Neues in der Windows 10-Sicherheit
Es gibt mehrere wichtige Verbesserungen der Clientsicherheit, die Microsoft in Windows 10 vorgenommen hat. Diese Verbesserungen konzentrieren sich auf drei Hauptbereiche: Gefahrenschutz, Informationsschutz sowie Identitätsschutz und Zugriffssteuerung. Zusätzlich zu einem Überblick über die Features selbst werden in diesem Artikel die Hardwareanforderungen für jedes neue Feature beschrieben und Empfehlungen für die Konfiguration und Links zu detaillierteren Ressourcen bereitgestellt.
Microsoft hat Windows 10 so entwickelt, dass dies die bis heute sicherste Version des Windows-Betriebssystems ist. Um dieses Ziel zu erreichen, verwendet Windows 10 erweiterte und jetzt allgemein verfügbare Hardwarefeatures, um Benutzer und Geräte vor modernen Internetbedrohungen zu schützen. Angesichts Tausender von neuen Schadsoftwarevarianten, die täglich ermittelt werden, und sich schnell weiterentwickelnder böswilliger Hacking-Techniken ist die Windows-Clientsicherheit wichtiger denn je. In Windows 10 können Organisationen neue bedrohungsresistente Sicherheitsfeatures bereitstellen, die das Betriebssystem so sichern, dass Bring Your Own Device (BYOD)- und unternehmenseigene Geräte-Szenarios sowie Geräte für spezielle Anwendungsfälle wie Kiosks, Geldautomaten und Point of Sale (PoS)-Systeme davon profitieren können. Diese neuen bedrohungsresistenten Features sind modular, d. h., sie sind dafür konzipiert, zusammen bereitgestellt zu werden, obwohl sie auch einzeln implementiert werden können. Wenn alle diese neuen Features zusammen aktiviert sind, können sich Organisationen selbst sofort vor den meisten der aktuellen ausgeklügelten Bedrohungen und Schadsoftware schützen.
Zusätzlich zu den neuen, wirksamen Gegenmaßnahmen gegen Bedrohungen enthält Windows 10 mehrere Verbesserungen beim integrierten Informationsschutz, darunter eine neue Komponente zum Schutz vor Datenverlust. Dank dieser Verbesserungen können Organisationen geschäftliche und persönliche Daten einfach trennen, definieren, welche Apps auf Geschäftsdaten zugreifen, und bestimmen, wie Daten freigegeben werden können (z. B. Kopieren und Einfügen). Im Gegensatz zu anderen DLP-Lösungen hat Microsoft diese Funktionalität tief in der Windows-Plattform integriert und bietet die gleiche Art von Sicherheitsfunktionen wie containerbasierte Lösungen, jedoch ohne das Ändern der Benutzererfahrungen wie erforderliche Modusänderungen oder das Wechseln von Anwendungen.
Schließlich erleichtern neue Identitätsschutz- und Zugriffssteuerungsfeatures die Implementierung der zweistufigen Authentifizierung (2FA) im gesamten Unternehmen und ermöglichen Organisationen dadurch den Übergang weg von Kennwörtern. Mit Windows 10 wird Microsoft Passport eingeführt, neue 2FA-Benutzeranmeldeinformationen, die direkt in das Betriebssystem integriert sind, auf die Benutzer entweder mit einer PIN oder einer neuen biometrisch gesteuerten Funktion namens Windows Hello zugreifen können. Zusammen bieten diese Technologien einen einfachen Anmeldevorgang für Benutzer mit der zuverlässige Sicherheit der mehrstufigen Authentifizierung (MFA). Im Gegensatz zu mehrstufigen Drittanbieterlösungen wurde Microsoft Passport speziell für die Integration mit Microsoft Azure Active Directory (Azure AD) und hybriden Active Directory-Umgebungen entwickelt und erfordert minimale administrative Konfiguration und Wartung.
Gefahrenschutz
Sicherheitsbedrohungen sind heute extrem aggressiv und hartnäckig. In früheren Jahren konzentrierten sich böswillige Angreifer hauptsächlich auf die Anerkennung in der Community für ihre Angriffe und das persönliche Vergnügen, ein System vorübergehend offline geschaltet zu haben. Seitdem haben sich die Motive der Angreifer in Richtung Monetarisierung ihre Angriffe verlagert, indem Computer und Daten als Geisel genommen werden, bis die Besitzer das geforderte Lösegeld bezahlen, und die wertvollen Informationen, die die Angreifer entdecken, für finanziellen Gewinn ausgenutzt werden. Im Gegensatz zu diesen Beispielen konzentrieren sich aktuelle Angriffe zunehmend auf den Diebstahl geistigen Eigentums im großen Umfang, die zielgerichtete Systemzersetzung, die zu finanziellen Verlusten führt, und jetzt sogar Cyber-Terrorismus, der die Sicherheit von Personen und Unternehmen sowie nationale Interessen auf der ganzen Welt bedroht. Diese Angreifer sind üblicherweise hochqualifizierte Einzelpersonen und Sicherheitsexperten, von denen einige in Nationalstaaten beschäftigt sind, die große Budgets, scheinbar unbegrenzte menschliche Ressourcen und unbekannte Motive haben. Bedrohungen wie diese erfordern einen anderen Ansatz und Gegenmaßnahmen, die der Herausforderung gerecht werden.
Mit Windows 10 werden einige neue Sicherheitsfeatures eingeführt, die Bedrohungen mindern und Organisationen vor Cyber-Angreifern unabhängig von deren Motiv schützen. Microsoft hat erheblich in Windows 10 investiert, um es zum bisher gegen Schadsoftware widerstandsfähigsten Windows-Betriebssystem zu machen. Anstatt einfach dem Betriebssystem Sicherheitsmaßnahmen hinzufügen, wie dies in früheren Windows-Versionen der Fall war, führt Microsoft in Windows 10 Architekturänderungen ein, die ganze Klassen von Bedrohungen betreffen. Durch die grundlegende Änderung der Funktionsweise des Betriebssystems versucht Microsoft, modernen Angreifer den Missbrauch von Windows 10 stark zu erschweren. Neue Features in Windows 10 umfassen Device Guard, konfigurierbare Codeintegrität, virtualisierungsbasierte Sicherheit (VBS) und Verbesserungen an Windows Defender, um nur einige zu nennen. Durch das gemeinsame Aktivieren all dieser neuen Features können sich Organisationen sofort gegen die Arten von Schadsoftware schützen, die für ungefähr 95 % der aktuellen Angriffe verantwortlich sind.
Virtualisierungsbasierte Sicherheit
In der Serverwelt haben sich Virtualisierungstechnologien wie Microsoft Hyper-V beim Isolieren und Schützen virtueller Computer im Rechenzentrum als äußerst effektiv erwiesen. Mit der umfassenderen Verfügbarkeit dieser Virtualisierungsfunktionen in modernen Clientgeräten bestehen jetzt unglaubliche Möglichkeiten für neue Windows-Clientsicherheitsszenarien. Windows 10 kann Virtualisierungstechnologie verwenden, um wichtige Betriebssystemdienste in einer getrennten, virtualisierten Umgebung zu isolieren, vergleichbar mit einem virtuellen Computer. Diese zusätzliche Schutzebene, die als virtualisierungsbasierte Sicherheit bezeichnet wird, stellt sicher, dass niemand diese Dienste manipulieren kann, auch wenn der Kernelmodus des Hostbetriebssystems gefährdet ist.
Genau wie bei Hyper-V für Clients kann Windows jetzt mit SLAT-Technologie (Second-Level Address Translation, Adressübersetzung der zweiten Ebene) und Virtualisierungserweiterungen wie Intel Virtualization Technology (VT-x) und AMD-V ausgestattete Prozessoren selbst nutzen, um eine sichere Ausführungsumgebung für sensible Windows-Funktionen und Daten zu erstellen. Diese VBS-Umgebung schützt die folgenden Dienste:
Hypervisor-Codeintegrität (HVCI) Der HVCI-Dienst in Windows 10 bestimmt, ob die Codeausführung im Kernelmodus sicher konzipiert und vertrauenswürdig ist. Er bietet Funktionen zum Schutz vor Zero-Day-Angriffen und der Ausnutzung eines Sicherheitsrisikos, indem sichergestellt wird, dass die im Kernelmodus ausgeführte Software, einschließlich Treiber, sicher Speicher belegt und wie beabsichtigt funktioniert. In Windows 10 ist die Kernelmodus-Codeintegrität konfigurierbar, sodass Unternehmen die Codeausführung vor dem Start auf die gewünschte Konfiguration begrenzen können. Weitere Informationen zur konfigurierbaren Codeintegrität in Windows 10 finden Sie im Abschnitt Konfigurierbare Codeintegrität.
Local Security Authority (LSA) Der LSA-Dienst in Windows verwaltet Authentifizierungsvorgänge, einschließlich NT LAN Manager (NTLM)- und Kerberos-Mechanismen. In Windows 10 isoliert das Credential Guard-Feature einen Teil dieses Diensts und hilft, die Hashweitergabe- und Ticketweitergabetechniken durch den Schutz von Domänenanmeldeinformationen zu reduzieren. Zusätzlich zu den Anmeldeinformationen für die Anmeldung wird dieser Schutz auf in der Anmeldeinformationsverwaltung gespeicherte Anmeldeinformationen erweitert. Weitere Informationen zu Credential Guard finden Sie im Abschnitt Credential Guard.
Hinweis
Führen Sie einfach systeminfo über ein Eingabeaufforderungsfenster aus, um zu ermitteln, ob die Virtualisierung für das entsprechende Clientcomputermodell unterstützt wird.
VBS stellt das Hauptframework für einige der wirksamsten Gegenmaßnahmen bereit, die Windows 10 bietet. Clientcomputer in Ihrer Organisation, die diese Funktionen nutzen können, sind für den modernen Gefahrenschutz von entscheidender Bedeutung. Weitere Informationen zu den speziellen Hardwarefunktionen, die für das jeweilige Windows 10-Feature erforderlich sind, einschließlich VBS, finden Sie im Abschnitt Hardwareüberlegungen für Windows 10.
Device Guard
Microsoft Device Guard ist ein Featuresatz, der Systemintegritäts-Härtungsfeatures, die die Sicherheit von Windows durch die Nutzung neuer VBS-Optionen zum Schutz der Systemkerns revolutionieren, und ein Trust-Nothing-Modell, das sich häufig in mobilen Betriebssystemen findet, kombinieren. Dieser Featuresatz nutzt die besten bereits vorhandenen Windows-Härtungsfeatures (z. B. sicherer UEFI-Start [Unified Extensible Firmware Interface], vertrauenswürdiger Windows-Start) und kombiniert sie dann mit leistungsstarken neuen App-Steuerungsfeatures wie dem HVCI-Dienst mit VBS und konfigurierbarer Codeintegrität, die zusammen Exploits in Bezug auf Sicherheitsrisiken und die Ausführung nicht autorisierter Apps auf dem Gerät im Benutzer- und Kernelmodus verhindern. Weitere Informationen zu VBS in Windows 10 und den zusätzlichen Features, die sie verwenden, finden Sie im Abschnitt Virtualisierungsbasierte Sicherheit. Weitere Informationen zur konfigurierbaren Codeintegrität finden Sie im Abschnitt Konfigurierbare Codeintegrität.
Obwohl Microsoft anstrebt, dass der Device Guard-Featuresatz zusammen mit den neuen Windows-Sicherheitsfeatures wie Credential Guard ausgeführt wird, kann er unabhängig ausgeführt werden. Abhängig von den Clientressourcen Ihrer Organisation können Sie einzeln auswählen, welche Features für Ihre Umgebung und Gerätekompatibilität sinnvoll sind. Informationen zu den Hardwareanforderungen für Device Guard und andere Windows 10-Sicherheitsfeatures finden Sie im Abschnitt Hardwareüberlegungen für Windows 10. Weitere Informationen zu Credential Guard finden Sie im Abschnitt Credential Guard.
Für die meisten Organisationen hängt die Implementierung bestimmter Device Guard-Funktionen von der Rolle des Geräts und des primären Benutzers ab. Dabei werden mehr Features auf Geräten mit einzelner Arbeitsauslastung, z. B. Kiosks, verwendet, und weniger Features auf administrativen Computern, für die Benutzer Vollzugriff haben können. Mithilfe dieses Modells können IT-Organisationen Benutzer in Gruppen kategorisieren, die sich an Device Guard-Sicherheitsrichtlinien in Bezug auf Gerätesicherheit und Codeintegritätseinschränkungen orientieren. Weitere Informationen zur konfigurierbaren Codeintegrität finden Sie im Abschnitt Konfigurierbare Codeintegrität.
Neue Desktopcomputer und Laptops stehen für das Beschleunigen Ihrer Device Guard-Implementierung zur Verfügung. Device Guard-fähige Geräte bedeuten den geringsten physischen Interaktionsaufwand mit dem tatsächlichen Gerät, bevor es verwendet werden kann. Von nun an werden alle Geräte in eine der folgenden drei Kategorien unterteilt:
Device Guard-fähig. Diese Geräte erfüllen alle Hardwareanforderungen für Device Guard. Sie müssen weiterhin Geräte mit Komponenten ordnungsgemäß vorbereiten, die die Aktivierung oder Konfiguration für die Device Guard-Bereitstellung erfordern. Gerätetreiber auf dem Gerät müssen mit HVCI kompatibel sein und erfordern möglicherweise Updates vom Originalgerätehersteller.
Device Guard-fähig. Device Guard-fähige Geräte kommen direkt von einem OEM mit allen erforderlichen Hardwarekomponenten und Treibern zum Ausführen von Device Guard. Darüber hinaus sind alle diese Komponenten vorkonfiguriert und aktiviert, was den zum Bereitstellen von Device Guard erforderlichen Aufwand minimiert. Es ist keine Interaktion mit dem BIOS erforderlich, um diese Geräte bereitzustellen, und sie können mit Gruppenrichtlinien, System Center Configuration Manager oder Microsoft Intune verwaltet werden.
Für Device Guard nicht unterstützt. Viele aktuelle Geräte können nicht von allen Device Guard-Features profitieren, da sie nicht die erforderlichen Hardwarekomponenten oder HVCI-kompatiblen Treiber aufweisen. Die meisten dieser Geräte können jedoch einige Device Guard-Features wie die konfigurierbare Codeintegrität aktivieren.
Weitere Informationen zur Vorbereitung für, Verwaltung und Bereitstellung von Device Guard finden Sie im Device Guard-Bereitstellungshandbuch.
Konfigurierbare Codeintegrität
Die Codeintegrität ist die Windows-Komponente, die sicherstellt, dass der Code, der durch Windows ausgeführt wird, vertrauenswürdig und sicher ist. Wie die Betriebsmodi in Windows selbst weist die Windows-Codeintegrität zwei primäre Komponenten auf: die Codeintegrität im Kernelmodus (KMCI) und die Codeintegrität im Benutzermodus (UMCI). Microsoft hat KMCI in aktuellen Versionen von Windows verwendet, um zu verhindern, dass der Windows-Kernel unsignierte Treiber ausgeführt. Auch wenn dieser Ansatz wirksam ist, sind Treiber nicht die einzige Möglichkeit für Schadsoftware, um in den Kernelmodusbereich des Betriebssystems einzudringen. Daher hat Microsoft für Windows 10 den Standard für den integrierten Kernelmoduscode erhöht, indem die Verwendung bewährter Sicherheitsmethoden bei der Speicherverwaltung gefordert wird. Zudem erhalten Unternehmen darin die Möglichkeit, ihre eigenen UMCI- und KMCI-Standards festzulegen.
In der Vergangenheit war UMCI nur für Windows RT- und Windows Phone-Geräte verfügbar. Dadurch konnten Angreifer diese Geräte nur schwer mit Viren und Schadsoftware infizieren. Diese reduzierte Infektionsrate ergibt sich aus der Methode, mit der das Betriebssystem bestimmt, welcher Code ausgeführt wird. Systemintern folgen Binärdateien einem Prozess als Beweis für das Betriebssystem, dass sie vertrauenswürdig sind, bevor das Betriebssystem ihnen die Ausführung gestattet. Dieser Prozess soll die Ausführung von beliebigem Code einschränken und somit das Risiko einer Infektion mit Schadsoftware reduzieren. Dieses erfolgreiche Trust-Nothing-Betriebssystemmodell ist jetzt in Windows 10 über eine Funktion mit der Bezeichnung konfigurierbare Codeintegrität verfügbar.
Mithilfe der konfigurierbaren Codeintegrität können IT-Organisationen Codeintegritätsrichtlinien erstellen und bereitstellen, die genau bestimmen, welche Binärdateien in ihrer Umgebung ausgeführt werden können. Administratoren können dieses Vertrauen auf Zertifizierungsstellen- oder Herausgeberebene bis auf die einzelnen Hashwerte für jede ausgeführte Binärdatei verwalten. Durch diese Anpassungsebene können Organisationen Richtlinien mit den gewünschten Einschränkungen erstellen. Darüber hinaus können Organisationen verschiedene Einschränkungsebenen für bestimmte Typen von Computern bereitstellen. Geräte mit fester Arbeitsauslastung wie Kiosks und PoS-Systeme würden wahrscheinlich strenge Richtlinien erhalten, da sie dazu dienen, täglich denselben Dienst zur Verfügung zu stellen. Administratoren können Geräte mit variableren Arbeitsauslastungen wie PCs der Benutzer auf einer höheren Ebene verwalten und dabei Anwendungen bestimmter Softwareherausgeber zur Installation bereitstellen oder Geräte am Softwarekatalog der Organisation ausrichten.
Hinweis
Die konfigurierbare Codeintegrität soll nicht Technologien ersetzen, die Programme zulassen oder blockieren, wie AppLocker oder die Antivirensoftware einer Organisation. Vielmehr ergänzt sie solche Technologien durch das Erstellen einer Basislinie von Sicherheit und die Verwendung dieser zusätzlichen Technologien zum Optimieren der Clientsicherheit.
Die konfigurierbare Codeintegrität ist nicht auf Windows Store-Anwendungen beschränkt. Sie ist sogar nicht auf vorhandene signierte Anwendungen beschränkt. Windows 10 ermöglicht das Signieren von Branchen- oder Drittanbieteranwendungen, ohne sie umzupacken: Sie können die Installation und anfängliche Ausführung der Anwendung überwachen, um eine Liste von Binärdateien, die so genannte Katalogdatei, zu erstellen. Nach dem Erstellen signieren Sie diese Katalogdateien und fügen das Signaturzertifikat der Codeintegritätsrichtlinie hinzu, damit die in den Katalogdateien enthaltenen Binärdateien ausgeführt werden dürfen. Danach können Sie diese Katalogdateien mit Gruppenrichtlinien, Configuration Manager oder einem anderen vertrauten Verwaltungstools an Ihre Clientcomputer verteilen. In der Vergangenheit war der Großteil der Schadsoftware nicht signiert. Durch das einfache Bereitstellen von Codeintegritätsrichtlinien ist Ihre Organisation sofort in der Lage, sich selbst gegen nicht signierte Schadsoftware zu schützen, die für diese meisten aktuellen Angriffe verantwortlich ist.
Hinweis
Ausführliche Informationen zur Bereitstellung und Planung der konfigurierbaren Codeintegrität finden Sie im Device Guard-Bereitstellungshandbuch.
Der Prozess zum Erstellen, Testen und Bereitstellen einer Codeintegritätsrichtlinie sieht wie folgt aus:
Erstellen einer Codeintegritätsrichtlinie Verwenden Sie das in Windows 10 verfügbare Windows PowerShell-Cmdlet New-CIPolicy, um eine neue Codeintegritätsrichtlinie zu erstellen. Dieses Cmdlet überprüft einen PC auf alle Einträge einer bestimmten Richtlinienebene. Wenn Sie z. B. die Regelebene auf Hash festlegen, fügt das Cmdlet als Ergebnis der Überprüfung der Richtlinie Hashwerte für alle erkannten Binärdateien hinzu. Wenn Sie die Richtlinie erzwingen und bereitstellen, bestimmt diese Liste von Hashwerten genau, welche Binärdateien auf den Computern ausgeführt werden dürfen, die die Richtlinie erhalten. Codeintegritätsrichtlinien können eine Kernelmodus- und Benutzermodus-Ausführungsrichtlinie enthalten, die einschränkt, was in einem oder beiden Modi ausgeführt werden kann. Wenn sie erstellt wurde, wird diese Richtlinie in das Binärformat umgewandelt, sodass sie nach dem Kopieren in den Codeintegritätsordner des verwalteten Clients durch den Client verwendet werden kann.
Überwachen der Codeintegritätsrichtlinie auf Ausnahmen Beim ersten Erstellen einer Codeintegritätsrichtlinie ist der Überwachungsmodus standardmäßig aktiviert, sodass Sie die Auswirkung einer Codeintegritätsrichtlinie simulieren können, ohne die Ausführung von Binärdateien tatsächlich zu blockieren. Richtlinienausnahmen werden im Ereignisprotokoll „CodeIntegrity“ protokolliert, sodass Sie die Ausnahmen der Richtlinie später hinzufügen können. Überwachen Sie alle Richtlinien, um potenzielle Probleme vor deren Bereitstellung zu finden.
Zusammenführen der Überwachungsergebnisse mit der vorhandenen Richtlinie Nachdem Sie eine Richtlinie überwacht haben, können Sie die Überwachungsergebnisse zum Erstellen einer zusätzlichen Codeintegritätsrichtlinie verwenden. Da jeder Computer nur eine Codeintegritätsrichtlinie verarbeitet, müssen Sie die Dateiregeln innerhalb dieser neuen Codeintegritätsrichtlinie mit der ursprünglichen Richtlinie zusammenführen. Führen Sie dazu das Cmdlet Merge-CIPolicy aus, das in Windows 10 Enterprise verfügbar ist.
Erzwingen und Signieren der Richtlinie Nach dem Erstellen, Überwachen und Zusammenführen der resultierenden Codeintegritätsrichtlinien ist es an der Zeit, die Richtlinie zu erzwingen. Führen Sie dazu das Cmdlet Set-RuleOption zum Entfernen der Regel Unsigned Policy aus. Nach dem Erzwingen dürfen keine Binärdateien, die Ausnahmen von der Richtlinie sind, ausgeführt werden. Zusätzlich zum Erzwingen einer Richtlinie bieten signierte Richtlinien eine zusätzliche Schutzebene. Signierte Codeintegritätsrichtlinien schützen sich grundsätzlich selbst vor Manipulation und Löschen, auch durch Administratoren.
Bereitstellen der Codeintegritätsrichtlinie Wenn Sie Ihre Codeintegritätsrichtlinie erzwungen und optional signiert haben, ist sie für die Bereitstellung bereit. Zum Bereitstellen Ihrer Codeintegritätsrichtlinien können Sie Clientverwaltungstechnologien von Microsoft, Lösungen für die mobile Geräteverwaltung oder Gruppenrichtlinien verwenden oder die Datei einfach an den richtigen Speicherort auf den Clientcomputern kopieren. Für die Bereitstellung von Gruppenrichtlinien ist eine neue administrative Vorlage in Windows 10 und im Betriebssystem Windows Server 2016 verfügbar, um den Bereitstellungsprozess zu vereinfachen.
Hinweis
Die konfigurierbare Codeintegrität ist in Windows 10 Enterprise und Windows 10 Education verfügbar.
Sie können die konfigurierbare Codeintegrität als Teil einer Device Guard-Bereitstellung oder als eigenständige Komponente aktivieren. Darüber hinaus können Sie die konfigurierbare Codeintegrität auf Hardware ausführen, die mit dem Betriebssystem Windows 7 kompatibel ist, auch wenn diese Hardware nicht Device Guard-fähig ist. Codeintegritätsrichtlinien können an einem vorhandenen Anwendungskatalog, vorhandenen Unternehmens-Image-Strategien oder anderen Verfahren ausgerichtet werden, die die gewünschten Einschränkungsebenen der Organisation bereitstellen. Weitere Informationen zur konfigurierbaren Codeintegrität mit Device Guard finden Sie im Device Guard-Bereitstellungshandbuch.
Kontrollierter Start und Remotenachweis
Obwohl softwarebasierte Antischadsoftware- und Antivirenlösungen effektiv sind, verfügen sie über keine Methode zum Erkennen einer Ressourcenänderung oder Infektion vor der Betriebssysteminstallation, z. B. durch Bootkits und Rootkits – Schadsoftware, die einen Client vor dem Laden von Betriebssystem und Antischadsoftwarelösungen manipulieren kann. Es ist nahezu unmöglich, Bootkits und Rootkits sowie ähnliche Software allein mit softwarebasierten Lösungen zu erkennen. Daher verwendet Windows 10 das Trusted Platform Module (TPM) des Clients und das Windows-Feature für den kontrollierten Start, um die gesamte Startintegrität zu analysieren. Bei entsprechender Aufforderung meldet Windows 10 Integritätsinformationen an den Windows Cloud-basierten Dienst zum Integritätsnachweis, die dann zusammen mit Verwaltungslösungen wie Intune zum Analysieren der Daten und zum Gewähren von geräteabhängigem Zugriff auf Ressourcen je nach Integritätszustand des Geräts verwendet werden können.
Der kontrollierte Start verwendet eine der Hauptfunktionen des TPMs und bietet klare Vorteile, um Organisationen zu schützen. Das Feature kann den Zustand der vertrauten Computerbasis (Trusted Computing Base, TCB) eines Computers genau und sicher melden. Durch das Messen der TCB eines Systems, das wichtige startbezogene Komponenten wie Firmware, das Ladeprogramm für das Betriebssystem, Treiber und Software enthält, kann das TPM den aktuellen Gerätestatus in Plattformkonfigurationsregistern (PCRs) speichern. Nach Abschluss dieser Messung signiert das TPM diese PCR-Daten kryptografisch so, dass die Informationen zum kontrollierten Start an den Windows Cloud-basierten Dienst zum Integritätsnachweis oder ein nicht von Microsoft stammendes Äquivalent zum Signieren oder Überprüfen gesendet werden können. Wenn ein Unternehmen z. B. nur die BIOS-Informationen eines Computers vor dem Zulassen des Netzwerkzugriffs überprüfen möchte, wird PCR[0], die PCR, die BIOS-Informationen enthält, der Richtlinie für den Nachweisserver zur Überprüfung hinzugefügt. Auf diese Weise erkennt der Nachweisserver, wenn er das Manifest aus dem TPM erhält, welche Werte diese PCR enthalten soll.
Der kontrollierte Start selbst verhindert nicht das Laden von Malware während des Startvorgangs. Er stellt jedoch ein TPM-geschütztes Überwachungsprotokoll bereit, das einem vertrauenswürdigen Remote-Nachweisserver das Bewerten der Startkomponenten des PCs und das Feststellen seiner Vertrauenswürdigkeit ermöglicht. Wenn der Remote-Nachweisserver angibt, dass der PC eine nicht vertrauenswürdige Komponente geladen hat und daher nicht konform ist, kann ein Verwaltungssystem die Informationen für bedingte Zugriffsszenarien verwenden, um den Zugriff des PCs auf Netzwerkressourcen zu blockieren oder andere Quarantäneaktionen auszuführen.
Verbesserungen in Windows Defender
Für Windows 10 hat Microsoft Windows Defender überarbeitet und mit Microsoft System Center Endpoint Protection kombiniert. Im Gegensatz zu Microsoft System Center 2012 R2 wird kein System Center Endpoint Protection-Client für Windows 10-Computer bereitgestellt, da Windows Defender in das Betriebssystem integriert und standardmäßig aktiviert ist.
Zusätzlich zur vereinfachten Bereitstellung enthält Windows Defender verschiedene Verbesserungen. Die wichtigsten Verbesserungen an Windows Defender sind:
**Kompatibel mit Antischadsoftware-Frühstart (ELAM)**Nachdem vom sicheren Start bestätigt wurde, dass das ladende Betriebssystem vertrauenswürdig ist, kann ELAM eine registrierten und signierte Antischadsoftware-Anwendung vor allen anderen Betriebssystemkomponenten starten. Windows Defender ist mit ELAM kompatibel.
Lokaler Kontext für Erkennungen und zentrale Sensordaten Im Gegensatz zur meisten Antischadsoftware und früheren Versionen von Windows Defender meldet Windows Defender in Windows 10 zusätzliche Informationen über den Kontext erkannter Bedrohungen. Hierzu zählen die Quelle des Inhalts, der die Bedrohung enthält, sowie die historische Bewegung der Malware innerhalb des Systems. Nach Abschluss der Erfassung meldet Windows Defender diese Informationen (wenn Benutzer die Aktivierung von cloudbasiertem Schutz auswählen) und verwendet sie, um Bedrohungen schneller abzuwehren.
Integration von Benutzerkontensteuerung (User Account Control, UAC) Windows Defender ist jetzt eng im Mechanismus zur Benutzerkontensteuerung in Windows 10 integriert. Bei einer UAC-Anforderung untersucht Windows Defender automatisch die Bedrohung vor der Benutzeraufforderung. Dadurch wird verhindert, dass Benutzer Malware erhöhte Rechte bereitstellen.
Vereinfachte Verwaltung In Windows 10 können Sie Windows Defender sehr viel einfacher als je zuvor verwalten. Verwalten Sie Einstellungen über Gruppenrichtlinien, Intune oder Configuration Manager.
Informationsschutz
Der Schutz der Integrität von Unternehmensdaten sowie das Verhindern der unerwünschten Offenlegung und Freigabe dieser Daten haben für IT-Organisationen oberste Priorität. Trends wie BYOD und Mobilität machen die Aufgabe des Informationsschutzes schwieriger als je zuvor. Windows 10 enthält mehrere Verbesserungen beim integrierten Informationsschutz, darunter ein neues Unternehmensdatenschutz-Feature (Enterprise Data Protection, EDP), das DLP-Funktionen bietet. Dieses Feature ermöglicht den Benutzern in Organisationen, Daten selbst zu klassifizieren, und bietet Ihnen die Möglichkeit, Daten beim Eingang aus Geschäftsressourcen automatisch zu klassifizieren. Es kann außerdem verhindern, dass Benutzer Unternehmensinhalte an nicht autorisierte Speicherorte wie persönliche Dokumente oder Websites kopieren.
Im Gegensatz zu einigen aktuellen DLP-Lösungen erfordert EDP nicht, dass Benutzer zwischen Modi oder Apps wechseln oder in Containern arbeiten, um Daten zu schützen. Der Schutz erfolgt hinter den Kulissen ohne eine Änderung der Benutzererfahrung, die die Benutzer in Windows gewohnt sind. Weitere Informationen zu EDP in Windows 10 finden Sie im Abschnitt Unternehmensdatenschutz.
Zusätzlich zu EDP hat Microsoft wesentliche Verbesserungen an BitLocker vorgenommen, darunter eine vereinfachte Verwaltbarkeit über Microsoft BitLocker Administration and Monitoring (MBAM), auf den verwendeten Speicherplatz begrenzte Verschlüsselung und Funktionen für die einmalige Anmeldung (SSO). Weitere Informationen zu BitLocker-Verbesserungen in Windows 10 finden Sie im Abschnitt Verbesserungen an BitLocker.
Unternehmensdatenschutz
DLP-Systeme dienen zum Schutz sensibler Unternehmensdaten durch Verschlüsselung und verwaltete Nutzung, während die Daten verwendet werden, in Bewegung oder im Ruhezustand sind. Herkömmliche DLP-Software ist in der Regel invasiv und für Benutzer frustrierend und kann für Administratoren kompliziert zu konfigurieren und bereitzustellen sein. Windows 10 enthält jetzt ein EDP-Feature, das DLP-Funktionen bietet, integriert und einfach zu verwenden ist. Diese Lösung bietet Ihnen die Flexibilität, Richtlinien zu definieren, die ermitteln, welche Art von Daten als Geschäftsdaten zu schützen sind und was als persönlich gelten soll. Basierend auf diesen Richtlinien können Sie auch das automatische oder manuelle Vorgehen auswählen, wenn Sie vermuten, dass Daten kompromittiert werden sollen oder wurden. Wenn beispielsweise ein Mitarbeiter ein persönliches, jedoch verwaltetes Gerät nutzt, das Geschäftsdaten enthält, kann eine IT-Organisation diesen Benutzer für das Kopieren und Einfügen von Geschäftsdaten in Nicht-Geschäftsdokumente und -Speicherorte sperren oder sogar jederzeit die Unternehmensdaten auf dem Gerät selektiv zurücksetzen, ohne dass die persönlichen Daten auf dem Gerät davon betroffen sind.
Sie können EDP-Richtlinien so konfigurieren, dass Dateien basierend auf der Netzwerkquelle, aus der der Inhalt erworben wurde, z. B. ein E-Mail-Server, eine Dateifreigabe oder eine Microsoft SharePoint-Site, automatisch verschlüsselt und geschützt werden. Die Richtlinien können sowohl lokale Ressourcen als auch Ressourcen aus dem Internet nutzen. Wenn es entsprechend angegeben wird, werden alle von internen Netzwerkressourcen abgerufenen Daten immer als Geschäftsdaten geschützt. Auch wenn diese Daten auf tragbaren Speicher wie einen Speicherstick oder eine CD kopiert werden, bleibt der Schutz erholten. Zur einfachen Korrektur falsch klassifizierter Daten können Benutzer, die der Meinung sind, dass EDP ihre persönlichen Daten falsch geschützt hat, die Klassifizierung der Daten ändern. Wenn eine solche Änderung auftritt, haben Sie Zugriff auf Überwachungsdaten auf dem Clientcomputer. Sie können mithilfe einer Richtlinie auch verhindern, dass Benutzer Daten erneut klassifizieren. Das EDP-Feature in Windows 10 enthält auch Richtliniensteuerungen, mit denen Sie festlegen können, welche Apps Zugriff auf Geschäftsdaten und sogar Zugriff auf das virtuelle private Netzwerk (VPN) des Unternehmens haben.
Zum Verwalten von EDP verwenden Sie die gleichen Systemverwaltungstools, die Sie wahrscheinlich bereits zur Verwaltung Ihrer Windows-Clientcomputer verwenden, z. B. Configuration Manager und Intune. Weitere Informationen zu EDP finden Sie unter Unternehmensdatenschutz (EDP) – Überblick.
Verbesserungen in BitLocker
Angesichts der vielen Laptops, die jährlich gestohlen werden, sollte der Schutz von At-Rest-Daten oberste Priorität für jede IT-Abteilung sein. Microsoft stellt seit 2004 eine Verschlüsselungslösung mit der Bezeichnung BitLocker direkt in Windows bereit. Wenn Sie zuletzt unter Windows 7 mit BitLocker zu tun hatten, werden Sie sehen, dass die Verwaltbarkeit und SSO-Funktionen, die zuvor fehlten, jetzt in Windows 10 enthalten sind. Diese und andere Verbesserungen machen BitLocker zu einer der besten Optionen auf dem Markt für den Schutz von Daten auf Windows-Geräten. Windows 10 baut auf den BitLocker-Verbesserungen in den Betriebssystemen Windows 8.1 und Windows 8 auf, um die Verwaltbarkeit von BitLocker zu verbessern und die Bereitstellung weiter zu vereinfachen.
Microsoft hat die folgenden wichtigen Verbesserungen an BitLocker vorgenommen:
Automatische Laufwerkverschlüsselung durch Geräteverschlüsselung Standardmäßig ist BitLocker bei Neuinstallationen von Windows 10 automatisch aktiviert, wenn das Gerät den Test der Anforderungen für die Geräteverschlüsselung aus dem Windows-Zertifizierungskit für Hardware bestanden hat. Viele Windows 10-kompatible PCs erfüllen diese Anforderung. Diese Version von BitLocker wird als Geräteverschlüsselung bezeichnet. Wenn Geräte, auf denen die Geräteverschlüsselung aktiviert ist, Ihrer Domäne hinzugefügt werden, können die Verschlüsselungsschlüssel in Active Directory oder MBAM hinterlegt werden.
MBAM-Verbesserungen MBAM bietet eine vereinfachte Verwaltungskonsole für die BitLocker-Verwaltung. Außerdem werden Wiederherstellungsanforderungen vereinfacht, indem ein Self-Service-Portal bereitgestellt wird, in dem Benutzer die Laufwerke ohne Anrufe beim Helpdesk wiederherstellen können.
SSO Für BitLocker für Windows 7 war häufig die Verwendung einer Pre-Boot-PIN erforderlich, um auf den Verschlüsselungsschlüssel des geschützten Laufwerks zuzugreifen und das Starten von Windows zuzulassen. In Windows 10 ist eine auf der Benutzereingabe basierende Pre-Boot-Authentifizierung (also eine PIN) nicht erforderlich, da das TPM die Schlüssel verwaltet. Darüber hinaus verringert moderne Hardware häufig die Kaltstartangriffe (z. B. portbasierte DMA-Angriffe), die zuvor PIN-Schutz benötigten. Weitere Informationen dazu, wie Sie feststellen, welche Fälle und Gerätetypen die Verwendung von PIN-Schutz erfordern, finden Sie unter BitLocker-Gegenmaßnahmen.
Auf den verwendeten Speicherplatz begrenzte Verschlüsselung Anstatt eine ganze Festplatte zu verschlüsseln, können Sie BitLocker so konfigurieren, dass nur der verwendete Speicherplatz auf einem Laufwerk verschlüsselt wird. Diese Option reduziert die insgesamt benötigte Verschlüsselungszeit erheblich.
Identitätsschutz und Zugriffssteuerung
Benutzeranmeldeinformationen sind wichtig für die Gesamtsicherheit der Domäne einer Organisation. Bis Windows 10 waren Kombinationen aus Benutzername und Kennwort die Hauptmethode, mit der eine Person ihre Identität gegenüber einem Computer oder System nachwies. Leider lassen sich Kennwörter einfach stehlen, und Angreifer können sie remote zum Spoofen der Identität eines Benutzers nutzen. Einige Unternehmen stellen Public Key-Infrastruktur (PKI)-basierte Lösungen wie Smartcards bereit, um die Schwächen von Kennwörtern zu beheben. Aufgrund der Komplexität und Kosten im Zusammenhang mit diesen Lösungen werden sie jedoch nur selten bereitgestellt und, selbst wenn sie verwendet werden, nur zum Schutz von Ressourcen mit höchster Priorität wie z. B. des Unternehmens-VPN genutzt. Mit Windows 10 werden neue Identitätsschutz- und Zugriffssteuerungsfeatures eingeführt, die die Schwächen der heutigen Lösungen beheben und effektiv Benutzerkennwörter in einer Organisation überflüssig machen können.
Windows 10 enthält auch ein Feature namens Microsoft Passport, einen neuen, direkt in das Betriebssystem integrierten 2FA-Mechanismus. Die beiden Authentifizierungsfaktoren enthalten eine Kombination aus etwas, das Sie kennen (z. B. eine PIN), etwas, das Sie haben (z. B. Ihr PC oder Ihr Telefon), oder etwas über den Benutzer (z. B. biometrische Daten). Wenn Microsoft Passport aktiviert ist, ist es beim Anmelden bei einem Computer verantwortlich für das Weitergeben der Benutzerauthentifizierung im Netzwerk und stellt dabei die gleiche Umgebung mit einmaliger Anmeldung bereit, mit der Sie vertraut sind. Weitere Informationen zu Microsoft Passport finden Sie im Abschnitt Microsoft Passport.
Der für Microsoft Passport verfügbare biometrische Faktor wird durch ein weiteres neues Feature in Windows 10 namens Windows Hello gesteuert. Windows Hello verwendet eine Vielzahl biometrischer Sensoren, um unterschiedliche Punkte für die biometrische Messung zu akzeptieren, z. B. Gesicht, Iris und Fingerabdrücke, wodurch Organisationen aus verschiedenen Optionen auswählen können, was für ihre Benutzer und Geräte am sinnvollsten ist. Durch die Kombination von Windows Hello mit Microsoft Passport müssen sich Benutzer nicht mehr ein Kennwort für den Zugriff auf Unternehmensressourcen merken. Weitere Informationen zu Windows Hello finden Sie im Abschnitt Windows Hello.
Schließlich verwendet Windows 10 VBS zum Isolieren des für das Verwalten und Weitergeben der abgeleiteten Anmeldeinformationen eines Benutzers (z. B. Kerberos-Ticket, NTLM-Hash) verantwortlichen Windows-Diensts über ein Feature namens Credential Guard. Zusätzlich zur Dienstisolation schützt das TPM Anmeldeinformationen, wenn der Computer ausgeführt wird und wenn er ausgeschaltet ist. Credential Guard bietet eine umfassende Strategie zum Schutz vom Benutzer abgeleiteter Anmeldeinformationen zur Laufzeit sowie im Ruhezustand und verhindert somit, dass auf diese zugegriffen wird und sie bei Pass-the-Hash-Angriffen verwendet werden. Weitere Informationen zu Credential Guard finden Sie im Abschnitt Credential Guard.
Microsoft Passport
In der Vergangenheit haben Unternehmen das Risiko des Diebstahls von Anmeldeinformationen durch die Implementierung von 2FA verringert. Bei dieser Methode stärkt die Kombination aus etwas, das Sie kennen (z. B. eine PIN), etwas, das Sie haben (in der Regel eine Smartcard oder ein Token), oder möglicherweise etwas über den Benutzer (z. B. biometrische Daten) den Anmeldevorgang. Der zusätzliche Faktor aus etwas, das Sie kennen, macht es für einen Dieb von Anmeldeinformationen erforderlich, an ein physisches Gerät oder, im Fall von biometrischen Daten, an den eigentlichen Benutzer zu gelangen.
Microsoft Passport bietet einen starken, direkt in Windows integrierten 2FA-Mechanismus. Viele Organisationen verwenden heute 2FA, integrieren jedoch wegen des dazu erforderliche Aufwands und der Zeit nicht die Funktionen in ihre Organisation. Daher verwenden die meisten Organisationen MFA nur zum Sichern von VPN-Verbindungen und der Ressourcen mit dem höchsten Wert in ihrem Netzwerk und verwenden dann herkömmliche Kennwörter für die Anmeldung bei Geräten und die Navigation im übrigen Netzwerk. Microsoft Passport unterscheidet sich von diesen anderen Formen von 2FA dadurch, dass es von Microsoft speziell für die Herausforderungen bei Komplexität, Kosten und Benutzererfahrung der herkömmlichen 2FA-Lösungen entwickelt wurde und im gesamten Unternehmen einfach über die vorhandene Infrastruktur und Geräte bereitgestellt werden kann.
Microsoft Passport kann die biometrischen Informationen aus Windows Hello oder eine eindeutige PIN mit im Geräte-TPM gespeicherten kryptografischen Signaturschlüsseln verwenden. Für Unternehmen ohne vorhandene PKI kann das TPM – oder Windows, wenn kein TPM vorhanden ist – diese Schlüssel generieren und schützen. Wenn Ihre Organisation über eine lokale PKI verfügt oder diese bereitstellen möchte, können Sie mithilfe von Zertifikaten aus der PKI die Schlüssel generieren und danach im TPM speichern. Wenn der Benutzer das Gerät registriert hat und Windows Hello oder eine PIN zum Anmelden beim Gerät verwendet, erfüllt der private Schlüssel von Microsoft Passport alle nachfolgenden Authentifizierungsanforderungen. Microsoft Passport kombiniert die Flexibilität bei der Bereitstellung virtueller Smartcards und zuverlässige Sicherheit für physische Smartcards, ohne dass die zusätzlichen Infrastrukturkomponenten für herkömmliche Smartcard-Bereitstellungen und Hardware, z. B. Karten und Leser, erforderlich sind.
In Windows 10 ist der physische Authentifizierungsfaktor das Gerät des Benutzers – entweder sein PC oder Mobiltelefon. Mithilfe der neuen telefonbasierten Anmeldung, die für Windows-Insider als Vorschau Anfang 2016 verfügbar ist, können Benutzer ihren PC entsperren, ohne ihn zu berühren. Benutzer registrieren einfach ihr Telefon bei Microsoft Passport, indem sie es mit dem PC über WLAN oder Bluetooth koppeln, und installieren eine einfach zu verwendende Anwendung auf ihrem Telefon, mit der sie den zu entsperrenden PC auswählen können. Bei Auswahl dieser Option können Benutzer eine PIN oder ihre biometrischen Anmeldeinformationen auf dem Handy eingeben, um ihren PC zu entsperren.
Windows Hello
Kennwörter stellen einen unterlegenen Identitäts- und Zugriffssteuerungsmechanismus dar. Wenn eine Organisation eine kennwortgesteuerte Windows-Authentifizierung nutzt, müssen Angreifer nur eine einzelne Zeichenfolge Text ermitteln, um auf alle Elemente in einem Unternehmensnetzwerk zuzugreifen, das diese Anmeldeinformationen schützen. Leider können Angreifer mehrere Methoden verwenden, um das Kennwort eines Benutzers abrufen, was den Diebstahl von Anmeldeinformationen für entschlossene Angreifer relativ einfach macht. Durch den Wechsel zu einem MFA-Mechanismus zur Überprüfung von Benutzeridentitäten können Organisationen die Bedrohungen, die Single-Factor-Optionen wie Kennwörter darstellen, beseitigen.
Windows Hello ist das robuste biometrische Integrationsfeature in Windows 10. Dieses Feature ermöglicht Benutzern die Verwendung von Gesicht, Iris oder Fingerabdruck anstatt eines Kennworts zur Authentifizierung. Obwohl es biometrische Anmeldefunktionen seit dem Betriebssystem Windows XP gibt, waren sie nie so einfach, nahtlos und sicher wie in Windows 10. Bei der vorherigen Nutzung von Biometrie in Windows verwendete das Betriebssystem die biometrischen Informationen nur zum Entsperren des Geräts. Dann wurde hinter den Kulissen das herkömmliche Kennwort des Benutzers verwendet, um auf Ressourcen im Unternehmensnetzwerk zuzugreifen. Darüber hinaus mussten die IT-Organisation zusätzliche Software zum Konfigurieren der biometrischen Geräte zum Anmelden bei Windows oder Anwendungen ausführen. Windows Hello ist direkt in das Betriebssystem integriert ist und erfordert keine zusätzliche Software, um zu funktionieren. Wie jede andere auf biometrischen Daten basierende Anmeldung erfordert Windows Hello jedoch bestimmte Hardware:
Gesichtserkennung Zur Gesichtserkennung verwendet Windows Hello spezielle Infrarotkameras und Anti-Spoofing-Technologie, um zuverlässig den Unterschied zwischen einem Foto und einer echten Person zu erkennen. Durch diese Anforderung wird sichergestellt, dass niemand über den PC einer Person seine Identität durch Erlangen eines Bilds mit hoher Auflösung spoofen kann. Viele Hersteller bieten bereits PC-Modelle mit solchen Kameras an, die daher mit Windows Hello kompatibel sind. Für Computer, die derzeit keine dieser speziellen Kameras enthalten, sind mehrere externe Kameras verfügbar.
Fingerabdruckerkennung Fingerabdrucksensoren sind in einem großen Teil der Consumer- und Unternehmens-PCs bereits vorhanden. Die meisten (ob extern oder in Laptops bzw. USB-Tastaturen integriert) funktionieren mit Windows Hello. Die Technologie für Erkennung und Anti-Spoofing unter Windows 10 ist fortschrittlicher als in vorherigen Windows-Versionen und erschwert es Angreifern, das Betriebssystem zu täuschen.
Iriserkennung Wie die Gesichtserkennung verwendet die Iris-basierte Erkennung spezielle Infrarotkameras und Anti-Spoofing-Technologie, um zuverlässig den Unterschied zwischen der Iris des Benutzers und einem Betrüger zu erkennen. Die Iriserkennung wird bis Ende 2016 auf mobilen Geräten verfügbar sein, sie ist jedoch auch für unabhängige Hardwareanbieter und OEMs zur Integration in PCs verfügbar.
Mit Windows Hello in Verbindung mit Microsoft Passport verfügen Benutzer über die gleiche Umgebung mit einmaliger Anmeldung wie bei der Anmeldung mit Domänenanmeldeinformationen. Sie verwenden stattdessen einfach biometrische Daten. Und da keine Kennwörter beteiligt sind, rufen Benutzer nicht beim Helpdesk an, weil sie ihr Kennwort vergessen haben. Wenn ein Angreifer die Identität eines Benutzers spoofen will, müsste er sich im physischen Besitz des Benutzers und des Geräts befinden, auf dem der Benutzer Windows Hello eingerichtet hat. Im Hinblick auf den Datenschutz können Organisationen sicher sein, dass die von Windows Hello verwendeten biometrischen Daten nicht zentral gespeichert werden, nicht in Bilder von Fingerabdruck, Gesicht oder Iris des Benutzers konvertiert werden können und ständig auf dem Gerät verbleiben. Am Ende können Windows Hello und Microsoft Passport Kennwörter für Azure AD und hybride Azure AD/Active Directory-Umgebungen und die Apps und Webdienste, die für Identitätsdienste von ihnen abhängig sind, völlig überflüssig machen. Weitere Informationen zu Microsoft Passport finden Sie im Abschnitt Microsoft Passport.
Credential Guard
Die Hashweitergabe ist heute der am häufigste verwendete abgeleitete Anmeldeinformationenangriff. Dieser Angriff beginnt damit, dass ein Angreifer die abgeleiteten Anmeldeinformationen eines Benutzerkontos (Hashwert) aus dem Speicher extrahiert. Dann nutzt (übergibt) der Angreifer mithilfe eines Produkts wie Mimikatz diese Anmeldeinformationen auf anderen Computern und Ressourcen im Netzwerk, um zusätzlichen Zugriff zu erhalten. Microsoft hat Credential Guard speziell dafür entwickelt, den Diebstahl und Missbrauch von abgeleiteten Anmeldeinformationen bei Pass-the-Hash-Angriffen zu vermeiden.
Credential Guard ist ein weiteres neues Feature in Windows 10 Enterprise, das VBS nutzt, um Domänenanmeldeinformationen vor Diebstahl zu schützen, auch wenn das Hostbetriebssystem gefährdet ist. Um diesen Schutz zu erreichen, isoliert Credential Guard einen Teil des LSA-Diensts, der für die Verwaltung der Authentifizierung zuständig ist, in einem virtualisierten Container. Dieser Container ist vergleichbar mit einem in einem Hypervisor ausgeführten virtuellen Computer, er ist jedoch extrem einfach und enthält nur die zur Ausführung der LSA und anderer isolierter Dienste erforderlichen Dateien und Komponenten. Durch das Isolieren eines Teils des LSA-Diensts innerhalb dieser virtualisierten Umgebung sind Anmeldeinformationen geschützt, auch wenn der Systemkernel gefährdet ist, indem das Angriffsrisiko für die Hashweitergabe entfernt wird.
Weitere Informationen zu den Hardwareanforderungen für Credential Guard finden Sie im Abschnitt Hardwareüberlegungen für Windows 10. Weitere Informationen zu VBS in Windows 10 finden Sie im Abschnitt Virtualisierungsbasierte Sicherheit.
Hinweis
Da der isolierte Benutzermodus und ein Hyper-V-Hypervisor erforderlich ist, kann Credential Guard nicht auf einem virtuellen Computer, sondern nur auf einem physischen Computer konfiguriert werden.
Das Credential Guard-Feature zielt darauf ab, die Verwendung von Hashweitergabe- und Ticketweitergabetechniken abzuwehren. Durch das Verwenden einer MFA-Option wie Microsoft Passport mit Credential Guard erhalten Sie einen zusätzlichen Schutz gegen solche Bedrohungen. Ausführlichere Informationen zur Funktionsweise von Credential Guard und den spezifischen Gegenmaßnahmen, die es bietet, finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.
Hardwareüberlegungen für Windows 10
Die meisten Features, die in diesem Artikel beschrieben werden, erfordern spezielle Hardware, um ihre Leistung zu maximieren. Durch den Kauf von Hardware mit diesen Features während Ihres nächsten Einkaufszyklus können Sie das umfassendste Clientsicherheitspaket nutzen, das Windows 10 zu bieten hat. Für den Erfolg des Clientsicherheitsportfolios Ihrer Organisation ist es äußerst wichtig, sorgfältige Überlegungen darüber anzustellen, welcher Hardwareanbieter verwendet werden soll bzw. welche bestimmten Modelle erworben werden sollen. Tabelle 1 enthält eine Liste jedes neuen Windows 10-Sicherheitsfeatures und der jeweiligen Hardwareanforderungen.
Tabelle 1. Windows 10-Hardwareanforderungen
| Windows 10-Feature | TPM | Speicherverwaltungseinheit für die Ein-/Ausgabe | Virtualisierungserweiterungen | SLAT | UEFI 2.3.1 | Nur für x64-Architektur |
|---|---|---|---|---|---|---|
| Credential Guard | R | N | Y | Y | Y | Y |
| Device Guard | N | Y | Y | Y | Y | Y |
| BitLocker | R | N | N | N | N | N |
| Konfigurierbare Codeintegrität | N | N | N | N | R | R |
| Microsoft Passport | R | N | N | N | N | N |
| Windows Hello | R | N | N | N | N | N |
| VBS | N | Y | Y | Y | N | Y |
| Sicherer UEFI-Start | R | N | N | N | Y | N |
| Nachweis über Geräteintegrität durch kontrollierten Start | Y* | N | N | N | Y | Y |
* Erfordert die Verwendung von TPM 2.0.
Hinweis
In dieser Tabelle steht R für empfohlen, Y bedeutet, dass die Hardwarekomponente für dieses Windows 10-Feature erforderlich ist, und N bedeutet, dass die Hardwarekomponente mit diesem Windows 10-Feature nicht verwendet wird.
Verwandte Themen
Mehr Individualität und Sicherheit unter Windows 10 durch Windows Hello
Schützen von BitLocker vor Angriffen vor dem Start