Sicherheit und Schutz (Übersicht)
Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Diese Sammlung enthält Beschreibungen und Links zu Informationen über Änderungen an Sicherheitstechnologien in Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8.
Die folgende Tabelle enthält Links zu verfügbaren Informationen über Sicherheitstechnologien und Features für Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8, die sich an IT-Experten richten. Weitere Technologien und Features werden dieser Tabelle hinzugefügt werden, sobald die Inhalte verfügbar sind.
Feature oder Technologie |
Übersicht |
Änderungen bei Windows Server 2012 R2 |
Änderungen bei Windows Server 2012 |
|---|---|---|---|
Zugriffssteuerung |
Die Zugriffssteuerung trägt zum Schutz von Dateien, Anwendungen und anderen Ressourcen vor nicht autorisierter Verwendung bei. |
Die Sicherheitsgruppe „geschützte Benutzer“ und Authentifizierungsrichtliniensilos fügen weiteren Schutz von Anmeldeinformationen hinzu. Die Verwaltung erfolgt mithilfe der Active Directory-Domänendienste. Im RDS-Client (Remote Desktop Services) ist ein eingeschränkter Verwaltungsmodus verfügbar. Weitere Informationen finden Sie unter Schutz und Verwaltung von Anmeldeinformationen. |
Es wurde die Möglichkeit hinzugefügt, freigegebene Ordner und Dateien durch dynamische regelbasierte Richtlinien zu schützen. Weitere Informationen finden Sie unter Dynamische Zugriffsteuerung: Szenarioübersicht Der ACL-Editor wurde neu gestaltet und zeigt wichtige Informationen zum Bewerten und Verwalten der Zugriffssteuerung übersichtlicher an. Weitere Informationen finden Sie unter Erweiterter ACL-Editor. |
AppLocker |
Technische Übersicht über AppLocker AppLocker bietet richtlinienbasierte Verwaltung der Zugriffssteuerung für Anwendungen. |
Um Sie bei der Prozessanalyse zu unterstützen, erfasst AppLocker zur Laufzeit für jeden Prozess Befehlsinformationen und schreibt diese Daten in das Sicherheitsprotokoll mit einem Vermerk ähnlich: „Das System versucht, einen Prozess mit folgenden Attributen zu starten:“. |
Es wurden Funktionen für das Festlegen von Regeln für App-Pakete hinzugefügt, die zur Verwaltung von Windows Store-Apps beitragen. Weitere Informationen finden Sie unter Regeln für Paket-Apps und Paket-App-Installer in AppLocker. |
BitLocker |
Mit BitLocker-Laufwerkverschlüsselung können Sie alle Daten verschlüsseln, die auf dem Betriebssystemvolume und konfigurierten Datenvolumes für Computer gespeichert sind, auf denen unterstützte Versionen von Windows ausgeführt werden. Mit dem TPM (Trusted Platform Module) kann die Integrität früher Startkomponenten gewährleistet werden. |
Die Unterstützung für zusätzliche Plattformen wurde erweitert. Das Wiederherstellungskennwort ist jetzt FIPS-kompatibel. Weitere Informationen finden Sie unter Neues in BitLocker. |
Es wurden Verbesserungen für Methoden zur Bereitstellung und Verschlüsselung hinzugefügt sowie die Möglichkeit für Standardbenutzer, ihre PINs zu ändern, die Unterstützung verschlüsselter Festplatten und ein Feature zum Entsperren des Netzwerks. Weitere Informationen finden Sie unter Neuigkeiten in BitLocker für Windows 8 und Windows Server 2012 [umgeleitet]. |
Schließfach für Anmeldeinformationen |
Übersicht über das Schließfach für Anmeldeinformationen Das Schließfach für Anmeldeinformationen wird über die Systemsteuerung durch die Anmeldeinformationsverwaltung verwaltet und unterstützt die meisten Verbraucherszenarios. |
Die Speicherung von Anmeldeinformationen wurde für Apps erweitert, die Web Authentication Broker verwenden können, und für jede Website können Standardanmeldeinformationen festgelegt werden. |
