Übersicht über die Sicherheit von Windows 10
Dieses Handbuch enthält eine ausführliche Beschreibung der wichtigsten Verbesserungen bei der Sicherheit des Betriebssystems Windows 10 mit Links zu detaillierteren Artikeln über viele der Sicherheitsfunktionen. Soweit dies möglich ist, werden bestimmte Empfehlungen bereitgestellt, die Ihnen beim Implementieren und Konfigurieren von Sicherheitsfunktionen unter Windows 10 helfen.
Einführung
Windows 10 ist auf den Schutz gegen bekannte und neue Sicherheitsrisiken aus dem gesamten Spektrum von Angriffsvektoren ausgelegt. Bei der Entwicklung von Windows 10 wurden drei allgemeine Kategorien von Sicherheitsvorkehrungen berücksichtigt:
Identität und Zugriffssteuerung – diese Funktionen wurden erheblich erweitert, um die Sicherheit der Benutzerauthentifizierung sowohl zu vereinfachen als auch zu verbessern. Zu diesen Funktionen gehören Windows Hello und Microsoft Passport, die anhand der einfach bereitzustellenden und verwendenden mehrstufigen Authentifizierung (Multifactor Authentication, MFA) einen besseren Schutz für Benutzeridentitäten bieten. Eine weitere neue Funktion ist Credential Guard; dabei wird virtualisierungsbasierte Sicherheit (Virtualization-Based Security, VBS) genutzt, um die Subsysteme der Windows-Authentifizierung und die Anmeldeinformationen von Benutzern zu schützen.
Informationsschutz – dient zum Schutz von gespeicherten und verwendeten Informationen sowie Informationen während der Übertragung. Neben BitLocker und BitLocker To Go zum Schutz von ruhende Daten bietet Windows 10 auch die Verschlüsselung auf Dateiebene mit Unternehmensdatenschutz für die Trennung und die Identifizierung von Daten. Bei der gleichzeitigen Verwendung von Rechteverwaltungsdiensten können Daten auch beim Verlassen des Unternehmensnetzwerks verschlüsselt bleiben. Windows 10 kann Daten auch mithilfe von virtuellen privaten Netzwerken (VPNs) und Internetprotokollsicherheit schützen.
Widerstand gegen Schadsoftware – enthält Architekturänderungen, die wichtige System- und Sicherheitskomponenten vor Bedrohungen isolieren. Einige neue Funktionen in Windows 10 verringern die Gefahr von Schadsoftware, z. B. VBS, Device Guard, Microsoft Edge und eine vollkommen neue Version von Windows Defender. Außerdem wurden die zahlreichen Antischadsoftware-Funktionen aus Windows 8.1 – darunter AppContainer mit Sandkastenlösungen für Anwendungen und zahlreiche Startschutzfunktionen wie der vertrauenswürdige Start – in verbesserter Form für Windows 10 übernommen.
Identität und Zugriffssteuerung
Normalerweise ist die Zugriffskontrolle ein Prozess mit drei Komponenten:
Identifikation – ein Benutzer gibt im Computersystem eine eindeutige Identität an, um Zugriff auf eine Ressource wie eine Datei oder einen Drucker zu erhalten. In einigen Definitionen wird der Benutzer als „Subjekt“ und die Ressource als „Objekt“ bezeichnet.
Authentifizierung – der Prozess zum Nachweis der angegebenen Identität und zur Überprüfung, dass das Subjekt in der Tat das Subjekt ist.
Autorisierung – wird vom System ausgeführt, um die Zugriffsrechte des autorisierten Subjekts mit den Berechtigungen des Objekts abzugleichen und den angeforderten Zugriff entweder zu gewähren oder zu verweigern.
Die Art der Implementierung dieser Komponenten ist ausschlaggebend für das Verhindern, dass Angreifer auf vertrauliche Daten zugreifen. Nur ein Benutzer, der seine Identität nachweist – und zum Zugriff auf diese Daten berechtigt ist – erhält Zugriff darauf. In der Sicherheit sind jedoch unterschiedliche Abstufungen beim Identitätsnachweis und zahlreiche verschiedene Anforderungen für die Autorisierungslimits vorhanden. Die in den meisten Unternehmensumgebungen erforderliche Flexibilität bei der Zugriffssteuerung stellt für jedes Betriebssystem eine Herausforderung dar. Tabelle 1 enthält gängige Herausforderungen bei der Zugriffssteuerung und die entsprechenden Lösungen in Windows 10-Lösungen.
Tabelle 1. Windows 10-Lösungen für gängige Herausforderungen bei der Zugriffssteuerung
Herausforderung der Zugriffssteuerung | Windows 10-Lösungen |
---|---|
Organisationen verwenden häufig Kennwörter, da die alternativen Methoden zu komplex und die Bereitstellung zu kostspielig sind. Organisationen, die sich für Alternativen zu Kennwörtern – z. B. Smartcards – entscheiden, müssen Smartcardleser, Smartcards und Verwaltungssoftware erwerben und verwalten. Diese Lösungen verzögern die Produktivität, wenn die MFA-Komponente verloren geht oder beschädigt wird. Daher werden MFA-Lösungen wie Smartcards meist nur für VPNs und ausgewählte Ressourcen verwendet. |
Windows Hello auf Geräten mit Biometriefunktionen und Microsoft Passport vereinfachen die MFA. |
Tablet-Benutzer müssen ihr Kennwort auf einem Touchscreen eingeben; diese Methode ist fehleranfällig und weniger effizient wie eine Tastatur. Windows Hello ermöglicht eine sichere, auf Gesichtserkennung basierende Authentifizierung. |
Windows Hello ermöglicht eine sichere, auf Gesichtserkennung basierende Authentifizierung. |
Die IT-Abteilung muss Tools von Drittanbietern erwerben und verwalten, um Rechtsvorschriften bezüglich der Zugriffssteuerung und -überwachung zu erfüllen. |
In Kombination mit dem Betriebssystem Windows Server 2012 bietet die dynamische Zugriffssteuerung eine flexible Zugriffssteuerung und Überwachung, die zahlreiche Sicherheits- und Rechtsvorschriften von Behörden erfüllen. |
Benutzer geben ungern ihre Kennwörter ein. |
Das einmalige Anmelden (Single Sign-On, SSO) ermöglicht es Benutzern, sich einmal mit Ihren Microsoft Passport-Anmeldedaten anzumelden und damit ohne erneute Authentifizierung Zugriff auf alle Unternehmensressourcen zu erhalten. Windows Hello ermöglicht eine sichere, auf Fingerabdruck und Gesichtserkennung basierende Authentifizierung und kann beim Zugriff auf sensible Ressourcen zur erneuten Überprüfung der Benutzeranwesenheit verwendet werden. |
Windows setzt zunehmend längere Verzögerungen zwischen Anmeldeversuchen ein und kann ein Benutzerkonto sperren, wenn Brute-Force-Angriffe erkannt werden. |
Wenn BitLocker auf dem Systemlaufwerk und Brute-Force-Schutz aktiviert ist, kann Windows den PC nach einer festgelegten Anzahl von falschen Kennworteingaben neu starten, den Zugriff auf die Festplatte sperren und den Benutzer zur Eingabe des BitLocker-Wiederherstellungsschlüssels mit 48 Zeichen auffordern, um das Gerät zu starten und auf den Datenträger zuzugreifen. |
In den folgenden Abschnitten werden diese Probleme und entsprechende Lösungen ausführlicher beschrieben.
Microsoft Passport
Microsoft Passport bietet eine strikte zweistufige Authentifizierung (2FA), die vollständig in Windows integriert ist, und ersetzt Kennwörter durch eine Kombination aus einem registrierten Gerät und entweder einer PIN oder Windows Hello. Das Konzept von Microsoft Passport ist vergleichbar mit dem von Smartcards, ist jedoch flexibler. Die Authentifizierung erfolgt über ein asymmetrisches Schlüsselpaar anstelle eines Zeichenfolgenvergleichs (z. B. Kennwort), und das Schlüsselmaterial des Benutzers kann mithilfe von Hardware gesichert werden.
Im Gegensatz zu Smartcards erfordert Microsoft Passport keine zusätzlichen Infrastrukturkomponenten wie sie für die Smartcard-Bereitstellung erforderlich sind. Insbesondere benötigen Sie keine Public Key-Infrastruktur (PKI). Wenn Sie PKI bereits verwenden – für sichere E-Mail oder VPN-Authentifizierung – können Sie die vorhandene Infrastruktur mit Microsoft Passport nutzen. Microsoft Passport kombiniert die wichtigsten Vorteile der Smartcard-Technologie – Flexibilität bei der Bereitstellung virtueller Smartcards und stabile Sicherheit für physische Smartcards – jedoch ohne die Nachteile.
Microsoft Passport bietet drei erhebliche Vorteile gegenüber der aktuellen Windows-Authentifizierung: Es ist flexibler, basiert auf Branchenstandards und senkt effektiv Risiken. In den folgenden Abschnitten werden diese Vorteile ausführlicher erläutert.
Flexibilität
Microsoft Passport bietet eine beispiellose Flexibilität. Obwohl das Format und die Verwendung von Kennwörtern und Smartcards festgelegt sind, stehen Microsoft Passport-Administratoren und Benutzern Optionen zur Verwaltung der Authentifizierung zur Verfügung. Am wichtigsten ist, dass Microsoft Passport mit biometrischen Sensoren und PINs kompatibel ist. Des Weiteren können Sie Ihren PC oder sogar Ihr Smartphone als einen der Faktoren zur Authentifizierung auf Ihrem PC verwenden. Schließlich können Ihre Anmeldeinformationen aus Ihrer PKI-Infrastruktur stammen, oder Windows kann die Anmeldeinformationen selbst erstellen.
Microsoft Passport bietet Ihnen neben langen, komplexen Kennwörtern noch weitere Optionen. Benutzer müssen sich keine häufig wechselnden Kennwörter mehr merken und mehrfach eingeben. Stattdessen ermöglicht Microsoft Passport eine auf PINs und biometrischen Daten basierende Authentifizierung über Windows Hello, um Benutzer sicher zu identifizieren.
Mit Microsoft Passport profitieren Sie auch von Flexibilität im Rechenzentrum. Zur Bereitstellung müssen Sie Ihrer Active Directory-Umgebung Windows Server 2016-Domänencontroller hinzufügen, müssen jedoch nicht Ihre vorhandenen Active Directory-Server ersetzen oder entfernen: Microsoft Passport baut auf Ihre vorhandene Infrastruktur auf und ergänzt diese. Sie können entweder lokale Server hinzufügen oder Microsoft Passport mithilfe von Microsoft Azure Active Directory in Ihrem Netzwerk bereitstellen. Die Entscheidung, welche Benutzer für Microsoft Passport aktiviert werden, liegt vollständig Ihnen – Sie legen fest, welche Elemente geschützt und welche Authentifizierungsfaktoren unterstützen werden sollen. Dank dieser Flexibilität kann Microsoft Passport problemlos zur Ergänzung von vorhandenen Smartcard- oder Tokenbereitstellungen genutzt werden, indem 2FA für Benutzer hinzugefügt wird, die derzeit nicht darüber verfügen, oder zur Bereitstellung von Microsoft Passport in Szenarien, die zusätzlichen Schutz für vertrauliche Ressourcen oder Systeme erfordern.
Standardisierung
Sowohl Softwareanbieter als auch Unternehmenskunden haben erkannt, dass proprietäre Identitäts- und Authentifizierungssysteme in eine Sackgasse führen: Die Zukunft gehört offenen, interoperablen Systeme, die eine sichere Authentifizierung über mehrere Geräte hinweg ermöglichen, branchenspezifischen Apps sowie externen Anwendungen und Websites. Zu diesem Zweck hat eine Gruppe von Branchenakteuren die FIDO-Allianz (Fast IDentity Online Alliance) gegründet. Die FIDO-Allianz ist eine nichtkommerzielle Organisation, die auf die fehlende Interoperabilität zwischen sicheren Authentifizierungsgeräten sowie auf die Probleme ausgerichtet ist, die bei Benutzern auftreten, wenn sie mehrere Benutzernamen und Kennwörter erstellen und sich diese merken müssen. Die FIDO-Allianz plant eine grundlegende Änderung der Authentifizierung. Dazu sollen Spezifikationen zur Definition von offenen, skalierbaren, interoperablen Mechanismen entwickelt werden, die Kennwörter als Methode zur sicheren Authentifizierung von Benutzern von Onlinediensten ersetzen sollen. Dieser neue Standard für Sicherheitsgeräte und Browser-Plug-Ins ermöglicht jeder Website bzw. Cloudanwendung das Herstellen von Verbindungen über Schnittstellen mit einer Vielzahl von vorhandenen und künftigen FIDO-fähigen Geräten, die der Benutzer für die Onlinesicherheit verwendet.
Microsoft gehört seit 2014 zu den Hauptmitgliedern der FIDO-Allianz. FIDO-Standards ermöglichen ein universelles Rahmenwerk, das von einem globalen Ökosystem bereitgestellt wird, um für eine einheitliche und deutlich verbesserte Benutzererfahrung bei der sicheren Authentifizierung ohne Kennwörter zu sorgen. Die im Dezember 2014 veröffentlichten FIDO 1.0-Spezifikationen sehen zwei Arten von Authentifizierung vor: ohne Kennwort (als „UAF“ bezeichnet) und anhand von zwei Faktoren („U2F“). Die FIDO-Allianz arbeitet derzeit an einer weiteren Version (2.0) von Vorschlägen, die die besten Ideen der FIDO 1.0-Standards U2F und UAF und selbstverständlich auch neue Ideen beinhalten. Microsoft hat der Arbeitsgruppe der FIDO 2.0-Spezifikationen die Microsoft Passport-Technologie zur Überprüfen und Beurteilung bereitgestellt und arbeitet weiterhin mit der FIDO-Allianz an den FIDO 2.0-Spezifikationen zusammen. Die Interoperabilität von FIDO-Produkten ein Markenzeichen der FIDO-Authentifizierung. Microsoft geht davon aus, dass die Markteinführung einer FIDO-Lösung einem massiven Bedürfnis von Unternehmen und Heimanwendern gleichermaßen nachkommt.
Effektivität
Microsoft Passport reduziert effektiv zwei erhebliche Sicherheitsrisiken. Zunächst werden Kennwörter für die Anmeldung abgeschafft und damit das Risiko reduziert, dass Angreifer die Anmeldeinformationen eines Benutzers stehlen und wiederverwenden. Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt; dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten. Zweitens verwendet Microsoft Passport asymmetrische Schlüsselpaare, damit die Anmeldeinformationen von Benutzern nicht gestohlen werden können, wenn der Identitätsanbieter oder Websites, auf die der Benutzer zugreift, unrechtmäßig verwendet wurden.
Zur unrechtmäßigen Verwendung von Microsoft Passport-Anmeldeinformationen, die von TPM geschützt werden, benötigt ein Angreifer Zugriff auf das physische Gerät und muss dann eine Möglichkeit finden, die biometrischen Daten des Benutzers vorzutäuschen oder seine PIN zu erraten – und zwar bevor das Gerät durch die Anti-Hammering-Funktionen des TPM gesperrt wird. Dadurch sind sehr viel komplexere Angriffstechniken als beispielsweise Kennwort-Phishing erforderlich.
Windows Hello
„Windows Hello“ ist der Name einer neuen Option für biometrisches Anmelden für Microsoft Passport. Da die biometrische Authentifizierung direkt in das Betriebssystem integriert ist, können Windows Hello-Benutzer ihre Geräte durch Gesichtserkennung oder Fingerabdruck entsperren. Ab hier erfolgt die Authentifizierung für Geräte und Ressourcen durch eine Kombination aus der eindeutigen biometrischen Kennung des Benutzers und das Gerät selbst.
Die für Windows Hello verwendeten biometrischen Daten des Benutzers gelten als lokale Geste; daher wechseln sie nicht zwischen den Geräten eines Benutzers und werden nicht zentral gespeichert. Das vom Sensor erfasste biometrische Bild des Benutzers wird in eine algorithmische Form umgewandelt, die nicht wieder in das ursprünglich vom Sensor erfasste Bild konvertiert werden kann. Geräte mit TPM 2.0 verschlüsseln die biometrischen Daten in einem Formular, das nicht gelesen werden, wenn die Daten vom Gerät entfernt werden. Wird ein Gerät von mehreren Benutzern verwendet, hat jeder Benutzer die Möglichkeit, Windows Hello für sein jeweiliges Windows-Profil zu registrieren und zu nutzen.
Windows Hello unterstützt zwei Optionen für biometrische Sensoren, die für Unternehmensszenarien geeignet sind:
Gesichtserkennung – verwendet spezielle Infrarotkameras, die zuverlässig den Unterschied zwischen einem Foto oder Scan und einer echten Person erkennen. Mehrere Anbieter haben externe Kameras im Angebot, die über diese Technologie verfügen, und wichtige Hersteller bieten bereits integrierte Geräte mit der Gesichtserkennungstechnologie an.
Fingerabdruckerkennung – scannt den Fingerabdruck des Benutzers mit einem Fingerabdrucksensor. Fingerabdruckleser sind für Windows-Computern bereits seit mehreren Jahren verfügbar, die Algorithmen für Erkennung und Anti-Spoofing unter Windows 10 sind jedoch fortschrittlicher als in vorherigen Windows-Versionen. Die meisten vorhandenen Fingerabdruckleser (ob externe oder in Laptops bzw. USB-Tastaturen integrierte) sind mit Windows Hello kompatibel.
Windows Hello bietet mehrere wichtige Vorteile. Zunächst begegnet dieses System den Probleme mit dem Diebstahl und der Freigabe von Anmeldeinformationen, da ein Angreifer über das Gerät verfügen und die biometrische Identität des Benutzers vortäuschen muss, was schwieriger ist, als ein Kennwort oder eine PIN zu stehlen. Zweitens sorgt die Verwendung biometrischer Daten dafür, dass Benutzer immer einen Authentifikator bei sich haben – nichts kann vergessen, verloren und zurückgelassen werden. Anstatt sich lange, komplexe Kennwörter zu merken, können Benutzer eine bequeme und sichere Methode zur Anmeldung bei allen ihren Windows-Geräten nutzen. Schließlich muss nichts weiter bereitgestellt oder verwaltet werden. Da die Unterstützung für Windows Hello direkt in das Betriebssystem integriert sind, müssen keine zusätzlichen Treiber bereitgestellt werden.
Schutz vor Brute-Force-Angriffen
Ein Brute-Force-Angriff bezeichnet den Vorgang, in ein Gerät einzudringen, indem einfach das Kennwort, die PIN oder sogar die biometrische Identität eines Benutzers mehrfach geraten wird, bis der Angreifer die richtigen Daten ermittelt hat. In den vorhergehenden Versionen von Windows hat Microsoft Funktionen hinzugefügt, die die Erfolgswahrscheinlichkeit eines solchen Angriffs erheblich reduzieren.
Unter Windows 7 und vorhergehenden Versionen erfolgte der Schutz vor Brute-Force-Angriffen auf einfache Weise: Nach mehreren Fehlern wurden weitere Rateversuche verlangsamt oder verhindert. Wenn Benutzer ein vollständiges Kennwort zur Anmeldung verwenden, erzwingt Windows eine Wartezeit von mehreren Sekunden zwischen mehreren falschen Kennworteingaben. Sie können sogar festlegen, dass Windows ein Konto für einen gewissen Zeitraum sperrt, wenn einen Brute-Force-Angriff erkannt wird.
Windows 8.1 und Windows 10 unterstützen eine noch wirkungsvollere – jedoch optionale – Form des Brute-Force-Schutzes, wenn die Anmeldeinformationen an TPM gebunden sind. Wenn das Betriebssystem einen Brute-Force-Angriff auf die Windows-Anmeldung erkennt und BitLocker das Systemlaufwerk schützt, kann Windows das Gerät automatisch neu starten und es in den BitLocker-Wiederherstellungsmodus versetzen, bis ein Kennwort für den Wiederherstellungsschlüssel eingegeben wird. Dieses Kennwort ist ein nahezu nicht erratbarer Wiederherstellungscode mit 48 Zeichen, der verwendet werden muss, damit Windows normal gestartet werden kann.
Wenn Sie mehr zur Konfiguration des Brute-Force-Schutzes erfahren möchten, verwenden einen Windows 10-Test-PC, auf dem BitLocker-Schutz für das Systemlaufwerk aktiviert ist, und drucken Sie dann den BitLocker-Wiederherstellungsschlüssel aus, um sicherzustellen, dass er verfügbar ist. Führen Sie dann gpedit.msc aus, um den Editor für lokale Gruppenrichtlinien zu öffnen, und wechseln Sie zu „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen“. Öffnen Sie die Richtlinie Interaktive Anmeldung: Schwellenwert für Computerkontosperrung, und legen Sie den Wert auf 5 fest, wie in Abbildung 1 dargestellt.
Abbildung 1 Festlegen der Anzahl von ungültigen Zugriffsversuche vor der Sperrung
Ihr PC ist jetzt mit Brute-Force-Schutz konfiguriert. Starten Sie Ihren PC neu. Geben Sie bei der Aufforderung zum Anmelden Ihr Kennwort so oft falsch ein, bis der PC neu gestartet wird. Versuchen Sie nun, den Wiederherstellungsschlüssel mit 48 Zeichen zu erraten. Sie werden froh sein, diesen zuvor ausgedruckt zu haben.
Schutz von Informationen
Wenn Benutzer unterwegs sind, haben sie die vertrauliche Daten ihrer Organisation dabei. Wenn vertrauliche Daten gespeichert werden, müssen sie vor unbefugtem Zugriff geschützt werden. Windows stellt bereits seit langem Lösungen zum Schutz von gespeicherten Daten bereit, die Schutz vor böswilligen Angriffen bieten; den Anfang stellte das verschlüsselnde Dateisystem (EFS) unter Windows 2000 dar. Zuletzt hat BitLocker die Verschlüsselung für vollständige und tragbare Laufwerke bereitgestellt; unter Windows 10 schützt BitLocker sogar einzelne Dateien und bietet Funktionen zum Schutz vor Datenverlust. Windows verbessert den Datenschutz konsistent, indem vorhandene Optionen verbessert und neue Strategien bereitgestellt werden.
In Tabelle 2 sind bestimmte Probleme im Zusammenhang mit Datenschutz und die entsprechenden Lösungen unter Windows 10 und Windows 7 aufgeführt.
Tabelle 2 Datenschutz unter Windows 10 und Windows 7
Windows 7 | Windows 10 |
---|---|
Wenn BitLocker mit einer PIN zum Schutz beim Systemstart verwendet wird, können PCs wie z. B. Kioske nicht remote neu gestartet werden. |
Moderne Windows-Geräten sind im Originalzustand immer häufiger mit der Geräteverschlüsselung geschützt und unterstützen SSO, um die BitLocker-Verschlüsselungsschlüssel nahtlos vor Kaltstartangriffen zu schützen. Die Netzwerkentsperrung ermöglicht das automatische Starten von PCs, wenn diese mit dem internen Netzwerk verbunden sind. |
Benutzer müssen sich an die IT-Abteilung wenden, um ihre BitLocker-PIN oder das Kennwort zu ändern. |
Moderne Windows-Geräte erfordern in der Umgebung vor dem Start keine PIN mehr, um BitLocker-Verschlüsselungsschlüssel vor Kaltstartangriffen zu schützen. Benutzer mit Standardberechtigungen können ihre BitLocker-PIN oder das Kennwort auf ältere Geräten ändern, die eine PIN erfordern. |
Wenn BitLocker aktiviert ist, kann der Bereitstellungsprozess mehrere Stunden dauern. |
Die Vorabbereitstellung von BitLocker, das Verschlüsseln von Festplatten und die auf den verwendeten Speicherplatz begrenzte Verschlüsselung ermöglichen Administratoren das schnelle Aktivieren von BitLocker auf neuen Computern. |
Die Verwendung von BitLocker mit selbst verschlüsselnden Laufwerken (Self-Encrypting Drives, SEDs) wird nicht unterstützt. |
BitLocker unterstützt das Auslagern von Verschlüsselungsvorgängen an verschlüsselte Festplatten. |
Administratoren müssen separate Tools zum Verwalten von verschlüsselten Festplatten verwenden. |
BitLocker unterstützt verschlüsselte Festplatten mit integrierter Verschlüsselungshardware, sodass Administratoren sie mithilfe der bekannten BitLocker-Verwaltungstools verwalten können. |
Das Verschlüsseln eines neuen Flashlaufwerks kann länger als 20 Minuten dauern. |
Die auf den verwendeten Speicherplatz begrenzte Verschlüsselung in BitLocker ermöglicht Benutzern das Verschlüsseln von Laufwerken innerhalb weniger Sekunden. |
BitLocker kann Benutzer zur Eingabe eines Wiederherstellungsschlüssels auffordern, wenn die Systemkonfiguration geändert wird. |
BitLocker fordert den Benutzer nur bei einer Datenträgerbeschädigung oder bei einem Verlust der PIN bzw. des Kennworts zur Eingabe eines Wiederherstellungsschlüssels auf. |
Benutzer müssen zum Starten des PCs eine PIN und dann ihr Kennwort zum Anmelden bei Windows eingeben. |
Moderne Windows-Geräten sind im Originalzustand immer häufiger mit der Geräteverschlüsselung geschützt und unterstützen SSO, um die BitLocker-Verschlüsselungsschlüssel vor Kaltstartangriffen zu schützen. |
In den folgenden Abschnitten werden diese Verbesserungen ausführlicher beschrieben.
Vorbereitung der Laufwerk- und Dateiverschlüsselung
Die besten Sicherheitsmaßnahmen sind für den Benutzer während der Implementierung und Verwendung transparent. Bei jeder möglichen Verzögerung oder Schwierigkeit aufgrund einer Sicherheitsfunktion ist es sehr wahrscheinlich, dass Benutzer versuchen, die Sicherheit zu umgehen. Dies gilt insbesondere für den Datenschutz, und solche Situationen müssen von Unternehmen vermieden werden.
Ob Sie beabsichtigen, ganze Volumes, Wechselmedien oder einzelne Dateien zu verschlüsseln – Windows 10 bietet für alle ihre Anforderungen optimierte, benutzerfreundliche Lösungen. Tatsächlich können Sie bereits im Voraus mehrere Schritte zur Vorbereitung der Datenverschlüsselung durchführen, um eine schnelle und reibungslose Bereitstellung sicherzustellen.
Vorabbereitstellung von TPM
Unter Windows 7 beinhaltete die Vorbereitung von TMP gewisse Herausforderungen:
Sie können das TPM im BIOS deaktivieren. Dazu muss es entweder in den BIOS-Einstellungen zu aktiviert werden, oder es muss ein Treiber zur Aktivierung innerhalb von Windows installiert werden.
Bei der Aktivierung des TPM sind u. U. mehrere Neustarts erforderlich.
Einfach ausgedrückt: Der Aufwand war hoch. Bei der Bereitstellung neuer PCs kann dies alles von IT-Mitarbeitern übernommen werden. Wenn Sie BitLocker jedoch auf Geräten hinzufügen möchten, die bereits von Benutzern verwendet werden, hätten diese Benutzer mit den technischen Problemen zu kämpfen und würden entweder Hilfe von der IT-Abteilung anfordern oder BitLocker einfach deaktiviert lassen.
Mit Windows 10 führt Microsoft Instrumentierung ein, die eine vollständige Verwaltung des TPM durch das Betriebssystem ermöglicht. Das Aufrufen des BIOS ist nicht mehr erforderlich, und alle Szenarien, die einen Neustart erfordern, wurden entfernt.
Bereitstellung von Festplattenverschlüsselung
BitLocker kann gesamte Festplatten verschlüsseln, darunter System- sowie Datenlaufwerke. Die Vorabbereitstellung von BitLocker kann die benötigte Zeit für die Bereitstellung neuer PCs mit BitLocker-Aktivierung erheblich reduzieren. Unter Windows 10 können Administratoren BitLocker und das TPM innerhalb von Windows Preinstallation Environment vor der Installation von Windows oder als Teil der Tasksequenz einer automatisierten Bereitstellung ohne Benutzereingriff aktivieren. In Kombination mit der Verschlüsselungsoption „Nur verwendeten Speicherplatz verschlüsseln“ und einem fast leeren Laufwerk (da Windows noch nicht installiert ist) dauert die Aktivierung von BitLocker nur wenige Sekunden.
In früheren Versionen von Windows mussten Administratoren BitLocker nach der Installation von Windows aktivieren. Obwohl dieser Prozess automatisiert werden konnte, musste BitLocker das gesamte Laufwerk verschlüsseln. Dieser Prozess nahm je nach Laufwerkgröße und -leistung mehrere Stunden bis zu über einen Tag in Anspruch und hat die Bereitstellung erheblich verzögert. Microsoft hat diesen Prozess unter Windows 10 mithilfe mehrerer Funktionen verbessert.
Geräteverschlüsselung
Ab Windows 8.1 aktiviert Windows die BitLocker-Geräteverschlüsselung automatisch auf Geräten, die InstantGo unterstützen. Unter Windows 10 unterstützt Microsoft die Geräteverschlüsselung für erheblich mehr Geräte, darunter solche mit InstantGo. Microsoft geht davon aus, dass die meisten Geräte künftig die Testanforderungen erfüllen, sodass die Geräteverschlüsselung für moderne Windows-Geräte umfassend verfügbar ist. Die Geräteverschlüsselung schützt das System auch durch die transparente Implementierung von geräteweiter Datenverschlüsselung.
Im Gegensatz zu einer standardmäßigen BitLocker-Implementierung ist die Geräteverschlüsselung automatisch aktiviert, sodass das Gerät immer geschützt ist. In der folgenden Liste wird die Funktionsweise beschrieben:
Wenn eine Neuinstallation von Windows 10 abgeschlossen und das Out-of-Box-Experience (OOBE) abgeschlossen sind, wird der Computer für die erste Verwendung vorbereitet. Im Rahmen dieser Vorbereitung wird die Geräteverschlüsselung auf dem Betriebssystemlaufwerk und den Festplattenlaufwerken auf dem Computer mit einem unverschlüsselten Schlüssel initialisiert (dies entspricht dem BitLocker-Standardzustand „Angehalten“).
Wenn das Gerät keiner Domäne angehört, ist ein Microsoft-Konto erforderlich, das über Administratorrechte auf dem Gerät verfügt. Wenn der Administrator ein Microsoft-Konto zur Anmeldung verwendet, wird der unverschlüsselte Schlüssel entfernt, ein Wiederherstellungsschlüssel wird in das Microsoft-Onlinekonto hochgeladen, und eine TPM-Schutzvorrichtung wird erstellt. Sollte ein Gerät einen Wiederherstellungsschlüssel benötigen, wird der Benutzer zunächst zur Nutzung eines anderen Geräts aufgefordert und navigiert dann zu einer Zugriffs-URL, von der er mithilfe seiner Anmeldeinformationen für das Microsoft-Konto den Wiederherstellungsschlüssel abrufen kann.
Wenn der Benutzer sich mit einem Domänenkonto anmeldet, wird der unverschlüsselte Schlüssel erst dann entfernt, wenn der Benutzer das Gerät einer Domäne hinzufügt, und der Wiederherstellungsschlüssel erfolgreich in den Active Directory-Domänendiensten (AD DS) gesichert ist. Die Gruppenrichtlinieneinstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke muss aktiviert sein, und die Option BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden muss ausgewählt sein. Mit dieser Konfiguration wird das Wiederherstellungskennwort automatisch erstellt, wenn der Computer der Domäne beitritt, und anschließend wird der Wiederherstellungsschlüssel in AD DS gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.
Ähnlich wie bei der Anmeldung mit einem Domänenkonto wird der unverschlüsselte Schlüssel entfernt, wenn sich der Benutzer auf dem Gerät bei einem Azure AD-Konto anmeldet. Wie im vorhergehenden Punkt beschrieben, wird das Wiederherstellungskennwort automatisch erstellt, wenn der Benutzer sich bei Azure AD authentifiziert. Anschließend wird der Wiederherstellungsschlüssel in Azure AD gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.
Microsoft empfiehlt die Aktivierung der Geräteverschlüsselung auf allen Systemen, die sie unterstützen. Die automatische Geräteverschlüsselung kann jedoch verhindert werden, indem Sie die folgende Registrierungseinstellung ändern:
Unterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
Wert: PreventDeviceEncryption equal to True (1)
Typ: REG_DWORD
Administratoren können Geräte in einer Domäne mit aktivierter Geräteverschlüsselung über Microsoft BitLocker Administration and Monitoring (MBAM) verwalten. In diesem Fall stellt die Geräteverschlüsselung automatisch zusätzliche BitLocker-Optionen zur Verfügung. Eine Konvertierung oder Verschlüsselung ist nicht erforderlich, und MBAM kann den gesamten BitLocker-Richtliniensatz verwalten, wenn Konfigurationsänderungen erforderlich sind.
Verschlüsselungsoption „Nur verwendeten Speicherplatz verschlüsseln“
In früheren Windows-Versionen konnte das Verschlüsseln eines Laufwerks durch BitLocker viel Zeit in Anspruch nehmen, da jedes Byte auf dem Volume (einschließlich der Teile, die Daten enthalten) verschlüsselt wurde. Dies ist immer noch die sicherste Methode zum Verschlüsseln eines Laufwerks, insbesondere dann, wenn ein Laufwerk zuvor vertrauliche Daten enthalten hat, die inzwischen verschoben oder gelöscht wurden. In diesem Fall waren u. U. noch Spuren dieser vertraulichen Daten auf Teilen des Laufwerks vorhanden, die als nicht verwendet markiert waren.
Aber warum ein neues Laufwerk verschlüsseln, wenn man einfach die Daten beim Schreiben verschlüsseln kann? Zur Reduzierung der Verschlüsselungszeit können Benutzer unter Windows 10 Benutzer festlegen, dass nur ihre Daten verschlüsselt werden. Je nach der Datenmenge auf dem Laufwerk kann diese Option die Verschlüsselungszeit um mehr als 99 % reduzieren.
Seien Sie jedoch vorsichtig bei der auf den verwendeten Speicherplatz begrenzten Verschlüsselung auf einem vorhandenen Volume, auf dem u. U. bereits vertrauliche Daten in unverschlüsseltem Zustand gespeichert wurden, da diese Sektoren mithilfe von Tools zur Datenträgerwiederherstellung wiederhergestellt werden können, bis sie mit neuen verschlüsselten Daten überschrieben werden. Allerdings kann die Begrenzung der Verschlüsselung auf verwendeten Speicherplatz auf einem völlig neuen Volume die Bereitstellungszeit ohne Sicherheitsrisiko erheblich verringern, da sämtliche neue Daten beim Schreiben auf den Datenträger verschlüsselt werden.
Unterstützung für verschlüsselte Festplatten
Selbst verschlüsselnde Laufwerke (SEDs) sind bereits seit mehreren Jahren verfügbar, Microsoft konnte die Verwendung unter einigen früheren Windows-Versionen jedoch nicht unterstützen, da den Laufwerken wichtige Schlüsselverwaltungsfunktionen fehlten. Microsoft hat mit Speicherhersteller an einer Verbesserung der Hardwarefunktionen zusammengearbeitet, und BitLocker unterstützt jetzt die nächste Generation von SEDs, die als verschlüsselte Festplatten bezeichnet werden.
Verschlüsselte Festplatten bieten integrierte kryptografische Funktionen zum Verschlüsseln von Daten auf Laufwerken. Dies verbessert die Laufwerk- und Systemleistung durch die Auslagerung kryptografischer Berechnungen vom Prozessor des PCs auf das Laufwerk selbst und durch die schnelle Verschlüsselung des Laufwerk mithilfe von dedizierter Hardware. Wenn Sie vorhaben, das gesamte Laufwerk mit Windows 10 zu verschlüsseln, empfiehlt Microsoft das Prüfen von Festplattenherstellern und -modellen, um zu ermitteln, ob verschlüsselte Festplatten im Angebot Ihren Sicherheitsanforderungen und Ihrem Budgetrahmen entsprechen.
Weitere Informationen zu verschlüsselten Festplatten finden Sie unter Verschlüsselte Festplatte.
Schutz von Informationen vor dem Start
Bei einer effektiven Implementierung von Informationsschutz werden wie bei den meisten Sicherheitssteuerungen sowohl die Benutzerfreundlichkeit als auch die Sicherheit berücksichtigt. Benutzer bevorzugen in der Regel eine einfache Sicherheitsumgebung. Je transparenter eine Sicherheitslösung ist, desto höher ist die Wahrscheinlichkeit, dass Benutzer sich danach richten.
Für Organisationen ist der Schutz von Informationen auf ihren PCs unabhängig vom Zustand des Computers oder der Absicht von Benutzern entscheidend. Dieser Schutz sollte für die Benutzer nicht beschwerlich sein. Eine unerwünschte und bisher alltägliche Situation ist, dass der Benutzer vor dem Start zu einer Eingabe aufgefordert wird, und dann erneut bei der Anmeldung an Windows. Das mehrfache Auffordern von Benutzern zu einer Eingabe sollte vermieden werden.
Wenn robuste Informationsschutzkonfigurationen vorhanden sind, ist unter Windows 10 eine echte Umgebung mit einmaliger Anmeldung auf modernen Geräten und in einigen Fällen sogar auf älteren Geräten möglich. Das isolierte TPM kann den gespeicherten BitLocker-Verschlüsselungsschlüssel sicher schützen und das Betriebssystemlaufwerk sicher entsperren. Wenn der Schlüssel verwendet wird und sich somit im Speicher befindet, kann er durch eine Kombination aus Hardware und Windows-Funktionen gesichert und der unbefugte Zugriff durch Kaltstartangriffe verhindert werden. Zwar sind weitere Gegenmaßnahmen wie die PIN-basierte Entsperrung verfügbar, diese sind jedoch weniger benutzerfreundlich; je nach Konfiguration der Geräte bieten sie u. U. keine zusätzliche Sicherheit, wenn es um den Schlüsselschutz geht. Weitere Informationen zur Konfiguration von BitLocker für SSO finden Sie unter BitLocker-Gegenmaßnahmen.
Verwalten von Kennwörtern und PINs
Wenn BitLocker auf einem Systemlaufwerk aktiviert ist und der PC über ein TPM verfügt, können Sie festlegen, dass Benutzer eine PIN eingeben müssen, damit BitLocker das Laufwerk entsperrt. Eine solche PIN-Anforderung kann verhindern, dass ein Angreifer, der physischen Zugriff auf einem PC hat, überhaupt zur Windows-Anmeldung gelangt. So ist es dem Angreifer nahezu unmöglich, auf Benutzerdaten und Systemdateien zuzugreifen und diese zu ändern.
Das Anfordern einer PIN beim Systemstart ist eine nützliche Sicherheitsfunktion, da es als zweiter Authentifizierungsfaktor fungiert (eine zweite Information, die man kennen muss). Diese Konfiguration hat jedoch einige Nachteile. Einer der größten Nachteile besteht darin, dass die PIN regelmäßig geändert werden muss. In Unternehmen, die BitLocker mit Windows 7 und Windows Vista verwendet haben, mussten sich Benutzer an Systemadministratoren wenden, um die BitLocker-PIN oder das Kennwort zu aktualisieren. Dies führte nicht nur zu höheren Verwaltungskosten, sondern auch dazu, dass Benutzer weniger bereit waren, ihre BitLocker-PIN oder das Kennwort regelmäßig zu ändern.
Windows 10-Benutzer können ihre PINs und Kennwörter für BitLocker ohne Administratoranmeldeinformationen selbst aktualisieren. Diese Funktion senkt die Supportkosten und kann auch die Sicherheit verbessern, da Benutzer häufiger zum Ändern ihrer PINs und Kennwörter aufgefordert werden. Außerdem erfordern InstantGo-Geräte keine PIN für den Start. Sie sind auf unregelmäßige Startvorgänge ausgelegt und verfügen über andere Risikominderungen, um die Angriffsfläche des Systems weiter zu verringern.
Weitere Informationen zur Funktionsweise der Sicherheit beim Starten und die unter Windows 10 bereitgestellten Gegenmaßnahmen Schützen von BitLocker vor Angriffen vor dem Start.
Konfigurieren der Netzwerkentsperrung
Einige Organisationen haben standortspezifische Datensicherheitsanforderungen. Dies ist am häufigsten in Umgebungen der Fall, in denen Daten mit hohem Wert auf PCs gespeichert sind. Die Netzwerkumgebung bietet möglicherweise wesentlichen Datenschutz und erzwingt eine obligatorische Authentifizierung. Daher gibt die Richtlinie an, dass diese PCs nicht das Gebäude verlassen oder vom Unternehmensnetzwerk getrennt werden dürfen. Sicherheitsmaßnahmen wie physische Sicherheitsschlösser und Geofence können als reaktive Kontrollelemente zur Durchsetzung dieser Richtlinie beitragen. Darüber hinaus ist ein proaktives Sicherheitssteuerelement erforderlich, das den Zugriff auf Daten nur gewährt, wenn der PC mit dem Unternehmensnetzwerk verbunden ist.
Die Netzwerkentsperrung ermöglicht das automatische Starten von PCs mit BitLocker-Schutz, wenn diese mit einem verkabelten Unternehmensnetzwerk verbunden sind, in dem Windows-Bereitstellungsdienste ausgeführt werden. Immer wenn der PC nicht mit dem Unternehmensnetzwerk verbunden ist, muss ein Benutzer eine PIN zum Entsperren des Laufwerks eingeben (wenn die PIN-basierte Entsperrung aktiviert ist).
Die Netzwerkentsperrung erfordert die folgende Infrastruktur:
Client-PCs mit UEFI (Unified Extensible Firmware Interface (UEFI) Firmware-Version 2.3.1 oder höher, die das Dynamic Host Configuration-Protokoll (DHCP) unterstützen
Ein Server, auf dem Windows Server 2012 mit der Windows-Bereitstellungsdiensterolle ausgeführt wird
Ein Server, auf dem die DHCP-Serverrolle installiert ist
Weitere Informationen zur Konfiguration der Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.
Microsoft BitLocker Administration and Monitoring
MBAM ist Teil von Microsoft Desktop Optimization Pack und vereinfacht die Verwaltung und Unterstützung von BitLocker und BitLocker To Go. MBAM 2.5 mit Service Pack 1 (aktuelle Version) weist folgende wichtige Features auf:
Administratoren können die Verschlüsselung von Volumes auf Clientcomputern unternehmensweit automatisieren.
Sicherheitsbeauftragte können den Kompatibilitätszustand einzelner Computer oder sogar des ganzen Unternehmens schnell ermitteln.
Berichterstellung und Hardwareverwaltung können zentral mit Microsoft System Center Configuration Manager erfolgen.
Die Arbeitsbelastung des Helpdesk wird verringert, da Endbenutzer seltener Unterstützung bei BitLocker-Wiederherstellungsanforderungen benötigen.
Endbenutzer können verschlüsselte Geräte mithilfe des Self-Service-Portals eigenständig wiederherstellen.
Sicherheitsbeauftragte können problemlos den Zugriff auf Informationen zu Wiederherstellungsschlüsseln überwachen.
Windows Enterprise-Benutzer können standortunabhängig arbeiten und sich dabei darauf verlassen, dass ihre Unternehmensdaten geschützt sind.
MBAM erzwingt die Richtlinienoptionen der BitLocker-Verschlüsselung, die Sie für Ihr Unternehmen festlegen.
Es lässt sich außerdem in vorhandene Verwaltungstools wie System Center Configuration Manager integrieren.
Die Benutzeroberfläche für die Wiederherstellung kann von der IT angepasst werden.
Unterstützt Windows 10.
Weitere Informationen zu MBAM, einschließlich Informationen zum Abrufen, finden Sie unter Microsoft BitLocker Administration and Monitoring im MDOP-TechCenter.
Schutz vor Schadsoftware
In Filmen scheinen Sicherheitsbedrohungen immer von einem skrupellosen Hacker auszugehen, der vor einem Bildschirm mit grünem Text sitzt. In der realen Welt entsteht der Großteil der Sicherheitsrisiken ohne jegliche menschliche Beteiligung. Genauso wie Software einen erheblichen Bereich unseres Leben automatisiert hat, wurden Angriffe auf unsere PCs durch Schadsoftware automatisiert. Diese Angriffe sind schonungslos. Schadsoftware ändert sich ständig, und wenn sie einen PC infiziert, ist sie in einigen Fällen sehr schwer zu erkennen und zu entfernen.
Vorbeugung ist die beste Methode, und Windows 10 bietet starken Schutz gegen Schadsoftware, da sichere Hardware genutzt wird, die den Startprozess, die Kernarchitektur des Betriebssystems und den Desktop sichert.
In Tabelle 3 sind konkrete Bedrohungen durch Schadsoftware und die von Windows 10 bereitstellten Abhilfemaßnahmen aufgeführt.
Tabelle 3. Bedrohungen und Gegenmaßnahmen unter Windows 10
Bedrohung | Gegenmaßnahmen unter Windows 10 |
---|---|
Firmware-Bootkits ersetzen die Firmware durch Schadsoftware. |
Alle zertifizierten PCs verfügen über eine UEFI mit sicherem Start, die signierte Firmware für Updates von UEFI und Options-ROMs erfordern. |
Bootkits starten Schadsoftware, bevor Windows gestartet wird. |
Der sichere Start der UEFI überprüft die Integrität des Windows-Startladeprogramms um sicherzustellen, dass kein schädliches Betriebssystem vor Windows gestartet werden kann. |
System- oder Treiber-Rootkits starten während des Windows-Startvorgangs Schadsoftware auf Kernel-Ebene, bevor Windows Defender und Antischadsoftware-Lösungen starten können. |
Der vertrauenswürdige Windows-Start überprüft Windows-Startkomponenten; Microsoft-Treiber; und der Treiber für Antischadsoftware-Frühstart (ELAM-Treiber), der Treiber von Drittanbietern überprüft Der kontrollierter Start wird parallel zum vertrauenswürdigen Start ausgeführt und kann Informationen für einen Remoteserver bereitstellen, der den Startzustand des Geräts überprüft, um sicherzustellen, dass der vertrauenswürdige Start und andere Startkomponenten das System erfolgreich überprüft haben. |
Schadsoftware auf Benutzerebene nutzt eine Schwachstelle im System oder einer Anwendung und übernimmt Gerät. |
Verbesserungen der zufälligen Anordnung des Layouts des Adressraums (Address Space Layout Randomization, ASLR), der Datenausführungsverhinderung (Data Execution Prevention, DEP), der Heap-Architektur und von und Speicherverwaltungsalgorithmen reduzieren die Wahrscheinlichkeit, dass Sicherheitslücken zu erfolgreichen Exploits führen. Geschützte Prozesse isolieren nicht vertrauenswürdige Prozesse voneinander sowie von sensiblen Betriebssystemkomponenten. VBS basiert auf Microsoft Hyper-V und schützt sensible Windows-Prozesse des Windows-Betriebssystems, indem sie von Benutzermodusprozessen und dem Windows-Kernel isoliert werden. Die konfigurierbare Codeintegrität erzwingt Verwaltungsrichtlinien, um genau festzulegen, welche Anwendungen im Benutzermodus ausgeführt werden dürfen. Keine anderen Anwendungen dürfen ausgeführt werden. |
Benutzer gefährliche Software (z. B. eine scheinbar legitime Anwendung mit einem eingebetteten Trojaner) herunter und führen sie aus, ohne sich des Risikos bewusst zu sein. |
Die SmartScreen-Anwendungszuverlässigkeit ist Teil des Kernbetriebssystems; Microsoft Edge und Internet Explorer können dieses Feature verwenden, um Benutzer zu warnen oder das Herunterladen bzw. Ausführen von potenziell schädlicher Software durch Benutzer zu blockieren. |
Schadsoftware nutzt eine Schwachstelle in einem Browser-Add-On aus. |
Microsoft Edge ist eine universelle App, die ältere binäre Erweiterungen wie Microsoft Active X und Browserhilfsobjekte, die häufig für Symbolleisten verwendet werden, nicht ausführt und so deren Risiken beseitigt. |
Eine Website, die schädlichen Code enthält, nutzt eine Schwachstelle in Microsoft Edge und IE aus, um auf dem Client-PC Schadsoftware auszuführen. |
Microsoft Edge und IE verfügen über einen erweiterten geschützten Modus, der das System anhand von AppContainer-basiertem Sandboxing vor Sicherheitsrisiken schützt, die u. U. in den ausgeführten Browsererweiterungen (z. B. Adobe Flash, Java) oder im Browser selbst erkannt werden. |
In den folgenden Abschnitten werden diese Verbesserungen ausführlicher beschrieben.
Sichere Hardware
Obwohl Windows 10 für fast jede Hardware geeignet ist, auf der Windows 8, Windows 7 oder Windows Vista ausgeführt werden kann, erfordert die optimale Nutzung der Windows 10-Sicherheit Entwicklungen in der hardwarebasierten Sicherheit, darunter UEFI mit sicherem Start, CPU-Virtualisierungsfeatures (z. B. Intel VT-x), erfordert CPU-Speicherschutzfeatures (z. B. Intel VT-d), TPM und biometrische Sensoren.
UEFI mit sicherem Start
Beim Starten eines PCs beginnt der Ladevorgang des Betriebssystems, indem das Startladeprogramm auf der PC-Festplatte gesucht wird. Ohne Sicherheitsmaßnahmen überlässt der PC die Steuerung u. U. einfach dem Startladeprogramm, ohne zu ermitteln, ob es sich um ein vertrauenswürdiges Betriebssystem oder Schadsoftware handelt.
UEFI ist eine standardbasierte Lösung, die einen modernen Ersatz für das BIOS bietet. Eigentlich bietet sie die gleiche Funktionalität wie das BIOS, verfügt jedoch über zusätzliche Sicherheitsfeatures und andere erweiterte Funktionen. Wie das BIOS initialisiert UEFI Geräte, die UEFI-Komponenten mit dem Feature „Sicherer Start“ (Version 2.3.1 oder höher) stellen jedoch auch sicher, dass nur vertrauenswürdige Firmware in Options-ROMs, UEFI-Apps und Startladeprogrammen des Betriebssystems auf dem Gerät starten können.
UEFI kann interne Integritätsprüfungen der digitalen Signatur der Firmware vornehmen, bevor diese ausgeführt wird. Da nur der Hersteller der PC-Hardware Zugriff auf das erforderliche digitale Zertifikat zum Erstellen einer gültigen Firmwaresignatur hat, bietet UEFI Schutz vor Firmware-Bootkits. UEFI ist also das erste Glied in der Vertrauenskette.
UEFI mit sicherem Start ist auf Geräten mit Windows 8 und höher eine Hardwareanforderung. Wenn ein PC UEFI unterstützt, muss diese standardmäßig aktiviert sein. Auf vielen Geräten kann das Feature „Sicherer Start“ zwar deaktiviert werden, Microsoft rät jedoch dringend davon ab, da der Startvorgang dadurch sehr viel unsicherer wird.
Wenn ein PC mit UEFI und dem Feature „Sicherer Start“ gestartet wird, überprüft die UEFI-Firmware die digitale Signatur des Startladeprogramms, um sicherzustellen, dass es nach der digitalen Signierung nicht verändert wurde. Die Firmware überprüft außerdem, dass die digitale Signatur des Startladeprogramms von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Mit dieser Überprüfung wird sichergestellt, dass das System erst gestartet wird, nachdem bestätigt wurde, dass das Startladeprogramm vertrauenswürdig ist und seit dem Signieren nicht geändert wurde.
Alle zertifizierten Windows 8-PCs müssen mehrere Anforderungen für einen sicheren Start erfüllen:
Der sichere Start muss standardmäßig aktiviert sein.
Sie müssen der Microsoft-Zertifizierungsstelle (CA) sowie allen von Microsoft signierten Startladeprogrammen vertrauen.
