Die Aussagen dieses Kapitels basieren auf Informationen zu Windows 2000 Beta 3. Es können sich Änderungen zu dem ausgelieferten Produkt ergeben. Allerdings werden überwiegend nur solche grundlegenden Aspekte behandelt, die nach aller Wahrscheinlichkeit auch im endgültigen Release Bestand haben.
Wann ist der Wechsel auf Windows 2000 empfehlenswert?
Windows 2000 ist als Weiterentwicklung von Windows NT 4.0 konzipiert und somit für den professionellen Einsatz vorgesehen. Obwohl Elemente der Produktlinie von Windows 95/98 in die neue Version eingeflossen sind, wird Windows 95/98 für den Privat-bereich weiter angeboten.
Insgesamt sind drei verschiedene Windows-2000-Produkte vorgesehen. Professional entspricht der Workstation-Variante von NT4, (Advanced) Server dem bisherigen NT-Server (Enterprise Edition), und DataCenter Server ist eine erweiterte Serverversion für hochperformante Anwendungen.
Neben einer Reihe von Funktionserweiterungen gegenüber Windows NT 4.0 sowie Massnahmen, die die Stabilität erhöhen sollen, wurden auch in Hinblick auf die Sicherheit Neuerungen vorgenommen. Im Folgenden sind zunächst die wesentlichen Erweiterungen aufgeführt. Wann ein Wechsel auf Windows 2000 aus Sicherheitsgründen empfehlenswert erscheint, wird abschliessend diskutiert.
Erstmals wird in Windows 2000 in einem kommerziellen Betriebssystem standardmässig die Möglichkeit angeboten, Dateien transparent zu verschlüsseln. Diese Funktionalität war bislang Zusatzprodukten vorbehalten und erforderte somit einen zusätzlichen finanziellen und administrativen Aufwand. Die datenschutzrechtliche Forderung nach Vertraulichkeit von gespeicherten Daten auch bei direktem Zugriff auf die Festplatte (z.B. bei Diebstahl eines Laptops oder im Rahmen der Wartung) kann mittels Windows 2000 daher effektiver umgesetzt werden.
Das EFS ist eng an das Dateisystem NTFS angebunden und arbeitet für den Benutzer weitgehend transparent, nachdem die erforderlichen Einstellungen vorgenommen wor-den sind. Diese bestehen neben der einmaligen Schlüsselgenerierung im Wesentlichen daraus, auf Verzeichnisebene festzulegen, welche Daten verschlüsselt werden sollen. In entsprechend markierten Verzeichnissen wird dann die Ver-
und Entschlüsselung sämtlicher Dateien und Unterverzeichnisse automatisch vorgenommen. Einschränkungen bestehen allerdings zurzeit hinsichtlich der Möglichkeit, verschlüsselte Dateien mehreren Benutzern zugänglich zu machen sowie die Verschlüsselung auf einzelne Dateien zu begrenzen. Diese Möglichkeiten sollen später ergänzt werden.
Als Kryptoalgorithmus wird DESX (DES Extended, eine Erweiterung des DES-Algorithmus, um sog. Brute-Force-Attacken zu erschweren) verwendet, wobei innerhalb der USA die volle maximale Schlüssellänge von 120 Bit, ausserhalb jedoch - aufgrund US-amerikanischer Exportbestimmungen - nur 40 Bit angeboten werden.
Abbildung: Dateiverschlüsselung bei Windows 2000 (aus: Encrypting File System for Windows 2000", Microsoft 1998)
Integraler und nicht abschaltbarer Bestandteil des EFS ist die Möglichkeit, Dateien auch ohne den privaten Schlüssel des Benutzers zu entschlüsseln (Data Recovery). Standardmässig besitzt der Domänenadministrator oder in domänenlosen Installationen der lokale Administrator dieses Recht bzw. verfügt über den Recovery-Schlüssel. Eine Verschlüsselung im Namen des Benutzers ist damit nicht möglich.
Ein weiteres Element, um Datenverlust im Rahmen der Verschlüsselung vorzubeugen, ist das Crash Recovery. Während jedes Ver- oder Entschlüsselungsvorgangs wird die betreffende Datei temporär im Klartext gespeichert, bis die Operation erfolgreich beendet wurde; dann wird die Kopie gelöscht. Wird die Operation vorzeitig beendet (z.B. durch einen Stromausfall), kann auf die Kopie noch zugegriffen werden. Dabei entstehen allerdings auf der Festplatte Kopien der zu schützenden Daten im Klartext, die erst im Rahmen der Wiederverwendung von Speicherblöcken endgültig überschrieben werden. Systemdateien, die erst beim Systemstart benötigt werden, werden jedoch nicht von EFS erfasst, da die Ver- und Entschlüsselung erst nach dem Laden des Betriebssystems verfügbar ist.
Hinsichtlich der Zugriffsschutzmechanismen bietet Windows 2000 keine Erweiterungen gegenüber Windows NT bei Verwendung des NTFS-
Dateisystems. Allerdings werden die vorhandenen Möglichkeiten durch eine erweiterte Definition von Standardrollen besser genutzt. In Windows 2000 werden drei Klassen von Benutzern unterschieden: Administratoren, Benutzer (Power-User) und Anwender (User). Dabei ist die Administrator-Klasse mit der von Windows NT identisch, während der Benutzer dem gewöhnlichen Windows-NT-Benutzer entspricht, der zwar nicht über Administrationsrechte verfügt, jedoch weitgehende Manipulationen im System vornehmen kann. Neu ist die Rolle des Anwenders, der keine Änderungen an Verzeichnissen oder in der Registry vornehmen kann, die sich auf andere Benutzer auswirken. Damit soll vermieden werden, dass sich verschiedene Benutzer eines Windows-Systems gegenseitig stören, beispielsweise wenn im Rahmen von Installationsvorgängen DLL-Dateien im Systemverzeichnis oder übergreifende Registryeinträge verändert werden. Insbesondere die Einbeziehung der Registry in die Zugriffsbeschränkungen eines Anwenders macht dieses neue Konzept interessant. Die bereits in Windows NT bestehende, aber selten eingesetzte Möglichkeiten, Teile der Registry gegen Veränderung und damit das System insgesamt zu schützen, kann dadurch ohne grossen Aufwand genutzt werden.
Der durchgängigen Verwendung der Anwender-Rolle für die gewöhnliche Nutzung steht allerdings entgegen, dass viele Anwendungsprogramme mit den eingeschränkten Zugriffsrechten nicht auskommen und insofern zunächst auf Windows 2000 umgestellt werden müssen. Aus diesem Grund werden die Standardrollen von Windows 2000 nur bei einer Neuinstallation, nicht aber bei einer Installation über Windows NT eingerichtet. In diesem Fall müssen die Zugriffsrechte explizit gesetzt werden. Bei den genannten Benutzerklassen handelt es sich um Standardwerte, die bei Bedarf den jeweiligen Erforderlichkeiten angepasst oder durch weitere Differenzierungen ergänzt werden können.
Eine weitere Neuerung von Windows 2000 betrifft die Authentisierungsmechanismen bei der Anmeldung in einer Domäne. Während Windows NT dafür das Windows-NT-LAN-Manager-Protokoll (NTLM) verwendet, basiert Windows 2000 auf Kerberos 5. Dies bringt eine Reihe von Vorteilen mit sich.
Authentisierungen sind damit beidseitig möglich; nicht nur ein Server kann die Identität eines Clients überprüfen (wie bereits mit NTLM) sondern auch umgekehrt ein Client die Identität eines Servers. Dabei basiert die Überprüfung nicht auf der Verbindung zu einem Domain-Controller, so dass die Notwendigkeit entfällt, in Multidomänenumgebungen komplexe Vertrauensbeziehungen zwischen Domain-Controllern einzurichten. Schliesslich findet mit Kerberos ein ausserhalb von Microsoft entwickelter, bewährter Standard Verwendung, dessen Qualität (unabhängig von eventuellen Implementationsdefiziten) ausreichend validiert ist. Die Verwendung von Kerberos ist auch in ge-mischten Windows-Netzen möglich, wobei nur dann auf NTLM zurückgegriffen wird, wenn auf einem der beteiligten Geräte kein Windows 2000 installiert ist.
Bestandteil der Windows-2000-Architektur ist auch eine Implementation des IPSEC-Standards, der eine sichere Übertragung von Daten auf IP-
Ebene ermöglicht. Damit können im LAN oder im Internet Vertraulichkeit gewährleistet und virtuelle LAN (VLAN) in offenen Netzen betrieben werden. Durch die Verwendung eines offenen Standards sind diese Möglichkeiten nicht an den Einsatz von Windows 2000 gebunden.
Die IPSEC-Implementation von Windows 2000 verwendet die von Kerberos bereitge-stellten Authentisierungsmechanismen. Im Rahmen von Sicherheits-Policies wird systemweit festgelegt, in welchem Umfang der von IPSEC zur Verfügung gestellte Schutz genutzt wird.
Für den Wechsel von Windows NT auf Windows 2000 spricht aus Sicherheitserwägungen vor allem das Encryption File System. Bei der Verarbeitung schützenswerter Daten auf Laptops oder anderen räumlich gering geschützten Geräten oder bei der Speicherung besonders sensibler Daten ist dieser Schritt daher empfehlenswert.
Hinsichtlich der Umstellung in grösseren Installationen ist zu beachten, dass einige der Vorteile von Windows 2000 nur dann zum Tragen kommen, wenn der Wechsel vollständig oder zumindest in wesentlichen Teilen erfolgt sowie andere, anwendungsspezifische Voraussetzungen gegeben sind.
Zurück zur Übersicht Windows NT
