Abo
  • Services:
Anzeige
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit.
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit. (Bild: Andrew Burton/Getty Images)

Sicherheit: Windows 10 - das Ende von Malware?

Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit.
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit. (Bild: Andrew Burton/Getty Images)

Windows 10 sieht nicht nur anders aus als seine Vorgänger, auch im Inneren hat sich viel geändert: Besonders beim Thema Security im Consumer- und Enterprise-Segment hat Microsoft für Anwender einige Neuerungen wie eine Zwei-Faktor-Authentifizierung entwickelt.

Microsoft hat bei Windows 10 sehr viel Arbeit in den Sicherheitsbereich gesteckt. Seit dem letzten Windows Build 10586 in Windows 10 sowie Server 2016 TP4, gibt es viele Funktionen, die von Microsoft bereits als Production Ready gekennzeichnet sind. Somit können Administratoren anfangen, die neuen Technologien zu testen, um sich auf eine Veröffentlichung von Windows Server 2016 und Windows 10 Mitte des kommenden Jahres vorzubereiten. Auch für Endanwender, die ihren Windows-10-Rechner privat nutzen, gibt es einige Neuerungen.

Anzeige

Passport mit Zwei-Faktor-Authentifizierung

Eine der Neuerungen im Hintergrund ist Windows Passport. Mit Windows Passport versucht Microsoft, das klassische Passwort durch eine deutlich sicherere, durch Trusted-Platform-Module (TPM) unterstützte Zwei-Faktor-Authentifizierung zu ersetzen. Dabei steht die Idee im Vordergrund, dem Benutzer das Merken von Passwörtern zu ersparen und stattdessen über das FIDO-kompatible Protokoll eine Authentifizierung mit Windows Passport vorzunehmen.

  • Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. (Bild: Jan-Henrik Damaschke)
  • Eine der mächtigsten und wichtigsten Änderungen in Windows 10 ist der Virtual Secure Mode (VSM). (Bild: Jan-Henrik Damaschke)
Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. (Bild: Jan-Henrik Damaschke)

Die zwei Faktoren bestehen aus asymmetrischen Schlüsselpaaren oder Zertifikaten (mit einer Enterprise-PKI). Dabei ist ein Teil (Zertifikat oder Schlüssel) direkt der Hardware, also dem Computer, zugeordnet. Der andere Teil ist etwas Benutzerspezifisches wie eine PIN oder ein biometrisches Merkmal (siehe Windows Hello). Das verhindert nicht nur, dass Nutzer überall das gleiche Passwort benutzen, sondern dank asymmetrischer Public-Key-Verschlüsselung und Speichern der User Secrets auf dem Endgerät auch Passwortdiebstahl durch den Hack eines Dienstes oder Servers.

Dabei benötigt Passport einen Identity Provider (IDP), der den Nutzer authentifiziert und ihm Authentifizierungs-Token für die entsprechenden Programme oder Services ausstellt. Hierbei kann sowohl Azure Active Directory, ein On-Premise Active Directory, als auch später für Privatanwender das Microsoft-Konto zum Einsatz kommen. Es ist hervorzuheben, dass eine Attacke wie Pass-the-Hash oder Pass-the-Ticket mit Passport unmöglich ist, solange ein TPM in der Client- und Server-Hardware eingesetzt wird, da es dann eine feste Verknüpfung zwischen TPM und Token gibt.

Passport mit Windows Hello

Die bekannteste mit Passport benutzte Funktion dürfte Windows Hello sein. Dabei handelt es sich um die in Windows 10 erstmals mit Bordmitteln mögliche, biometrische Authentifizierung mit Fingerabdruck, Irisscan oder dreidimensionaler Gesichtserkennung. Das ist ein großer Fortschritt im Vergleich zu den vorher von Drittherstellern implementierten Lösungen. Diese waren auf bestimmte Geräte beschränkt und boten nur zweidimensionale Erkennung. Zudem konnte es wegen der Nutzung von undokumentierten Funktionen und der fehlenden Verankerung im System zu Problemen mit Updates und verschiedenen Windows-Versionen kommen.

Sobald ein Benutzer Passport mit Hello eingerichtet hat, entfällt das Eingeben von Passwörtern in allen unterstützten Websites oder Anwendungen. Windows Hello ist dabei rein optional für den Einsatz von Windows Passport. In einem Artikel haben wir Windows Hello bereits ausführlicher beschrieben.

Bitlocker und Defender

Auch bei Microsofts Festplattenverschlüsselung Bitlocker und dem integrierten Anti-Virussystem Windows Defender hat sich einiges getan. Microsoft verfolgt das Ziel, allen Windows-Nutzern zumindest einen gewissen Grundschutz mit Bordmitteln zur Verfügung zu stellen. So ist es neben dem schon länger von Microsoft geforderten TPM in jedem PC das Ziel, auf jedem Rechner Festplattenverschlüsselung und somit Schutz vor Offline-Attacken zu gewährleisten.

Bitlocker hat neben der Unterstützung für den neueren XTS-AES-Algorithmus und neuen Richtlinien unter anderem für das Beschränken von Direct Memory Access (DMA) Ports auch den Support von Azure Active Directory eingeführt. Damit kann auf Computern, die einem Azure Active Directory angehören, ebenfalls Bitlocker ausgerollt werden, und es können die zugehörigen Recovery Keys im Azure Active Directory gespeichert werden.

Windows Defender hat bei Microsoft ebenfalls eine höhere Priorität bekommen. So hat Microsoft nach eigenen Angaben das Defender-Team erheblich aufgestockt, um die mittelmäßige Erkennungsrate auf das Level der Marktführer zu heben und die automatische cloudbasierte Analyse von Malware weiter zu verbessern. Auf jeder Windows-10- und Server-2016-Installation ist Defender von Anfang an installiert und aktiviert. Bemerkt Defender, dass ein Dritthersteller-AV-Programm installiert wurde, deaktiviert es sich automatisch.

Diesen Drittherstellern bietet Microsoft eine API-ähnliche Schnittstelle namens Secure Event Channel (SEC), damit sie nicht weiterhin undokumentierte Methoden nutzen. Somit besteht nicht bei jedem Windows-Upgrade die Gefahr, dass das AV-Produkt nicht mehr funktioniert. Weiterhin erkennt Windows Defender, sobald kein anderes AV-Produkt installiert oder dessen Lizenz abgelaufen ist und aktiviert sich in diesem Falle erneut.

Der Virtual Secure Mode ist mächtig 

eye home zur Startseite
whine 20. Dez 2015

Lies dir mal bitte das hier durch: http://www.forbes.com/sites/gordonkelly/2015/12/16/why...

pierrot 10. Dez 2015

Ja, habs ja jetzt verstanden ;) Windows 10 ist schneller als Windows 7. Wobei ich mit...

Argbeil 10. Dez 2015

Die Zahl der Angriffe durch klassische Viren die mit den Signaturscannern gefunden...

triri 09. Dez 2015

Schon allein die Überschrift finde ich reißerisch und den Artikel irgendwie ungelenk. Die...

triri 09. Dez 2015

Das muss Microsoft heuer eigentlich überhaupt nicht mehr. Durch diverse Förderprogramme...



Anzeige

Stellenmarkt
  1. VISHAY ELECTRONIC GmbH, Selb bei Hof
  2. macio GmbH, Kiel und Karlsruhe
  3. über TOPOS Personalberatung GmbH, Norddeutschland
  4. ORANGE Engineering, Berlin


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)
  3. 164.99$

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Digitale Assistenten LG hat für das G6 mit Google und Amazon verhandelt
  2. Instant Tethering Googles automatischer WLAN-Hotspot
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Bundestagswahl 2017: Verschont uns mit Digitalisierungs-Blabla 4.0!
Bundestagswahl 2017
Verschont uns mit Digitalisierungs-Blabla 4.0!
  1. Bundestagswahlkampf 2017 Die große Angst vor dem Internet
  2. Hackerangriffe BSI will Wahlmanipulationen bekämpfen

  1. Re: Schade, dass es keinen Kommunismus in China gibt

    Yash | 23:36

  2. Re: Was ist mit der +20°C Problematik??

    SoniX | 23:36

  3. Re: Sollen doch alle Updates einstampfen....

    Maximilian154 | 23:20

  4. Re: Update auf eine Veraltete Version?

    Maximilian154 | 23:17

  5. Re: Unkritisch

    Ipa | 23:17


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel