Freigeben über

Wiederherstellen der Konfigurationen von Secured-Core-PCs durch Unternehmensadministrator*innen

In diesem Dokument finden Sie die Schritte zum Wiederherstellen der Konfigurationseinstellungen von Secured-Core-PCs in dem Szenario, in dem ein Enterprise-Kunde einen Secured-Core-PC neu abbildet und anschließend alle Features des Secured-Core-PCs wieder aktivieren muss. In diesem Dokument werden die Schritte zum Aktivieren der folgenden Features für Secured-Core-PCs behandelt, die auch auf der Website zu Windows 10 Secured-Core-PCs zu finden sind:

  • Moderner Standby-Modus
  • Schutz des System Management Mode (SMM)
  • Aktivierter Speicherzugriffsschutz
  • Erhöhte Anmeldesicherheit möglich
  • Aktivierte Speicherintegrität (HVCI)
  • Trusted Platform Module 2.0
  • Moderne Gerätewartung
  • Aktivierter UEFI-Secure Boot
  • Aktivierte Firmwarevirtualisierung

Verwalten von Einstellungen von Secured-Core-PCs

Im Allgemeinen können die Einstellungen eines Secured-Core-PCs in zwei Kategorien unterteilt werden: die Einstellungen, die mit Windows konfiguriert werden können, und die, die mit der UEFI-Firmware des Geräts konfiguriert werden. Aber auch in diesen Kategorien erfordern einige der Windows-Einstellungen, dass die Gerätefirmware bestimmte Einstellungen aufweist. In diesem Dokument wird erläutert, wie Sie diese Einstellungen aus diesen beiden Perspektiven verwalten. Außerdem werden alle für die Unterstützung dieser Einstellungen erforderlichen Firmwareeinstellungen aufgerufen.

Windows-Einstellungen

Windows Defender-Systemüberwachung und SMM-Schutz

Um wichtige Ressourcen wie den Windows-Authentifizierungsstapel, Token für das einmalige Anmelden, den biometrischen Windows Hello-Stapel und das Virtual Trusted Platform Module zu schützen, müssen Firmware und Hardware eines Systems vertrauenswürdig sein. Die Windows Defender-Systemüberwachung (WDSG) ordnet die vorhandenen Windows 10-Systemintegritätsfeatures an einem Ort neu und richtet die nächsten Investitionen in Windows-Sicherheit ein. Damit sollen die folgenden Sicherheitsgarantien gegeben werden:

  • Schützen und Erhalten der Systemintegrität beim Hochfahren
  • Überprüfen, ob die Systemintegrität wirklich über lokale und Remotenachweise erhalten wurde

Zusätzlich schützt die WDSG auch vor SMM-Angriffen (System Management Mode). SMM ist ein spezieller CPU-Modus in x86-Mikrocontrollern, in dem die Energieverwaltung, Hardwarekonfiguration, Wärmeüberwachung und alles Weitere verarbeitet wird, das der Hersteller für nützlich hält. Wenn einer dieser Systemvorgänge angefordert wird, wird ein nicht maskierbarer Interrupt (SMI) zur Runtime aufgerufen, der einen vom BIOS installierten SMM-Code ausführt. SMM-Code wird auf der höchsten Berechtigungsebene ausgeführt und ist für das Betriebssystem nicht sichtbar. Dies macht ihn zu einem beliebten Ziel für schädliche Aktivitäten. Selbst wenn System Guard Secure Launch für einen späten Start verwendet wird, kann SMM-Code potenziell auf Hypervisorspeicher zugreifen und Hypervisor ändern.

Zwei Techniken werden zum Abwehren gegen einen solchen Angriff verwendet:

  • Pagingschutz, um unberechtigten Zugriff auf Code und Daten zu verhindern
  • SMM-Hardwareüberwachung und -nachweis

Der Pagingschutz kann implementiert werden, sodass bestimmte Codetabellen schreibgeschützt sind und dadurch Manipulationen verhindert werden. So wird der Zugriff auf alle Speicher verhindert, solange er nicht eigens zugewiesen wurde.

Ein durch Hardware erzwungenes Prozessorfeature, genannt Supervisor-SMI-Handler, kann SMM überwachen und sicherstellen, dass davon auf keinen unberechtigten Teil des Adressraums zugegriffen wird.

SMM-Schutz basiert auf einer funktionierenden Secure Launch-Technologie. Zukünftig misst Windows 10 auch das Verhalten dieses SMI-Handlers und weist nach, dass kein betriebssystemeigener Speicher manipuliert wurde.

Das neuerliche Aktivieren des WDSG-Schutzes kann auf verschiedene Weise erfolgen. Um z. B. den WDSG-Schutz mithilfe des GPO zu aktivieren, müssten Sie die Vorlage „Virtualisierungsbasierte Sicherheit aktivieren“ bereitstellen und die Secure Launch-Konfiguration festlegen:

Abbildung des Editor-Bildschirms für Gruppenrichtlinien namens „Virtualisierungsbasierte Sicherheit aktivieren“

Weitere Informationen zum Aktivieren von System Guard Secure Launch finden Sie unten:

Speicherzugriffsschutz

Windows nutzt die Input/Output Memory Management Unit (IOMMU) des Systems, um das Starten externer Peripheriegeräte und das Ausführen des DMA zu blockieren, es sei denn, die Treiber für diese Peripheriegeräte unterstützen die Speicherisolation (z. B. die DMA-Neuzuordnung). Peripheriegeräte mit Treibern, die mit der DMA-Neuzuordnung kompatibel sind, werden automatisch aufgezählt, gestartet und dürfen die DMA-Neuzuordnung für ihre zugewiesenen Speicherregionen ausführen.

Standardmäßig wird für Peripheriegeräte mit Treibern, die nicht mit der DMA-Neuzuordnung kompatibel sind, das Starten und Ausführen des DMA blockiert, bis sich ein autorisierter Benutzer bei dem System anmeldet oder den Bildschirm entsperrt. IT-Administrator*innen können sicherstellen, dass dieses Standardverhalten auf Geräte mit Treibern angewendet wird, die mit der DMA-Neuzuordnung nicht kompatibel sind, indem sie die DMAGuard MDM-Richtlinien verwenden und auswählen, dass die Richtlinie aktiviert ist.

Abbildung der Editor-Seite für Gruppenrichtlinien. Angezeigt wird die „Aufzählungsrichtlinie für externe, nicht mit dem DMA-Schutz kompatible Geräte“

Erhöhte Anmeldesicherheit (ESS)

Windows Hello ermöglicht Benutzer*innen das Authentifizieren mithilfe ihrer biometrischen Daten oder einer PIN, sodass kein Kennwort benötigt wird. Die biometrische Authentifizierung verwendet Gesichtserkennung oder Fingerabdrücke, um die Identität der Benutzer*innen auf sichere, individuelle und bequeme Weise zu bestätigen. Die erhöhte Anmeldesicherheit bietet zusätzliche Sicherheit, indem spezielle Hardware- und Softwarekomponenten wie die Virtualisierungsbasierte Sicherheit (VBS) und das Trusted Platform Module verwendet werden, um die Authentifizierungsdaten von Benutzer*innen zu isolieren und zu schützen sowie den Kanal zu sichern, durch den diese Daten übertragen werden.

Stellen Sie zum Aktivieren von ESS in einem benutzerdefinierten Image Folgendes sicher:

  1. Authentifizierung mit Gesichtserkennung
    1. „HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SecureBiometrics“ ist auf 1 festgelegt
    2. Der OEM-Secure Camera-Treiber ist installiert
  2. Fingerabdruckauthentifizierung
    1. „HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SecureBiometrics“ ist auf 1 festgelegt
    2. „HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SecureFingerprint“ ist auf 1 festgelegt
    3. Der OEM-Secure Fingerprint-Treiber ist installiert.

Speicherintegrität (HVCI)

Bei der Speicherintegrität, auch als Hypervisor-Protected Code Integrity (HVCI, durch Hypervisor geschützte Codeintegrität) bezeichnet, handelt es sich um ein Feature der Virtualisierungsbasierten Sicherheit (VBS), das wichtigen Schutz und Härtung des Windows-Kernels bereitstellt. Dieses Feature verwendet Virtualisierung, um die Entscheidungsfunktion der Codeintegrität (CI) vom restlichen Windows-Betriebssystem zu isolieren sowie um den Kernelspeicher und die Prozesse sicher zu verwalten, die in dieser Umgebung mit hohen Berechtigungen ausgeführt werden. Verwenden Sie eine dieser Optionen, um HVCI auf Windows 10-Geräten mit Hardwareunterstützung im gesamten Unternehmen zu aktivieren:

Trusted Platform Module

Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der für die Ausführung kryptografischer Vorgänge ausgelegt ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Im Folgenden finden Sie einige Hauptvorteile des Verwendens des TPM:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.
  • Verwenden Sie TPM-Technologie für die Plattform-Geräteauthentifizierung, indem Sie den eindeutigen RSA-Schlüssel des TPM nutzen.
  • Plattformintegrität gewährleisten, indem Sicherheitsmessungen vorgenommen und gespeichert werden.

