Windows NT für Programmierer

Kapitel 2: Windows NT-Architektur

Überblick

• Windows NT Design Ziele
• Betriebssystemstruktur
• Subsysteme
• Dateisysteme
• Sicherheit

Letzte Änderung: 22.6.98 von B. Tritsch

Zurück zum Inhalt

Windows NT Design Ziele

Die Firma Microsoft plaziert seit einigen Jahren drei verschiedene Betriebssysteme am Markt. Diese haben nicht die gleiche Zielgruppe an Anwendern, sondern sind jeweils für verschiedene Aufgaben optimiert.

• Windows 95: Der Fokus liegt auf dem SOHO-Markt (Small Office/Home Office). Das bedeutet , daß es hier vor allem um Kompatibilität und Minimierung des Ressourcenverbrauchs ging.
• Windows NT Workstation: Client-Betriebssystem, bei dessen Design Sicherheit, Erweiterbarkeit, Stabilität und Skalierbarkeit im Vordergrund standen. Hinzu kommt die bessere zentrale Administrierbarkeit im Vergleich zu Windows 95. Dadurch zielt Windows NT Workstation auf den Einsatz in Firmenumgebungen.
• Windows NT Server: Server-Betriebssystem in Konkurrenz zu Novell, Banyan oder UNIX. Hauptsächlicher Unterschied ist die potentielle Anwenderzahl, die das System benutzen dürfen. Diese Einschränkung bezieht sich auf File-Server-, Print-Server-, Named Pipe- sowie Mailslot-Verbindungen. Zudem ist ein NT Server in der Lage, eine Domäne zu verwalten. Auch spezielle Dienste für den Netzwerkbereich stehen nur auf einem NT-Server zur Verfügung.

Die ausgesprochenen Designziele bei Windows NT Workstation und Server entsprechen den oben genannten Einsatzgebieten. Im einzelnen lassen sich daraus verschiedene Eigenschaften identifizieren, durch die sich Windows NT von anderen Microsoft-Betriebssystemen unterscheidet.

• Kompatibilität: Durch seine Submodule ist Windows NT in der Lage, Applikationen für die Betriebssyteme Windows 3.x, Windows 95, MS-DOS, OS/2 und POSIX zu betreiben.
• Portierbarkeit: Windows NT ist fast vollständig in "C" geschrieben. Für eine neue Hardware-Architektur muß deswegen lediglich eine neue HAL (Hardware Abstraction Layer) geschrieben werden und ein NT-komformer Compiler verfügbar sein.
• Skalierbarkeit: Windows NT unterstützt das symmetrische Multiprocessing.
• Sicherheit: Windows NT beinhaltet ein durchgängiges Sicherheitskonzept, das darauf ausgelegt ist, die Sicherheitsanforderungen des Amerikanischen Verteidungsministeriums zu erfüllen (C2).
• Verteilte Systeme: Windows NT hat schon im Betriebssystemkern weitreichende Funktionalität, um Prozesse auf anderen Rechnern ablaufen zu lassen.
• Zuverlässigkeit und Stabilität: Durch sein Konzept unterscheidet Windows NT zwischen User und Kernel Prozessen. Dadurch ist es normalerweise einer Applikation nicht möglich einen Windows NT Rechner zu blockieren oder abzuschießen. Dadurch kann ein Server auch dann weiter arbeiten wenn in einer Applikation ein Fehler aufgetreten ist.
• Erweiterbarkeit: Da Windows NT sehr modular aufgebaut ist, ist es einfach möglich neue Module einzuhängen oder zusätzliche hinzuzufügen.

Von zentralem Interesse sind die Unterschiede zwischen Windows NT Workstation und Windows NT Server. Die folgende Tabelle soll die wichtigsten dieser Unterschiede gegenüberstellen:

Betriebssystemstruktur

Die Betriebssystemstruktur von Windows NT (Server und Workstation) untergliedert sich in folgender Weise, wobei Teile des Betriebssystems im Executive Modus (privilegierter oder Kernmodus) sehr geschützt und andere Teile in einem Anwendungsmodus ablaufen.

Die Struktur von Windows NT ist auf einer Kernelarchitektur - ähnlich wie Unix - aufgebaut. Windows NT unterstützt Multithreading und "preemtive Multitasking", ist aber im Gegensatz zu Unix in seiner Standardausführung kein Multiuser-Betriebssystem.

Abbildung 2.1: Die Betriebssystemstruktur von Windows NT 4.0

Prozesse im Kernmodus haben die Aufgabe die Funktionalität des Betriebssystems zu gewährleisten. Aus diesem Grund müssen sie entsprechend der Wichtigkeit und Komplexität ihrer Aufgabe priorisiert werden. Die hoch priorisierten Kernel-Prozesse regeln den Zugriff auf die Hardware, verwalten den vorhandenen Speicher und versorgen die Prozesse im Benutzermodus mit Ressourcen. Im folgenden werden die Komponenten des privilegierten Modus aufgelistet:

• Hardware Abstraction Layer (HAL): Komponente, die in Assembler geschrieben ist und verändert werden muß, wenn Windows NT auf einen anderen Prozessor, eine andere Bus-Architektur oder eine sich sonst unterscheidende Rechner-Architektur portiert wird. Ermöglichte die Portierung von Intel-Basis auf MIPS, Alpha, Power-PC und PA/RISC (von HP noch nicht ausgeliefert). Auch an einem Sparc-Port wird gearbeitet.
• Kern (Kernel): Mach-Kernel, überwiegend in ANSI-C geschrieben und prozessorabhängig. Seine Aufgaben sind die Bearbeitung von Unterbrechungen, Bearbeitung von Ausnahmen, Laufzeitfestlegung von Threads, Synchronisation von Prozessoren, Bereitstellung von Objekten, Bereitstellung von Schnittstellen.
• Objekt-Manager: Verwaltung von NT-Objekten (Hardware, Prozesse, Threads, Ereignisse, Dateien, ...)
• Prozeß-Manager: Verwaltung der Prozesse.
• Local Procedure Call-Facility (LPC): Variante der RPCs (Remote Procedure Call) zur Interprozeßkommunikation.
• Virtual Memory Manager: Virtuelle Speicherverwaltung, Verwaltung von Auslagerungsdateien.
• Sicherheitsmonitor: Überwachung der Sicherheit auf dem lokalen Computer.
• Ein/Ausgabesystem: Gerätetreiber, Dateisysteme, allgemeine Eingabe/Ausgabe.
• Graphisches Ausgabesystem: Ab Windows NT 4.0 befindet sich auch der Windows Manager zur Verwaltung von Fenster und die Treiber zur Ausgabe aller graphischen Bildschirmelemente bei den Komponenten im privilegierten Modus.

Subsysteme

Im Benutzermodus stellt Windows NT eine Reihe geschlossener Subsysteme zur Ausführung von Applikationen zur Verfügung. Sie alle kommunizieren mit dem darunterliegenden Betriebssystem und regeln ihre Bildschirmausgaben über die Windows32-Graphikschnittstelle.

• Win32: Ausführung von 32-Bit Windows-Programmen, beinhaltet das WOW-Modul (Windows-on-Windows) zur Ausführung von 16-Bit-Programmen.
• OS/2: OS/2 2.x Subsystem.
• POSIX: Zeichenorientiertes POSIX-Subsystem.
• Sicherheit: Subsystem zur Überwachung der Sicherheit der anderen Subsysteme

Dateisysteme

Windows NT ist in der Lage über sein Ein-/Ausgabesystem mehrere Dateisysteme parallel zu verwalten. Hierbei werden die Treiber für die Dateisysteme wie andere Gerätetreiber behandelt. Dies dient zum einen der Abwärtskompatibilität und zum anderen der Integration verschiedener Funktionalitäten.

• FAT - File Allocation Table: DOS Dateisystem und Diskettenformat unter Windows NT. Für Dateinamen wird die 8.3-Konvention verwendet, die 8 Buchstaben vor dem Punkt und 3 Buchstaben nach dem Punkt erlaubt. Groß- und Kleinschreibung spielen keine Rolle. Die maximale Dateigröße beträgt 4 GBytes. Die Wurzel eines FAT-Verzeichnisses kann maximal 512 Einträge beinhalten.
• FAT32: Das erweiterte FAT-Dateisystem von Windows 95 mit Unterstützung von langen Dateinamen und Unterscheidung von Groß- und Kleinschreibung. FAT32 wird nicht von der Version 4, jedoch von der Version 5 von Windows NT unterstützt.
• NTFS - New Technology File System: Dies ist das speziell für Windows NT entwickelte 64-Bit-Dateisystem mit starkem Fokus auf Sicherheit. Die Dateinamen können bis zu 255 Zeichen in 16-Bit-Unicode enthalten, wobei Groß- und Kleinschreibung beibehalten werden. Unicode erlaubt die Verwendung von erweiterten Zeichensätzen, z.B. für chinesische, japanische, griechische oder arabische Zeichen. Die theoretisch maximale Dateigröße beträgt 16 ExaBytes (= 17 Millionen GBytes!).
• CDFS – CD File System: Dateisystem für CDs, das auch lange Dateinamen erlaubt. Es können jedoch auch CDs verwendet werden, die Kompatibel zum CD-Standard ISO9660 sind.
• HPFS - High Performance File System: Das OS/2-Dateisystem wurde bis einschließlich der Windows NT Version 3.51 direkt unterstützt. Ab Windows NT 4.0 müssen die zugehörigen Treiberdateien zusätzlich installiert werden. Die maximal Dateigröße beträgt 4 GBytes.

Der Zugriff auf ein Dateisystem über das Netzwerk wird über den I/O-Manager realisiert. Die wichtigsten Netzwerkkomponenten von Windows NT sind hierfür der Redirector und der Netzwerk-Server. Beide sind Bestandteil der NT Exekutive. Der Redirector stellt Zugriffsmechanismen zur Verfügung, um auf Ressourcen wie Remote-Dateien, Named Pipes und Remote-Drucker zugreifen zu können, die auf einem entfernten Rechner liegen. Er ermöglicht aber auch Verbindungen zu anderen Netzwerken, wie Novell Netware oder Banyan Vines. Der Redirector Rdr.sys ist als Dateisystem-Treiber realisiert, der mit den Netzwerktreibern der darunterliegenden Schichten über die TDI (Transport Driver Interface)-Schnittstellen kommunizieren kann.

Die einzelnen Software-Schichten bis hin zum Zugriff auf eine oder mehrere Netzwerkkarten zeigt die folgende Abbildung:

Abbildung 2.2: Netzwerk-Gerätetreiber und deren Protokolle

Sicherheit

Was versteht man unter Sicherheit? Hier ist die Bedeutung, daß der absichtliche und schadhafte Zugriffsversuch von Personen auf ein Computersystem verhindert werden soll. Dies betrifft sowohl den lokalen Zugriff als auch den Zugriff über das Netzwerk. In der Regel betrachtet, verändert oder löscht ein Angreifer Daten in einer Weise, die auf dem Zielsystem nicht erlaubt ist. Hierbei können die Daten direkt oder über ein verbotenerweise eingeschleustes Programm modifiziert werden. Diese Sichtweise verbindet den Begriff Sicherheit nicht mit Spiegelung von Festplatten oder der regelmäßigen Datensicherung durch Backup-Systeme.

Für den sicheren Betrieb von Windows NT werden eine Reihe von Mechanismen genutzt.

• Benutzeridentifikation, Authentifizierung
• Zugriffskontrolle
• Benutzerberechtigungen und Administration
• Überwachung mit einem Systemprotokoll

Windows NT besitzt seit der Version 3.5 mit Service Pack 3 die C2-Zertifizierung der US-amerikanischen Regierung. Dies gilt jedoch ohne Einschränkung nur für NT-Rechner ohne Netzwerkanbindung und sehr spezieller Hardware-Konfiguration. Konzeptionell ist Windows NT sogar für die noch schärfere B1-Sicherheitsstufe ausgelegt.

Die US-Regierung (nicht nur das Verteidigungsministerium) etablierte 1983 einen Evaluierungsprozeß für die Sicherheit von Betriebssystemen, der bis heute noch größtenteils unverändert gilt. Zwei kooperierende Instanzen, das National Computer Security Center (NCSC) und das National Institute of Standards and Technology (NIST), testen spezifische Betriebssysteme auf ihre Sicherheit. Hierbei halten sie sich an eine Publikation, die sich Trusted Computer System Evaluation Criteria (TCSEC) nennt. Besser bekannt ist dieses Werk jedoch als das "Orange Book".

Das Orange Book ordnet die Software-Komponenten eines Betriebssystems auf einer spezifischen Hardware bestimmten Sicherheitsstufen zu. Dies umfaßt jedoch nicht die Netzwerkfunktionalitäten. Diese müssen unter eigenen, neueren Kriterien betrachtet werden, der Trusted Network Interpretation (TNI), oder besser bekannt unter dem Namen "Red Book". Die Vorgaben im Orange Book ordnen am Ende ein evaluiertes System auf einer Skala mit steigender Sicherheit ein.

(weniger sicher) C1 à C2 à B1 à B2 à B3 à A1 (sehr sicher)

Im heutigen Markt der Mehrzwecksysteme liegt der Hauptaugenmerk auf einer Sicherheit zwischen C2 und B1. Alles was weniger ist, gilt als zu unsicher. Alles was mehr ist, bedeutet einen großen Mehraufwand für Entwickler und Administratoren. Die höheren Sicherheitsstufen finden zudem nur in wenigen Fällen ihre Anwendung (z.B. beim Militär) und haben daher nur eine sehr geringe Marktrelevanz.

Grundlage für die Sichheitsoptionen unter Windows NT sind mehrere Mechanismen, die in den Kern des Betriebssystems integriert sind. Insbesondere ist hier die Zugriffsmarkierung (engl.: Token) zu nennen, die an jedes NT-Objekt gekoppelt ist. Hierüber lassen sich alle Zugriffe über eine Access Control List mit Hilfe des NT-Sicherheitsmonitors genau regeln. Einige der Sicherheitsoptionen sind dabei deutlich stärker als B1, was jedoch im Gegensatz zur C2-Einstufung keine kommerzielle Bedeutung hat.

Zum nächsten Kapitel