Authentifizierung
Neben der klassischen Anmeldung mittels Kennwort bietet Windows 8 zwei neue Anmeldetechniken, die für Gerätetypen mit Fingerbedienung (Mobiltelefon und Tablet) besser geeignet sind. Eine davon ist die Möglichkeit, sich mittels einer vierstelligen PIN anzumelden. Diese Methode ist zwar schnell und einfach, bietet jedoch nur einen geringen Schutz vor Angreifern. Demgegenüber verspricht die zweite Methode, die auf Gesten basierende Anmeldung auf Grundlage eines selbstgewählten Bildes, einen vergleichbar hohen Schutz wie die Verwendung eines starken Kennworts bei gleichzeitig minimalem Eingabe-Aufwand. Microsoft nennt diese Anmeldetechnik "Picture Password" beziehungsweise "Bildcode" (in der deutschsprachigen Windows-Variante).
Obwohl die Anmeldung mittels Bildcode für den Einsatz auf Tablets und Smartphones gedacht ist, lässt sie sich auch auf Geräten mit Mausbedienung verwenden. Zum Einrichten muss der Anwender seine Kontoeinstellungen aufrufen und dort die Funktion "Bildcode erstellen" auswählen. Anschließend muss er sein aktuelles Kennwort eingeben und darf danach ein Bild aus seiner Bildersammlung auswählen. Das gewählte Bild wird anschließend in der Größe justiert, so dass es rund zwei Drittel des Bildschirms abdeckt. Zu kleine Bilder werden bei dieser Skalierung arg unansehnlich, man sollte also möglichst ein Bild wählen, dessen Auflösung mindestens der des verwendeten Geräts beziehungsweise Bildschirms entspricht; für die Sicherheit der Funktion spielt dies jedoch keine Rolle.
Foto: Corporate Trust
Die Bildfläche wird für den Benutzer unsichtbar in ein Blockraster unterteilt. Der Benutzer muss auf diesem Bild nun eine Kombination aus drei Gesten zeichnen, die aus geraden Linien, Kreisen und Tippbewegungen bestehen darf. Bei der Anmeldung per Bildcode wird eine zweistufige Prüfung durchgeführt. Als Erstes werden die gezeichneten Gesten als solche betrachtet. Falls eine der Gesten komplett falsch ist (hinsichtlich Typ, Reihenfolge oder Zeichenrichtung), schlägt der Anmeldeversuch direkt fehl. Sofern die gezeichneten Gesten grundsätzlich richtig sind, werden im zweiten Schritt die beim Zeichnen der Gesten berührten Quadratfelder ausgewertet. Durch einen Vergleich mit den gespeicherten Werten wird dann der Grad der Abweichung zu den jeweiligen Referenzgesten bestimmt.
Auf mathematischer Ebene hat Microsoft als Basis für eine Bewertung der Sicherheit dieses Anmeldeverfahrens die Anzahl möglicher "unique gestures" ermittelt (basierend auf der Anzahl möglicher Positionen und der "Nachgiebigkeit" des dahinter stehenden Algorithmus) und diese den möglichen Variationen bei klassischer Passwort- beziehungsweise PIN-basierenden Anmeldung gegenübergestellt. Dabei zeigt sich, dass die Bildcode-Methode bei der aktuell von Microsoft verwendeten Variante mit drei Gesten eine Varianz erreicht, die grob mit der eines fünf- bis sechsstelligen komplexen Kennworts vergleichbar ist. Natürlich bleiben die typischen Probleme der Touch-Eingabe: Durch Spuren auf dem Bildschirm oder Beobachten der Eingabe kann die Sicherheit der Authentisierung deutlich sinken.
Die Anmeldung per Bildcode steht grundsätzlich auch für auf Domänen basierende Benutzerkonten zur Verfügung, kann aber bei Bedarf mittels Group Policy deaktiviert werden. Eine Erhöhung der Anzahl erforderlicher Gesten auf mehr als drei wird bisher leider nicht unterstützt.