Die häufigsten TPM-Funktionen werden für Messungen der Systemintegrität sowie für die Erstellung und Verwendung von Schlüsseln verwendet. Während des Systemstarts kann der geladene Startcode (einschließlich Firmware- und Betriebssystemkomponenten) gemessen und im TPM aufgezeichnet werden. Mithilfe der Integritätsmessungen kann nachgewiesen werden, wie ein System gestartet wurde. Darüber hinaus stellen sie sicher, dass ein TPM-basierter Schlüssel erst verwendet wurde, nachdem das System mit der richtigen Software gestartet wurde.

Details zum Konfigurieren von TPMs mit dem GPO finden Sie unter Konfigurationsinformationen zu TPM-Gruppenrichtlinieneinstellungen. Darüber hinaus können Sie zum Konfigurieren des TPM die TPM-Cmdlets verwenden.

Für beide Optionen muss das TPM in der Gerätefirmware aktiviert sein.

Moderne Gerätewartung

Windows Update unterstützt die moderne Gerätewartung, und der Geräte-OEM stellt für Windows Update die entsprechenden Treiber und die Firmware bereit. Unternehmensadministrator*innen müssen nur sicherstellen, dass ihre Geräte von Windows Update gewartet werden können.

UEFI-Firmwareeinstellungen

Beim Ausführen einer Neuabbildung eines Betriebssystems werden die UEFI-Einstellungen nicht geändert. In einem Szenario, in dem Benutzer*innen die UEFI-Einstellungen vor einer Neuabbildung eventuell selbst geändert haben, hilft Folgendes jedoch beim Bestimmen, ob die Einstellungen korrekt sind.

Bereitstellungstools für OEM-Firmwareeinstellungen

Da mehrere Einstellungen von Windows Secured-Core-PCs das Aktivieren spezifischer Firmwareeinstellungen erfordern, müssen Enterprise-Administrator*innen diese entweder direkt auf dem Zielgerät konfigurieren oder indem sie Firmwareeinstellungen über OEM-Bereitstellungstools bereitstellen.

Diese Tools sind direkt vom OEM verfügbar und nicht in diesem Dokument enthalten. Microsoft bietet unter Verwalten und Bereitstellen von Surface-Treiber- und Firmwareupdates Informationen dazu, wie Sie dies für Microsoft Surface-Geräte ausführen.

Sicherer UEFI-Start

Sicherer Start ist ein Sicherheitsstandard, der von der PC-Branche entwickelt wurde, um sicherzustellen, dass ein Gerät nur mit Software startet, die der OEM (Original Equipment Manufacturer) als vertrauenswürdig eingestuft hat. Beim Starten des PCs überprüft die Firmware die Signatur der einzelnen Start-Softwarekomponenten, einschließlich der UEFI-Firmwaretreiber (auch als Options-ROMs bezeichnet), der EFI-Anwendungen und des Betriebssystems. Wenn die Signaturen gültig sind, wird der PC gestartet, und die Firmware übergibt die Kontrolle an das Betriebssystem.

Der OEM kann anhand der Anweisungen des Firmwareherstellers Schlüssel für „Sicherer Start“ erstellen und diese in der PC-Firmware speichern. Enterprise-Administrator*innen müssen ihre Verteilungstools für OEM-Firmwareeinstellungen zum Bereitstellen der benötigten Secure Boot-Firmwareeinstellungen verwenden. Eine allgemeine Beschreibung zum Aktivieren und Deaktivieren des Secure Boot in der Firmware finden Sie unter Aktivieren des Secure Boot.

Firmwarevirtualisierung

Um das Ausführen von virtuellen Computern und mehreren Windows-Sicherheitsdiensten zu unterstützen, muss die Visualisierung für das Gerät in der Gerätefirmware aktiviert sein. Die Optionen der Firmware hängen davon ab, ob das Gerät über eine Intel- oder AMD-Plattform verfügt. Für Geräte mit einer Intel-Plattform müssen Sie „Intel Virtualization Technology (Intel VT)“ aktivieren und „AMD Virtualization Technology (AMD-V)“ für Geräte mit einer AMD-Plattform.