Der Virtual Secure Mode ist mächtig

Eine der mächtigsten und wichtigsten Änderungen in Windows 10 ist der Virtual Secure Mode (VSM). Er basiert auf Microsofts Virtualisierungstechnologie Hyper-V und bringt einen erheblichen Sicherheitsgewinn durch die Isolation von bestimmten Kernel-Subsystemen in einem Micro-Kernel, der parallel zum eigentlichen System läuft. Hierbei wird wie bei der Aktivierung von Client Hyper-V zunächst das System in eine VM mit leicht anderen Zugriffsrechten auf Systemressourcen und Managementfunktionen für Hyper-V umgewandelt. Parallel hierzu wird der Micro-Kernel in einer eingeschränkten VM aufgesetzt und Systemmodule werden hierhin ausgelagert. Somit kommuniziert zum Beispiel das Local Security Subsystem (LSA) nur noch mit dem im Micro-Kernel isolierten Subsystem namens LSAIso.

Damit wird nicht nur die Integrität und Sicherheit der isolierten Prozesse gewährleistet, sondern es werden auch undokumentierte und nicht authentifizierte APIs sowie Zugriffe direkt auf die Speicherbereiche der Prozesse verhindert. Voraussetzung für die von VSM implementierten Funktionen sind die Prozessorerweiterungen VT-x sowie VT-d und aktiviertes Secure Boot. Zusätzlich muss für Credential Guard Windows 10 Enterprise installiert sein. Dabei muss VSM als eine Ergänzung beziehungsweise Verbesserung der bisher bekannten Protected Processes von Windows angesehen werden.

Local Security Authority Subsystem Service

Eines der wichtigsten Module, die hierbei isoliert werden, ist der Local Security Authentication Service, auch bekannt als Local Security Authority Subsystem Service (LSASS), der für das Management von Authentifizierungen und zum Verwalten von zum Beispiel NTLM-Hashes zuständig ist. Das hierauf basierende Feature hat Microsoft Credential Guard getauft. Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. Dadurch, dass ihre Verwaltung beim Micro-Kernel liegt, kann die Parent Partition nicht auf den Speicherbereich des Subsystems zugreifen und damit auch keine Hashes auslesen.

Ein weiteres VSM-isoliertes Feature ist Virtual TPM. Virtual TPM ermöglicht es, Hyper-V-virtualisierte Maschinen mit Bitlocker und TPM-Unterstützung zu verschlüsseln. Damit wird vermieden, dass ein Angreifer die virtuelle Maschine (VM) exportiert und auf einem anderen Virtualisierungshost startet, um zum Beispiel Daten zu extrahieren. Hierfür ist ein TPM der Version 2.0 zwingend notwendig.

Device Guard

Das umfangreichste auf VSM basierende Feature heißt Device Guard. Device Guard ist Microsofts Ansatz, mit der steigenden Anzahl und Häufigkeit von Malware fertig zu werden. Device Guard nutzt den ebenfalls in VSM isolierbaren Code Integrity Service, der mit verschiedenen Technologien sicherstellt, dass alle ausführbaren Anwendungen unverändert sind. Hierbei wird eine durchgehende Signaturprüfung aller Dateien genutzt.

Der Integrity Service verhindert ebenfalls Buffer Overflows und damit viele Zero-Day-Exploits, da die Allokation von neuem Arbeitsspeicher ebenfalls vom Micro-Kernel gesteuert wird. Somit ist es auf einem System, das Device Guard aktiviert hat, nicht möglich, unsignierte Programme auszuführen, was praktisch jegliche aktuelle Malware ausschließt. Der Administrator kann dabei kontrollieren, welchen Zertifizierungsstellen getraut werden soll.

Um auch Programme kleinerer Hersteller, die nicht signieren, nutzen zu können, bietet Microsoft ein Tool an, um signierte Catalog-Dateien für das Programm zu erstellen. Diese enthalten Hashwerte für jede Datei, die vom betreffenden Programm genutzt wird. In Kombination mit TPM ist es also auf Systemen mit relativ wenigen Programmen, die sich nicht häufig ändern oder signiert sind, bereits möglich, diese sehr stark abzusichern.

Unter anderem aufgrund der komplexen Implementierung und des momentan noch begrenzten Angebots an Desktop-Apps im Windows-Store, hat Device Guard aktuell hauptsächlich Unternehmen als Zielgruppe.