindung
Internetverbindungsfirewall
Windows® XP stellt mit dem neuen Internetverbindungsfirewall die Sicherheit im Internet bereit.
Unternehmensnetzwerke werden bereits seit Jahren mithilfe von Firewalls vor Angriffen von außen geschützt.
Windows XP bietet mit der Schutzfunktion des Internetverbindungsfirewalls privaten Benutzern nun dieselbe
Sicherheit. Auf diese Weise werden Ihre Informationen, Computer und die Daten Ihrer Familie vor Fremden
geschützt, sobald Sie Windows XP verwenden.
Erhöhter Sicherheitsbedarf
Da immer mehr Haushalte und Unternehmen Breitband-Internetverbindungen nutzen, steigt der Bedarf an
Sicherheitsmaßnahmen, mit denen persönliche Computer, sonstige Geräte und die mit diesen
Heimnetzwerken verbundenen Inhalte geschützt werden können. Selbst Computer, die über DFÜ-Modems
die Verbindung zum Internet herstellen, sind nicht vor Angriffen sicher.
Der Internetverbindungsfirewall wurde für Heim- und kleine Büronetzwerke zum Schutz des direkt mit dem
Internet verbundenen persönlichen Windows XP-Computers entwickelt sowie für den Schutz von Computern
oder Geräten, die mit dem Hostcomputer verbunden sind, auf denen die gemeinsame Nutzung der
Internetverbindung ausgeführt wird.
Neuigkeiten bei der Sicherheit von Windows XP
12
Funktionsweise des Internetverbindungsfirewalls
Der Internetverbindungsfirewall von Windows XP verwendet eine aktive Paketfilterung, was bedeutet, dass
Ports an der Firewall nur so lange dynamisch geöffnet werden, wie es für den Zugriff auf die gewünschten
Dienste erforderlich ist. Diese Art von Firewalltechnologie, die in der Regel bei komplexen
Unternehmensfirewalls eingesetzt wird, verhindert, dass potenzielle Hacker die Anschlüsse und Ressourcen
Ihres Computers, einschließlich der Datei- und Druckerfreigaben, durchsuchen können. Die Gefahr durch
Angriffe von außen wird somit erheblich verringert. Der Internetverbindungsfirewall arbeitet auf
Verbindungsbasis.
Diese Firewallfunktion ist für LAN- (Local Area Networks, lokale Netzwerke), PPPoE- (Point-to-Point Protocol
over Ethernet, Point-To-Point-Protokoll über Ethernet-Protokolle), VPN- (Virtuelles privates Netzwerk) und
DFÜ-Verbindungen verfügbar. PPPoE ist ein neuer IETF-Standard. Mit ihm sind Breitbandverbindungen über
Kabelmodem oder DSL (Digital Subscriber Line) so einfach herzustellen wie über DFÜ-Modem. Windows XP
ist das erste Windows-Betriebssystem, das eine systemeigene PPPoE-Unterstützung enthält.
Wenn Sie mit dem tragbaren Computer unterwegs sind und über eine DFÜ-Verbindung oder auf andere
Weise auf das Internet zugreifen, kann der Internetverbindungsfirewall zur Sicherheit automatisch aktiviert
werden.
Einfache Aktivierung des Firewallschutzes
Beim Ausführen des Netzwerkinstallations-Assistenten wird der Internetverbindungsfirewall für jede
festgestellte aktive Internetverbindung aktiviert. So können Sie überprüfen, ob eine Verbindung den
Internetverbindungsfirewall verwendet




Öffnen Sie Systemsteuerung.
Klicken Sie auf Netzwerk- und Internetverbindungen.
Klicken Sie auf Netzwerkverbindungen.
Klicken Sie mit der rechten Maustaste auf die Internetverbindung, und klicken Sie dann auf
Eigenschaften.
 Klicken Sie im Dialogfeld Eigenschaften Ihrer Verbindung auf die Registerkarte Erweitert.
In Abbildung 5 sehen Sie, wie der Internetverbindungsfirewall aktiviert wird.
Neuigkeiten bei der Sicherheit von Windows XP
13
Abbildung 5 Aktivierung des Internetverbindungsfirewalls
Portzuordnung
Standardmäßig leitet der Internetverbindungsfirewall unaufgefordert eingehenden Datenverkehr nicht weiter.
Falls Sie anderen Personen den Zugriff auf den Computer über das Internet ermöglichen müssen, z. B. beim
Hosting einer Website oder bei einer Internetsitzung eines Computerspiels, können in Windows XP Pforten im
Firewall geöffnet werden, die den Datenverkehr über bestimmte Ports erlauben. Dieser Vorgang wird
"Portzuordnung" genannt.
Ordner "Gemeinsame Dokumente"
Freigegebene Ordner sind die Gegenstücke zu Ihren persönlichen Ordnern: Eigene Dateien, Eigene Bilder
und Eigene Musik. Gemeinsame Dokumente, Gemeinsame Bilder und Gemeinsame Musik bieten Ihnen
die Möglichkeit, Dateien, Bilder und Musik so zu speichern, dass jeder Benutzer Ihres Computers darauf
zugreifen kann. So kann z. B. Frank seine Hausarbeiten unter Gemeinsame Dokumente speichern, so dass
sie von seiner Mutter überprüft werden können. Sein Vater kann digitale Bilder aus dem Familienurlaub unter
Gemeinsame Bilder ablegen, so dass jedes Familienmitglied die Bilder ansehen kann.
Da es sich bei Heimcomputern in der Regel um vertrauenswürdige Umgebungen handelt, werden die Dateien
der Benutzer hier von Windows XP standardmäßig getrennt, jedoch zugänglich gespeichert. Dadurch kann
Neuigkeiten bei der Sicherheit von Windows XP
14
eine Familie problemlos Dokumente, Bilder, Musik und Videos auf einem einzigen Computer und auf
mehreren Computern in einem Heimnetzwerk gemeinsam nutzen.
Wenn Sie jedoch ein Kennwort für sich erstellen, können Sie den Ordner Eigene Dokumente und alle
Unterordner sperren. Auf diese Weise sind ihre Dateien, falls Sie ein Kennwort besitzen und Datenschutz
wünschen, vor dem Zugriff von Benutzern des Computers geschützt, die nicht über Administratorrechte
verfügten.
Anmerkung: Dies trifft nur auf NTFS-Festplatten zu. Diese Funktion funktioniert nicht, wenn Sie die
Festplatte mit FAT (File Allocation Table) oder FAT32 formatiert haben.
Neuigkeiten bei der Sicherheit von Windows XP
15
Neuigkeiten bei der Sicherheit von Windows XP Professional
Windows XP Professional wird von Unternehmen aller Größen als Betriebssystem verwendet. Es bietet die
zuverlässigsten Sicherheitsdienste für Geschäftscomputer. Windows XP Professional enthält die
Sicherheitsfunktionen, die Sie für das Netzwerk und die Sicherheit im Unternehmen benötigen. Diese
Sicherheitsfunktionen bieten neue Verwaltungsfunktionen, die IT-Kosten senken und Ihnen mehr Zeit für den
Aufbau von Diensten und Lösungen in Ihrem Unternehmen einräumen.
Wenn Sie bereits mit dem Sicherheitsmodell von Microsoft® Windows NT® 4.0, und Microsoft®
Windows® 2000 vertraut sind, werden Sie viele der Sicherheitsfunktionen in Windows XP Professional wieder
erkennen. Gleichzeitig finden Sie auch einige bekannte Funktionen, die sich erheblich geändert haben, neben
neuen Funktionen, die Ihre Möglichkeiten zum Verwalten der Systemsicherheit verbessern werden.
Beachten Sie Folgendes: Wenn Sie mit Windows XP Professional als Teil einer Arbeitsgruppe oder in einer
eigenständigen Umgebung arbeiten und über Administratorrechte für den Computer verfügen, haben Sie Zugriff auf alle
Sicherheitsfunktionen des Betriebssystems. Wenn der Computer, auf dem Windows XP Professional ausgeführt wird, zu
einer Domäne gehört, werden die Optionen durch die vom IT-Administrator festgelegten Richtlinien bestimmt.
Unternehmenssicherheit
Windows XP Professional bietet zuverlässige Sicherheitsfunktionen, die dazu dienen, Unternehmen beim
Schutz vertraulicher Daten zu helfen und die Verwaltung der Benutzer im Netzwerk zu unterstützen. Zu den
entscheidenden Funktionen von Windows XP Professional gehört die Verwendung von
Gruppenrichtlinienobjekten. Gruppenrichtlinienobjekte ermöglichen Systemadministratoren, ein einziges
Sicherheitsprofil auf mehrere Computer anzuwenden und bei Bedarf die Authentifizierung von Benutzern
mithilfe von Informationen auszuführen, die auf Smartcards gespeichert sind.
Sicherheitserweiterungen
In Windows XP Professional sind eine Reihe von Funktionen enthalten, mit denen Unternehmen ausgewählte
Dateien, Anwendungen und andere Ressourcen schützen können. Zu diesen Funktionen gehören
Zugriffssteuerungslisten (Access Control Lists, ACLs), Sicherheitsgruppen und Gruppenrichtlinien. Dazu
kommen Tools, mit denen Unternehmen diese Funktionen konfigurieren und verwalten können. Diese
Kombination stellt eine leistungsstarke und flexible Infrastruktur zur Steuerung des Zugriffs für
Unternehmensnetzwerke bereit.
Windows XP ermöglicht Tausende von Sicherheitseinstellungen, die individuell implementiert werden können.
Darüber hinaus verfügt das Betriebssystem Windows XP über vordefinierte Sicherheitsvorlagen, die
Unternehmen ohne Änderungen implementieren oder als Basis für weiter angepasste
Sicherheitskonfigurationen heranziehen können. Unternehmen können diese Sicherheitsvorlagen in den
folgenden Fällen anwenden:

Zum Erstellen einer Ressource, wie einen Ordner oder eine Dateifreigabe, wobei die
Standardeinstellungen der Zugriffssteuerungsliste übernommen oder benutzerdefinierte Einstellungen
implementiert werden können.

Für die Aufnahme von Benutzern in Standardsicherheitsgruppen, wie Benutzer, Hauptbenutzer oder
Neuigkeiten bei der Sicherheit von Windows XP
16
Administratoren, wobei die Standardeinstellungen der Zugriffsliste für diese Sicherheitsgruppen
übernommen werden.

Zur Verwendung der einfachen, kompatiblen, sicheren oder sehr sicheren Gruppenrichtlinienvorlagen des
Betriebssystems.
Alle Sicherheitsfunktionen von Windows XP – Zugriffslisten, Sicherheitsgruppen und Gruppenrichtlinien –
verfügen über Standardeinstellungen, die der jeweiligen Organisation entsprechend angepasst werden
können. Unternehmen können die Zugriffssteuerung auch mithilfe der zugehörigen Tools implementieren
oder ändern. Viele dieser Tools, wie die MMC-Snap-Ins (Microsoft Management Console), gehören zu den
Komponenten von Windows XP Professional. Einige Tools sind im Windows XP Professional Resource Kit
enthalten.
Gesteuerter Netzwerkzugriff
Mit der integrierten Sicherheit von Windows XP soll ein unbefugter Zugriff unterbunden werden. Deshalb
erhält jede Person, die von einem Netzwerk aus auf Ihren Computer zugreifen möchte, lediglich Rechte als
"Gast". Falls Unbefugte versuchen, Kennwörter zu erraten, um auf Ihren Computer zuzugreifen und unerlaubt
Rechte zu erhalten, schlägt dieser Versuch fehl. Sie erhalten bestenfalls beschränkte Gastrechte.
Verwalten der Netzwerkauthentifizierung
Immer mehr auf Windows XP Professional basierende Systeme sind nicht mehr mit Domänen, sondern direkt
mit dem Internet verbunden. Dadurch wird eine sorgfältige Verwaltung der Zugriffssteuerung, einschließlich
effizienter Kennwörter und Berechtigungen für unterschiedliche Konten, wichtiger als je zuvor. Die
Gewährleistung der Sicherheit erfordert eine Einschränkung der relativ anonymen Einstellungen der
Zugriffssteuerung, die normalerweise in offenen Internetumgebungen eingesetzt wurden.
Aus diesem Grund verlangt die Standardeinstellung von Windows XP Professional von allen Benutzern, die
sich über das Internet anmelden, die Verwendung des Gastkontos. Mit dieser Änderung soll der Versuch von
Hackern abgewehrt werden, vom Internet aus auf ein System zuzugreifen, indem sie sich über ein lokales
Administratorkonto anmelden, das über kein Kennwort verfügt.
Einfache Freigabe
Standardmäßig wird auf Systemen unter Windows XP Professional, die nicht mit einer Domäne verbunden
sind, bei allen Anmeldeversuchen aus dem Netzwerk zwangsläufig das Gastkonto verwendet. Darüber hinaus
wird das Dialogfeld Sicherheitseigenschaften bei Computern, die das Sicherheitsmodell der einfachen
Freigabe verwenden, durch ein vereinfachtes Eigenschaftendialogfenster für Gemeinsame Dateien ersetzt.
Erzwingen des Gastkontos
Das Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten ermöglicht Ihnen die
Wahl zwischen den Sicherheitsmodellen Klassisch und Nur Gast. Beim Modell Nur Gast wird bei allen
Anmeldungen aus dem Netzwerk auf dem lokalen Computer zwangsläufig das Konto Gast verwendet. Beim
Modell Klassisch, werden Benutzer, die sich aus dem Netzwerk am lokalen Computer anmelden, unter ihrer
eigenen Identität authentifiziert. Diese Richtlinie wird nicht bei Computern angewendet, die einer Domäne
angehören. Ansonsten ist Nur Gast standardmäßig aktiviert.
Neuigkeiten bei der Sicherheit von Windows XP
17
Wenn ein Gastkonto aktiviert ist und ein leeres Kennwort aufweist, ist die Anmeldung und der Zugriff auf jede
Ressource möglich, für die der Zugriff über das Gastkonto autorisiert wurde.
Falls die Richtlinie Erzwingen von Netzwerkanmeldungen mithilfe lokaler Konten zur Authentifizierung
als Gast aktiviert ist, müssen lokale Konten als Gast authentifiziert werden. Diese Richtlinie bestimmt, ob sich
der Benutzer eines lokalen Kontos, der sich an einem Computer des Netzwerkes anmeldet, als Gast
authentifizieren muss. Mit dieser Richtlinie können sie die Rechte eines lokalen Kontos beschränken, über
das auf Systemressourcen des Zielcomputers zugegriffen wird. Wenn Sie diese Richtlinie aktivieren, werden
alle lokalen Konten, die eine direkte Verbindung herstellen möchten, auf Gästerechte beschränkt. Diese
Rechte sind in der Regel stark eingeschränkt.
Einschränkung für leere Kennwörter
Zum Schutz von Benutzern, die ihre Konten nicht mit einem Kennwort versehen, kann in
Windows XP Professional eine Anmeldung an Konten ohne Kennwort nur direkt an der Konsole des
physischen Computers erfolgen. Standardmäßig können Konten mit leeren Kennwörtern nicht mehr für eine
Remoteanmeldung an dem Computer oder für sonstige Anmeldeaktivitäten verwendet werden, außer über
den Anmeldebildschirm der physischen Hauptkonsole. Sie können beispielsweise nicht den sekundären
Anmeldedienst (RunAs) verwenden, um ein Programm als lokaler Benutzer mit einem leeren Kennwort zu
starten.
Wenn Sie einem lokalen Konto ein Kennwort zuweisen, wird diese Einschränkung entfernt, die eine
Anmeldung über ein Netzwerk verhindert. Außerdem kann dann mit dem Konto auch über eine
Netzwerkverbindung auf jede Ressource zugegriffen werden, für die eine Autorisierung vorhanden ist.
Vorsicht Falls sich Ihr Computer nicht in einem sicheren Raum befindet, sollten Sie allen lokalen
Benutzerkonten Kennwörter zuweisen. Falls das versäumt wird, kann sich jede Person mit Zutritt zu diesem
Raum am Computer anmelden und ein Konto ohne Kennwort verwenden. Das trifft besonders auf tragbare
Computer zu, die stets über wirksame Kennwörter für alle lokalen Benutzerkonten verfügen sollten.
Anmerkung: Diese Einschränkung trifft nicht auf Domänenkonten zu. Sie gilt auch nicht für lokale Gastkonten. Wenn ein
Gastkonto aktiviert ist und ein leeres Kennwort aufweist, ist die Anmeldung und der Zugriff auf jede Ressource möglich,
für die der Zugriff über das Gastkonto autorisiert wurde.
Falls Sie die Einschränkung zur Netzwerkanmeldung ohne Kennwort deaktivieren möchten, können Sie das
über die lokale Sicherheitsrichtlinie tun.
Verschlüsselndes Dateisystem (Encrypting File System, EFS)
Die Leistung von Windows® XP Professional wurde durch die zusätzlichen Funktionen des verschlüsselnden
Dateisystems (Encrypting File System, EFS) erheblich verbessert. Benutzer in Unternehmen sind nun bei der
Bereitstellung von Sicherheitslösungen, die auf verschlüsselten Datendateien beruhen, noch flexibler als
zuvor.
EFS-Architektur
EFS basiert auf der Verschlüsselung mit öffentlichem Schlüssel und nutzt die CryptoAPI-Architektur in
Windows XP. Für die Standardkonfiguration von EFS sind keine Verwaltungsschritte erforderlich. Sie können
Neuigkeiten bei der Sicherheit von Windows XP
18
sofort mit dem Verschlüsseln von Dateien beginnen. EFS generiert für einen Benutzer automatisch ein
Schlüsselpaar für die Verschlüsselung und ein Zertifikat, falls noch nicht vorhanden.
Als Verschlüsselungsalgorithmus kann in EFS entweder der erweiterte Datenverschlüsselungsstandard
(Expanded Data Encryption Standard, DESX) oder Triple-DES (3DES) verwendet werden. Die Software
RSA Base und RSA Enhanced, die Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) in
das Betriebssystem aufgenommen haben, können für EFS-Zertifikate und für das Verschlüsseln
symmetrischer Schlüssel verwendet werden.
Wenn Sie einen Ordner verschlüsseln, werden sämtliche in diesem Ordner erstellten oder hinzugefügten
Dateien und Unterordner automatisch ebenfalls verschlüsselt. Sie sollten die Verschlüsselung auf
Ordnerebene vornehmen, damit keine unverschlüsselten temporären Dateien während der
Dateikonvertierung auf der Festplatte erstellt werden.
EFS und NTFS
Das verschlüsselnde Dateisystem (Encrypting File System, EFS) schützt unter Verwendung des NTFSDateisystems vertrauliche Daten, die auf der Festplatte gespeichert sind. EFS ist die zentrale Technologie für
das Ver- und Entschlüsseln von Dateien auf NTFS-Datenträgern. Nur der Benutzer, der eine geschützte Datei
verschlüsselt, kann die Datei öffnen und mit ihr arbeiten. Dies ist besonders für Benutzer tragbarer Computer
nützlich, da auch eine Person, die Zugriff auf einen verlorenen oder gestohlenen Laptop erhält, nicht auf
Dateien der Festplatte zugreifen kann. Bei Windows XP funktioniert EFS jetzt mit Offlinedateien und -ordnern.
Mit EFS können Sie einzelne Dateien und Ordner verschlüsseln. Verschlüsselte Dateien bleiben auch dann
vertraulich, wenn ein unbefugter Benutzer die Systemsicherheit, z. B. durch eine Neuinstallation des
Betriebssystems, umgeht. Da EFS Algorithmen nach Industriestandard verwendet, stellt es eine zuverlässige
Verschlüsselung bereit. Durch seine nahtlose Integration in NTFS ist es einfach zu bedienen. EFS für
Windows® XP Professional bietet neue Optionen für die Freigabe verschlüsselter Dateien oder die
Deaktivierung von Datenwiederherstellungs-Agenten, und es vereinfacht die Verwaltung mithilfe von
Gruppenrichtlinien und Befehlszeilenprogrammen.
Gewährleisten der Dateivertraulichkeit
Sicherheitsfunktionen, wie z. B. die Anmeldeauthentifizierung oder Dateiberechtigungen, schützen
Netzwerkressourcen vor unbefugtem Zugriff. Doch kann jeder mit physischem Zugang zu einem Computer
ein neues Betriebssystem installieren und so die vorhandenen Sicherheitseinstellungen des Betriebssystem
umgehen. Auf diese Weise können vertrauliche Daten offengelegt werden. Das Verschlüsseln vertraulicher
Dateien mit EFS fügt eine zusätzliche Sicherheitsebene hinzu. Die Daten verschlüsselter Dateien sind auch
dann geschützt, wenn sich ein unbefugter Benutzer den vollen Zugriff auf den Datenspeicher des Computers
verschafft hat.
Nur autorisierte Benutzer und designierte Datenwiederherstellungs-Agenten können verschlüsselte Dateien
entschlüsseln. Andere Systemkonten, die über Berechtigungen für eine Datei verfügen, einschließlich der
Berechtigung Besitz übernehmen, können die Datei nicht ohne Autorisierung öffnen. Die Datei kann selbst
mit dem Administratorkonto nicht geöffnet werden, wenn dieses Konto nicht als DatenwiederherstellungsAgent bestimmt wurde. Falls ein nicht autorisierter Benutzer versucht, eine verschlüsselte Datei zu öffnen,
wird der Zugriff verweigert.
Abbildung 6 zeigt, wo die Einstellungen für EFS erstellt werden.
Neuigkeiten bei der Sicherheit von Windows XP
19
Abbildung 6 Lokale Sicherheitseinstellungen von EFS
Funktionsweise von EFS
EFS ermöglicht es Ihnen, vertrauliche Informationen auf einen Computer zu speichern, wenn Personen mit
physischem Zugang zu dem Computer diese Informationen beabsichtigt oder versehentlich manipulieren
könnten. EFS eignet sich besonders zum Schutz vertraulicher Daten auf tragbaren Computern oder auf
Computern, die von mehreren Benutzern verwendet werden. Diese beiden Systeme sind besonders anfällig
für Techniken, mit denen die Beschränkungen durch Zugriffssteuerungslisten (Access Control Lists, ACLs)
umgangen werden.
Durch Starten eines anderen Betriebssystems kann ein unbefugter Benutzer in einem freigegebenen System
Zugriff auf das System erhalten. Ein unbefugter Benutzer könnte einen Computer auch stehlen, die Festplatte
entfernen und in ein anderes System einsetzen und auf diese Weise auf die gespeicherten Dateien zugreifen.
Mit EFS verschlüsselte Dateien werden jedoch in unleserlichen Zeichen angezeigt, sofern der unbefugte
Benutzer nicht über den Entschlüsselungsschlüssel verfügt.
Da EFS nahtlos in NTFS integriert ist, sind Dateientschlüsselung und -verschlüsselung transparent. Wenn Sie
eine Datei öffnen, wird sie beim Lesen der Daten von der Festplatte durch EFS entschlüsselt. Beim Speichern
einer Datei verschlüsselt EFS die Daten, während sie auf die Festplatte geschrieben werden. Als autorisierter
Benutzer werden Sie die Verschlüsselung der Dateien vermutlich kaum bemerken, da sie mit ihnen wie
gewohnt arbeiten können.
In der Standardkonfiguration ermöglicht Ihnen EFS, mit dem Verschlüsseln von Dateien ohne
Verwaltungsaufwand in Windows-Explorer zu beginnen. Aus Benutzersicht besteht das Verschlüsseln einer
Datei ganz einfach im Festlegen eines Attributs. Das Verschlüsselungsattribut kann auch für einen
Dateiordner festgelegt werden. Das bedeutet, dass jede im Ordner erstellte oder zu dem Ordner hinzugefügte
Datei automatisch verschlüsselt wird.
Konfigurieren von EFS für Ihre Umgebung
EFS wird standardmäßig aktiviert. Sie können Dateien verschlüsseln, wenn Sie über die Berechtigung zum
Ändern der Dateien verfügen. Da EFS zum Verschüsseln von Dateien einen öffentlichen Schlüssel einsetzt,
benötigen Sie ein Schlüsselpaar (einen öffentlichen und einen privaten Schlüssel) sowie ein Zertifikat für
Neuigkeiten bei der Sicherheit von Windows XP
20
öffentliche Schlüssel. EFS kann selbstsignierte Standardzertifikate verwenden. Deshalb ist für EFS kein
Verwaltungsaufwand erforderlich.
Falls EFS in Ihrer Umgebung nicht benötigt wird oder Sie Dateien besitzen, die Sie nicht verschlüsseln
möchten, gibt es verschiedene Möglichkeiten, EFS zu deaktivieren. Es gibt auch verschiedene Möglichkeiten,
EFS so zu konfigurieren, dass es den speziellen Anforderungen Ihrer Organisation entspricht.
Für die Verwendung von EFS benötigen alle Benutzer EFS-Zertifikate. Falls Sie im Moment über keine
Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) verfügen, können Sie selbstsignierte
Zertifikate verwenden, die automatisch vom Betriebssystem erstellt werden. Wenn Sie jedoch
Zertifizierungsstellen besitzen, möchten Sie diese möglicherweise für das Erstellen von EFS-Zertifikaten
konfigurieren. Sie sollten auch einen Plan für die Wiederherstellung nach einem Systemausfall erstellen,
wenn Sie EFS auf dem System verwenden.
Folgendes kann verschlüsselt werden
Für einzelne Dateien und Dateiordner (oder Unterordner) auf NTFS-Datenträgern kann das
Verschlüsselungsattribut festgelegt werden. Es ist zwar üblich, mit dem Verschlüsselungsattribut versehene
Dateiordner als "verschlüsselt" zu bezeichnen, doch ist der Ordner selbst nicht verschlüsselt, und kein
Schlüsselpaar (privater und öffentlicher Schlüssel) ist erforderlich, um das Verschlüsselungsattribut für einen
Dateiordner festzulegen. Wenn die Verschlüsselung für einen Ordner festgelegt wird, verschlüsselt EFS
automatisch Folgendes:
 Alle neu in dem Ordner erstellten Dateien.

Alle unverschlüsselten Dateien, die in den Ordner kopiert oder verschoben werden.

Optional alle vorhandenen Dateien und Unterordner.
Offlinedateien, die in Windows 2000 clientseitige Zwischenspeicherung genannt werden, können ebenfalls mit
EFS verschlüsselt werden.
Verschlüsseln von Offlinedateien
In Windows 2000 wurde die Funktionalität der clientseitigen Zwischenspeicherung eingeführt, die nun als
"Offlinedateien" bezeichnet wird. Es handelt sich hierbei um eine Microsoft IntelliMirror®Verwaltungstechnologie, die Netzwerkbenutzern den Zugriff auf freigegebene Netzwerkordner auch dann
ermöglicht, wenn der Clientcomputer nicht mit dem Netzwerk verbunden ist. Auch wenn keine Verbindung
zum Netzwerk besteht, können Benutzer unterwegs noch immer Dateien durchsuchen, lesen und bearbeiten,
da diese Dateien auf dem Clientcomputer zwischengespeichert wurden. Sobald der Benutzer später die
Verbindung zum Server herstellt, gleicht das System die Änderungen mit dem Server ab.
Der Windows XP Professional-Client kann mithilfe von EFS Offlinedateien und -ordner verschlüsseln. Diese
Funktion wird besonders von Personen geschätzt, die viel unterwegs sind, dabei regelmäßig offline arbeiten
und die Datensicherheit gewährleisten müssen.
Verschlüsseln der Offlinedatei-Datenbank
Sie haben nun die Möglichkeit, die Datenbank mit den Offlinedateien zu verschlüsseln. Das ist eine
Verbesserung gegenüber Windows 2000, da die zwischengespeicherten Dateien hier nicht verschlüsselt
Neuigkeiten bei der Sicherheit von Windows XP
21
werden konnten. Windows XP bietet Ihnen die Möglichkeit zum Verschlüsseln der Offlinedateien, um alle
lokal zwischengespeicherten Dokumente vor Diebstahl zu schützen. Gleichzeitig wird Ihren lokal
zwischengespeicherten Daten ein zusätzlicher Schutz bereitgestellt.
Sie können beispielsweise Offlinedateien verwenden und vertrauliche Daten dabei geschützt halten. Und falls
Sie ein IT-Administrator sind, können Sie mit dieser Funktion alle lokal zwischengespeicherten Dokumente
schützen. Offlinedateien stellen einen hervorragenden Schutz dar, falls ein tragbarer Computer mit
vertraulichen Daten im Zwischenspeicher der Offlinedateien gestohlen wird.
Diese Funktion unterstützt die Ver- und Entschlüsselung der gesamten Offlinedatenbank. Zum Konfigurieren
der Verschlüsselungsart für die Offlinedateien sind Administratorrechte erforderlich. Klicken sie unter
Arbeitsplatz im Menü Extras auf Ordneroptionen, und aktivieren Sie dann auf der Registerkarte
Offlinedateien das Kontrollkästchen Offlinedateien verschlüsseln, um Daten zu schützen.
In Abbildung 7 sehen Sie die Optionen für das Verschlüsseln der Offlinedatei-Datenbank.
Abbildung 7 Verschlüsseln der Offlinedatei-Datenbank
Neuigkeiten bei der Sicherheit von Windows XP
22
EFS-Remotevorgänge im Zusammenhang mit Dateifreigaben und Webordnern
Sie können in Netzwerkfreigaben oder in WebDAV-Ordnern (Web Distributed Authoring and Versioning)
gespeicherte Dateien ver- und entschlüsseln. Webordner haben gegenüber Dateifreigaben einige Vorteile.
Sie sollten deshalb für die Remotespeicherung von verschlüsselten Dateien, wenn möglich, stets Webordner
verwenden.
Der Verwaltungsaufwand bei Webordnern ist geringer, und sie sind sicherer als Dateifreigaben. In
Webordnern können verschlüsselte Dateien mithilfe der standardmäßigen HTTP-Dateiübertragungen über
das Internet sicher gespeichert oder verteilt werden. Die Verwendung von Dateifreigaben für EFSRemotevorgänge erfordert eine Domänenumgebung von Windows 2000 oder höher. Dies ist erforderlich, weil
EFS zum Ver- oder Entschlüsseln von Dateien für den Benutzer die Identität des Benutzers über die
Delegierung des Kerberos-Protokolls bestimmen muss.
Hauptunterschied
Der Hauptunterschied zwischen EFS-Remotevorgängen im Zusammenhang mit Dateien, die in
Dateifreigaben und Dateien, die in Webordnern gespeichert sind, liegt darin, wo diese Vorgänge stattfinden.
Beim Speichern von Dateien in Dateifreigaben werden alle EFS-Vorgänge auf dem Computer ausgeführt, auf
dem die Dateien gespeichert sind. Wenn Sie z. B. die Verbindung zu einer Netzwerkfreigabe herstellen und
eine zuvor verschlüsselte Datei öffnen, dann wird die Datei auf dem Computer entschlüsselt, auf dem sie
gespeichert wurde. Anschließend wird die Datei unverschlüsselt über das Netzwerk auf Ihren Computer
übertragen.
Bei Dateien, die in Webordnern gespeichert wurden, finden alle EFS-Vorgänge auf Ihrem lokalen Computer
statt. Wenn Sie z. B. die Verbindung zu einem Webordner herstellen und eine zuvor verschlüsselte Datei
öffnen, bleibt die Datei beim Übertragen auf Ihren Computer verschlüsselt und wird durch EFS auf Ihrem
Computer entschlüsselt.
Dieser Unterschied darin, wo EFS-Vorgänge stattfinden, erklärt auch die Tatsache, dass Dateifreigaben mehr
Verwaltungsschritte erfordern als Webordner.
EFS-Remotevorgänge in einer Webordnerumgebung
Wenn Sie verschlüsselte Dateien öffnen, die in Webordnern gespeichert sind, bleiben die Dateien beim
Übertragen verschlüsselt. EFS entschlüsselt die Dateien lokal. Beim Uploaden und Downloaden von Dateien
in bzw. aus Webordnern werden Rohdaten übertragen. Deshalb wären die Daten, selbst wenn ein unbefugter
Benutzer beim Übertragen einer verschlüsselten Datei darauf zugreift, verschlüsselt und unbrauchbar.
EFS in Verbindung mit Webordnern macht eine spezielle Software für die sichere Freigabe verschlüsselter
Dateien zwischen Benutzern, Unternehmen und Organisationen unnötig. Dateien können für einen schnellen
Zugriff auf herkömmlichen Intranetdateiservern oder im Internet gespeichert werden und bleiben mit EFS
zuverlässig geschützt.
WebDAV-Redirector
Der WebDAV-Redirector ist ein Miniredirector, der das WebDAV-Protokoll unterstützt, eine Erweiterung des
Standards HTTP, Version 1.1, und dient der Remotedokumentfreigabe über HTTP. Vorhandene
Anwendungen werden vom WebDAV-Redirector unterstützt. Er ermöglicht die Dateifreigabe im Internet an
Neuigkeiten bei der Sicherheit von Windows XP
23
HTTP-Server, z. B. über Firewalls und Router. Internet-Informationsdienste (Internet Information Services,
IIS), Version 5.0 (Windows 2000), unterstützt Webordner.
Sie greifen auf dieselbe Weise auf Dateiordner zu wie auf Dateifreigaben. Sie können einem Webordner mit
dem Befehl Net Use oder über Windows-Explorer ein Netzwerklaufwerk zuordnen. Wenn die Verbindung zu
dem Webordner hergestellt ist, können Sie Dateien genau wie bei Dateifreigaben kopieren und ver- oder
entschlüsseln.
Zertifikatsdienste
Die Zertifikatsdienste sind der Teil des zentralen Betriebssystems, der es einem Unternehmen ermöglicht, als
eigene Zertifizierungsstelle zu fungieren und digitale Zertifikate auszustellen und zu verwalten.
Windows XP Professional unterstützt mehrere Ebenen der Zertifizierungshierarchie sowie ein
vertrauenswürdiges Netzwerk mit Kreuzzertifizierung. Dazu gehören auch Offline- und
Onlinezertifizierungsstellen.
Speicherung von Zertifikaten und öffentlichen Schlüsseln
Windows XP Professional speichert Ihre auf öffentlichem Schlüssel basierten Zertifikate im persönlichen
Zertifikatspeicher. Zertifikate werden unverschlüsselt gespeichert, da sie zu öffentlichen Informationen
gehören. Sie werden zum Schutz vor Manipulationen digital von Zertifizierungsstellen signiert.
Benutzerzertifikate befinden sich im Ordner Dokumente und
Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates für jedes
Benutzerprofil. Diese Zertifikate werden bei jedem Anmelden am Computer in den persönlichen Speicher in
der Systemregistrierung geschrieben. Für servergespeicherte Profile können die Zertifikate an beliebiger
Stelle gespeichert werden. Wenn Sie sich an einem anderen Computer der Domäne anmelden, werden die
Zertifikate auf diesen Computer übertragen.
Speicherung privater Schlüssel
Private Schlüssel von auf Microsoft basierten Kryptografiedienstanbietern (Cryptographic Service Providers,
CSPs), einschließlich des Base CSPs und des Enhanced CSPs, befinden sich im Benutzerprofil unter
Stammverzeichnis\Dokumente und
Einstellungen\Benutzername\Anwendungsdaten\Microsoft\Crypto\RSA.
Bei einem servergespeicherten Benutzerprofil befindet sich der private Schlüssel im Ordner RSA des
Domänencontrollers und wird auf Ihren Computer gedownloadet. Dort bleibt er bis zu Ihrer Abmeldung oder
einem Neustart des Computers.
Da private Schlüssel geschützt werden müssen, werden alle Dateien im Ordner RSA automatisch mit einem
willkürlich gewählten, symmetrischen Schlüssel verschlüsselt, dem so genannten Hauptschlüssel des
Benutzers. Der Hauptschlüssel des Benutzers ist 64 Bytes lang und wird von einem effizienten
Zufallsgenerator erzeugt. 3DES-Schlüssel werden vom Hauptschlüssel abgeleitet und dienen dem Schutz
privater Schlüssel. Der Hauptschlüssel wird automatisch erzeugt und regelmäßig erneuert.
Der Hauptschlüssel wird beim Speichern auf der Festplatte durch einen Schlüssel, der zum Teil auf Ihrem
Kennwort basiert, 3DES-geschützt. Er verschlüsselt im Ordner RSA jede Datei automatisch beim Erstellen.
Neuigkeiten bei der Sicherheit von Windows XP
24
Automatische Registrierung von Benutzerzertifikaten
In Windows 2000 wurde die automatische Registrierung von Benutzerzertifikaten eingeführt. Die
automatische Registrierung von Zertifikaten für Computer oder Domänencontroller wird über
Gruppenrichtlinien und Microsoft Active Directory™ aktiviert. Die automatische Registrierung von
Computerzertifikaten eignet sich besonders, um eine IPSec- oder L2TP/IPSec VPN-Verbindung mit
Windows XP-Routing- und RAS-Servern und ähnlichen Geräten zu vereinfachen.
Mit der automatischen Zertifikatregistrierung werden die Betriebskosten gesenkt und die Zertifikatverwaltung
für Benutzer und Administratoren vereinfacht. Die Sicherheit für Benutzer in Unternehmen wird durch die
Funktionen der automatischen Registrierung durch Smartcards und der selbstsignierten Zertifikate
verbessert. Darüber hinaus werden die Sicherheitsmaßnahmen in Organisationen mit erhöhtem
Sicherheitsbedarf vereinfacht.
Ausstehende Zertifikatsanforderungen und Erneuerung
Die automatische Benutzerregistrierung in Windows XP Professional unterstützt ausstehende
Zertifikatsanforderungen und Erneuerungsfunktionen. Sie können ein Zertifikat von einer
Windows .NET Server-Zertifizierungsstelle manuell oder automatisch anfordern. Diese Anforderung wird bis
zum Eingang der administrativen Genehmigung oder dem Abschluss der Verifizierung zwischengespeichert.
Sobald das Zertifikat genehmigt bzw. ausgegeben wurde, wird die automatische Registrierung fortgesetzt und
Ihr Zertifikat automatisch installiert.
Bei der Erneuerung abgelaufener Benutzerzertifikate wird ebenfalls das Verfahren der automatischen
Registrierung eingesetzt. Zertifikate werden je nach den Angaben in der Zertifikatvorlage von Active Directory
automatisch für den Benutzer erneuert.
Zertifikate und Schlüssel werden standardmäßig geschützt. Zusätzlich können Sie optionale
Sicherheitsmaßnahmen für einen weiteren Schutz implementieren. Falls Sie die Sicherheit der Zertifikate und
Schlüssel erhöhen müssen, können Sie private Schlüssel exportieren und an sicherer Stelle aufbewahren.
In Abbildung 8 sehen Sie einige der Optionen für das Einrichten der automatischen Zertifikatregistrierung.
Neuigkeiten bei der Sicherheit von Windows XP
25
Abbildung 8 Eigenschaften von Einstellungen für die automatische Registrierung
Anmeldeinformationsverwaltung
Die Anmeldeinformationsverwaltung in Windows XP besteht aus drei Komponenten: Benutzeroberfläche für
Eingabeaufforderungen zu Anmeldeinformationen, gespeicherte Benutzernamen und Kennwörter sowie die
Schlüsselsammlung. In Kombination bilden diese drei Komponenten ein kompaktes Anmeldeverfahren.
Eingabeaufforderungen zu Anmeldeinformationen
Die Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen wird von einer Anwendung
angezeigt, wenn von dem Authentifizierungspaket ein Authentifizierungsfehler zurückgegeben wird. (Dies trifft
nur auf Anwendungen zu, in denen die Benutzeroberfläche implementiert ist.)
In dem Dialogfeld können Sie einen Benutzernamen und ein Kennwort eingeben oder ein X.509-Zertifikat aus
dem eigenen Speicher auswählen. In der Anwendung kann auch das Kontrollkästchen Kennwort speichern
angezeigt werden, mit dem Sie Ihre Anmeldeinformationen für eine spätere Verwendung speichern können.
Nur integrierte Authentifizierungspakete (z. B. Kerberos-Protokoll, NTLM, SSL usw.) lassen das Speichern
der Anmeldeinformationen zu. Bei einer Standardauthentifizierung wird die Benutzeroberfläche für
Eingabeaufforderungen zu Anmeldeinformationen angezeigt, jedoch ohne die Option zum Speichern der
Anmeldeinformationen. In Abbildung 9 sehen Sie ein Beispiel der Benutzeroberfläche für
Eingabeaufforderungen zu Anmeldeinformationen.
Neuigkeiten bei der Sicherheit von Windows XP
26
Abbildung 9 Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen
Gespeicherte Benutzernamen und Kennwörter
Gespeicherte Benutzernamen und Kennwörter stellen einen sicheren Zwischenspeicher dar, in dem Ihre
gespeicherten Anmeldeinformationen aufbewahrt werden. Der Zugriff auf die Anmeldeinformationen wird von
den lokalen Sicherheitseinstellungen gesteuert. Die Anmeldeinformationen werden anhand der von der
Ressource zurückgegebenen Zielinformationen gespeichert.
Falls die Anmeldeinformationen mit dem Kontrollkästchen Kennwort speichern in der Benutzeroberfläche für
Eingabeaufforderungen zu Anmeldeinformationen gespeichert werden, dann erfolgt die Speicherung in
möglichst allgemeiner Form. Wenn Sie z. B. auf einen bestimmten Server in der Domäne zugegriffen hätten,
würden die Anmeldeinformationen als *.Domäne.com gespeichert. Das Speichern anderer
Anmeldeinformationen für einen anderen Server dieser Domäne würde diese Anmeldeinformationen nicht
überschreiben. Sie würden bis zur Eingabe genauerer Zielinformationen gespeichert bleiben.
Wenn über ein integriertes Authentifizierungspaket auf eine Ressource zugegriffen wird, sucht das
Authentifizierungspaket in den gespeicherten Benutzernamen und Kennwörtern nach den
Anmeldeinformationen, die den von der Ressource zurückgegebenen Zielinformationen am genauesten
entsprechen. Werden diese Anmeldeinformationen gefunden, dann werden sie vom Authentifizierungspaket
verwendet, ohne dass Eingaben von Ihnen erforderlich sind. Werden keine Anmeldeinformationen gefunden,
wird ein Authentifizierungsfehler an die Anwendung zurückgegeben, die versuchte auf die Ressource
zuzugreifen.
Anmerkung: Für diese nahtlose Authentifizierung muss die Benutzeroberfläche für Eingabeaufforderungen
zu Anmeldeinformationen nicht in der Anwendung, die auf die Ressource zuzugreifen versucht, implementiert
sein. Falls die Anwendung ein integriertes Authentifizierungspaket verwendet, versucht das Paket, die
Anmeldeinformationen abzurufen. Wenn Sie die Anmeldeinformationen eingegeben haben, ist es sogar so,
dass sie nur von dem Authentifizierungspaket abgerufen werden können.
Neuigkeiten bei der Sicherheit von Windows XP
27
In den Abbildungen 10, 11a und 11b sehen Sie Beispiele zu Benutzeroberflächen für die
Kennwortverwaltung.
Abbildung 10 Klassische Benutzeroberfläche für die Kennwortverwaltung (Windows XP Professional in einer
Domäne)
Neuigkeiten bei der Sicherheit von Windows XP
28
Abbildung 11a Benutzeroberfläche für die Kennwortverwaltung (Windows XP Home Edition und
Windows XP Professional in einer Arbeitsgruppe)
Abbildung 11b Benutzeroberfläche für die Kennwortverwaltung (Windows XP Home Edition und
Windows XP Professional in einer Arbeitsgruppe)
Neuigkeiten bei der Sicherheit von Windows XP
29
Schlüsselsammlung
Mit der Schlüsselsammlung können Sie die zu den gespeicherten Benutzernamen und Kennwörtern
gehörenden Anmeldeinformationen manuell verwalten. Sie greifen über das Benutzerkonten-Applet der
Systemsteuerung auf die Schlüsselsammlung zu.
In der Schlüsselsammlung sehen Sie eine Liste aller Anmeldeinformationen, die sich aktuell unter den
gespeicherten Benutzernamen und Kennwörtern befinden. Wenn die jeweiligen Anmeldeinformationen
hervorgehoben werden, zeigt ein Beschreibungsfeld am unteren Rand eine kurze Beschreibung der
Informationen an. Sie können hier neue Anmeldeinformationen hinzufügen und vorhandene
Anmeldeinformationen bearbeiten oder entfernen.

