Windows 11 Security

Ein erster Blick

Windows 11 Security

„Windows 10 wird die letzte Windows-Version sein.“ Oder auch nicht. Microsoft hat dieses Jahr überraschend Windows 11 angekündigt, was seit dem 5. Oktober zur Verfügung steht. Noch mehr als Windows 10 konzentriert es sich auf eine sichere „Hardware Root of Trust“ als Grundlage für die gesamte Sicherheitsarchitektur des Betriebssystems. Werfen wir also einen Blick auf die Sicherheit von Windows 11.

Neue Hardware-Anforderungen

Ein „Hardware Root of Trust“ erfordert – Sie haben es erraten – bestimmte Hardware- und Firmware-Funktionen, die auf dem Gerät aktiviert sein müssen. Warum ist das notwendig? Dadurch können bestimmte Integritätsprüfungen bereits zu Beginn und während des Bootprozesses durchgeführt werden. Microsoft setzt darüber hinaus in Windows auf Virtualization-Based Security (VBS), um Teile des Betriebssystems in verschiedenen sogenannten „Enclaves“ zu kapseln. Das hilft, die Systemintegrität zur Laufzeit auch im Falle von Malware-Angriffen zu gewährleisten.

Was wir dafür brauchen:

Ein Trusted Platform Module (TPM) in Version 2.0
Secure Boot (als Teil von UEFI)
Bestimmte CPU-seitige Funktionen wie
- Intel Mode-Based Execute Control for EPT (MBEC): Windows Processor Requirements Windows 11 Supported Intel Processors
- AMD Guest-Mode Execute Trap for NPT (GMET): Windows Processor Requirements Windows 11 Supported AMD Processors
- ARM Translation Table Stage 2 Unprivileged Execute-Never (TTSUXN): Windows Processor Requirements Windows 11 Supported Qualcomm Processors
- Für alle Hersteller: Unterstützung für das Windows Driver Model

Das alles muss man sicherlich nicht auswendig können, jedoch ist es wichtig zu verstehen, dass das gewünschte Schutzniveau nicht allein durch Software erreicht werden kann. Funktionen, die diese Hardware-Basis nutzen, sind z. B.:

System Guard für Low Level System Integrity
Device Guard für Code-Integrität auf Kernel-Ebene
Application Guard für Code-Integrität auf Nutzerebene
Credential Guard für die sichere Speicherung der Account Credentials
BitLocker
Windows Hello for Business
Windows Sandbox

Quelle: https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-recommendations#tpm-and-windows-features

Was sich wirklich ändert

Alle oben beschriebenen Funktionen sind bereits in Windows 10 vorhanden. Was Microsoft nun standardmäßig aktivieren wird, ist „Memory Integrity“ als Teil der Hypervisor-Enforced Code Integrity. Sie war bereits seit einiger Zeit Teil von Windows 10 als optionale Funktion. Das ist sie immer noch, aber abhängig von der Geräte-Hardware und dem OEM-Image jetzt standardmäßig aktiviert. Die Voraussetzungen dafür sind hier zu finden: https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-hvci-enablement#hardware-features-for-automatic-enablement

Ansonsten ändert sich nicht viel. Windows 11 wird bestimmte Anforderungen wie ein TPM erzwingen, aber die darauf aufbauende Funktionalität muss teilweise noch administrativ konfiguriert werden. Hier ist bereits Windows 10 schon recht sicher und hat viele Möglichkeiten, das Betriebssystem vor Bedrohungen zu schützen.

Was Microsoft hier meiner Meinung nach wirklich erreichen will, ist sicherzustellen, dass jede Windows 11-Installation bereits die Hardware-Anforderungen für erhöhte Sicherheit erfüllt, so dass jeder Administrator bei Bedarf einfach weitermachen kann, um mehr Sicherheit zu gewährleisten. Diese Änderung hat zu einem gewissen Aufschrei geführt. Jedoch ist Microsoft auch seit Jahren in der Kritik, Windows sei zu unsicher. Dass hier jetzt gegengesteuert wird, ist daher nur konsequent.

Sicherheitsfunktionen in Windows 11 (und 10)

Die folgenden Punkte waren bereits mit Windows 10 möglich, aber Windows 11 bietet nun die ideale Gelegenheit, eine sicherere Basiskonfiguration für Clients bereitzustellen. Windows 10 wird noch bis 2025 unterstützt – es ist also noch Zeit, sich vorzubereiten. Wie können wir diese Zeit nutzen? Werfen wir einen Blick auf ein sichereres Client-Design (ohne Garantie auf Vollständigkeit) mit den Sicherheitsfunktionen von Windows 11:

BitLocker: Seit Jahren eine der zuverlässigsten und am einfachsten zu handhabenden Verschlüsselungslösungen für Windows. Obligatorisch für mobile Geräte, empfohlen für alle. Self-Service ist mit Azure AD verfügbar.
SmartScreen / Network Protection: Zwei Funktionen, die einfach zu implementieren sind und dennoch einen großen Vorteil bieten. Windows 10 prüft in Microsoft Edge und Explorer (SmartScreen) oder auf Netzwerkebene unabhängig von der Client-Anwendung (Network Protection) auf bösartige Dateien und Webverkehr. Auf diese Weise werden bösartige Elemente, die Microsoft über den Intelligent Security Graph identifiziert, auf dem Client geprüft oder blockiert.
Benutzerkontensteuerung: Ja, sie kann umgangen werden. Bitte verwenden Sie sie trotzdem. Sie möchten nicht, dass lokale Admin-Token ständig in der Sitzung vorhanden sind.
Microsoft Defender Antivirus / Microsoft Defender für Endpoint: Microsoft Defender Antivirus und Defender for Endpoint sind eine gute Kombination für clientseitige Antimalware + EDR (Endpoint Detection and Response) / EPP (Endpoint Protection Platforms).
Safe Documents als Teil von Defender for Office 365: Microsoft Defender for Endpoint scannt jede Office-Datei aus einer externen Quelle und erlaubt die Aktivierung des Bearbeitungsmodus nur, wenn sie als sauber befunden wurde. Dies ist ein wichtiger Schutz gegen bösartige Makros oder andere präparierte Office-Dateien.
Attack Surface Reduction: ASR ist ein Teil des EPP-Ansatzes in Windows. Es bietet Schutzfunktionen gegen die häufigsten Bedrohungen wie Makros, die Code oder unbekannte ausführbare Dateien von externen Quellen einschleusen, und vieles mehr.
Credential Guard: Isoliert (Domänen-)Anmeldedaten und verhindert deren Auslesen; kein perfekter Schutz, aber dennoch eine wertvolle Komponente.
Windows Defender Firewall: Isoliert Geräte im Netzwerk, um „Lateral Movement“ zu verhindern. „Lateral Movement“ ist eine weit verbreitete Angriffsvariante auf (insbesondere) On-Prem-Konten. Mit Intune ist es sehr einfach, die Firewall in den Stealth/Shielded-Modus zu versetzen, um eingehende Verbindungen und Network Probing vollständig zu unterbinden. Das muss natürlich zu Ihren Helpdesk-Szenarien passen, damit solche gewünschten Verbindungen weiterhin funktionieren.
Anwendungskontrolle / AppLocker: Beide Funktionen können verwendet werden, um eine Liste erlaubter Anwendungen zu definieren. AppLocker erfüllt die Aufgabe, ist aber auch schon seit Windows 7 vorhanden. Application Control ist fortschrittlicher und ermöglicht eine detailliertere Identifizierung von Anwendungen sowie die Möglichkeit, diese Richtlinien digital zu signieren, um Änderungen zu verhindern. In Kombination mit HVCI (früher bekannt als Device Guard, das jedoch – als Produktname – sowohl HVCI als auch Application Control enthielt) kann Application Control Binärdateien im Kernel- und Benutzermodus steuern.
Application Guard: Hardware-basierte Isolierung von Microsoft Edge und Microsoft Office, um eine mögliche Infektion auf einen dedizierten Container zu beschränken, anstatt sie auf das gesamte System übergreifen zu lassen.
LAPS: Verwendung von zufälligen lokalen Administratorkennwörtern zur Verhinderung von „Lateral Movement“ zu anderen Systemen mit demselben Konto/Kennwort.
Passwortlose Authentifizierung: Verwenden Sie Windows Hello for Business für Einzelbenutzergeräte oder FIDO2-Sicherheitsschlüssel für Produktions-/Mehrbenutzersysteme.

Vielen Dank fürs Lesen

Christian Müller

Hinweis:

Bitte beachten Sie, dass alle Inhalte in diesem Blog ohne jegliche Garantie bereitgestellt werden.

Die englische Version des Blogbeitrages finden Sie hier:

https://chrisonsecurity.net/2021/07/15/windows-11-security-a-first-look/

Starten wir gemeinsam in die Zukunft

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.

Verschlagwortet mitMicrosoft Security

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen Hubspot an dieser Stelle, um die Kontaktformulare zur Verfügung zu stellen.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js-eu1.hsforms.net

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Monate

Akzeptieren	Mouseflow
Name	Mouseflow
Anbieter	Mouseflow ApS, Flaesketorvet 68, 1711 Kopenhagen, Dänemark
Zweck	Die Datenverarbeitung dient dem Zweck der Analyse dieser Website und ihrer Besucher. Dazu werden Daten zu Marketing- und Optimierungszwecken gesammelt und gespeichert. Aus diesen Daten können unter einem Pseudonym Nutzungsprofile erstellt werden. Hierzu können Cookies eingesetzt werden. Bei dem Webanalyse-Tool Mouseflow werden zufällig ausgewählte einzelne Besuche (nur mit anonymisierter IP-Adresse) aufgezeichnet. Hierbei entsteht ein Protokoll der Mausbewegungen und Klicks mit der Absicht einzelne Website-Besuche stichprobenartig abzuspielen und potentielle Verbesserungen für die Website daraus abzuleiten. Die mit Mouseflow erhobenen Daten werden ohne die gesondert erteilte Zustimmung des Betroffenen nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt. Die Verarbeitung erfolgt auf Grundlage des Art. 6 (1) f) DSGVO aus dem berechtigten Interesse an direkter Kundenkommunikation und an der bedarfsgerechten Gestaltung der Website. Sie haben das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese auf Art. 6 (1) f DSGVO beruhende Verarbeitung Sie betreffender personenbezogener Daten zu widersprechen. Dazu können Sie eine Aufzeichnung auf allen Websites, die Mouseflow einsetzen, global für Ihren gerade verwendeten Browser unter folgendem Link deaktivieren: https://mouseflow.de/opt-out/
Datenschutzerklärung	https://mouseflow.com/privacy/
Cookie Name	gtm.ct.mf

Akzeptieren	Google Ads
Name	Google Ads
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google, das für das Conversion-Tracking von Google Ads verwendet wird.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de

Services

Produkte

Branchen

AWS

Microsoft

Private Cloud

Windows 11 Security