Ausgangssperre! Härten Sie Windows 10 für maximale Sicherheit

Sie haben vielleicht gehört, dass Microsoft Windows 10 sicherer gemacht hat als alle seine Vorgänger, und es mit Sicherheitsvorkehrungen ausgestattet hat. Was Sie möglicherweise nicht wissen, ist, dass einige dieser gepriesenen Sicherheitsfunktionen nicht sofort verfügbar sind oder zusätzliche Hardware erfordern - möglicherweise erhalten Sie nicht das Sicherheitsniveau, das Sie erwartet haben.

Funktionen wie Credential Guard sind nur für bestimmte Editionen von Windows 10 verfügbar, während die von Windows Hello versprochenen erweiterten biometrischen Daten eine erhebliche Investition in Hardware von Drittanbietern erfordern. Windows 10 ist möglicherweise das sicherste Windows-Betriebssystem, aber die sicherheitsbewusste Organisation - und der einzelne Benutzer - muss die folgenden Hardware- und Windows 10 Edition-Anforderungen berücksichtigen, um die erforderlichen Funktionen für eine optimale Sicherheit freizuschalten .

Hinweis: Derzeit gibt es vier Desktop-Editionen von Windows 10 - Home, Pro, Enterprise und Education - sowie mehrere Versionen mit jeweils unterschiedlichen Beta- und Vorschau-Software-Versionen. Woody Leonard beschreibt, welche Version von Windows 10 verwendet werden soll. Das folgende Windows 10-Sicherheitshandbuch konzentriert sich auf Standardinstallationen von Windows 10 - nicht auf Insider-Vorschau oder Zweigstelle für langfristige Wartung - und enthält gegebenenfalls ein Jubiläums-Update.

Die richtige Hardware

Windows 10 bietet ein breites Netz mit anspruchslosen Mindestanforderungen an die Hardware. Solange Sie über Folgendes verfügen, können Sie ein Upgrade von Win7 / 8.1 auf Win10 durchführen: 1 GHz oder schnellerer Prozessor, 2 GB Speicher (für Anniversary Update), 16 GB (für 32-Bit-Betriebssysteme) oder 20 GB (64-Bit-Betriebssystem) ) Speicherplatz, eine DirectX 9-Grafikkarte oder höher mit WDDM 1.0-Treiber und ein Display mit einer Auflösung von 800 x 600 (7 Zoll oder größer). Das beschreibt so ziemlich jeden Computer aus dem letzten Jahrzehnt.

Erwarten Sie jedoch nicht, dass Ihr Baseline-Computer vollständig sicher ist, da die oben genannten Mindestanforderungen viele der kryptografiebasierten Funktionen in Windows 10 nicht unterstützen. Für die Kryptografiefunktionen von Win10 ist das Trusted Platform Module 2.0 erforderlich, das einen sicheren Speicherbereich für Kryptografie bietet Schlüssel und werden unter anderem zum Verschlüsseln von Kennwörtern, zum Authentifizieren von Smartcards, zum Sichern der Medienwiedergabe zur Verhinderung von Piraterie, zum Schutz von VMs sowie zum Sichern von Hardware- und Software-Updates gegen Manipulationen verwendet.

Moderne AMD- und Intel-Prozessoren (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) unterstützen bereits TPM 2.0, sodass die meisten in den letzten Jahren gekauften Maschinen über den erforderlichen Chip verfügen. Der vPro-Remoteverwaltungsdienst von Intel verwendet beispielsweise TPM, um Remote-PC-Reparaturen zu autorisieren. Es lohnt sich jedoch zu überprüfen, ob TPM 2.0 auf einem von Ihnen aktualisierten System vorhanden ist, insbesondere angesichts der Tatsache, dass für das Jubiläums-Update TPM 2.0-Unterstützung in der Firmware oder als separater physischer Chip erforderlich ist. Ein neuer PC oder Systeme, die Windows 10 von Grund auf neu installieren, müssen von Anfang an über TPM 2.0 verfügen. Dies bedeutet, dass der Hardwarehersteller beim Auslieferung ein EK-Zertifikat (Endorsement Key) vorab bereitstellt. Alternativ kann das Gerät so konfiguriert werden, dass das Zertifikat beim ersten Start abgerufen und in TPM gespeichert wird.

Ältere Systeme, die TPM 2.0 nicht unterstützen - entweder weil sie den Chip nicht installiert haben oder alt genug sind, dass sie nur TPM 1.2 haben - müssen einen TPM 2.0-fähigen Chip installieren. Andernfalls können sie überhaupt nicht auf das Jubiläums-Update aktualisieren.

Während einige der Sicherheitsfunktionen mit TPM 1.2 funktionieren, ist es besser, TPM 2.0 zu erhalten, wann immer dies möglich ist. TPM 1.2 erlaubt nur den RSA- und SHA-1-Hashing-Algorithmus, und da die Migration von SHA-1 zu SHA-2 bereits weit fortgeschritten ist, ist es problematisch, sich an TPM 1.2 zu halten. TPM 2.0 ist viel flexibler, da es SHA-256 und Kryptographie mit elliptischen Kurven unterstützt.

Das UEFI-BIOS (Unified Extensible Firmware Interface) ist die nächste unverzichtbare Hardware, um die sicherste Windows 10-Erfahrung zu erzielen. Das Gerät muss mit aktiviertem UEFI-BIOS ausgeliefert werden, um Secure Boot zu ermöglichen. Dadurch wird sichergestellt, dass während des Startvorgangs nur Betriebssystemsoftware, Kernel und Kernelmodule ausgeführt werden können, die mit einem bekannten Schlüssel signiert sind. Secure Boot verhindert, dass Rootkits und BIOS-Malware schädlichen Code ausführen. Für den sicheren Start ist eine Firmware erforderlich, die UEFI v2.3.1 Errata B unterstützt und über die Microsoft Windows-Zertifizierungsstelle in der UEFI-Signaturdatenbank verfügt. Microsoft ist zwar aus Sicherheitsgründen ein Segen, aber die Festlegung von Secure Boot für Windows 10 ist umstritten, da es schwieriger ist, nicht signierte Linux-Distributionen (wie Linux Mint) auf Windows 10-fähiger Hardware auszuführen.

Das Jubiläums-Update wird nur installiert, wenn Ihr Gerät UEFI 2.31-kompatibel oder höher ist.

Eine kurze Liste der Windows 10-Funktionen und Hardwareanforderungen
Windows 10-Funktion TPM Eingangs- / Ausgangsspeicherverwaltungseinheit Virtualisierungserweiterungen LAMELLE UEFI 2.3.1 Nur für x64-Architektur
Credential Guard Empfohlen Nicht benutzt Erforderlich Erforderlich Erforderlich Erforderlich
Geräteschutz Nicht benutzt Erforderlich Erforderlich Erforderlich Erforderlich Erforderlich
BitLocker Empfohlen Nicht benötigt Nicht benötigt Nicht benötigt Nicht benötigt Nicht benötigt
Konfigurierbare Code-Integrität Nicht benötigt Nicht benötigt Nicht benötigt Nicht benötigt Empfohlen Empfohlen
Microsoft Hallo Empfohlen Nicht benötigt Nicht benötigt Nicht benötigt Nicht benötigt Nicht benötigt
VBS Nicht benötigt Erforderlich Erforderlich Erforderlich Nicht benötigt Erforderlich
UEFI Secure Boot Empfohlen Nicht benötigt Nicht benötigt Nicht benötigt Erforderlich Nicht benötigt
Gerätezustandsbescheinigung durch gemessenen Start Benötigt TPM 2.0 Nicht benötigt Nicht benötigt Nicht benötigt Erforderlich Erforderlich

Authentifizierung und Identität verbessern

Die Kennwortsicherheit war in den letzten Jahren ein wichtiges Thema, und Windows Hello bringt uns einer kennwortfreien Welt näher, da biometrische Anmeldungen und die Zwei-Faktor-Authentifizierung integriert und erweitert werden, um Benutzer ohne Kennwörter zu "erkennen". Windows Hello ist gleichzeitig die am besten zugängliche und unzugänglichste Sicherheitsfunktion von Windows 10. Ja, es ist in allen Win10-Editionen verfügbar, erfordert jedoch erhebliche Hardwareinvestitionen, um das Beste aus dem Angebot herauszuholen.

Zum Schutz von Anmeldeinformationen und Schlüsseln benötigt Hello TPM 1.2 oder höher. Bei Geräten, auf denen TPM nicht installiert oder konfiguriert ist, kann Hello stattdessen einen softwarebasierten Schutz verwenden, um Anmeldeinformationen und Schlüssel zu sichern, sodass Windows Hello für nahezu jedes Windows 10-Gerät zugänglich ist.

Die beste Möglichkeit, Hello zu verwenden, besteht darin, biometrische Daten und andere Authentifizierungsinformationen im integrierten TPM-Chip zu speichern, da der Hardwareschutz es Angreifern erschwert, sie zu stehlen. Um die biometrische Authentifizierung optimal nutzen zu können, ist zusätzliche Hardware erforderlich, z. B. eine spezielle beleuchtete Infrarotkamera oder ein dedizierter Iris- oder Fingerabdruckleser. Die meisten Business-Class-Laptops und mehrere Serien von Consumer-Laptops werden mit Fingerabdruckscannern geliefert, sodass Unternehmen unter jeder Windows 10-Edition mit Hello beginnen können. Der Markt für 3D-Kameras mit Tiefenerkennung für Gesichtserkennung und Netzhaut ist jedoch immer noch begrenzt Scanner für das Iris-Scannen, daher ist die fortschrittlichere Biometrie von Windows Hello für die meisten eine zukünftige Möglichkeit und keine alltägliche Realität.

Windows Hello Companion Devices ist für alle Windows 10-Editionen verfügbar und bietet Benutzern die Möglichkeit, ein externes Gerät (z. B. ein Telefon, eine Zugangskarte oder ein tragbares Gerät) als einen oder mehrere Authentifizierungsfaktoren für Hello zu verwenden. Benutzer, die mit Windows Hello Companion Device arbeiten möchten, um mit ihren Windows Hello-Anmeldeinformationen zwischen mehreren Windows 10-Systemen zu wechseln, müssen Pro oder Enterprise auf jedem installiert haben.

Windows 10 verfügte früher über Microsoft Passport, mit dem Benutzer sich über Hello-Anmeldeinformationen bei vertrauenswürdigen Anwendungen anmelden konnten. Mit dem Jubiläums-Update ist Passport nicht mehr als separate Funktion vorhanden, sondern in Hello integriert. Anwendungen von Drittanbietern, die die FIDO-Spezifikation (Fast Identity Online) verwenden, können Single Sign-On über Hello unterstützen. Beispielsweise kann die Dropbox-App direkt über Hello authentifiziert werden, und der Edge-Browser von Microsoft ermöglicht die Erweiterung der Integration mit Hello auf das Web. Es ist auch möglich, die Funktion in einer Verwaltungsplattform für mobile Geräte von Drittanbietern zu aktivieren. Die Zukunft ohne Passwort kommt, aber noch nicht ganz.

Malware fernhalten

Windows 10 führt auch Device Guard ein, eine Technologie, die herkömmliche Antivirenprogramme auf den Kopf stellt. Device Guard sperrt Windows 10-Geräte und verwendet Whitelists, damit nur vertrauenswürdige Anwendungen installiert werden können. Programme dürfen nur ausgeführt werden, wenn sie durch Überprüfen der kryptografischen Signatur der Datei als sicher eingestuft werden. Dadurch wird sichergestellt, dass nicht signierte Anwendungen und Malware nicht ausgeführt werden können. Device Guard verwendet die Hyper-V-Virtualisierungstechnologie von Microsoft, um seine Whitelists in einer abgeschirmten virtuellen Maschine zu speichern, auf die Systemadministratoren nicht zugreifen oder die sie nicht manipulieren können. Um Device Guard nutzen zu können, müssen Computer Windows 10 Enterprise oder Education ausführen und TPM, Hardware-CPU-Virtualisierung und E / A-Virtualisierung unterstützen. Device Guard basiert auf Windows-Hardening wie Secure Boot.

AppLocker, der nur für Unternehmen und Bildung verfügbar ist, kann mit Device Guard zum Einrichten von Richtlinien zur Codeintegrität verwendet werden. Beispielsweise können Administratoren festlegen, welche universellen Anwendungen aus dem Windows Store auf einem Gerät installiert werden können. 

Die konfigurierbare Codeintegrität ist eine weitere Windows-Komponente, die überprüft, ob der ausgeführte Code vertrauenswürdig und sinnvoll ist. Die Codeintegrität im Kernelmodus (KMCI) verhindert, dass der Kernel nicht signierte Treiber ausführt. Administratoren können die Richtlinien auf Zertifizierungsstellen- oder Herausgeberebene sowie die einzelnen Hashwerte für jede ausführbare Binärdatei verwalten. Da ein Großteil der Standard-Malware in der Regel nicht signiert ist, können Unternehmen durch die Bereitstellung von Richtlinien zur Codeintegrität sofort vor nicht signierter Malware schützen.

Windows Defender, das erstmals als eigenständige Software für Windows XP veröffentlicht wurde, wurde in Windows 8 zur Standard-Malware-Schutzsuite von Microsoft mit Antispyware und Antivirus. Defender wird automatisch deaktiviert, wenn eine Antimalwaresuite eines Drittanbieters installiert wird. Wenn kein konkurrierendes Antiviren- oder Sicherheitsprodukt installiert ist, stellen Sie sicher, dass Windows Defender aktiviert ist, das in allen Editionen und ohne spezielle Hardwareanforderungen verfügbar ist. Für Windows 10 Enterprise-Benutzer gibt es den erweiterten Bedrohungsschutz von Windows Defender, der eine Echtzeit-Analyse von Verhaltensbedrohungen zur Erkennung von Online-Angriffen bietet.

Daten sichern

BitLocker, das Dateien in einem verschlüsselten Container sichert, gibt es seit Windows Vista und ist unter Windows 10 besser als je zuvor. Mit Anniversary Update ist das Verschlüsselungstool für die Editionen Pro, Enterprise und Education verfügbar. Ähnlich wie Windows Hello funktioniert BitLocker am besten, wenn TPM zum Schutz der Verschlüsselungsschlüssel verwendet wird. Es kann jedoch auch einen softwarebasierten Schlüsselschutz verwenden, wenn TPM nicht vorhanden oder nicht konfiguriert ist. Der Schutz von BitLocker mit einem Kennwort bietet die grundlegendste Verteidigung. Eine bessere Methode ist jedoch die Verwendung einer Smartcard oder des Encrypting File System, um ein Dateiverschlüsselungszertifikat zum Schutz der zugehörigen Dateien und Ordner zu erstellen.

Wenn BitLocker auf dem Systemlaufwerk aktiviert und der Brute-Force-Schutz aktiviert ist, kann Windows 10 den PC neu starten und den Zugriff auf die Festplatte nach einer bestimmten Anzahl falscher Kennwortversuche sperren. Benutzer müssten den 48-stelligen BitLocker-Wiederherstellungsschlüssel eingeben, um das Gerät zu starten und auf die Festplatte zuzugreifen. Um diese Funktion zu aktivieren, muss das System über die UEFI-Firmware-Version 2.3.1 oder höher verfügen.

Windows Information Protection, früher Enterprise Data Protection (EDP), ist nur für Windows 10 Pro, Enterprise oder Education verfügbar. Es bietet dauerhafte Verschlüsselung auf Dateiebene und grundlegende Rechteverwaltung sowie Integration in Azure Active Directory- und Rechteverwaltungsdienste. Für den Informationsschutz ist eine Verwaltung mobiler Geräte erforderlich - Microsoft Intune oder eine Plattform eines Drittanbieters wie AirWatch von VMware - oder System Center Configuration Manager (SCCM), um die Einstellungen zu verwalten. Ein Administrator kann eine Liste von Windows Store- oder Desktopanwendungen definieren, die auf Arbeitsdaten zugreifen oder diese vollständig blockieren können. Mit Windows Information Protection können Sie steuern, wer auf Daten zugreifen kann, um versehentliche Informationslecks zu vermeiden. Active Directory erleichtert die Verwaltung, ist jedoch nicht erforderlich, um den Informationsschutz zu verwenden.laut Microsoft.

Virtualisierung von Sicherheitsmaßnahmen

Credential Guard, das nur für Windows 10 Enterprise und Education verfügbar ist, kann mithilfe von virtualisierungsbasierter Sicherheit (VBS) „Geheimnisse“ isolieren und den Zugriff auf privilegierte Systemsoftware einschränken. Es hilft dabei, Pass-the-Hash-Angriffe zu blockieren, obwohl Sicherheitsforscher kürzlich Möglichkeiten gefunden haben, den Schutz zu umgehen. Trotzdem ist es immer noch besser, Credential Guard zu haben, als es überhaupt nicht zu haben. Es läuft nur auf x64-Systemen und erfordert UEFI 2.3.1 oder höher. Virtualisierungserweiterungen wie Intel VT-x, AMD-V und SLAT müssen aktiviert sein, ebenso wie IOMMU wie Intel VT-d, AMD-Vi und BIOS Lockdown. TPM 2.0 wird empfohlen, um die Gerätezustandsbescheinigung für Credential Guard zu aktivieren. Wenn TPM jedoch nicht verfügbar ist, können stattdessen softwarebasierte Schutzfunktionen verwendet werden.

Eine weitere Windows 10 Enterprise- und Education-Funktion ist der Virtual Secure Mode, ein Hyper-V-Container, der unter Windows gespeicherte Domänenanmeldeinformationen schützt.