Hinzufügen von Anmeldeinformationen. Zum Hinzufügen von Anmeldeinformationen wird eine
Benutzeroberfläche angezeigt, die der Benutzeroberfläche für Eingabeaufforderungen zu
Anmeldeinformationen ähnelt. Sie müssen dann die Zielinformationen eingeben. Denken Sie daran, dass
die Zielinformationen Platzhalter in der Form "*" enthalten dürfen.

Bearbeiten von Anmeldeinformationen. Beim Bearbeiten der Anmeldeinformationen können Sie die
Zielinformationen oder direkt die Anmeldeinformationen ändern. Falls es sich um einen Benutzernamen
und/oder ein Kennwort handelt, können Sie von hier das Kennwort auf dem Server ändern.
Anmeldeinformationen, die speziell von einer Anwendung erstellt wurden, können Sie nicht mithilfe der
Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen ändern. Beispielsweise können
Sie damit keine Kennwörter bearbeiten.

Entfernen von Anmeldeinformationen. Sie können alle Anmeldeinformationen entfernen.
Die Möglichkeit zum Speichern von Anmeldeinformationen unter den gespeicherten Benutzernamen und
Kennwörtern kann mithilfe von Gruppenrichtlinien aktiviert oder deaktiviert werden.
Damit andere Softwareentwickler diesen Mechanismus verwenden können, werden die Benutzeroberfläche
für Eingabeaufforderungen zu Anmeldeinformationen und die zugrunde liegende Anmeldeinformations-API im
Platform Software Development Kit (SDK) dokumentiert.
Schnelle Benutzerumschaltung
Alle Funktionen der schnellen Benutzerumschaltung von Windows® XP Home Edition sind auch in
Windows XP Professional verfügbar. (Weitere Informationen finden Sie unter Schnelle Benutzerumschaltung
im Abschnitt zu Windows XP Home Edition in diesem Dokument.)
Auf Computern mit Windows XP Professional, die nicht mit einer Domäne verbunden sind, können Sie ohne
das Abmelden oder Schließen der Anwendungen zwischen den Benutzerkonten wechseln.
Anmerkung: Die schnelle Benutzerumschaltung des Betriebssystems Windows XP Professional ist nur bei Computern
einer Arbeitsgruppe oder eigenständigen Computern verfügbar. Wenn der Computer zu einer Domäne gehört, werden die
Optionen für das Anmelden am Computer durch die vom IT-Administrator festgelegten Richtlinien bestimmt.
Neuigkeiten bei der Sicherheit von Windows XP
30
Persönliche Datensicherheit
Die Überlegungen zur Datensicherheit, die Benutzer von Windows XP Home Edition betreffen, entsprechen
denen der Benutzer von Windows XP Professional. (Weitere Informationen finden Sie unter Persönliche
Datensicherheit im Abschnitt zu Windows XP Home Edition in diesem Dokument.)
Anmerkung: Wenn Sie Windows XP Professional im Rahmen einer Arbeitsgruppe oder auf einem eigenständigen
Computer verwenden, unterscheiden sich die verfügbaren Datensicherheitsfunktionen von den Funktionen, die auf zu
einer Domäne gehörenden Computern verfügbar sind. Gehört Ihr Computer zu einer Domäne, haben die vom
Systemadministrator festgelegten Richtlinien Vorrang.
Gemeinsame Nutzung der Internetverbindung
Alle Funktionen der gemeinsamen Nutzung der Internetverbindung von Windows® XP Home Edition sind
auch in Windows XP Professional verfügbar. (Weitere Informationen finden Sie unter Gemeinsame Nutzung
der Internetverbindung im Abschnitt zu Windows XP Home Edition in diesem Dokument.)
Standortbezogene Gruppenrichtlinien der gemeinsamen Nutzung der Internetverbindung
Das Besondere an der gemeinsamen Nutzung der Internetverbindung in Windows XP Professional sind die
standortbezogenen Gruppenrichtlinien. Diese Funktion eignet sich speziell für Benutzer tragbarer Computer.
Wenn ein Windows XP Professional-Computer zu einer Domäne gehört, kann der Domänenadministrator
eine Gruppenrichtlinie erstellen, mit der die Verwendung der gemeinsamen Nutzung der Internetverbindung
im Unternehmensnetzwerk unterbunden wird. Sobald Sie den Computer mit nach Hause nehmen, ist die
gemeinsamen Nutzung der Internetverbindung verfügbar, da die Richtlinie nicht auf Ihr Heimnetzwerk zutrifft.
Anmerkung: Die gemeinsame Nutzung der Internetverbindung des Betriebssystems Windows XP Professional ist nur bei
Computern einer Arbeitsgruppe oder bei eigenständigen Computern verfügbar. Wenn der Computer zu einer Domäne
gehört, werden die Optionen für Verbindungen mit dem Internet durch die vom IT-Administrator festgelegten Richtlinien
bestimmt.
Internetverbindungsfirewall
Alle Funktionen des Internetverbindungsfirewalls von Windows® XP Home Edition sind auch in
Windows XP Professional verfügbar. Der Internetverbindungsfirewall von Windows XP Professional schützt
Desktop- und tragbare Computer vor Sicherheitsgefährdungen bei der Verwendung von DSL-, Kabel- oder
DFÜ-Modemverbindungen zu einem Internetdienstanbieter.
Standortbezogene Gruppenrichtlinien des Internetverbindungsfirewalls
Das Besondere am Internetverbindungsfirewall in Windows XP Professional sind die standortbezogene
Gruppenrichtlinien. Diese Funktion eignet sich speziell für Benutzer, die Ihre tragbaren Computer zu Hause
oder an anderen Orten schützen möchten, wie in Hotels, auf Flughäfen oder an anderen öffentlichen
"Hotspots" für Internetverbindungen.
Wenn ein Windows XP Professional-Computer zu einer Domäne gehört, kann der Domänenadministrator
eine Gruppenrichtlinie erstellen, mit der die Verwendung des Internetverbindungsfirewalls während der
Verbindung mit dem Unternehmensnetzwerk deaktiviert wird. Auf diese Weise können Ressourcen des
Unternehmensnetzwerkes mit dem Laptop verwendet werden, ohne dass komplizierte Maßnahmen von Ihrer
Neuigkeiten bei der Sicherheit von Windows XP
31
Seite oder durch den Netzwerkadministrator erforderlich wären. Wenn Sie den Computer nach Hause oder an
einen anderen Internetverbindungs-Hotspot bringen, ist der Internetverbindungsfirewall verfügbar, da die
Richtlinie außerhalb des Unternehmensnetzwerkes nicht zutrifft.
Funktionsweise des Internetverbindungsfirewalls
Der Internetverbindungsfirewall arbeitet als statusbehafteter Paketfilter, der dieselbe Technologie verwendet
wie die gemeinsame Nutzung der Internetverbindung. Zwar ist der Internetverbindungsfirewall eine
eigenständige Funktion, doch können Sie ihn auch auf dem freigegebenen Adapter zum Schutz Ihres
Heimnetzwerkes ausführen.
Wenn er aktiviert ist, blockiert dieser statusbehaftete Filter alle aus dem öffentlichen Netzwerk stammenden
unaufgeforderten Verbindungen. Zu diesem Zweck verwendet der Internetverbindungsfirewall die NATTabelle (Network Address Translation, Netzwerkadressübersetzung) und vergleicht jeden eingehenden
Datenverkehr mit den Einträgen in der NAT-Tabelle. Eingehender Datenverkehr wird nur dann weitergeleitet,
wenn eine Zuordnung in der NAT-Tabelle vorhanden ist, die aus dem Firewallsystem oder aus dem
geschützten internen Netzwerk stammt. Das heißt, wenn die Netzwerkkommunikation nicht innerhalb des
geschützten Netzwerks aufgebaut wurde, werden die eingehenden Daten verworfen.
Bei der Verwendung des Internetverbindungsfirewalls von Windows XP Professional können Sie sicher sein,
dass Hacker Ihr System nicht durchsuchen oder auf Ihre Ressourcen zugreifen können. Es gibt jedoch einen
Nachteil. Der Firewall erschwert die Konfiguration Ihres Systems als Server für andere Teilnehmer im
Internet.
Anmerkung: Der Internetverbindungsfirewall des Betriebssystems Windows XP Professional ist nur bei Computern einer
Arbeitsgruppe oder bei eigenständigen Computern verfügbar. Wenn der Computer zu einer Domäne gehört, werden die
Funktionen des Firewallschutzes durch die vom IT-Administrator festgelegten Richtlinien bestimmt.
Sicherheitsbezogene Gruppenrichtlinieneinstellungen
Windows XP enthält Sicherheitsvorlagen. Mit diesen vorkonfigurierten Sammlungen von
sicherheitsbezogenen Richtlinien kann eine jeweils angemessene Sicherheitsstufe auf Arbeitsstationen
sichergestellt werden. Die Vorlagen liefern Standardkonfigurationen zu einer niedrigen, mittleren und hohen
Sicherheit und können speziellen Anforderungen entsprechend angepasst werden.
Sie können auch Sicherheitsrichtlinien für folgende Bereiche der Kennwortverwaltung festlegen:

Bestimmen der Mindestlänge von Kennwörtern.

Festlegen des für Kennwortänderungen erforderlichen Intervalls.

Steuern des Zugriffs auf Ressourcen und Daten.
Richtlinien für Softwareeinschränkung
Richtlinien für Softwareeinschränkung stellen Administratoren einen richtlinienbezogenen Mechanismus
bereit, der die Software, die auf deren Domänen ausgeführt wird, identifiziert und die Möglichkeiten zum
Ausführen dieser Software steuert. Die Verwendung von Richtlinien für Softwareeinschränkung ermöglicht es
Neuigkeiten bei der Sicherheit von Windows XP
32
Administratoren, das Ausführen unerwünschter Anwendungen zu verhindern, zu denen Viren und Trojanische
Pferde gehören oder auch Software, die nach der Installation bekanntermaßen Konflikte verursacht.
Verwenden von Richtlinien für Softwareeinschränkung
Als Administrator können Sie mithilfe einer Richtlinie für Softwareeinschränkung die ausgeführte Software auf
eine Reihe von vertrauenswürdigen Anwendungen beschränken. Der Dateipfad, der Dateihash, das
Microsoft® Authenticode®-Signaturgeberzertifikat oder die Internetzone geben der Richtlinie die
Anwendungen an. Sobald die Anwendung identifiziert ist, erzwingt das System die vom Administrator
festgelegten Richtlinien.
Richtlinien für Softwareeinschränkung können auch als Schutz vor skriptbasierten Viren und Trojanischen
Pferden dienen. Ein Administrator kann eine Richtlinie für Softwareeinschränkung konfigurieren, nach der nur
von Mitgliedern der IT-Organisation signierte Skripts ausgeführt werden dürfen. Dadurch werden alle
skriptbasierten Viren, wie z. B. ILOVEYOU.VBS, abgewehrt. Mit Richtlinien für Softwareeinschränkung kann
auch geregelt werden, welche Anwendungen Benutzer auf den Computern installieren dürfen.
Richtlinien für Softwareeinschränkung können auf einem eigenständigen Computer durch Konfigurieren der
lokalen Sicherheitsrichtlinie verwendet werden. Sie integrieren sich auch in die Gruppenrichtlinie und in Active
Directory. Es ist möglich, verschiedene Richtlinien für Softwareeinschränkung für verschiedene Gruppen von
Benutzern oder Computern anzupassen. Ein Windows XP-Computer kann für das Erstellen einer Richtlinie
für Softwareeinschränkung in einer Windows 2000-Umgebung verwendet werden. Der Windows 2000Computer in der Domäne ignoriert die Richtlinie für Softwareeinschränkung, wohingegen der Windows XPComputer sie anwendet.
Erstellen einer Richtlinie für Softwareeinschränkung
Eine Richtlinie für Softwareeinschränkung wird mithilfe des Gruppenrichtlinien-Snap-Ins der Microsoft
Management Console (MMC) erstellt. Die Richtlinie besteht aus einer Standardregel dazu, ob Programme
ausgeführt werden dürfen, sowie aus Ausnahmen zu dieser Regel. Die Standardregel kann auf nicht
eingeschränkt oder nicht zugelassen, also im Wesentlichen auf "ausführen" oder "nicht ausführen"
festgelegt werden. Das Festlegen der Standardregel auf nicht eingeschränkt ermöglicht einem
Administrator das Definieren von Ausnahmen, die sich genau auf die Reihe von Programmen beziehen,
deren Ausführung nicht zugelassen ist. Ein sichereres Verfahren wäre es, die Standardregel auf nicht
zugelassen festzulegen und nur die Programme für die Ausführung anzugeben, die bekannt und
vertrauenswürdig sind.
Zwei Arten von Richtlinien für Softwareeinschränkung
Es gibt zwei Möglichkeiten der Verwendung von Richtlinien für Softwareeinschränkung. Wenn ein
Administrator alle Anwendungen identifiziert hat, deren Ausführung erlaubt werden soll, kann er anhand einer
Richtlinie für Softwareeinschränkung die Ausführung auf ausschließlich diese Liste von vertrauenswürdigen
Anwendungen beschränken. Falls ein Administrator nicht alle Anwendungen kennt, die die Benutzer
ausführen werden, muss er von Fall zu Fall aktiv werden und ungeeignete Anwendungen einschränken,
sobald er sie entdeckt.
Richtlinien für Softwareeinschränkung können in den folgenden Szenarien angewendet werden:

Nur vertrauenswürdiger Code darf ausgeführt werden. Wenn jeder vertrauenswürdige Code
Neuigkeiten bei der Sicherheit von Windows XP
33
identifiziert werden kann, dann kann der Administrator das System wirkungsvoll sperren. Die folgenden
Beispiele zeigen, wo die Richtlinie nur vertrauenswürdiger Code darf ausgeführt werden angewendet
wird:

Anwendungsstation

Taskstation

Kiosk
In diesen Fällen wird die Standardregel auf nicht zulässig festgelegt. Mit den Ausnahmen zu dieser Regel
dürfen nur vertrauenswürdige Anwendungen ausgeführt werden. Ein Beispiel für diese Richtlinie wäre ein
Computer, auf dem nur bestimmte Anwendungen ausgeführt werden sollen und Benutzer keine weitere
Software installieren können. Ein Administrator könnte eine Richtlinie erstellen, nach der nur Microsoft Word
und Microsoft Excel auf dem Computer ausgeführt werden dürfen. Falls ein Benutzer ein Programm
downloadet oder von einer Diskette auszuführen versucht, wird die Ausführung verhindert, da es sich nicht
auf der von der Richtlinie definierten Liste der vertrauenswürdigen Programme befindet.

Unerwünschter Code darf nicht ausgeführt werden. Manchmal kann ein Administrator nicht die
gesamte Palette an Software vorhersehen, die von Benutzern benötigt wird. In diesen Fällen kann der
Administrator nur reagieren und unerwünschten Code identifizieren, sobald er auftritt. Unternehmen mit
lose verwalteten Clients gehören zu diesem Modell. Die folgenden Szenarien sind Beispiele für diesen
Fall:

Kaum verwaltete persönliche Computer

Wenig verwaltete persönliche Computer
Ein Administrator stellt beispielsweise fest, dass viele Benutzer eine Anwendungen ausführen, in der Dateien
gemeinsam genutzt werden, was die Netzwerkbandbreite erheblich belastet. Er kann dann eine Regel
erstellen, die diese Anwendung identifiziert und an der Ausführung hindert. Falls Benutzer ein Programm
installieren, das bekanntermaßen Konflikte mit vorhandener Software verursacht, kann der Administrator eine
Regel erstellen, die das Installationsprogramm dieser Software identifiziert und an der Installation hindert.
In Abbildung 12 sehen Sie Einstellungen einer Richtlinie für Softwareeinschränkung.
Neuigkeiten bei der Sicherheit von Windows XP
34
Abbildung 12 Richtlinien für Softwareeinschränkung – Lokale Sicherheitseinstellungen
Regeln zur Softwareidentifikation
Ein Administrator identifiziert Software mithilfe der folgenden Regeln:

Hashregel. Ein MMC-Snap-In zu den Richtlinien fü Softwareeinschränkung ermöglicht einem
Administrator zu einer Datei zu wechseln und dieses Programm durch Berechnung seines Hash zu
identifizieren. Ein Hash ist eine Art digitaler Fingerabdruck, der ein Programm oder eine Datei eindeutig
identifiziert. Eine Datei kann umbenannt oder in einen anderen Ordner oder auf einen anderen Computer
verschoben werden, besitzt jedoch noch immer denselben Hash.

Pfadregel. Eine Pfadregel kann Software nach dem vollständigen Pfadnamen identifizieren,
beispielsweise C:\Programme\Microsoft Office\Office\excel.exe, oder nach dem Pfadnamen, der zum
übergeordneten Ordner führt, wie z. B. C:\Windows\System32. (In diesem Fall würden alle Programme
in diesem Verzeichnis und in den Unterverzeichnissen identifiziert.) Pfadregeln können auch
Umgebungsvariablen verwenden, wie %userprofile%\Lokale Einstellungen\Temp.

Zertifikatregel. Eine Zertifikatregel identifiziert Software nach dem Herausgeberzertifikat, mit dem die
Software digital signiert wurde. Beispielsweise kann ein Administrator eine Zertifikatregel konfigurieren,
mit der die Installation von Software zugelassen wird, die von Microsoft oder der IT-Organisation von
Microsoft signiert wurde.

Zonenregel. Eine Zonenregel identifiziert Software, die aus dem Internet, dem lokalen Intranet, von
vertrauenswürdigen Sites oder von eingeschränkten Sites stammt.
Steuern digital signierter Software
Mit Richtlinien für Softwareeinschränkung hat ein Administrator folgende Möglichkeiten, digital signierte
Software zu steuern:
 Einschränken von Microsoft ActiveX®-Steuerelementen. Ein Administrator kann ActiveXSteuerelemente angeben, die für eine bestimmte Domäne in Internet Explorer ausgeführt werden. Er
lässt dazu anhand einer Richtlinie für Softwareeinschränkung vertrauenswürdige Zertifikate von
Softwareherausgebern auflisten. Wenn sich der Herausgeber eines ActiveX-Steuerelements in der Liste
der vertrauenswürdigen Herausgeber befindet, wird die Software automatisch nach dem Downloaden
ausgeführt. Eine Richtlinie für Softwareeinschränkung kann auch nicht zulässige Herausgeber auflisten.
Auf diese Weise wird automatisch das Ausführen von ActiveX-Steuerelementen verhindert, die von
diesen Herausgebern signiert wurden.
Mithilfe einer Richtlinie für Softwareeinschränkung kann auch gesteuert werden, wer eine
Vertrauensentscheidung zu einem unbekannten Herausgeber trifft, d. h. zu einem Herausgeber, der nicht
ausdrücklich als vertrauenswürdig oder nicht vertrauenswürdig gilt. Richtlinien für die
Softwareeinschränkung können festgelegt werden, um nur lokalen Administratoren oder
Domänenadministratoren die Entscheidung zu überlassen, welcher Herausgeber als vertrauenswürdig
gilt, und zu verhindern, dass Benutzer diese Entscheidung treffen.

Verwenden von Windows Installer. Mit Windows Installer installierte Programme können digital signiert
Neuigkeiten bei der Sicherheit von Windows XP
35
werden. Mithilfe einer Richtlinie für Softwareeinschränkung kann ein Administrator festlegen, dass nur
von einem bestimmten Softwareherausgeber digital signierte Software installiert werden kann. Windows
Installer überprüft dann vor der Installation der Software auf dem Computer, ob eine zulässige Signatur
vorhanden ist.

Verwenden von Microsoft Visual Basic® Script. Visual Basic Script-Dateien können digital signiert
werden. Ein Administrator kann eine Richtlinie für Softwareeinschränkung konfigurieren, nach der Visual
Basic Script-Dateien (.vbs) von genehmigten Softwareherausgebern digital signiert werden müssen,
damit sie ausgeführt werden können.
Internet Protocol Security (IPSec)
Der Bedarf an einer IP-basierten Netzwerksicherheit ist in der heutigen vernetzten Geschäftswelt des
Internets, von Intranets, Zweigniederlassungen und des Remotezugriffs nahezu überall vorhanden. Da
ständig vertrauliche Informationen über Netzwerke weitergeleitet werden, ist es die Aufgabe von
Netzwerkadministratoren und anderer IT-Experten, sicherzustellen, das dieser Datenverkehr folgenden
Kriterien entspricht:

Die Daten können während der Übertragung nicht geändert werden.

Die Daten können nicht abgefangen, angezeigt oder kopiert werden.

Unbefugte können keine falsche Identität vortäuschen.

Die Daten können nicht abgefangen und später wiedergegeben werden, um Zugriff auf vertrauliche
Ressourcen zu erhalten. In der Regel kann ein verschlüsseltes Kennwort auf diese Weise
missbraucht werden.
Diese Sicherheitsdienste fallen unter die Begriffe Datenintegrität, Datenvertraulichkeit, Datenauthentifzierung
und Wiedergabeschutz.
Begründung für den Bedarf an IPSec
IP besitzt keinen Standardsicherheitsmechanismus. IP-Pakete können einfach gelesen, geändert,
wiedergegeben und gefälscht werden. Ohne Sicherheit können sowohl öffentliche als auch private Netzwerke
nicht autorisierter Überwachung sowie unbefugtem Zugriff ausgesetzt sein. Interne Angriffe können die Folge
minimaler oder nicht vorhandener Intranetsicherheit sein, externe Risiken für das private Netzwerk hingegen
entstehen durch Verbindungen zum Internet und zu Extranets. Eine auf Kennwörtern basierende
Benutzerzugriffssteuerung allein kann die über ein Netzwerk übertragenen Daten nicht schützen.
Aus diesem Grund wurde IPSec von der IETF (Internet Engineering Task Force) entwickelt, um die
Datenauthentifizierung, Datenintegrität, Datenvertraulichkeit und den Wiedergabeschutz auf Netzwerkebene
zu unterstützen. IPSec ist in die Sicherheit von Windows 2000 und Windows XP Professional integriert und
stellt eine ideale Plattform zum Schutz der Intranet- und Internetkommunikation bereit. Es verwendet
Verschlüsselungsalgorithmen nach Industriestandard und eine umfassende Sicherheitsverwaltung, damit die
Sicherheit jeder TCP/IP-Kommunikation auf beiden Seiten des Unternehmensfirewalls gewährleistet wird.
Das Ergebnis ist eine nahtlose Sicherheitsstrategie in Windows 2000 und Windows XP Professional, die
Schutz vor externen und internen Angriffen bietet.
Neuigkeiten bei der Sicherheit von Windows XP
36
Die IP-Sicherheit wird unter der Transportschicht bereitgestellt. Auf diese Weise bleiben Netzwerkmanager
die Schwierigkeiten und Kosten bei der Bereitstellung und Koordination der Sicherheit für jede einzelne
Anwendung erspart. Durch die Bereitstellung von Windows XP Professional IPSec und Windows 2000 IPSec
liefern Netzwerkmanager eine zuverlässige Ebene für den Schutz des gesamten Netzwerkes, da
Anwendungen automatisch über IPSec-Server und -Clients geschützt werden.
In Abbildung 13 sehen Sie Einstellungen von IPSec.
Abbildung 13 IPSec – Lokale Sicherheitseinstellungen
Funktionsweise von IPSec zur Abwehr von Netzwerkangriffen
Ohne Sicherheitsmaßnahmen können Daten einem Angriff ausgesetzt sein. Einige Angriffe sind passiv, d. h.
Informationen werden nur überwacht. Andere Angriffe sind aktiv, was bedeutet, dass Informationen mit der
Absicht geändert werden, Daten bzw. das Netzwerk selbst zu beschädigen oder zu zerstören.
Tabelle 1 zeigt einige allgemeine Sicherheitsrisiken in heutigen Netzwerken und wie sie mithilfe von IPSec
verhindert werden können.
Tabelle 1 Arten der Netzwerkangriffe und deren Verhinderung durch IPSec
Angriffsart
Beschreibung
Verhinderung durch IPSec
Lauschangriff
Überwachen von Klartext- bzw.
(auch
unverschlüsselten Datenpaketen.
"Aufspüren" oder
"Snooping"
genannt)
Daten werden vor der Übertragung
verschlüsselt, so dass der Zugriff auf
Originaldaten auch dann nicht möglich ist,
wenn das Datenpaket überwacht oder
abgefangen wird. Nur Peers verfügen über
den Verschlüsselungsschlüssel.
Datenänderung
Mittels Datenhash wird jedem Paket eine
kryptografische Prüfsumme angefügt, die
vom empfangenen Computer überprüft
wird, damit Änderungen entdeckt werden.
Ändern und Übertragen modifizierter
Datenpakete.
Neuigkeiten bei der Sicherheit von Windows XP
37
Angriffsart
Beschreibung
Verhinderung durch IPSec
Identity Spoofing
Die Verwendung konstruierter oder
abgefangener Datenpakete mit dem
Ziel, eine gültige Adresse
vorzutäuschen.
Das Protokoll Kerberos Version 5, auf
öffentlichem Schlüssel basierte Zertifikate
oder vorinstallierte Schlüssel
authentifizieren Peers im Vorfeld, damit
eine sichere Kommunikation eingeleitet
werden kann.
Dienstverweigeru
ng
Berechtigte Benutzer werden am
Zugriff auf das Netzwerk gehindert.
Ein Beispiel hierfür ist die gezielte
Überlastung des Netzwerkes mit
Datenpaketen.
Ports oder Protokolle können blockiert
werden.
Man-in-theMiddle
Das Umleiten von IP-Paketen zur
Überwachung und gegebenenfalls
Änderung an nicht vorgesehene
Adressaten.
Authentifizierung von Peers.
Bekannte
Schlüssel
Verwendung zum Entschlüsseln oder
Ändern von Daten.
In Windows XP Professional werden
kryptografische Schlüssel regelmäßig
erneuert, um die Gefahr zu verringern, dass
abgefangene Schlüssel für den Zugriff auf
sichere Informationen missbraucht werden
können.
Angriff auf
Anwendungseben
e
Dieser Angriff ist hauptsächlich gegen
Anwendungsserver gerichtet und dient
dazu, Fehler im Betriebssystem oder
in Anwendungen eines Netzwerkes zu
verursachen oder Viren
einzuschleusen.
Da IPSec auf der Netzwerkebene
implementiert wird, werden Pakete, die den
Sicherheitsfiltern dieser Ebene nicht
entsprechen, keinesfalls an Anwendungen
weitergeleitet, wodurch die Anwendungen
und das Betriebssystem geschützt bleiben.
Kryptografiemechanismen
IPSec verhindert Angriffe mithilfe von Kryptografiemechanismen. Die Kryptografie ermöglicht durch Hashing
und Verschlüsselung der Informationen ein sicheres Übertragen der Daten.
Zum Sichern der Informationen wird eine Kombination aus Algorithmus und Schlüssel verwendet:

Der Algorithmus ist der mathematische Vorgang, durch den die Informationen gesichert werden.

Ein Schlüssel besteht aus einem Geheimcode oder einer Nummer, die zum Lesen, Bearbeiten und
Überprüfen gesicherter Daten benötigt wird.
IPSec ermittelt anhand von richtlinienbasierten Mechanismen, welche Sicherheitsstufe während einer
Kommunikationssitzung erforderlich ist. Richtlinien können mithilfe von Windows® 2000-Domänencontrollern
in einem Netzwerk verteilt oder lokal in der Registrierung eines Windows XP Professional-Computers erstellt
und gespeichert werden.
Funktionsweise von IPSec
Bevor Daten übertragen werden, handelt ein IPSec-Computer die Sicherheitsstufe aus, die während der
Kommunikationssitzung beibehalten wird. Bei der Aushandlung werden die Authentifizierungs-, eine Hashing, eine Tunneling- (optional) und eine Verschlüsselungsmethode (ebenfalls optional) bestimmt. Die geheimen
Neuigkeiten bei der Sicherheit von Windows XP
38
Authentifizierungsschlüssel werden lokal anhand der dabei ausgetauschten Informationen auf jedem
Computer bestimmt. Zu keinem Zeitpunkt werden tatsächliche Schlüssel übertragen. Nach dem Erstellen des
Schlüssels werden Identitäten authentifiziert, und ein gesicherter Datenaustausch beginnt.
Die resultierende Sicherheitsstufe kann je nach der IP-Sicherheitsrichtline des sendenden oder
empfangenden Computers niedrig oder hoch sein. Beispielsweise erfordert eine Kommunikationssitzung
zwischen einem Windows XP Professional-Computer und einem nicht mit IPSec kompatiblen Computer
möglicherweise keinen sicheren Übertragungskanal. Hingegen kann eine Kommunikationssitzung zwischen
einem Windows 2000-Server, auf dem sich vertrauliche Informationen befinden, und einem Intranethost eine
hohe Sicherheit erfordern.
Smartcardunterstützung
Eine Smartcard ist eine Karte mit integriertem Schaltkreis (Integrated Circuit Card, ICC) von etwa der Größe
einer Kreditkarte. Sie können darauf Zertifikate und private Schlüssel speichern und Kryptografievorgänge mit
öffentlichem Schlüssel ausführen, wie Authentifizierung, digitale Signatur und Schlüsselaustausch.
Eine Smartcard erhöht die Sicherheit auf folgende Weise:

Sie ermöglicht eine vor unbefugtem Zugriff geschützte Speicherung von privaten Schlüsseln und anderen
Arten persönlicher Informationen.

Sie grenzt sicherheitsrelevante Berechnungen im Zusammenhang mit der Authentifizierung, digitalen
Signaturen und dem Austausch von Schlüsseln aus Systembereichen aus, die diese Daten nicht
benötigen.

Sie ermöglicht die Weitergabe von Anmeldeinformationen und anderen privaten Informationen zwischen
Computern (z. B. von einem Computer im Büro auf einen Heim- oder Remotecomputer).
PIN statt Kennwort
Bei einer Smartcard wird eine PIN (Personal Identification Number) anstelle eines Kennwortes verwendet.
Durch die PIN ist die Smartcard vor Missbrauch geschützt. Der Besitzer der Smartcard wählt die PIN aus. Zur
Verwendung der Smartcard fügen Sie sie in einen am Computer angeschlossenen Smartcardleser ein und
geben dann die PIN ein.
Eine PIN bietet einen höheren Schutz als ein herkömmliches Netzwerkkennwort. Ein Kennwort (oder ein
davon abgeleiteter Hash) wird im Netzwerk weitergeleitet und kann abgefangen werden. Die Zuverlässigkeit
eines Kennwortes hängt von seiner Länge ab, wie gut es geschützt ist und wie schwierig ein unbefugter
Benutzer es erraten kann. Im Gegensatz zu einem Kennwort wird eine PIN niemals im Netzwerk
weitergeleitet. Darüber hinaus lassen Smartcards nur eine beschränkte Anzahl von fehlgeschlagenen
Versuchen zur Eingabe der richtigen PIN zu (in der Regel drei bis fünf), bevor sie gesperrt werden. Wenn das
Limit erreicht ist, funktioniert auch die Eingabe der richtigen PIN nicht mehr. Der Benutzer muss sich zum
Entsperren der Karte an einen Systemadministrator wenden.
Smartcardstandards
Windows 2000 unterstützt PC/SC-Smartcards (Personal Computer/Smart Card) und Plug & PlaySmartcardleser nach Industriestandard, die den Spezifikationen der PC/SC Workgroup entsprechen. Für die
Neuigkeiten bei der Sicherheit von Windows XP
39
Verwendung mit Windows 2000 Server und Windows XP Professional muss eine Smartcard physisch und
elektronisch den Standards ISO 7816-1, 7816-2 und 7816-3 entsprechen.
Smartcardleser können an die Standardperipherieschnittstellen von persönlichen Computern angeschlossen
werden, wie RS-232, PC Card und USB (Universal Serial Bus). Einige RS-232-Leser besitzen ein
zusätzliches Kabel, das zur Stromaufnahme des Lesers im PS/2-Anschluss eingesteckt werden kann. Der
Leser kommuniziert jedoch nicht über den PS/2-Anschluss.
Leser sind Windows-Standardgeräte und tragen eine Sicherheitsbeschreibung und eine Plug & Play-ID.
Smartcardleser werden durch Windows-Standardgerätetreiber gesteuert, und sie können mithilfe des
Hardware-Assistenten installiert oder entfernt werden.
Windows 2000 Server und Windows XP Professional enthalten Treiber für verschiedene im Handel erhältliche
Plug & Play-Smartcardleser, die für die Anzeige des Windows-Kompatibilitätslogos zertifiziert sind. Einige
Hersteller stellen möglicherweise Treiber für nicht zertifizierte Smartcardleser bereit, die derzeit mit dem
Windows-Betriebssystem verwendet werden können. Um eine fortlaufende Unterstützung durch Microsoft
sicherzustellen, sollten Sie dennoch nur Smartcardleser erwerben, die das Windows-Kompatibilitätslogo
anzeigen.
Anmelden mit einer Smartcard
Smartcards können nur für eine Anmeldung an Domänenkonten, nicht an lokalen Konten, verwendet werden.
Wenn Sie sich mit einem Kennwort interaktiv an einem Domänenkonto anmelden, führen
Windows 2000 Server und Windows XP Professional die Authentifizierung mit dem Kerberos V5-Protokoll
durch. Bei einer Smartcard verwendet das Betriebssystem die Kerberos V5-Authentifizierung mit X.509 v3Zertifikaten, falls der Domänencontroller nicht Windows 2000 Server ausführt.

Um eine Standardanmeldesitzung einzuleiten, müssen Sie dem Schlüsselverteilungscenter-Dienst
(Key Distribution Center, KDC) Ihre Identität beweisen, indem Sie eine nur Ihnen und dem KDC bekannte
Information angeben. Die geheime Information ist ein freigegebener Kryptografieschlüssel, der von Ihrem
Kennwort abgeleitet ist. Ein geheimer freigegebener Schlüssel ist symmetrisch, d. h. derselbe Schlüssel
wird zur Ver- und Entschlüsselung verwendet.

Um die Anmeldung per Smartcard zu unterstützen, implementiert Windows 2000 Server eine
Erweiterung eines öffentlichen Schlüssels in die erste Authentifzierungsanforderung des KerberosProtokolls. Im Gegensatz zur auf freigegebenen geheimen Schlüsseln basierenden Kryptografie ist die
auf öffentlichen Schlüsseln basierende Kryptografie asymmetrisch, d. h. zwei unterschiedliche Schlüssel
sind erforderlich, einer zum Verschlüsseln und einer zum Entschlüsseln. In Verbindung bilden die
Schlüssel für diese beiden Vorgänge ein Schlüsselpaar (privater und öffentlicher Schlüssel).
Wenn eine Smartcard anstelle eines Kennwortes verwendet wird, wird ein auf der Smartcard gespeichertes
Schlüsselpaar anstelle des vom Kennwort abgeleiteten, freigegebenen geheimen Schlüssels verwendet. Der
private Schlüssel wird nur auf der Smartcard gespeichert. Der öffentliche Schlüssel kann für jeden zugänglich
gemacht werden, mit dem Sie vertrauliche Informationen austauschen möchten.
Smartcards für Verwaltungszwecke
Administratoren benötigen Tools und Dienstprogramme, die die Verwendung alternativer
Anmeldeinformationen ermöglichen, so dass sie herkömmliche Routineaufgaben mit normalen
Neuigkeiten bei der Sicherheit von Windows XP
40
Benutzerberechtigungen und gleichzeitig auch ihre speziellen Administratorfunktionen ausführen können.
Dienstprogramme wie Net.exe und Runas.exe erfüllen diesen Zweck. In Windows XP Professional wurden
diese Tools für die Unterstützung von Smartcardanmeldeinformationen aufgenommen.
Kerberos Version 5-Authentifizierungsprotokoll
In Windows 2000 und Windows XP Professional können Ihre Anmeldeinformationen durch ein Kennwort, ein
Kerberos-Ticket oder eine Smartcard, falls der Computer für Smartcards ausgerüstet ist, bereitgestellt
werden.
Das Kerberos V5-Protokoll ermöglicht die gegenseitige Authentifizierung zwischen einem Client, wie einem
Benutzer, Computer oder Dienst, und einem Server. Dadurch können Server Clients selbst in den größten
und komplexesten Netzwerkumgebungen effizienter authentifizieren.
Voraussetzung für Kerberos
Das Kerberos-Protokoll basiert auf der Voraussetzung, dass die einleitenden Transaktionen zwischen Clients
und Servern in einem offenen Netzwerk stattfinden. In dieser Umgebung kann sich ein unbefugter Benutzer
als Client oder als Server ausgeben, um die Kommunikation zwischen autorisierten Clients und Servern
abzufangen oder zu manipulieren. Die Kerberos V5-Authentifizierung bietet unter anderem eine sichere und
effiziente Authentifizierung für komplexe Netzwerke von Clients und Ressourcen.
Das Kerberos V5-Protokoll verwendet die Verschlüsselung mit geheimem Schlüssel zum Schutz der im
Netzwerk weitergeleiteten Anmeldeinformationen. Auf der Empfängerseite können diese
Anmeldeinformationen dann mit demselben Schlüssel entschlüsselt werden. Diese Entschlüsselung und die
folgenden Schritte werden vom Kerberos-Schlüsselverteilungscenter (Key Distribution Center, KDC)
ausgeführt, das sich als Teil von Active Directory auf jedem Domänencontroller befindet.
Authentifizierer
Ein Authentifizierer ist eine Information, die bei jeder Generierung einen anderen Inhalt aufweist, wie z. B.
einen Zeitstempel. Er wird in die verschlüsselten Anmeldeinformationen aufgenommen, um sicherzustellen,
dass frühere Authentifizierungsinformationen nicht wieder verwendet werden. Ein neuer Authentifizierer wird
generiert und in die verschlüsselte Antwort des KDCs an den Client zur Bestätigung aufgenommen, dass die
ursprüngliche Nachricht empfangen und akzeptiert wurde. Wenn die ursprünglichen Anmeldeinformationen
und der Authentifizierer akzeptiert wurden, stellt das KDC ein Ticket erteilendes Ticket (Ticket-Granting
Ticket, TGT) aus, mit dem die lokale Sicherheitsautorität (Local Security Authority, LSA) Diensttickets einholt.
Diese Diensttickets können dann für den Zugriff auf Netzwerkressourcen verwendet werden, ohne dass der
Client während der Gültigkeitsdauer des Tickets erneut authentifiziert werden muss. Die Tickets enthalten
verschlüsselte Daten zur Bestätigung Ihrer Identität für den angeforderten Dienst. Mit Ausnahme der Eingabe
des ersten Kennwortes oder der Smartcardanmeldeinfomationen ist dieser Vorgang transparent.
In Abbildung 14 sehen Sie Eigenschaften der Authentifizierungsregel.
Neuigkeiten bei der Sicherheit von Windows XP
41
Abbildung 14 Eigenschaften der Authentifizierungsregel
Kerberos Key Distribution Center-Dienst
Mit diesem Dienst werden in Verbindung mit dem Kerberos-Authentifizierungsprotokoll
Anmeldeanforderungen an Active Directory authentifiziert.
Das Kerberos Version 5-Authentifizierungsprotokoll ist zwar der Standard in Windows 2000 Server und
Windows XP Professional, doch müssen beide Netzwerkdomänencontroller und Clientcomputer
Windows 2000 oder Windows XP Professional ausführen, damit die Kerberos-Authentifizierung verwendet
werden kann. Alternativ wird das NTLM-Protokoll für die Authentifizierung verwendet, falls die obigen
Bedingungen nicht erfüllt sind.
Neuigkeiten bei der Sicherheit von Windows XP
42
Zusammenfassung
Windows XP ist in zwei Editions verfügbar: Windows XP Home Edition für die private Verwendung und
Windows XP Professional für Unternehmen aller Größen. Die Sicherheit wurde in Windows XP insgesamt
verbessert, so dass Sie mit dem Computer sicher, geschützt und vertraulich arbeiten können.
Falls Sie Windows XP Home Edition verwenden, werden Sie es schätzen, dass die Sicherheitsdienste flexibel
gestaltet wurden und eine Vielzahl von Sicherheits- und Vertraulichkeitssituationen berücksichtigen, denen
Sie als privater Benutzer gegenüberstehen werden. Mit Windows XP Professional auf Ihrem Computer
verfügen Sie über die Sicherheitsfunktionen, die Sie für das Netzwerk und die Sicherheit im Unternehmen
benötigen. Die neuen Verwaltungsfunktionen senken die IT-Kosten und räumen Ihnen mehr Zeit für den
Aufbau von Diensten und Lösungen in Ihrem Unternehmen ein.
Neuigkeiten bei der Sicherheit von Windows XP
43
Verwandte Links
Die aktuellsten Informationen zu Windows XP erhalten Sie in der Microsoft-Website unter
http://www.microsoft.com/windowsxp.
Neuigkeiten bei der Sicherheit von Windows XP
44
Zugehörige Unterlagen
Produkte und Leistungen solvtec ® IT CAQ
Produkte und Leistungen solvtec ® IT CAQ
Systemvoraussetzungen SQL Server
Systemvoraussetzungen SQL Server
Gesucht! - TU Berlin
Gesucht! - TU Berlin
OctoWare®TN Gesundheit Kommunalhygiene - Easy
OctoWare®TN Gesundheit Kommunalhygiene - Easy
Systemvoraussetzungen standard
Systemvoraussetzungen standard
Einführung in die Informatik - torei
Einführung in die Informatik - torei
Leiter Windows Betriebs- und Engineering Team bei
Leiter Windows Betriebs- und Engineering Team bei
Mit neuen integrierten Funktionen C/S-KETTEN
Mit neuen integrierten Funktionen C/S-KETTEN
Vergleich Windows * Linux I
Vergleich Windows * Linux I
Document
Document
Technische Daten
Technische Daten
Installation SQL Demo
Installation SQL Demo
Herunterladen
Werbung