Windows-Sicherheitsgrundlagen

  • Artikel

Microsoft ist bestrebt, kontinuierlich in die Verbesserung des Softwareentwicklungsprozesses zu investieren, hochgradig sichere Software zu entwickeln und Sicherheitskonformitätsanforderungen zu erfüllen. Bei Microsoft werden Sicherheits- und Datenschutzüberlegungen aus den frühesten Lebenszyklusphasen in alle Softwareentwicklungsprozesse eingebunden. Sicherheit wird von Grund auf integriert, um eine leistungsstarke Verteidigung in der heutigen Bedrohungsumgebung zu schaffen.

Die starken Sicherheitsgrundlagen nutzen Microsoft Security Development Lifecycle (SDL) Bug Bounty, Unterstützung für Produktsicherheitsstandards und -zertifizierungen sowie Azure-Codesignatur. Somit wird die Sicherheit verbessert, indem die erstellte Software von vorne herein weniger Fehler und Sicherheitsrisiken aufweist, anstatt sich darauf zu verlassen, dass nach dem Erkennen von Sicherheitsrisiken Updates angewendet werden.

Verwenden Sie die Links in der folgenden Tabelle, um mehr über die Sicherheitsgrundlagen zu erfahren:

Offensive Forschung

Featurename Beschreibung
Microsoft Security Development Lifecycle (SDL) Der Microsoft Security Development Lifecycle (SDL) führt bewährte Sicherheitsmethoden, Tools und Prozesse in allen Entwicklungs- und Entwicklungsphasen ein.
OneFuzz-Dienst Eine Reihe von Tools und Techniken – z. B. Bedrohungsmodellierung, statische Analyse, Fuzztests und Codequalitätsprüfungen – ermöglichen es jedem Techniker im Team, vom ersten Tag an einen kontinuierlichen Sicherheitswert in Windows zu integrieren. Durch die SDL-Methoden erhalten Microsoft-Techniker kontinuierlich umsetzbare und aktuelle Methoden zur Verbesserung von Entwicklungsworkflows und der allgemeinen Produktsicherheit, bevor der Code veröffentlicht wurde.
Microsoft Windows Insider Preview Bounty-Programm Im Rahmen unseres sicheren Entwicklungsprozesses lädt das Microsoft Windows Insider Preview-Bounty-Programm berechtigte Forscher auf der ganzen Welt ein, Sicherheitsrisiken zu finden und einzureichen, die sich im neuesten Windows Insider Preview (WIP) Dev Channel reproduzieren. Das Ziel des Windows Insider Preview Bounty-Programms besteht darin, erhebliche Sicherheitsrisiken aufzudecken, die direkte und nachweisbare Auswirkungen auf die Sicherheit von Kunden haben, die die neueste Version von Windows verwenden.

Durch diese Zusammenarbeit mit Forschern auf der ganzen Welt identifizieren unsere Teams kritische Sicherheitsrisiken, die zuvor während der Entwicklung nicht gefunden wurden, und beheben die Probleme schnell, bevor das endgültige Windows veröffentlicht wird.

Certification

Featurename Beschreibung
Common Criteria-Zertifizierungen Common Criteria (CC) ist ein internationaler Standard, der derzeit von nationalen Regierungen aufrechterhalten wird, die sich an der Vereinbarung zur Anerkennung gemeinsamer Kriterien beteiligen. CC definiert eine gemeinsame Taxonomie für Sicherheitsfunktionsanforderungen, Sicherheitsüberprüfungsanforderungen und eine Bewertungsmethodik, die verwendet wird, um sicherzustellen, dass die bewerteten Produkte die Funktionalen und Zuverlässigkeitsanforderungen erfüllen. Microsoft stellt sicher, dass Produkte die Features und Funktionen enthalten, die für relevante Common Criteria-Schutzprofile erforderlich sind, und schließt Common Criteria-Zertifizierungen von Microsoft Windows-Produkten ab.
FiPS 140-Validierung (Federal Information Processing Standard) Der Federal Information Processing Standard (FIPS) Publication 140 ist ein US-Regierungsstandard, der die Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten definiert. Microsoft setzt sich aktiv dafür ein, die Anforderungen des FIPS 140-Standards zu erfüllen, da kryptografische Module seit seiner Einführung im Jahr 2001 anhand von FIPS 140-2 überprüft wurden. Mehrere Microsoft-Produkte, einschließlich Windows 11, Windows 10, Windows Server und viele Clouddienste, verwenden diese Kryptografiemodule.

Sichere Lieferkette

Featurename Beschreibung
Software Bill of Materials (SBOM) SBOMs werden genutzt, um die Transparenz und Herkunft der Inhalte zu gewährleisten, während sie sich durch verschiedene Phasen der Windows-Lieferkette bewegen. Dies ermöglicht das Vertrauen zwischen den einzelnen Lieferkettensegmenten, stellt sicher, dass während der Erfassung und unterwegs keine Manipulationen stattgefunden haben, und bietet eine nachweisbare Verwahrungskette für das Produkt, das wir an Kunden versenden.
Azure-Codesignatur Windows Defender Anwendungssteuerung (WDAC) können Kunden Richtlinien definieren, um zu steuern, was auf ihren Geräten ausgeführt werden darf. WDAC-Richtlinien können mithilfe einer MDM-Lösung wie Microsoft Intune remote auf Geräte angewendet werden.

Um die WDAC-Aktivierung zu vereinfachen, können Organisationen die Azure-Codesignatur nutzen, einen sicheren und vollständig verwalteten Dienst zum Signieren von WDAC-Richtlinien und -Apps.

Azure Code Signing minimiert die Komplexität der Codesignierung mit einem schlüsselfertigen Dienst, der von einer von Microsoft verwalteten Zertifizierungsstelle unterstützt wird, und entfällt die Notwendigkeit, Signaturzertifikate zu beschaffen und selbst zu verwalten. Der Dienst wird wie jede andere Azure-Ressource verwaltet und lässt sich problemlos in die führenden Entwicklungs- und CI/CD-Toolsets integrieren.
Windows Application Software Development Kit (SDK) Entwickler haben die Möglichkeit, äußerst sichere Anwendungen zu entwerfen, die von den neuesten Windows-Sicherheitsvorkehrungen profitieren. Die Windows App SDK bietet einen einheitlichen Satz von APIs und Tools für die Entwicklung sicherer Desktop-Apps für Windows. Um Apps zu erstellen, die auf dem neuesten Stand und geschützt sind, befolgt das SDK dieselben Sicherheitsstandards, Protokolle und Compliance wie das Windows-Kernbetriebssystem.