Sie müssen zulassen, dass Benutzer der UEFI-Datenbank Signaturen und Hashes hinzufügen.
Sie müssen zulassen, dass Benutzer den sicheren Start vollständig deaktivieren (Administratoren können diese Berechtigung jedoch einschränken).
Dieses Verhalten schränkt die Wahl des Betriebssystems nicht ein. Tatsächlich haben Benutzer in der Regel drei Optionen zum Ausführen von anderen Betriebssystemen als Microsoft:
Verwendung eines Betriebssystems mit einem von Microsoft signierten Startladeprogramms. Microsoft bietet einen Dienst zum Signieren von Startladeprogrammen von Drittanbietern, sodass sie auf dem Gerät verwendet werden können. In diesem Fall wird eine Signatur der UEFI-Zertifizierungsstelle des Microsoft-Drittanbieters verwendet, um das Microsoft-fremde Startladeprogramm zu signieren, und die Signatur selbst wird der UEFI-Datenbank hinzugefügt. Die Startladeprogramme einiger Betriebssysteme von Drittanbietern, darunter verschiedener Linux-Versionen, wurden von Microsoft signiert, sodass die Vorteile des sicheren Starts genutzt werdenkönnen. Weitere Informationen über die Richtlinie zur UEFI-Signierung für Drittanbieter finden Sie unter Updates der Signierungsrichtlinien für die UEFI-Zertifizierungsstelle von Microsoft und Vorabtesten von UEFI-Übermittlungen.
Hinweis
PCs, auf denen Device Guard nur zum Starten einer gesicherten Version von Windows konfiguriert ist, und die keine Startladeprogramme von Drittanbietern zulassen Weitere Informationen finden Sie in diesem Dokument unter Device Guard.
Konfigurieren von UEFI, sodass Startladeprogrammen oder Hashes vertraut wird, die nicht von Microsoft signiert sind. Einige PCs mit Zertifizierung für Windows 8 oder höher ermöglichen Benutzern das Hinzufügen von nicht zertifizierten Startladeprogrammen, indem eine Signatur oder Hashes an die UEFI-Datenbank gesendet werden. So kann ein beliebiges Betriebssystem ohne Microsoft-Signatur ausgeführt werden.
Deaktivieren des sicheren Starts. Zertifizierte Windows 8-PCs ermöglichen Benutzern das Deaktivieren des sicheren Starts, sodass unsignierte Betriebssysteme ausgeführt werden können. In diesem Modus ist das Verhalten identisch mit dem von PCs mit BIOS ist: Der PC führt das Startladeprogramm einfach ohne Überprüfung aus. Microsoft empfiehlt dringend, den sicheren Start aktiviert zu lassen, damit beim Starten des Geräts Infizierungen durch Bootkits verhindert werden können.
Hinweis
Mit Windows 10 können Originalgerätehersteller (Original Equipment Manufacturers, OEMs) maßangefertigte PCs liefern, auf denen der sichere Start der UEFI gesperrt ist, sodass er nicht deaktiviert werden kann und nur das vom Kunden bevorzugte Betriebssystem auf dem Gerät starten kann.
Die UEFI-Konfiguration kann weder durch Windows noch Apps und nicht einmal von Schadsoftware geändert werden. Stattdessen müssen Benutzer physisch anwesend sein, um einen PC manuell in einer UEFI-Shell zu starten und dann die UEFI-Firmwareeinstellungen zu ändern. Weitere Informationen zum sicheren Start der UEFI finden Sie unter Schützen der Umgebung vor dem Betriebssystemstart mit UEFI.
Virtualisierungsbasierte Sicherheit
Einer der leistungsstärksten Neuerungen unter Windows 10 ist die auf Virtualisierung basierende Sicherheit. Die auf Virtualisierung basierende Sicherheit (Virtual-Based Security, VBS) nutzt Fortschritte in der PC-Virtualisierung für eine grundlegende Veränderung beim Schutz von Systemkomponenten vor Angriffen. VBS kann einige der sensibelsten Sicherheitskomponenten von Windows 10 isolieren. Diese Sicherheitskomponenten sind nicht nur durch API-Einschränkungen oder eine mittlere Ebene isoliert: Sie werden tatsächlich in einer anderen virtuellen Umgebung ausgeführt und sind vom Windows 10-Betriebssystem selbst isoliert.
VBS und die damit bereitgestellte Isolierung werden durch die neuartige Verwendung von Hyper-V-Hypervisor ermöglicht. In diesem Fall werden neben dem Hypervisor keine anderen Betriebssysteme als virtuelle Gäste ausgeführt. Stattdessen unterstützt der Hypervisor die Ausführung der VBS-Umgebung parallel zu Windows und erzwingt eine stark begrenzte Anzahl von Interaktionen und Zugriff zwischen den Umgebungen.
Stellen Sie sich die VBS-Umgebung als Mini-Betriebssystem vor: Sie verfügt über einen eigenen Kernel und Prozesse. Im Gegensatz zu Windows werden in der VBS-Umgebung jedoch nur ein Mikro-Kernel und zwei Prozesse ausgeführt, die als Trustlets bezeichnet werden:
Die lokale Sicherheitsautorität (LSA) erzwingt Richtlinien für die Windows-Authentifizierung und -Autorisierung. LSA ist eine bekannte Sicherheitskomponente, seit 1993 Teil von Windows ist. Sensible Teile der LSA werden innerhalb der VBS-Umgebung isoliert und durch das neue Feature „Credential Guard“ geschützt.
Die durch Hypervisor erzwungene Codeintegrität überprüft die Integrität des Kernelmoduscodes vor der Ausführung. Dies ist Teil des Device Guard-Features, das weiter unten in diesem Dokument beschrieben wird.
VBS bietet zwei wichtige Verbesserungen der Sicherheit in Windows 10: eine neue Vertrauensstellungsgrenze zwischen wichtigen Windows-Systemkomponenten und einer sicheren Umgebung, in der sie ausgeführt werden. Eine Vertrauensstellungsgrenze zwischen wichtigen Windows-Systemkomponenten wird dadurch aktiviert, dass die VBS-Umgebung durch Plattformvirtualisierung vom Windows-Betriebssystem isoliert ist. Das Ausführen der VBS-Umgebung und des Windows-Betriebssystems als Gäste neben Hyper-V und den Virtualisierungserweiterungen des Prozessors verhindert grundsätzlich die Interaktion von Gästen außerhalb der eingeschränkten und stark strukturierten Kommunikationskanäle zwischen den Trustlets in der VBS-Umgebung und dem Windows-Betriebssystem.
VBS fungiert als sichere Ausführungsumgebung, da die Architektur grundsätzlich verhindert, dass die in der Windows-Umgebung ausgeführten Prozesse – auch solche mit vollständigen Systemberechtigungen – auf den Kernel, Trustlets oder belegten Arbeitsspeicher innerhalb der VBS-Umgebung zugreifen. Darüber hinaus verwendet die VBS-Umgebung TPM 2.0 zum Schützen der auf dem Datenträger gespeicherten Daten. Auf ähnliche Weise kann ein Benutzer mit Zugriff auf die physische Festplatte nicht auf die unverschlüsselten Daten zugreifen.
Die VBS-Architektur ist in Abbildung 2 dargestellt.
Abbildung 2. Die VBS-Architektur
Beachten Sie, dass für VBS folgende Systemvoraussetzungen bestehen:
Windows 10 Enterprise Edition
64-Bit-Prozessor
UEFI mit sicherem Start
Technologien für die Adressübersetzung der zweiten Ebene (Second-Level Address Translation, SLAT) (z. B. Intel-EPTs [erweiterte Seitentabellen], AMD-RVI ([Rapid Virtualization Indexing])
Virtualisierungserweiterungen (z. B. Intel VT-X, AMD RVI)
IOMMU (E/A-Speicherverwaltungseinheit)-Chipsatzvirtualisierung (Intel VT-d oder AMD-Vi)
TPM 2.0
Trusted Platform Module
Ein TPM ist ein manipulationssicheres kryptografisches Modul zur Verbesserung von Sicherheit und Datenschutz auf Computerplattformen. Das TPM ist als Komponente in eine vertrauenswürdige Computerplattform wie einen PC, ein Tablet oder ein Smartphone integriert. Die Computerplattform ist speziell darauf ausgelegt, in Kombination mit dem TPM Datenschutz- und Sicherheitsszenarien zu unterstützen, die mit Software allein nicht erzielt können. Eine ordnungsgemäße Implementierung eines TPMs als Teil einer vertrauenswürdigen Computerplattform bietet einen Hardware-Vertrauensanker, d. h. die Hardware verhält sich vertrauenswürdig. Das bedeutet beispielsweise, dass ein in einem TPM erstellter Schlüssel mit der Eigenschaft, dass er nie aus dem TPM exportiert werden kann, das TPM tatsächlich nicht verlassen kann. Die enge Integration eines TPMs in eine Plattform erhöht die Transparenz des Startvorgangs und unterstützt Geräteintegritätszenarien, indem eine zuverlässige Berichterstellung über die zum Starten einer Plattform verwendete Software ermöglicht wird.
Ein TPM bietet folgende Funktionen:
Verwalten von kryptografischen Schlüsseln. Erstellen, Speichern und Zulassen der Verwendung von Schlüsseln mit den festgelegten Methoden
Schützen und Melden von Integritätsmessungen gemeldet. Software, die zum Starten der Plattform verwendet wird, kann im TPM erfasst und zum Einrichten von Vertrauensstellungen mit der auf der Plattform ausgeführten Software verwendet werden.
Nachweis, dass ein TPM wirklich ein TPM ist. Die TPM-Funktionen sind so wesentlich für Datenschutz und Sicherheit, dass ein TPM in der Lage sein muss, sich selbst von Schadsoftware zu unterscheiden, die als TPM getarnt ist.
Microsoft kombiniert diese kleine Liste der TPM-Vorteile mit Windows 10 und anderen Hardware-Sicherheitstechnologien, um praktische Sicherheits- und Datenschutzvorteile bereitzustellen.
Neben anderen Funktionen verwendet Windows 10 das TPM zum Schutz der Verschlüsselungsschlüssel für BitLocker-Volumes, virtuelle Smartcards, Zertifikate und zahlreicher anderer Schlüssel, die mit dem TPM generiert werden. Windows 10 verwendet das TPM auch für das sichere Aufzeichnen und Schützen von integritätsbezogenen Messungen ausgewählter Hardware- und Windows-Startkomponenten für das Feature Kontrollierter Start, das weiter unten in diesem Dokument beschrieben wird. In diesem Szenario misst „Kontrollierter Start“ jede Komponente von der Firmware bis zu den Treibern, und speichert diese Messungen dann im TPM des PCs. Dort können Sie das Messungsprotokoll remote testen, sodass ein separates System den Startzustand des Windows 10-PCs überprüft.
Windows 10 unterstützt TPM-Implementierungen, die den 1.2- oder 2.0-Standards entsprechen. Am TPM 2.0-Standard wurden einige Verbesserungen vorgenommen, die wichtigste davon ist die kryptografische Flexibilität. TPM 1.2 ist auf einen festen Satz von Verschlüsselungs- und Hash-Algorithmen beschränkt. Bei der Entwicklung des TPM 1.2-Standards in den frühen 2000er Jahren galten diese Algorithmen als kryptografisch stark. Fortschritte bei kryptografischen Algorithmen und Kryptoanalyseangriffen haben seitdem zu höheren Erwartungen an eine stärkere Kryptografie geführt. TPM 2.0 unterstützt zusätzliche Algorithmen, die stärkeren kryptografischen Schutz sowie die Möglichkeit zur Verwendung von Plug-In-Algorithmen bieten, die in bestimmten Regionen oder Branchen bevorzugt werden. Außerdem können künftige Algorithmen aufgenommen werden, ohne die TPM-Komponente selbst zu ändern.
Bei TPM wird in der Regel davon ausgegangen, dass es als diskretes Modul in der Hardware auf einer Hauptplatine eingesetzt ist, TPM ist jedoch auch wirksam, wenn es in der Firmware implementiert ist. Windows 10 unterstützt sowohl diskrete TPMs als auch Firmware-TPMs, die den 2.0-Standard entsprechen (1.2 kann nur diskret sein). Windows unterscheidet nicht zwischen diskreten und firmwarebasierten Lösungen, da sie dieselben Anforderungen erfüllen müssen; daher kann für alle Windows-Features, die TPM nutzen können, eine beliebige Implementierungsmethode verwendet werden.
Hinweis
Microsoft erfordert anfänglich keine neuen Windows 10 PCs für die Unterstützung von TPM. Ein Jahr nach der Einführung von Windows 10 erfordert Microsoft Systeme mit TPM 2.0. Dies gibt Herstellern und IT-Experten genügend Zeit, um diese wichtige Funktion einzubinden bzw. festzulegen, welche Vorteile sie nutzen werden.
Einige Sicherheitsfeatures unter Windows 10 erfordern TPM:
Virtuelle Smartcards
Kontrollierter Start
Integritätsnachweis erfordert (TPM 2.0 oder höher)
InstantGo (erfordert TPM 2.0 oder höher)
Andere Windows 10 Sicherheitsfeatures wie BitLocker können TPM zwar nutzen, wenn es verfügbar ist, funktionieren aber auch ohne. Ein Beispiel dafür ist Microsoft Passport.
Alle diese Features werden in diesem Dokument behandelt.
Biometrie
Im Abschnitt Windows Hello dieses Dokuments haben Sie gelesen, dass Windows 10 über integrierte Unterstützung für biometrische Hardware verfügt. Windows verfügt bereits seit Windows XP über integrierten Biometrie-Unterstützung. Was ist also der Unterschied in Windows 10?
Unter Windows 10 ist Biometrie ein Kernsicherheitsfeature. Biometrie ist vollständig in die Windows 10 Sicherheitskomponenten integriert und nicht nur als zusätzlicher als Teil eines größeren Schemas vorhanden. Dies ist eine große Änderung. Bei bisherigen Biometrie-Implementierungen handelte es sich größtenteils um Front-End-Methoden zur Vereinfachung der Authentifizierung. Hinter den Kulissen wurde Biometrie für den Zugriff auf ein Kennwort verwendet, das dann für die Authentifizierung im Hintergrund genutzt wurde. Biometrie sorgte zwar für Komfort, eignete sich jedoch unbedingt für die Authentifizierung in Unternehmen.
Microsoft hat Originalherstellern von Windows-PCs und -Peripheriegeräten die Bedeutung von biometrischen Sensoren für Unternehmen deutlich gemacht. Zahlreiche Originalgerätehersteller liefern bereits Systeme mit integrierten Fingerabdrucksensoren aus und wechseln von Sensoren für Wischbewegungen zu Sensoren mit Toucheingabe. Gesichtserkennungssensoren waren bei der Einführung von Windows 10 bereits verfügbar und werden als integrierte Systemkomponenten immer üblicher.
Microsoft geht davon aus, dass Originalgerätehersteller noch mehr biometrische Sensoren herstellen und weiterhin in Systeme integrieren sowie als separate Peripheriegeräte bereitstellen. Dadurch wird Biometrie zu einer gängigen Authentifizierungsmethode als Teil eines MFA-Systems.
Sicherer Windows-Start
Der sichere UEFI-Start verwendet Hardwaretechnologien, um Benutzer vor Bootkits zu schützen. Mit dem sicheren Start kann die Integrität der Geräte, Firmware und des Startladeprogramms überprüft werden. Nach dem Start des Startladeprogramms müssen sich Benutzer auf das Betriebssystem zum Schutz der Integrität des übrigen Systems verlassen.
Vertrauenswürdiger Start
Wenn beim sicheren Start der UEFI bestätigt wird, dass das Startladeprogramm vertrauenswürdig ist und Windows gestartet wird, schützt der vertrauenswürdige Windows-Start den Rest des Startvorgangs, indem sichergestellt wird, dass alle Windows-Startkomponenten vertrauenswürdig (z. B. von einer vertrauenswürdigen Quelle signiert) sind und über Integrität verfügen. Der Bootloader prüft die digitale Signatur des Windows-Kernels, bevor dieser geladen wird. Der Windows-Kernel überprüft wiederum alle anderen Komponenten des Windows-Startvorgangs, einschließlich der Starttreiber, der Startdateien und der ELAM-Komponente.
Wenn eine Datei geändert (z. B. von Schadsoftware manipuliert oder beschädigt) wurde, erkennt der vertrauenswürdige Start das Problem und repariert die beschädigte Komponente automatisch. Nach der Reparatur wird Windows nach einer nur kurzen Verzögerung normal gestartet.
Antischadsoftware-Frühstart
Schadsoftware hat bei Angriffen auf vorherige Versionen von Windows häufig versucht, vor der Antischadsoftware-Lösung zu starten. Dazu aktualisierten bzw. ersetzten bestimmte Arten von Schadsoftware einen nicht von Microsoft stammenden Treiber, der während des Startvorgangs von Windows gestartet wird. Der schädliche Treiber änderte dann mithilfe seiner Systemzugriffsrechte wichtige Teile des Systems und verschleierte seine Präsenz, sodass er beim späteren Start der Antischadsoftware-Lösung nicht erkannt werden konnte.