- Windows 8
So sieht der neue Startbildschirm von Windows 8 aus. - Windows 8
Der neue Task Manager unterscheidet sich sichtbar von seinem Vorgänger. - Windows 8
Der Task Manager liefert künftig weitergehende Informationen. - Windows 8
Nach einer Registry-Änderung verfügt auch Windows 8 über ein echtes Startmenü. - Windows 8
So werden die neuen Apps in Windows 8 angezeigt. - Windows 8
Hier ein Beispiel für eine App. Das Hintergrundbild kann sich bewegen. - Windows 8
Windows Defender erkennt in Windows 8 auch Viren. - Windows 8
Der neue Kopier-/Verschieben-Dialog erlaubt auch das Pausieren. - Windows 8
Der Windows Explorer ist nun auch mit einem Menüband versehen. - Windows 8
So sieht die neue Wiederherstellungsoberfläche in Windows 8 aus. - Windows 8
Windows 8 kommt mit einer neuen Version der Schattenkopien. - Windows 8
So konfiguriert man die Replikation von virtuellen Servern in Hyper-V 3.0. - Windows 8
Netzwerkkarten lassen sich unter Windows 8 Server im Server-Manager als Team zusammenfassen - Windows 8
So sieht der neue Server-Manager aus. - Windows 8
So installiert man Serverrollen und Features im neuen Server-Manager. - Windows 8
Active Directory in Windows 8 Server kann man über die PowerShell installieren und verwalten.
Veränderungen am Betriebssystem
Moderne PCs und Laptops werden zunehmend mit einer UEFI-Firmware anstelle des klassischen BIOS ausgeliefert. Neben einer deutlich größeren Funktionsvielfalt bietet diese Plattform die Möglichkeit, die Integrität des installierten Betriebssystems vor und während des Startvorgangs zu prüfen. Hierzu werden klassische PKI-Funktionen eingesetzt, um einerseits die Integrität der einzelnen Komponenten zu gewährleisten und andererseits deren Authentizität anhand einer Liste vertrauenswürdiger Zertifikate sicherzustellen.
Dies versetzt Unternehmen nun erstmals in die Lage, eine Windows-Desktop-Plattform bereitzustellen, die eine durchgängige Validierung und Integritätsprüfung sämtlicher Softwarekomponenten erlaubt. Auf Betriebssystem-Ebene ließ sich dies grundsätzlich auch schon unter Windows 7 realisieren (unter anderem mittels entsprechender AppLocker-Policies), jedoch bestand hier immer noch eine Schutzlücke in der Boot-Phase, also dem Zeitraum vom Einschalten des Geräts bis zum vollständigen Laden der Betriebssystem-Umgebung. In dieser Phase konnte das System durch entsprechende Malware (sogenannte Rootkits) auf einer Ebene kompromittiert werden, die eine Entdeckung dieses Vorgangs aus dem laufenden Betriebssystem heraus schwierig bis unmöglich machte.
Aufsetzend auf die Secure-Boot-Umgebung der UEFI-Firmware, hat Microsoft in Windows 8 die Abläufe des Startprozesses dahingehend erweitert, dass eine durchgängige Prüfkette über alle Komponenten (UEFI-Firmware, Bootloader, Windows Kernel, Early Anti-Malware Modul, Windows Logon) gebildet wird. Zusätzlich wird während des Betriebs sporadisch geprüft, ob der Zustand des Betriebssystems unverändert ist.
Zur Laufzeit kann die weitere Integrität des Systems mittels der bekannten Maßnahmen sichergestellt werden. Dazu zählen die Beschränkung der Programmausführung auf vertrauenswürdigen Code (zum Beispiel mittels AppLocker Policies, die nur die Ausführung von signierten Programmen vertrauenswürdiger Anbieter erlauben) und der Einsatz geprüfter Metro-Style-Apps aus dem Microsoft Store (siehe oben).