Firefox tiefergelegt
Integrity Levels lassen sich auf beliebige Programme anwenden, die man aus irgendwelchen Gründen für angreifbar oder weniger vertrauenswürdig hält. Um beispielsweise den Web-Browser Firefox "tieferzulegen", öffnen Sie eine Eingabeaufforderung mit Administratorrechten und wechseln in das Programmverzeichnis von Firefox, standardmäßig "C:\Program Files\Mozilla Firefox". Der Befehl
icacls firefox.exe /setintegritylevel low
ändert den Integrity Level der Programmdatei. Um Verzeichnisse für Firefox beschreibbar zu machen, setzt man mit
icacls Verzeichnisname /setintegritylevel (oi)(ci)low
ebenfalls den Integrity Level herunter, wobei die Angabe "(oi)(ci)" die Vererbung auf Dateien und Unterverzeichnisse aktiviert. Firefox benötigt für seine Benutzereinstellungen Schreibzugriff auf das Verzeichnis C:\Users\Name\AppData\Local\Mozilla\Firefox sowie C:\Users\Name\AppData\Roaming\Mozilla\Firefox. Außerdem nutzt Firefox beim Download das temporäre Verzeichnis C:\Users\Name\AppData\Local\Temp. Wenn Sie diesen Verzeichnissen mit Icacls den Integrity Level Low verpassen, läuft der tiefergelegte Firefox reibungslos.
Heruntergeladene Dateien dürfen Sie jetzt natürlich nicht mehr ohne weiteres überall speichern. Es ist daher zweckmäßig, sich ein Download-Verzeichnis mit Integrity Level Low anzulegen und Firefox anzuweisen, alle Downloads dort abzuspeichern (unter Einstellungen auf der Seite Allgemein).
Leider zeigt Vista nach dieser Konfiguration bei jedem Start des Firefox eine Sicherheitswarnung "Möchten Sie diese Datei ausführen?" an, deren Ursache wir noch nicht finden konnten. Durch den Klick auf "Ausführen" startet der Browser aber wie gewünscht mit dem Integrity Level Low.
Ausblick
Das Sicherheitsmodell von Windows Vista bietet interessante neue Möglichkeiten, die Zugriffe wenig vertrauenswürdiger Programme zum Schutz vor Sicherheitslücken auf einfache Weise zu beschränken. Die Zeit wird zeigen, ob und wie es Schädlingen in Zukunft vielleicht doch wieder gelingt, die neu errichteten Hürden zu überwinden.
(bo)
Tools zum Artikel
- Process Explorer im Software-Verzeichnis
Sysinternals/Microsoft-Tool, das detaillierte Informationen zu allen Prozessen im System anzeigt. - Windows XP Service Pack 2 Support Tools im Software-Verzeichnis
Enthält unter anderem das im Artikel erwähnte Kommandozeilenprogramm whoami.exe - AccessChk im Software-Verzeichnis
Tool von Mark Russinovich zum Überprüfen von Zugriffsrechten, insbesondere zur Anzeige von Integrity Levels. - chml von Mark Minasi im Software-Verzeichnis
Ein Utility zum Umgang mit Integrity Levels.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