Der Antischadsoftware-Frühstart ELAM) ist Teil der Features des vertrauenswürdigen Starts und dient zum Starten der Antischadsoftware-Lösung, bevor alle nicht von Microsoft stammenden Treiber und Apps gestartet werden. ELAM überprüft die Integrität von nicht von Microsoft stammenden Treibern, um festzustellen, ob diese vertrauenswürdig sind. Da Windows so schnell wie möglich starten muss, darf es sich bei ELAM nicht um ein komplexes Verfahren zur Überprüfung der Treiberdateien auf bekannte Schadsoftwaresignaturen handeln; dies würde den Systemstart zu stark verzögern. Stattdessen hat ELAM die einfache Aufgabe, jeden Starttreiber zu untersuchen und zu ermitteln, ob er auf der Liste vertrauenswürdiger Treiber steht. Wenn Schadsoftware ein startbezogenen Treiber ändert, erkennt ELAM die Änderung, und Windows verhindert das Starten des Treibers, sodass treiberbasierte Rootkits blockiert werden. ELAM ermöglicht dem registrierten Antischadsoftware-Anbieter auch das Suchen nach Treibern, die nach Abschluss des Startvorgangs geladen werden.
Das Design ist einfach, aber effektiv. ELAM ist eine Komponente einer Antischadsoftware-Lösung mit vollem Funktionsumfang und verhindert das Starten schädliche Treiber und Apps, bevor die übrige Antischadsoftware-Lösung später während des Startvorgangs gestartet wird. ELAM wird bei jedem PC-Start nur einige Sekunden lang ausgeführt. Windows Defender unter Windows 10 unterstützt ELAM ebenso wie Microsoft System Center 2012 Endpoint Protection und einige nicht von Microsoft stammende Antischadsoftware-Apps.
Wenn Sie erfahren möchte, wie ELAM konfiguriert wird, können Sie mithilfe von Gruppenrichtlinien, konfigurieren, wie ELAM auf potenziell schädliche Starttreiber reagiert. Rufen Sie im Gruppenrichtlinienverwaltungs-Editor „Computerkonfiguration\Administrative Vorlagen\System\Antischadsoftware-Frühstart“ auf, und aktivieren Sie die Einstellung Richtlinie für Bootstarttreiber-Initialisierung. Nun können Sie auswählen, welche Treiberklassifikationen von ELAM geladen werden. Wenn Sie die Einstellung für nur vertrauenswürdige Treiber auswählen, bietet ELAM die höchste Sicherheitsstufe; testen Sie die Einstellung jedoch sorgfältig, damit Benutzer mit fehlerfreien PCs nicht am Starten gehindert werden.
Kontrollierter Start
Die größte Herausforderung im Zusammenhang mit Rootkits und Bootkits in früheren Windows-Versionen bestand darin, dass sie häufig vom Client nicht erkannt wurden. Da Rootkits und Bootkits oft vor dem Windows-Schutz und der Antischadsoftware-Lösung starten und über Berechtigungen auf Systemebene verfügen, können sie sich selbst vollständig verschleiern und weiterhin auf Systemressourcen zugreifen. Obwohl der sichere Start der UEFI und der vertrauenswürdige Start die meisten Rootkits und Bootkits verhindern können, bleibt Angreifern weiterhin die potenzielle Möglichkeit zum Nutzen einiger Angriffsvektoren (z B. wenn der sichere Start der UEFI deaktiviert ist, oder wenn die zum Signieren einer Startkomponente – wie eines nicht von Microsoft stammenden Treibers – verwendete Signatur zum Signieren eines schädlichen Treibers missbraucht wurde).
Windows 10 implementiert das Feature „Kontrollierter Start“, das die in neueren PCs integrierte TPM-Hardwarekomponente zum Aufzeichnen einer Reihe von Messungen für wichtige startbezogene Komponenten verwendet, darunter Firmware, Windows-Startkomponenten, Treiber und sogar der ELAM.Treiber. Da der kontrollierte Start die hardwarebasierten Sicherheitsfunktionen des TPM nutzt, das die Messdaten isoliert und vor Schadsoftwareangriffen schützt, sind die Protokolldaten auch gegen komplexe Angriffe gut geschützt.
Der kontrollierte Start dient zum Abrufen der Messdaten und zum Schutz dieser Daten vor Manipulationen. Er muss mit einem Dienst kombiniert werden, der die Daten zur Ermittlung des Gerätezustands analysieren und einen umfassenderen Sicherheitsdienst bieten kann. Ein solcher Dienst wird im nächsten Abschnitt behandelt.
Überprüfung der Gerätecompliance für bedingten Zugriff auf Unternehmensressourcen
Der kontrollierte Start selbst verhindert das Laden von Schadsoftware während des Startvorgangs nicht – dazu dienen der sichere Start, Device Guard und ELAM. Stattdessen stellt der kontrollierte Start ein TPM-geschütztes Überwachungsprotokoll bereit, das einem Remotedienst zum Integritätsnachweis das Bewerten der Startkomponenten, des Zustands und der allgemeinen Konfiguration des PCs ermöglicht. Wenn der Dienst zum Integritätsnachweis erkennt, dass der PC eine nicht vertrauenswürdige Komponente geladen hat und daher nicht konform ist, kann der Dienst den Zugriff des PCs auf bestimmte Netzwerkressourcen oder das gesamte Netzwerk blockieren. Sie können einen Dienst zum Integritätsnachweis sogar mit Verwaltungssystem kombinieren, um die Verwendung von Funktionen für den bedingten Zugriff zu erleichtern, welche die Quarantäne- und Wiederherstellungsvorgänge zum Reparieren eines infizierten PCs und zum Wiederherstellen eines kompatiblen Zustands initiieren können.
Abbildung 3. Integritätsnachweis unter Windows 10
Abbildung 3 veranschaulicht den folgenden Vorgang zur Überprüfung der Gerätecompliance und zur Implementierung des bedingten Zugriffs:
Der PC verwendet das TPM zum Aufzeichnen von Messungen des Startladeprogramms, der Starttreiber und des ELAM-Treibers. Das TPM verhindert die Manipulation diese Messungen, sodass selbst erfolgreiche geladene Schadsoftware die Messungen nicht ändern kann. Diese Messungen sind mit einem Attestation Identity Key (AIK) signiert, der im TPM gespeichert ist. Da die TPM-Hardware die Messungen signiert hat, können sie nicht durch Schadsoftware geändert werden, ohne dass dies erkannt wird.
Der Integritätsnachweis ist nicht standardmäßig aktiviert. Die Aktivierung setzt eine Registrierung auf einem Server zur mobilen Geräteverwaltung voraus. Bei Aktivierung kontaktiert der Integritätsnachweis-Client einen Remoteserver, den sogenannten Integritätsnachweis-Server. Microsoft bietet einen cloudbasierten Windows-Dienst zum Integritätsnachweis, mit dem der Zustand eines Geräts bewertet werden kann. Der Integritätsnachweis-Client sendet die signierten Messungen, das TPM-Startprotokoll des Geräts und ein AIK-Zertifikat (sofern vorhanden), anhand deren der Integritätsnachweis-Server sicherstellen kann, dass der Schlüssel zum Signieren der Messungen für ein vertrauenswürdiges TPM ausgestellt wurde.
Der Integritätsnachweis-Server analysiert die Messungen und das Startprotokoll, und erstellt eine Deklaration zum Gerätezustand. Diese Deklaration ist verschlüsselt, um die Vertraulichkeit der Daten zu gewährleisten.
Ein Verwaltungssystem wie der MDM-Server kann anfordern, dass ein registriertes Gerät eine Deklaration zum Gerätezustand bereitstellt. Windows 10 unterstützt Anforderungen des Gerätezustands durch MDM-Server sowohl von Microsoft als auch von Drittanbietern. Um den Diebstahl und die Wiederverwendung von Deklarationen zum Gerätezustand durch andere Geräte zu Verhindern, sendet ein MDM-Server dem registrierten Gerät neben der Anforderung der Deklaration zum Gerätezustand auch eine Nonce (Number used only once)-Anforderung.
Das registrierte Gerät signiert die Nonce mit seinem AIK (der im TPM gespeichert ist) digital und sendet dem MDM-Server die verschlüsselte Deklaration zum Gerätezustand, die digital signierte Nonce und einen signierten Startzähler, der bestätigt, dass das Gerät seit dem Erhalt der Deklaration zum Gerätezustand nicht neu gestartet wurde.
MDM-Server kann dieselben Daten an den Server für den Integritätsnachweis senden. Der Server entschlüsselt die Deklaration zum Gerätezustand, bestätigt, dass der Startzähler in der Deklaration dem Startzähler entspricht, der an den MDM-Server gesendet wurde, und erstellt eine Liste mit Integritätsattributen.
Der Integritätsnachweis-Server sendet diese Liste mit Integritätsattributen an den MDM-Server. Der MDM-Server erzwingt dann Zugriffs- und Compliancerichtlinien, sofern er entsprechend konfiguriert ist.
Eine Liste der vom Integritätsnachweis-Server überprüften Datenpunkte sowie eine Beschreibung der Daten finden Sie im MSDN-Artikel „HealthAttestation CSP“.
Die Implementierung des Verwaltungssystems legt fest, welche Attribute in der Deklaration zum Gerätezustand beim Bewerten des Zustands eines Geräts ausgewertet werden. Grob gesagt erhält der Verwaltungsserver Informationen darüber, wie das Gerät gestartet wurde, welche Art von Richtlinie auf dem Gerät erzwungen wird und wie Daten auf dem Gerät geschützt werden. Je nach Implementierung fügt der Verwaltungsserver u. U. Überprüfungen hinzu, die über die Informationen in der Deklaration zum Gerätezustand hinausgehen – z. B. Windows-Patchebene und andere Geräteattribute.
Anhand dieser Datenpunkte kann der Verwaltungsserver ermitteln, ob der Client fehlerfrei ist und ihm Zugriff auf ein beschränktes Quarantänenetzwerk oder das vollständige Netzwerk gewähren. Einzelne Netzwerkressourcen wie Server können auch Zugriff gewähren oder verweigern, je nachdem, ob der Client für dem Remotenachweis eine gültige Integritätszertifizierung vom Server für dem Remotenachweis abrufen konnte.
Diese Lösung kann Schadsoftware auf niedriger Ebene erkennen und verhindern, die andernfalls möglicherweise sehr schwer zu erkennen ist. Daher empfiehlt Microsoft, dass Sie die Implementierung eines Verwaltungssystems wie Microsoft Intune oder anderer Verwaltungslösungen in Betracht ziehen, die das cloudbasierte Serverfeature zum Integritätsnachweis für Windows 10 nutzen, um Geräte zu erkennen und zu blockieren, die mit komplexer Schadsoftware aus Netzwerkressourcen infiziert wurde.
Sichern der Windows-Hauptkomponenten
Für Windows entwickelte Anwendungen sind auf Sicherheit und Fehlerfreiheit ausgelegt. Solange Code jedoch von Menschen geschrieben wird, wird es weiterhin Sicherheitsrisiken geben. Wenn böswillige Benutzer und Schadsoftware diese Risiken erkennen, versuchen sie möglicherweise, sie durch die Manipulation von Daten im Speicher zu nutzen, in der Hoffnung, dass sie sie durch Bootstrapping erfolgreich ausnutzen können.
Um diese Risiken zu verringern, umfasst Windows 10 zentrale Verbesserungen, die Angriffe auf niedriger Ebene wie Pufferüberlauf oder Heap Spraying durch Schadsoftware und sogar das Festlegen, welcher Code auf dem PC ausgeführt werden kann, erschwert. Außerdem reduzieren diese Verbesserungen erheblich die Wahrscheinlichkeit, dass neu ermittelte Sicherheitsrisiken zu einem erfolgreichen Missbrauch führen. Um die Auswirkungen dieser Verbesserungen umfassend würdigen zu können, sind detaillierte Kenntnisse der Betriebssystemarchitektur und von Techniken für den Missbrauch durch Schadsoftware erforderlich. In den folgenden Abschnitten werden die Auswirkungen allgemein erläutert.
Device Guard
Anhand der heutigen Landkarte mit den Sicherheitsbedrohungen wird ersichtlich, dass die Bedrohungen aggressiver als je zuvor sind. Moderen Schadsoftwareangriffe konzentrieren sich auf die Umsatzgenerierung, den Diebstahl geistigen Eigentums und die Zersetzung des Zielsystems, was zu finanziellen Verlusten führen kann. Viele dieser böswilligen Angreifer werden aus niedrigen Beweggründen von Staaten unterstützt, die über umfangreiche Budgets für Cyber-Terrorismus verfügen. Diese Bedrohungen können auf so einfache Art und Weise wie eine E-Mail in ein Unternehmen gelangen und Ruf der Organisation im Hinblick auf den Schutz von Mitarbeiter- und Kundendaten sowie von geistigem Eigentum nachhaltig schädigen, ganz zu schweigen von den finanziellen Auswirkungen. Mit Windows 10 werden verschiedene neue Sicherheitsfeatures eingeführt. Diese helfen dabei, einen großen Prozentsatz der heute bekannten Bedrohungen zu minimieren.
Es wird geschätzt, dass mehr als 300.000 neue Schadsoftwarevarianten täglich ermittelt werden. Leider verwenden die Unternehmen derzeit eine antike Methode, um diese Schadsoftware zu ermitteln und ihre Verwendung zu verhindern. Tatsächlich vertrauen aktuelle PCs jeder Anwendung, die ausgeführt wird, bis anhand der Antischadsoftwaresignaturen ermittelt wird, ob eine Bedrohung vorhanden ist. Anschließend versucht die Antischadsoftware, den PC zu bereinigen, und zwar oftmals nachdem die Auswirkung der Schadsoftware bereits erfolgt ist. Dieses signaturbasierte System konzentriert sich darauf, auf eine Infektion zu reagieren, und darauf, sicherzustellen, dass die bestimmte Infektion nicht erneut erfolgt. In diesem Modell verlässt sich das System, das die Schadsoftwareerkennung steuert, auf das Feststellen der Schadsoftware. Nur in diesem Fall kann dem Client eine Signatur bereitgestellt werden, um das Problem zu beheben. Demzufolge ist ein Computer oft bereits infiziert. Die Zeit, die zwischen dem Feststellen der Schadsoftware und der Ausstellung einer Signatur an den Client vergeht, könnte den Unterschied zwischen Datenverlust und Sicherheit ausmachen.
Neben Antischadsoftware-Lösungen stehen auch App-Steuerungs- oder Whitelist-Technologien wie AppLocker zur Verfügung. Diese führen Zulassungs- oder Ablehnungsregeln für das Ausführen von Anwendungen entweder anwendungsbasiert oder allgemein aus. Unter Windows 10 sind diese Arten von Lösungen am effektivsten, wenn sie zusammen mit dem Windows 10-Feature „Device Guard“ bereitgestellt werden.
Device Guard bricht das aktuelle Modell der Ermittlung zunächst um, blockiert sie später und ermöglicht nur die Ausführung von vertrauenswürdigen Anwendungen. Diese Methodologie ist einheitlich mit der erfolgreichen Verhinderungsstrategie für die Mobiltelefonsicherheit. Mit Device Guard hat Microsoft die Art und Weise geändert, wie das Windows-Betriebssystem nicht vertrauenswürdige Anwendungen verarbeitet. Dadurch kann Schadsoftware die Abwehr schwieriger durchdringen. Diese neue Verhinderung gegenüber dem Modell der Ermittlung bietet Windows-Clients die nötige Sicherheit gegen moderne Bedrohungen, und sobald die Implementierung erfolgt ist, werden viele der heutigen Bedrohungen von Anfang an abgewehrt.
Device Guard – Überblick
Bei Device Guard handelt es sich um eine Featuregruppe, die aus Hardware- und Softwaresystemintegritäts-Härtungsfeatures besteht. Diese Features revolutionieren die Sicherheit des Windows-Betriebssystems durch die Nutzung der neuen VBS-Optionen zum Schutz des Systemkerns und der Prozesse und Treiber im Kernelmodus revolutionieren – dies entspricht dem Modell, das für Betriebssysteme von Mobilgeräten verwendet wird, bei dem grundsätzlich nicht vertraut wird. Ein wichtiges Feature, das mit Device Guard verwendet wird, ist die konfigurierbare Codeintegrität. Dieser ermöglicht es Ihrer Organisation, genau festzulegen, welche Software von vertrauenswürdigen Softwareherausgebern berechtigt ist, Code auf den Clientcomputern ausführen. Genau durch dieses Konzept ist die Sicherheit für Mobiltelefone auf manchen Plattformen wie Windows Mobile so erfolgreich. Vertrauenswürdige Anwendungen sind direkt signiert (mit anderen Worten: Binärdateien) oder indirekt mithilfe einer signierten Datei, die die Hashwerte für Anwendungsbinärdateien enthalten, die als vertrauenswürdig eingestuft werden. Zusätzlich bietet Device Guard Organisationen eine Möglichkeit, vorhandene Branchenanwendungen zu signieren, sodass sie ihrem eigenen Code vertrauen können, und zwar ohne dass die Anwendung erneut erstellt oder umgepackt werden muss. Dieselbe Signiermethode bietet Unternehmen auch eine Möglichkeit, nicht von Microsoft stammenden Anwendungen zu vertrauen, einschließlich derer, die u. U. nicht direkt signiert wurden. Device Guard (mit konfigurierbarer Codeintegrität, Credential Guard und AppLocker) ist die umfassendste Sicherheitslösung, die ein Microsoft-Produkt jemals für einen Client unter Windows anbieten konnte.
Erweiterte Hardwarefeatures wie CPU-Virtualisierungserweiterungen, IOMMUs und SLAT unterstützen dabei diese neuen Clientsicherheitsangebote. Durch die stärkere Integration dieser Hardwarefeatures in das Kernbetriebssystem, kann Windows 10 sie auf neue Art und Weise verwenden. Beispielsweise dient dieselbe Typ-1-Hypervisor-Technologie, die zum Ausführen von virtuellen Computern in Hyper-V verwendet wird, zum Isolieren wichtiger Windows-Dienste in einem virtualisierungsbasierten, geschützten Container. Dies ist nur ein Beispiel, wie Windows 10 die erweiterten Hardwarefeatures besser im Betriebssystem integriert, um seinen Benutzern eine umfassende moderne Sicherheit zu bieten.
Um diese zusätzliche Sicherheit bereitzustellen, weist Device Guard folgende Hardware- und Softwarevoraussetzungen auf:
Sicherer Start der UEFI (optional mit einer aus der UEFI-Datenbank entfernten, nicht von Microsoft stammenden UEFI-Zertifizierungsstelle)
Standardmäßig aktivierte Virtualisierungsunterstützung in der Systemfirmware (BIOS):
Virtualisierungserweiterungen (z. B. Intel VT-X, AMD RVI)
SLAT (z. B. Intel EPT, AMD RVI)
IOMMU (z. B. Intel VT-d, AMD-Vi)
Konfiguration des UEFI-BIOS zum Verhindern, dass ein unbefugter Benutzer Hardware-Sicherheitsfeatures deaktiviert, die von Device Guard abhängen (z. B. sicherer Start)
Kernelmodustreiber, die signiert mit von und Hypervisor erzwungener Codeintegrität kompatibel sind
Nur Windows 10 Enterprise
X64-Version von Windows
Zusammen mit diesen neuen Features sind einige Komponenten von Device Guard vorhandene Tools oder Technologien, die in diesem strategischen Sicherheitsangebot enthalten sind, um Kunden das möglichst sicherste Windows-Betriebssystem bereitzustellen. Device Guard – eine Clientsicherheits-Featuregruppe – soll mit anderen im Windows-Betriebssystem verfügbaren bedrohungsresistenten Features verwendet werden, wobei einige davon in diesem Handbuch erwähnt werden.
Konfigurierbare Codeintegrität
Das Windows-Betriebssystem besteht aus zwei Betriebsmodi: dem Benutzermodus und dem Kernelmodus. Die Basis des Betriebssystems wird im Kernelmodus ausgeführt. Hier besteht die direkte Schnittstelle zwischen dem Windows-Betriebssystem und den Hardwareressourcen. Der Benutzermodus ist primär verantwortlich für das Ausführen von Anwendungen und Weitergeben von Informationen vom und an den Kernelmodus für Hardwareressourcenanforderungen. Beispielsweise muss, wenn eine im Benutzermodus ausgeführte Anwendung zusätzlichen Arbeitsspeicher benötigt, der Benutzermodusprozess die Ressourcen vom Kernel anfordern und nicht direkt aus dem Arbeitsspeicher.
Codeintegrität ist die Komponente des Windows-Betriebssystems, die überprüft, ob der unter Windows ausgeführte Code von einer vertrauenswürdigen Quelle stammt und manipulationssicher ist. Wie das Betriebssystem weist die Windows-Codeintegrität zwei primäre Komponenten auf: die Codeintegrität im Kernelmodus (KMCI) und die Codeintegrität im Benutzermodus (UMCI). KMCI wurde in früheren Versionen des Windows-Betriebssystems verwendet, um den Kernelmodus davor zu schützen, dass nicht signierte Treiber ausgeführt werden. Auch wenn dies eine wirksame Maßnahme ist, sind Treiber nicht die einzige Möglichkeit für Schadsoftware, um in den Kernelmodusbereich des Betriebssystems einzudringen. In Windows 10 hat Microsoft jedoch die Anforderungen für den integrierten Kernelmoduscode erhöht. Zudem erhalten Unternehmen darin die Möglichkeit, ihre eigenen UMCI- und KMCI-Richtlinien festzulegen. Microsoft hat Windows 10 sicherer gestaltet als jede Windows-Version zuvor: Dies beginnt mit dem Codeintegritätsdienst an sich und reicht bis zu den von einem Windows-Client verwendeten Richtlinien, um sicherzustellen, dass das Ausführen einer Anwendung zulässig ist. In der Vergangenheit war UMCI nur in Windows RT und auf Windows Mobile-Geräten verfügbar. Dadurch konnten diese Geräte nur schwer durch Viren und Schadsoftware infiziert werden. Dieselben erfolgreichen UMCI-Richtlinien stehen unter Windows 10 zur Verfügung.
In der Vergangenheit war der Großteil der Schadsoftware nicht signiert. Durch das einfache Bereitstellen von Codeintegritätsrichtlinien sind Organisationen sofort in der Lage, sich selbst gegen nicht signierte Schadsoftware zu schützen, was schätzungsweise den Großteil der aktuellen Angriffe ausmacht. Mithilfe von Codeintegritätsrichtlinien kann ein Unternehmen – basierend auf dem Signaturgeber, dem binären Hashwert oder beidem – auch genau auswählen, welche Binärdateien sowohl im Benutzermodus als auch im Kernelmodus ausgeführt werden dürfen. Bei vollständiger Erzwingung funktioniert der Benutzermodus in Windows wie einige Mobilplattformen, d. h. nur bestimmte Anwendungen oder Signaturen gelten als vertrauenswürdig und werden ausgeführt. Dieses Feature ändert die Sicherheit in einem Unternehmen grundlegend. Diese zusätzliche Sicherheit ist nicht auf Windows-Apps begrenzt. Zudem ist es nicht erforderlich, dass eine Anwendung neu geschrieben wird, um mit Ihren vorhandenen, u. U. nicht signierten Anwendungen kompatibel zu sein. Sie können konfigurierbare Codeintegrität unabhängig von Device Guard ausführen und sie dadurch auch für Geräte verfügbar machen, die die Hardwarevoraussetzungen von Device Guard nicht erfüllen.
Hardware-Sicherheitsfeatures und VBS
Die Kernfunktion und der zugehörige Schutz von Device Guard beginnen auf Hardwareebene. Geräte, deren Prozessoren mit SLAT-Technologien und Virtualisierungserweiterungen wie z. B. Intel VT x und AMD V ausgestattet sind, können eine VBS-Umgebung nutzen, welche die Sicherheit von Windows erheblich verbessert, indem wichtige Windows-Dienste vom Betriebssystem isoliert werden. Diese Isolation ist erforderlich, da Sie davon ausgehen müssen, dass der Betriebssystemkernel gefährdet wird und die Sicherheit einiger Prozesse gewährleistet werden muss.
Device Guard nutzt VBS zum Isolieren des Hypervisor-Codeintegritätsdiensts (HVCI), der Device Guard das Schützen aller Kernelmodusprozesse und Treiber vor Exploits in Bezug auf Sicherheitsrisiken und Zero-Day-Angriffen ermöglicht. HVCI nutzt die IOMMU-Funktionen des Prozessors, um die Ausführung der gesamten Software im Kernelmodus zu erzwingen, damit Speicher sicher belegt werden kann. Dies bedeutet, dass der Zustand des Speichers nach der Zuordnung von „Beschreibbar“ geändert werden muss, sodass er nur das Lesen oder Ausführen möglich ist. Indem diese Zustände für den Speicher erzwungen werden, wird sichergestellt, dass bei Angriffen durch Techniken wie Pufferüberläufe oder Heap Spraying kein schädlicher Code in Kernelmodusprozesse und Treiber eingeführt werden kann. Im Endeffekt schützt die VBS-Umgebung den Device Guard-HVCI-Dienst auch dann vor Manipulation, wenn der Kernel des Betriebssystems umfassend beeinträchtigt ist, und HVCI schützt Kernelmodusprozesse und Treiber, sodass eine Gefährdung dieses Ausmaßes erst gar nicht auftreten kann.
Bei Credential Guard handelt es sich um ein weiteres Windows 10-Feature, das VBS nutzt. Credential Guard schützt Anmeldeinformationen durch Ausführen des Windows-Authentifizierungsdiensts (als „LSA“ bezeichnet) und das anschließende Speichern der abgeleiteten Anmeldeinformationen des Benutzers (z. B. NTLM-Hashes, Kerberos-Tickets) in derselben VBS-Umgebung, die Device Guard verwendet. um den HVCI-Dienst zu schützen. Durch das Isolieren des LSA-Diensts und der abgeleiteten Anmeldeinformationen des Benutzers vom Benutzermodus und Kernelmodus ist ein Angreifer, der den Kern des Betriebssystems manipuliert hat, dennoch nicht in der Lage, die Authentifizierung zu manipulieren oder auf abgeleitete Anmeldeinformationen zuzugreifen. Credential Guard verhindert Pass-the-Hash- und Pass-the-Ticket-Angriffe. Diese Angriffsarten stehen hinter dem Erfolg von allen umfassenden Netzwerkeinbrüchen, über die Sie lesen. Daher ist Credential Guard eines der wirksamsten und wichtigsten Features, das in Ihrer Umgebung bereitgestellt werden sollte. Weitere Informationen darüber, wie Credential Guard Device Guard ergänzt, finden Sie im Abschnitt Device Guard mit Credential Guard.
Device Guard mit AppLocker
Obwohl AppLocker nicht als neues Feature von Device Guard gilt, können Sie damit die konfigurierbare Codeintegrität ergänzen, wenn die erzwungene Codeintegrität nicht vollständig implementiert werden kann oder ihre Funktionalität nicht alle gewünschten Szenarien abdeckt. Es gibt viele Szenarien, in denen Sie Codeintegritätsrichtlinien zusammen mit AppLocker-Regeln verwenden können. Als bewährte Vorgehensweise erzwingen Sie die Codeintegritätsrichtlinien für Ihr Unternehmen nach Möglichkeit auf der restriktivsten Ebene. Anschließend verwenden Sie AppLocker, um die Einschränkungen, auch auf eine niedrigere Ebene, zu optimieren.
Hinweis
Die Device Guard-Funktionen müssen beispielsweise durch AppLocker ergänzt werden, wenn Ihre Organisation beschränken möchte, welche universellen Anwendungen aus dem Windows Store von Benutzern auf einem Gerät installiert werden können. Microsoft hat die Vertrauenswürdigkeit von universellen Anwendungen aus dem Windows Store bereits bestätigt, eine Organisation möchte jedoch möglicherweise verhindern, dass bestimmte universelle Anwendungen in ihrer Umgebung ausgeführt werden. Dazu kann eine AppLocker-Regel genutzt werden.
In einem weiteren Beispiel können Sie eine Richtlinie für konfigurierbare Codeintegrität aktivieren, damit Benutzer alle Apps eines bestimmten Herausgebers ausführen können. Dazu fügen Sie der Richtlinie die Signatur des Herausgebers hinzu. Wenn Ihre Organisation entscheidet, dass nur bestimmte Apps von diesem Herausgeber ausgeführt werden dürfen, fügen Sie der Richtlinie für konfigurierbare Codeintegrität die Signatur des Herausgebers hinzu und legen dann mithilfe von AppLocker fest, welche Apps ausgeführt werden können.
AppLocker und Device Guard können zusammen in Ihrer Organisation ausgeführt werden. Dadurch erhalten Sie nicht nur die bestmöglichen Sicherheitsfeatures gleichzeitig, sondern auch die umfassendste Sicherheit für möglichst viele Geräte. Zusätzlich zu diesen Features empfiehlt Microsoft, dass Sie weiterhin eine Unternehmensantivirenlösung verwenden, um ein angemessenes Unternehmenssicherheitsportfolio zu erhalten.
Device Guard mit Credential Guard
Auch wenn Credential Guard kein Feature in Device Guard ist, werden viele Organisationen wahrscheinlich die Credential Guard zusammen mit Device Guard bereitstellen, um einen zusätzlichen Schutz vor dem abgeleiteten Diebstahl von Anmeldeinformationen zu erhalten. Ähnlich wie der virtualisierungsbasierte Schutz des Kernelmodus Device Guard-HVCI-Dienst nutzt Credential Guard Hypervisor-Technologie, um den Windows-Authentifizierungsdienst (LSA) und die abgeleiteten Anmeldeinformationen von Benutzern zu schützen. Diese Risikominderung zielt darauf ab, die Verwendung von Hashweitergabe- und Ticketweitergabetechniken zu verhindern.
Credential Guard verwendet VBS. Dies ist ausschlaggebend für die Fähigkeit, Pass-the-Hash- und Pass-the-Ticket-Angriffe auf Windows 10-Geräte zu verhindern. Microsoft ist sich jedoch bewusst, dass die meisten Unternehmen eine Mischung verschiedener Windows-Versionen in ihrer Umgebung ausführen. Für dieses Szenario sind Umgehungsmaßnahmen für Geräte verfügbar, die nicht in der Lage sind, Credential Guard auf der Client- und Serverseite auszuführen. Microsoft wird auf TechNet in Kürze Einzelheiten zu diesen zusätzlichen Umgehungsmaßnahmen veröffentlichen.
Einheitliche Verwaltbarkeit über Device Guard
Sie können die Device Guard-Features einfach verwalten, indem Sie die vertrauten Unternehmens- und Clientverwaltungstools verwenden, die durch IT-Experten täglich verwendet werden. Verwenden Sie die folgenden Verwaltungstools zum Aktivieren und Verwalten von Device Guard:
Gruppenrichtlinie. Windows 10 bietet eine administrative Vorlage, die Sie zum Konfigurieren und Bereitstellen der Richtlinien für die konfigurierbare Codeintegrität für Ihre Organisation verwenden können. Mit dieser Vorlage können Sie angeben, welche hardwarebasierten Sicherheitsfeatures aktiviert und bereitgestellt werden sollten. Sie können diese Einstellungen zusammen mit Ihren vorhandenen Gruppenrichtlinienobjekten verwalten, wodurch es ein Leichtes wird, Device Guard-Features zu implementieren. Neben den Codeintegritäts- und hardwarebasierten Sicherheitsfeatures können Sie mithilfe der Gruppenrichtlinie Ihre Katalogdateien verwalten.
System Center Configuration Manager. Verwenden Sie System Center Configuration Manager zum Vereinfachen der Bereitstellung und der Verwaltung von Katalogdateien, Codeintegritätsrichtlinien und hardwarebasierten Sicherheitsfeatures sowie zum Bereitstellen von Versionskontrolle.
MDM-Systeme. Organisationen können Microsoft Intune und nicht von Microsoft stammende MDM-Systeme für die Bereitstellung und Verwaltung von Codeintegritätsrichtlinien und Katalogdateien verwenden.
Windows PowerShell. Sie verwenden Windows PowerShell in erster Linie zum Erstellen und Warten von Codeintegritätsrichtlinien. Diese Richtlinien sind die wirksamsten Komponenten von Device Guard.
Diese Optionen bieten die gleiche Erfahrung, die Sie von der Verwaltung Ihrer vorhandenen Unternehmensverwaltungslösungen kennen.
Zufallsgestaltung des Adressraumlayouts
Eine der gängigsten Techniken, um Zugriff auf ein System zu erlangen, ist das Ermitteln eines Sicherheitsrisikos in einem privilegierten Prozess, der bereits ausgeführt wird, das Erraten oder Ermitteln des Speicherorts von wichtigem Systemcode oder Daten im Speicher und das anschließende Überschreiben dieser Informationen mit einer schädlichen Nutzlast. In der Anfangszeit von Betriebssystemen konnte jede Schadsoftware, die in der Lage war, direkt in den Arbeitsspeicher des Systems zu schreiben, solche Angriffe ausführen. Dabei wurde einfach Systemspeicher an bekannten und vorhersagbaren Speicherorten überschrieben.
Die Zufallsgestaltung des Adressraumlayouts (ASLR) macht diese Art von Angriff weitaus schwieriger, da sie zufällig festlegt, wie und wo wichtige Daten im Arbeitsspeicher gespeichert werden. Mit ASLR ist es für Schadsoftware schwieriger, den bestimmten Speicherort für den Angriffe zu ermitteln. Abbildung 4 veranschaulicht die Funktionsweise von ASLR, indem gezeigt wird, wie die Speicherorte verschiedener wichtiger Windows-Komponenten im Arbeitsspeicher zwischen Neustarts geändert werden können.
Abbildung 4 ASLR im Einsatz
Obwohl die ASLR-Implementierung in Windows 7 wirksam war, wurde sie nicht im gesamten Betriebssystem angewendet, und die Entropie (zufällige kryptografische Anordnung) wurde nicht immer optimal genutzt. Um die Erfolgswahrscheinlichkeit von komplexen Angriffen wie Heap Spraying unter Windows 8 zu verhindern, wendet Microsoft ASLR im gesamten System an, und der Grad der Entropie wurde um ein Vielfaches erhöht.
Die ASLR-Implementierung unter Windows 8 und Windows 10 wurde gegenüber Windows 7 erheblich verbessert, insbesondere durch das 64-Bit-System und Anwendungsprozesse, die deutlich mehr Speicherplatz nutzen. Dies macht es für Schadsoftware noch schwieriger vorherzusagen, wo Windows 10 wichtige Daten speichert. Wird die zufällige Speicheranordnung von ASLR auf Systemen mit TPMs verwendet, ist sie auf verschiedenen Geräten zunehmend einzigartig. Dies macht es noch schwieriger, einen Exploit, der auf einem Gerät erfolgreich war, auch auf anderen Geräten zuverlässig einzusetzen.
Datenausführungsverhinderung
Der Erfolg von Schadsoftware hängt von ihrer Möglichkeit ab, eine schädliche Nutzlast in den Speicher einzufügen, in der Hoffnung, dass diese später ausgeführt wird. ASLR macht diesen Vorgang erheblich schwieriger. Wäre es nicht gut, wenn Sie die Ausführung von Schadsoftware verhindern könnten, wenn sie in einen Bereich schreibt, der ausschließlich für die Speicherung von Informationen zugewiesen wurde?
Die Datenausführungsverhinderung (DEP) bietet genau diese Funktion, indem der Bereich des Speichers reduziert wird, der von schädlichem Code ausgenutzt werden kann. DEP verwendet das No eXecute-Bit auf modernen CPUs, um Speicherblöcke als schreibgeschützt zu markieren, damit diese Blöcke nicht zur Ausführung von schädlichem Code genutzt werden können, der durch die Ausnutzung eines Sicherheitsrisikos eingefügt wurde.
Aufgrund der Wichtigkeit der DEP können nicht Benutzer Windows 10 auf einem Computer ohne DEP-Funktionalität nicht installieren. Glücklicherweise unterstützen die meisten seit der Mitte der 2000er Jahre veröffentlichten Prozessoren DEP.
Wenn Sie erfahren möchten, welche Apps DEP verwenden, führen Sie diese Schritte aus:
Öffnen Sie Task-Manager: Drücken Sie Strg+Alt+Esc, oder suchen Sie auf dem Startbildschirm.
Klicken Sie auf Weitere Details (falls erforderlich), und klicken Sie dann auf die Registerkarte Details.
Klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift und dann auf Spalten auswählen.
Aktivieren Sie im Dialogfeld Spalten auswählen das letzte Kontrollkästchen Datenausführungsverhinderung.
Klicken Sie auf OK.
Jetzt können Sie sehen, für welche Prozesse DEP aktiviert ist. Abbildung 5 zeigt die auf einem Windows 10-PC ausgeführten Prozesse; dabei wird DEP von einem Prozess nicht unterstützt.
Abbildung 5. Prozesse, für die DEP unter Windows 10 aktiviert wurde
Windows-Heap
Der Heap ist ein Ort im Arbeitsspeicher, den Windows zum Speichern dynamischer Anwendungsdaten nutzt. Windows 10 bietet bessere Heap-Designs als frühere Windows-Versionen, da das Risiko von Heap-Exploits, die als Teil eines Angriffs genutzt werden können, weiter reduziert wird.
Windows 10 bietet mehrere wichtige Verbesserungen für die Sicherheit des Heaps gegenüber Windows 7:
Interne Datenstrukturen, die der Heap verwendet, sind jetzt besser gegen Speicherbeschädigungen geschützt.
Heap-Speicherzuweisungen weisen jetzt zufällige Speicherorte und Größen auf. Dies macht es für Angreifer schwieriger, den Ort von kritischem Speicher vorherzusagen, der überschrieben werden soll. Unter Windows 10 wird der Adresse eines neu zugeordneten Heaps insbesondere ein zufälliger Versatz hinzugefügt; so ist die Verteilung sehr viel weniger vorhersehbar.
Windows 10 verwendet „Schutzseiten“ als Hindernisse vor und nach Speicherblöcken. Wenn ein Angreifer versucht, über einen Speicherblock hinaus zu schreiben (eine gängige Technik, die als Pufferüberlauf bezeichnet wird), muss er eine Schutzseite überschreiben. Jeder Versuch, eine Schutzseite zu ändern, gilt als Speicherbeschädigung, und Windows 10 reagiert durch ein sofortiges Beenden der App.
Windows 10 löst bekannte Heap-Angriffe auf, die zum Manipulieren eines PC verwendet werden können, auf dem frühere Windows-Versionen ausgeführt werden.
Speicherreservierungen
Die niedrigsten 64 KB des Prozessspeichers sind für das System reserviert. Apps dürfen diesen Teil des Speichers nicht mehr zuweisen; dies macht es für Schadsoftware schwieriger, kritische Systemdatenstrukturen im Speicher zu überschreiben.
Ablaufsteuerungsschutz
Wenn Anwendungen in den Speicher geladen werden, wird ihnen basierend auf der Größe des Codes, des angeforderten Speicherplatzes und anderen Faktoren Speicherplatz zugewiesen. Wenn eine Anwendung mit der Ausführung von Code beginnt, ruft sie zusätzlichen Code auf, der sich in anderen Arbeitsspeicheradressen befindet. Die Beziehungen zwischen den Codespeicherorten sind bekannt – sie stehen im Code selbst – aber in älteren Versionen als Windows 10 wurde der Ablauf zwischen diesen Speicherorten nicht erzwungen; dies bietet die Angreifern die Möglichkeit, den Ablauf ihren Bedürfnissen anzupassen. Anders ausgedrückt nutzt ein Anwendungsexploit dieses Verhalten durch Ausführen von Code aus, den in die Anwendung nicht in der nicht ausführen darf.
Diese Art von Bedrohung wird unter Windows 10 durch den Ablaufsteuerungsschutz (Control Flow Blocker, CFG) verringert. Wenn eine vertrauenswürdige Anwendung, die zur Verwendung von CFG kompiliert wurde, Code aufruft, überprüft CFG, ob der aufgerufene Codespeicherort für die Ausführung vertrauenswürdig ist. Wenn der Speicherort nicht vertrauenswürdig ist, gilt die Anwendung als potenzielles Sicherheitsrisiko und wird sofort beendet.
Ein Administrator kann CFG nicht konfigurieren. Stattdessen kann ein Anwendungsentwickler CFG nutzen, indem er das Feature beim Kompilieren der Anwendung konfiguriert. Administratoren sollten Anwendungsentwickler und Softwareanbieter auffordern, vertrauenswürdige Windows-Anwendungen bereitzustellen, bei deren Kompilierung CFG aktiviert wurde. Browser sind natürlich ein wichtiger Einstiegspunkt für Angriffe. Daher werden alle Vorteile von CFG von Microsoft Edge, IE und anderen Windows-Features optimal genutzt.
Geschützte Prozesse
Benjamin Franklin hat einst gesagt „Vorbeugen ist besser als Heilen“. Diese Weisheit trifft unmittelbar auf die PC-Sicherheit zu. Die meisten Sicherheitskontrollen sind darauf ausgelegt, den anfänglichen Infektionspunkt zu verhindern. Die Logik besteht darin, dass das System immun gegen Schadsoftware ist, wenn Schadsoftware das System nicht infizieren kann.
Allerdings ist kein Computer immun gegen Schadsoftware. Trotz der besten vorbeugende Maßnahmen kann Schadsoftware letztendlich eine Möglichkeit finden, jedes Betriebssystem bzw. jede Hardwareplattform zu infizieren. Die Vorbeugung mit einer Tiefenverteidigungsstrategie ist zwar wichtig, darf aber nicht die einzige Art von Schadsoftwarekontrolle sein.
Das wichtigste Sicherheitsszenario besteht in der Annahme, dass auf einem System Schadsoftware zwar ausgeführt wird, ihre Möglichkeiten jedoch eingeschränkt werden. Windows 10 verfügt über Sicherheitskontrollen und Designfeatures zum Reduzieren von Beeinträchtigungen durch vorhandene Schadsoftwareinfektionen. Zu diesen Features zählen geschützte Prozesse.
Mit geschützten Prozessen verhindert Windows 10, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren. Geschützte Prozesse definieren Vertrauensebenen für Prozesse. Es wird verhindert, dass weniger vertrauenswürdige Prozesse mit vertrauenswürdigeren Prozessen interagieren und diese angreifen. Windows 10 verwendet geschützte Prozesse umfassender im gesamten Betriebssystem, und Sie können erstmals Antischadsoftware-Lösungen im Bereich geschützter Prozesse einsetzen. Dadurch sind das System und die Antischadsoftware Lösungen weniger anfällig für Manipulationen durch Schadsoftware, die ins System gelangt ist.
Sichern des Windows-Desktops
Windows 10 enthält wichtige Verbesserungen der Windows-Hauptkomponenten und der Desktop-Umgebung, die am häufigsten das Ziel von Angriffen und Schadsoftware sind. Die Desktop-Umgebung ist jetzt dank deutlicher Verbesserungen von Windows Defender und SmartScreen-Filtern widerstandsfähiger gegen Schadsoftware. Das Browsen im Internet ist mit Microsoft Edge, einen völlig neuen Browser, jetzt sicherer. Der Windows Store senkt die Wahrscheinlichkeit, dass Schadsoftware Geräte infiziert, indem sichergestellt wird, dass alle Anwendungen im Windows Store-System gründlich überprüft wurden, bevor Sie verfügbar gemacht werden. Universelle Windows-Anwendungen sind grundsätzlich sicherer als Standardanwendungen, da sie sich im Sandkasten befinden. Das Sandkastenprinzip senkt das Risiko, dass die Anwendung beeinträchtigt oder so manipuliert wird, dass das System, Daten oder andere Anwendungen gefährdet werden.
In den folgenden Abschnitten werden die Verbesserungen der Anwendungssicherheit unter Windows 10 ausführlicher beschrieben.
Microsoft Edge und Internet Explorer 11
Die Browsersicherheit ist ein wichtiger Bestandteil jeder Sicherheitsstrategie und das aus gutem Grund: Der Browser ist die Schnittstelle des Benutzers mit dem Internet, eine Umgebung, die mit schädlichen Websites und angriffswilligen Inhalten überhäuft ist. Die meisten Benutzer können zumindest einen Teil ihrer Arbeit nicht ohne einen Browser erledigen, und viele Benutzer sind vollständig darauf angewiesen. Daher ist der Browser der häufigste Ausgangspunkt von Angriffen durch Hacker.
Alle Browser ermöglichen gewisse Erweiterungen, um neben den ursprünglichen Funktionen des Browsers zusätzliche Möglichkeiten zu bieten. Zwei allgemeine Beispiele hierfür sind Flash- und Java-Erweiterungen, die das Ausführen der jeweiligen Anwendungen in einem Browser ermöglichen. Das Sichern von Windows 10 beim Surfen im Web und beim Ausführen von Anwendungen ist insbesondere für diese beiden Inhaltstypen eine Priorität.
Microsoft bietet mit Microsoft Edge einen vollkommen neuen Browser unter Windows 10. Microsoft Edge ist in vielfacher Hinsicht sicherer, insbesondere in folgenden Aspekten:
Microsoft Edge unterstützt keine nicht von Microsoft stammenden binären Erweiterungen. Microsoft Edge unterstützt standardmäßig Flash-Inhalte und die PDF-Anzeige über integrierte Erweiterungen, jedoch keine andere binären Erweiterungen, einschließlich ActiveX-Steuerelementen und Java.
Microsoft Edge führt 64-Bit-Prozesse aus. Ein 64-Bit-PC mit einer älteren Version von Windows wird häufig im 32-Bit-Kompatibilitätsmodus ausgeführt, um ältere und weniger sichere Erweiterungen zu unterstützen. Wenn Microsoft Edge auf einem 64-Bit-PC ausgeführt wird, werden nur 64-Bit-Prozesse ausgeführt. Diese sind sehr viel sicherer, wenn Sicherheitsrisiken entdeckt und Versuche unternommen werden, diese auszunutzen.
Microsoft Edge wurde als universelle Windows-App entwickelt. Der Browser ist grundsätzlich eigenständig und wird in einem AppContainer ausgeführt, der den Browser durch Sandboxing vom System, Daten und anderen Apps isoliert. IE11 unter Windows 10 kann über den erweiterten geschützten Modus die gleiche AppContainer-Technologie nutzen. Da der Browser jedoch ActiveX und BHOs ausführen kann, sind der Browser und der Sandkasten für eine weitaus größere Anzahl von Angriffen anfällig als Microsoft Edge.
Microsoft Edge vereinfacht Aufgaben zur Sicherheitskonfiguration. Da Microsoft Edge eine vereinfachte Anwendungsstruktur und eine einzelne Sandkastenkonfiguration verwendet, sind weniger Sicherheitseinstellungen erforderlich. Darüber hinaus hat Microsoft Standardeinstellungen für Microsoft Edge erstellt, die sich nach bewährten Sicherheitsmethoden richtet, sodass der Browser standardmäßig sicher ist.
Neben Microsoft Edge bietet Microsoft IE11 unter Windows 10 in erster Linie für die Abwärtskompatibilität mit Websites und binären Erweiterungen, die nicht mit Microsoft Edge kompatibel sind. IE11 sollte nicht als primärer Browser, sondern als optionaler oder automatischer Switchover konfiguriert werden, wie in Abbildung 6 dargestellt.
Abbildung 6. Konfigurieren Sie Windows 10 für den Wechsel von Microsoft Edge zu IE11, um Abwärtskompatibilität bereitzustellen.
Microsoft empfiehlt, Microsoft Edge als primären Webbrowser zu verwenden, da er mit dem modernen Internet kompatibel ist und die bestmögliche Sicherheit bietet. Für Websites, die die Kompatibilität von IE11 erfordern, einschließlich derer, die binäre Erweiterungen und Plug-Ins erfordern, aktivieren Sie den Unternehmensmodus und definieren mithilfe der Websiteliste für den Unternehmensmodus, welche Websites die Abhängigkeit aufweisen. Mit dieser Konfiguration wird automatisch zu IE11 gewechselt, wenn Benutzer mit Microsoft Edge verwenden und eine Website identifiziert wird, die IE11 erfordert.
Der SmartScreen-Filter
Aktuelle Versionen von Windows verfügen über zahlreiche effektive Techniken, um zu verhindern, dass Schadsoftware sich selbst ohne das Wissen des Benutzers installiert. Zum Umgehen dieser Einschränkungen werden bei Schadsoftwareangriffen häufig Social Engineering-Techniken eingesetzt, um Benutzer dazu zu bringen, Software auszuführen. Schadsoftware, die als trojanisches Pferd bekannt ist, gibt z. B. vor, etwas Nützliches wie ein Hilfsprogramm zu sein, enthält jedoch eine zusätzliche, schädliche Nutzlast.
Ab Windows Internet Explorer 8 haben die SmartScreen-Filter zum Schutz von Benutzern vor schädlichen Anwendungen und Websites beigetragen; dazu wurden die Anwendung des SmartScreen-Filters und die URL-Zuverlässigkeitsdienste verwendet. Der SmartScreen-Filter in Internet Explorer überprüfte URLs und neu heruntergeladene Apps anhand eines von Microsoft verwalteten Online-Zuverlässigkeitsdiensts. Wenn die App oder URL nicht als sicher bekannt waren, warnte der SmartScreen-Filter den Benutzer oder verhinderte sogar das Laden der App oder URL, je nachdem, wie Systemadministratoren die Gruppenrichtlinien konfiguriert haben.
Für Windows 10 hat Microsoft den SmartScreen-Filter weiterentwickelt, indem die Zuverlässigkeitsfunktionen der App in das Betriebssystem selbst integriert wurde. Dadurch kann der Filter Benutzer unabhängig vom verwendeten Webbrowser oder dem von der App zum Eingehen auf dem Gerät verwendeten Pfad (z. B. E-Mail, USB-Speicherstick) schützen. Bei der ersten Ausführung einer aus dem Internet stammenden App – auch wenn der Benutzer die App von einem anderen PC kopiert hat – überprüft der SmartScreen-Filter den Ruf der Anwendung mithilfe von digitalen Signaturen und anderen Faktoren anhand eines von Microsoft verwalteten Diensts. Wenn die App keinen Ruf hat oder bekanntermaßen schädlich ist, warnt der SmartScreen-Filter den Benutzer oder blockiert die Ausführung vollständig, je nachdem, wie der Administrator die Gruppenrichtlinie konfiguriert hat (siehe Abbildung 7).
Abbildung 7. Der SmartScreen-Filter im Einsatz unter Windows 10
Standardmäßig haben Benutzer die Option, den SmartScreen-Filterschutz zu umgehen, damit ein Benutzer nicht an der Ausführung einer seriösen App gehindert wird. Sie können den SmartScreen-Filter in der Systemsteuerung oder den Gruppenrichtlinieneinstellungen deaktivieren oder grundsätzlich verhindern, dass Benutzer Apps ausführen, die der SmartScreen-Filter nicht erkennt. Die Systemsteuerungseinstellungen sind auf Abbildung 8 dargestellt.
Abbildung 8 Die Windows SmartScreen-Konfigurationsoptionen in der Systemsteuerung
Wenn Sie den SmartScreen-Filter ausprobieren möchten, verwenden Sie Windows 7, um diese simulierten (aber nicht gefährliche) Schadsoftwaredatei herunterzuladen:freevideo.exe. Speichern Sie sie auf Ihrem Computer, und führen Sie sie in Windows-Explorer aus. Wie in Abbildung 9 gezeigt führt Windows die App ohne viele Warnungen aus. In Windows 7 wird möglicherweise die Warnmeldung angezeigt, dass die App nicht über ein Zertifikat verfügt, diese Warnung können Sie jedoch problemlos umgehen.
Abbildung 9 Windows 7 lässt das Ausführen der App zu.
Wiederholen Sie jetzt den Test auf einem Computer mit Windows 10. Kopieren Sie dazu die Datei auf einen Windows 10-PC, oder laden Sie die erneut herunter und speichern sie auf Ihrem lokalen Computer. Führen Sie die Datei direkt im Datei-Explorer aus, und der SmartScreen-Filter warnt Sie, bevor er die Ausführung zulässt. Die Daten von Microsoft zeigen, dass diese zusätzliche Warnung für den Großteil der Benutzer ausreichend ist, um sie vor einer Infektion mit Schadsoftware zu schützen.
Universelle Windows-Apps
Die gute Nachricht ist, dass der Download und die Verwendung von universellen Windows-Apps oder sogar klassischen Windows-Anwendungen (Win32) aus dem Windows Store erheblich die Wahrscheinlichkeit verringern, dass Schadsoftware auf Ihren PC gelangt, da alle Apps einen sorgfältigen Prüfungsprozess durchlaufen, bevor sie im Store zur Verfügung gestellt werden. Apps, die von Organisationen erstellt und durch Querladeprozesse verteilt werden, müssen intern überprüft werden, um sicherzustellen, dass sie die Sicherheitsanforderungen der Organisation erfüllen.
Unabhängig davon, wie Benutzer universelle Windows-Apps erhalten, sind diese zunehmend vertrauenswürdig. Im Gegensatz zu klassischen Windows-Anwendungen, die mit erhöhten Rechten ausgeführt werden können und potenziell umfassenden Zugriff auf das System und die Daten haben, werden universelle Windows-Apps in einem AppContainer-Sandkasten mit eingeschränkten Berechtigungen und Funktionen ausgeführt. Universelle Windows-Apps haben beispielsweise keinen Zugriff auf Systemebene, ihre Interaktionen mit anderen Apps sind stark kontrolliert, und sie haben keinen Zugriff auf Daten, außer der Benutzer gewährt die Anwendungsberechtigung explizit.
Darüber hinaus folgen alle universellen Windows-Apps dem Sicherheitsprinzip der geringsten Rechte. Apps erhalten nur die Rechte, die mindestens zum Ausführen legitimer Aufgaben erforderlich sind. Auch wenn ein Angreifer die App missbraucht, ist der mögliche Schaden daher stark eingeschränkt und sollte nur innerhalb des Sandkastens Auswirkungen haben. Das Windows Store zeigt die genauen Funktionen, die von der App benötigt werden, (z. B. Zugriff auf die Kamera) zusammen mit der Altersfreigabe und dem Herausgeber an.
Letztendlich verringern der App-Verteilungsprozess des Windows Store und die App-Sandkasten-Funktionen von Windows 10 erheblich die Wahrscheinlichkeit, dass schädliche Apps in das System gelangen.
Windows Defender
Antischadsoftware, allgemein auch als Virenscanner, Virenschutz usw. bezeichnet, gibt es bereits seit langem. Microsoft hat sein erstes Programm in dieser Kategorie – Microsoft Anti-Virus – 1993 für MS-DOS 6.0 ausgeliefert. Damals wurde ein eigenständiges MS-DOS-Programm ausgeführt, um Viren zu suchen und zu entfernen; diese Methode war ausreichend.
Die Zeiten ändern sich jedoch, und sowohl die Technologie als auch Antischadsoftware wurden weiterentwickelt. Eine mehrstufige Verteidigung mit Interoperabilität ist bei der Verwaltung moderner Bedrohungen ausschlaggebend. Windows Defender nutzt häufig das Betriebssystem, um Interoperabilität über die verschiedenen Verteidigungsebenen hinweg zu erzielen. Eine effektive Antischadsoftware-Lösung ist ein wichtiges Schutzhindernis zwischen Schadsoftware und Unternehmensressourcen verfügen und ergänzt zudem Features wie Device Guard. Eine Antischadsoftware-Lösung kann z. B. schädliches Verhalten im Arbeitsspeicher oder sogar in vertrauenswürdigen Anwendungen erkennen, einem Bereich, für den Device Guard nicht zuständig ist.
Windows Defender wurde weiterentwickelt, um der zunehmenden Komplexität der IT und den damit einhergehenden Herausforderungen gerecht zu werden. Windows Defender, eine stabile Antischadsoftware-Lösung für Postfächer ist seit Windows 8 in Windows enthalten. Jetzt unter Windows 10 hat Microsoft Windows Defender erheblich verbessert.
Windows Defender unter Windows 10 verwendet einen Vier-Punkte-Ansatz zum Verbessern von Antischadsoftware: umfassender lokaler Kontext, umfangreiche globale Sensoren, Nachweis von Manipulation und Befähigung von IT-Sicherheitsexperten. In diesem Abschnitt werden die einzelnen Punkte erläutert.
Umfassender lokaler Kontext verbessert die Identifizierung von Schadsoftware. Windows 10 informiert Windows Defender nicht nur über Inhalte wie Dateien und Prozesse, sondern auch darüber, woher der Inhalt stammt, wo er gespeichert wurde und vieles mehr. Die Informationen zur Quelle und zum Verlauf ermöglichen Windows Defender das Anwenden verschiedener Prüfungsstufen auf verschiedene Inhalte.
Beispielsweise wird eine aus dem Internet heruntergeladene Anwendung gründlicher geprüft, als eine Anwendung, die von einem vertrauenswürdigen Server installiert wurde. Windows 10 speichert den Verlauf der Anwendung aus dem Internet auf Betriebssystemebene, sodass die App nicht ihre eigenen Spuren löschen kann. Der Verlauf wird vom permanenten Speicher nachverfolgt und gespeichert, einem neuem Feature unter Windows 10, das den umfassenden lokalen Kontext sicher verwaltet und nicht autorisiertes Ändern oder Löschen verhindert. Die Verbesserungen des umfassenden lokalen Kontexts tragen ebenfalls dazu bei, dass Schadsoftware keine Taktiken wie das Verbergen zum Umgehen einer Erkennung nutzen kann.
Lokaler Kontext erweitert auch die Bereitstellung von Schnittstellen durch Antischadsoftware. Windows Defender implementiert die Antischadsoftware-Scanschnittstelle (Antimalware Scan Interface, AMSI), einen generischen öffentlichen Schnittstellenstandard, der es Anwendungen und Diensten ermöglicht, vor der Ausführung das Scannen und Analysieren von verborgenem Code durch Windows Defender anzufordern. AMSI kann für jede beliebige Anwendung und Antischadsoftware-Lösung implementiert werden. Unter Windows 10 ist AMSI über Windows PowerShell, den Windows Script Host, JavaScript und Microsoft JScript verfügbar.
Unter Windows 10 hat Microsoft eine neue Technologie implementiert, die Windows Defender eine enge Zusammenarbeit mit Anforderungen der Benutzerkontensteuerung (User Account Control, UAC) ermöglicht. Wenn das UAC-System ausgelöst wird, fordert es von Windows Defender eine Überprüfung an, bevor eine Erhöhung der Rechte angefordert wird. Windows Defender prüft die Datei oder den Prozess und ermittelt, ob es sich dabei um Schadsoftware handelt. Wenn es sich um Schadsoftware handelt, wird dem Benutzer eine Meldung angezeigt, die erläutert, dass Windows Defender die Ausführung der Datei bzw. des Prozesses blockiert hat. Handelt es sich nicht um Schadsoftware, wird UAC ausgeführt und die übliche Anforderung erhöhter Rechte angezeigt.
Umfangreiche globale Sensoren tragen dazu bei, Windows Defender auf dem aktuellen Stand – auch im Hinblick auf die neueste Schadsoftware – zu halten. Dies erfolgt auf zwei Arten: durch Sammeln der Daten des umfassenden lokalen Kontexts von Endpunkten und das zentrale Analysieren dieser Daten. Ziel ist es, neue Schadsoftware zu identifizieren und in den ersten wichtigen Stunden ihrer Lebensdauer zu blockieren, um ihre Interaktion mit dem allgemeinen PC-Ökosystem zu beschränken.
Mit Windows Defender unter Windows 8 hat Microsoft erstmals Windows Defender-Cloudschutz eingeführt; dieser trägt zu besseren Reaktionen in der sich schnell entwickelnden Schadsoftware-Landschaft bei. Ziel ist es, Schadsoftware bei der ersten Erkennung, in den ersten wichtigen Stunden eines Schadsoftwareangriffs zu blockieren.
Um den Datenschutz für Kunden zu gewährleisten, bietet Microsoft Kunden die Möglichkeit zum Anmelden oder Abwählen des Systems. Zur Teilnahme melden Sie sich einfach beim Programm an. Zum Anmelden für Windows 10 klicken Sie auf Einstellungen, Update und Sicherheit und dann auf Windows Defender. Die Anmeldeoptionen sind in Abbildung 10 dargestellt.
Abbildung 10 Anmeldeoptionen für Windows Defender unter Windows 10
Selbstverständlich verfügen Systemadministratoren über eine zentrale Steuerung aller Windows Defender-Einstellungen über eine Gruppenrichtlinie. Die Windows Defender-Konfigurationseinstellungen werden wie in Abbildung 11 dargestellt unter „Computerkonfiguration/Windows-Komponenten/Windows Defender“ angezeigt.
Abbildung 11 Windows Defender-Einstellungen in der Gruppenrichtlinie – die BeispielgebendenBeispielübermittlungsoptionen sind unter „MAPS“ aufgeführt.
Mit dem Nachweis von Manipulation schützt sich Windows Defender selbst vor Angriffen durch Schadsoftware. Ersteller von Schadsoftware gehen davon aus, dass auf den meisten PCs Antischadsoftware implementiert ist. Viele Ersteller von Schadsoftware möchten dieses Hindernis umgehen, indem sie Schadsoftware entwerfen, die die Antischadsoftware in irgendeiner Weise ändert, z. B. durch das Deaktivieren von Echtzeitscans oder das Verbergen bestimmter Prozesse. Einige Schadsoftware geht so weit, dass die Antischadsoftware vollständig deaktiviert, dem Benutzer jedoch als voll funktionsfähig angezeigt wird.
Windows Defender dient zum Manipulationsschutz. Er nutzt mehrere unter Windows 10 verfügbare Sicherheitstechnologien, insbesondere die geschützten Prozesse, die verhindern, dass nicht vertrauenswürdige Prozesse versuchen, Windows Defender-Komponenten, Registrierungsschlüssel usw. zu manipulieren. Der Nachweis von Manipulation in Windows Defender ist auch das indirekte Ergebnis von systemweiten Sicherheitskomponenten, einschließlich UEFI mit sicherem Start und ELAM. Diese Komponenten sorgen für eine Umgebung mit höherer Sicherheit, in der Windows Defender starten kann, bevor er sich selbst schützt.
Befähigung von IT-Sicherheitsexperten bedeutet, dass Windows Defender den IT-Experten die erforderlichen Tools und Konfigurationsoptionen bereitstellt, damit er als Antischadsoftware-Lösung für Unternehmen genutzt werden kann. Er verfügt über zahlreiche Features auf Unternehmensebene, die ihn mit den führenden Produkten in dieser Kategorie gleichstellt:
Integration in zentrales Verwaltungssoftware, darunter Microsoft Intune, System Center Configuration Manager und Microsoft System Center Operations Manager. Im Gegensatz zu Windows 8.1 ist kein zusätzlicher Client erforderlich, da Windows Defender jetzt in Windows integriert ist; lediglich eine Verwaltungsebene muss hinzugefügt werden.
Windows Defender unterstützt den Open Mobile Alliance Device Management-Standard für die zentrale Verwaltung durch zahlreiche, nicht von Microsoft stammenden Geräteverwaltungslösungen.
Er bietet integrierte Unterstützung für klassische Befehlszeilen und Windows PowerShell-Cmdlets.
Unterstützung für Berichte der Windows-Verwaltungsinstrumentation sowie Anwendungsverwaltung sind ebenfalls integriert.
Die vollständige Integration in die Gruppenrichtlinie bietet eine umfassende Verwaltung der IT-Konfiguration.
Darüber hinaus integriert Windows Defender jetzt das Windows Defender Offlinetool, das bisher das Erstellen einer startbaren, eigenständigen Version von Windows Defender in der Windows-Wiederherstellungsumgebung erforderte. Dies vereinfacht das Beheben von Schadsoftwareinfektionen auf niedriger Ebene, die mit der auf dem Windows-Desktop ausgeführten Antischadsoftware-Lösung u. U. schwer zu erkennen und zu entfernen sind. Sie können die Signaturen für diese Umgebung automatisch auf der Benutzeroberfläche von Windows Defender Offline aktualisieren.
Neben Windows Defender bietet Windows 10 umfassenden Betriebssystemzugriff für Antischadsoftware-Produkte. Drittanbieter von Antischadsoftware können die neuen APIs und Schnittstellen von Microsoft nutzen, um noch nie da gewesenen Zugriff auf Windows 10-Ressourcen für die Erkennung und Beseitigung von Schadsoftware zu erhalten. Antischadsoftware-Lösungen von Drittanbietern können ELAM-Treiber implementieren, die Windows 10 während des ersten Startvorgangs überprüfen. Die breite Palette von neuen Schnittstellen auf niedriger Ebene ermöglicht Antischadsoftware-Lösungen von Drittanbietern eine erweiterte Erkennung von Schadsoftware. Dadurch lässt sich die Anwendungskompatibilität auch dann beibehalten, auch wenn Microsoft interne Windows-Elemente ändert; dies ist häufig zwischen Hauptversionen des Betriebssystem der Fall.
Dieser Zugriff stellt jedoch eine Sicherheitsherausforderung dar: Wie stellt Windows 10 großzügigen Zugriff für Antischadsoftware bereit und stellt gleichzeitig sicher, dass diese Zugriffsmöglichkeit nicht auch von Schadsoftware genutzt wird? Microsoft hat mit mehreren anderen Softwareanbietern intensiv an einer Lösung dieser Herausforderung gearbeitet. Wenn ein Drittanbieter diese Zugriffsmöglichkeit nutzen möchte, muss er zunächst bestimmte Kriterien und Überprüfungsanforderungen erfüllen, und anschließend muss Microsoft die Software digital signieren. Dadurch kann Microsoft die Echtheit von Softwareanbietern überprüfen und verhindern, dass Angreifer eigene, selbstsignierte und gefälschte Schadsoftwarescanner.
Um es deutlich zu machen: Microsoft schränkt weder Antischadsoftware-Anbieter noch deren Innovationen ein. Microsoft ändert auch keine Software-Vertriebskanäle. Wenn Microsoft die Antischadsoftware-Anwendung signiert hat, können Sie diese auf beliebige Weise bereitstellen und installieren. Microsoft stellt im Grunde sicher, dass es sich bei diesen Softwareentwicklern um authentische, in der Branche anerkannte Entitäten handelt, bevor ihre Antischadsoftware signiert und dadurch mit erweiterten Berechtigungen ausgestattet wird.
Ein weiteres Sicherheitsrisiko, dass Kunden vor allem in Verbraucher- und BYOD (Bring Your Own Device)-Szenarien begegnet, sind deaktivierte oder veraltete Antischadsoftware-Produkte. Ein ineffizientes Antischadsoftware-Produkt auf einem BYOD-Computer kann gefährlicher sein, als das Fehlen eines Produkts, da es die Illusion von Sicherheit vermittelt. Windows Defender in Windows 10 senkt dieses Risiko, indem sichergestellt wird, dass entweder Windows Defender oder die vom Kunden bevorzugte Lösung eines Drittanbieters ausgeführt wird und einen fehlerfreien Zustand aufweist.
Wenn sich der nicht von Microsoft stammende Echtzeitschutz 24 Stunden lang in einem funktionsunfähige Zustand befindet (z. B. deaktiviert oder abgelaufen), wird Windows Defender automatisch aktiviert, um sicherzustellen, dass das Gerät geschützt ist. Windows versucht, den Benutzer beim Beheben des Problems mit der Antischadsoftware-Lösung eines Drittanbieters zu unterstützen, indem er bis zu fünf Tage vor dem Ablauf der Software benachrichtigt wird. Nach Ablauf der Lösung wird Windows Defender aktiviert, und Windows erinnert den Benutzer weiterhin daran, die nicht von Microsoft stammende Lösung zu erneuern. Wenn der Benutzer die Lösung aktualisiert oder erneut aktiviert, wird Windows Defender automatisch deaktiviert. Das Ziel besteht letztendlich in der Sicherstellung, dass jederzeit eine funktionsfähige Antischadsoftware ausgeführt wird.
Fazit
Windows 10 ist die Krönung eines langjährigen Aufwands von Microsoft und wird bedeutende Auswirkungen im Hinblick auf die Sicherheit haben. Viele von uns erinnern sich noch an die Jahre von Windows XP, in denen die Angriffe auf das Windows-Betriebssystem, Anwendungen und Daten mengenmäßig zunahmen und zu schwerwiegenden Bedrohungen wurden. Mit dem vorhandenen Plattformen und Sicherheitslösungen, die Sie wahrscheinlich bereitgestellt haben, sind Sie besser geschützt als je zuvor. Aber auch Angreifer haben ihre Methoden weiterentwickelt, und Ihre Möglichkeiten zur Verteidigung Ihrer Organisation und Benutzern reichen zweifelsohne nicht mehr aus. Belege dafür lassen sich praktisch jeden Tag in Presseberichten darüber finden, dass ein weiteres großes Unternehmen zum Opfer von Cyberkriminalität geworden ist. Microsoft hat Windows 10 speziell auf die Abwehr dieser modernen Bedrohungen und Taktiken der fortschrittlichsten Gegner ausgelegt. Die Voraussetzungen für Ihr Unternehmen werden grundlegend geändert, und Sie befinden sich wieder im Vorteil gegenüber den Angreifen, die Sie zu ihrem nächsten Opfer machen möchten.
Verwandte Themen
Mehr Individualität und Sicherheit unter Windows 10 durch Windows Hello