Eine neue Generation von Sicherheit
Seit dem
4. Oktober 2021 ist
Windows 11 allgemein verfügbar. Mit Windows 11 wendet sich Microsoft von der „Windows-as-a-Service“-Strategie teilweise ab und bringt wieder eine eigenständige neue Version des Betriebssystems auf den Markt. Windows 11 wird dabei, wie schon bei Windows 10, als ein kostenloses Upgrade angeboten.
Gerade einige Systemvoraussetzungen sorgten bei der Vorstellung von Windows 11 für Turbulenzen in den Medien, darunter die Notwendigkeit zur Unterstützung von
Secure Boot sowie das Vorhandensein eines
TPM 2.0-Chips für den offiziell „Supported“ Einsatz von Windows 11.
Obwohl der technische Unterbau viel mit Windows 10 gemeinsam gibt es sich jedoch einige wichtige Unterschiede, vor allem im
UI und Security-Bereich.
Zum einen wird die Optik deutlich mehr an macOS angepasst, die Oberfläche und die komplette Designsprache ist jetzt nach Microsoft hauseigener
Fluent UI ausgerichtet.
Einige der interessanten Funktionen passieren jedoch unter der Haube im
Security-Bereich. Bereits durch die
Voraussetzung von
Secure Boot und
TPM 2.0 zeigt sich, dass bei Windows 11 Sicherheit einen deutlich höheren Stellenwert einnimmt als bei Windows 10, wo TPM und Secure Boot bis heute optional ist.
Wie man am von Microsoft veröffentlichtem
Windows 11 Security Book erkennt, ist die Aufteilung der einzelnen Sicherheitsfeatures für Windows 11 deutlich klarer und strukturierter. Einige der wichtigsten Security-Features wollen wir hier kurz beleuchten:
Virtualization-based Security
Virtualization-based Security (VBS) verwendet die Hyper-V Technologie, um einen virtuellen abgesicherten Bereich zu erstellen, der wichtige System- und Betriebssystemressourcen schützt, oder um Sicherheitsressourcen wie Benutzeranmeldeinformationen zu schützen. Mit dem erhöhten Schutz, den VBS bietet, kann selbst dann, wenn Malware Zugriff auf den Betriebssystemkern erhält, die möglichen Exploits stark eingeschränkt und eingedämmt werden, da der Hypervisor die Malware daran hindern kann, Code auszuführen oder auf Windows-Secrets zuzugreifen.
Network Security
Windows 11 unterstützt alle neueren Netzwerk-Sicherheits-Protokolle, die in den letzten Jahren verabschiedet wurden, darunter
TLS 1.3,
WPA3,
DNS over HTTPS (DoH) sowie
256-bit SMB Verschlüsselung und
SMB over QUIC, ein neues Protokoll was quasi eine VPN über SMB herstellt und damit sicheren Dateiaustausch auch von public-facing SMB-Server erlaubt und die Probleme von Port 445 abschafft.
Weiterhin verstärkt Windows 11 auch bereits bestehende Security-Maßnahmen wie
BitLocker,
SMB Signingsowie
VPN.
Viren- und Bedrohungsschutz
Der
Microsoft Defender (früher Windows Defender) hat in den letzten Jahren eine rasante Entwicklung hingelegt und gehört heute zu einer der besten
Antivirenlösungen überhaupt. Mehrere Antiviren-Testunternehmen genehmigen dem MS Defender, auch in der kostenlosen Variante, in vielen Fällen absolute Bestnoten (
Test Antivirus-Programme – Windows 10 | AV-TEST). Im Gegensatz zu allen anderen Antivirenprogramme ist der Defender bereits in Windows 11 eingebaut, benötigt also
keinerlei Installation oder Deployment (Built-In vs. Bolted-On).
Für den Unternehmenseinsatz hat Microsoft den
Microsoft Defender for Endpoint (früher Windows Defender ATP) entwickelt, um alle Rechner innerhalb eines Unternehmens zu administrieren und zu schützen. Über eine zentrale Oberfläche, integriert mit weiteren Microsoft Security-Produkten, darunter dem
Defender for Office 365 und dem
Microsoft 365 Defender lässt sich der Microsoft Defender konfigurieren. Der Microsoft Defender steht dabei nicht nur für Windows-Geräte zur Verfügung, sondern mittlerweile auch für andere Betriebssysteme wie macOS, Linux, iOS und Android. Eine spezielle Version für die hauseigenen
Windows Server wird ebenfalls entwickelt und angeboten, speziell abgestimmt auf die
Bedürfnisse von Serversystemen. Somit bietet der MS Defender for Endpoint eine
zentrale Endpoint-Security-Lösung über alle Geräte hinweg.
Der Defender bietet darüber hinaus weit mehr als simplen Antivirenschutz, darunter
Ransomware-Protection,
Attack Surface Reduction (ASR),
Exploit Protection,
Tamper Protection sowie
Endpoint Detention and Response (EDR) zur Erkennung fortgeschrittener Attacken wie z.B. File-Less Attacks wie
PowerShell-Skript-Injection.
Windows Defender Application Control (WDAC)
Eine weitere Absicherung für Unternehmens-PCs bietet Microsoft mit
Windows Defender Application Control (WDAC) an. Windows-Admins dürfte diese Technologie auch unter dem Namen
Device Guard oder
configurable code integrity (CCI) bekannt sein.
Im Gegensatz zur etwas älteren Technologie App Locker bietet WDAC ein etwas anderes Toolset speziell für Windows 10/11 Geräte am. Wie bei AppLocker kann hier verhindert werden, dass bestimmte Applikationen gestartet oder installiert werden können, wenn Sie nicht einem festgelegten Regelwerk entsprechen.
Bei Treibern beispielsweise kann verlangt werden, dass Sie WHQL-signiert oder ein Extended Verification (EV) Zertifikat besitzen müssen. Auch eine Reputations-basierte Ausführung auf Basis von
Microsoft’s Intelligent Security Graph (ISG) ist möglich.
Microsoft Defender Application Guard
Eine weitere Neuerung im Bereich Application Security bietet Microsoft mit
Application Guard an. Über Virtualisierungstechnologien wird für bestimmte unterstützt Applikationen, darunter
Microsoft Office,
Microsoft Edge und andere Browser wie
Google Chrome und
Firefox ein eigener virtueller Container erstellt, in dem die Applikation ausgeführt werden.
Dies bietet für unbekannte Quellen, wie z.B. Office-Dateien mit unbekanntem Autor oder nicht-kategorisierten Websites einen
deutlich erhöhten Schutz vor Remote-Code-Execution oder Office-Makros.
Diese virtuelle Instanz wird für den Endbenutzer
komplett transparent dargestellt und bietet quasi die Sicherheit einer eigenen VM im Kontext des Benutzers.
Zusätzliche Sicherheitseinstellung sind für Admins verfügbar, wie z.B. das
Speichern von Dateien,
Kopieren-Einfügen oder
Drucken aus diesen abgeschirmten Instanzen von Edge oder Office.
Windows 11 Secured Core PCs
Für höchste Sicherheitsansprüche baut Microsoft, in Zusammenarbeit mit bekannten PC-Hersteller wie HP, Dell oder Lenovo besonders sichere PCs, die mit besonderer Hardware, Firmware und Software ausgeliefert werden. Diese PCs werden als
Secured-Core PCs bezeichnet.
[buttons text=“IT-Sicherheit“ style=“outline“ size=“big“ alignment=“text-center“ rounded=“5px“ full_width=“yes“ icon_type=“entypo“ icon_position=“icon-left“ link_url=“/services/it-sicherheit/“ font_family=“Roboto“ font_weight=“500″ icon_entypo=“entypo-icon entypo-icon-lock“]
[buttons text=“IT Beratung“ style=“outline“ size=“big“ alignment=“text-center“ rounded=“5px“ full_width=“yes“ icon_type=“entypo“ icon_position=“icon-left“ link_url=“/services/it-beratung/“ font_family=“Roboto“ font_weight=“500″ icon_entypo=“entypo-icon entypo-icon-users“]
