M 4.338 Einsatz von Windows Vista und Windows 7 File und Registry Virtualization
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT, Administrator
Windows-Altanwendungen, kurz Altanwendungen (legacy applications), bezeichnet Anwendungen, die ursprünglich für ältere Windows-Versionen entwickelt wurden, nun aber auch unter einer aktuellen Windows-Version, wie Windows Vista und Windows 7, betrieben werden sollen. Häufig zeichnen sich Altanwendungen, die für Standardbenutzer entwickelt worden sind, durch eine bestimmte Sicherheitsschwäche aus: Altanwendungen erfordern Schreibrechte in kritische Datei-Ordner oder Registry-Schlüssel. Zu kritischen Datei-Ordnern gehören beispielsweise die Ordner %ProgramFiles% (in einer Standardinstallation C:\Programme) oder %SystemRoot% (in einer Standardinstallation C:\Windows). Schreiboperationen in diese kritischen Bereiche erfordern administrative Privilegien. In der Folge muss sich der Standardbenutzer mit einem Administratorkonto anmelden, um eine Altanwendung des beschriebenen Typs nutzen zu können. Dies gefährdet die Integrität des Windows-Systems durch mögliche Schadprogramme, die mit den Privilegien des angemeldeten Kontos, hier einem Administratorkonto, laufen.
Windows Vista und Windows 7 nutzen für den sicheren Einsatz von Altanwendung die Techniken File Virtualization und Registry Virtualization. Die damit verbundenen Mechanismen erlauben den Betrieb der Altanwendung unter dem Konto eines Standardbenutzers, das heißt ohne administrative Privilegien. Dadurch wird die beschriebene Gefährdung der Integrität des eigentlichen, nicht "virtualisierten" Windows-Systems unterbunden. Bei File Virtualization und Registry Virtualization leiten Windows Vista und Windows 7 alle Schreibzugriffe und im Bedarfsfall auch Lesezugriffe einer Anwendung um, die als Ziel kritische Verzeichnis- oder Registry-Bereiche haben, zu denen die Anwendung nicht berechtigt ist. Diese Umleitung erfolgt in spezielle Bereiche, die nur für den angemeldeten Benutzer gelten. Die Schädigung der Integrität dieser Bereiche gefährdet nicht die Integrität des eigentlichen Windows-Systems, die Integrität des für den betreffenden Benutzer sichtbaren, "virtualisierten" Systems bleibt jedoch ungeschützt.
Grundsätzlich sollten Altanwendungen für Standardbenutzer, die vor Windows Vista nur mit administrativen Privilegien liefen, nicht eingesetzt werden. Möglicherweise ist der Betrieb einer solchen Altanwendung aber für die Erledigung einer Aufgabenstellung in einem Fachverfahren oder einem Geschäftsprozess unerlässlich. In solchen Einzelfällen kann der Betrieb der Altanwendung nach einer Abwägung der Sicherheitsrisiken unter Windows Vista und Windows 7 erwogen werden.
In Windows Vista und Windows 7 beinhaltet das Kommandozeilenwerkzeug reg.exe eine Erweiterung um den Befehl FLAGS. Mit diesem kann ein Administrator für Registry-Schlüssel unterhalb von \HKLM\Software steuern, ob eine Registry Virtualization unterstützt werden soll oder nicht.
Es sollte kritisch geprüft werden, ob der Betrieb von Altanwendungen des beschriebenen Typs notwendig ist. Es empfiehlt sich, die Menge der Registry-Schlüssel, die eine Registry Virtualization unterstützen sollen, im Hinblick auf die Erfordernisse der Altanwendungen zu minimieren.
Langfristig muss in Betracht gezogen werden, die Altanwendungen des beschriebenen Gefährdungstyps durch sichere Anwendungen zu ersetzen. Sichere Anwendungen erfordern als Anwendung für Standardbenutzer keine Schreiboperationen in kritische Verzeichnis- und/oder Registry-Bereiche. Der Umstieg auf sichere Anwendungen empfiehlt sich auch deshalb, weil Microsoft selbst die Techniken der File Virtualization und Registry Virtualization nur als Übergangslösungen für bisher unsichere Altanwendungen betrachtet.
Prüffragen:
- Ist die Notwendigkeit des Betriebs von Altanwendungen unter Windows Vista und Windows 7 einer kritischen Prüfung unterzogen worden?
- Ist die Registry Virtualization auf die notwendigen Schlüssel beschränkt?
- Gibt es eine Strategie zum Umstieg auf sichere Anwendungen als Alternative zu Altanwendungen unter Windows Vista und Windows 7?