Windows 11

Eine neue Generation von Sicherheit

Seit dem 4. Oktober 2021 ist Windows 11 allgemein verfügbar. Mit Windows 11 wendet sich Microsoft von der „Windows-as-a-Service“-Strategie teilweise ab und bringt wieder eine eigenständige neue Version des Betriebssystems auf den Markt. Windows 11 wird dabei, wie schon bei Windows 10, als ein kostenloses Upgrade angeboten.

Gerade einige Systemvoraussetzungen sorgten bei der Vorstellung von Windows 11 für Turbulenzen in den Medien, darunter die Notwendigkeit zur Unterstützung von Secure Boot sowie das Vorhandensein eines TPM 2.0-Chips für den offiziell „Supported“ Einsatz von Windows 11.

Obwohl der technische Unterbau viel mit Windows 10 gemeinsam gibt es sich jedoch einige wichtige Unterschiede, vor allem im UI und Security-Bereich.

Zum einen wird die Optik deutlich mehr an macOS angepasst, die Oberfläche und die komplette Designsprache ist jetzt nach Microsoft hauseigener Fluent UI ausgerichtet.

Einige der interessanten Funktionen passieren jedoch unter der Haube im Security-Bereich. Bereits durch die Voraussetzung von Secure Boot und TPM 2.0 zeigt sich, dass bei Windows 11 Sicherheit einen deutlich höheren Stellenwert einnimmt als bei Windows 10, wo TPM und Secure Boot bis heute optional ist.

Wie man am von Microsoft veröffentlichtem Windows 11 Security Book erkennt, ist die Aufteilung der einzelnen Sicherheitsfeatures für Windows 11 deutlich klarer und strukturierter. Einige der wichtigsten Security-Features wollen wir hier kurz beleuchten:

Virtualization-based Security

Virtualization-based Security (VBS) verwendet die Hyper-V Technologie, um einen virtuellen abgesicherten Bereich zu erstellen, der wichtige System- und Betriebssystemressourcen schützt, oder um Sicherheitsressourcen wie Benutzeranmeldeinformationen zu schützen. Mit dem erhöhten Schutz, den VBS bietet, kann selbst dann, wenn Malware Zugriff auf den Betriebssystemkern erhält, die möglichen Exploits stark eingeschränkt und eingedämmt werden, da der Hypervisor die Malware daran hindern kann, Code auszuführen oder auf Windows-Secrets zuzugreifen.

Network Security

Windows 11 unterstützt alle neueren Netzwerk-Sicherheits-Protokolle, die in den letzten Jahren verabschiedet wurden, darunter TLS 1.3, WPA3, DNS over HTTPS (DoH) sowie 256-bit SMB Verschlüsselung und SMB over QUIC, ein neues Protokoll was quasi eine VPN über SMB herstellt und damit sicheren Dateiaustausch auch von public-facing SMB-Server erlaubt und die Probleme von Port 445 abschafft.

Weiterhin verstärkt Windows 11 auch bereits bestehende Security-Maßnahmen wie BitLocker, SMB Signingsowie VPN.

Der Microsoft Defender (früher Windows Defender) hat in den letzten Jahren eine rasante Entwicklung hingelegt und gehört heute zu einer der besten Antivirenlösungen überhaupt. Mehrere Antiviren-Testunternehmen genehmigen dem MS Defender, auch in der kostenlosen Variante, in vielen Fällen absolute Bestnoten (Test Antivirus-Programme – Windows 10 | AV-TEST). Im Gegensatz zu allen anderen Antivirenprogramme ist der Defender bereits in Windows 11 eingebaut, benötigt also keinerlei Installation oder Deployment (Built-In vs. Bolted-On).

Für den Unternehmenseinsatz hat Microsoft den Microsoft Defender for Endpoint (früher Windows Defender ATP) entwickelt, um alle Rechner innerhalb eines Unternehmens zu administrieren und zu schützen. Über eine zentrale Oberfläche, integriert mit weiteren Microsoft Security-Produkten, darunter dem Defender for Office 365 und dem Microsoft 365 Defender lässt sich der Microsoft Defender konfigurieren. Der Microsoft Defender steht dabei nicht nur für Windows-Geräte zur Verfügung, sondern mittlerweile auch für andere Betriebssysteme wie macOS, Linux, iOS und Android. Eine spezielle Version für die hauseigenen Windows Server wird ebenfalls entwickelt und angeboten, speziell abgestimmt auf die Bedürfnisse von Serversystemen. Somit bietet der MS Defender for Endpoint eine zentrale Endpoint-Security-Lösung über alle Geräte hinweg.

Der Defender bietet darüber hinaus weit mehr als simplen Antivirenschutz, darunter Ransomware-Protection, Attack Surface Reduction (ASR), Exploit Protection, Tamper Protection sowie Endpoint Detention and Response (EDR) zur Erkennung fortgeschrittener Attacken wie z.B. File-Less Attacks wie PowerShell-Skript-Injection.

Eine weitere Absicherung für Unternehmens-PCs bietet Microsoft mit Windows Defender Application Control (WDAC) an. Windows-Admins dürfte diese Technologie auch unter dem Namen Device Guard oder configurable code integrity (CCI) bekannt sein.

Im Gegensatz zur etwas älteren Technologie App Locker bietet WDAC ein etwas anderes Toolset speziell für Windows 10/11 Geräte am. Wie bei AppLocker kann hier verhindert werden, dass bestimmte Applikationen gestartet oder installiert werden können, wenn Sie nicht einem festgelegten Regelwerk entsprechen.

Bei Treibern beispielsweise kann verlangt werden, dass Sie WHQL-signiert oder ein Extended Verification (EV) Zertifikat besitzen müssen. Auch eine Reputations-basierte Ausführung auf Basis von Microsoft’s Intelligent Security Graph (ISG) ist möglich.

Eine weitere Neuerung im Bereich Application Security bietet Microsoft mit Application Guard an. Über Virtualisierungstechnologien wird für bestimmte unterstützt Applikationen, darunter Microsoft Office, Microsoft Edge und andere Browser wie Google Chrome und Firefox ein eigener virtueller Container erstellt, in dem die Applikation ausgeführt werden.

Dies bietet für unbekannte Quellen, wie z.B. Office-Dateien mit unbekanntem Autor oder nicht-kategorisierten Websites einen deutlich erhöhten Schutz vor Remote-Code-Execution oder Office-Makros.

Diese virtuelle Instanz wird für den Endbenutzer komplett transparent dargestellt und bietet quasi die Sicherheit einer eigenen VM im Kontext des Benutzers.

Zusätzliche Sicherheitseinstellung sind für Admins verfügbar, wie z.B. das Speichern von Dateien, Kopieren-Einfügen oder Drucken aus diesen abgeschirmten Instanzen von Edge oder Office.

Für höchste Sicherheitsansprüche baut Microsoft, in Zusammenarbeit mit bekannten PC-Hersteller wie HP, Dell oder Lenovo besonders sichere PCs, die mit besonderer Hardware, Firmware und Software ausgeliefert werden. Diese PCs werden als Secured-Core PCs bezeichnet.