Device Guard – Überblick

Beim Device Guard handelt es sich um eine Kombination aus unternehmensbezogenen Hardware- und Softwaresicherheitsfeatures, mit denen ein Gerät bei der gemeinsamen Konfiguration gesperrt wird, damit darauf nur vertrauenswürdige Anwendungen ausgeführt werden können. Wenn die App nicht vertrauenswürdig ist, kann sie nicht ausgeführt werden. Punkt. Außerdem bedeutet dies, dass Angreifer auch nach dem Übernehmen der Kontrolle über den Windows-Kernel deutlich weniger Chancen erhalten, nach dem Neustart des Computers schädlichen ausführbaren Code auszuführen. Dies liegt daran, wie die Entscheidung getroffen wird, was ausgeführt werden darf und wann dies möglich ist.

Für Device Guard wird die neue auf Virtualisierung basierende Sicherheit in Windows 10 Enterprise genutzt, bei der der Codeintegritätsdienst vom eigentlichen Microsoft Windows-Kernel isoliert wird. Für den Dienst können dann Signaturen verwendet werden, die über Ihre vom Unternehmen gesteuerte Richtlinie festgelegt werden, um ermitteln zu können, was als vertrauenswürdig angesehen wird. Der Codeintegritätsdienst wird praktisch parallel zum Kernel in einem per Windows-Hypervisor geschützten Container ausgeführt.

Ausführliche Informationen zur Implementierung von Device Guard finden Sie unter Device Guard-Bereitstellungshandbuch.

Gründe für die Verwendung von Device Guard

Da jeden Tag Tausende neue Schadcodedateien erstellt werden, stellen herkömmliche Verfahren, beispielsweise die signaturbasierte Erkennung im Kampf gegen Schadsoftware, nur eine unzureichende Verteidigung gegen neue Angriffe dar. Mit Device Guard unter Windows 10 Enterprise erfolgt der Wechsel von einem Modus, in dem Apps als vertrauenswürdig gelten, sofern sie nicht von einer Antivirensoftware oder anderen Sicherheitslösung blockiert werden, zu einem Modus, in dem das Betriebssystem nur diejenigen Apps als vertrauenswürdig ansieht, die von Ihrem Unternehmen genehmigt wurden.

Device Guard schützt auch vor Zero-Day-Angriffen und ist zur Bekämpfung von polymorphen Viren geeignet.

Vorteile der Nutzung von Device Guard

Sie können die Vorteile von Device Guard einsetzen. Dies richtet sich danach, was Sie jeweils aktivieren und nutzen:

  • Starker Schutz vor Schadsoftware mit guter Verwaltbarkeit für Unternehmen
  • Fortschrittlichster Schutz einer Windows-Plattform vor Schadsoftware
  • Verbesserter Schutz vor Manipulation

Funktionsweise von Device Guard

Mit Device Guard wird das Betriebssystem Windows 10 Enterprise nur auf die Ausführung des Codes beschränkt, der von vertrauenswürdigen Signaturgebern signiert wurde. Dies wird mit Ihrer Richtlinie für die Codeintegrität über spezielle Hardware- und Sicherheitskonfigurationen gesteuert, z. B.:

  • Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI)

  • Neue Signierungseinschränkungen für die Kernelcodeintegritäts-Regeln (einschließlich der neuen Windows Hardware Quality Labs (WHQL))

  • Sicherer Start mit Datenbankeinschränkungen (db/dbx)

  • Auf Virtualisierung basierende Sicherheitsfunktionen, um Systemspeicher- und Kernelmodus-Apps und -Treiber vor potenziellen Manipulationen zu schützen.

  • Optional: Trusted Platform Module (TPM) 1.2 oder 2.0

Device Guard ist mit Ihrem Prozess für die Erstellung von Images verknüpft. Sie können das auf Virtualisierung basierende Sicherheitsfeature für geeignete Geräte aktivieren, Ihre Richtlinie für die Codeintegrität konfigurieren und alle anderen Betriebssystemeinstellungen vornehmen, die Sie für Windows 10 Enterprise benötigen. Danach trägt Device Guard zum Schutz Ihrer Geräte bei:

  1. Ihr Gerät wird über „Sicherer Start“ der Universal Extensible Firmware Interface (UEFI) gestartet, damit Startkits nicht ausgeführt werden können und Windows 10 Enterprise immer zuerst gestartet wird.

