Sicherheitsleitfaden für Windows 10 Mobile
Dieses Handbuch enthält eine ausführliche Beschreibung der wichtigsten Sicherheitsfeatures im Windows 10 Mobile-Betriebssystem – Identität und Zugriffssteuerung, Schutz von Daten, Schutz gegen Schadsoftware und Sicherheit der App-Plattform.
Übersicht
Windows 10 Mobile ist speziell auf Smartphones und kleine Tablets ausgelegt. Es verwendet die gleichen Sicherheitstechnologien wie Betriebssystem Windows 10 zum Schutz gegen bekannte und neue Sicherheitsrisiken aus dem gesamten Spektrum von Angriffsvektoren. Bei der Entwicklung von Windows 10 Mobile wurden mehrere allgemeine Kategorien von Sicherheitsvorkehrungen berücksichtigt:
Identität und Zugriffssteuerung. Microsoft hat die Identitäts- und Zugriffssteuerungsfunktionen erheblich erweitert, um die Sicherheit der Benutzerauthentifizierung sowohl zu vereinfachen als auch zu verbessern. Zu diesen Funktionen gehören Windows Hello und Microsoft Passport, die anhand der einfach bereitzustellenden und verwendenden mehrstufigen Authentifizierung (Multifactor Authentication, MFA) einen besseren Schutz für Benutzeridentitäten bieten. (Windows Hello erfordert entweder eine spezielle Kamera mit Infrarotbeleuchtung [IR] für die Gesichts- oder Iriserkennung oder einen Fingerabdruckleser, der das Windows-Biometrieframework unterstützt.)
Schutz von Daten. Vertrauliche Daten sind besser als je zuvor vor Angriffen geschützt. Windows 10 Mobile verwendet verschiedene Datenschutztechnologien. Diese werden auf benutzerfreundliche Weise bereitgestellt und können von der IT-Abteilung verwaltet werden.
**Schutz vor Schadsoftware.**Windows 10 Mobile schützt kritische Systemressourcen und Apps, um das Risiko von Schadsoftware zu reduzieren; dazu werden auch sichere Unternehmenshardware und der sichere Start unterstützt.
Sicherheit der App-Plattform. Die sichere Windows 10 Mobile-App-Plattform für Unternehmen bietet mehrere Sicherheitsstufen. Beispielsweise überprüft der Windows Store alle Apps auf Schadsoftware, um zu verhindern, dass Schadsoftware auf Geräte gelangt. Außerdem verhindert die AppContainer-Anwendungsisolation eine Beeinträchtigung von Apps durch schädliche Apps.
In diesem Leitfaden werden die einzelnen Technologien und ihre jeweiligen Funktionen zum Schutz Ihrer Windows 10 Mobile-Geräte erläutert.
Identität und Zugriffssteuerung
Das Konzept, dass ein Benutzer eine eindeutige Identität hat und dieser Identität der Zugriff auf Ressourcen entweder gewährt verweigert wird, stellt eine wesentliche Sicherheitsgrundlage dar. Dieses Konzept wird üblicherweise als Zugriffssteuerung bezeichnet, die aus drei Teilen besteht:
Identifikation. Der Benutzer (Subjekt) gibt im Computersystem eine eindeutige Identität an, um Zugriff auf eine Ressource (Objekt) wie eine Datei oder einen Drucker zu erhalten.
Authentifizierung. Authentifizierung ist der Prozess zum Nachweis der angegebenen Identität und zur Überprüfung, dass das Subjekt in der Tat das Subjekt ist.
Autorisierung. Das System gleicht die Zugriffsrechte des autorisierten Subjekts mit den Berechtigungen des Objekts ab, um den angeforderten Zugriff entweder zu gewähren oder zu verweigern.
Die Art und Weise, wie diese Komponenten in ein Betriebssystem implementiert werden, ist entscheidend dafür, dass Angreifer keinen Zugriff auf Unternehmensdaten erlangen. Nur Benutzer, die Ihre Identität nachweisen und zum Zugriff auf diese Daten berechtigt sind, können darauf zugreifen. In der Sicherheit sind jedoch unterschiedliche Abstufungen beim Identitätsnachweis und zahlreiche verschiedene Anforderungen für die Autorisierungslimits vorhanden. Die in den meisten Unternehmensumgebungen erforderliche Flexibilität bei der Zugriffssteuerung stellt für jedes Betriebssystem eine Herausforderung dar. Tabelle 1 enthält gängige Herausforderungen bei der Zugriffssteuerung und die unter Windows 10 Mobile verfügbaren Lösungen.
Tabelle 1 Windows 10 Mobile-Lösungen für gängige Herausforderungen bei der Zugriffssteuerung
| Herausforderung der Zugriffssteuerung | Windows 10 Mobile-Lösungen |
|---|---|
Organisationen verwenden häufig Kennwörter, um Benutzer zu authentifizieren und Zugriff auf Geschäftsanwendungen oder das Unternehmensnetzwerk bereitzustellen, da zuverlässigere alternative Authentifizierungsformen zu komplex und teuer in der Bereitstellung sind. |
Windows Hello bietet Biometriefunktionen zum Identifizieren des Benutzers und zum Freigeben des Geräts, die eng in Microsoft Passport integriert sind, um Benutzer zu identifizieren, authentifizieren und für den Zugriff auf das Unternehmensnetzwerk oder Anwendungen über ihr Windows 10 Mobile-Gerät mit unterstützender Biometriehardware zu autorisieren. |
Wenn eine Organisation Smartcards verwendet, muss sie einen Smartcardleser, Smartcards und Smartcard-Verwaltungssoftware kaufen. Die Implementierung dieser Lösungen ist komplex und teuer; außerdem verzögern sie häufig die mobile Produktivität. |
Windows Hello mit Microsoft Passport ermöglicht eine einfache und kostengünstige MFA-Bereitstellung im gesamten Unternehmen und erhöht so das Sicherheitsniveau. |
Benutzer von Mobilgeräten müssen ihr Kennwort auf einer Bildschirmtastatur eingeben. Die Eingabe von komplexen Kennwörtern auf diese Weise ist fehleranfällig und weniger effizient als auf einer Tastatur. |
Windows Hello ermöglicht die Authentifizierung auf Basis von Irisscans, Fingerabdrücken und Gesichtserkennung für Geräte, die über biometrische Sensoren verfügen. Diese biometrischen Identifizierungsoptionen sind einfacher und effizienter als die kennwortbasierte Anmeldung. |
Benutzer geben ungern lange, komplexe Kennwörter ein, um sich bei Unternehmensdiensten anzumelden, insbesondere Kennwörter, die häufig geändert werden müssen. Diese Frustration häufig führt dazu, dass Kennwörter wiederverwendet oder notiert werden, und dass unsichere Kennwörter erstellt werden. |
Microsoft Passport ermöglicht es Benutzern, sich einmal anzumelden und Zugriff auf Unternehmensressourcen zu erhalten, ohne komplexe Kennwörter mehrfach eingeben zu müssen. Anmeldeinformationen sind durch das integrierte Trusted Platform Module (TPM) an ein Gerät gebunden und können nicht entfernt werden. |
In den folgenden Abschnitten werden diese Probleme und entsprechende Lösungen ausführlicher beschrieben.
Microsoft Passport
Microsoft Passport bietet eine starke MFA, die vollständig in Windows-Geräte integriert ist und Kennwörter ersetzt. Für die Authentifizierung muss der Benutzer über ein bei Microsoft Azure Active Directory (Azure AD) registriertes Gerät und eine PIN oder eine biometrische Windows Hello-Geste zum Entsperren des Geräts verfügen. Microsoft Passport ähnelt vom Konzept her einer Smartcard, ist jedoch flexibler, da es keine Public Key-Infrastruktur oder die Implementierung von zusätzlicher Hardware erfordert und die biometrische Identifikation unterstützt.
Microsoft Passport bietet drei erhebliche Vorteile gegenüber der bisherigen Windows-Authentifizierung: Es ist flexibler, basiert auf Branchenstandards und senkt Risiken effektiver.
Effektivität
Microsoft Passport schafft die Verwendung von Kennwörtern für die Anmeldung ab und reduziert damit das Risiko, dass Angreifer die Anmeldeinformationen eines Benutzers stehlen und wiederverwenden. Das Schlüsselmaterial für Benutzer, das den privaten Schlüssel des Benutzers enthält, ist nur auf dem Gerät verfügbar, auf dem es generiert wurde. Das Schlüsselmaterial ist durch das TPM geschützt, das es vor Angreifern schützt, die es erfassen und wiederverwenden möchten. Es ist eine Anforderung des Windows-Hardwarezertifizierungsprogramms, dass Windows 10 Mobile-Geräte ein TPM enthalten.
Zur unrechtmäßigen Verwendung von Microsoft Passport-Anmeldeinformationen, die von TPM geschützt werden, benötigt ein Angreifer Zugriff auf das physische Gerät und muss dann eine Möglichkeit finden, die biometrischen Daten des Benutzers vorzutäuschen oder seine PIN zu erraten – und zwar bevor das Gerät durch die Brute-Force-Schutzfunktionen des TPM gesperrt wird, der Diebstahl-Schutzmechanismus aktiviert wird oder der Benutzer bzw. ein Unternehmensadministrator das Gerät remote zurücksetzen. Diese Technologie reduziert erheblich die Gelegenheit für Angreifer, die Anmeldeinformationen eines Benutzers zu missbrauchen.
Flexibilität
Microsoft Passport bietet eine beispiellose Flexibilität und Schutz von Geschäftsdaten.
Am wichtigsten ist jedoch, dass Microsoft Passport mit Biometrie oder PINs funktioniert und Ihnen weit mehr Optionen als lange, komplexe Kennwörter bietet. Benutzer müssen sich keine häufig wechselnden Kennwörter mehr merken und mehrfach eingeben. Stattdessen ermöglicht Microsoft Passport eine auf PINs und biometrischen Daten basierende Identifizierung über Windows Hello, um Benutzer zuverlässiger zu identifizieren.
Das Windows 10 Mobile-Gerät, auf dem sich der Benutzer anmeldet, ist ebenfalls ein Authentifizierungsfaktor. Die verwendeten Anmeldeinformationen und der private Schlüssel auf dem Gerät sind gerätespezifisch und an das TPM des Geräts gebunden.
In der Zukunft ermöglicht Microsoft Passport auch die Verwendung von Windows 10 Mobile-Geräten als Remote-Anmeldeinformationen bei der Anmeldung an PCs mit Windows 10. Benutzer verwenden Ihre PINs oder biometrischen Daten zum Entsperren Ihrer Telefone, die dann wiederum ihre PCs entsperren. Die Telefonanmeldung mit Microsoft Passport sorgt dafür, dass die MFA-Implementierung für Szenarien, in denen die Anmeldeinformationen des Benutzers physisch vom PC getrennt sein müssen, auf dem sich der Benutzer anmeldet, günstiger und einfacher als andere Lösungen ist. Die Telefonanmeldung stellt auch eine Vereinfachung für Benutzer und IT-Spezialisten dar, da Benutzer ihre Telefone für die Anmeldung an Unternehmensgeräten verwenden können, anstatt auf jedem Gerät Benutzeranmeldeinformationen zu registrieren.
Mit Microsoft Passport profitieren Sie auch von Flexibilität im Rechenzentrum. Um den Dienst für Windows 10 Mobile-Geräte bereitzustellen, müssen Sie Azure AD einrichten. Das Ersetzen oder Entfernen Ihrer vorhandenen Active Directory-Umgebung ist jedoch nicht erforderlich. Mithilfe von Azure AD Connect können Unternehmen diese beiden Verzeichnisdienste synchronisieren. Microsoft Passport baut auf Ihre vorhandene Infrastruktur auf, ergänzt diese und ermöglicht Ihnen den Verbund mit Azure AD.
Microsoft Passport wird auch auf dem Desktop unterstützt, sodass Unternehmen eine einheitliche Methode für die Implementierung von sicherer Authentifizierung auf allen Geräten zur Verfügung steht. Diese Flexibilität macht es für Microsoft Passport einfacher, vorhandene Smartcard- oder Tokenbereitstellungen für lokale Windows-PC-Szenarien zu ergänzen, indem MFA für Mobilgeräte und Benutzer hinzugefügt wird, die derzeit nicht darüber verfügen, um zusätzlichen Schutz für sensible Ressourcen oder Systeme zu bieten, auf die diese Geräte zugreifen.
Standardisierung
Sowohl Softwareanbieter als auch Unternehmenskunden haben erkannt, dass proprietäre Identitäts- und Authentifizierungssysteme in eine Sackgasse führen: Die Zukunft gehört offenen, interoperablen Systeme, die eine sichere Authentifizierung über mehrere Geräte hinweg ermöglichen, branchenspezifischen Apps sowie externen Anwendungen und Websites. Zu diesem Zweck hat eine Gruppe von Branchenakteuren die FIDO-Allianz (Fast Identity Online Alliance) gegründet. Die FIDO-Allianz ist eine nichtkommerzielle Organisation, die auf die fehlende Interoperabilität zwischen sicheren Authentifizierungsgeräten sowie auf die Probleme ausgerichtet ist, die bei Benutzern auftreten, wenn sie mehrere Benutzernamen und Kennwörter erstellen und sich diese merken müssen. Die FIDO-Allianz plant eine grundlegende Änderung der Authentifizierung. Dazu sollen Spezifikationen zur Definition von offenen, skalierbaren, interoperablen Mechanismen entwickelt werden, die Kennwörter als Methode zur sicheren Authentifizierung von Benutzern von Onlinediensten ersetzen sollen. Dieser neue Standard ermöglicht die Einrichtung von Schnittstellen zwischen allen Unternehmensnetzwerken, Apps, Websites oder Cloudanwendungen mit einer Vielzahl von vorhandenen und künftigen FIDO-fähigen Geräten und Betriebssystem-Plattformen mithilfe von standardisierten Schnittstellen und Protokollen.
Microsoft gehört seit 2014 zu den Hauptmitgliedern der FIDO-Allianz. FIDO-Standards ermöglichen ein universelles Rahmenwerk, das von einem globalen Ökosystem bereitgestellt wird, um für eine einheitliche und deutlich verbesserte Benutzererfahrung bei der sicheren Authentifizierung ohne Kennwörter zu sorgen. Die im Dezember 2014 veröffentlichten FIDO 1.0-Spezifikationen sehen zwei Arten von Authentifizierung vor: ohne Kennwort (als „UAF“ bezeichnet) und anhand von zwei Faktoren („U2F“). Die FIDO-Allianz arbeitet derzeit an einer weiteren Version (2.0) von Vorschlägen, die die besten Ideen der FIDO 1.0-Standards U2F und UAF und selbstverständlich auch neue Ideen beinhalten. Microsoft hat der Arbeitsgruppe der FIDO 2.0-Spezifikationen die Microsoft Passport-Technologie zur Überprüfen und Beurteilung bereitgestellt und arbeitet weiterhin mit der FIDO-Allianz an den FIDO 2.0-Spezifikationen zusammen. Die Interoperabilität von FIDO-Produkten ein Markenzeichen der FIDO-Authentifizierung. Microsoft geht davon aus, dass die Markteinführung einer FIDO-Lösung einem massiven Bedürfnis von Unternehmen und Heimanwendern gleichermaßen nachkommt.
Windows Hello
Windows Hello ist das neue biometrische Framework für Windows 10. Da die biometrische Identifizierung direkt in das Betriebssystem integriert ist, können Sie Ihr Mobilgeräte mit der Iris, dem Gesicht oder dem Fingerabdruck entsperren. Windows Hello entsperrt Microsoft Passport-Anmeldeinformationen für die Authentifizierung bei Ressourcen oder vertrauenden Seiten, z. B. Software-as-a-Service-Anwendungen wie Microsoft Office 365.
Windows Hello unterstützt drei Optionen für biometrische Sensoren, die für Unternehmensszenarien geeignet sind:
Gesichtserkennung – verwendet spezielle IR-Kameras, die zuverlässig den Unterschied zwischen einem Foto oder Scan und einer echten Person erkennen. Mehrere Anbieter haben externe Kameras im Angebot, die über diese Technologie verfügen, und wichtige Hersteller bieten bereits Laptops mit integrierter Gesichtserkennungstechnologie an. Surface Pro 4 und Surface Book unterstützen diese Technologie.
Fingerabdruckerkennung – scannt den Fingerabdruck des Benutzers mit einem Sensor. Fingerabdruckleser sind für Windows-Computer bereits zwar bereits seit mehreren Jahren verfügbar, die Algorithmen für Erkennung und Anti-Spoofing unter Windows 10 sind jedoch fortschrittlicher als in vorherigen Windows-Versionen. Die meisten vorhandenen Fingerabdruckleser (ob externe oder in Laptops bzw. USB-Tastaturen integrierte), die das Windows-Biometrieframework unterstützen, sind mit Windows Hello kompatibel.
Für Irisscans werden Kameras verwendet, die zum Scannen der Iris des Benutzers entwickelt wurden, dem farbigen und äußerst detailreichen Teil des Auges. Da die Daten präzise sein müssen, wird bei Irisscans eine Kombination aus einer IR-Lichtquelle und einer qualitativ hochwertigen Kamera verwendet. Microsoft Lumia 950 und 950 XL-Geräte unterstützen diese Technologie.
Hinweis
Benutzer müssen eine PIN zum Entsperren erstellen, bevor sie eine biometrische Geste registrieren. Das Gerät verwendet diese PIN als Fallbackmechanismus in Situationen, in denen die biometrische Geste nicht erfasst werden kann.
Alle drei dieser biometrischen Faktoren – Gesicht, Finger und Iris – sind für jede Person einzigartig. Um genügend Daten zur eindeutigen Identifizierung einer Person zu erhalten, erfasst ein biometrischer Scanner am Anfang möglicherweise Bilder unter verschiedenen Bedingungen oder mit zusätzlichen Details. Ein Irisscanner erfasst beispielsweise Bilder von beiden Augen oder mit und ohne Brille bzw. Kontaktlinsen.
Das Spoofing von biometrischen Daten ist in Unternehmensumgebungen häufig ein wichtiges Anliegen. Microsoft setzt unter Windows 10 Mobile mehrere Anti-Spoofing-Techniken ein, mit denen die Vertrauenswürdigkeit des biometrischen Geräts sowie der Schutz vor absichtlicher Kollision mit gespeicherten biometrischen Messungen überprüft wird. Diese Techniken verbessern die Falschakzeptanzrate (Rate der gefälschten biometrischen Daten, die als authentisch akzeptiert werden), während die allgemeine Benutzerfreundlichkeit und Verwaltbarkeit der MFA beibehalten wird.
Das bei der Registrierung erfasste biometrische Bild wird in eine algorithmische Form umgewandelt, die nicht wieder in das Originalbild konvertiert werden kann. Nur die algorithmische Form wird beibehalten; das eigentliche biometrische Bild wird nach der Konvertierung vom Gerät entfernt. Windows 10 Mobile-Geräte verschlüsseln die algorithmische Form der biometrischen Daten und binden die verschlüsselten Daten an das Gerät; beides trägt dazu bei, dass die Daten nicht vom Telefon entfernt werden können. Daher gelten die von Windows Hello verwendeten biometrischen Informationen als lokale Geste und wechseln nicht zwischen den Geräten eines Benutzers.
Windows Hello bietet mehrere wichtige Vorteile. Zunächst begegnet dieses System den Problemen mit dem Diebstahl und der Freigabe von Anmeldeinformationen, da ein Angreifer über das Mobiltelefon verfügen und die biometrische Identität des Benutzers vortäuschen muss, was schwieriger ist, als das Kennwort zum Entsperren eines Geräts zu stehlen. Zweitens sorgt die Verwendung biometrischer Daten dafür, dass Benutzer immer einen Authentifikator bei sich haben – nichts kann vergessen, verloren und zurückgelassen werden. Anstatt sich lange, komplexe Kennwörter zu merken, können Benutzer eine bequeme und sichere Methode für Unternehmen zur Anmeldung auf ihren Windows 10 Mobile-Geräten nutzen. Zudem ist keine zusätzliche Bereitstellung erforderlich, da Microsoft die Unterstützung für Windows Hello direkt in das Betriebssystem integriert hat. Sie brauchen nur ein Gerät mit einem unterstützten biometrischen Sensor.
Das Gerät, das die biometrischen Faktoren aufnimmt, muss die Daten schnell und präzise an Windows Hello melden. Aus diesem Grund bestimmt Microsoft, welche Faktoren und Geräte vertrauenswürdig und präzise sind, bevor sie in Windows Hello aufgenommen werden. Weitere Informationen finden Sie unter Windows 10-Spezifikationen.
Datenschutz
Windows 10 Mobile bietet weiterhin Lösungen, die Informationen vor unbefugtem Zugriff und Offenlegung schützen.
Geräteverschlüsselung
Windows 10 Mobile verwendet Geräteverschlüsselung auf Basis der BitLocker-Technologie, um alle internen Speicher, einschließlich der Betriebssystem- und Datenspeicherpartitionen zu verschlüsseln. Der Benutzer kann die Geräteverschlüsselung aktivieren, oder die IT-Abteilung kann die Verschlüsselung für im Unternehmen verwaltete Geräte über MDM-Tools aktivieren und erzwingen. Wenn die Geräteverschlüsselung aktiviert ist, werden alle auf dem Telefon gespeicherten Daten automatisch verschlüsselt. Ein Windows 10 Mobile-Gerät mit aktivierter Verschlüsselung trägt zum Schutz der Vertraulichkeit von gespeicherten Daten bei, wenn das Gerät verloren geht oder gestohlen wird. Die Kombination aus der Windows Hello-Sperre und Datenverschlüsselung macht es unautorisierten Benutzern äußert schwer, vertrauliche Informationen vom Gerät abzurufen.
Sie können die Funktionsweise der Geräteverschlüsselung anpassen, damit sie ihre individuellen Sicherheitsanforderungen erfüllt. Die Geräteverschlüsselung ermöglicht Ihnen sogar das Definieren einer eigenen Verschlüsselungssammlung. Sie können beispielsweise den Algorithmus und die Größe des Schlüssels, den Windows 10 Mobile für die Datenverschlüsselung nutzt, sowie die zulässigen TLS (Transport Layer Security)-Verschlüsselungssammlungen angeben und festlegen, ob die FIPS (Federal Information Processing Standard)-Richtlinie aktiviert ist. In Tabelle 2 sind die Richtlinien aufgeführt, die Sie ändern können, um die Geräteverschlüsselung auf Windows 10 Mobile-Geräten anpassen.
Tabelle 2 Richtlinien für Windows 10-Kryptografie
| Bereichsname | Richtlinienname | Beschreibung |
|---|---|---|
Kryptografie |
FIPS-Algorithmusrichtlinie zulassen |
Aktivieren oder deaktivieren Sie die FIPS-Richtlinie. Zum Durchsetzen dieser Richtlinie ist ein Neustart erforderlich. Der Standardwert ist „deaktiviert“. |
BitLocker |
Verschlüsselungsmethode |
Konfiguriert die BitLocker-Verschlüsselungsmethode für Laufwerke und die Verschlüsselungsstärke. Der Standardwert ist „AES-CBC 128-Bit“. Wenn das Gerät den angegebenen Wert nicht verwendet kann, verwendet es einen anderen. |
Kryptografie |
TLS-Verschlüsselungssammlung |
Diese Richtlinie enthält eine Liste der Algorithmen für kryptografische Verschlüsselung, die für Secure Sockets Layer-Verbindungen zulässig sind. |
Eine vollständige Liste der verfügbaren Richtlinien, finden Sie unter Richtlinien-CSP.
Schutz von Unternehmensdaten
In Unternehmen erfolgte eine starke Zunahme der Konvergenz von persönlichen Datenspeicher und Unternehmensdatenspeichern. Persönliche Daten werden häufig auf Unternehmensgeräten gespeichert und umgekehrt. Diese Situation erhöht das Potenzial für die Gefährdung sensibler Unternehmensdaten.
Ein wachsendes Risiko besteht in der versehentlichen Offenlegung von sensiblen Daten durch autorisierte Benutzer – ein Risiko, das schnell zur größten Quelle von Verlusten vertraulicher Daten wird, wenn Unternehmen den Zugriff auf Unternehmensressourcen über persönliche Geräte zulassen. Beispiel für eine häufige Situation in Unternehmen: Ein Mitarbeiter verbindet sein Privattelefon mit der Microsoft Exchange Server-Instanz des Unternehmens, z. B. für die Bearbeitung von E-Mails. Er verwendet das Telefon zur Bearbeitung einer E-Mail, die Anlagen mit vertraulichen Daten enthält. Beim Senden der E-Mail kopiert der Benutzer versehentlich einen Lieferanten. Der Schutz von Inhalten ist nur so stark wie das schwächste Glied, und in diesem Beispiel wäre die unbeabsichtigte Freigabe von sensiblen Daten für nicht autorisierte Personen mit standardmäßiger Datenverschlüsselung möglicherweise nicht verhindert worden.
Unter Windows 10 Mobile Enterprise sorgt der Unternehmensdatenschutz (Enterprise Data Protection, EDP) für die Trennung von persönlichen und geschäftlichen Daten und verhindert Datenlecks. Wichtige Features:
Automatische Markierung von persönlichen und geschäftlichen Daten
Schutz von ruhenden Daten in lokalen Speichern oder auf Wechseldatenträgern.
Kontrolle über die Apps mit Zugriff auf Unternehmensdaten
Kontrolle über die Apps mit Zugriff auf eine VPN-Verbindung
Verhindern, dass Benutzer Unternehmensdaten an öffentliche Speicherorte kopieren
Hinweis
EDP wird derzeit in ausgewählten Kundenbewertungsprogrammen getestet. Weitere Informationen zu EDP, finden Sie unter Schutz von Daten für Unternehmen – Überblick.
Optimierung
Drittanbieterlösungen zur Verhinderung von Datenverlusten erfordern in der Regel, dass Entwickler ihre Apps umschließen. EDP dagegen implementiert die Intelligenz in Windows 10 Mobile, sodass keine Wrapper erforderlich sind. Daher muss für die meisten Apps zur Verwendung von EDP nichts Zusätzliches bereitgestellt werden.
EDP kann Richtlinien durchsetzen, ohne dass eine App geändert werden muss. Dies bedeutet, dass eine App, die immer Geschäftsdaten behandelt (z. B. Branchen-Apps), der Liste zugelassener Apps hinzugefügt werden kann und immer alle Daten verschlüsselt, die sie verarbeitet. Wenn die App jedoch keine allgemeinen Steuerelemente verwendet, schlägt das Ausschneiden und Einfügen aus dieser App in eine unternehmensfremde App ohne Meldung fehl. Wenn die App persönliche Daten behandeln muss, werden diese ebenfalls verschlüsselt.
Daher sollten Entwickler ihre Apps in einigen Fällen optimieren, um die Benutzerfreundlichkeit zu verbessern, indem sie ihnen Code hinzufügen und sie für die Verwendung von EDP-Anwendungsprogrammierschnittstellen kompilieren. Dies gilt für Apps, die:
keine allgemeinen Steuerelemente zum Speichern von Dateien verwenden;
keine allgemeinen Steuerelemente für Textfelder verwenden;
gleichzeitig persönliche und geschäftliche Daten verarbeiten (z. B. Kontakt-Apps, die persönliche und geschäftliche Daten in einer Ansicht anzeigen, oder ein Browser, der persönliche und geschäftliche Webseiten auf Registerkarten in derselben Instanz anzeigt).
In Abbildung 1 wird zusammengefasst, wann eine App für die Verwendung von EDP optimiert werden muss. Microsoft Word ist ein gutes Beispiel. Word kann nicht nur gleichzeitig auf persönliche und Unternehmensdaten zugreifen, sondern auch Unternehmensdaten übertragen (z. B. E-Mail-Anlagen mit Unternehmensdaten).
Die meisten Apps erfordern jedenfalls keine Optimierung, um EDP-Schutz zu verwenden. Sie müssen lediglich der EDP-Liste zugelassener Apps hinzugefügt werden. Da nicht optimierte Apps Daten nicht automatisch als persönliche oder geschäftliche Daten kennzeichnen können, behandeln sie alle Daten als Unternehmensdaten, sofern sie einer EDP-Richtlinie unterliegen. Eine branchenspezifische App ist ein gutes Beispiel. Durch das Hinzufügen einer Branchen-App zu einer EDP-Richtlinie werden alle von der App behandelten Daten geschützt. Ein weiteres Beispiel ist eine ältere App, die nicht aktualisiert werden kann. Diese können sie einer EDP-Richtlinie hinzufügen und verwenden, ohne sich bewusst zu sein, dass EDP vorhanden ist.
.png "Abbildung 1")
Abbildung 1. Wann ist eine Optimierung erforderlich?
Kontrollieren von Datenlecks
Zum Konfigurieren von EDP in einer MDM-Lösung, die es unterstützt, fügen Sie der Zulassungsliste autorisierte Apps hinzu. Wenn ein Gerät mit Windows 10 Mobile für die MDM-Lösung registriert wird, erhalten Apps, die von dieser Richtlinie nicht autorisiert werden, keinen Zugriff auf Unternehmensdaten.
EDP funktioniert nahtlos, bis Benutzer versuchen, auf Unternehmensdaten zuzugreifen oder versuchen, Unternehmensdaten in nicht autorisierte Apps oder Speicherorte im Internet einzufügen. Das Kopieren von Unternehmensdaten von einer autorisierten App in eine andere autorisierten App funktioniert beispielsweise wie gewohnt, EDP verhindert jedoch, dass Benutzer Unternehmensdaten von einer autorisierten App in eine nicht autorisierte App kopieren. Ebenso verhindert EDP, dass Benutzer eine Datei, die Unternehmensdaten enthält, in einer nicht autorisierten App öffnen.
Außerdem können Benutzer keine Daten aus autorisierten Apps in nicht autorisierte Apps oder Speicherorte im Internet kopieren und einfügen, ohne eine der EDP-Schutzebenen auszulösen:
Blockieren. EDP hindert Benutzer daran, den Vorgang abzuschließen.
Außer Kraft setzen. EDP informiert Benutzer darüber, dass der Vorgang unangemessen ist, ermöglicht ihnen aber, die Richtlinie außer Kraft zu setzen. Der Vorgang wird jedoch im Überwachungsprotokoll protokolliert.
Überwachen. EDP protokolliert Vorgänge im Überwachungsprotokoll, ohne sie zu blockieren oder Benutzer zu informieren.
Deaktiviert. EDP protokolliert Vorgänge nicht Überwachungsprotokoll, blockiert sie nicht und informiert Benutzer nicht.
Datentrennung
Wie der Name schon sagt, werden bei der Datentrennung persönliche Daten von Unternehmensdaten getrennt. Die meisten Drittanbieterlösungen erfordern einen App-Wrapper, in dem Unternehmensdaten innerhalb eines Containers und persönliche Daten außerhalb des Containers platziert werden. Häufig müssen Personen zwei verschiedene Apps für denselben Zweck verwenden: eine für persönliche Daten und eine weitere für Unternehmensdaten.
EDP bietet die gleiche Datentrennung, verwendet jedoch keine Container und erfordert auch keine spezielle Version einer App für den Zugriff auf Unternehmensdaten und eine zweite Instanz derselben App für den Zugriff auf persönliche Daten. Es gibt keine Container, Partitionen oder spezielle Ordner, um persönliche und geschäftliche Daten physisch zu trennen. Stattdessen fungiert Windows 10 Mobile als Zugriffssteuerungsbroker und identifiziert Unternehmensdaten, da es für das Unternehmen verschlüsselt ist. EDP bietet also Datentrennung durch die Verschlüsselung von Unternehmensdaten.
Visuelle Hinweise
In Windows 10 Mobile geben visuelle Hinweise den Status von EDP für Benutzer an (siehe Abbildung 2):
Startseite. Auf der Startseite zeigen von einer EDP-Richtlinie verwaltete Apps einen visuellen Hinweis an.
Dateien. Im Datei-Explorer gibt ein visueller Hinweis an, ob eine Datei oder ein Ordner Unternehmensdaten enthält und daher verschlüsselt ist.
Erwin ist z. B. ein Mitarbeiter bei Fabrikam. Er öffnet auf der Startseite Microsoft Edge und sieht, dass die Kachel angibt, dass eine EDP-Richtlinie den Browser verwaltet. Erwin öffnet die Fabrikam-Verkaufswebsite und lädt eine Tabelle herunter. Im Explorer sieht Erwin, dass die heruntergeladene Datei einen visuellen Hinweis aufweist, der angibt, dass sie verschlüsselt ist und Unternehmensdaten enthält. Wenn Erwin versucht, Daten aus dieser Tabelle in einer App einzufügen, die nicht von einer EDP-Richtlinie verwaltet wird (z. B. seine Twitter-App), wird ihm basierend auf der in der EDP-Richtlinie konfigurierten Schutzebene möglicherweise eine Meldung angezeigt, die es ihm ermöglicht, den Schutz außer Kraft zu setzen, wobei die Aktion protokolliert wird.
.png "Abbildung 2")
Abbildung 2. Visuelle Hinweise in EDP
Schutz vor Schadsoftware
Genauso wie Software einen erheblichen Bereich unseres Leben automatisiert hat, wurden Angriffe auf unsere Geräte durch Schadsoftware automatisiert. Diese Angriffe sind schonungslos. Schadsoftware ändert sich ständig, und wenn sie ein Gerät infiziert, ist sie u. U. sehr schwer zu erkennen und zu entfernen.
Die beste Methode zur Bekämpfung von Schadsoftware ist das Verhindern einer Infektion. Windows 10 Mobile bietet starken Schutz gegen Schadsoftware, da gesicherte Hardware genutzt wird und sowohl Startprozess und die Kernarchitektur des Betriebssystems schützt.
In Tabelle 3 sind konkrete Bedrohungen durch Schadsoftware und die von Windows 10 Mobile bereitstellten Abhilfemaßnahmen aufgeführt.
Tabelle 3. Bedrohungen und Gegenmaßnahmen unter Windows 10 Mobile
| Bedrohung | Gegenmaßnahmen unter Windows 10 Mobile |
|---|---|
Firmware-Bootkits ersetzen die Firmware durch Schadsoftware. |
Alle zertifizierten Geräte verfügen über eine UEFI (Unified Extensible Firmware) mit sicherem Start, die signierte Firmware für Updates von UEFI und Options-ROMs erfordern. |
Bootkits starten Schadsoftware, bevor Windows gestartet wird. |
UEFI mit sicherem Start überprüft die Integrität des Windows-Startladeprogramms um sicherzustellen, dass kein schädliches Betriebssystem vor Windows gestartet werden kann. |
System- oder Treiber-Rootkits (meist bösartige, vor dem Betriebssystem verborgene Software) starten während des Windows-Startvorgangs Schadsoftware auf Kernel-Ebene bevor Antischadsoftware-Lösungen gestartet werden können. |
Der vertrauenswürdige Start von Windows überprüft Windows-Startkomponenten, einschließlich der Microsoft-Treiber. Der kontrollierte Start wird parallel zum vertrauenswürdigen Start ausgeführt und kann Informationen für einen Remoteserver bereitstellen, der den Startzustand des Geräts überprüft, um sicherzustellen, dass der vertrauenswürdige Start und andere Startkomponenten das System erfolgreich überprüft haben. |
Eine App infiziert andere Apps oder das Betriebssystem mit Schadsoftware. |
Alle Windows 10 Mobile-Apps werden innerhalb eines AppContainers ausgeführt, der sie von allen anderen Prozessen und sensiblen Betriebssystemkomponenten isoliert. Apps können nicht auf Ressourcen außerhalb ihres AppContainers zugreifen. |
Eine nicht autorisierte App oder Schadsoftware versucht, auf dem Gerät zu starten. |
Alle Windows 10 Mobile-Apps müssen aus dem Windows Store oder Windows Store für Unternehmen stammen. Device Guard setzt administrative Richtlinien durch, um genau auszuwählen, welche Apps ausgeführt werden dürfen. |
Schadsoftware auf Benutzerebene nutzt eine Schwachstelle im System oder einer Anwendung und übernimmt Gerät. |
Verbesserungen der zufälligen Anordnung des Layouts des Adressraums (Address Space Layout Randomization, ASLR), der Datenausführungsverhinderung (Data Execution Prevention, DEP), der Heap-Architektur und von und Speicherverwaltungsalgorithmen reduzieren die Wahrscheinlichkeit, dass Sicherheitslücken zu erfolgreichen Exploits führen. Geschützte Prozesse isolieren nicht vertrauenswürdige Prozesse voneinander sowie von sensiblen Betriebssystemkomponenten. |
Benutzer greifen auf eine gefährliche Website zu, ohne das Risiko zu kennen. |
Das SmartScreen-URL-Zuverlässigkeitsfeature verhindert, dass Benutzer eine schädliche Website aufrufen, die möglicherweise versucht, den Browser zu missbrauchen und Kontrolle über das Gerät zu erlangen. |
Schadsoftware nutzt eine Schwachstelle in einem Browser-Add-On aus. |
Microsoft Edge ist eine auf der universellen Windows-Plattform (UWP) basierende App, die ältere binäre Erweiterungen wie Microsoft Active X und Browserhilfsobjekte, die häufig für Symbolleisten verwendet werden, nicht ausführt und so deren Risiken beseitigt. |
Eine Website, die schädlichen Code enthält, nutzt eine Schwachstelle im Webbrowser aus, um auf dem Client-Gerät Schadsoftware auszuführen. |
Microsoft Edge und verfügt über einen erweiterten geschützten Modus, der das System anhand von AppContainer-basiertem Sandboxing vor Sicherheitsrisiken schützt, die ein Angreifer u. U. in den ausgeführten Browsererweiterungen (z. B. Adobe Flash, Java) oder im Browser erkennt. |
Hinweis
Windows 10 Mobile-Geräte verwenden ein System on a Chip (SoC)-Design, das von SoC-Anbietern wie Qualcomm bereitgestellt wird. Mit dieser Architektur stellen die SoC-Anbieter und Gerätehersteller die Bootloader vor UEFI und die UEFI-Umgebung bereit. Die UEFI-Umgebung implementiert den Standard des sicheren UEFI-Starts, dieser ist in Abschnitt 27 der UEFI-Spezifikation beschrieben die Sie unter http://www.uefi.org/specsandtesttools finden. Dieser Standard beschreibt den Prozess, mit dem alle UEFI- Treiber und -Anwendungen vor ihrer Ausführung anhand von Schlüsseln überprüft werden, die auf einem UEFI-basierten Gerät bereitgestellt werden.
In den folgenden Abschnitten werden diese Verbesserungen ausführlicher beschrieben.
Sichere Unternehmenshardware
Die umfassende Nutzung von Windows 10 Mobile-Sicherheitsfeatures erfordert Weiterentwicklungen der hardwarebasierten Sicherheit. Diese Weiterentwicklungen umfassen UEFI mit sicherem Start, TPM und biometrische Sensoren (abhängig von der Hardware).
UEFI mit sicherem Start
Wenn ein Windows 10 Mobile-Gerät gestartet wird, beginnt es den Betriebssystem-Ladeprozess durch Suchen des Startladeprogramms im Speichersystem des Geräts. Ohne Sicherheitsmaßnahmen überlässt das Telefon die Steuerung u. U. einfach dem Startladeprogramm, ohne zu ermitteln, ob es sich um ein vertrauenswürdiges Betriebssystem oder Schadsoftware handelt.
UEFI ist eine standardbasierte Lösung, die einen modernen Ersatz für das BIOS bietet. Eigentlich bietet sie die gleiche Funktionalität wie das BIOS, verfügt jedoch über zusätzliche Sicherheitsfeatures und andere erweiterte Funktionen. Wie das BIOS initialisiert UEFI Geräte, die UEFI-Komponenten mit dem Feature „Sicherer Start“ (Version 2.3.1 oder höher) stellen jedoch auch sicher, dass nur vertrauenswürdige Firmware in Options-ROMs, UEFI-Apps und Startladeprogrammen des Betriebssystems auf dem Mobiltelefon starten können.
UEFI kann interne Integritätsprüfungen der digitalen Signatur der Firmware vornehmen, bevor diese ausgeführt wird. Da nur der Hersteller des Mobiltelefons Zugriff auf das digitale Zertifikat hat, das zum Erstellen einer gültigen Firmwaresignatur erforderlich ist, bietet UEFI Schutz gegen Firmware-basierte Schadsoftware, die vor Windows 10 Mobile geladen wird und kann deren schädliches Verhalten erfolgreich vor Windows 10 Mobile verbergen. Firmware-basierte Schadsoftware dieser Art wird in der Regel als „Bootkit“ bezeichnet.
Wenn ein Mobiltelefon mit UEFI und dem Feature „Sicherer Start“ gestartet wird, überprüft die UEFI-Firmware die digitale Signatur des Startladeprogramms, um sicherzustellen, dass es nach der digitalen Signierung nicht verändert wurde. Die Firmware überprüft außerdem, dass die digitale Signatur des Startladeprogramms von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Mit dieser Überprüfung wird sichergestellt, dass das System erst gestartet wird, nachdem bestätigt wurde, dass das Startladeprogramm vertrauenswürdig ist und seit dem Signieren nicht geändert wurde.
Der sichere Start ist auf allen Windows 10 Mobile-Geräten immer aktiviert. Außerdem vertrauen sie nur der Signatur des Windows-Betriebssystems.
Die UEFI-Konfiguration kann weder durch Windows 10 Mobile, noch durch Apps und nicht einmal durch Schadsoftware geändert werden. Weitere Informationen zu UEFI mit sicherem Start finden Sie unter Schützen der Umgebung vor dem Betriebssystemstart mit UEFI.
Trusted Platform Module
Ein Trusted Platform Module ist ein manipulationssicheres kryptografisches Modul zur Verbesserung von Sicherheit und Datenschutz auf Computerplattformen. Das TPM ist als Komponente in eine vertrauenswürdige Computerplattform wie einen PC, ein Tablet oder ein Smartphone integriert. Eine vertrauenswürdige Computerplattform ist speziell darauf ausgelegt, in Kombination mit dem TPM Datenschutz- und Sicherheitsszenarien zu unterstützen, die mit Software allein nicht erzielt können. Es ist eine Hardware-Zertifizierungsanforderung von Windows 10 Mobile, dass TPM auf jedem Windows 10 Mobile-Gerät vorhanden ist.
Eine ordnungsgemäße Implementierung eines TPMs als Teil einer vertrauenswürdigen Computerplattform bietet einen Hardware-Vertrauensanker, d. h. die Hardware verhält sich vertrauenswürdig. Wenn Sie beispielsweise einen Schlüssel in einem TPM mit der Eigenschaft erstellen, dass niemand den Schlüssel aus dem TPM exportieren kann, kann der Schlüssel das TPM auf keinen Fall verlassen. Die enge Integration eines TPMs in eine Plattform erhöht die Transparenz des Startvorgangs und unterstützt Geräteintegritätszenarien, indem eine zuverlässige Berichterstellung über die zum Starten einer Plattform verwendete Software ermöglicht wird.
In der folgenden Liste werden die wichtigsten Funktionen beschrieben, die ein TPM in Windows 10 Mobile bereitstellt:
Verwalten von kryptografischen Schlüsseln. Ein TMP kann Schlüssel erstellen, speichern und deren Verwendung mit festgelegten Methoden zulassen. Windows 10 Mobile verwendet das TPM zum Schutz der Verschlüsselungsschlüssel für BitLocker-Volumes, virtuelle Smartcards, Zertifikate und verschiedene andere Schlüssel.
**Schützen und Melden von Integritätsmessungen.**Windows 10 Mobile verwendet das TPM zum Aufzeichnen und Schützen von integritätsbezogenen Messungen ausgewählter Hardware- und Windows-Startkomponenten für die Funktion „Kontrollierter Start“. In diesem Szenario misst „Kontrollierter Start“ jede Komponente von der Firmware bis zu den Treibern, und speichert diese Messungen dann im TPM des Geräts. Dort können Sie das Messungsprotokoll remote testen, sodass ein separates System den Startzustand des Windows 10-Mobilgeräts überprüft.
Nachweis, dass ein TPM wirklich ein TPM ist. Die TPM-Funktionen sind so wesentlich für Datenschutz und Sicherheit, dass ein TPM in der Lage sein muss, sich selbst von Schadsoftware zu unterscheiden, die als TPM getarnt ist.
Windows 10 Mobile unterstützt TPM-Implementierungen, die dem 2.0-Standard entsprechen. Der TPM 2.0-Standard enthält mehrere Verbesserungen gegenüber dem 1.2-Standard; dabei ist allen voran die kryptografische Flexibilität zu nennen. TPM 1.2 ist auf einen festen Satz von Verschlüsselungs- und Hash-Algorithmen beschränkt. Bei der Einführung des TPM 1.2-Standards in den frühen 2000er Jahren galten diese Algorithmen in der Sicherheitscommunity als kryptografisch stark. Fortschritte bei kryptografischen Algorithmen und Kryptoanalyseangriffen haben seitdem zu höheren Erwartungen an eine stärkere Kryptografie geführt. TPM 2.0 unterstützt zusätzliche Algorithmen, die stärkeren kryptografischen Schutz sowie die Möglichkeit zur Verwendung von Plug-In-Algorithmen bieten, die in bestimmten Regionen oder Branchen bevorzugt werden. Außerdem können künftige Algorithmen aufgenommen werden, ohne die TPM-Komponente selbst zu ändern.
Viele Benutzer gehen davon aus, dass Originalgerätehersteller (Original Equipment Manufacturer, OEMs) ein TPM auf einer Hauptplatine in der Hardware als separates Modul einsetzen müssen. TPM kann jedoch auch effektiv in die Firmware implementiert werden. Windows 10 Mobile unterstützt nur Firmware-TPMs, die dem 2.0-Standard entsprechen. Windows unterscheidet nicht zwischen diskreten und firmwarebasierten Lösungen, da beide dieselben Implementierungs- und Sicherheitsanforderungen erfüllen müssen; daher können alle Windows 10-Features, die TPM nutzen können, mit Windows 10 Mobile verwendet werden.
Hinweis
Microsoft erfordert TPM 2.0 auf Geräten mit allen Versionen von Windows 10 Mobile. Weitere Informationen finden Sie unter Minimale Hardwareanforderungen.
Einige Sicherheitsfeatures unter Windows 10 Mobile erfordern TPM:
Virtuelle Smartcards
Kontrollierter Start
Integritätsnachweis erfordert (TPM 2.0 oder höher)
Sofern es verfügbar ist, wird das TPM jedoch von anderen Features verwendet. Microsoft Passport erfordert z. B. kein TPM, verwendet es jedoch, wenn es verfügbar ist. Unternehmen können eine Richtlinie konfigurieren, mit der TPM für Microsoft Passport benötigt wird.
Biometrie
Unter Windows 10 Mobile ist Biometrie ein Kernsicherheitsfeature. Microsoft hat Biometrie vollständig in die Windows 10 Mobile-Sicherheitskomponenten integriert und nicht nur als zusätzlichen Teil der Plattform bereitgestellt (was in früheren Versionen von Windows der Fall war). Dies ist eine große Änderung. Bei bisherigen Biometrie-Implementierungen handelte es sich größtenteils um Front-End-Methoden zur Vereinfachung der Authentifizierung. Hinter den Kulissen verwendete das System Biometrie für den Zugriff auf ein Kennwort, das dann für die Authentifizierung im Hintergrund genutzt wurde. Biometrie sorgte zwar für Komfort, eignete sich jedoch unbedingt für die Authentifizierung in Unternehmen.
Microsoft hat Originalherstellern von Windows-Mobilgeräten die Bedeutung von biometrischen Sensoren für Unternehmen deutlich gemacht. Diese Sensoren für Gesichts- und Iriserkennung werden von MFA-Features wie Microsoft Passport und Windows Hello vollständig unterstützt.
Microsoft geht davon aus, dass Originalgerätehersteller künftig noch fortschrittlichere biometrische Sensoren herstellen und weiterhin in Mobilgeräte integrieren. Dadurch wird Biometrie zu einer gängigen Authentifizierungsmethode als Teil eines MFA-Systems.
Sicherer Windows-Start in Unternehmen
UEFI mit sicherem Start verwendet Hardwaretechnologien, um Benutzer vor Bootkits zu schützen. Mit dem sicheren Start kann die Integrität der Geräte, Firmware und des Startladeprogramms überprüft werden. Nach dem Start des Startladeprogramms müssen sich Benutzer auf das Betriebssystem zum Schutz der Integrität des übrigen Systems verlassen.
Vertrauenswürdiger Start
Wenn UEFI mit sicherem Start bestätigt, dass das Startladeprogramm vertrauenswürdig ist und Windows 10 Mobile gestartet wird, schützt der vertrauenswürdige Windows-Start den Rest des Startvorgangs, indem sichergestellt wird, dass alle Windows-Startkomponenten vertrauenswürdig (z. B. von einer vertrauenswürdigen Quelle signiert) sind und über Integrität verfügen. Der Bootloader prüft die digitale Signatur des Windows-Kernels, bevor dieser geladen wird. Der Windows-Kernel überprüft wiederum alle anderen Komponenten des Windows-Startvorgangs, einschließlich der Starttreiber und der Startdateien.
Wenn eine Datei geändert (z. B. von Schadsoftware manipuliert oder beschädigt) wurde, erkennt der vertrauenswürdige Start das Problem und versucht automatisch, die beschädigte Komponente zu reparieren. Nach der Reparatur wird Windows nach einer nur kurzen Verzögerung normal gestartet.
Kontrollierter Start
Die größte Herausforderung im Zusammenhang mit Rootkits und Bootkits in früheren Windows-Versionen bestand darin, dass sie häufig vom Client nicht erkannt wurden. Da Rootkits und Bootkits oft vor dem Windows-Schutz und der Antischadsoftware-Lösung starteten und über Berechtigungen auf Systemebene verfügten, konnten sie sich selbst vollständig verschleiern und weiterhin auf Systemressourcen zugreifen. Obwohl UEFI mit sicherem Start und der vertrauenswürdige Start die meisten Rootkits und Bootkits verhindern könnten, bleibt Angreifern weiterhin die potenzielle Möglichkeit zum Nutzen einiger Angriffsvektoren (z B. wenn die zum Signieren einer Startkomponente – wie eines nicht von Microsoft stammenden Treibers – verwendete Signatur zum Signieren eines schädlichen Treibers missbraucht wurde).
Windows 10 Mobile implementiert das Feature „Kontrollierter Start“, das die TPM-Hardwarekomponente zum Aufzeichnen einer Reihe von Messungen für wichtige startbezogene Komponenten verwendet, darunter Firmware, Windows-Startkomponenten und Treiber. Da der kontrollierte Start die hardwarebasierten Sicherheitsfunktionen des TPM nutzt, das die Messdaten isoliert und vor Schadsoftwareangriffen schützt, sind die Protokolldaten auch gegen komplexe Angriffe gut geschützt.
Der kontrollierte Start dient zum Abrufen der Messdaten und zum Schutz dieser Daten vor Manipulationen. Sie müssen ihn jedoch mit einem Dienst kombinieren, der die Daten zur Ermittlung des Gerätezustands analysieren und einen umfassenderen Sicherheitsdienst bieten kann. Ein solcher Dienst wird im nächsten Abschnitt behandelt.
Nachweis über Geräteintegrität
Der Nachweis über Geräteintegrität ist neues Feature in Windows 10 Mobile, der Schadsoftwareinfektionen auf niedriger Ebene verhindert. Der Nachweis über Geräteintegrität verwendet das TPM und die Firmware eines Geräts, um wichtige Sicherheitseigenschaften der BIOS- und Windows-Startprozesse des Geräts zu messen. Diese Messungen werden so vorgenommen, dass es sogar bei einem mit Schadsoftware auf Kernel-Ebene oder einem Rootkit infizierten System unwahrscheinlich ist, dass ein Angreifer die Eigenschaften spoofen kann.
Sie können den Nachweis über Geräteintegrität in Microsoft Intune-Lösungen oder in nicht von Microsoft stammende MDM-Lösungen integrieren und diese von Hardware gemessenen Sicherheitseigenschaften mit anderen Geräteeigenschaften kombinieren, um einen allgemeinen Überblick über den Geräteintegritäts- und Compliance-Zustand zu erhalten. Anschließend können Sie diese Integration in einer Vielzahl von Szenarien nutzen – von der Erkennung von Geräten mit Jailbreak bis zur Überwachung der Gerätecompliance, Erstellung von Kompatibilitätsberichten, Warnung von Benutzern oder Administratoren, Einleitung von Korrekturmaßnahmen auf dem Gerät und Verwaltung des bedingten Zugriffs auf Ressourcen wie Office 365.
Bedingter Zugriff
Das folgende Beispiel zeigt, wie Windows 10-Schutzmaßnahmen in Intune-Lösungen und in nicht von Microsoft stammende MDM-Lösungen integriert und damit verwendet werden. Es wird veranschaulicht, wie die Telefonsicherheitsarchitektur in Windows 10 Mobile Ihnen beim Überwachen und Sicherstellen der Compliance hilft und wie die in die Gerätehardware eingebundene Sicherheit und Vertrauenswürdigkeit für den umfassenden Schutz von Unternehmensressourcen sorgen.
Wenn ein Benutzer ein Telefon einschaltet:
Das Feature „Sicherer Start“ in Windows 10 Mobile schützt den Startsequenz, ermöglicht dem Gerät das Starten in einer definierten und vertrauenswürdigen Konfiguration und lädt ein Startladeprogramm, dem der Hersteller vertraut.
Der vertrauenswürdige Start von Windows 10 Mobile übernimmt die Steuerung, wenn der Prozess des sicheren Starts abgeschlossen ist, und überprüft dann die digitale Signatur des Windows-Kernels sowie der Komponenten, die während des Startvorgangs geladen und ausgeführt werden.
Parallel zu den Schritten 1 und 2 wird das TPM des Telefons unabhängig in einer hardwaregeschützten Sicherheitszone ausgeführt (d. h. isoliert vom Ausführungspfad, der Startaktivitäten überwacht). Es erstellt ein geschütztes, manipulationssicheres Überwachungsprotokoll, das mit einem nur für das TPM zugänglichen geheimen Schlüssel signiert ist.
Geräte, die von einer MDM-Lösung mit Nachweis über Geräteintegrität verwaltet werden, senden eine Kopie dieses Überwachungsprotokolls über einen geschützten und manipulationssicheren Kommunikationskanal an den Microsoft-Integritätsnachweisdienst (Health Attestation Service, HAS).
HAS überprüft die Überwachungsprotokolle, stellt einen verschlüsselten und signierten Bericht aus und leitet ihn an das Gerät weiter.
In Ihrer MDM-Lösung mit Nachweis über Geräteintegrität können Sie den Bericht in einem geschützten und manipulationssicheren Kommunikationskanal anzeigen und überprüfen, ob das Gerät in einem kompatiblen (fehlerfreien) Zustand ausgeführt wird, den Zugriff zulassen oder eine Korrekturmaßnahme gemäß den Sicherheitsanforderungen und -richtlinien des Unternehmens auslösen.
Diese Lösung kann Schadsoftware auf niedriger Ebene erkennen und verhindern, die andernfalls möglicherweise sehr schwer zu erkennen ist. Daher empfiehlt Microsoft, dass Sie die Implementierung eines MDM-Systems in Betracht ziehen, das Geräteintegrität nachweisen kann, z. B. Intune, das mithilfe des cloudbasierten Serverfeatures zum Integritätsnachweis für Windows 10 Mobile Geräte erkennt und blockiert, die mit komplexer Schadsoftware aus Netzwerkressourcen infiziert wurden.
Sicherheit der App-Plattform
Für Windows entwickelte Anwendungen sind auf Sicherheit und Fehlerfreiheit ausgelegt, menschliche Fehler können jedoch Sicherheitslücken im Code verursachen. Wenn böswillige Benutzer und Software solche Sicherheitsrisiken identifizieren, versuchen sie u. U., Daten im Speicher zu manipulieren, in der Hoffnung, dass sie das System beeinträchtigen und die Steuerung übernehmen können.
Um diese Risiken zu verringern, beinhaltet Windows 10 Mobile eine Reihe von Verbesserungen, die es für Schadsoftware schwieriger machen, das Gerät zu manipulieren. Windows 10 Mobile ermöglicht Unternehmen sogar das Festlegen, welche Apps auf Mobilgeräten ausgeführt werden dürfen. Außerdem umfasst es Verbesserungen, die erheblich die Wahrscheinlichkeit reduzieren können, dass neu ermittelte Sicherheitsrisiken zu einem erfolgreichen Missbrauch führen. Um die Auswirkungen dieser Verbesserungen umfassend würdigen zu können, sind detaillierte Kenntnisse der Betriebssystemarchitektur und von Techniken für den Missbrauch durch Schadsoftware erforderlich. In den folgenden Abschnitten werden die Auswirkungen allgemein erläutert.
Device Guard
Bei Device Guard handelt es sich um eine Featuregruppe, die aus Hardware- und Softwaresystemintegritäts-Härtungsfeatures besteht. Diese Features revolutionieren die Sicherheit des Windows-Betriebssystems, indem für das gesamte Betriebssystem ein Modell verwendet wird, bei dem grundsätzlich nicht vertraut wird.
Unter Windows 10 Mobile müssen alle Apps digital signiert sein und aus dem Windows Store oder einem vertrauenswürdigen Unternehmensspeicher stammen. Device Guard implementiert Richtlinien, die für weitere Einschränkungen sorgen. Device Guard unterstützt standardmäßig alle Apps aus dem Windows Store. Sie können Richtlinien erstellen, um festzulegen, welche Apps auf dem Windows 10 Mobile-Gerät ausgeführt werden können und welche nicht. Wenn die App keine digitale Signatur hat, durch eine Richtlinie verhindert wird oder nicht aus einem vertrauenswürdigen Speicher stammt, wird sie unter Windows 10 Mobile nicht ausgeführt.
Erweiterte Hardwarefeatures (zuvor im Abschnitt Sichere Unternehmenshardware beschrieben) unterstützen dabei diese Sicherheitsangebote. Durch die stärkere Integration dieser Hardwarefeatures in das Kernbetriebssystem, kann Windows 10 Mobile sie auf neue Art und Weise nutzen. Zum Bereitstellen dieser zusätzlichen Sicherheit erfordert Device Guard UEFI mit sicherem Start.
AppContainer
Das Sicherheitsmodell von Windows 10 Mobile basiert auf dem Prinzip der geringsten Rechte und setzt dieses anhand von Isolation um. Jede App und sogar Teile des Betriebssystems selbst werden jeweils in einem isolierten Sandkasten ausgeführt, der als „AppContainer“ bezeichnet wird – eine gesicherte Isolationsgrenze, innerhalb der eine App und ihre Vorgänge ausgeführt werden können. Jeder AppContainer wird durch eine Sicherheitsrichtlinie definiert und implementiert.
Die Sicherheitsrichtlinie für einen bestimmten AppContainer definiert die Betriebssystemfunktionen, auf die Apps von innerhalb des AppContainers zugreifen können. Eine Funktion ist eine Windows 10 Mobile-Geräteressource wie z. B. geografische Positionsinformationen, Kamera, Mikrofon, Netzwerke und Sensoren.
Eine Reihe von Standardberechtigungen wird allen AppContainern gewährt, darunter der Zugriff auf einen eindeutigen, isolierten Speicherort. Darüber hinaus kann der Zugriff auf andere Funktionen innerhalb des App-Codes selbst deklariert werden. Der Zugriff auf zusätzliche Funktionen und Berechtigungen kann hierbei im Gegensatz zu traditionellen Desktop-Apps nicht zur Laufzeit angefordert werden.
Das AppContainer-Konzept empfiehlt sich aus den folgenden Gründen:
**Reduzierung der Angriffsfläche.**Apps haben nur Zugriff auf Funktionen, die im Anwendungscode deklariert und zum Ausführen der App-Funktionen erforderlich sind.
**Zustimmung des Benutzers und Kontrolle.**Von Apps verwendete Funktionen werden automatisch im Windows Store-auf der Seite mit den App-Details veröffentlicht. Beim App-Zugriff auf Funktionen, die u. U. vertrauliche Informationen verfügbar machen, wird der Benutzer automatisch aufgefordert, Kenntnis zu nehmen und seine Zustimmung zu erteilen.
App-Isolation. Die Kommunikation zwischen Windows-Apps wird genau kontrolliert. Apps sind voneinander isoliert und können nur mithilfe von vordefinierten Kommunikationskanälen und Datentypen kommunizieren.
Apps erhalten nur die Rechte, die mindestens zum Ausführen legitimer Aufgaben erforderlich sind. Das heißt, dass der potenzielle Schaden sogar dann begrenzt ist, wenn ein Angreifer eine App ausnutzt, da die App ihre Rechte nicht erhöhen kann und auf ihren AppContainer beschränkt ist. Windows Store zeigt neben der Altersfreigabe und dem Herausgeber der App auch die erforderlichen Berechtigungen an.
Die Kombination aus Device Guard und AppContainer trägt dazu bei, die Ausführung nicht autorisierter Apps zu verhindern. Wenn Schadsoftware in das Ökosystem gelangt, wird die App mithilfe des AppContainers eingeschränkt, und der potenzielle Schaden wird begrenzt. Das Windows 10 Mobile-Modell, bei dem grundsätzlich nicht vertraut wird, geht bei keiner Komponente davon aus, dass sie perfekt ist; potenzielle Sicherheitslücken in Apps, AppContainer und Windows 10 Mobile selbst bieten einem Angreifer jedoch u. U. die Gelegenheit, ein System zu manipulieren. Daher benötigen wir redundante schadensbegrenzende Maßnahmen für die Sicherheitsanfälligkeit. In den folgenden Themen werden einige der redundanten schadensbegrenzenden Maßnahmen in Windows 10 Mobile beschrieben.
Zufallsgestaltung des Adressraumlayouts
Eine der gängigsten Techniken von Angreifern, um Zugriff auf ein System zu erlangen, ist das Ermitteln eines Sicherheitsrisikos in einem privilegierten Prozess, der bereits ausgeführt wird, das Erraten oder Ermitteln des Speicherorts von wichtigem Systemcode oder Daten im Speicher und das anschließende Überschreiben dieser Informationen mit einer schädlichen Nutzlast. In der Anfangszeit von Betriebssystemen konnte jede Schadsoftware, die in der Lage war, direkt in den Arbeitsspeicher des Systems zu schreiben, solche Angriffe ausführen. Dabei wurde einfach Systemspeicher an bekannten und vorhersagbaren Speicherorten überschrieben.
Die Zufallsgestaltung des Adressraumlayouts (ASLR) macht diese Art von Angriff weitaus schwieriger, da sie zufällig festlegt, wie und wo wichtige Daten im Arbeitsspeicher gespeichert werden. Mit ASLR ist es für Schadsoftware schwieriger, den bestimmten Speicherort für den Angriffe zu ermitteln. Abbildung 3 veranschaulicht die Funktionsweise von ASLR, indem gezeigt wird, wie die Speicherorte verschiedener wichtiger Windows-Komponenten im Arbeitsspeicher zwischen Neustarts geändert werden können.
.png "Abbildung 3")
Abbildung 3. ASLR im Einsatz
Microsoft hat die ASLR-Implementierung in Windows 10 Mobile gegenüber früheren Versionen erheblich verbessert, insbesondere durch das 64-Bit-System und Anwendungsprozesse, die deutlich mehr Speicherplatz nutzen. Dies macht es für Schadsoftware noch schwieriger vorherzusagen, wo Windows 10 wichtige Daten speichert. Wird die zufällige Speicheranordnung von ASLR auf Systemen mit TPMs verwendet, ist sie auf verschiedenen Geräten zunehmend einzigartig. Dies macht es noch schwieriger, einen Exploit, der auf einem Gerät erfolgreich war, auch auf anderen Geräten zuverlässig einzusetzen. Microsoft wendet ASLR unter Windows 10 Mobile auch ganzheitlich im gesamten System anstatt nur auf bestimmte Apps an.
Datenausführungsverhinderung
Der Erfolg von Schadsoftware hängt von ihrer Möglichkeit ab, eine schädliche Nutzlast in den Speicher einzufügen, in der Hoffnung, dass ein nichtsahnender Benutzer diese später ausführt. ASLR macht diesen Vorgang erheblich schwieriger.
Wäre es bei einer Erweiterung dieses Schutzes nicht gut, wenn Sie die Ausführung von Schadsoftware verhindern könnten, wenn sie in einen Bereich schreibt, der ausschließlich für die Speicherung von Informationen zugewiesen wurde? Die Datenausführungsverhinderung (DEP) bietet genau diese Funktion, indem der Bereich des Speichers reduziert wird, der von schädlichem Code ausgenutzt werden kann. DEP verwendet das No eXecute-Bit auf modernen CPUs, um Speicherblöcke als schreibgeschützt zu markieren, damit Schadsoftware diese Blöcke nicht zur Ausführung von schädlichem Code nutzen kann. Alle Windows 10- und Windows 10 Mobile-Geräte unterstützen DEP.
Windows-Heap
Der Heap ist ein Ort im Arbeitsspeicher, den Windows zum Speichern dynamischer Anwendungsdaten nutzt. Microsoft bietet bessere Heap-Designs als frühere Windows-Versionen, da das Risiko von Heap-Exploits, die ein Angreifer nutzen könnte, weiter reduziert wird.
Windows 10 Mobile bietet mehrere wichtige Verbesserungen für die Sicherheit des Heaps gegenüber früheren Versionen von Windows:
Interne Datenstrukturen, die der Heap verwendet, sind besser gegen Speicherbeschädigungen geschützt.
Heap-Speicherzuweisungen weisen zufällige Speicherorte und Größen auf. Dies macht es für Angreifer schwieriger, den Ort von kritischem Speicher vorherzusagen, der überschrieben werden soll. Unter Windows 10 Mobile wird der Adresse eines neu zugeordneten Heaps insbesondere ein zufälliger Versatz hinzugefügt; so ist die Verteilung sehr viel weniger vorhersehbar.
Windows 10 Mobile verwendet „Schutzseiten“ als Hindernisse vor und nach Speicherblöcken. Wenn ein Angreifer versucht, über einen Speicherblock hinaus zu schreiben (eine gängige Technik, die als Pufferüberlauf bezeichnet wird), muss er eine Schutzseite überschreiben. Jeder Versuch, eine Schutzseite zu ändern, gilt als Speicherbeschädigung, und Windows 10 Mobile reagiert durch ein sofortiges Beenden der App.
Speicherreservierungen
Microsoft reserviert die niedrigsten 64 KB des Prozessspeichers für das Betriebssystem. Apps dürfen diesen Teil des Speichers nicht mehr zuweisen; dies macht es für Schadsoftware schwieriger, kritische Systemdatenstrukturen im Speicher zu überschreiben.
Ablaufsteuerungsschutz
Wenn Anwendungen von Windows in den Speicher geladen werden, wird ihnen basierend auf der Größe des Codes, des angeforderten Speicherplatzes und anderen Faktoren Speicherplatz zugewiesen. Wenn eine Anwendung mit der Ausführung von Code beginnt, ruft sie zusätzlichen Code auf, der sich in anderen Arbeitsspeicheradressen befindet. Die Beziehungen zwischen den Codespeicherorten sind bekannt – sie stehen im Code selbst – aber vor Windows 10 Mobile hat das Betriebssystem den der Ablauf zwischen diesen Speicherorten nicht erzwungen; dies bot die Angreifern die Möglichkeit, den Ablauf ihren Bedürfnissen anzupassen. Anders ausgedrückt nutzt ein Anwendungsexploit dieses Verhalten durch Ausführen von Code aus, den in die Anwendung nicht in der nicht ausführen darf.
Diese Art von Bedrohung wird unter Windows 10 Mobile durch den Ablaufsteuerungsschutz (Control Flow Blocker, CFG) verringert. Wenn eine vertrauenswürdige Anwendung, die zur Verwendung von CFG kompiliert wurde, Code aufruft, überprüft CFG, ob der aufgerufene Codespeicherort für die Ausführung vertrauenswürdig ist. Wenn CFG dem Speicherort nicht vertraut, gilt die Anwendung als potenzielles Sicherheitsrisiko und wird sofort beendet.
Sie können CFG nicht konfigurieren. Stattdessen kann ein Anwendungsentwickler CFG nutzen, indem er das Feature beim Kompilieren der Anwendung konfiguriert. Sie sollten Anwendungsentwickler und Softwareanbieter auffordern, vertrauenswürdige Windows-Anwendungen bereitzustellen, bei deren Kompilierung CFG aktiviert wurde. Browser sind natürlich ein wichtiger Einstiegspunkt für Angriffe. Daher werden alle Vorteile von CFG von Microsoft Edge und anderen Windows-Features optimal genutzt.
Geschützte Prozesse
Im Allgemeinen ist das Verhindern von Computersicherheitsverletzungen kostengünstiger als Beheben von Schäden, die dadurch verursacht werden können. Insbesondere für Schadsoftware dienen die meisten Sicherheitskontrollen zum Verhindern, dass Angriff anfänglich erfolgreich ist. Die Logik besteht darin, dass das System immun gegen Schadsoftware ist, wenn Schadsoftware das System nicht infizieren kann.
Leider ist kein Gerät immun gegen Schadsoftware. Trotz der besten vorbeugende Maßnahmen kann Schadsoftware letztendlich eine Möglichkeit finden, jedes Betriebssystem bzw. jede Hardwareplattform zu infizieren. Die Vorbeugung mit einer Tiefenverteidigungsstrategie ist zwar wichtig, darf aber nicht die einzige Art von Schadsoftwarekontrolle sein.
Das wichtigste Sicherheitsszenario besteht in der Annahme, dass auf einem System Schadsoftware zwar ausgeführt wird, ihre Möglichkeiten jedoch eingeschränkt werden. Windows 10 Mobile verfügt über Sicherheitskontrollen und Designfeatures zum Reduzieren von Beeinträchtigungen durch vorhandene Schadsoftwareinfektionen. Zu diesen Features zählen geschützte Prozesse.
Mit geschützten Prozessen verhindert Windows 10 Mobile, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren. Geschützte Prozesse definieren Vertrauensebenen für Prozesse: Sie verhindern, dass weniger vertrauenswürdige Prozesse mit vertrauenswürdigeren Prozessen interagieren und diese angreifen. Windows 10 Mobile verwendet geschützte Prozesse umfassender im gesamten Betriebssystem.
Store für Unternehmen
Mit dem Store für Unternehmen können IT-Spezialisten Apps für ihre Organisation suchen, erwerben, verteilen und verwalten. Das Modell bietet je nach Größe Ihres Unternehmens flexible Methoden zum Verteilen von Apps und erfordert in einigen Szenarien keine zusätzliche Infrastruktur.
UWP-Apps sind grundsätzlich sicherer als Standardanwendungen, da sie sich im Sandkasten befinden. Dieses Prinzip senkt das Risiko, dass die App beeinträchtigt oder so manipuliert wird, dass das System, Daten oder andere Anwendungen gefährdet werden. Der Windows Store kann die Wahrscheinlichkeit weiter senken, dass Schadsoftware Geräte infiziert, indem überprüft wird, dass alle Anwendungen im Windows Store-System gründlich überprüft wurden, bevor Sie verfügbar gemacht werden. Store für Unternehmen erweitert dieses Konzept, indem Ihnen ermöglicht wird, benutzerdefinierte Branchen-Apps und sogar einige Windows Store-Apps über dieselbe Windows Store-Infrastruktur an Windows 10 Mobile-Geräte zu verteilen.
Unabhängig davon, wie Benutzer UWP-Apps erhalten, sind diese zunehmend vertrauenswürdig. UWP-Apps werden in einem AppContainer-Sandkasten mit eingeschränkten Berechtigungen und Funktionen ausgeführt. Die Apps haben beispielsweise keinen Zugriff auf Systemebene, ihre Interaktionen mit anderen Apps sind stark kontrolliert, und sie haben keinen Zugriff auf Daten, außer der Benutzer gewährt die Anwendungsberechtigung explizit.
Darüber hinaus folgen alle UWP-Apps dem Sicherheitsprinzip der geringsten Rechte. Apps erhalten nur die Rechte, die mindestens zum Ausführen legitimer Aufgaben erforderlich sind. Auch wenn ein Angreifer die App missbraucht, ist der mögliche Schaden daher erheblich eingeschränkt und sollte nur innerhalb des Sandkastens Auswirkungen haben. Windows Store zeigt die genauen Funktionen, die von der App benötigt werden, (z. B. Zugriff auf die Kamera) zusammen mit der Altersfreigabe und dem Herausgeber an.
Der App-Verteilungsprozess des Windows Store und die App-Sandkasten-Funktionen von Windows 10 können die Wahrscheinlichkeit, dass schädliche Apps in das System gelangen, erheblich verringern.
Weitere Informationen zum Store für Unternehmen finden Sie unter Übersicht über Windows Store für Unternehmen.
App-Verwaltung
Ein Unternehmen übt in der Regel ein gewisses Maß an Konfiguration und Kontrolle über die auf Geräten installierten Apps aus. Auf diese Weise erreicht das Unternehmen mehrere Geschäftsziele, z. B. das Verwalten von Softwarelizenzen, das Sicherstellen der Bereitstellung obligatorischer Apps auf erforderlichen Geräten und das Verhindern der Installation inakzeptabler Apps auf firmeneigenen Geräten.
Der Store für Unternehmen ist eine wichtige Komponente beim Erreichen dieser Ziele; er basiert auf der von Microsoft gehosteten Windows Store-Infrastruktur ermöglicht Ihnen das Bereitstellen von Windows Store-Apps auf allen Ihren Windows 10-basierten Geräten. Store für Unternehmen ist leistungsstark und extrem flexibel. Er ermöglicht Ihnen das Erweitern und Anpassen von Features, ohne eine neue lokale Infrastruktur zu erstellen. Er unterstützt Ihren vorhandenen MDM-Dienst und lässt sich in diesen integrieren, erfordert jedoch keinen. (Informationen zur Integration von Store für Unternehmen erhalten Sie von Ihrem MDM-Dienstanbieter.) Sie können Store für Unternehmen für eine Vielzahl von Szenarien konfigurieren, einschließlich der Optionen für Online- und Offlinelizenzierung sowie verschiedener App-Verteilungsoptionen. Eine ausführlichere Beschreibung der verfügbaren Store für Unternehmen-Szenarien finden Sie unter Übersicht über Windows Store für Unternehmen.
Ein webbasiertes Portal für IT-Spezialisten vereinfacht die Bereitstellung von Windows 10 Mobile-Apps. Das vertraute Erscheinungsbild von Windows Store wurde beim Entwerfen der Benutzeroberfläche von Store für Unternehmen verwendet. Apps für die geschäftliche Verwendung werden sorgfältig ausgewählt, nach Kategorien sortiert und vorgestellt. Der Store kann Azure AD-Konten für alle Benutzer verwenden und sie mit einer einzelnen, eindeutigen Unternehmensidentität verknüpfen.
Die Lizenzierung stellt einen weiteren zentralen Vorteil dar. Store für Unternehmen ermöglicht Ihnen das Nachverfolgen und Verwalten von Lizenzen für alle UWP-Apps. Sie können problemlos feststellen, welche Benutzer bestimmte Apps installiert haben, verbleibende Lizenzen nachverfolgen und neue Lizenzen direkt über die Weboberfläche erwerben. Neue Lizenzen werden in Store für Unternehmen hinzugefügt und erfordern keine komplexen Export- und Importprozesse. Sofern Ihre Clients online und mit dem Internet verbunden sind, stellt das Lizenzierungsszenario von Store für Unternehmen eine erhebliche Verbesserung gegenüber manuellen Lizenzierungsaufgaben dar.
Im Store für Unternehmen können Sie die richtigen Apps für Ihre Benutzer finden und erwerben, App-Lizenzen verwalten und Apps an einzelne Benutzer verteilen. Die beste Methode, um sich mit Store für Unternehmen vertraut zu machen, ist das Betrachten der einzelnen Schritte eines gängigen Szenarios: das Bereitstellen von Apps speziell für Windows 10 Mobile-Benutzer ohne MDM. In diesem Szenario identifizieren Sie mehrere Apps, die auf jedem mobilen Gerät vorhanden sein müssen und derzeit kostenlos im Windows Store verfügbar sind (z. B. eine VPN-App für Ihre Dell SonicWALL-Lösung) sowie einige intern entwickelte Branchen-Apps.
Aus der IT-Perspektive
Sie beginnen den App-Bereitstellungsprozess mit der Vorbereitung des privaten Stores und der Apps, bevor die Benutzer ihre neuen Windows 10 Mobile-Geräte erhalten.
Zuerst öffnen Sie Windows Store für Unternehmen und melden sich mit einem Azure AD-Konto an. Dieses Konto ist mit der eindeutigen Organisationsidentität des Unternehmens verknüpft und erfordert einen Azure AD-Mandanten. Darüber hinaus muss das Konto über Enterprise-Administratorberechtigungen für Azure AD verfügen, wenn Sie Store für Unternehmen zum ersten Mal verwenden. Sie können den späteren Zugriff über Berechtigungen in Store für Unternehmen delegieren.
Als Nächstes suchen und erwerben Sie alle Apps, die Sie auf den Mobilgeräten bereitstellen möchten, und fügen die Apps und die Lizenzen dem Inventar des Unternehmens hinzu.
Neben vorhandenen Windows Store-Apps können Sie mithilfe von Store für Unternehmen benutzerdefinierte Branchen-Apps verwalten, die für Ihr Unternehmen entwickelt wurden. Zuerst erteilen Sie einem vertrauenswürdigen App-Entwickler die Berechtigung zum Übermitteln der Apps. Sie und der Entwickler übermitteln diese Apps über das Windows Dev Center, und sie müssen mit einem vertrauenswürdigen Zertifikat digital signiert sein. Diese Apps werden nicht im Windows Store-Einzelhandelskatalog veröffentlicht und sind nur für Personen innerhalb des Unternehmens sichtbar.
Sie können die Apps über einen privaten Store in Windows Store übermitteln. Im nächsten Schritt kennzeichnen Sie die App dann über das Webportal des Store für Unternehmen als im privaten Store verfügbar.
Alternativ können Sie eine der beiden anderen Optionen für die App-Verteilung im Webportal des Store für Unternehmen auswählen:
Zuweisen der App an Personen in Ihrem Unternehmen durch Auswählen einer oder mehrerer Azure AD-Identitäten
Hinzufügen der App zum privaten Store des Unternehmens und zulassen, dass alle Benutzer sie finden und installieren können
Einzelheiten zur App-Verteilung, finden Sie unter Verteilen von Apps über den privaten Store.
Der IT-Prozess für die Vorbereitung des Store für Unternehmen auf die App-Bereitstellung ist in Abbildung 4 dargestellt.
.png "Abbildung 4")
Abbildung 4. Der IT-Prozess für Store für Unternehmen
Ausführliche Informationen zur Verteilung von Apps über den Store für Unternehmen finden Sie unter Suchen und Erwerben von Apps.
Aus der Benutzerperspektive
Nachdem Sie den Store für Unternehmen vorbereitet haben, wird der Prozess auf der Benutzerseite fortgesetzt. Dieser Teil des Prozesses ist benutzerfreundlich, da die primäre App-Bereitstellungsmethode – über Store für Unternehmen – optimiert und unkompliziert ist. Dieser Prozess erfordert weder ein MDM-System noch eine lokale Infrastruktur. Tatsächlich bekommt der Benutzer die Bezeichnung „für Unternehmen“ überhaupt nicht zu sehen, sondern nur den vertrauten Windows Store.
Der Benutzer öffnet die Windows Store-App auf seinem Windows 10 Mobile-Gerät.
Zusätzlich zur gleichen Windows Store-Benutzeroberfläche wird der von Ihnen erstellte private Store angezeigt. Der private Store wird ähnlich wie „Spiele“ und „Musik“ als neue Seite angezeigt. Die Schnittstelle integriert den öffentlichen Windows Store mit dem privaten Store des Unternehmens, der redaktionell betreute Apps enthält.
Der Benutzer wählt Apps einfach wie gewohnt aus und installiert sie.
Wenn der Benutzer mit seinem Microsoft-Konto privat Apps, Musik, Filme oder Serien erwerben möchte, ist dies ebenfalls möglich. Der Benutzer bezahlt und besitzt seine Käufe unabhängig vom Unternehmen. Diese Flexibilität ermöglicht in vielen BYOD (Bring Your Own Device)-Umgebungen Hybrid-Szenarien für Geräte.
Microsoft Edge
Windows 10 Mobile umfasst wichtige Verbesserungen, die zum Abwehren von Angriffen und Schadsoftware dienen. Die Umgebung ist jetzt dank deutlicher Verbesserungen von SmartScreen-Filtern widerstandsfähiger gegen Schadsoftware. Das Browsen im Internet ist mit Microsoft Edge, einen völlig neuen Browser, jetzt sicherer.
Windows 10 Mobile umfasst Microsoft Edge, einen vollkommen neuen Webbrowser, der dank Funktionen wie der Leseansicht weit mehr als nur Browsen ermöglicht. Microsoft Edge ist in vielfacher Hinsicht sicherer als bisherige Microsoft-Webbrowser:
Microsoft Edge unterstützt keine nicht von Microsoft stammenden binären Erweiterungen. Microsoft Edge unterstützt standardmäßig Flash-Inhalte und die PDF-Anzeige über integrierte Erweiterungen, jedoch keine andere binären Erweiterungen, einschließlich ActiveX-Steuerelementen und Java.
Microsoft Edge wurde als UWP-App entwickelt. Der Browser ist grundsätzlich eigenständig und wird in einem AppContainer ausgeführt, der ihn durch Sandboxing vom System, Daten und anderen Apps isoliert.
Microsoft Edge vereinfacht Aufgaben zur Sicherheitskonfiguration. Da Microsoft Edge eine vereinfachte Anwendungsstruktur und eine einzelne Sandkastenkonfiguration verwendet, sind weniger Sicherheitseinstellungen erforderlich. Darüber hinaus hat Microsoft Standardeinstellungen für Microsoft Edge eingerichtet, die sich nach bewährten Sicherheitsmethoden richtet, sodass der Browser entwurfsbedingt sicherer ist.
Der Webbrowser ist ein wichtiger Bestandteil jeder Sicherheitsstrategie und das aus gutem Grund: Er ist die Schnittstelle des Benutzers mit dem Internet, einer Umgebung, die mit schädlichen Websites und angriffswilligen Inhalten überhäuft ist. Die meisten Benutzer können zumindest einen Teil ihrer Arbeit nicht ohne einen Browser erledigen, und viele Benutzer sind vollständig darauf angewiesen. Daher ist der Browser der häufigste Ausgangspunkt von Angriffen durch Hacker.
Verwandte Themen
Übersicht über die Sicherheit von Windows 10