Abo
  • Services:

Der Virtual Secure Mode ist mächtig

Eine der mächtigsten und wichtigsten Änderungen in Windows 10 ist der Virtual Secure Mode (VSM). Er basiert auf Microsofts Virtualisierungstechnologie Hyper-V und bringt einen erheblichen Sicherheitsgewinn durch die Isolation von bestimmten Kernel-Subsystemen in einem Micro-Kernel, der parallel zum eigentlichen System läuft. Hierbei wird wie bei der Aktivierung von Client Hyper-V zunächst das System in eine VM mit leicht anderen Zugriffsrechten auf Systemressourcen und Managementfunktionen für Hyper-V umgewandelt. Parallel hierzu wird der Micro-Kernel in einer eingeschränkten VM aufgesetzt und Systemmodule werden hierhin ausgelagert. Somit kommuniziert zum Beispiel das Local Security Subsystem (LSA) nur noch mit dem im Micro-Kernel isolierten Subsystem namens LSAIso.

Stellenmarkt
  1. Securiton GmbH IPS Intelligent Video Analytics, München
  2. PAUL HARTMANN AG, Heidenheim an der Brenz

Damit wird nicht nur die Integrität und Sicherheit der isolierten Prozesse gewährleistet, sondern es werden auch undokumentierte und nicht authentifizierte APIs sowie Zugriffe direkt auf die Speicherbereiche der Prozesse verhindert. Voraussetzung für die von VSM implementierten Funktionen sind die Prozessorerweiterungen VT-x sowie VT-d und aktiviertes Secure Boot. Zusätzlich muss für Credential Guard Windows 10 Enterprise installiert sein. Dabei muss VSM als eine Ergänzung beziehungsweise Verbesserung der bisher bekannten Protected Processes von Windows angesehen werden.

Local Security Authority Subsystem Service

Eines der wichtigsten Module, die hierbei isoliert werden, ist der Local Security Authentication Service, auch bekannt als Local Security Authority Subsystem Service (LSASS), der für das Management von Authentifizierungen und zum Verwalten von zum Beispiel NTLM-Hashes zuständig ist. Das hierauf basierende Feature hat Microsoft Credential Guard getauft. Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. Dadurch, dass ihre Verwaltung beim Micro-Kernel liegt, kann die Parent Partition nicht auf den Speicherbereich des Subsystems zugreifen und damit auch keine Hashes auslesen.

Ein weiteres VSM-isoliertes Feature ist Virtual TPM. Virtual TPM ermöglicht es, Hyper-V-virtualisierte Maschinen mit Bitlocker und TPM-Unterstützung zu verschlüsseln. Damit wird vermieden, dass ein Angreifer die virtuelle Maschine (VM) exportiert und auf einem anderen Virtualisierungshost startet, um zum Beispiel Daten zu extrahieren. Hierfür ist ein TPM der Version 2.0 zwingend notwendig.

Device Guard

Das umfangreichste auf VSM basierende Feature heißt Device Guard. Device Guard ist Microsofts Ansatz, mit der steigenden Anzahl und Häufigkeit von Malware fertig zu werden. Device Guard nutzt den ebenfalls in VSM isolierbaren Code Integrity Service, der mit verschiedenen Technologien sicherstellt, dass alle ausführbaren Anwendungen unverändert sind. Hierbei wird eine durchgehende Signaturprüfung aller Dateien genutzt.

Der Integrity Service verhindert ebenfalls Buffer Overflows und damit viele Zero-Day-Exploits, da die Allokation von neuem Arbeitsspeicher ebenfalls vom Micro-Kernel gesteuert wird. Somit ist es auf einem System, das Device Guard aktiviert hat, nicht möglich, unsignierte Programme auszuführen, was praktisch jegliche aktuelle Malware ausschließt. Der Administrator kann dabei kontrollieren, welchen Zertifizierungsstellen getraut werden soll.

Um auch Programme kleinerer Hersteller, die nicht signieren, nutzen zu können, bietet Microsoft ein Tool an, um signierte Catalog-Dateien für das Programm zu erstellen. Diese enthalten Hashwerte für jede Datei, die vom betreffenden Programm genutzt wird. In Kombination mit TPM ist es also auf Systemen mit relativ wenigen Programmen, die sich nicht häufig ändern oder signiert sind, bereits möglich, diese sehr stark abzusichern.

Unter anderem aufgrund der komplexen Implementierung und des momentan noch begrenzten Angebots an Desktop-Apps im Windows-Store, hat Device Guard aktuell hauptsächlich Unternehmen als Zielgruppe.

 Sicherheit: Windows 10 - das Ende von Malware?Mit Control Flow Guard bleiben Programme auf dem rechten Pfad 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 39,99€
  2. (-75%) 1,99€
  3. 59,99€
  4. 59,99€ - Release 19.10.

whine 20. Dez 2015

Lies dir mal bitte das hier durch: http://www.forbes.com/sites/gordonkelly/2015/12/16/why...

pierrot 10. Dez 2015

Ja, habs ja jetzt verstanden ;) Windows 10 ist schneller als Windows 7. Wobei ich mit...

Argbeil 10. Dez 2015

Die Zahl der Angriffe durch klassische Viren die mit den Signaturscannern gefunden...

triri 09. Dez 2015

Schon allein die Überschrift finde ich reißerisch und den Artikel irgendwie ungelenk. Die...

triri 09. Dez 2015

Das muss Microsoft heuer eigentlich überhaupt nicht mehr. Durch diverse Förderprogramme...


Folgen Sie uns
       


Detroit Become Human - Fazit

Die Handlung von Detroit: Become Human gefällt uns gut. Sie ist hervorragend geschrieben, animiert und geschnitten. Die Geschichte der Androiden wirkt auch im Vergleich mit früheren Werken von Quantic Dream viel erwachsener und intelligenter, vor allem gegenüber dem direkten Vorgänger Beyond Two Souls.

Detroit Become Human - Fazit Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    PGP/SMIME: Die wichtigsten Fakten zu Efail
    PGP/SMIME
    Die wichtigsten Fakten zu Efail

    Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
    Eine Analyse von Hanno Böck

    1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

      •  /