  2. Nach dem sicheren Starten der Windows-Startkomponenten kann Windows 10 Enterprise die auf Virtualisierung basierenden Hyper-V-Sicherheitsdienste starten, z. B. die Kernelmodus-Codeintegrität. Diese Dienste dienen dem Schutz des Systemkerns (Kernel), der privilegierten Treiber und der Verteidigungseinrichtungen des Systems, z. B. Antischadsoftware, indem die Ausführung von Schadsoftware zu einem frühen Zeitpunkt des Startprozesses oder im Kernel nach dem Start verhindert wird.

  3. Für Device Guard wird die UMCI verwendet, um sicherzustellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, z. B. ein Dienst, eine App der universellen Windows-Plattform (UWP) oder eine klassische Windows-Desktopanwendung, vertrauenswürdig sind, sodass nur vertrauenswürdige Binärdateien ausgeführt werden können.

  4. Das Trusted Platform Module (TPM) wird gleichzeitig mit Windows 10 Enterprise gestartet. Per TPM wird eine isolierte Hardwarekomponente bereitgestellt, um vertrauliche Informationen zu schützen, z. B. Benutzeranmeldeinformationen und Zertifikate.

Erforderliche Hardware und Software

Die folgende Tabelle zeigt die Hardware und Software, die Sie installieren und konfigurieren müssen, um Device Guard implementieren zu können.

AnforderungBeschreibung

Windows 10 Enterprise

Auf dem PC muss Windows 10 Enterprise ausgeführt werden.

UEFI Firmware Version 2.3.1 oder höher sowie „Sicherer Start”

Um sicherzustellen, dass die Firmware UEFI Version 2.3.1 oder höher und den sicherer Start verwendet, können Sie sie mit der Windows-Hardwarekompatibilitätsprogramm-Anforderung System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby überprüfen.

Virtualisierungserweiterungen

Die folgenden Virtualisierungserweiterungen sind zur Unterstützung der virtualisierungsbasierten Sicherheit nötig:

  • Intel VT-x oder AMD-V
  • Adressübersetzung der zweiten Ebene

Firmwaresperre

Die Firmwareeinrichtung muss gesperrt sein, damit andere Betriebssysteme nicht gestartet und keine Änderungen an den UEFI-Einstellungen vorgenommen werden. Sie sollten auch andere Startmethoden als die von der Festplatte deaktivieren.

x64-Architektur

Die Features, die die virtualisierungsbasierte Sicherheit im Windows-Hypervisor verwendet, können nur auf einem 64-Bit-PC ausgeführt werden.

Eine VT-d- oder AMD Vi IOMMU (Input/Output Memory Management Unit, Speicherverwaltungseinheit für die Ein-/Ausgabe)

In Windows 10 verbessert eine IOMMU die Systemresilienz gegenüber Angriffen auf den Arbeitsspeicher. ¹

Prozess für ein sicheres Firmwareupdate

Um sicherzustellen, dass die Firmware dem sicheren Firmwareupdateprozess entspricht, können Sie sie mit der Windows-Hardwarekompatibilitätsprogramm-Anforderung System.Fundamentals.Firmware.UEFISecureBoot überprüfen.

 

Vor der Verwendung von Device Guard in Ihrem Unternehmen

Bevor Sie Device Guard erfolgreich nutzen können, müssen Sie Ihre Umgebung und Ihre Richtlinien einrichten.

Signieren Ihrer Apps

Im Device Guard-Modus werden sowohl UWP-Apps als auch klassische Windows-Desktopanwendungen unterstützt. Die Vertrauenswürdigkeit zwischen Device Guard und Ihren Apps ist hergestellt, wenn Ihre Apps mit einer Signatur signiert werden, die von Ihnen als vertrauenswürdig eingestuft wurde. Es funktioniert jedoch nicht jede Signatur.