Es wurde die Möglichkeit hinzugefügt, Windows Store-Apps so zu programmieren, dass das Schließfach für Anmeldeinformationen verwendet wird, und das Verfahren servergespeicherte Anmeldeinformationen (für in die Domäne eingebundene Computer deaktiviert) wurde verbessert. Weitere Informationen finden Sie unter Neue und geänderte Funktionalität. |
Schutz von Anmeldeinformationen |
Schutz und Verwaltung von Anmeldeinformationen. Es wurden neue Techniken und Funktionen zur Verwaltung und den Schutz von Anmeldeinformationen während der Authentifizierung hinzugefügt. |
Es wurden zusätzliche Konfigurationsoptionen für den LSA-Schutz, eine neue Sicherheitsgruppe, neue Möglichkeiten für das Gruppieren von Benutzern und zum Anwenden spezifische Authentifizierungsrichtlinien hinzugefügt. Weitere Informationen finden Sie unter Schutz und Verwaltung von Anmeldeinformationen |
Nicht verfügbar |
Verschlüsselte Festplatte |
Verschlüsselte Festplatte ist ein BitLocker-Feature, mit dem die Datensicherheit erhöht und die Datenverwaltung verbessert wird. |
Geräteverschlüsselung ist in den meisten Editionen von Windows verfügbar. Weitere Informationen finden Sie unter Geräteverschlüsselung. |
Eingeführt in Windows Server 2012 und Windows 8. Weitere Informationen finden Sie unter Unterstützung verschlüsselter Festplatten für Windows. |
Exchange ActiveSync-Richtlinienmodul |
Übersicht über Exchange ActiveSync-Richtlinie-Modul Satz von APIs, mit denen Apps EAS-Richtlinien auf Desktops, Laptops und Tablets anwenden können, um Daten zu schützen, die mit der Cloud synchronisiert werden, beispielsweise Daten von Exchange Server. |
In bestimmten Fällen werden Biometriemethoden nicht deaktiviert, wenn die maximale Anzahl fehlerhafter Versuche überschritten wird. Weitere Informationen finden Sie unter Neue und geänderte Funktionalität. |
Eingeführt in Windows Server 2012. |
Gruppenverwaltete Dienstkonten |
Gruppenverwaltete Dienstkonten: Übersicht Das gruppenverwaltete Dienstkonto bietet die gleiche Funktionalität wie das eigenständige verwaltete Dienstkonto innerhalb der Domäne, weitet diese Funktionalität jedoch zudem auf mehrere Server aus. |
Keine Änderungen. |
Das gruppenverwaltete Dienstkonto wurde hinzugefügt. Weitere Informationen finden Sie unter Neues für verwaltete Dienstkonten. |
Kerberos |
Kerberos-Authentifizierung: Übersicht Das Kerberos-Protokoll ist ein Authentifizierungsmechanismus zur Identifizierung einer Benutzer- oder Hostidentität. |
Das Verhalten wurde für den Fall geändert, dass das Konto in der Sicherheitsgruppe für geschützte Benutzer enthalten ist. Weitere Informationen finden Sie unter Schutz und Verwaltung von Anmeldeinformationen. |
Es treten aufgrund größerer Diensttickets weniger Authentifizierungsfehler auf, und es wurden Änderungen für Entwickler und IT-Fachpersonal, bei den Standardwerten für die KDC-Validierung bei der Smartcard-Anmeldung sowie Verbesserungen für Konfiguration und Wartung hinzugefügt. Wichtig Für in die Domäne eingebundene Geräte wurde die Standardeinstellung so geändert, dass eine Smartcard-Anmeldung jetzt erfordert, dass das KDC-Zertifikat in der Zertifizierungskette auf eine Zertifizierungsstelle im NTAuth-Speicher zurückgeht. Weitere Informationen finden Sie unter Neues bei der Kerberos-Authentifizierung |
Richtlinieneinstellungen für lokale Computer |
Sicherheitsrichtlinieneinstellungen: Übersicht Sicherheitsrichtlinieneinstellungen sind die konfigurierbaren Regeln, die vom Betriebssystem befolgt werden, wenn es als Reaktion auf eine Ressourcenzugriffsanforderung die zu erteilenden Berechtigungen ermittelt. Administrative Vorlagen für Gruppenrichtlinien können auch zur Sicherheitsverwaltung verwendet werden. |
Die Richtlinieneinstellung Systemkryptografie: Verwenden Sie FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur wurde an Änderungen des BitLocker-Kennwortwiederherstellungsvorgangs angepasst. Zur verbesserten Prozessüberwachung wurde Prozesserstellung überwachen dem Knoten System von Administrative Vorlagen unter Computerkonfiguration hinzugefügt. |
Es wurden neue Sicherheitsrichtlinien zur Verbesserung der Sicherheitsverwaltung hinzugefügt. Weitere Informationen finden Sie unter Neue und geänderte Funktionalität. |
NTLM |
Die NTLM-Authentifizierungsprotokolle beruhen auf einem Herausforderungs- und Antwortmechanismus, mit dem Server oder Domänencontroller nachweisen können, dass ein Benutzer das mit einem Konto verknüpfte Kennwort kennt. |
Das Verhalten wurde für den Fall geändert, dass das Konto in der Sicherheitsgruppe für geschützte Benutzer enthalten ist. Weitere Informationen finden Sie unter Sicherheitsgruppe "Geschützte Benutzer". |
Keine Änderungen. |
Kennwörter |
Die häufigste Methode zum Authentifizieren einer Benutzeridentität ist die Verwendung einer geheimen Passphrase oder eines Passworts im Rahmen des Anmeldeprozesses. |
Keine Änderungen. Microsoft bietet auch andere Mittel für den Nachweis der Identität an. Weitere Informationen finden Sie unter Smartcard: Übersicht und Virtuelle Smartcards. |
Keine Änderungen. |
Sicherheitsüberwachung |
Sicherheitsüberprüfung: Übersicht Die Sicherheitsüberwachung soll dazu beitragen, erfolgreiche und nicht erfolgreiche Angriffe zu identifizieren, die eine Bedrohung für das Netzwerk darstellen, oder Angriffe auf Ressourcen, die Sie im Rahmen einer Risikobewertung als wertvoll eingestuft haben. |
Keine Änderungen. |
Es wurden ausdrucksbasierte Überwachungsrichtlinien hinzugefügt sowie verbesserte Möglichkeiten zur Überwachung neuer Typen sicherungsfähiger Objekte und Wechselmediengeräte. Weitere Informationen finden Sie unter What's New in Security Auditing. |
Sicherheitskonfigurations-Assistent |
Sicherheitskonfigurations-Assistent Der Sicherheitskonfigurations-Assistent ist ein Tool zur Verkleinerung der Angriffsfläche. Er hilft Administratoren bei der Erstellung von Sicherheitsrichtlinien auf Basis der Mindestfunktionalität, die für die Rollen eines Servers erforderlich ist. |
Keine Änderungen. |
Keine Änderungen. |
Smartcards |
Smartcards sind eine manipulationsresistente und transportable Sicherheitslösung für Aufgaben wie Clientauthentifizierung, Anmeldung bei Domänen, Codesignatur und Schutz von E-Mails. |
Der Vorgang zum Registrieren TPM-fähiger Geräte als virtuelle Smartcard-Geräte wurde verbessert. APIs wurden hinzugefügt, um den Registrierungsprozess zu vereinfachen, damit Geräte leichter mit einer virtuellen Smartcard registriert werden können, unabhängig von der Hardware oder davon, ob sie in eine Domäne eingebunden sind. |
Die Benutzerführung der Smartcard-Anmeldung wurde geändert, sowie das Start- und Beendigungsverhalten der Dienste und die Smartcard-Transaktionen, indem Unterstützung von Windows RT-Geräten und Windows 8-Anwendungen hinzugefügt wurden. Weitere Informationen finden Sie unter Neues bei Smartcards. |
Richtlinien für die Softwareeinschränkung |
Richtlinien für Softwareeinschränkungen (Übersicht) Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. |
Keine Änderungen. |
Keine Änderungen. AppLocker hat mehr Flexibilität bei der Steuerung unternehmensinterner Programme. Weitere Informationen finden Sie unter Technische Übersicht über AppLocker. |
TLS/SSL (Schannel SSP) |
Übersicht über TLS/SSL (Schannel SSP) Schannel ist ein Sicherheitsdienstanbieter (Security Support Provider, SSP), der die Internet-Standardauthentifizierungsprotokolle SSL (Secure Sockets Layer) und TSL (Transport Layer Security) implementiert. |
Serverseitig wird RFC 5077 unterstützt (TLS/SSL-Sitzungswiederaufnahme ohne Erweiterung des serverseitigen Zustands). Es wurde clientseitig das Aushandeln des Anwendungsprotokolls hinzugefügt. Weitere Informationen finden Sie unter Neues in TLS/SSL (Schannel SSP) in Windows Server 2012 R2 und Windows 8.1. |
Die Verwaltungsmöglichkeiten für vertrauenswürdige Aussteller zur Clientauthentifizierung wurden geändert und TLS-Unterstützung für SNI-Erweiterungen (Server Name Indicator, Servernamensanzeige) sowie Datagram Transport Layer Security (DTLS) hinzufügt. Weitere Informationen finden Sie unter Neues in TLS/SSL (Schannel SSP) in Windows Server 2012 und Windows 8. |
Trusted Platform Module (TPM) |
Trusted Platform Module – Technologieübersicht Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. |
Es wurden Verbesserungen am TPM-Schlüsselspeicheranbieter für den Nachweis von Plattformen und Schlüsseln vorgenommen. Weitere Informationen finden Sie unter Widerstand gegen Schadsoftware und Neues für das TPM in Windows 8.1. |
Verwaltung und Funktionalität wurden verbessert, einschließlich automatisierter Bereitstellung und Verwaltung, kontrollierter Start mit Unterstützung für Nachweise, TPM-basierter virtueller Smartcard und sicherem Speicher für wichtige Elemente. Weitere Informationen finden Sie unter Neue und geänderte Funktionalität. |
Benutzerkontosteuerung (UAC) |
Benutzerkontensteuerung (Übersicht) Die Benutzerkontensteuerung trägt dazu bei, die Auswirkungen von Schadsoftware zu reduzieren. |
Keine Änderungen. |
Es wurden Verbesserungen vorgenommen, um die Verwaltung der UAC-Konfiguration und von Nachrichten zu vereinfachen. Weitere Informationen finden Sie unter Neue und geänderte Funktionalität. |
Virtuelle Smartcards |
Virtuelle Smartcards bieten eine mehrstufige Authentifizierung und Kompatibilität mit vielen Smartcard-Infrastrukturen und bedeuten für die Benutzer den Komfort, keine physischen Karten bei sich zu tragen – das Befolgen von Sicherheitsprozessen der Organisation wird gegenüber eigener Umgehungslösungen attraktiver. |
Der Vorgang zum Registrieren TPM-fähiger Geräte als virtuelle Smartcard-Geräte wurde verbessert. APIs wurden hinzugefügt, um den Registrierungsprozess zu vereinfachen, damit Geräte leichter mit einer virtuellen Smartcard registriert werden können, unabhängig von der Hardware oder davon, ob sie in eine Domäne eingebunden sind. Weitere Informationen finden Sie unter Virtuelle Smartcards. |
Eingeführt in Windows Server 2012. |
Windows-Biometrieframework und Windows-Biometrie |
Windows-Biometrieframework (Übersicht) [W8] Das Windows-Biometrieframework ist eine Gruppe von Diensten und Schnittstellen, die eine konsistente Entwicklung und Verwaltung von biometrischen Geräten ermöglichen, z. B. Fingerabdruckleser. Das WBF verbessert die Zuverlässigkeit von Biometriediensten und -treibern sowie deren Kompatibilität. |
Der Client und zugehörige APIs wurden erweitert. Weitere Informationen finden Sie unter Fingerabdruckbiometrie. |
Die Integration von Fingerabdrucklesern mit schneller Benutzerumschaltung und Synchronisierung von Kennwörtern durch Fingerabdrücke wurde verbessert. Weitere Informationen finden Sie unter Neue und geänderte Funktionalität. |
Windows Defender |
Windows Defender ist eine voll ausgestattete Antischadsoftware-Lösung, die einen weiten Bereich potenziell schädlicher Software einschließlich Viren erkennen und abwehren kann. |
Die Funktion ist für Server Core-Installationsoptionen und Kernsystemserver (ohne Benutzeroberfläche) standardmäßig verfügbar und aktiviert. Weitere Informationen erhalten Sie unter Windows Defender. |
Der Funktionsumfang wurde von Antispyware erweitert auf eine voll ausgestattete Antischadsoftware-Lösung, die einen weiten Bereich potenziell schädlicher Software einschließlich Viren erkennen und abwehren kann. |
Siehe auch
Schützen von Windows Server 2012 R2 und Windows Server 2012
Sicherheit unter Windows [Win8]
Änderungen bei Sicherheitstechnologien in Windows 8.1 [Win 8.1]