Übersicht über die Surface-Sicherheit
Im Zuge der Weiterentwicklung von Cyberbedrohungen müssen auch Strategien zur Bekämpfung dieser Bedrohungen weiterentwickelt werden. Microsoft Surface verfolgt einen proaktiven, "Zero Trust"-Ansatz, um neue Bedrohungen zu bewältigen, indem erweiterte Sicherheitsfeatures standardmäßig auf allen Ebenen – von Hardware bis Clouddienste, von der Produktkonzeption bis zur Außerbetriebnahme – eingebettet werden, um sicherzustellen, dass Surface-Geräte während des gesamten Lebenszyklus äußerst sicher, anpassungsfähig und resilient bleiben.
Chip-to-Cloud-Sicherheit ist für die Surface-Strategie von zentraler Bedeutung. Wir bieten starken Plattformschutz mit leistungsstarken Windows 11 Sicherheitsfunktionen, die standardmäßig aktiviert sind. Auf dem Weg zu einer KI-fähigen Zukunft unterstützt Surface Unternehmen dabei, ihren Sicherheitsstatus in Bezug auf Hardware, Betriebssystem, Daten, Apps und Identität mit einer Grundlage für integrierten Schutz zu stärken.
Geschützte Surface-Lieferkette
Um sicherzustellen, dass Surface-Geräte "standardmäßig sicher und in der Bereitstellung" sind, wendet Microsoft strenge Sicherheitskontrollen über den gesamten Produktlebenszyklus an. Diese Steuerelemente decken sowohl physische Hardware- als auch Softwarekomponenten ab. Surface-Geräte werden strengen Sicherheitsüberprüfungen unterzogen, beginnend bei der Konzeption, entwicklung, Produktion, Lieferung und Wartung. Diese umfassenden Sicherheitsüberprüfungen unterstützen eine nahtlose Vertrauenskette während des gesamten Gerätelebenszyklus.
Auf Fertigungsebene führt Microsoft regelmäßige Lieferantenaudits durch, um potenzielle Bedrohungen wie Ransomware, Phishing und Schadsoftware zu verhindern. Darüber hinaus profitieren Surface-Geräte auch von den Sicherheitsprogrammen C-TPAT (Customs-Trade Partnership Against Terrorism) und Der Transport Asset Protection Association (TAPA), die den globalen Handel weiter schützen und eine sichere Logistik für den weltweiten Versand von Surface-Geräten unterstützen.
Für Software hat Microsoft den Secure Development Lifecycle (SDL) entwickelt und dieses Framework auf alle Produkte angewendet, um sich proaktiv an die sich ändernde Bedrohungslandschaft und gesetzliche Anforderungen anzupassen, z. B. US Executive Order 14028 ("Improving the Nation es Cybersecurity"). Darüber hinaus müssen Microsoft und seine Lieferanten Softwarekomponenten digital signieren, sichere Kanäle und Protokolle für die Kommunikation verwenden und rechtzeitig und regelmäßig Updates für Surface-Geräte bereitstellen, um potenzielle Probleme zu beheben. Schließlich arbeitet die Surface UEFI-Entwicklung mit dem Open-Source-Projekt Mu von Microsoft zusammen, um einen vollständig microsoft-eigenen UEFI-Stapel (Unified Extensible Firmware Interface) für jedes Surface-Gerät bereitzustellen, wodurch die Abhängigkeit von Nicht-Microsoft-Firmwareanbietern verringert wird und Transparenz und Schutz für die niedrigsten und sensibelsten Ebenen Ihres Geräts bereitgestellt wird.
Durch das Hardwaredesign und die Firmwareentwicklung minimiert Microsoft die Risiken der Lieferkette, sodass umgehend auf potenzielle Sicherheitsrisiken reagiert werden kann. Mit diesen proaktiven Methoden sind Surface-Geräte so konzipiert, dass sie die höchsten Standards für digitale und physische Lieferkettensicherheit erfüllen. Dieser einheitliche, interne Ansatz erhöht die Sicherheit von Surface-Geräten, bevor sie das Werk verlassen.
Von Microsoft entworfene & erstellte Komponenten
Microsoft entwickelt und wartet Surface-Geräte, um Kunden umfassende Kontrolle, proaktiven Schutz und Sicherheit in jeder Arbeitsumgebung zu bieten. Surface-Geräte sind mit den führenden Sicherheitsfeatures von Microsoft ausgestattet, um Sie vor komplexen Angriffen zu schützen und die Geräteverwaltung zu vereinfachen.
Integrierte Surface-Sicherheit
Von dem Moment an, in dem Sie den Netzschalter drücken, bis zum Herunterfahren Ihres Geräts bietet Surface in jeder Phase des Lebenszyklus erstklassige, integrierte Sicherheit.
Jedes Surface-Gerät, auf dem Windows 11 standardmäßig ausgeführt wird, verwendet ein Trusted Platform Module (TPM) 2.0, das die Plattformintegrität sicherstellt, indem manipulations- und verwaltete kryptografische Schlüssel für verschiedene sichere Vorgänge verhindert werden. Das TPM unterstützt das Hardwarevertrauensverzeichnis, ein dediziertes Modul, das beim Erstellen einer hardwarebasierten Sicherheitsgrenze hilft, um sicherzustellen, dass das Gerät in einem vertrauenswürdigen Zustand gestartet wird. Zusammen fungieren TPM und Vertrauensstellungsstamm als sicherer Anker für integrierte Verschlüsselung und sichere Vorgänge und schaffen so die Sicherheitsgrundlage für BitLocker, virtualisierungsbasierte Sicherheit (VBS),Memory Integrity/HVCI, Enhanced Sign-In Security (ESS) für Windows Hello for Business und andere sichere Vorgänge.
