Zero Trust und Windows-Geräteintegrität
Organisationen benötigen ein Sicherheitsmodell, das sich effektiver an die Komplexität der modernen Arbeitsumgebung anpasst. IT-Administratoren müssen den Hybridarbeitsplatz nutzen und gleichzeitig Personen, Geräte, Apps und Daten schützen, unabhängig davon, wo sie sich befinden. Die Implementierung eines Zero Trust Modells für die Sicherheit hilft, die komplexen Umgebungen von heute zu bewältigen.
Die Zero Trust Prinzipien sind:
- Explizite Überprüfung. Immer authentifizieren und autorisieren basierend auf allen verfügbaren Datenpunkten, einschließlich Benutzeridentität, Standort, Geräteintegrität, Dienst oder Workload, Datenklassifizierung und Überwachen von Anomalien
- Verwenden Sie den Zugriff mit den geringsten Rechten. Einschränken des Benutzerzugriffs mit Just-In-Time- und Just-Enough-Zugriff, risikobasierten adaptiven Richtlinien und Datenschutz, um Daten zu schützen und die Produktivität aufrechtzuerhalten
- Gehen Sie von einer Sicherheitsverletzung aus. Verhindern Sie, dass Angreifer Zugriff erhalten, um potenzielle Schäden an Daten und Systemen zu minimieren. Schützen sie privilegierte Rollen, überprüfen Sie die End-to-End-Verschlüsselung, verwenden Sie Analysen, um Sichtbarkeit zu erhalten, und fördern Sie die Bedrohungserkennung, um den Schutz zu verbessern.
Das Zero Trust Konzept der Überprüfung gilt explizit für die Risiken, die sowohl von Geräten als auch von Benutzern entstehen. Windows aktiviert Funktionen zum Nachweis der Geräteintegrität und bedingten Zugriff , die verwendet werden, um Zugriff auf Unternehmensressourcen zu gewähren.
Der bedingte Zugriff wertet Identitätssignale aus, um zu bestätigen, dass Benutzer diejenigen sind, die sie sind, bevor sie Zugriff auf Unternehmensressourcen erhalten.
Windows 11 unterstützt den Nachweis der Geräteintegrität, um zu bestätigen, dass geräte in einem guten Zustand sind und nicht manipuliert wurden. Diese Funktion hilft Benutzern beim Zugriff auf Unternehmensressourcen, unabhängig davon, ob sie sich im Büro, zu Hause oder auf Reisen befinden.
Der Nachweis hilft dabei, die Identität und status wesentlicher Komponenten zu überprüfen und sicherzustellen, dass das Gerät, die Firmware und der Startprozess nicht geändert wurden. Informationen zur Firmware, zum Startprozess und zur Software werden verwendet, um den Sicherheitsstatus des Geräts zu überprüfen. Diese Informationen werden kryptografisch im Tpm (Trusted Platform Module) des Sicherheits-Co-Prozessors gespeichert. Sobald das Gerät bestätigt wurde, kann ihm Zugriff auf Ressourcen gewährt werden.
Geräteintegritätsnachweis unter Windows
Während des Startvorgangs können viele Sicherheitsrisiken auftreten, da dieser Prozess die privilegierteste Komponente des gesamten Systems sein kann. Der Überprüfungsprozess verwendet den Remotenachweis als sicheren Kanal, um die Integrität des Geräts zu bestimmen und darzustellen. Der Remotenachweis bestimmt Folgendes:
- Wenn das Gerät als vertrauenswürdig eingestuft werden kann
- Wenn das Betriebssystem ordnungsgemäß gestartet wurde
- Wenn für das Betriebssystem die richtigen Sicherheitsfeatures aktiviert sind
Diese Bestimmung erfolgt mithilfe eines sicheren Vertrauensstamms mithilfe des Trusted Platform Module (TPM). Geräte können nachweisen, dass das TPM aktiviert ist und dass das Gerät nicht manipuliert wurde.
Windows enthält viele Sicherheitsfeatures, um Benutzer vor Schadsoftware und Angriffen zu schützen. Das Vertrauen der Windows-Sicherheitskomponenten kann jedoch nur erreicht werden, wenn die Plattform wie erwartet gestartet und nicht manipuliert wurde. Windows basiert auf Unified Extensible Firmware Interface (UEFI) Secure Boot, Early-Launch Antimalware (ELAM), Dynamic Root of Trust for Measurement (DRTM), Trusted Boot und anderen Low-Level-Hardware- und Firmwaresicherheitsfeatures. Wenn Sie Ihren PC einschalten, bis die Antischadsoftware gestartet wird, wird Windows mit der entsprechenden Hardwarekonfiguration unterstützt, um Ihre Sicherheit zu gewährleisten. Gemessener und vertrauenswürdiger Start, der von Bootloadern und BIOS implementiert wird, überprüft und zeichnet jeden Schritt des Starts auf verkettete Weise kryptografisch auf. Diese Ereignisse sind an einen Sicherheitskoprozessor (SECURITY Coprocessor, TPM) gebunden, der als Stamm der Vertrauensstellung fungiert. Der Remotenachweis ist der Mechanismus, mit dem diese Ereignisse von einem Dienst gelesen und überprüft werden, um einen überprüfbaren, unvoreingenommenen und manipulationssicheren Bericht bereitzustellen. Der Remotenachweis ist der vertrauenswürdige Prüfer des Systemstarts, der bestimmten Entitäten ermöglicht, dem Gerät zu vertrauen.
Eine Zusammenfassung der Schritte, die für den Nachweis und die Zero Trust auf der Geräteseite erforderlich sind, ist wie folgt:
Bei jedem Schritt des Startvorgangs, z. B. beim Laden von Dateien, aktualisieren von speziellen Variablen und mehr, werden Informationen wie Dateihashes und Signatur in den TPM-PCRs gemessen. Die Messungen sind an eine Trusted Computing Group-Spezifikation (TCG ) gebunden, die vorgibt, welche Ereignisse aufgezeichnet werden können und wie die einzelnen Ereignisse formatiert werden.
Nach dem Start von Windows fordert der Nachweiser/Prüfer das TPM auf, die in seinem Plattformkonfigurationsregister (Platform Configuration Register, PCR) gespeicherten Messungen zusammen mit einem TCG-Protokoll abzurufen. Die Messungen in beiden Komponenten bilden zusammen den Nachweisnachweis, der dann an den Nachweisdienst gesendet wird.
Das TPM wird mithilfe der Schlüssel/kryptografischen Materialien überprüft, die auf dem Chipsatz mit einem Azure-Zertifikatdienst verfügbar sind.
Diese Informationen werden dann an den Nachweisdienst in der Cloud gesendet, um zu überprüfen, ob das Gerät sicher ist. Microsoft Endpoint Manger ist in Microsoft Azure Attestation integriert, um die Geräteintegrität umfassend zu überprüfen und diese Informationen mit Microsoft Entra bedingten Zugriff zu verbinden. Diese Integration ist der Schlüssel für Zero Trust Lösungen, die dabei helfen, eine Vertrauensstellung an ein nicht vertrauenswürdiges Gerät zu binden.
Der Nachweisdienst führt die folgenden Aufgaben aus:
- Überprüfen Sie die Integrität des Beweismaterials. Diese Überprüfung erfolgt durch Überprüfen der PCRs, die mit den Werten übereinstimmen, die durch Wiedergabe des TCG-Protokolls neu berechnet wurden.
- Vergewissern Sie sich, dass das TPM über einen gültigen Nachweisidentitätsschlüssel verfügt, der vom authentifizierten TPM ausgestellt wurde.
- Vergewissern Sie sich, dass die Sicherheitsfeatures den erwarteten Status aufweisen.
Der Nachweisdienst gibt einen Nachweisbericht zurück, der Informationen zu den Sicherheitsfeatures basierend auf der im Nachweisdienst konfigurierten Richtlinie enthält.
Das Gerät sendet den Bericht dann an die Microsoft Intune Cloud, um die Vertrauenswürdigkeit der Plattform gemäß den vom Administrator konfigurierten Gerätekonformitätsregeln zu bewerten.
Bedingter Zugriff und Gerätekonformitätsstatus entscheiden dann, den Zugriff zuzulassen oder zu verweigern
Weitere Ressourcen
Weitere Informationen zu Microsoft Zero Trust-Lösungen finden Sie im Zero Trust Guidance Center.