Mit Control Flow Guard bleiben Programme auf dem rechten Pfad

Eine Vielzahl kleinerer Änderungen hat die Sicherheit und Integrität von Systemdiensten erhöht. Es wurde ein neues Feature zum Blocken von Schriftarten außerhalb des %windir%/Fonts-Ordners implementiert, das die seit Duqu bekannten Attacken mit eingebetteten Schriftarten verhindern soll. Ebenso wurden weitere Systemprozesse umgebaut, um DEP und ASLR zu unterstützen. Ebenfalls wurde die Entropie bei beispielsweise ASLR erheblich erhöht.

Neu hinzugekommen ist die Funktion Control Flow Guard (CFG), die dafür sorgt, dass Programme nicht vom vorgesehenen Weg abweichen. Diese Funktion zielt stark auf Browser-Malware ab und stellt eine zusätzliche Kontrollinstanz bei sogenannten Indirect Calls in Programmen zur Verfügung. Wenn CFG vom Compiler unterstützt wird, ist es erheblich schwieriger, Schadcode in Browser einzuschleusen. Laut Microsoft verhindert CFG bereits 96 Prozent aller bisher genutzten Browserexploits seit 2011.

Security in Windows as a Service

Microsoft kündigte Mitte dieses Jahres an, Windows as a Service bereitzustellen. Damit werden in Zukunft neue Features außerhalb von Service Packs und direkt über Windows Update ausgeliefert. Um bei sich häufig ändernden Systemprozessen und -funktionen nicht die Funktion von Dritthersteller-Software zu gefährden, wurde beispielsweise SEC eingeführt. Um gar nicht erst in diese Situation zu kommen, ist ein Trend Richtung Cloud absehbar. Dort stehen weitaus größere Ressourcen zur Verfügung, Änderungen sind schneller wirksam und Dienste sind so deutlich kostengünstiger zu betreiben.

Einer der Services, der aus Microsofts "Mobile first, Cloud first"-Strategie bereits hervorgegangen ist, ist Provable PC Health (PPCH). Auf ihm basiert das Konzept Conditional Access. Aus dem Enterprise-Bereich ist Network Access Protection (NAP) bekannt. Diese Windows-Server-Funktion wurde mit Server 2008 R2 eingeführt und in Server 2012 R2 als veraltet (deprecated) gekennzeichnet. Ziel war es, den Zugriff auf bestimmte Ressourcen nur zuzulassen, wenn der Client sich in einem definierten gesunden Zustand befindet.

Dieses Konzept greift Conditional Access auf und bietet in Kombination mit einem Mobile Device Management (MDM) System wie Microsoft Intune einen Health Check Service. Über eine API ist es möglich, Client-Richtlinien wie Secure Boot und Firewall-Einstellungen zu überprüfen und anhand der Ergebnisse den Zugriff etwa auf einen Fileserver zu gewähren.

Fazit

Angreifer werden neue Methoden finden, um die Sicherheitsfeatures von Windows 10 zu umgehen, doch wird dies erheblich schwerer als bisher. Wenn ein Unternehmen Computer besitzt, auf denen kaum Änderungen vorgenommen werden, können diese bereits heute mit Device Guard abgesichert werden. Auch die neuen Enterprise-Funktionen von Credential Guard sollte jedes Unternehmen mit einer Microsoft-Infrastruktur zumindest mit TP4 von Server 2016 evaluieren. Bis sich Passport und Bitlocker jedoch auch in der Masse der Endanwender verbreitet haben, dürfte nicht zuletzt wegen der fehlenden Hardware (TPM 2.0, VT-x, VT-d) noch etwas Zeit vergehen.

Jan-Henrik Damaschke ist Technical Consultant für Security und Infrastructure bei der msg services ag. Er ist ausgezeichneter Microsoft-Studentpartner und hält regelmäßig Vorträge zum Thema Security und Virtualisierung.