Windows-Hardwaresicherheit
Erfahren Sie mehr über die Unterstützung von Hardwaresicherheitsfeatures in Windows.
Hardwarestamm der Vertrauenswürdigkeit
Featurename | Beschreibung |
---|---|
Windows Defender-Systemüberwachung | Auf Secured-Core-PCs schützt Windows Defender Systemüberwachung Secure Launch den Start mit einer Technologie, die als Dynamic Root of Trust for Measurement (DRTM) bekannt ist. Bei DRTM folgt das System zunächst dem normalen UEFI Secure Boot-Prozess. Vor dem Start wechselt das System jedoch in einen hardwaregesteuerten vertrauenswürdigen Zustand, der die CPU(n) in einen hardwaregeschützten Codepfad zwingt. Wenn ein Rootkit/Bootkit von Schadsoftware den sicheren UEFI-Start umgangen hat und sich im Arbeitsspeicher befindet, verhindert DRTM den Zugriff auf Geheimnisse und kritischen Code, der durch die virtualisierungsbasierte Sicherheitsumgebung geschützt wird. Die Firmware Attack Surface Reduction-Technologie kann anstelle von DRTM auf unterstützenden Geräten wie Microsoft Surface verwendet werden. |
Trusted Platform Module (TPM) | TPMs bieten Sicherheits- und Datenschutzvorteile für Systemhardware, Plattformbesitzer und Benutzer. Windows Hello, BitLocker, Windows Defender Systemüberwachung und anderen Windows-Features basieren auf dem TPM für Funktionen wie Schlüsselgenerierung, sicherer Speicher, Verschlüsselung, Startintegritätsmessungen und Nachweise. Die Version 2.0 der Spezifikation enthält Unterstützung für neuere Algorithmen, die die Treibersignatur und die Leistung der Schlüsselgenerierung verbessern können. Ab Windows 10 erfordert die Hardwarezertifizierung von Microsoft, dass alle neuen Windows-PCs tpm 2.0 standardmäßig integriert und aktiviert enthalten. Mit Windows 11 müssen sowohl neue als auch aktualisierte Geräte ÜBER TPM 2.0 verfügen. |
Microsoft Pluton | Microsoft Pluton-Sicherheitsprozessoren werden von Microsoft in Zusammenarbeit mit Silicon-Partnern entwickelt. Pluton verbessert den Schutz von Windows-Geräten mit einem Hardwarevertrauensgrund, der zusätzlichen Schutz für kryptografische Schlüssel und andere Geheimnisse bietet. Pluton wurde entwickelt, um die Angriffsfläche zu reduzieren, da es den Sicherheitschip direkt in den Prozessor integriert. Es kann mit einem diskreten TPM 2.0 oder als eigenständiger Sicherheitsprozessor verwendet werden. Wenn sich der Vertrauensstamm auf einem separaten, diskreten Chip auf der Hauptplatine befindet, kann der Kommunikationspfad zwischen dem Vertrauensstamm und der CPU anfällig für physische Angriffe sein. Pluton unterstützt den TPM 2.0-Industriestandard, sodass Kunden sofort von der verbesserten Sicherheit in Windows-Features profitieren können, die auf TPMs wie BitLocker, Windows Hello und Windows Defender Systemüberwachung basieren. Neben dem Vertrauensstamm unterstützt Pluton auch andere Sicherheitsfunktionen, die über das hinausgehen, was mit der TPM 2.0-Spezifikation möglich ist, und diese Erweiterbarkeit ermöglicht es, zusätzliche Pluton-Firmware- und Betriebssystemfeatures im Laufe der Zeit über Windows Update bereitzustellen. Pluton-fähige Windows 11-Geräte sind verfügbar und die Auswahl an Optionen mit Pluton wächst. |
Siliziumunterstützte Sicherheit
Featurename | Beschreibung |
---|---|
Virtualisierungsbasierte Sicherheit (VBS) | Neben einem modernen Hardware-Vertrauensstamm gibt es zahlreiche weitere Funktionen in den neuesten Chips, die das Betriebssystem vor Bedrohungen absichern, z. B. durch den Schutz des Startprozesses, den Schutz der Integrität des Arbeitsspeichers, das Isolieren sicherheitsrelevanter Computelogik und vieles mehr. Zwei Beispiele sind virtualisierungsbasierte Sicherheit (VBS) und Hypervisor-geschützte Codeintegrität (HVCI). Virtualisierungsbasierte Sicherheit (VBS), auch als Kernisolation bezeichnet, ist ein wichtiger Baustein in einem sicheren System. VBS verwendet Hardwarevirtualisierungsfeatures, um einen sicheren Kernel zu hosten, der vom Betriebssystem getrennt ist. Das bedeutet, dass der sichere Kernel auch dann geschützt bleibt, wenn das Betriebssystem kompromittiert wird. Ab Windows 10 müssen alle neuen Geräte mit Firmwareunterstützung für VBS und HCVI ausgeliefert werden, die standardmäßig im BIOS aktiviert ist. Kunden können dann die Betriebssystemunterstützung in Windows aktivieren. Bei neu installierten Windows 11 ist die Betriebssystemunterstützung für VBS und HVCI standardmäßig für alle Geräte aktiviert, die die Voraussetzungen erfüllen. |
