Systeme und ihr Umfeld / Windows 10

Sicherheitsfunktionen von Windows 10

Ein Update mit den Änderungen von Version 1703 bis 1809

Der letzte Windows-10-Security-Überblick in der <kes> anlässlich des Anniversary-Updates liegt bereits mehr als zwei Jahre zurück – seitdem gab es zahlreiche Updates mit neuen Features und Verbesserungen (Versionen 1703, 1709, 1803, 1809). Windows 10 liefert neben Sicherheits-Funktionsupdates auch Ansatzpunkte für ein umfassendes Sicherheitskonzept. Unser Autor gibt einen Überblick, welche Möglichkeiten heute bestehen und warum dabei auch Telemetrie eine wichtige Rolle spielt.

Von Michael Kranawetter, München

Windows 10 umfasst mittlerweile ein breites Angebot an Sicherheitsfunktionen, die man in Betracht ziehen sollte, um nicht nur eine Basissicherheit zu erreichen, sondern bereits einen Großteil der Gefahren abzuhalten, die bei der Nutzung von IT heute entstehen. Darüber hinaus gibt es eine Vielzahl von speziellen Produkten, Tools und Hardwarelösungen, die ebenfalls dem Schutz wertvoller Prozesse, Daten und Systeme dienen. Es ist wichtig zu verstehen, wie aktuelle Gefährdungen aussehen und wie man sie durch technische Hilfsmittel minimieren kann, ohne dabei seine Sicherheits-Toollandschaft zu maximieren.

Zu Beginn kann man feststellen, dass die Grundstruktur der zentralen Windows-10-Security- Themen zur Gefahrenabwehr konsistent bei der Aufteilung in drei bewährte Kategorien bleibt:

  • Widerstandsfähigkeit gegen Cyber-Bedrohungen
  • Schutz von Identitäten und Zugriffen
  • Schutz von Informationen

Neben einer kurzen Zusammenfassung der Sicherheitslage im Windows-Umfeld (siehe Kasten) werden im Folgenden wichtige Prinzipien und Funktionen der Windows- 10-Security beschrieben – an vielen Stellen werden Neuerungen dabei explizit aufgegriffen und mit der jeweiligen Release-Version in Verbindung gebracht. Welche Funktionen in welcher Windows-10-Edition enthalten sind, zeigt eine über https://wincom.blob.core.windows.net/documents/Windows10_Commercial_Comparison.pdf verfügbare Tabelle.

Sicherheitslage – Hoffnungen durch Big Data

„Die Digitalisierung von Geschäftsprozessen ist im Gange wie nie zuvor – hinzu kommt die Verbreitung vollständig digitaler Wertschöpfungsketten“ – so oder so ähnlich wird man viele Firmen sprechen hören. Ebenso im Gespräch ist, dass in vielen Bereichen an „teilweise autonom agierenden Systemen“ gearbeitet und teils sogar „eine vollkommende Autonomie angestrebt und bald verfügbar sein“ wird. Bei all dem gibt es zahlreiche und eine stetig wachsende Zahl potenzieller Einfallstüren oder manchmal auch -tore, die es vor unterschiedlichsten Angriffen, Angreifern und sonstigen Gefahren zu sichern gilt. „Ohne Sicherheit wird die Digitalisierung nicht erfolgreich sein“, hört man Sicherheitsexperten sagen – und genauso ist es, selbst wenn auch heute noch einige ITManager Investitionen in Informationssicherheit infrage stellen.

Zusätzlich beobachtet der Markt seit vielen Jahren eine Diversifizierung der Angriffsmethoden – man denke an Malware oder Phishing – sowie fortgeschrittene und gezielte Angriffe, Distributed-Denial-of-Service-(DDoS)- Attacken, Social-Engineering oder Ransomware, die einen stetig wachsenden Aufwand zum Schutz vor diesen Bedrohungen bewirken. Dabei wachsen in der Regel die Investitionen in die Sicherheitsstrukturen nicht adäquat mit.

Auf der anderen Seite ist der Markt zu Sicherheitslösungen sehr umfassend – es gibt eigentlich keine Bedrohung, die nicht durch ein vielversprechendes Angebot adressiert wird. Investitionsmöglichkeiten und somit einen großen Entscheidungsraum gibt es quasi unbegrenzt.

Unzählige Innovationsmöglichkeiten durch „Big Data“, die „intelligente“ Cloud und künstliche Intelligenz bieten enormes Wertschöpfungs- und Effizienzpotenzial. Daraus folgt aber auch: Angriffe auf technische Systeme waren nie so geschäftskritisch wie heute. Die richtige Balance zwischen Investition in Schutzmaßnahmen, Risikomanagement und -appetit versus der Tatsache, dass man mit großer Wahrscheinlichkeit dennoch mit einem Sicherheitsvorfall rechnen muss, ist ein interessanter und spannender Zustand – und wird das auch noch lange bleiben.

Die meisten Organisationen bewerten Cybersecurity heute als Top-5-Priorität in ihrem Geschäft [1]. Hohes Vertrauen in die Fähigkeiten ihrer Organisation, mit Zwischenfällen umzugehen, haben allerdings nur wenige Topmanager. Und lediglich 30 % besitzen einen Reaktionsplan, wie sie in bei einem Cybersecurity-Zwischenfall vorgehen.

70 % der Topmanager geben zudem an, dass hauptsächlich die IT-Abteilung für den Bereich Cybersecurity verantwortlich ist [1]. Notwendig ist jedoch ein verteilter Dialog zwischen IT, Management und anderen Bereichen, in anderen Worten: ein cross-funktionaler Ansatz zum Umgang mit Cyberrisiken. Nur so kann man der Vielfalt und Vielzahl notwendiger Vorbereitungen Herr werden – Prozesse müssen eben gesamtheitlich funktionieren.

Eine weitere wichtige Erkenntnis: Die Vernetzung von diversen Daten zu „Big Data“ (unter Berücksichtigung von Compliance-Vorschriften) verändert die Art und Weise, wie Cybersecurity-Experten Organisationen vor Cyberattacken schützen können. Denn die Zusammenführung und Auswertung von Live-Daten bieten nie dagewesene Möglichkeiten, um quasi in Echtzeit auf globale Risiken mit lokaler Perspektive zu antworten. Klar ist aber auch, dass man diese technischen Daten auf irgendeine Art und Weise erheben muss – und sie dabei von irrelevanten sowie schutzwürdigen Informationen bereinigt.

Microsoft empfängt eine immense Breite und Tiefe technischer Signale; Teil davon sind 450 Milliarden monatliche Nutzerauthentifizierungen über Cloud-Services, 400 Milliarden E-Mails, die durch Microsofts Malwareund Spamfilter laufen, über eine Milliarde Enterprise- und Endnutzergeräte, die monatlich aktualisiert werden, sowie viele Milliarden monatliche Bing-Scans.

Microsoft trainiert mit diesen Daten ausgeklügelte Machine-Learning-Modelle und nutzt diese für Anomaliebasierte Suchverfahren. Zusammen mit den Erkenntnissen von Microsofts Cybersecurity-Forschern, Digital-Crimes- Unit sowie weiteren Quellen verknüpft das Unternehmen all diese Erkenntnisse und schafft damit anwendbares Wissen. Microsoft nennt diese Art, Daten zu synthetisieren, den „Microsoft Intelligent Security Graph“. Telemetrie ist dabei ein entscheidender Faktor, auch die Telemetrie- Daten von Windows 10 (vgl. Haupttext).

Heterogene Herausforderung

Neben Vertraulichkeit und Integrität ist auch die Verfügbarkeit ein klassisches Sicherheitsziel. Man will und muss sich mit ausreichend hoher Wahrscheinlichkeit darauf verlassen können, dass ein System zu einem bestimmten Zeitpunkt die gestellten Anforderungen tatsächlich erfüllt und zur Erfüllung seiner Aufgaben zuverlässig und störungsfrei zur Verfügung steht – in der Regel gemäß einem definierten Service-Level.

Betriebssysteme wie Windows, MacOS oder auf Linuxbasis, Produktivitätsplattformen wie diverse Office-Lösungen, PCs, Tablets, Smartphones, Server und Rechenzentren sind jedoch allesamt höchst komplexe Dinge. Millionen Zeilen Programmcode sind in Modulen und Bibliotheken organisiert, Dienste müssen mit Informationen über Datenbusse und Netzwerke untereinander und mit der Außenwelt kommunizieren und zusammenwirken und treffen dabei auf vielfältige Infrastrukturelemente. Auf ihnen läuft eine schier unermessliche Anzahl von Code, Programmen oder Apps, die von Unternehmen und Entwicklern rund um den Globus erstellt werden, die dafür unterschiedlichste Programmiersprachen, Entwicklungswerkzeuge und Prozessorarchitekturen nutzen.

Egal ob ein neuer Prozessor eingebaut, eine Festplatte ausgetauscht, eine Grafikkarte hochgerüstet, ein ganzes Mainboard gewechselt, ein Drucker angeschlossen, ein x-beliebiges Ding über eine Schnittstelle angeschlossen oder nur ein anderes E-Mail-Programm aufgespielt wird – das Gesamtsystem muss die Anforderungen an Integrität, Vertraulichkeit und Verfügbarkeit erfüllen. Täglich kommen Tausende neue Hardwarekomponenten und Programme auf den Markt und Anwender erwarten mit großer Selbstverständlichkeit und zu Recht, dass diese als neues Element des Gesamtsystems aus Hardware, Betriebssystem, Anwendungssoftware und Netzwerk schlicht und einfach funktionieren – plug & play, install & run ... und in der Regel klappt das auch!

Wenn man ein weitgehend geschlossenes Gesamtsystem aus Hardware und Betriebssystem anbietet, tut man sich als Anbieter natürlich leichter damit, diese beiden wichtigen Ebenen unter Kontrolle zu halten und Inkompatibilitäten und Fehler im Zusammenspiel der Komponenten zu reduzieren. Das geschieht dann aber auf Kosten der Nutzer, die nur eingeschränkte Wahlmöglichkeiten haben, welche Geräte und Hardwarekomponenten sie nutzen oder welche Software darauf läuft. In der Regel wird das nicht akzeptiert. Im Gegenteil: Der Ruf nach „open“ in jeglicher Hinsicht ist groß!

Microsoft Windows hat als Betriebssystem seit jeher den Ansatz verfolgt, Anwendern eine möglichst große Freiheit zu lassen, wie das für sie optimale Computersystem aussieht, auf welcher Hardware es läuft, welche Software sie einsetzen – und ihnen außerdem alle Möglichkeiten zu geben, vorhandene Systeme umund auszubauen.

Als einer der Marktführer in der Digitalisierung steht Microsoft in der Pflicht und Verantwortung, Herausforderungen in Hinblick auf Integrität, Verfügbarkeit und Vertraulichkeit möglichst gut gerecht zu werden – auch dort, wo das Unternehmen aufgrund der hohen Dynamik und großen Freiheitsgrade von Neuerungen, Änderungen und einer vollkommen unabhängigen und verteilten Hersteller- und Entwicklerlandschaft keine Kontrolle ausüben kann (und auch nicht will), um alle denkbaren Permutationen von Systemkomponenten ständig harmonisch im Einklang zu halten.

Abbildung 1: Die „Windows Defender Advanced Threat Protection“ (WDATP) umfasst sechs Komponenten zur Endpoint-Security.

Telemetrie gegen Blindflug

Wenn dann doch einmal ein Programm abstürzt, der Drucker nicht ansprechbar ist, der PC einfriert oder es endlos dauert, bis ein Programm hochgefahren oder beendet wird, wo ein Office Add-in Ärger macht oder Software oder Treiber von Hardware-Komponenten Sicherheitslücken enthalten – dann muss es Möglichkeiten geben, Fehler zu erkennen und analysieren zu können, wodurch sie verursacht werden.

Genau dafür gibt es die viel gescholtene „Telemetrie“. Diese Fernmessung beobachtet die „Vitalwerte“ eines IT-Systems und übermittelt sie an die jeweiligen Produktgruppen von Microsoft, um fortlaufend an einer Verbesserung der Integrität, Verfügbarkeit und Vertraulichkeit von Microsoft-basierten Systemen arbeiten zu können. Die Microsoft- Teams analysieren die Ursache von Fehlern und arbeiten mit Herstellern und Entwicklern auf der ganzen Welt zusammen, um Inkompatibilitäten zu beseitigen und Schwachstellen zu schließen.

Bei der Telemetrie geht es gerade nicht um personenbezogene Daten, Kundendaten oder Inhalte von Kommunikation oder Dateien, Verhaltensanalyse oder eine prima Quelle für zielgerichtete Werbung. Es geht vielmehr um die Diagnose des Arbeitsspeichers – darum, welche Programmbibliotheken von welchen Systemkomponenten aufgerufen wurden, welche Apps oder Webseiten Schwierigkeiten machen, den Stand von Updates und so weiter.

Zum Umgang mit Telemetriedaten dienen gesonderte Server, automatisiert erkennbare persönliche Daten werden entfernt oder maskiert, wenn sie zum Beispiel zufällig in einem Speicherabbild oder Systemprotokoll enthalten sind. Um erkennen zu können, ob Problemberichte von einem einzigen oder einer Vielzahl von Geräten stammen, werden zudem anonymisierte Kennungen vergeben, die keinen Rückschluss auf einzelne Nutzer zulassen. Welche Diagnosedaten beispielsweise Windows 10 nutzt, ist zudem ausführlich beschrieben und einsehbar.

Grundsätzlich gilt: Je umfangreicher solche Diagnosedaten übermittelt werden, desto zuverlässiger, schneller und zielgenauer lassen sich Fehler und Schwachstellen ermitteln und danach durch Microsoft oder die betroffenen Hersteller und Entwickler beseitigen. Dabei entsteht naturgemäß auch ein größeres Risiko, dass mehr Daten übermittelt werden, als angedacht war – wobei aber auch hier ein kontinuierlicher Verbesserungsprozess etabliert ist, um die Menge nicht relevanter Daten zu reduzieren.

Windows 10 bietet zudem Möglichkeiten, den Umfang der übermittelten Diagnosedaten festzulegen und einzugrenzen. Es muss aber klar gesagt werden: Vollständig ohne Telemetrie/Diagnosedaten sind die Herausforderungen heutiger komplexer IT Systeme nicht mehr zu bewältigen! Wenn jeder zum „Telemetrie-Robinson“ wird, werden Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen leiden – und somit dann auch die Informationssicherheit.

Mit der Übermittlung von Telemetriedaten kann und sollte daher jeder Nutzer einen aktiven Beitrag leisten, um die Stabilität und Zuverlässigkeit von IT-Systemen zu verbessern. Wer trotz allem zum „Robinson“ werden will, dem liefert das BSI im SiSyPHuS-Projekt eine ausführliche Beschreibung zur Deaktivierung [2].

Kontrolle durch Vereinheitlichung

Weiter zum Thema Sicherheitsmanagement und Administration: Eine durchschnittliche Organisation arbeitete einem Medienbericht zufolge bereits vor Jahren mit 75 Cybersecurity-Partnern zusammen [3] – der Aufwand für Verwaltung, Integration und Wartung ist dementsprechend enorm. Das braucht Zeit, die an anderer Stelle fehlt, und zwar für die Bewältigung wachsender Herausforderungen.

Wer eine Vielzahl von Drittanbieter- Security-Software verwendet, könnte erleben, dass (vgl. [4])

  • mit steigender Komplexität der Wartungsaufwand der unterschiedlichen Anwendungen zunimmt,
  • mangels vollständiger Integration der Security-Software in das Betriebssystem zusätzliche Systemressourcen benötigt werden,
  • die zentrale Sichtbarkeit und Kontrolle der Ursachen von Endpoint-Infektionen unter einer fragmentierten Umgebung leiden.

Im Umkehrschluss gibt es also gute Gründe, die dafür sprechen, Security-Lösungen in das Betriebssystem zu integrieren. Das gilt heute und noch mehr in der Zukunft. Durch „Windows 10 as a Service“ sind regelmäßige Updates über die Cloud ohne zusätzliches Deployment möglich – geringer Integrationsaufwand sowie maximale Kompatibilität werden durch eine End-to-End-Philosophie möglich.

Erhöhte Widerstandsfähigkeit

Eine zentrale Komponente für die Sicherheit von Windows 10 ist die Windows Defender Advanced Threat Protection (WDATP). Unter dem Dach von WDATP befinden sich zahlreiche Tools, um Cyber- Bedrohungen zu begegnen – dieser Abschnitt widmet sich den Wichtigsten. Doch zuvor ein Hinweis zum Thema „open“: Viele Organisationen beziehen Cybersecurity-Services zumindest teilweise über externe Dienstleister. Deshalb kann man es Managed-Security-Service-Providern (MSSPs) (seit Version 1809) ermöglichen, auf WDATP-Information zuzugreifen. Im Rahmen einer umfassenden MSSP-Integration ist es dabei möglich, Zugriff auf das Windows- Defender-Security-Center-Portal des MSSP-Kunden zu gewähren sowie E-Mail-Benachrichtigungen und Warnungen durch SIEM-Tools (Security Information and Event Management) abzurufen.

Reduzierung der Angriffsfläche

Windows Defender System Guard bündelt die Systemintegritätsfeatures von Windows 10 während und nach dem Systemstart. Er stellt sicher, dass nur signierte und sichere Windows-Dateien und -Treiber ausgeführt werden können und startet die Anti-Malware-Lösung des Systems. Teil des Systemwächters ist auch ein Containersystem zur Isolierung sensitiver Daten, wie etwa SSO-Tokens oder biometrische Daten von Windows Hello. Zur Laufzeit ist die Validierung des Systemintegritätszustands durch die Komponente „Integrity Attestation“ zu betonen, welche die Geräteintegrität sowie Richtlinien prüft.

Die WD Application Control (bis Version 1703: „Windows Device Guard“) setzt sich aus Elementen für Hardware-Sicherheit, konfigurierbare Codeintegrität und virtualisierungsbasierte Sicherheit (VBS) zusammen. Der Mechanismus kontrolliert, welche Anwendungen auf dem Zielsystem ausgeführt werden dürfen. Hardware-Sicherheit wird beispielsweise durch ein Trusted- Platform-Module (TPM, vgl. [7]) verwirklicht – eine isolierte Hardware- Komponente zur gesicherten Speicherung etwa von Logins und Zertifikaten. Durch „UEFI Secure- Boot“ wird damit die Ausführung von Rootkits verhindert.

Der Exploit Guard blockiert hingegen den Zugriff auf nichtvertrauenswürdige Websites und erschwert die Ausführung von Attacken, allem voran Zero-Day-Exploits. Er liefert schadensbegrenzende Maßnahmen, die auch im Enhanced Mitigation Experience Toolkit (EMET) enthalten waren.

Seit Version 1709 hilft zudem der Controlled Folder Access beim Schutz vor Ransomware, indem Anwendungen (alle ausführbaren Dateien, inklusive .exe, .scr, .dll und anderen) durch WDATP bewertet werden: Nur sicheren Anwendungen wird Zugriff auf übliche Systemordner oder weitere benutzerdefinierte Ordner gewährt [5]. Im Audit-Modus lassen sich die Auswirkungen des Features auch im Voraus testen.

Next-Generation-Security

In Windows Defender Antivirus – der Enterprise-Level-Anti-Viren- Lösung von Microsoft – werden Cloud-Services, Machine-Learning und Behavior-Analytics verwendet, um unmittelbar auf Bedrohungen zu reagieren. Der Schutz ist in WDATP integriert und kann parallel zu Anti- Malware-Software von Drittanbietern ausgeführt werden – ein wichtiger Punkt in einer gewachsenen Security-Umgebung oder wenn man eine Doppelstrategie fahren will. Windows Defender Antivirus teilt (seit Version 1803) den Erkennungsstatus mit Microsoft-365-Diensten und arbeitet mit WDATP zusammen.

Um den Browser als beliebtes Einfallstor für Angriffe zu entschärfen, isoliert der Application Guard in Microsoft Edge vom Administrator als nicht-vertrauenswürdig definierte Websites mithilfe einer Whitelist, die URLs, Cloud-Ressourcen und interne Netzwerkadressen enthalten kann. Mit Version 1809 hat Microsoft auch neue Gruppenrichtlinien und moderne Geräteverwaltungseinstellungen für die Verwaltung von Microsoft Edge eingeführt.

Endpoint-Erkennung und -Reaktionsmaßnahmen

Komplexe Angriffe auf Netzwerke mit zahlreichen Endpoints erfordern die Priorisierung auftretender Alerts, eine präzise Analyse der Angriffsparameter und unmittelbares Handeln. Das Security Operations Dashboard gruppiert dazu in der E5-Enterprise Edition von Windows 10 Meldungen gleicher Art oder von demselben Angreifer in sogenannten Incident-Queues – so kann man den Überblick behalten. Die sogenannten Alerts-Queues und Machines-Lists bieten zudem einen strukturierten Überblick über alle eintreffenden Meldungen und die verwalteten Geräte. Dieses Dashboard gehört zum WD Security Center (vgl. Abb. 3 und 4).

Abbildung 3: In der Incident-Queue der E5-Enterprise-Edition lassen sich Vorfälle verwalten.
Abbildung 4: Das „Windows Defender Security Center“ (Ausschnitt) liefert einen umfassenden Überblick – (1) Navigationsbereich zum Wechsel der Dashboards, (2) Hauptportal – hier mit dem Security-Operations-Dashboard, (3) Einstellungen, Feedback und Weiteres.

WDATP sammelt unter anderem Prozessdaten, Netzwerkaktivitäten, Kerneldaten, Log-ins sowie Registry- und Dateiänderungen. Dies erfolgt für den „Assume-the- Breach“-Ansatz, der berücksichtigt, dass man erfolgreiche Angriffe nie vollständig ausschließen kann. Die WDATP-Daten sind sowohl für eine unmittelbare Reaktion als auch spätere Auswertungen hilfreich. Für forensische Zwecke werden diese Informationen sechs Monate lang vorgehalten.

Als Reaktion auf einen Angriff können seit Windows 10 Version 1703 einzelne Computer isoliert, Antivirenscans durchgeführt sowie die Ausführung von Anwendungen blockiert werden. Zur tieferen Recherche lassen sich sogenannte „Investigation Packages“ erzeugen, die zahlreiche Angriffsparameter enthalten. Ebenfalls verfügbar sind (seit Version 1809) benutzerdefinierte Abfragen zu verdächtigen Verhaltensweisen oder entstehenden Bedrohungen, die es einem Administrator ermöglichen, auch proaktiv Untersuchungen zu starten.

Automatisierte Ermittlungen und Reaktionen

Auch wenn die enorme Zahl von Warnungen bei großen Netzwerken zur Priorisierung zwingt, dürfen doch sicherheitsrelevante Ereignisse nicht unbeantwortet bleiben, auch wenn sie nicht gerade „Top-Prio“ haben. Dieser Herausforderung begegnet Windows 10 (seit Version 1803) mit automatisierten Ermittlungen und Reaktionen (Automatic Investigation and Remediation). Zahlreiche Algorithmen und Prozesse, die von Analysten erstellt werden, lassen sich damit automatisiert ausführen, um Alerts abzuarbeiten – das verschafft dem Security-Team Zeit für komplexere Herausforderungen. Für unterschiedliche Endpoints lässt sich das Automatisierungslevel je nach Bedarf festlegen.

Dabei muss zu jeder Zeit nachvollziehbar sein, welche Ermittlungen und Reaktionen wann und weshalb automatisch gestartet wurden und in welchem Status sie sich befinden – hierfür sorgt die „Automated Investigations List“.

Sicherheitsbewertung

Wie angesprochen, ist einzelnen Angriffen in der Tiefe zu begegnen, während bei anderen eine automatisierte Reaktion ausreichend sein kann. Unabhängig davon muss stets auf einen Blick erkennbar sein, wie der Status quo ist:

  • Wie ist die Sicherheitslage der eigenen Organisation in just diesem Moment?
  • Welche messbare Verbesserung konnte das eigene Team erzielen?
  • Was sind die nächsten Schritte zur Verbesserung der Security?

Diese Fragen sind außer für Cybersecurity-Experten auch für andere Stakeholder relevant: Es geht um die übergreifende Risikoeinschätzung, die Zuordnung personeller und finanzieller Ressourcen sowie den Stellenwert von Cybersecurity in der Organisation. Um einen Bogen zu der anfangs erwähnten Studie [1] zu schlagen: Cybersecurity ist zwar eine Top-5-Priorität, genießt jedoch gleichzeitig oft nicht die benötigte Aufmerksamkeit und wird nicht crossfunktional behandelt. Ein Tool mit aggregierten, „griffigen“ Daten ist bei der Gewinnung von C-Level- Support enorm hilfreich – auch eine einfache Visualisierung von Sicherheitsdaten wird dadurch ermöglicht.

Das Windows Defender Security Center ist ein Cybersecurity- Cockpit mit Ad-hoc-Informationen zur Cybersecurity-Lage, gefährdeten Endpoints sowie zahlreichen Empfehlungen zur Reduktion der Angriffsfläche. Dort ist zudem die Implementierung zusätzlicher Maßnahmen auf Basis der empfohlenen Microsoft Security Baseline möglich. Externe Informationen vom WDATP-Forschungsteam sind (seit Version 1809) im Bereich Threat- Analytics verfügbar und ergänzen so interne Analysen im Security- Center.

Individuelle präzise Auswertungen gesammelter Daten sind mithilfe der „Kusto Query Language“ (KQL) und einer IntelliSense-Unterstützung möglich. Die internen Netzwerkdaten sind dazu strukturiert verfügbar und enthalten an vielen Stellen Links zum WDATP-Portal, um dort zum Beispiel für einen Endpoint gezielt Maßnahmen zu treffen. WDATP stellt darüber hinaus eine PowerBI-Integration bereit.

Weitere Neuerungen

WDATP ermöglicht (seit Version 1809) auch das Onboarding von Windows Server 2019 sowie bereits seit Längerem von zahlreichen früheren Windows-Versionen. Die Ermittlungsfunktion für Ransomware wurde (in Version 1703) verbessert und später in Office 365 integriert. Zudem wendet die Funktion zur historischen Ermittlung von Bedrohungen neue Ermittlungsregeln nun auch auf bis zu sechs Monate alte Daten an.

Ebenfalls seit Version 1703 verfügbar sind eine Security-Untersuchung einzelner Benutzerkonten, die Anzeige von Prozessdiagrammen bei Warnungen sowie der Abruf von Warnungen über ein REST-API – überdies etwa auch die Überprüfung des Sensor-Integritätszustands einzelner Endpoints.

In Summe ist festzustellen, dass die Sicherheitsfunktionen von Windows 10 seit der LTSB-Version 1607 bis zur aktuellen LTSC-Version 1809 (halbjähriger Kanal) signifikant ausgebaut worden sind und dabei schnell auf die sich verändernden Angriffsmuster reagiert wurde (vgl. Versionsinformationen auf docs.microsoft.com/de-de/windows/windows-10/release-information).

Identitäts- und Zugangsverwaltung

Der Schutz von Identitäten und somit eine bessere Herangehensweise als „Benutzername und Kennwort“ ist eines der zentralen Themen heute. Es wurden zwar schon Millionen von Credentials gestohlen, aber gerade der „#Hackerangriff“ auf deutsche Politiker und Prominente hat im Januar wieder einmal darauf aufmerksam gemacht, dass keine Sicherheitshürde nutzt, wenn ein „Angreifer“ digitale Identitäten missbrauchen kann.

Windows Hello unterstützt als Alternative zu Passwörtern die Anmeldung durch biometrische Daten (Gesichtserkennung, Fingerabdruckerkennung), eine PIN oder ein gekoppeltes Zweitgerät. Mittlerweile sind auch die Festlegung einer mehrstufigen Entsperrung und die Verwendung von Bluetooth- Signalen möglich, um ein Gerät automatisch zu sperren, wenn sich ein Abbildung 5: Prozessfluss von „Windows Hello“ zur sicheren Authentifizierung eines Nutzers Nutzer von ihm entfernt (für mehr zu biometrischer Authentifizierung in der Cloud siehe etwa [6]). Zum Schutz der Schlüssel für Windows Hello nutzt das Betriebssystem ein Trusted-Platform-Module (TPM 2.0, konform mit ISO/IEC 11889:2015, vgl. [7]), das in Windows 10 ebenfalls für virtuelle Smartcards, die BitLocker-Verschlüsselung oder den WD Credential Guard zum Einsatz kommt.

Der Windows Defender Credential Guard schützt Active-Directory-(AD)-Anmeldeinformationen in Windows 10 vor Malware auf Endgeräten (z. B. vor sog. Pass-the- Hash-Angriffen und Credential- Harvesting). Seit Version 1809 aktiviert Windows 10S diese Funktion standardmäßig, wenn das Endgerät zu einem Azure Active-Directory gehört. Dadurch wird die Sicherheit bei der Verbindung mit Domänenressourcen gesteigert, die auf Windows-10S-Geräten sonst nicht vorhanden sind.

Abbildung 5: Prozessfluss von „Windows Hello“ zur sicheren Authentifizierung eines Nutzers

Informationsschutz

Immer mehr Daten werden durch immer mehr Dinge und auch auf neue Arten erzeugt und geteilt – Daten durchqueren unterschiedliche Systeme, Geräte, Anwendungen und Clouddienste. Es gibt viel Angriffsfläche und -gründe und somit auch die Notwendigkeit für einen ausgeklügelten, jedoch angepassten Informationsschutz. Mit einem gestiegenden Stellenwert von BYOD-Geräten („Bring your own Device“) im Unternehmen steigt auch das Risiko versehentlicher Datenverluste, etwa durch Apps und Services, die das Unternehmen nicht kontrolliert oder nicht kontrollieren kann. Compliance-Anforderungen sind eine weitere Ebene, welche die Cybersecurity erfüllen muss.

Das Microsoft Informationsschutz- Framework kombiniert daher die Identifizierung sensitiver Informationen mit der Klassifizierung, dem Schutzbedarf und der Überwachung von Verstößen – Endgeräte stellen dabei nur einen Teil des Microsoft-Konzepts dar. Die Windows Information Protection (WIP), früher bekannt als „Unternehmensdatenschutz“ (Enterprise Data Protection, EDP), trägt zum Schutz vor potenziellen Datenlecks bei.

