Anzeige

Am Puls von Microsoft

Anzeige

Sicherheit: Will Microsoft die alleinige Kontrolle über den Windows Kernel zurück?

DrWindows

Redaktion
Sicherheit: Will Microsoft die alleinige Kontrolle über den Windows Kernel zurück?
von Martin Geuß
Windows Titelbild


Microsoft hat gemeinsam mit Anbietern von Sicherheitssoftware und Behörden erste Ideen erörtert, wie man Windows künftig besser gegen “Unfälle” absichern möchte. Im Juli hatte ein fehlerhaftes Update von CrowdStrike Millionen Windows-Rechner lahmgelegt. Ein solcher Vorfall soll sich nicht wiederholen.

Microsoft war an dem CrowdStrike-Debakel mehr oder weniger unschuldig. Die betroffenen Windows-Systeme stürzten ja nicht ab, sondern wurden zum Absturz gebracht. Möglich machte das der Umstand, dass Sicherheitssoftware unter Windows weitreichende Rechte hat und direkt auf den Kernel zugreifen darf, was entsprechend fatale Folgen haben kann, wenn dabei etwas schiefgeht. Was zu beweisen war.

Wenn man allerdings die Hintergründe kennt, ist es gar nicht so verwunderlich, dass sich Microsoft stärker in den CrowdStrike-Vorfall einbrachte, als sie das hätten tun müssen. Der direkte Zugriff auf den Kernel durch Drittanbieter ist den Redmondern ein Dorn im Auge. Eingeführt wurde er auf Druck der EU, damit Microsoft die Anbieter von Schutzsoftware nicht benachteiligen kann, um seine eigenen Lösungen zu verkaufen.

Die Gelegenheit scheint daher günstig: Gegen eine Abschottung des Kernels, um einen Vorfall wie jenen vom Juli für die Zukunft zu verhindern, kann man derzeit nur wenig stichhaltige Argumente ins Feld führen. In einem Blogpost zu den ersten Denkansätzen bleibt Microsoft zwar nebulös, erwähnt aber quasi nebenbei, dass man Lösungen abseits des Kernel Mode suchen müsse. Man legt hier ganz bewusst noch nicht alle Karten auf den Tisch, aber es dürfte klar sein, wohin die Reise gehen soll: Microsoft will die Kontrolle zurück.

ESET, Entwickler der populären Antivirus-Lösung NOD32, merkt schon mal vorsorglich an, dass man Optimierungen am Windows-Ökosystem unterstützt, der Zugriff auf den Kernel jedoch eine unverzichtbare Option ist, über die man nicht verhandeln will.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Der direkte Zugriff auf den Kernel durch Drittanbieter ist den Redmondern ein Dorn im Auge. Eingeführt wurde er auf Druck der EU, damit Microsoft die Anbieter von Schutzsoftware nicht benachteiligen kann, um seine eigenen Lösungen zu verkaufen.
Die Forderungen/Vorschriften der EU gehen manchmal an der Realität vorbei. Offene Märkte in allen Ehren, aber Hintertüren in ein vorne abgeschottetes Gebäude zu erzwingen ist IMHO wenig sinnvoll.
 
Neben dem Zugriff auf den Windows-Kernel ist die andere problematische Sache ja, dass die AV-Programme heute die Verschlüsselung im Datenverkehr über ein Root-Zertifikat aufbrechen müssen, damit sie den Datenstrom überhaupt scannen können. Das ist ein Man-in-the-middle im besten Sinne, aber ansonsten wären sie in den allermeisten Fällen quasi blind und damit nutzlos. Eine echte Trendwende müsste aber beide Punkt ansprechen und neu regeln. Was die Verschlüsselung angeht, können wir ja nicht auf der einen Seite gegen die Chatkontrolle rebellieren, aber wenn die AV-Programme was ähnliches machen, isses uns Wurscht...

Momentan wäre ich skeptisch, inwieweit Microsoft die Sicherheit von Windows wirklich grundlegend verbessern könnte. Den Trend unter Linux mit den unveränderlichen Systemen (Immutable Systems) werden sie nicht gehen können, den Versuch hatten wir schon mit Windows Core OS usw. und da werden die Ottonormalnutzer aufbegehren. Für andere Punkte hätten sie mit sowas wie MSIX bereits schon lange die Technologien, aber da hapert es auch immer an der Durchsetzung. Mal schauen...
 
[ot}So ganz geschmackvoll ist der Titel nicht..

btw ein Vergleich der es IMHO noch näher beschreibt: Die Hintertür wird von freiwilligen Helfern bewacht, über die der Hausherr keine wirkliche Kontrolle hat außer deren Versprechen niemanden reinzulassen.
 
Ich bin nur ein Laie!
Aber es gibt doch Mittel und Wege, wie man ein System aufbauen kann, wo Systemdateien komplett abgeschottet sind? Siehe Unix, siehe Sandkasten.
Gerade die Möglichkeit, Anwendungen abzuschotten und nur Schnittstellen zu entwickeln, wo der Anwender aktiv werden muss, damit zum Beispiel das eine Tool auf die Kontakte vom Adressbuch zugreifen zu können, wird ja mittlerweile im mobilen Betriebssystemen umgesetzt.
Ich finde es nicht wirklich einen großen Nachteil. Sicher müssten softwareseitig einiges angepasst werden, aber prinzipiell könnten Betriebssysteme, Anwendungen und Sicherheitsanwendungen parallel laufen und jede Anwendung ist von der anderen Anwendung abgeschottet, wenn der Kunde es wünscht.
Was muss ein Virenscanner alles scannen, wenn der Mailclient und der Browser gefährdet ist?
 
Windows Kernel Zugriff bedeutet für mich das man auf die HAL zugriff bekommt.
Und dies wird Microsoft nicht zulassen.
Ich geh mal davon aus,das Crowdstrike respektive zugriffberechtigungen auf das Konto
"NT-Autorität" hatte,welches auch die Windowsinstallation ausführt.
An den HardwareabstrationsLayer lassen sie niemand ran.

@Sonnschein
Unix (Apple) und MS-Dos (Microsoft) sind in etwa gleich alt.,Damals beide Eingabesysteme.
Wobei Bill Gates MS-DOS nie Programmiert hat,sondern gekauft hatte.
Den Run hatte damals MS-Dos gemacht,absolut geniale Bill Gates Strategie.
Auf Unix hatte vor 40 Jahren keiner gesetzt/eingeschossen. Mittlerweile sieht es auch anders aus.
 
Zuletzt bearbeitet:
Jeder Kernel Mode Treiber hat doch Vollzugriff.

Die Frage ist was Microsoft zertifiziert, "Dank" Signaturzwang.
 
Anzeige
Oben