Hypervisorgeschützte Codeintegrität (HVCI) | Hypervisor-geschützte Codeintegrität (HVCI), auch als Speicherintegrität bezeichnet, verwendet VBS zum Ausführen der Kernelmoduscodeintegrität (Kernel Mode Code Integrity, KMCI) innerhalb der sicheren VBS-Umgebung anstelle des Standard Windows-Kernels. Dies trägt dazu bei, Angriffe zu verhindern, die versuchen, Kernelmoduscode zu ändern, z. B. Treiber. Die KMCI-Rolle besteht darin, zu überprüfen, ob der gesamte Kernelcode ordnungsgemäß signiert ist und nicht manipuliert wurde, bevor er ausgeführt werden darf. HVCI trägt dazu bei, sicherzustellen, dass nur überprüfter Code im Kernelmodus ausgeführt werden kann. Ab Windows 10 müssen alle neuen Geräte mit Firmwareunterstützung für VBS und HCVI ausgeliefert werden, die standardmäßig im BIOS aktiviert ist. Kunden können dann die Betriebssystemunterstützung in Windows aktivieren. Bei neu installierten Windows 11 ist die Betriebssystemunterstützung für VBS und HVCI standardmäßig für alle Geräte aktiviert, die die Voraussetzungen erfüllen. |
Hardware-erzwungener Stack-Schutz | Hardware-erzwungener Stapelschutz integriert Software und Hardware für einen modernen Schutz vor Cyberbedrohungen wie Speicherbeschädigung und Zero-Day-Exploits. Basierend auf der Control-Flow Enforcement Technology (CET) von Intel und AMD Shadow Stacks dient der hardwaregestützte Stapelschutz zum Schutz vor Exploit-Techniken, die versuchen, Rückgabeadressen auf dem Stapel zu kapern. |
Kernel-DMA-Schutz (Direct Memory Access, direkter Speicherzugriff) | Kernel-DMA-Schutz schützt vor externen Peripheriegeräten vor unbefugtem Zugriff auf den Arbeitsspeicher. Physische Bedrohungen wie DMA-Angriffe (Drive-by Direct Memory Access) treten in der Regel schnell auf, während der Systembesitzer nicht anwesend ist. PCIe-Hot-Plug-Geräte wie Thunderbolt, USB4 und CFexpress ermöglichen es Benutzern, neue Klassen von externen Peripheriegeräten, einschließlich Grafikkarten oder andere PCI-Geräte, mit der Plug-and-Play-Leichtigkeit von USB an ihre PCs anzufügen. Da PCI-Hot-Plug-Ports extern und leicht zugänglich sind, sind Geräte anfällig für Drive-by-DMA-Angriffe. |
Secured-Core-PC
Featurename | Beschreibung |
---|---|
Geschützter PC-Firmwareschutz | Microsoft hat mit OEM-Partnern zusammengearbeitet, um eine spezielle Kategorie von Geräten namens Secured-Core-PCs anzubieten. Die Geräte werden mit zusätzlichen Sicherheitsmaßnahmen ausgeliefert, die auf der Firmwareebene oder dem Gerätekern aktiviert sind, die Windows zugrunde legen. Secured-Core-PCs tragen dazu bei, Schadsoftwareangriffe zu verhindern und Firmwarerisiken zu minimieren, indem sie beim Start mit einem hardwaregestützten Vertrauensstamm in einen sauber und vertrauenswürdigen Zustand starten. Virtualisierungsbasierte Sicherheit ist standardmäßig aktiviert. Mit integriertem Hypervisor geschützter Codeintegrität (HVCI), der den Systemspeicher abschirmt, stellen Secured-Core-PCs sicher, dass alle ausführbaren Dateien nur von bekannten und genehmigten Behörden signiert werden. Secured-Core-PCs schützen auch vor physischen Bedrohungen wie Drive-by-DMA-Angriffen (Direct Memory Access). |
Secured-Core-Konfigurationssperre | Die Konfigurationssperre für geschützte Kerne ist ein ScPC-Feature (Secured-Core PC), das verhindert, dass Benutzer unerwünschte Änderungen an Sicherheitseinstellungen vornehmen können. Mit der Konfigurationssperre überwacht das Betriebssystem die Registrierungsschlüssel, die jedes Feature konfigurieren, und wenn es eine Abweichung erkennt, wird in Sekunden wieder auf den von der IT gewünschten SCPC-Zustand zurückgesetzt. |