Abo
  • Services:

Sicherheit: Windows 10 - das Ende von Malware?

Windows 10 sieht nicht nur anders aus als seine Vorgänger, auch im Inneren hat sich viel geändert: Besonders beim Thema Security im Consumer- und Enterprise-Segment hat Microsoft für Anwender einige Neuerungen wie eine Zwei-Faktor-Authentifizierung entwickelt.

Artikel von Jan-Henrik Damaschke veröffentlicht am
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit.
Mit eingebauter Sicherheit: Windows 10 stellt viele Funktionen zum Thema Security bereit. (Bild: Andrew Burton/Getty Images)

Microsoft hat bei Windows 10 sehr viel Arbeit in den Sicherheitsbereich gesteckt. Seit dem letzten Windows Build 10586 in Windows 10 sowie Server 2016 TP4, gibt es viele Funktionen, die von Microsoft bereits als Production Ready gekennzeichnet sind. Somit können Administratoren anfangen, die neuen Technologien zu testen, um sich auf eine Veröffentlichung von Windows Server 2016 und Windows 10 Mitte des kommenden Jahres vorzubereiten. Auch für Endanwender, die ihren Windows-10-Rechner privat nutzen, gibt es einige Neuerungen.

Passport mit Zwei-Faktor-Authentifizierung

Eine der Neuerungen im Hintergrund ist Windows Passport. Mit Windows Passport versucht Microsoft, das klassische Passwort durch eine deutlich sicherere, durch Trusted-Platform-Module (TPM) unterstützte Zwei-Faktor-Authentifizierung zu ersetzen. Dabei steht die Idee im Vordergrund, dem Benutzer das Merken von Passwörtern zu ersparen und stattdessen über das FIDO-kompatible Protokoll eine Authentifizierung mit Windows Passport vorzunehmen.

  • Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. (Bild: Jan-Henrik Damaschke)
  • Eine der mächtigsten und wichtigsten Änderungen in Windows 10 ist der Virtual Secure Mode (VSM). (Bild: Jan-Henrik Damaschke)
Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. (Bild: Jan-Henrik Damaschke)

Die zwei Faktoren bestehen aus asymmetrischen Schlüsselpaaren oder Zertifikaten (mit einer Enterprise-PKI). Dabei ist ein Teil (Zertifikat oder Schlüssel) direkt der Hardware, also dem Computer, zugeordnet. Der andere Teil ist etwas Benutzerspezifisches wie eine PIN oder ein biometrisches Merkmal (siehe Windows Hello). Das verhindert nicht nur, dass Nutzer überall das gleiche Passwort benutzen, sondern dank asymmetrischer Public-Key-Verschlüsselung und Speichern der User Secrets auf dem Endgerät auch Passwortdiebstahl durch den Hack eines Dienstes oder Servers.

Dabei benötigt Passport einen Identity Provider (IDP), der den Nutzer authentifiziert und ihm Authentifizierungs-Token für die entsprechenden Programme oder Services ausstellt. Hierbei kann sowohl Azure Active Directory, ein On-Premise Active Directory, als auch später für Privatanwender das Microsoft-Konto zum Einsatz kommen. Es ist hervorzuheben, dass eine Attacke wie Pass-the-Hash oder Pass-the-Ticket mit Passport unmöglich ist, solange ein TPM in der Client- und Server-Hardware eingesetzt wird, da es dann eine feste Verknüpfung zwischen TPM und Token gibt.

Passport mit Windows Hello

Stellenmarkt
  1. eco Verband der Internetwirtschaft e.V., Köln
  2. McService GmbH, München

Die bekannteste mit Passport benutzte Funktion dürfte Windows Hello sein. Dabei handelt es sich um die in Windows 10 erstmals mit Bordmitteln mögliche, biometrische Authentifizierung mit Fingerabdruck, Irisscan oder dreidimensionaler Gesichtserkennung. Das ist ein großer Fortschritt im Vergleich zu den vorher von Drittherstellern implementierten Lösungen. Diese waren auf bestimmte Geräte beschränkt und boten nur zweidimensionale Erkennung. Zudem konnte es wegen der Nutzung von undokumentierten Funktionen und der fehlenden Verankerung im System zu Problemen mit Updates und verschiedenen Windows-Versionen kommen.

