Windows-Sicherheitsstrategie

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von Windows 10)
Anzeige
Wechseln zu: Navigation, Suche
Bild: Bill Gates-Mail

Microsoft beschäftigt sich spätestens seit seiner "Trustworthy Computing" Initiative (vertrauenswürdiger Computereinsatz) aus dem Jahr 2002 intensiv mit der IT-Sicherheit. Die Grundlage bildete eine berühmt gewordene Mail von Bill Gates an die Mitarbeiter, die die Themen IT-Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Unternehmensziel erklärte (" ...Trustworthy Computing is more important than any other part of our work."). Nach und nach werden auch die Details sichtbar.

Grundlegende Funktionalitäten

Bild: Sicherheitscenter

Anfangs wurden die drei grundlegene Sicherheitsfunktionalitäten für das Windows-Betriebssystem eingeführt (Sicherheitscenter):

Bei Anwendung der Windows-Firewall sowie Verwendung des Microsoft-eigenen Virenscanners "Microsoft Security Essentials" kann ein ausreichender IT-Grundschutz ohne Zusatzsoftware erreicht werden. Seit 2012 bietet Microsoft auch eine Offline-Version des zwischenzeitlich in "Windows Defender" umbenannten Virenscanners an, um nach Installation auf CD oder USB-Stick von einem virenfreien Notfallsystem eine Virensuche starten zu können.

Mit neueren Windows-Versionen erfolgte auch die Implementierung von DEP und ASLR in das Betriebssystem. Mittels dem EMET-Tool kann neuerdings Anwendungssoftware, die ohne diese Funktionalitäten entwickelt wurde, nachgerüstet werden.

Zusätzlich hat Microsoft Sicherheitsüberprüfungs-Tools für die Softwareentwicklung, wie beispielsweise den BinScope Binary Analyzer oder den Attack Surface Analyzer, vorgestellt. Der BinScope Binary Analyzer kommt in der Programmierung (Microsofts Entwicklungsumgebung Visual Studio 2010 wird unterstützt) zum Einatz und überprüft den binären Code darauf, ob alle empfohlenen und notwendigen Security Flags und Schutzmechanismen (z.B. ASLR) aktiviert sind. Mit dem Attack Surface Analyzer kann ein Nutzer herausfinden, ob die Installation eines Programms die Betriebssystemsicherheit negativ beeinflusst. Dazu erfolgt ein Scans durch den Analyzer vor und nach der Installation des zu untersuchenden Programm. Andere Tools dieser Reihe suchen nach potentiellen Schwachstellen in der entwickelten Software, testen auf Datenzugriffsprobleme oder die Anfälligkeit auf DoS-Angriffe.

Microsoft hat diese Tools unter dem Namen SDL-Tools (Security Development Lifecycle Process Tools) zusammengefasst. Durch diese Zusatztools wird strategisch nun auch das Vorfeld des Einsatzes der Windows-Betriebsystemsoftware abgedeckt. Dies entspricht modernen Betrachtungsweisen zur IT-Sicherheit über gesamte Lebensdauer einer Software, den sogenannten Lebenszyklus-Modellen (Life Cycle, bekannt aus ITIL).


Trustworthy Computing Group

Microsoft hat seine Sicherheits-Aktivitäten in der unternehmenseigenen Trustworthy Computing Group (TwC-Group) gebündelt. Im Zuge von Stellenstreichungen im Jahr 2014 soll dieser Unternehmensteil wieder aufgelöst werden[1].


Transparenzzentrum

Microsoft gewährt als erster Anbieter von sogenannter "Closed-Source-Software" Einblicke in seinen Quellcode. In einem Transparenzzentrum gibt Microsoft Behörden die Möglichkeit, den Source-Code selbst zu untersuchen. Ein erstes Transparenzzentrum wurde bereits auf dem Firmengelände in Redmond eröffnet, weitere (u.a. in Brüssel) wurden zwischenzeitlich eröffnet[2].


Personalisierte Werbung

Ob man beim Surfen im Internet auf Microsofts Webseiten personalisierte Werbung angezeigt bekommen, kann man auf einer speziellen Microsoft-Webseite einstellen. Bei Anmeldung per Microsoft-Konto gilt die hinterlegte Einstellung, ansonsten wird die Einstellung per Cookie hinterlegt. Da auch Google ein ähnliches Prinzip bei seinem Datensammeln verwendet (Einstellung über die übergreifende Schaltzentrale „Mein Konto“ nach Anmeldung bei einem Google-Dienst wie das E-Mail-Programm Gmail, die Videoplattform Youtube oder das soziale Netzwerk Google+; ansonsten per im Untermenü "Protokoll" im Menü "Einstellung" bei der Google-Suchmaschine), ist die oft empfohlene regelmäßige Cookie-Löschung hier kontraproduktiv.


Windows 8

Mit Windows 8 stellte Microsoft im Herbst 2012 ein einheitliches Betriebssystem für Tablets und PCs vor. Neben der schon seit Windows XP SP2 eingeführten PC-Firewall und dem vor/mit Windows 7 eingeführten ersten "Guard" (PatchGuard gegen die aufziehende Rootkits-Gefahr bei 64-bit Systemen, der aber auf Grund des Designs auf der gleichen Ebene wie das zu schützende Gut - d.h. der Code - in der Schutzwirkung begrenzt bleibt) sowie dem Verschlüsselungsprogramm Bitlocker werden mit Windows 8 weitere neue Sicherheitsfunktionen bereitgestellt, u.a.:

  • Starten des Rechners nur mit MS-signierten Bootloadern

(Secure Boot mit dem BIOS-Nachfolger UEFI)

  • eigener Virenscanner Windows Defender

(schon bekannt als Nachinstallation MS Security Essential früherer Windows Betriebssysteme)

  • Prüfen heruntergeladener Dateien auf Malware-Verdacht mittels SmartScreen

(bisher nur im MS-Browser Internet Explorer integriert)

  • Zulassen von Wischgesten und PINs zur Rechner-Entsperrung

(um hierbei nicht jedes Mal das komplette Passwort eingeben zu müssen)

  • Ausdehung von ASLR auf fast alle Systemkomponenten

Hinsichtlich der derzeit am häufigsten als Einfallstore missbrauchten Softwarekomponenten Adobe Flash Player, Acrobat Reader (PDF) und Java nimmt Windows 8 die Aktualisierung des Flash Players nun selbst vor. Für PDF-Dokumente hat es ein eigenes rudimentäres Programm zur Darstellung integriert. Bei Java muss man sich weiterhin selbst schützen. Sofern man Java nur lokal benötigt, kann man das Plugin im Browser deaktivieren.

Insgesamt verfügt nun Windows 8 nun auch im Grundzustand über einen soliden Basisschutz insbesondere für allzu sorglose Anwender. Allerdings wird auch das Cloud Computing bei Privatnutzung nun quasi obligatorisch. Natürlich kann man Rechner mit Windows 8 auch nur lokal betreiben, doch schon allein für die Update-Unterstützung ist man auf das Internet angewiesen. Hier versucht Windows 8 gleich, dem Nutzer ein Microsoft-Konto "aufzudrängeln", für neue Apps ist zudem die sogenannte "Live ID" unerlässlich.

In der neusten Version Windows 8.1 sind zusätzliche Business-Sicherheitsfunktionalitäten hinzukommen, u.a. ein Sicherheitsrichtlinien-Management, die Trennung von Privat- und Geschäftsdaten inclusive Fernlöschung und die Komplett-Verschlüsselung ab Werk. Auch ist Windows 8.1 nun vorgerüstet für Fingerabdruckleser. Zudem hat Windows 8.1 einen im Betriebssystem nun standardmäßig vorhandenen Kiosk-Modus integriert. Das ist ein spezieller Modus, bei dem die Rechte des Benutzers eingeschränkt sind. Der Nutzer kann z. B. das Programm nicht beenden und andere bestimmte Aktionen nicht durchführen. Der Kiosk-Modus ist gedacht für den Einsatz an öffentlichen Informationsterminals.


Windows 10

Mit Windows 10 stellte Microsoft im Sommer 2015 das vorläufig letzte Windows-Betriebssystem vor. Anders als seine Vorgänger soll Windows 10 ständig weiterentwickelt werden. Windows 10 ist ein einheitliches Betriebssystem für Smartphones, Tablets, Laptops und PCs. Neben der schon bei Windows 8.1 eingeführten Trennung von Privat- und Geschäftsdaten (Data Separation, genannt EDP - Enterprise Data Protection - nur ab Enterprise-Version) werden weitere neue Sicherheitsfunktionen bereitgestellt, u.a.:

(Dazu ist Microsoft der FIDO-Allianz beigetreten; biometrische Merkmale werden lt. Microsoft nur auf dem lokalen Gerät gespeichert.)

  • "BranchCache" zur Prüfung, ob eine Datei auf einem Server nicht schon lokal zwischengespeichert und damit schneller bearbeitet werden kann
  • Ergänzung von ASLR und DEP durch eine zusätzliche Zielprüfung von Systemaufrufen (CFG - Control Flow Guard)
  • Virenscanner Windows Defender als automatische Rückfalloption, falls kein anderer Virenscanner installiert ist oder dessen Nutzung ausläuft
  • Anti-Malware-Interface zur Kontrolle von (aus dem Internet) nachladbaren Code
  • Abschalten der Ausführung jeglichen Codes beim Webseiten-Aufruf
  • Möglichkeit der Blockierung nicht vertrauenswürdiger Schrift-Fonts
  • zusätzliche integrierte DLP-Lösung für Geschäftsdaten (Leak-Protection)
  • Device-Protection zum Schutz lokaler Dateien bei Geräteverlust
  • geschützter Dokumentenaustausch auch über Unternehmensgrenzen hinweg (Sharing Protection)

Für Sicherheitsbereiche kann man Windows 10 in der Enterprise-Version auch besonders sicher einrichten, so das nur vertrauenswürdige Anwendungen ausgeführt werden (Aktivierung der Funktionalität "Credential Guard" gegen Pass-the-Hash- und Golden Ticket/Silver Ticket-Angriffe[3] sowie "Device Guard" mit App-White-Listing und zusätzlich die Möglichkeit der Signatur von Unternehmens-Apps sowie TPM-Nutzung). Einen Schritt weiter geht die "Long Term Servicing Branch"-Version, die sich für besonders sicherheitskritische Systeme eignen soll. Auch die Windows 10 S-Edition hat ebenfalls ein höheres Sicherheitsniveau als die Normalversion (hier können beispielsweise nur Apps aus dem Windows Store installiert werden, außerdem sind viele Systemzugriffe für den Nutzer - wie z.B. über die Powershell - blockiert sowie der Registry-Zugriff unterbunden), allerdings "bezahlt" man diesen Sicherheitsgewinn mit erheblichen Einschränkungen, da der Nutzer am System kaum noch selbst etwas ändern kann und auf ein beschränktes App-Angebot festgelegt wird. Insofern ähnelt der Windows 10 S-Einsatz eher dem Konzept von Googles ChromeOS.

Zukünftig soll der mit Windows 8 eingeführte Standard-Virenscanner Defender um ein Feature zur ATP-Erkennung (Windows Defender ATP) bereichert werden. Die Erweiterung soll einen Lernmechanismus nutzen, der erkennt, wenn sich ein Rechner "unnormal" verhält. In der neusten Version vom Juni 2016 kann der Nutzer Windows 10 mit dem "Limited Periodic Scanning" auffordern, zusätzlich zu einem eigenen Virenscanner auch den Microsoft Defender für eine aktive Schädlingssuche zu starten. Der Echtzeitschutz des Windows Defender bleibt dann allerdings abgeschaltet[4].

Weitere Sicherheitsfunktionalitäten werden mit dem Anniversary-Update von Windows 10 bereitgestellt. So wird der Browser Edge mit einigen neuen Sicherheitsfunktionen ausgestattet (u.a. auch eine eigene Sandbox für Flash, im Gegensatz dazu wird in den neuen Browser-Versionen von Firefox die Flash-Unterstützung komplett abgeschalten). Für Enterprise-User gibt es die geplante Edge-Funktion „Application Guard“. Admins können nach Aktivierung festlegen, welche Sites Nutzer eines Unternehmensnetzwerks ausschließlich gesichert aufrufen dürfen. Dieses Vorgehen erschwert es Angreifern, Sicherheitslücken im Browser auszunutzen, um User- oder Systemdaten abzugreifen. Die Multifaktor-Authentifikation unterstützt nun auch PINs und sogenannte Companion-Devices, die Credentials werden dabei im TPM gespeichert. Sofern kein TPM vorhanden ist, wird softwarebasiert verschlüsselt und lokal auf einem Speichermedium gesichert. Die "Enterprise Data Protection" wird nun als "Windows Information Protection" allen zur Verfügung gestellt. Die Offline-Version des Virenscanners "Windows Defender" kann nun auch direkt von der Festplatte gestartet werden; so entfällt der umständliche Weg der Installation auf CD/USB-Sticks. Der Computer startet dann mit der Reparaturumgebung "Windows RE", aus der heraus der Virenscanner die Festplatte scannt. Grundlegend neu ist die stärkere Cloud-Integration, die als Sicherheitsvorteil gegen die aktuellen neuartigen Angriffe (beispielsweise ATPs, Sicherheitsvorfall in der Bundestagsverwaltung, Ransomware wie TeslaCrypt) beworben wird (siehe auch die neuen IT-Sicherheitsstrategie-Ansätze Defense-in-Depth und New-Security-Cubus). Werden schon ab Windows 8 im SoHo-und Home-Bereich die Benutzereinstellungen mit den Anmelde-Passwort in der Microsoft-Cloud gesichert, erfolgt nun verstärkt eine Nutzung von Sicherheitsfunktionen in Richtung Cloud. So wird der SmartScreen-Filter durch den neuen "Microsoft Intelligent Security Graph" mit weiteren Informationen versorgt und erfolgreiche Angriffsversuche (post breach) auf Endgeräte können mit der neuen "Windows Defender Advanced Threat Protection" (WDAPT) festgestellt und untersucht werden (per Dashboard im "Windows Security Center"). Genutzt werden hierbei zur Datenkorrelation in Echtzeit auf bekannte Angriffsmuster entsprechende Cloud-Kapazitäten. Da auch derzeit unbekannte Angriffe festgestellt werden sollen, ist zusätzlich der Einsatz einer KI (Künstliche Intelligenz) bzw. neuronaler Netze in der Cloud zu vermuten. Abgerundet werden diese Funktionserweiterungen für Unternehmen durch Cloud-Integrationsangebote für den Microsoft-Verzeichnisdienst Active Directory. So wird es u.a. möglich, mit dem gleichen Verzeichnisdienst sowohl im eigenen Unternehmensnetz (mit eigenen sensiblen Datenbeständen, ggf. in einer privaten Cloud) als auch in Microsofts Azure-Cloud (für weniger sensible Daten oder Azure-Cloud-Dienste wie Office 365 und Dynamics CRM) zu arbeiten.

Allerdings sollte man bei der Installation von Windows 10 in den Einstellungen darauf achten, in welchem Umfang Daten freigegeben werden. Wer die von Microsoft festgelegten Express-Einstellungen wählt, räumt dem Unternehmen weitreichende Rechte zum Erfassen und Verarbeiten seiner Daten (neben den bekannten Fehlerberichten auch Aufzeichnung von Tastatureingaben, Kontakt- und Kalenderdetails, Browserverlauf für die „Seitenvorhersage“-Funktion sowie die komplette Unterhaltung mit der Sprachassistenz Cortana) ein[5][6][7]. Verhindern kann man das entweder händisch per entsprechenden Systemeinstellungen[8] oder mittels Programm der Zeitschrift COMPUTER BILD [9] (siehe Weblinks). Deutsche Datenschützer gehen sogar soweit und verklagen Microsoft (u.a. wegen der o.a Express-Einstellungen); die französische Datenschutzbehörde belässt es vorerst bei einer Rüge (u.a. wegen Microsofts Telemetrie-Dienst und die Hinterlegung eines Werbecookies). Teilweise Abhilfe schafft hier das Creators Update von Windows 10. Die heftig kritisierte Schaltfläche für "Express-Einstellungen" bei der Ersteinrichtung von Windows 10 ist verschwunden; der Anwender bekommt fünf Schalter zu sehen, deren Ausschalten den Komfort einschränkt, aber den Datenschutz verbessert. Damit ist die französische Datenschutzbehörde zunächst auch zufrieden; auch das Bayerische Landesamt für Datenschutzaufsicht ist nun der Meinung, dass damit ein datenschutzkonformer Einsatz von Windows 10 bei Unternehmen möglich ist[10]. Bei der SSL-gesicherten Übertragung dieser Daten sowie weiterer sensibler Systemdaten (z.B. diversen Telemetriedaten, Nutzereinstellungen, URLs, BitLocker-Keys und Passwörter) in die Microsoft-Cloud verzichtet Windows 10 allerdings weiterhin auf die Sicherheitsfunktion "Public Key Pinning". Im Gegensatz zu den so gesicherten Updates wird hier lediglich geprüft, ob das vorgezeigte Zertifikat von einer gültigen Zertifizierungsstelle stammt, damit sind Man-In-the-Middle-Attacken potentiell möglich[11]. Bezüglich der IT-Sicherheit wird mit dem Creators Update nun eine neue zentrale Anlaufstelle für den Anwender über das sogenannte Windows Defender Security Center eingeführt. Weiterhin wird die Funktion „Remote Lock“ zu "Windows Hello" zugefügt. Wenn nun ein Smartphone per Bluetooth mit dem System verbunden ist und sich entfernt, wird der Bildschirm automatisch gesperrt. Zum lokalen Anmelden kann nun auch eine PIN statt des Kennwortes genutzt werden. Das Kennwort ist dann nur noch selten erforderlich, beispielsweise bei Zugriffen übers Netzwerk oder bei Vergessen der PIN. Die PIN kann auch länger als 4 Stellen sein, besteht aber nur aus Ziffern. Bei falscher Eingabe ist eine Wartezeit bis zum nächsten Versuch abzuwarten, die sich ständig erhöht. Ob dieses Konstrukt zur Sicherheit beiträgt, ist umstritten und muss die Zukunft erweisen.

Im Oktober 2017 wurde das nächste Update mit dem wenig orginellen Namen Fall Creators Update (Windows 10 FCU), quasi der 2.Teil des Creators Update, bereitgestellt. Auf Grund der verstärkten Angriffe per Ransomware wurde ein Zugriffschutz für die persönliche Ordner (Dokumente, Bilder & Co.) per "Controlled folder Access", quasi also eine Whitelist, eingerichtet. Der User kann für solche Ordner definieren, ob Änderungen überwacht werden sollen, um so Ransomware das Verschlüsseln von Benutzerdaten zu erschweren [12]. Dazu kommen Anti-Exploit-Maßnahmen (über das früher separate EMET-Tool als eine "Exploit Protection" mit ASLR), Verhaltensüberwachung (über "Attack Surface Reduction" -ASR- per Blocken verdächtiger Mail-Anhänge) und Netzwerkschutz (über "Network Protection" per Filter für den ausgehenden Netzwerkverkehr). Der Browser Edge kann in Unternehmensumgebungen als Sandbox-Variante mittels "Windows Defender Application Guard" quasi als "Browser in the Box" installiert werden. Sicherheits-Diskussionen gibt es um das neue "Windows Subsystem für Linux (WSL)". Es wird befürchtet, dass Linux-Malware unerkannt von den Windows-Sicherheitssystemen auf dem Rechner eingeschleust werden kann. Allerdings muss man dazu im Windows 10 den Developer Mode aktiviert haben, was wohl nur Software-Entwickler tun[13].


UWP-App

Neu am Softwarekonzept von Microsoft ist die universellen Windows-Plattform-App (UWP-App). Kurz gesagt kann man mit einer (fast) beliebigen Programmiersprache Apps erstellen und für alle Windows 10-Geräte (PC, Tablet, Smartphone) verfügbar machen. Der Vorteil aus Sicherheitssicht ist, dass alle UWP-Apps als AppX-Pakete verteilt werden, die einen vertrauenswürdigen Installationsmechanismus bereitstellen. Außerdem können die Apps problemlos aktualisiert werden.


Weblinks


Einzelnachweis

  1. "Microsoft zerschlägt sein Sicherheits-Team" in heise.de/Security vom 23.September.2014
  2. "Microsoft lässt Regierungen kontrolliert in den Quellcode blicken" in heise.de/Security vom 03.Juni.2015
  3. "Windows 10 mit Schutz vor Pass-the-Hash-Angriffen" in heise.de/Security vom 28.Juli.2016
  4. "Neue Preview von Windows 10 schaut zweimal hin" in heise.de/Security vom 28.Mai.2016
  5. SecuPedia Aktuell: Bei Windows 10 auf Einstellungen zum Datenschutz achten
  6. SecuPedia Aktuell: Auch Stiftung Warentest sieht Datenschutzprobleme bei Windows 10
  7. SecuPedia Aktuell: Service-Provider warnt: Edge und Cortana schicken zu viele Daten an Microsoft
  8. Beitrag in der c´t 20/2015 „Erstkontakt“
  9. SecuPedia Aktuell: COMPUTER BILD: Windows 10 spioniert Kundendaten aus!
  10. SecuPedia Aktuell: Prüfung von Windows 10 im Unternehmensumfeld
  11. "Windows 10: Gefährlicher Zertifikats-Wirrwarr" in heise.de/Security vom 14.August.2015
  12. "Windows 10 Insider Preview mit neuen Sicherheitsmechanismen" in heise.de/Security vom 30.Juli.2017
  13. "Bashware: Windows 10 über Linux-Komponente angreifbar" in heise.de/Security vom 15.August.2017


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 15. November 2017 um 09:38 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.

Anzeigen