Windows 8 Developer Preview Sicherheit

Windows 8 Developer Preview Sicherheit

Marc Ruef
by Marc Ruef
time to read: 9 minutes

Microsoft stellt seit einigen Wochen die Developer Preview von Windows 8 zum Download zur Verfügung. Diese Pre-Beta kann durch Entwickler genutzt werden, um sich mit den neuen Gegebenheiten der nächsten Windows-Generation auseinanderzusetzen.

Wir haben mehrere Instanzen von Windows 8 in unserem Labor eingerichtet, um mittels funktionalen und sicherheitstechnischen Tests erste Rückschlüsse auf zukünftige Entwicklungen machen zu können. Unsere Erkenntnisse sollen in diesem Beitrag zusammengefasst werden.

Installation

Die Installation war sehr effizient und einfach. In rund 20 Minuten liess sich ein System ohne grössere Komplikationen installieren. Dies war ebenfalls als virtuelle Instanz in VirtualBox möglich. Während der Installation lassen sich rudimentäre Einstellungen definieren. Zum Beispiel kann schon hier das Verhalten für das automatische Installieren von Patches bestimmt werden.

Die Standardeinstellungen entsprechen zu grossen Teilen jenen Definitionen, wie wir sie zu empfehlen pflegen. Vor allem Privatanwender werden grosse Vorteile durch die klaren Regelungen für sich gewinnen können. Unkompliziert lässt sich so ein funktionales und sicheres System aufbauen. Im professionellen Umfeld muss natürlich mit einem Mehr an Anpassungen gerechnet werden.

Login

Noch während der Installtion fragt Windows 8, ob die Installation an ein Live-Konto geknüpft werden soll. Entweder kann ein solches eingerichtet oder auf ein bestehendes zurückgegriffen werden. Die Registrierung erfolgt per Benutzername und Passwort. Dabei wird ein Email an das verknüpfte Mailkonto geschickt, in dem ein Aktivierungslink enthalten ist. Dadurch kann die Legitimität der Installation und des daran gebundenen Kontos bestätigt werden.

Das Einloggen mit dem Live-Konto ist interessant, da sich damit cloudähnliche Mechanismen realisieren lassen. Microsoft ist darum bemüht, dass Einstellungen systemübergreifend definiert und durch den entsprechenden Login synchronisiert werden können. Ein ähnliches Verhalten wird durch Mozilla Firefox mit den Sync-Optionen realisiert.

Neue Oberfläche

Das Credo beim grafischen Design von Windows 8 ist Simplizität. So kommen viele grafische Elemente mit sehr einfachen, oftmals rechteckigen Strukturen daher. Die neue Oberfläche namens Metro scheint dabei in erster Linie auf Tablets ausgerichtet zu sein. Relativ grosse Icons zeigen die einzelnen Anwendungen an, die durch einen Klick gestartet werden können. Diesen Stil hat Microsoft schon mit Windows Phone 7 auf ihren Mobiltelefonen eingeführt und bei der Xbox360 weitergenutzt.

Windows 8 Beta neue Metro-Oberfläche

Traditionelles System

Durch das Klicken auf das Icon Windows Explorer kann die klassische grafische Oberfläche geladen werden. Hier wird bestens bekannt die Taskleiste am unteren Rand des Bildschirms eingeblendet. Durch das Klicken auf den Windows-Button wird jedoch nicht mehr das Start-Menu geöffnet, sondern stattdessen wieder zum neuen GUI gewechselt. Programme, Dokumente und Einstellungen müssen neu aus dem Explorer heraus gestartet werden.

Einzig in einigen Bereichen haben Fenster ein kleines Redesign erhalten. So werden nun grössere Icons, wie man sie schon von Office 2010 her kennt, eingesetzt. Dies macht die Fenster auf den ersten Blick attraktiver und soll in erster Linie die MacOS X-Klientel ansprechen.

Durch Start/Ausführen können wie üblich Programme direkt angesteuert werden. Nach wie vor lässt sich damit die MS DOS-Eingabeaufforderung durch die Eingabe von cmd.exe starten. Sie begrüsst den Benutzer vorerst mit der Version 6.2.8102.

Windows 8 Beta alte Oberfläche

App Store

Ein bisschen abgeschaut von Apple, ist im Betriebssystem ein Store für den Download von Apps vorgesehen. In der ersten offiziellen Preview war dort lediglich ein Hinweis eingebracht, dass diese Funktion noch nicht freigegeben ist. Inwiefern sie sich verhalten wird, wird sich also zeigen.

Microsoft geht damit den Weg eines Walled Garden, der sicherheitstechnisch Vorteile mit sich bringen wird. Dadurch wird es möglich, Software auf Qualität und Sicherheit hin zu untersuchen, bevor eine offizielle Freigabe erteilt wird. Unsichere Produkte und Malware liessen sich so verhindern.

Dadurch fällt jedoch auf Seiten Microsoft ein Mehr an Aufwand an, was wiederum die Veröffentlichung von neuen und aktualisierten Produkten verzögert. Sicherheit wird diesem Fall zu Lasten von Offenheit und Flexibilität eingetauscht.

Internet Explorer

Als Standardbrowser kommt noch immer Microsoft Internet Explorer zum Tragen. Dieser hat in der Metro-Darstellung ein grundlegendes Re-Design erfahren und versucht sich an der Simplizität von Google Chrome anzuknüpfen. Die Menu-Elemente sind auf ein Minimum reduziert und so wird nur noch eine Adressleiste und Buttons für die wichtigsten Aktionen (z.B. zurück, neu laden) angezeigt. Während des Browsens werden gar auch diese Komponenten ausgeblendet, wodurch die Webseite in maximaler Grösse – schon fast Vollbild – dargestellt werden kann. Wem das nicht gefällt, der kann mit einem Mausklick in die klassische Ansicht wechseln.

Windows 8 Internet Explorer

Leider kann man in der Preview das About des Browsers und damit die Version nicht ohne weiteres darstellen lassen. Als User-Agent gibt sich der neue Browser als Internet Explorer 10 aus. Ob es sich hierbei wirklich um die nächste Browser-Generation handelt, ist nicht sicher.

Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)

Die Einstellungsmöglichkeiten und das Verhalten bleiben damit eigentlich die gleichen, wie bei Internet Explorer 8 und 9. Hardening-Mechanismen, die schon bei Windows 7 zum Tragen gekommen sind, können entsprechend auch hier appliziert werden.

Sicherheitseinstellungen

Das Control Panel auf Metro kommt einmal mehr mit einer starken Vereinfachung daher. So werden nur die wichtigsten Einstellungsmöglichkeiten dargestellt, die sich jeweils mit einem Regler aktivieren oder deaktivieren lassen. Erst wenn auf More settings geklickt wird, wird die Systemsteuerung im klassischen Stil angezeigt. Sowohl die Darstellung als auch die Einstellungsmöglichkeiten orientieren sich an jenen von Windows 7.

Windows 8 Control Panel

Der detaillierte Vergleich der Auslieferung von Windows 7 und Windows 8 – in Bezug auf NTFS-Rechte und Registry-Einstellungen – fällt nahezu identisch aus. Nur in einigen wenigen Punkten sind Abweichungen festzustellen, die in vielen Fällen aber sowieso den individuellen Bedürfnissen der Umgebung angepasst werden müssen.

Fazit

Auf den ersten Blick wirkt Windows 8 wie eine komplett neue Windows-Generation. Dafür verantwortlich ist in erster Linie die Metro-Oberfläche. Lässt man die für mobile Geräte entwickelte Oberfläche aber ausser Acht und arbeitet mit dem klassischen Desktop, dann findet man sich in einer zu Windows 7 sehr ähnlichen Umgebung wieder.

Das Ziel von Windows 8 war sicherlich, die Einfachheit und Effizienz zu erhöhen, um mit iOS von Apple mithalten zu können. Ob dies gelungen ist, kann erst mit dem Einsatz auf entsprechenden Tablets bestätigt werden. Der erste Eindruck, wie zum Beispiel das Aufstarten des Systems, zeigen spürbare positive Verbesserungen.

Die ersten Sicherheitsmechanismen von Windows 8 sind aus Windows 7 übernommen und haben sich in den letzten Jahren bewahrheitet. Die Standardeinstellungen, die schon bei der Installation der neuen Windows-Generation angepasst werden können, versuchen eine Ausgewogenheit zwischen Sicherheit und Praktikabilität zu erreichen. Vor allem Privatanwender werden daraus einen Nutzen ziehen können. In professionellen Umgebungen, in denen zusätzliche Anforderungen an die Sicherheit gestellt werden, müssen zusätzliche Anpassungen angegangen werden.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here