Sobald ein Benutzer Passport mit Hello eingerichtet hat, entfällt das Eingeben von Passwörtern in allen unterstützten Websites oder Anwendungen. Windows Hello ist dabei rein optional für den Einsatz von Windows Passport. In einem Artikel haben wir Windows Hello bereits ausführlicher beschrieben.

Bitlocker und Defender

Auch bei Microsofts Festplattenverschlüsselung Bitlocker und dem integrierten Anti-Virussystem Windows Defender hat sich einiges getan. Microsoft verfolgt das Ziel, allen Windows-Nutzern zumindest einen gewissen Grundschutz mit Bordmitteln zur Verfügung zu stellen. So ist es neben dem schon länger von Microsoft geforderten TPM in jedem PC das Ziel, auf jedem Rechner Festplattenverschlüsselung und somit Schutz vor Offline-Attacken zu gewährleisten.

Bitlocker hat neben der Unterstützung für den neueren XTS-AES-Algorithmus und neuen Richtlinien unter anderem für das Beschränken von Direct Memory Access (DMA) Ports auch den Support von Azure Active Directory eingeführt. Damit kann auf Computern, die einem Azure Active Directory angehören, ebenfalls Bitlocker ausgerollt werden, und es können die zugehörigen Recovery Keys im Azure Active Directory gespeichert werden.

Windows Defender hat bei Microsoft ebenfalls eine höhere Priorität bekommen. So hat Microsoft nach eigenen Angaben das Defender-Team erheblich aufgestockt, um die mittelmäßige Erkennungsrate auf das Level der Marktführer zu heben und die automatische cloudbasierte Analyse von Malware weiter zu verbessern. Auf jeder Windows-10- und Server-2016-Installation ist Defender von Anfang an installiert und aktiviert. Bemerkt Defender, dass ein Dritthersteller-AV-Programm installiert wurde, deaktiviert es sich automatisch.

Diesen Drittherstellern bietet Microsoft eine API-ähnliche Schnittstelle namens Secure Event Channel (SEC), damit sie nicht weiterhin undokumentierte Methoden nutzen. Somit besteht nicht bei jedem Windows-Upgrade die Gefahr, dass das AV-Produkt nicht mehr funktioniert. Weiterhin erkennt Windows Defender, sobald kein anderes AV-Produkt installiert oder dessen Lizenz abgelaufen ist und aktiviert sich in diesem Falle erneut.

Der Virtual Secure Mode ist mächtig 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 149,90€ + Versand (im Preisvergleich ab 184,95€)
  2. 1.299,00€
  3. 119,90€

whine 20. Dez 2015

Lies dir mal bitte das hier durch: http://www.forbes.com/sites/gordonkelly/2015/12/16/why...

pierrot 10. Dez 2015

Ja, habs ja jetzt verstanden ;) Windows 10 ist schneller als Windows 7. Wobei ich mit...

Argbeil 10. Dez 2015

Die Zahl der Angriffe durch klassische Viren die mit den Signaturscannern gefunden...

triri 09. Dez 2015

Schon allein die Überschrift finde ich reißerisch und den Artikel irgendwie ungelenk. Die...

triri 09. Dez 2015

Das muss Microsoft heuer eigentlich überhaupt nicht mehr. Durch diverse Förderprogramme...


Folgen Sie uns
       


Fallout 76 - Fazit

Fallout 76 ist in vielerlei Hinsicht nicht wie seine Vorgänger. Warum, erklären wir im Test-Video.

Fallout 76 - Fazit Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /