Windows 10 hat nicht nur neue Sicherheitsfunktionen ergänzt, sondern einen „Inside-out“-Ansatz verfolgt, der weit über zusätzliche Perimeterschutz-Mechanismen hinausgeht: Die Plattform-Architektur von Windows wurde grundlegend verändert, vor allem die Verankerung von Sicherheitsfunktionen in der Client-Hardware ist – gerade für Endgeräte (im Gegensatz zur virtualisierten Cloudwelt, in der Sicherheitsprozesse eine vorrangige Rolle spielen) – ein sehr wichtiger Punkt.
Wie bereits im letzten Artikel zur Windows-10-Sicherheit in der <kes> beschrieben wurde [1], sind die drei Themenbereiche Schutz der Identitäten und des Zugriffs, Schutz von Informationen und Devices sowie die Widerstandsfähigkeit gegen Cyber-Bedrohungen als Grundlage für die Windows-10-Sicherheitsfunktionen gesetzt.
Plattform-Architektur
Eine der entschiedensten Erneuerungen zur Härtung gegen Attacken auf Windows-10-Systeme ist die „Virtualization Based Security“ (VBS): Sie setzt auf die Virtual Extensions des Prozessors auf und schafft damit eine hardwaregestützte Sicherheits-Barriere zwischen sensitiven Windows-10-Komponenten, Daten und dem Rest des Betriebssystems. Auf VBS basieren dann zum Beispiel Virtual TPM, „Device Guard“ und „Credential Guard“:
- Virtual TPM stellt Funktionen zur Verfügung, um auf eine physische Smartcard verzichten zu können und quasi das Gerät selbst zur Smartcard zu machen – das hat diverse Vorteile für den Anwender, da er somit weder seine Smartcard noch ein zusätzliches Lesegerät bei sich tragen muss, seine Schlüssel aber dennoch geschützt sind.
- Device Guard wiederum hilft der Administration von Netzwerken dabei, zu definieren welche Programme ein Anwender oder das System selbst starten kann – das ist der effektivste Schutz gegen Malware, den es heutzutage gibt, und somit ein Muss für sensible Umgebungen.
- Credential Guard ist einer der Hauptgründe, warum Unternehmen für mehr Sicherheit auf Windows 10 wechseln, denn hierdurch ist es möglich, sich erfolgreich gegen Pass-the-Hash-(PtH)-Attacken zu schützen. PtH ist heute ein Hauptgrund für das Kompromittieren von Netzwerken mithilfe von im Speicher hinterlegten Hashwerten von Login-Credentials – einem Umstand, der bei den meisten Betriebssystemen in der Architektur verankert ist. Durch den Architekturwechsel wird dieser Angriffsvektor bei Windows 10 jedoch ausgeschaltet.
Geschützt werden die Daten all dieser Funktionen durch ein Trusted-Platform-Module (TPM), am besten in seiner Version 2.0 – dessen Definition wurde übrigens zwischenzeitlich als Library-Specification vom „ISO/IEC Joint Technical Committee (JTC) 1“ verabschiedet und als ISO/IEC 11889:2015 veröffentlicht.
Mit dem Anniversary-Update kommt jetzt noch die „Windows Hello Biometrics Validation Component“ hinzu – sensible Daten des Frameworks können ebenso im TPM abgelegt werden.
Systeme schützen
Den Endpoint gegenüber Bedrohungen aus dem Cyberraum resistenter zu machen, ist ein strategisches Ziel von Windows 10: Cloudbasierte Reputationsverfahren für Apps und URLs (wie SmartScreen) sind aus Microsoft-Sicht aktuell der effizienteste Weg, um bekannte Bedrohungen nicht auf die Endgeräte zu lassen. Die „Beinahe-Echtzeit“- Möglichkeiten der Cloud verbessern Reaktionszeit und Aktualität von Maßnahmen signifikant.
Mit dem Anniversary-Update wird SmartScreen durch den „Microsoft Intelligent Security Graph“ mit Informationen zu Bedrohungen versorgt: Hierzu werden nun Informationen diverser Kanäle aus 100 Ländern zusammengeführt und durch Machine-Learning-Algorithmen ausgewertet und angereichert. Davon profitiert gleichzeitig auch der weiter überarbeitete Defender als nachweislich verbesserte On-board-Anti-Malware-Lösung, die in einem aktuellen, prävalenzbasierten Erkennungstest von AV-Comparatives 99,8 % Detektionsrate erzielt hat.
Auch der für Windows 10 komplett neu programmierte Browser Edge hat einige Sicherheitsfunktionen eingebaut:
- Die Verwendung der App-Container-Sandboxing- Technology ermöglicht die Trennung des Browsers vom OS, anderen Apps und den Benutzerdaten.
- Ein neues Modell verhindert die Ausführung von unsicheren Plug-ins.
- Die Überarbeitung der Risikominderungsverfahren (Mitigations) „Address Space Layout Randomization“ (ASLR) und „Control Flow Guard“ (vgl. [1]) härten den Browser gegen Code-Injections und Speicherfehler- Attacken und verhindern somit Exploitmechanismen wie Heap-Spraying oder Return-oriented Programming (ROP, vgl. [3]).
- Nicht-vertrauenswürdige oder bösartige Fonts von Webseiten oder eingebettet in Dokumente werden geblockt – das Font-Parsing wird ebenfalls in einer Sandbox durchgeführt.
Mit dem Anniversary-Update wird zudem Flash in einer eigenen Sandbox außerhalb des Browsers laufen: Damit ist ein Containment bei etwaigen Verwundbarkeiten noch besser gegeben, zudem wurde der Zugriff des Browsers Edge auf das Windows-Subsystem noch weiter auf das Nötigste reduziert.
Identitäten schützen
Wie bereits ausgeführt, sind Identitätsdaten („Identitäten“) beziehungsweise ihr Schutz eines der zentralsten Sicherheitsthemen – gerade über ihre Kompromittierung lässt sich leider allzu viel lesen. Wenn Identitäten – Benutzernamen und Kennwörter – oder abgeleitete Credentials wie Hashes oder Tickets in falsche Hände geraten, dann sind die Auswirkungen und Informationssicherheits- Risiken immens.
Mit Windows 10 hat Microsoft sich zum Ziel gesetzt, diese Risiken anzugehen und technologisch zu minimieren. Dafür sind mehrere Phasen notwendig – und zudem eine übergreifende Zusammenarbeit der Industrie auf globaler Ebene. In der ersten Phase hat Microsoft dafür gesorgt, das mit Windows Hello und Microsoft Passport (vgl. [1]) eine Anmeldung an das Active Directory / Azure Active Directory und an tausende SaaS-Angebote im Internet ohne ein Kennwort möglich ist – ebenso wie an den Windows Store, bei Outlook.com, OneDrive und auch Office365.
In der zweiten Phase, die jetzt mit dem Anniversary- Update startet, geht Microsoft das Thema Industrie- Standards an: Windows Hello wird zur Abdeckung unterschiedlicher Szenarios in puncto Diversifizierung der Authentifizierungsgeräte ein Framework bereitstellen, das es ermöglicht, Anforderungen von Bildung, Verwaltung, Produktion und dem öffentlichen Sektor (um nur ein paar zu nennen) zu realisieren.
Die Fast-IDentity-Online- (FIDO)-Alliance spielt hier ebenfalls eine zentrale Rolle (https://fidoalliance. org/): Mit der erfolgten Ratifizierung der Web-API-Komponenten von FIDO 2.0 [4] und der aktuellen Ausarbeitung einer entsprechenden „Web Platform API“ [5] durch das World Wide Web Consortium (W3C) wird eine plattformübergreifende Authentifizierung überall im Internet möglich sein. Durch die vielen Millionen Anwender von Microsoft – aber auch von Google, Facebook oder anderen großen Identitätsprovidern – sowie der Endgeräteübergreifenden Kompatibilität der Identitätsinformationen wird sich binnen Kurzem eine signifikante Anzahl an Adaptionen und somit Nutzungsmöglichkeiten für Anwender ergeben – ohne Kennwörter!
Mit dem Anniversary-Update wird Windows Hello zur FIDO-abgestimmten Ende-zu-Ende-Multifaktor-Authentifizierungs-Lösung – „Microsoft Passport“ wird als Name verschwinden und im Bereich der Credentials in Hello abgedeckt, was keine technische Veränderung, sondern nur eine Vereinfachung der Namensgebung bedeutet (siehe auch [6]). Den zusätzlichen Faktor neben dem Credential stellt dabei dasjenige Verfahren dar, das der Anwender verwendet, um über das Endgerät Zugriff auf seine Credentials zu erlangen: Bisher war das biometrisch nur Iris, Gesichtserkennung oder ein Fingerabdruck-Scan. Nun gibt es als Erweiterung auch die Möglichkeit einer PIN sowie anderer Geräte, so genannter Companion-Devices (vgl. Abb. 2). Das Windows-Hello-Companion- Device-Framework ist dazu derart gestaltet, das auch zukünftige Gerätetypen angebunden werden können.
