Nachdem ich nun beim C3D2 Themenabend die erschreckende Botschaft vernommen hatte, dass Microsoft den IIS (Internet Information Server) in den Systemkern von Vista gesteckt hat, dachte ich mir das es nicht schaden könne sich einen Vortrag zum Thema Vista und Sicherheit anzuhören.
Also stiefelte ich am Mittwoch (28. Juni 06) in die Informatik Fakultät und lauschte dort dem Vortrag von Stefan Diestelhorst. Leider gab es nicht zu viel neues zu erfahren. Im wesentlichen hat sich Microsoft auf die üblichen Szenarien konzentriert. Zum ersten den Nutzer selbst der genervt alle Dialoge wegklickt und sich der bequemlichkeit halber zum Admin macht. Hier hat sich der Redmonder Verein gedacht in gewisser Weise ein abgespecktes sudo mit dem Suse Ansatz zu implementieren. Jeder Benutzer läuft in einem unprivilegierten Modus und um gefährliche Aktionen (Systemzeit verstellen, Sicherheitseinstellungen) auszuführen, muss man als Admin immer erst auf ok klicken, während ein Benutzer das Passwort des Administrators kennen muss. Fein granulare Einstellungen wie bei sudo sind aber nicht angedacht.
Allgemein werden in Vista alle Programme kategorisiert, es gibt gesperrte Programme, Vista eigene Programme, zertifizierte Programme und undefinierte Programme. Über Sinn und Unsinn kann man sicher auch hier streiten zumal ich keine Auskunft über die Kosten einer Zertifizierung bekommen konnte.
Im Rahmen des Netzwerkes hat sich einiges getan, so ist es mittels eines Network Security Policy Servers möglich das eigene Netz gegen Böse Buben abzuschirmen?! Wie das gehen soll? Ja ganz einfach bevor man Zugang zur Domäne oder Ressourcen bekommt wird der Stand der Patches und installierter Software abgefragt, fehlt etwas muss man draussen bleiben oder kann optional direkt auf einen Patch-Server weitergeleitet werden. Patches für den Linux Kern werden nicht geprüft, wer kein Windows hat muss eben draussen bleiben. Damit das Netz dann auch wirklich gegen brutale Gewalt gesichert wird, stehen dem Benutzer der Defender (Spyware und Dateiänderungsmonitor) und die Firewall zur Seite. Letztere erscheint mir nach dem Vortrag langsam aber sicher recht komfortabel und tiefgehend zu werden, technisch konnte ich aber keine weiteren Einblicke erlangen. Jedoch soll eine Filterung auf Protokoll, Port und Adressebene möglich sein. Fraglich ist nur ob dies auch wirklich in den passenden OSI-Schichten realisiert wird.
Alles in allem war es ein guter Marketing Vortrag der mich an mancher Stelle das gruseln lehrte. Microsoft beweist meiner Meinung nach auch auf Sicherheitsebene das man die letzten Jahre verschlafen hat und das man gut im Ideen kopieren ist ;) Dennoch habe ich eine ganze Reihe Notizen gemacht und der Vortrag selbst war mit ausnahme des tiefen Einblicks in die Parental Controls von Vista gut gelungen. Die Vortragsfolien sollen wohl in nächster Zeit unter http://www.dotnet-dresden.de auffindbar sein.