Abo
  • Services:
Anzeige
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit.
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit. (Bild: Andrew Burton/Getty Images)

Mit Control Flow Guard bleiben Programme auf dem rechten Pfad

Eine Vielzahl kleinerer Änderungen hat die Sicherheit und Integrität von Systemdiensten erhöht. Es wurde ein neues Feature zum Blocken von Schriftarten außerhalb des %windir%/Fonts-Ordners implementiert, das die seit Duqu bekannten Attacken mit eingebetteten Schriftarten verhindern soll. Ebenso wurden weitere Systemprozesse umgebaut, um DEP und ASLR zu unterstützen. Ebenfalls wurde die Entropie bei beispielsweise ASLR erheblich erhöht.

Anzeige

Neu hinzugekommen ist die Funktion Control Flow Guard (CFG), die dafür sorgt, dass Programme nicht vom vorgesehenen Weg abweichen. Diese Funktion zielt stark auf Browser-Malware ab und stellt eine zusätzliche Kontrollinstanz bei sogenannten Indirect Calls in Programmen zur Verfügung. Wenn CFG vom Compiler unterstützt wird, ist es erheblich schwieriger, Schadcode in Browser einzuschleusen. Laut Microsoft verhindert CFG bereits 96 Prozent aller bisher genutzten Browserexploits seit 2011.

Security in Windows as a Service

Microsoft kündigte Mitte dieses Jahres an, Windows as a Service bereitzustellen. Damit werden in Zukunft neue Features außerhalb von Service Packs und direkt über Windows Update ausgeliefert. Um bei sich häufig ändernden Systemprozessen und -funktionen nicht die Funktion von Dritthersteller-Software zu gefährden, wurde beispielsweise SEC eingeführt. Um gar nicht erst in diese Situation zu kommen, ist ein Trend Richtung Cloud absehbar. Dort stehen weitaus größere Ressourcen zur Verfügung, Änderungen sind schneller wirksam und Dienste sind so deutlich kostengünstiger zu betreiben.

Einer der Services, der aus Microsofts "Mobile first, Cloud first"-Strategie bereits hervorgegangen ist, ist Provable PC Health (PPCH). Auf ihm basiert das Konzept Conditional Access. Aus dem Enterprise-Bereich ist Network Access Protection (NAP) bekannt. Diese Windows-Server-Funktion wurde mit Server 2008 R2 eingeführt und in Server 2012 R2 als veraltet (deprecated) gekennzeichnet. Ziel war es, den Zugriff auf bestimmte Ressourcen nur zuzulassen, wenn der Client sich in einem definierten gesunden Zustand befindet.

Dieses Konzept greift Conditional Access auf und bietet in Kombination mit einem Mobile Device Management (MDM) System wie Microsoft Intune einen Health Check Service. Über eine API ist es möglich, Client-Richtlinien wie Secure Boot und Firewall-Einstellungen zu überprüfen und anhand der Ergebnisse den Zugriff etwa auf einen Fileserver zu gewähren.

Fazit

Angreifer werden neue Methoden finden, um die Sicherheitsfeatures von Windows 10 zu umgehen, doch wird dies erheblich schwerer als bisher. Wenn ein Unternehmen Computer besitzt, auf denen kaum Änderungen vorgenommen werden, können diese bereits heute mit Device Guard abgesichert werden. Auch die neuen Enterprise-Funktionen von Credential Guard sollte jedes Unternehmen mit einer Microsoft-Infrastruktur zumindest mit TP4 von Server 2016 evaluieren. Bis sich Passport und Bitlocker jedoch auch in der Masse der Endanwender verbreitet haben, dürfte nicht zuletzt wegen der fehlenden Hardware (TPM 2.0, VT-x, VT-d) noch etwas Zeit vergehen.

Jan-Henrik Damaschke ist Technical Consultant für Security und Infrastructure bei der msg services ag. Er ist ausgezeichneter Microsoft-Studentpartner und hält regelmäßig Vorträge zum Thema Security und Virtualisierung.

 Der Virtual Secure Mode ist mächtig

eye home zur Startseite
whine 20. Dez 2015

Lies dir mal bitte das hier durch: http://www.forbes.com/sites/gordonkelly/2015/12/16/why...

pierrot 10. Dez 2015

Ja, habs ja jetzt verstanden ;) Windows 10 ist schneller als Windows 7. Wobei ich mit...

Argbeil 10. Dez 2015

Die Zahl der Angriffe durch klassische Viren die mit den Signaturscannern gefunden...

triri 09. Dez 2015

Schon allein die Überschrift finde ich reißerisch und den Artikel irgendwie ungelenk. Die...

triri 09. Dez 2015

Das muss Microsoft heuer eigentlich überhaupt nicht mehr. Durch diverse Förderprogramme...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München, Leinfelden-Echterdingen
  2. über HRM CONSULTING GmbH, Konstanz (Home-Office)
  3. Leopold Kostal GmbH & Co. KG, Hagen
  4. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn


Anzeige
Hardware-Angebote
  1. 169,00€
  2. (reduzierte Überstände, Restposten & Co.)
  3. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Liquivista

    maxule | 00:24

  2. Re: Meine Erfahrung als Störungssucher in Luxemburg

    AndyWeibel | 00:18

  3. Re: Erster!!!

    Shik3i | 00:17

  4. Re: Wofür ist das BVG-WiFi gut?

    chithanh | 00:05

  5. Re: 1400W... für welche Hardware?

    Ach | 00:03


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel