Windows 11 Security

Ein erster Blick

Windows 11 Security

„Windows 10 wird die letzte Windows-Version sein.“ Oder auch nicht. Microsoft hat dieses Jahr überraschend Windows 11 angekündigt, was seit dem 5. Oktober zur Verfügung steht. Noch mehr als Windows 10 konzentriert es sich auf eine sichere „Hardware Root of Trust“ als Grundlage für die gesamte Sicherheitsarchitektur des Betriebssystems. Werfen wir also einen Blick auf die Sicherheit von Windows 11.

Neue Hardware-Anforderungen

Ein „Hardware Root of Trust“ erfordert – Sie haben es erraten – bestimmte Hardware- und Firmware-Funktionen, die auf dem Gerät aktiviert sein müssen. Warum ist das notwendig? Dadurch können bestimmte Integritätsprüfungen bereits zu Beginn und während des Bootprozesses durchgeführt werden. Microsoft setzt darüber hinaus in Windows auf Virtualization-Based Security (VBS), um Teile des Betriebssystems in verschiedenen sogenannten „Enclaves“ zu kapseln. Das hilft, die Systemintegrität zur Laufzeit auch im Falle von Malware-Angriffen zu gewährleisten.

Was wir dafür brauchen:

Das alles muss man sicherlich nicht auswendig können, jedoch ist es wichtig zu verstehen, dass das gewünschte Schutzniveau nicht allein durch Software erreicht werden kann. Funktionen, die diese Hardware-Basis nutzen, sind z. B.:

  • System Guard für Low Level System Integrity
  • Device Guard für Code-Integrität auf Kernel-Ebene
  • Application Guard für Code-Integrität auf Nutzerebene
  • Credential Guard für die sichere Speicherung der Account Credentials
  • BitLocker
  • Windows Hello for Business
  • Windows Sandbox
Windows 11 Security Features

Was sich wirklich ändert

Alle oben beschriebenen Funktionen sind bereits in Windows 10 vorhanden. Was Microsoft nun standardmäßig aktivieren wird, ist „Memory Integrity“ als Teil der Hypervisor-Enforced Code Integrity. Sie war bereits seit einiger Zeit Teil von Windows 10 als optionale Funktion. Das ist sie immer noch, aber abhängig von der Geräte-Hardware und dem OEM-Image jetzt standardmäßig aktiviert. Die Voraussetzungen dafür sind hier zu finden: https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-hvci-enablement#hardware-features-for-automatic-enablement

Ansonsten ändert sich nicht viel. Windows 11 wird bestimmte Anforderungen wie ein TPM erzwingen, aber die darauf aufbauende Funktionalität muss teilweise noch administrativ konfiguriert werden. Hier ist bereits Windows 10 schon recht sicher und hat viele Möglichkeiten, das Betriebssystem vor Bedrohungen zu schützen.

Was Microsoft hier meiner Meinung nach wirklich erreichen will, ist sicherzustellen, dass jede Windows 11-Installation bereits die Hardware-Anforderungen für erhöhte Sicherheit erfüllt, so dass jeder Administrator bei Bedarf einfach weitermachen kann, um mehr Sicherheit zu gewährleisten. Diese Änderung hat zu einem gewissen Aufschrei geführt. Jedoch ist Microsoft auch seit Jahren in der Kritik, Windows sei zu unsicher. Dass hier jetzt gegengesteuert wird, ist daher nur konsequent.

Sicherheitsfunktionen in Windows 11 (und 10)

Die folgenden Punkte waren bereits mit Windows 10 möglich, aber Windows 11 bietet nun die ideale Gelegenheit, eine sicherere Basiskonfiguration für Clients bereitzustellen. Windows 10 wird noch bis 2025 unterstützt – es ist also noch Zeit, sich vorzubereiten. Wie können wir diese Zeit nutzen? Werfen wir einen Blick auf ein sichereres Client-Design (ohne Garantie auf Vollständigkeit) mit den Sicherheitsfunktionen von Windows 11:

  • BitLocker: Seit Jahren eine der zuverlässigsten und am einfachsten zu handhabenden Verschlüsselungslösungen für Windows. Obligatorisch für mobile Geräte, empfohlen für alle. Self-Service ist mit Azure AD verfügbar.
  • SmartScreen / Network Protection: Zwei Funktionen, die einfach zu implementieren sind und dennoch einen großen Vorteil bieten. Windows 10 prüft in Microsoft Edge und Explorer (SmartScreen) oder auf Netzwerkebene unabhängig von der Client-Anwendung (Network Protection) auf bösartige Dateien und Webverkehr. Auf diese Weise werden bösartige Elemente, die Microsoft über den Intelligent Security Graph identifiziert, auf dem Client geprüft oder blockiert.
  • Benutzerkontensteuerung: Ja, sie kann umgangen werden. Bitte verwenden Sie sie trotzdem. Sie möchten nicht, dass lokale Admin-Token ständig in der Sitzung vorhanden sind.
  • Microsoft Defender Antivirus / Microsoft Defender für Endpoint: Microsoft Defender Antivirus und Defender for Endpoint sind eine gute Kombination für clientseitige Antimalware + EDR (Endpoint Detection and Response) / EPP (Endpoint Protection Platforms).
  • Safe Documents als Teil von Defender for Office 365: Microsoft Defender for Endpoint scannt jede Office-Datei aus einer externen Quelle und erlaubt die Aktivierung des Bearbeitungsmodus nur, wenn sie als sauber befunden wurde. Dies ist ein wichtiger Schutz gegen bösartige Makros oder andere präparierte Office-Dateien.
  • Attack Surface Reduction: ASR ist ein Teil des EPP-Ansatzes in Windows. Es bietet Schutzfunktionen gegen die häufigsten Bedrohungen wie Makros, die Code oder unbekannte ausführbare Dateien von externen Quellen einschleusen, und vieles mehr.
  • Credential Guard: Isoliert (Domänen-)Anmeldedaten und verhindert deren Auslesen; kein perfekter Schutz, aber dennoch eine wertvolle Komponente.
  • Windows Defender Firewall: Isoliert Geräte im Netzwerk, um „Lateral Movement“ zu verhindern. „Lateral Movement“ ist eine weit verbreitete Angriffsvariante auf (insbesondere) On-Prem-Konten. Mit Intune ist es sehr einfach, die Firewall in den Stealth/Shielded-Modus zu versetzen, um eingehende Verbindungen und Network Probing vollständig zu unterbinden. Das muss natürlich zu Ihren Helpdesk-Szenarien passen, damit solche gewünschten Verbindungen weiterhin funktionieren.
  • Anwendungskontrolle / AppLocker: Beide Funktionen können verwendet werden, um eine Liste erlaubter Anwendungen zu definieren. AppLocker erfüllt die Aufgabe, ist aber auch schon seit Windows 7 vorhanden. Application Control ist fortschrittlicher und ermöglicht eine detailliertere Identifizierung von Anwendungen sowie die Möglichkeit, diese Richtlinien digital zu signieren, um Änderungen zu verhindern. In Kombination mit HVCI (früher bekannt als Device Guard, das jedoch – als Produktname – sowohl HVCI als auch Application Control enthielt) kann Application Control Binärdateien im Kernel- und Benutzermodus steuern.
  • Application Guard: Hardware-basierte Isolierung von Microsoft Edge und Microsoft Office, um eine mögliche Infektion auf einen dedizierten Container zu beschränken, anstatt sie auf das gesamte System übergreifen zu lassen.
  • LAPS: Verwendung von zufälligen lokalen Administratorkennwörtern zur Verhinderung von „Lateral Movement“ zu anderen Systemen mit demselben Konto/Kennwort.
  • Passwortlose Authentifizierung: Verwenden Sie Windows Hello for Business für Einzelbenutzergeräte oder FIDO2-Sicherheitsschlüssel für Produktions-/Mehrbenutzersysteme.

Vielen Dank fürs Lesen

Christian Müller

Hinweis:

Bitte beachten Sie, dass alle Inhalte in diesem Blog ohne jegliche Garantie bereitgestellt werden.

Die englische Version des Blogbeitrages finden Sie hier:

https://chrisonsecurity.net/2021/07/15/windows-11-security-a-first-look/