Cyberkriminelle entwickeln ihre Angriffsmethoden ständig weiter und nutzen moderne Technologien, um in fremde Systeme eindringen zu können. Wir haben im April neue Sicherheitsfunktionen für Windows 11 angekündigt, um Angreifer*innen das Handwerk zu legen. Diese Funktionen sind ab sofort verfügbar.
Der Kampf gegen Hacker*innen ist immer auch ein Wettkampf gegen die Zeit: Die durchschnittliche Zeit zwischen einem Angriff beispielsweise über eine Phishing-Mail und einem erfolgreichen Zugriff auf geschützte Daten beträgt eine Stunde und zwölf Minuten. Microsoft kennt mehr als 35 Varianten von Ransomware und mehr als 250 einzelne Angreifer*innen – staatliche und kriminelle sowie andere Akteure. Die Daten zu den Angriffszeiten gewinnt Microsoft aus täglich mehr als 43 Billionen Signalen, die unsere Anwendungen anonymisiert an unsere Sicherheitsteams schicken, darunter 2,5 Milliarden Abfragen pro Tag an Endpunkten und 921 blockierte Kennwortabfragen – pro Sekunde.
Insgesamt beschäftigen wir 8.500 Ingenieur*innen, Forschende, Datenwissenschaftler*innen, Cybersicherheits- und andere Expert*innen in 77 Ländern und arbeiten mit mehr als 15.000 Partnerunternehmen weltweit zusammen, um die Sicherheit unserer Anwendungen, Plattformen und Betriebssysteme zu erhöhen. Dafür nutzen wir auch künstliche Intelligenz, die wir mit der Intelligenz unserer Expert*innen kombinieren, um kontinuierlich aus den Veränderungen in der Bedrohungslandschaft zu lernen. Damit wollen wir schneller als der Trend sein. Ein spezielles Team namens „Microsoft Offensive Research and Security Engineering“ (MORSE) arbeitet daran, Bedrohungen zu stoppen, bevor sie IT-Infrastrukturen, -Geräte und -Anwendungen erreichen.
Unser Wissen und die Arbeit unserer Expert*innen fließen auch in die Entwicklungsprozesse ein, damit die neuen Versionen unserer Lösungen stets auch sicherer sind als zuvor. Heute kündigen wir an, dass die von uns im April dieses Jahres vorgestellten neuen Sicherheitsfunktionen für Windows 11 ab sofort verfügbar sind.
Nur vertrauenswürdige Anwendungen ausführen
Die Integration der Smart App Control in Windows 11 verhindert, dass auf kompromittierten Geräten nicht-vertrauenswürdige oder nicht-signierte Anwendungen ausgeführt werden können, die häufig mit Schadsoftware verbunden sind. Die Smart App Control arbeitet mit einem KI-Modell, das auf Basis der erwähnten 43 Billionen Sicherheitssignale eine Vorhersage darüber trifft, ob eine App sicher ist oder nicht. Schon bisher gehören diese Vorhersagen zu den effizientesten Methoden zum Schutz vor Malware. Deshalb nutzen wir die Vorhersagen der Smart App Control nun auch für Windows 11, um die Ausführung bekannt sicherer Apps zu erleichtern und unbekannte Apps, die mit neuer Malware in Verbindung gebracht werden, schnell zu blockieren.
Smart App Control basiert auf Kernfunktionen, die wir auch in der Windows-Defender-Anwendungssteuerung verwenden. Wir stellen das Tool für alle Windows-Clients zur Verfügung, die bereits mit dem Windows 11 Update 2022 laufen. Größere Unternehmen können Microsoft Intune mit der Windows Defender Anwendungssteuerung verwenden, um über Richtlinien zu kontrollieren, welche Apps auf Arbeitsplatzgeräten ausgeführt werden.
Schutz für gefährdete Treiber
Aktuelle Malware zielt oft auf Treiber für den Betrieb externer Geräte ab, um Schwachstellen auszunutzen, Sicherheitsagenten zu deaktivieren und Systeme zu kompromittieren. Windows 11 setzt zur Abwehr solcher Angriffe auf virtualisierungsbasierte Sicherheit (VBS), um den Schutz des Kernels vor potenziellen Bedrohungen zu verbessern.
- Dafür aktivieren wir auf allen neuen Geräten mit Windows 11 standardmäßig die sogenannte Hypervisor-geschützte Code-Integrität (HVCI), auch Speicherintegrität genannt. HVCI nutzt VBS, um die Kernel Mode Code Integrity (KMCI) innerhalb der sicheren VBS-Umgebung anstelle des eigentlichen Windows-Kernels auszuführen. Das trägt dazu bei, Angriffe zu verhindern, die versuchen, Kernel-Mode-Code zu verändern, den zum Beispiel Treiber enthalten. KMCI überprüft, ob der gesamte Kernel-Code ordnungsgemäß signiert ist und nicht manipuliert wurde, bevor er ausgeführt werden darf. HVCI stellt sicher, dass nur validierter Code im Kernel-Mode ausgeführt werden kann. Der Hypervisor nutzt Erweiterungen der Prozessor-Virtualisierung, um Speicherschutzmaßnahmen zu erzwingen. Damit verhindert HVCI, dass Software im Kernel-Modus Code ausführt, der nicht zuvor durch das Code-Integritäts-Subsystem validiert wurde. HVCI trägt auch zum Schutz vor Angriffen etwa der berüchtigten Ransomware WannaCry bei, die auf der Möglichkeit beruhen, bösartigen Code in den Kernel zu injizieren. HVCI ist in der Lage, die Einspeisung solchen Codes auch dann zu verhindern, wenn Treiber und andere Kernel-Mode-Software das allein nicht schaffen.
- Microsoft führt eine Blocklist von Treibern, die anfällig für Schadsoftware sind, und bietet damit einen weiteren Schutz gegen „persistente“, also hartnäckige und nur schwer abwehrbare Bedrohungen und Angriffe. Ab Windows 11 Update 2022 ist die Blacklist als Richtlinie standardmäßig für alle neuen Windows-PCs aktiviert. Auf allen anderen Rechnern kann die Richtlinie über die Windows-Sicherheits-App aktiviert werden. Der Kernel ist der zentrale Bestandteil eines Betriebssystems wie Windows 11 und daher eins der bevorzugten Ziele von Malware-Autor*innen. Aufgrund dieser exponierten Rolle stellt Windows 11 sehr strenge Anforderungen an im Kernel ausgeführten Code. Deshalb nutzen Cyberkriminelle häufig Schwachstellen in Kernel-Treibern aus, um sich dennoch Zugang zu verschaffen. Die Kernel-Blocklisting-Funktion, die ebenfalls die Windows-Defender-Anwendungssteuerung nutzt, verhindert, dass potenziell anfällige Treiber ausgeführt werden. Um solche Treiber zu identifizieren, arbeitet Microsoft eng mit seinen Systempartnern und OEMs zusammen. Benutzer*innen, die ein Höchstmaß an Schutz wünschen, können nach wie vor mit einer Whitelist arbeiten, um die Treiberkontrolle zu implementieren.
Verbesserter Identitätsschutz und vereinfachte Passwortverwaltung
Windows 11 hilft mit erweiterter Sicherheit dabei, wertvolle Daten zu schützen und sicheres hybrides Arbeiten zu ermöglichen. Dazu gehören auch die folgenden neuen Angebote:
- Der Credential Guard von Windows Defender ist in Windows 11 Enterprise standardmäßig aktiv. Er nutzt hardwaregestützte Virtualisierungsschutz, um vor Techniken wie „Pass-the-Hash“ oder „Pass-the-Ticket“ zu schützen, die für den Diebstahl von Anmeldeinformationen eingesetzt werden. Darüber hinaus verhindert der Guard, dass Malware auf schützenswerte Daten im System zugreift, selbst wenn ein Prozess mit Administratorrechten ausgeführt wird.
- Die Isolierung von Anmeldeinformationen mit standardmäßig aktiviertem LSA-Schutz (Local Security Authority) bietet zusätzlichen Schutz für neue Windows-11-Geräte in Unternehmen. LSA ist einer der Prozesse, mit denen die Identität von Nutzer*innen überprüft wird. Mit eingeschaltetem Schutz lädt Windows nur vertrauenswürdigen und signierten Code, was es Cyberkriminellen erheblich erschwert, Anmeldedaten zu stehlen.
- Der erweiterte Phishing-Schutz in Microsoft Defender Smartscreen erkennt und warnt, wenn ein*e Anwender*in ein Kennwort in eine kompromittierte Anwendung oder Website eingibt. Zudem warnt er Nutzer*innen davor, Passwörter auf unterschiedlichen Seiten wiederzuverwenden oder sie an einem unsicheren Ort, etwa in einer Textdatei, zu speichern. Der Smartscreen geht über einen rein browserbasierten Schutz hinaus und integriert einen fortschrittlichen Phishing-Schutz in das Betriebssystem. So können Benutzer*innen proaktiv handeln, bevor Passwörter gegen sie oder ihr Unternehmen verwendet werden. Administrator*innen können die Warnmeldungen des Smartscreens beispielsweise über Microsoft Intune individuell anpassen.
- Passwortlos mit Windows Hello for Business: Für ein sicheres und bequemes Single Sign-on (SSO) steht die passwortlose Authentifizierung mit Windows Hello for Business zur Verfügung. Mit SSO reicht eine Anmeldung, um alle Anwendungen und Geräte starten zu können, für die ein*e Nutzer*in Zugriffsrechte besitzt. Windows Hello nutzt statt Kennwörtern Gesichts- oder Iris-Scans, Fingerabdruck oder eine PIN. All diese eindeutigen Identifikatoren sind an ein Gerät gebunden und können nur von diesem Gerät aus für eine sichere und bequeme Anmeldung genutzt werden.Wir haben die Bereitstellung von Windows Hello for Business deutlich vereinfacht, etwa durch das Entfernen der Anforderungen für eine Public Key Infrastructure (PKI).Über die genannten Identifikatoren hinaus ist eine Anmeldung auch über Sensoren für eine Anwesenheitserkennung möglich*. Die Sensoren melden Nutzer*innen über Windows Hello an, wenn sie sich nähern, und sperren Geräte, wenn sie sich wieder entfernen.(* Die Funktion ist optional und kann auf Geräten aktiviert werden, die mit Anwesenheitssensoren ausgestattet sind.)
Festschreibung und Kontrolle von IT-Richtlinien
- Die Konfigurationssperre („Config Log“) hilft, Abweichungen von Konfigurationen zu verhindern. Solche Abweichungen wären möglich, wenn Benutzer*innen mit lokalen Administratorrechten Einstellungen ändern und Geräte nicht (mehr) mit den IT-Sicherheitsrichtlinien ihres Unternehmens synchronisieren. Mit der Konfigurationssperre überwacht Windows 11 die Registrierungsschlüssel, die jede Funktion auch dann konfigurieren, wenn das Gerät nicht mit dem Internet verbunden ist. Stellt Windows 11 eine Abweichung fest, wird ein Gerät sofort in den von der IT-Abteilung vorgegebenen Zustand eines gesicherten PCs zurückgesetzt. Config Lock baut auf den Sicherheitsgrundlagen von Windows 11 auf und wird zum Teil durch spezifische Hardwarefunktionen gesichert. Die Funktion überwacht einen vorkonfigurierten Satz von Configuration Service Providern (CSPs) und Richtlinien. Wird eine dieser Richtlinien Geräte in einem Mandanten zugewiesen, werden die definierten Einstellungen durch die Aktivierung der Konfigurationssperre beibehalten.
Kontinuierliche Innovation zur Verbesserung der Sicherheit für alle
Wir arbeiten weiter daran, den Schutz von Chips einzelner Geräte bis in die Cloud zu verbessern – mit einem Schwerpunkt auf moderne Geräte mit Hardwarefunktionen für sicheres hybrides Arbeiten.
Das schließt Speziallösungen ein, beispielsweise für datenschutzsensible Szenarien. Hier sind Secured-Core-PCs mit Windows 11 eine gute Wahl, weil sie zusätzliche Schutzmechanismen einschließlich eines erweiterten Firmware-Schutzes bieten. Außerdem ist Microsoft jetzt in der Lage, zu erkennen, ob ein Gerät die Windows Defender Systemüberwachung unterstützt. So können wir Anwender*innen in der Windows-Sicherheits-App darauf hinweisen, dass sie die Funktion aktivieren können. Das Update dafür ist derzeit für Windows Insider verfügbar und wird in Kürze allgemein angeboten.
Der Microsoft Pluton-Sicherheitsprozessor ist eine Option für Menschen und Organisationen, die sich einen zusätzlichen Schutz ihrer Systeme wünschen. Pluton wurde von Microsoft gemeinsam mit Partnern entwickelt und für eine große Hardware-Sicherheit als Trusted Platform Module (TPM) direkt in die CPU integriert. Durch die Einbettung bietet Pluton zusätzlichen Schutz für sensible Daten, weil der Prozessor solche Informationen vom Rest des Systems komplett isoliert. Windows-11-Geräte mit Pluton können Sicherheitsupdates wie normale Geräte direkt aus der Cloud beziehen. Microsoft Pluton ist für ausgewählte Geräte verfügbar.
Und so geht es weiter
Über diese Neuigkeiten und Verbesserungen für Windows 11 hinaus arbeiten wir weiter mit unseren Partnern und Kunden an einer sichereren Zukunft, in der wir aktuelle Bedrohungen nicht nur erkennen, sondern verhindern – im Idealfall, bevor sie Schaden anrichten können. Microsoft wird über einen Zeitraum von fünf Jahren insgesamt 20 Milliarden US-Dollar (rund 20,02 Milliarden Euro) in die Sicherheitsforschung investieren. Mit diesen Investitionen werden wir kontinuierlich die grundlegende Sicherheit von Windows verbessern, damit unsere Kunden jetzt und in Zukunft erfolgreich mit unseren Produkten und Lösungen arbeiten können.
Weitere Informationen über die Chip-to-Cloud-Sicherheit von Windows 11 gibt es auf Englisch auf unserer Website und im Windows 11 Security Book, das beschreibt, wie Kunden Microsoft Windows 11 für Zero Trust optimieren können. Neueste Nachrichten und Updates zur Cybersicherheit gibt es auf Twitter unter @MSFTSecurity.
Ein Beitrag von David Weston
Vice President, Enterprise and Operating System Security