Auch im Cybersecurity- Umfeld von Windows 10 sind Neuerungen von WIP hervorzuheben, das hier Hand in Hand mit dem Microsoft Information Protection Framework arbeiten kann. Bereits in Version 1607 hat Microsoft mit dem „Controlled Folder Access“ massiv in den Schutz vor Ransomware investiert – in Version 1703 in einen verbesserten AlwaysOn-Echtzeitschutz, der verdächtige Ereignisse überwachen kann. Das können zum Beispiel Prozesse sein, die ungewöhnliche Änderungen an bestehenden Dateien vornehmen. Ein Scan aller heruntergeladenen Dateien und Anlagen auf Schadsoftware, die Security- Überwachung der Datei- und Programmaktivität auf dem PC oder der Schreibvorgänge auf Datenträgern sind ebenfalls konfigurierbar. Das OneDrive-Feature „Files-On-Demand“, das Netzwerkressourcen und Speicherplatz einspart, unterstützt nun ebenfalls WIP. Außerdem bleibt Dateiverschlüsselung möglich, während eine Datei in einer anderen App geöffnet ist.

BitLocker nutzt zertifizierte Verschlüsselungsstandards, um sensible Daten vor unberechtigtem Zugriff zu schützen – die Verschlüsselungskeys können dabei ebenfalls im bereits erwähnten TPM aufbewahrt werden. Seit Version 1809 kann man zudem die Verschlüsselung von Festplattenlaufwerken über eine MDM-Richtlinie unabhängig vom Hardware-Security-Test-Interface- (HSTI)-Status [8] des Geräts für standardmäßig verbundene Azure-Active- Directory-Benutzer erzwingen, um die Sicherheit weiter zu erhöhen. Auf geeigneten Geräten lässt sich nun zudem auswählen, mit welchem Algorithmus die Verschlüsselung (z. B. XTS-AES 256 statt XTS-AES 128) durchgeführt werden soll.

WIP-Richtlinien können überdies auf „Microsoft Intune“-Geräte angewendet werden, wobei sich zulässige Apps, die WIP-Schutzebene und Hinweise zum Auffinden von Unternehmensdaten im Netzwerk definieren lassen.

Abbildung 6: „Microsoft Information Protection“ ist ein Framework zum Schutz sensitiver Informationen – innerhalb und außerhalb der eigenen Organisation.

Fazit

Mit dem Security-Dreiklang aus Widerstandsfähigkeit gegen Cyber- Bedrohungen, Schutz von Identitäten und Zugriffen sowie Schutz von Informationen bietet Microsoft Windows einen strukturierten Werkzeugkasten für die zentral verwaltete Sicherung von Endpoints.

Im Kontext komplexer und gewachsener Netzwerke sollte man aber immer auch einen Blick über den Tellerrand des Betriebssystems hinaus werfen: Security-Management aus Sicht der Administration – also eine effiziente Verwaltung der Security-Tool-Landschaft durch Konsolidierung, Benchmarking, Empfehlungen und Berichte, die in- BDEW_AZ_78x120_Cybersicherheit.indd 1 05.12.18 12:02 einander greifen – gewinnt mehr und mehr an Bedeutung. Anlass dafür ist die Frage, wie Organisationen heute im Bereich der Sicherheit mit der Flut an Informationen umgehen können, um einen Überblick zu bekommen und zu behalten – und gleichzeitig Threat-Intelligence erzeugen und verarbeiten zu können, bis hin zum Teilen wichtiger Erkenntnisse.

Mit einigen der hier beschriebenen Funktionen wird das in ersten Schritten möglich, auch wenn noch ein Stück Weg zu gehen ist. Beispiele sind der Konsolidierungsgedanke von Windows 10, die automatisierte Abarbeitung und aktive Reaktion auf Meldungen oder der „Microsoft Intelligent Security Graph“ sowie die sogenannten „Signals“.

Gerade für die Sicherheit ist es notwendig, Daten zu haben und diese automatisiert auszuwerten. Die Schere zwischen Datenschutz und Datensicherheit öffnet sich dadurch vermeintlich weiter – doch ohne eine Situation so genau wie möglich analysieren und einschätzen zu können, lassen sich Informationen oder Systeme nicht schützen. Auch das muss bei der Datenschutzdiskussion mit berücksichtigt und eine Zweckbindung zur Sicherheit mit bewertet werden.

Michael Kranawetter ist National Security Officer und Head of Information Security bei der Microsoft Deutschland GmbH

Literatur