Sicherheit: Windows 10 - das Ende von Malware?

Microsoft hat bei Windows 10 sehr viel Arbeit in den Sicherheitsbereich gesteckt. Seit dem letzten Windows Build 10586 in Windows 10 sowie Server 2016 TP4, gibt es viele Funktionen, die von Microsoft bereits als Production Ready gekennzeichnet sind. Somit können Administratoren anfangen, die neuen Technologien zu testen, um sich auf eine Veröffentlichung von Windows Server 2016 und Windows 10 Mitte des kommenden Jahres vorzubereiten. Auch für Endanwender, die ihren Windows-10-Rechner privat nutzen, gibt es einige Neuerungen.

Passport mit Zwei-Faktor-Authentifizierung

Eine der Neuerungen im Hintergrund ist Windows Passport. Mit Windows Passport versucht Microsoft, das klassische Passwort durch eine deutlich sicherere, durch Trusted-Platform-Module (TPM) unterstützte Zwei-Faktor-Authentifizierung zu ersetzen. Dabei steht die Idee im Vordergrund, dem Benutzer das Merken von Passwörtern zu ersparen und stattdessen über das FIDO-kompatible Protokoll eine Authentifizierung mit Windows Passport vorzunehmen.

• 

Mit Credential Guard werden sämtliche aktuell bekannten Angriffe auf gespeicherte Token und Hashes effektiv verhindert. (Bild: Jan-Henrik Damaschke)

Die zwei Faktoren bestehen aus asymmetrischen Schlüsselpaaren oder Zertifikaten (mit einer Enterprise-PKI). Dabei ist ein Teil (Zertifikat oder Schlüssel) direkt der Hardware, also dem Computer, zugeordnet. Der andere Teil ist etwas Benutzerspezifisches wie eine PIN oder ein biometrisches Merkmal (siehe Windows Hello). Das verhindert nicht nur, dass Nutzer überall das gleiche Passwort benutzen, sondern dank asymmetrischer Public-Key-Verschlüsselung und Speichern der User Secrets auf dem Endgerät auch Passwortdiebstahl durch den Hack eines Dienstes oder Servers.

Dabei benötigt Passport einen Identity Provider (IDP), der den Nutzer authentifiziert und ihm Authentifizierungs-Token für die entsprechenden Programme oder Services ausstellt. Hierbei kann sowohl Azure Active Directory, ein On-Premise Active Directory, als auch später für Privatanwender das Microsoft-Konto zum Einsatz kommen. Es ist hervorzuheben, dass eine Attacke wie Pass-the-Hash oder Pass-the-Ticket mit Passport unmöglich ist, solange ein TPM in der Client- und Server-Hardware eingesetzt wird, da es dann eine feste Verknüpfung zwischen TPM und Token gibt.

Passport mit Windows Hello

Die bekannteste mit Passport benutzte Funktion dürfte Windows Hello sein. Dabei handelt es sich um die in Windows 10 erstmals mit Bordmitteln mögliche, biometrische Authentifizierung mit Fingerabdruck, Irisscan oder dreidimensionaler Gesichtserkennung. Das ist ein großer Fortschritt im Vergleich zu den vorher von Drittherstellern implementierten Lösungen. Diese waren auf bestimmte Geräte beschränkt und boten nur zweidimensionale Erkennung. Zudem konnte es wegen der Nutzung von undokumentierten Funktionen und der fehlenden Verankerung im System zu Problemen mit Updates und verschiedenen Windows-Versionen kommen.

Sobald ein Benutzer Passport mit Hello eingerichtet hat, entfällt das Eingeben von Passwörtern in allen unterstützten Websites oder Anwendungen. Windows Hello ist dabei rein optional für den Einsatz von Windows Passport. In einem Artikel haben wir Windows Hello bereits ausführlicher beschrieben.

Bitlocker und Defender

Auch bei Microsofts Festplattenverschlüsselung Bitlocker und dem integrierten Anti-Virussystem Windows Defender hat sich einiges getan. Microsoft verfolgt das Ziel, allen Windows-Nutzern zumindest einen gewissen Grundschutz mit Bordmitteln zur Verfügung zu stellen. So ist es neben dem schon länger von Microsoft geforderten TPM in jedem PC das Ziel, auf jedem Rechner Festplattenverschlüsselung und somit Schutz vor Offline-Attacken zu gewährleisten.

Bitlocker hat neben der Unterstützung für den neueren XTS-AES-Algorithmus und neuen Richtlinien unter anderem für das Beschränken von Direct Memory Access (DMA) Ports auch den Support von Azure Active Directory eingeführt. Damit kann auf Computern, die einem Azure Active Directory angehören, ebenfalls Bitlocker ausgerollt werden, und es können die zugehörigen Recovery Keys im Azure Active Directory gespeichert werden.

Windows Defender hat bei Microsoft ebenfalls eine höhere Priorität bekommen. So hat Microsoft nach eigenen Angaben das Defender-Team erheblich aufgestockt, um die mittelmäßige Erkennungsrate auf das Level der Marktführer zu heben und die automatische cloudbasierte Analyse von Malware weiter zu verbessern. Auf jeder Windows-10- und Server-2016-Installation ist Defender von Anfang an installiert und aktiviert. Bemerkt Defender, dass ein Dritthersteller-AV-Programm installiert wurde, deaktiviert es sich automatisch.

Diesen Drittherstellern bietet Microsoft eine API-ähnliche Schnittstelle namens Secure Event Channel (SEC), damit sie nicht weiterhin undokumentierte Methoden nutzen. Somit besteht nicht bei jedem Windows-Upgrade die Gefahr, dass das AV-Produkt nicht mehr funktioniert. Weiterhin erkennt Windows Defender, sobald kein anderes AV-Produkt installiert oder dessen Lizenz abgelaufen ist und aktiviert sich in diesem Falle erneut.