Mit Control Flow Guard bleiben Programme auf dem rechten Pfad

Eine Vielzahl kleinerer Änderungen hat die Sicherheit und Integrität von Systemdiensten erhöht. Es wurde ein neues Feature zum Blocken von Schriftarten außerhalb des %windir%/Fonts-Ordners implementiert, das die seit Duqu bekannten Attacken mit eingebetteten Schriftarten verhindern soll. Ebenso wurden weitere Systemprozesse umgebaut, um DEP und ASLR zu unterstützen. Ebenfalls wurde die Entropie bei beispielsweise ASLR erheblich erhöht.

Stellenmarkt
  1. Softwareentwickler C# / .NET (m/w/d)
    IS Software GmbH, Regensburg
  2. Cloud Engineer AWS (m/w/d)
    Metaways Infosystems GmbH, Hamburg
Detailsuche

Neu hinzugekommen ist die Funktion Control Flow Guard (CFG), die dafür sorgt, dass Programme nicht vom vorgesehenen Weg abweichen. Diese Funktion zielt stark auf Browser-Malware ab und stellt eine zusätzliche Kontrollinstanz bei sogenannten Indirect Calls in Programmen zur Verfügung. Wenn CFG vom Compiler unterstützt wird, ist es erheblich schwieriger, Schadcode in Browser einzuschleusen. Laut Microsoft verhindert CFG bereits 96 Prozent aller bisher genutzten Browserexploits seit 2011.

Security in Windows as a Service

Microsoft kündigte Mitte dieses Jahres an, Windows as a Service bereitzustellen. Damit werden in Zukunft neue Features außerhalb von Service Packs und direkt über Windows Update ausgeliefert. Um bei sich häufig ändernden Systemprozessen und -funktionen nicht die Funktion von Dritthersteller-Software zu gefährden, wurde beispielsweise SEC eingeführt. Um gar nicht erst in diese Situation zu kommen, ist ein Trend Richtung Cloud absehbar. Dort stehen weitaus größere Ressourcen zur Verfügung, Änderungen sind schneller wirksam und Dienste sind so deutlich kostengünstiger zu betreiben.

Einer der Services, der aus Microsofts "Mobile first, Cloud first"-Strategie bereits hervorgegangen ist, ist Provable PC Health (PPCH). Auf ihm basiert das Konzept Conditional Access. Aus dem Enterprise-Bereich ist Network Access Protection (NAP) bekannt. Diese Windows-Server-Funktion wurde mit Server 2008 R2 eingeführt und in Server 2012 R2 als veraltet (deprecated) gekennzeichnet. Ziel war es, den Zugriff auf bestimmte Ressourcen nur zuzulassen, wenn der Client sich in einem definierten gesunden Zustand befindet.

Golem Akademie
  1. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Dieses Konzept greift Conditional Access auf und bietet in Kombination mit einem Mobile Device Management (MDM) System wie Microsoft Intune einen Health Check Service. Über eine API ist es möglich, Client-Richtlinien wie Secure Boot und Firewall-Einstellungen zu überprüfen und anhand der Ergebnisse den Zugriff etwa auf einen Fileserver zu gewähren.

Fazit

Angreifer werden neue Methoden finden, um die Sicherheitsfeatures von Windows 10 zu umgehen, doch wird dies erheblich schwerer als bisher. Wenn ein Unternehmen Computer besitzt, auf denen kaum Änderungen vorgenommen werden, können diese bereits heute mit Device Guard abgesichert werden. Auch die neuen Enterprise-Funktionen von Credential Guard sollte jedes Unternehmen mit einer Microsoft-Infrastruktur zumindest mit TP4 von Server 2016 evaluieren. Bis sich Passport und Bitlocker jedoch auch in der Masse der Endanwender verbreitet haben, dürfte nicht zuletzt wegen der fehlenden Hardware (TPM 2.0, VT-x, VT-d) noch etwas Zeit vergehen.

Jan-Henrik Damaschke ist Technical Consultant für Security und Infrastructure bei der msg services ag. Er ist ausgezeichneter Microsoft-Studentpartner und hält regelmäßig Vorträge zum Thema Security und Virtualisierung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Der Virtual Secure Mode ist mächtig
  1.  
  2. 1
  3. 2
  4. 3


whine 20. Dez 2015

Lies dir mal bitte das hier durch: http://www.forbes.com/sites/gordonkelly/2015/12/16/why...

pierrot 10. Dez 2015

Ja, habs ja jetzt verstanden ;) Windows 10 ist schneller als Windows 7. Wobei ich mit...

Argbeil 10. Dez 2015

Die Zahl der Angriffe durch klassische Viren die mit den Signaturscannern gefunden...

triri 09. Dez 2015

Schon allein die Überschrift finde ich reißerisch und den Artikel irgendwie ungelenk. Die...

triri 09. Dez 2015

Das muss Microsoft heuer eigentlich überhaupt nicht mehr. Durch diverse Förderprogramme...



Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /