Es gibt keinen Grund überstürzt auf Windows Vista umzustellen. Windows Vista wurde nach ca. 2 1/2 Jahren Entwicklungszeit  (August 2004 - Fertigstellung Windows XP SP2 bis November 2006 - Released To Manufacturing) veröffentlicht und führt umfangreiche technologische Neuerungen ein.

Windows Vista ist aufgrund der Fülle seiner Neuerungen ein lohnenswertes Update, jedoch kein "must have". Das Betriebssystem wird sich sehr wahrscheinlich allein über Hardwareneukäufe in den nächsten Monaten durchsetzen.

Windows XP SP2 ist im Moment für die Mehrheit der Nutzer völlig ausreichend in Bezug auf Funktionalitäten und Sicherheit des Betriebssystems im Vergleich zu Windows Vista, vorausgesetzt die Zwei Benutzerregel wird befolgt und die Fünf Grundregeln für den sicheren Betrieb von Windows-Systemen werden eingehalten.

Welche sinnvollen Gründe gibt es für ein Update?

• Anwendungen, welche nur unter Windows Vista lauffähig sind.
• Hardware, welche nur mit Windows Vista lauffähig ist.
• Das Arbeiten unter einem administrativen Benutzerkonto ist erforderlich. Dann ist UAC, die Benutzerkontensteuerung, von Windows Vista eine unverzichtbare Verbesserung der Sicherheit des Betriebssystems.
• Windows Vista wird mit neuer Hardware angeschafft. Solange alle benutzten Anwendungen funktionieren, gibt es keinen Grund ein anderes Betriebssystem einzusetzen.
• Administratoren wollen Erfahrungen mit dem neuen Betriebssystem sammeln, da ein Wechsel der PC-Infrastrukur auf Windows Vista sehr wahrscheinlich ist. 

• Sicherheit
• UAC, Benutzerkontensteuerung - Anwendungs-Sandbox Umgebung, führt alle Prozesse mit reduzierten Rechten aus und vereinfacht das Arbeiten unter einem nicht-administrativen Konto.
  Referenz:
  • User Account Control Overview
  • http://download.microsoft.com/documents/uk/msdn/events/Daniel_Moth_User_Account_Control.ppt
  • Inside Windows Vista User Account Control
• Windows Integrity Level (Mandatory Integrity Control - MIC) - definiert das maximale Zugriffsrecht, welches ein Prozess auf ein Windows-Objekt ausüben darf.
   
  Windows Integrity Level beruhen auf der Definition von Vertrauensstufen: Low, Medium, High und System und zugelassenen Aktionen auf das zu schützende Objekt: Lesen, Ausführen und Schreiben.
   
  Alle Prozesse eines Nutzers werden mit der Vertrauensstufe Medium ausgeführt, solange die Benutzerkontensteuerung (UAC) aktiv ist.
  Dies gilt auch für alle administrative Konten, jedoch nicht für den built-in Administrator, da für diesen UAC standardmäßig abgeschaltet ist. Dies läßt sich jedoch per Gruppenrichtlinie ändern und ist nicht besonders kritisch, da der built-in Administrator standardmaßig deaktiviert ist und dann lediglich im abgesicherten Modus benutzt werden kann.
   
  Ein Prozess ist z.B. nicht in der Lage einen Schreibzugriff auf ein Objekt (Dateisystem, Registry usw.) mit einer höheren Vertrauensstufe als der eigenen Vertrauensstufe auszuführen oder anders formuliert: Ein Prozess kann nur Objekte derselben Vertrauensstufe oder Objekte mit niedrigerer Vertrauensstufe als der eigenen Vertrauensstufe beschreiben.
   
  Die Vertrauensstufe eines Objektes wird in der SACL (System Access Control List) eines Objektes festgelegt und kann mit dem Kommandozeilen-Tool icacls.exe für Dateisystemobjekte festgelegt werden.
   
  Dabei hat die festgelegte Vertrauensstufe eines Objektes Vorrang vor den in der DACLS (Discretionary Access Control List) konfigurierten Zugriffsrechten. Wenn keine Vertrauenstsufe in der SACL angegeben wurde, dann gilt die Vertrauensstufe Medium.
  Referenz:
• Why Vista? Mandatory Integrity Control (MIC) (Security, Stability, System Integrity)
• Mandatory integrity control in Windows Vista
• MSDN: SYSTEM_MANDATORY_LABEL_ACE
• Advanced Windows Firewall - stateful-inspection Firewall, welches eingehenden und ausgehenden Netzwerkverkehr steuern kann.
  Referenz:
  • Getting Started with Windows Firewall with Advanced Security
• Address Space Load Randomization - sorgt dafür, dass System-Dlls und System-Progamme bei jedem Neustart des Betriebssystems an zufällige Hauptspeicheradressen geladen werden. Dies erschwert es Viren und Malware eventuelle Sicherheitsprobleme des System auszunutzen.
  Referenz:
  • Inside the Windows Vista Kernel: Part 3
• Code Integrity - überprüft die Integrität von kernel-mode Programmcode anhand von Digitalen Signaturen.
  Referenz:
  • Kernel-Mode Code Signing Policy (Windows Vista)
• Service Hardening - beschränkt die Systemrechte von Diensten über nicht-privilegierte Benutzerkonten, per-service Security Identifier (SID) und Service Firewall-Regeln.
  Referenz:
  • Services Hardening in Windows Vista
• Bitlocker - verschlüsselt die Systemfestplatte, Voraussetzung dafür ist mindestens ein USB-Laufwerk. Sicherer ist jedoch TPM-kompatible Hardware (TPM = Trusted Platform Module).
  Referenz:
  • BitLocker Drive Encryption Overview
  • BitLocker Drive Encryption: Technical Overview
  • Windows BitLocker Drive Encryption Step-by-Step Guide
• Internet Explorer Protected Mode - verhindert Schreibzugriffe von Programmen aus dem Internet, indem diese immer mit der Vertrauensstufe Low ausgeführt werden, s. o.  Windows Integrity Control (Mandatory Integrity Level).
  Referenz
  • Understanding and Working in Protected Mode Internet Explorer
• Management
  • Windows PE 2.0 ist integraler Bestandteil des Windows Automated Installation Kit (Windows AIK), welches u.a. das Erstellen von Windows Vista-basierten Notfall-CDs und angepassten Windows Vista Setup-CDs ermöglicht. So ist es mit dem Windows AIK möglich Windows Vista Setup-CDs zu erstellen, welche zuätzliche Treiber und/oder alle verfügbaren Hotfixes enthalten. Weiterhin kann man mit dem Windows AIK boot-fähige USB-Sticks erstellen, indem man Windows PE 2.0 auf einen USB-Stick installiert. Das Windows AIK und Windows PE 2.0 sind kostenlos.
    Download:
    • http://www.microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2&displaylang=en
    Referenz:
    • Windows Automated Installation Kit (Windows AIK)
    • Windows PE 2.0 for Windows Vista Overview
  • Event Triggers GUI (bisher, ab Windows XP, nur über eventrigger.exe konfigurierbar) - auf konfigurierbare Ereignisse können Aktionen ausgelöst werden, z.B. eine E-Mail versenden, wenn ein bestimmtes Ereignis eintritt.
    Referenz:
    • Run a Task in Response to a Given Event
  • Multiple Lokale Gruppenrichtlinien - ermöglichen unterschiedliche Gruppenrichtlinieneinstellungen für lokale Benutzer
    Referenz:
    • Step-by-Step Guide to Managing Multiple Local Group Policy Objects
  • Event Subscriptions - Netzwerkfähiges Eventlogging: Inhalte entfernter Eventlogs können mithilfe des Windows Event Collector-Dienstes (Wecsvc) abbonniert und gesammelt werden
    Referenz:
    • Event Subscriptions
  • Icacls - Kommandozeile-Tool, welches u.a. auch das Sichern und Wiederherstellen von ACLs im Dateisystem beherrscht, s. icacls /?
  • Mklink - Symblische Links im Dateisystem: über das interne Shell-Kommando mklink, können symblische Links erzeugt werden, welche ab SMB 2.0 (ab Windows Vista) auch auf entfernte Netzwerkresourcen verweisen können.
    Referenz:
    • Mklink
  • Server Message Block 2.0 Protokoll - SMB 2.0: löst SMB 1.0 der Vorgänger Windows-Versionen ab, bringt vor allem verbesserte Performance, Robustheit gegenüber Netzwerkfehlern und Unterstützung für symbolische Links.
    • New Networking Features in Windows Server "Longhorn" and Windows Vista
  Referenz:
  • First Look: New Security Features in Windows Vista
  • New ACLs Improve Security in Windows Vista
  • The Advantages of Running Applications on Windows Vista
  • Inside the Windows Vista Kernel: Part 1
  • Inside the Windows Vista Kernel: Part 2
  • Inside the Windows Vista Kernel: Part 3
  • Security Features vs. Convenience
  • PsExec, User Account Control and Security Boundaries

Mit Windows Vista führt Microsoft Version 2.0 seiner Lizenzierungstechnologie für Firmenkunden ein, Volume Activation 2.0, kurz VA 2.0. Dies bedeutet jede Windows Installation muß aktiviert werden. Für Windows Vista gibt es zwei Arten von Lizenzschlüsseln:

• KMS-Schlüssel - Key Management Server-Schlüssel wird für die Installation und Aktivierung eines Key Management Servers benötigt, welcher anschließend die Online-Aktivierung von Windows Vista Installationen übernehmen kann. Die Installation von Windows wird vereinfacht, da kein Lizenzschlüssel während der Installation eingegeben werden muß. Weitere Informationen zur Nutzung des Key Management Servers des URZ unter
  • Windows Key Management Server des URZ
• MAK - Multiple Activation Key, der für die Installation und Aktivierung von Windows Vista Installationen verwendet werden kann. Dieser Schlüsseltyp ist ähnlich dem bisherigen Lizenzschlüssel von Windows XP, nur das jetzt zusätzlich eine Aktivierung der Windows-Installation erfolgen muß.

Referenz:

• Windows Vista Volume Activation 2.0
• Windows Vista Volume Activation 2.0 Step-By-Step Guide

Es gibt insgesamt sechs Windows Vista Varianten, welche sich in den Funktionalitäten, wie Bitlocker, Windows Media Center, Remote Desktop u.w., unterscheiden:

• Windows Vista Starter (nicht in Deutschland verfügbar)
• Windows Vista Home Basic
• Windows Vista Home Premium
• Windows Vista Business
• Windows Vista Enterprise
• Windows Vista Ultimate

Über den Select-Vertrag der Universität Rostock mit Microsoft können nur die Windows Vista Business und Enterprise Versionen bezogen werden.

Referenz:

• Windows Vista: Compare Editions