Vistas Vorzüge
Vistas Vorzüge Bei dem nun allgemein verfügbaren Desktop-Betriebssystem Windows Vista fällt die neue Bedienoberfläche besonders ins Auge. Doch für Unternehmen sind die darunterliegenden Verbesserungen bei Sicherheit und Administration wichtiger.
Sechs Jahre sind seit der Freigabe von Windows XP vergangen: Eine so lange Zeitspanne hat Microsoft sich und den Anwendern gegönnt, bis schließlich am 30. November 2006 der Nachfolger Windows Vista für Geschäftskunden offiziell freigegeben wurde. Der Start für die Verbraucher ist sogar erst am 30. Januar 2007 vorgesehen. Ausgeliefert wird Vista in mehreren Varianten mit unterschiedlichen Funktionsbausteinen. Wenngleich Vista viele Detailverbesserungen aufweist: eine Revolution bedeutet das neue PC-Betriebssystem nicht, vielmehr stellt es einen Evolutionsschritt im Windows-Stammbaum dar. Die Neuerungen, die Microsoft bei Vista implementiert hat, betreffen viele Aspekte. Sie reichen von der Benutzeroberfläche über die Programmierschnittstellen bis zur Verwaltung. Somit sind alle drei Gruppen – die Endanwender, die Software-Entwickler und die IT-Administratoren – davon betroffen. Die wichtigsten Verbesserungen stecken unter der Haube und sind weniger spektakulär als die sichtbaren Neuerungen. Ihr Nutzen kommt vor allem der Verwaltung zugute.
Mehr Sicherheit
Ein großer Block der konzeptionellen Änderungen von Vista betrifft die Sicherheitsfunktionen. Dies ist kaum verwunderlich, hatte Microsoft in dieser Hinsicht in den vergangenen Jahren doch eine Menge Prügel einstecken müssen. Es ist freilich anzumerken, dass Übergriffe nicht allein der Software aus Redmond anzulasten sind. Jeder Fachmann mit Verständnis für Sicherheitsbelange weiß, dass es nicht genügt, punktuelle Verbesserungen anzubringen, sondern immer die gesamte Kette betrachtet und gesichert werden muss. Just dieses versucht Microsoft nunmehr seit einigen Jahren zu tun und setzt dabei auf Unterstützung durch Hard- und Software. Durch die Funktion BitLocker werden in Vista sämtliche Daten auf der Festplatte verschlüsselt. Damit wird in erster Linie auf die Sicherheit von Notebooks und deren Daten bei Diebstahl oder Verlust gezielt. BitLocker ist ein symmetrisches Kodierverfahren, das auf dem 48-Bit-Advanced Encryption Standard (AES) und den Konzepten des Trusted Platform Module (TPM) sowie einem Kodierschlüssels beruht. Würde dieser auf der Festplatte hinterlegt, so wäre die Idee ad absurdum geführt. TPM wird deswegen durch Hardware-Bausteine auf dem Motherboard realisiert. Die TPM-Unterstützung ist zwar nicht gänzlich neu und schon seit dem Service Pack 2 von Windows XP vorhanden, nun aber stellt sie den Standardmodus des Betriebssystems dar. Ein weiterer Sicherheitsbaustein ist der Schutz vor Angriffen von außen. Spyware-Übergriffe auf Vista soll der Windows Defender verhindern. Den traditionellen Virenschutz überlässt man aber weiterhin Drittanbietern wie Symantec oder McAfee. Mit dem Malicious Software Removal Tool (MSRT) allerdings kann eine Bereinigung von Windows-Rechnern von schadhaftem Code wie schon unter XP durchgeführt werden. Um die Mail-Sicherheit in Verbindung mit Exchange wiederum kümmert sich Forefront. Dieses Paket besteht aus einer Kombination von Exchange-Vorkehrungen, Workstation-Schutz und gehosteten Diensten im Sinn des Modells Software as a Service (SAAS). Windows Defender und Forefront dienen dazu, die Angriffe durch schadhaften Code zu unterbinden. Konnte sich dieser dennoch auf dem Gerät einnisten, so soll ihm durch eine verstärkte Kontrolle und Einschränkung der Rechte sein schädliches Tun zumindest erschwert werden. Dies passiert durch die User Account Control (UAC). Das Grundprinzip der UAC basiert auf den Konzepten, die meist als Least Privileges bezeichnet werden, also der Einschränkung einer Applikation auf die geringsten notwendigen Rechte. Damit soll verhindert werden, dass untergeschobener Angriffscode Dinge tut, die nicht gewünscht sind. Dies kann beispielsweise der Aufbau einer Internetverbindung sein, das Versenden von (Spam-)Mails, der Missbrauch des Rechners als Angriffssystem wie in Bot-Netzen oder das Auslesen von Systeminformationen. Diese Probleme treten derzeit vor allem deswegen auf, weil viele Applikationen pauschal mit allen Rechten ausgestattet werden. Hinzu kommt ferner, dass viele Benutzer als Administrator am System angemeldet sind und als solche arbeiten – teilweise auch, weil es von einzelnen Applikationen verlangt wird. Hier sind die Versäumnisse eindeutig bei den jeweiligen Herstellern der Software zu suchen. Um keine dedizierte Rechteverwaltung aufbauen und verwalten zu müssen, werden häufig maximale Rechte – und das sind die des Administrators – verlangt. Häufig mit fatalen Folgen, wie sich zeigte. Das Herangehen entspricht jenem, als ob man in einem Unternehmen jedem Mitarbeiter einen Generalschlüssel für alle Räume zu Verfügung stellen würde. Wozu dienen dann aber überhaupt Schlüssel und Schlösser? Durch die UAC lassen sich nun die Rechte gezielter zuweisen und verwalten. Selbst der Administrator erhält nunmehr zunächst nur eingeschränkte Rechte eines gewöhnlichen Benutzers. Sollten für die Ausführung der Applikation weitergehende Rechte benötigt werden, so wird dieses vom Betriebssystem gemeldet und in Form von Dialogen eingefordert. Ob diese Berechtigungsdialoge, die dem Benutzer im Arbeitsfluss eingeschoben werden, von diesem tatsächlich gelesen und verstanden und dann auch richtig bestätigt werden, muss die Zukunft zeigen. In jedem Fall verlagert Microsoft damit einen Teil der Verantwortung auf den Benutzer. Gleichzeitig muss man anmerken, dass die Ursachen für die Angriffe häufig nicht in der Verantwortung von Microsoft liegen. Wem die Meldungen der UAC zu nervig erscheinen, der kann das Ganze schlichtweg abschalten. Viele Gerätetreiber werden in Vista nunmehr im User Mode und nicht mehr im Kernel Mode ausgeführt. Da die Treiber, insbesondere für den Großteil der frei verfügbaren Zusatz-Hardware, nicht von Microsoft stammten, im Kernel Mode jedoch uneingeschränkte Rechte hatten, waren sie aus der Sicht des Betriebssystems immer ein unkalkulierbares Sicherheitsrisiko. Sollen die Treiber weiterhin im Kernel Mode ausgeführt werden, so verlangt Vista nun immer eine digitale Signatur. Auch im Hinblick auf den Internet-Zugang weist Vista eine weitere Detaillierung der Sicherheitskonfiguration auf. Die bereits mit Windows XP SP 2 eingeführte Firewall überwacht nun den gesamten ein- und ausgehenden Datenverkehr. Eine weitere Sicherheitsvorkehrung wird mit Network Access Protection (NAP) geschaffen. Dieses Verfahren realisiert ein Kontroll- und Quarantänesystem mit vorheriger Sicherheitsüberprüfung für Clients, die sich am Netz anmelden wollen. Als Server-Pendant wird dann aber der Longhorn-Server benötigt.
Einfachere Verwaltung
Die Neuerungen für die Administration im engeren Sinn und den Rollout sind in der Summe sicher weniger als die in Sachen Sicherheit, sie aber haben trotzdem massive Auswirkungen. Das bisherige Installationsverfahren, nach dem Modell der unbeaufsichtigten (unattended), aber automatisierten Installation wird durch ein Imaging (Cloning) abgelöst. Die Cloning-Verfahren sind allesamt konkurrenzlos schnell, verlangten allerdings die Bereitstellung des passenden Images für genau den Rechner, auf dem es zu installieren gilt. Da sich die Zielrechner jedoch durch andere Software oder Komponenten voneinander unterscheiden, würde jeweils ein eigenes Image benötigt. Je größer also die Variantenvielfalt in Hinblick auf die Hardware, die Software-Ausstattung und die Konfiguration, umso mehr Images mussten bereitgestellt werden. Die Installation durch Imaging beschleunigte damit zwar den eigentlichen Setup, führt aber zu einem beachtlichen Verwaltungsaufwand für die Images. Daher gingen die meisten Unternehmen dazu über, Mischvarianten zu verwenden: mit einem Basis-Image, das geklont wird, und speziellen Adaptionen, die dann durch manuelle Arbeiten oder Skripte erbracht werden. Dies jedoch verlangt wiederum, dass der Administrator nach dem Clone-Vorgang Hand anlegt. Vista nun wird immer geklont. Das Verfahren ähnelt dem, das bereits beim OS Deployment Feature des System Management Server (SMS) angewandt wird. Dabei wird zu Beginn Windows PE (Preinstallation Environment), eine abgespeckte Version eines Betriebssystems, gestartet. Diese überträgt dann im zweiten Schritt das eigentliche Zielsystem auf die Festplatte. Die verwendeten Clones allerdings stellen, im Gegensatz zu den herkömmlichen Images, ein Superset der Systemdateien dar und beschränken sich nicht eins zu eins auf eine Rechnerkonfiguration. Stattdessen kann der Clone all jene Treiber oder Applikationen enthalten, die der Summe der zu erzeugenden Zielrechner entspricht. Gespeichert werden die Vista-Images in einem Windows Imaging Format (WIM). Eine WIM-Datei kann auch mehrere Images beinhalten. Im Gegensatz zu den herkömmlichen Verfahren basiert das Image jedoch nicht auf den Sektoren, sondern fasst Dateien in einem komprimierten Format zusammen, ähnlich wie es bei ZIP-Archiven gilt. Bei der Installation werden dann alle gewünschten Software-Komponenten auf den Zielrechner gebracht. Zur Verwaltung der Images offeriert Microsoft selbst eine Reihe von Tools, die sich meist im Lieferumfang des Windows Automated Installation Kit (WAIK) finden. Der Windows Systems Image Manager (WSIM) hilft bei der Erstellung der Konfigurationsdateien, die ein unbeaufsichtigtes Klonen von Windows Vista ermöglichen. Dabei lehnt sich Microsoft an die bekannten Verfahren des Unattended Setup an. Die Verteilung der Images auf die Zielsysteme kann traditionell durch Einlegen einer Installations-DVD, über die Windows Deployment Services (WDS) oder durch das Befehlszeilenkommando ImageX erfolgen. Die WDS sind der Nachfolger der Remote Installation Services (RIS) und in Bedienung und Ablauf daran angelehnt. Bei ImageX erfolgt die Verteilung von einem zentralen Server-Laufwerk über das Netzwerk auf das Zielsystem. Dennoch weist keines der Verfahren den Komfort auf, der heute von den dedizierten Softwareverteilungsprodukten ermöglicht wird. Hier bieten Hersteller wie Altiris, CA, Landesk, IBM, Enteo oder auch Microsoft selbst mit SMS eindeutig Vorteile. Bezüglich Vista ist daher zu erwarten, dass sich die Drittanbieter, wie in der Vergangenheit, um dieses Feld bemühen und schon bald ausgefeiltere Produkte für den Rechner-Setup liefern werden. Für die spätere Verwaltung der Systeme stellt Microsoft bei Vista mehr als 3000 Gruppenrichtlinien bereit. Diese erlauben eine sehr feingranulare und zentrale Konfiguration. Zur Verwaltung der Gruppenrichtlinien liefert Microsoft weiterhin seine Editoren, den Gruppenrichtlinieneditor und die Group Policy Management Console. Komfortabler geht es aber auch hier mit Tools von Drittanbietern wie NetIQ oder Quest. Da mit den bestehenden Systemverwaltungswerkzeugen die neuen Funktionen von Vista und dem kommenden Longhorn-Server nur bedingt unterstützt werden können, überarbeitet Microsoft derzeit seine gesamte Palette an Systemverwaltungswerkzeugen, das System Center. Erneuert wurde auch die Kommandosprache. Mit der PowerShell hat man nun eine moderne und die Unix-Shell übertreffende Kommandosprache im Angebot.
Schickere Oberfläche
Den Endanwendern schließlich wird bei Vista vor allem der Bereich ins Auge fallen, den Microsoft gern mit User Experience umschreibt. Damit ist all das gemeint, was beim Benutzer sichtbar ist und zu einem verbesserten Arbeitsablauf oder wenigstens angenehmerer Bedienung führt. Zu den auffälligsten Änderungen zählen der neue Stil Aero mit seinen halbtransparenten Titelleisten, eine veränderte Animation in der Fensterverwaltung, die Sidebar, 3D-Darstellung der geöffneten Fenster und die Miniaturvorschau im Taskswitcher. Die Sidebar stellt eine Leiste am rechten Bildschirmrand dar, die Miniapplikationen, wie etwa RSS-Feed oder einen Börsenticker, aufnehmen kann. Der neue Task-Umschalter sorgt dafür, dass das jeweilige Fenster verkleinert dargestellt wird, sobald man den Mauszeiger darüber bewegt. Damit erlaubt es eine schnelle Einsicht in die jeweilige Applikation. Auch wenn man diesen grafischen Animationen nur wenig abgewinnen kann, so ist doch anzumerken, dass sie nicht auf Kosten der eigentlichen Applikation gehen, denn das Rendering des Graphical User Interface (GUI) passiert ausschließlich auf den Grafikprozessoren beziehungsweise -karten. Dafür wird allerdings eine 3D-Grafikkarte mit Direct-X-9 benötigt. Positiv ist, dass für ältere Rechnersysteme wahlweise auch die Oberfläche der Windows-Varianten XP oder 2000 verwendet werden kann.
Johann Baumeister ist IT-Journalist.