Das Signieren kann wie folgt durchgeführt werden:

  • Per Windows Store-Veröffentlichungsprozess: Alle Apps, die aus dem Microsoft Store stammen, werden automatisch mit speziellen Signaturen signiert, die sich auf unsere Zertifizierungsstelle (CA) oder Ihre eigene Zertifizierungsstelle beziehen können.

  • Per eigenem digitalen Zertifikat oder Public Key-Infrastruktur (PKI): Unabhängige Softwareanbieter (ISVs) und Unternehmen können ihre eigenen klassischen Windows-Desktopanwendungen selbst signieren, indem sie sich selbst der Liste der vertrauenswürdigen Signaturgeber hinzufügen.

  • Per Signaturstelle (nicht Microsoft): Unabhängige Softwareanbieter (ISVs) und Unternehmen können eine vertrauenswürdige andere Signaturstelle – also nicht Microsoft – verwenden, um alle eigenen klassischen Windows-Desktopanwendungen zu signieren.

  • Per Webdienst von Microsoft (später in diesem Jahr verfügbar): Unabhängige Softwareanbieter (ISVs) und Unternehmen können einen von Microsoft bereitgestellten Webdienst mit mehr Sicherheit verwenden, um ihre klassischen Windows-Desktopanwendungen zu signieren.

Richtlinien für die Codeintegrität

Bevor Sie den App-Schutz von Device Guard nutzen können, müssen Sie eine Codeintegritätsrichtlinie mit den Tools von Microsoft erstellen. Die Bereitstellung erfolgt jedoch über Ihre aktuellen Verwaltungstools, z. B. die Gruppenrichtlinie. Die Richtlinie für die Codeintegrität ist ein binär codiertes XML-Dokument mit Konfigurationseinstellungen für den Benutzer- und Kernelmodus von Windows 10 Enterprise und Einschränkungen für Windows 10-Skripthosts. Mit dieser Richtlinie wird beschränkt, welcher Code auf einem Gerät ausgeführt werden kann.

Beim Device Guard-Feature sollte für Geräte die Codeintegrität nur vorkonfiguriert sein, wenn die Einstellungen für ein vom Kunden bereitgestelltes Image von einem Kunden geliefert werden.

Hinweis  Dieses XML-Dokument kann in Windows 10 Enterprise signiert werden, um für zusätzlichen Schutz vor Benutzern mit Administratorrechten zu sorgen, die diese Richtlinie ändern oder entfernen möchten.
 

Auf Virtualisierung basierende Sicherheit mit dem Windows 10 Enterprise-Hypervisor

Mit dem Windows 10 Enterprise-Hypervisor werden neue Funktionen in Bezug auf virtuelle Vertrauensebenen eingeführt, damit Windows 10 Enterprise-Dienste besser in einer geschützten Umgebung ausgeführt werden können – isoliert vom aktiven Betriebssystem. Die auf Virtualisierung basierende Sicherheit von Windows 10 Enterprise schützt die Kernelcodeintegrität und ermöglicht die Isolierung von Anmeldeinformationen für die lokale Sicherheitsautorität (LSA). Wenn der Kernelcodeintegritäts-Dienst als Dienst mit Hypervisor-Hosting ausgeführt wird, wird der Schutzgrad für das Stammbetriebssystem erhöht und zusätzlicher Schutz vor Schadsoftware hinzugefügt, mit der die Kernelschicht beeinträchtigt werden kann.

Wichtig  Device Guard-Geräte, für die die Kernelcodeintegrität mit auf Virtualisierung basierender Sicherheit ausgeführt wird, müssen über kompatible Treiber verfügen (ältere Treiber können aktualisiert werden). Außerdem müssen alle Virtualisierungsfunktionen aktiviert werden. Dazu zählen auch Virtualisierungserweiterungen und die Speicherverwaltungseinheit für die Ein- und Ausgabe (Input/Output Memory Management Unit, IOMMU).
 

 

 

Anzeigen: