Die im Betriebssystem verankerte Security von Windows und Unix setzt in beiden Fällen voraus, dass alle Komponenten fehlerfrei arbeiten und keine Sicherheitslücken aufweisen. Windows hat dabei eine deutlich stärker ausdifferenzierte Sicherheitsarchitektur als Unix.
In der Praxis nützt die ausgeklügelte Architektur von Windows jedoch recht wenig. Gelingt es einem Angreifer, eine Sicherheitslücke auszunutzen, muss der Schaden, den der Angreifer anrichten kann, begrenzt werden. Dies wird nur dann erreicht, wenn eingeschleuster Schadcode möglichst wenig Rechte hat.
Eingeschleuster Schadcode kann auch ohne jegliche Rechte als Botnet-Client fungieren. Ein Datendiebstahl ließe sich jedoch in vielen Fällen wirkungsvoll verhindern. Um das zu erreichen, muss eine Serveranwendung mit dem Client als eigener Prozess mit den minimal notwendigen Rechten kommunizieren. Im Adressraum dürfen sich keine Daten befinden, deren Diebstahl lohnenswert ist.
Um so ein Konzept zu realisieren, bietet Windows einige Möglichkeiten mehr als Unix, da zur Wahrnehmung einzelner Rechte nicht gleich auf den allmächtigen Benutzer root beziehungsweise SYSTEM zurückgegriffen werden muss.
Einige Serveranwendungen, etwa OpenSSH, implementieren das vorbildlich. Andere, beispielsweise Samba, weisen erhebliche Mängel auf. Für größere Serveranwendungen mit viel Last ist ein solches Modell allerdings nicht durchführbar. Viel zu viele Einzelprozesse beeinträchtigen die Gesamtperformance durch exzessives Task-Switching. Die von den Betriebssystemen bereitgestellten Mechanismen können nicht verwendet werden.
So gehen die großen Webserver von Windows und Unix, Apache und IIS, eigene Wege. Sie laufen grundsätzlich unter einem Account mit eingeschränkten Rechten. In der Regel gibt es keine „echten“ Benutzer. Eine Benutzerverwaltung entwickeln Webprogrammierer meist selbst durch die Datenbank im Backend oder die .htaccess-Datei. Dabei handelt es sich nur um virtuelle Benutzer. Die gesamte Zugriffkontrolle muss der Entwickler selbst realisieren. Macht er dabei Fehler, können Angriffe, etwa ein Datenklau, erfolgreich sein.
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…