Durch die Virtualisierungs- und Integritätsprüfungen, die von VBS bzw. HVCI bereitgestellt werden, wird der Kernel des Geräts getrennt vom Betriebssystem für einen geschützten Kernel gehostet, was bedeutet, dass der Kernel weiterhin geschützt ist, selbst wenn das Betriebssystem kompromittiert ist. Plus Kernel DMA Protection trägt dazu bei, den Gerätespeicher vor DMA-Drive-by-Angriffen (Direct Memory Access) zu schützen, indem der Kernel vor externen Peripheriegeräten geschützt wird, die nicht autorisierten Zugriff auf den Arbeitsspeicher erhalten.
Um die Integrität des Gerätestarts beim Einschalten zu unterstützen, verwendet der sichere Start den Vertrauensstamm des Geräts, um zu verhindern, dass nicht autorisierte Firmware zum Startzeitpunkt ausgeführt wird. Durch von Microsoft erstellte uEFI und TPM 2.0 wird sichergestellt, dass vor dem Laden des Betriebssystems nur autorisierte Firmware ausgeführt wird. Diese Firmware muss von Microsoft, seinen unabhängigen Hardwareanbietern (Independent Hardware Vendors, IHVs) oder genehmigten Open-Source-Repositorys stammen und während der Übertragung und Bereitstellung auf dem Gerät unverändert bleiben. Dieser Prozess schützt die Integrität der Firmware in jeder Phase der Startsequenz – vom Drücken des Netzschalters bis zum Starten des Betriebssystems. Im Rahmen Systemüberwachung Sicheren Start schützen Surface-Geräte auch den Start mithilfe von DRTM (Dynamic Root of Trust Measurement) oder Firmware Attack Surface Reduction (FASR)1, die beide einen hardwarebasierten Vertrauensstamm einrichten, der die Integrität des Startprozesses sicherstellen und sich vor Angriffen auf Firmwareebene schützen soll.
Viele dieser sofort einsatzbereiten Sicherheitsfeatures bilden die Grundlage von Secured-Core-PC (SCPC), das Hardware, Firmware und Virtualisierung integriert, um Geräte vor verschiedenen Bedrohungen zu schützen, einschließlich Schadsoftware, probleme mit physischem Besitz (wie Verlust oder Diebstahl) und Zugriffsangriffen. SCPC trägt zum Schutz von Daten bei, auch wenn ein Gerät kompromittiert ist.
Seit Ende 2021 ist jedes Surface-Gerät, auf dem Windows 11 ausgeführt wird, ein Secured-Core PC, bei dem standardmäßig die höchste Schutzstufe aktiviert ist. Die folgenden Sicherheitsfeatures sind eine Teilmenge dieser Features, die standardmäßig für alle SCPC Surface-Geräte aktiviert sind:
| Feature | Beschreibung | Weitere Informationen |
|---|---|---|
| Trusted Platform Module (TPM) 2.0 | Ein sicherer Kryptoprozessor, um die Plattformintegrität sicherzustellen, indem Sicherheitsmechanismen bereitgestellt werden, um Manipulationen zu verhindern und kryptografische Schlüssel für Funktionen wie entsperren des Systemlaufwerks, Datenträgerverschlüsselung, Messen des Startprozesses und biometrische Authentifizierung zu generieren und zu verwalten. | Trusted Platform Module – Technologieübersicht |
| Hardwarestamm der Vertrauensstellung | Hilft bei der Einrichtung eines vertrauenswürdigen Startzustands, indem das TPM und die Vertrauenswürdigkeitsmessungsfunktionen des Geräts angewendet werden, um Firmwarerisiken zu minimieren. Es erstellt eine hardwarebasierte Sicherheitsgrenze, die den Systemspeicher vom Betriebssystem isoliert, um kritische Dienste und vertrauliche Daten vor Sicherheitsrisiken des Betriebssystems zu schützen und die Systemintegrität durch Nachweise zu unterstützen. | Hardwarestamm der Vertrauenswürdigkeit |
| BitLocker | Stellt Verschlüsselung bereit, um Bedrohungen durch Datendiebstahl oder Datenexposition durch verloren gegangene, gestohlene oder unzureichend außer Betrieb gesetzte Geräte zu beseitigen. Wenn diese Option aktiviert ist, stellt BitLocker sicher, dass auf Daten auch dann nicht zugegriffen werden kann, wenn das Gerät in nicht autorisierte Hände fällt. | BitLocker-Übersicht |
| Virtualisierungsbasierte Sicherheit (VBS) | Verwendet Hardwarevirtualisierung, um eine sichere Speicherregion vom regulären Betriebssystem zu erstellen und zu isolieren. Windows kann diesen "virtuellen sicheren Modus" verwenden, um eine Reihe von Sicherheitslösungen zu hosten, um sichere Vorgänge vor potenziellen Sicherheitsrisiken oder Exploits im Betriebssystem zu schützen. | Virtualisierungsbasierte Sicherheit (VBS) |
|
Speicherintegrität Auch bekannt als Hypervisor-erzwungene Codeintegrität (HVCI) |
Trägt zur Aufrechterhaltung der Codeintegrität im Kernel bei, einem Bereich mit hohen Berechtigungen des Betriebssystems. Es überprüft alle Kernelmodustreiber und Binärdateien vor der Ausführung und verhindert, dass nicht signierte Treiber oder Systemdateien in den Arbeitsspeicher geladen werden. In einer isolierten Umgebung wird die Kernelcodeintegrität in Übereinstimmung mit der Kernelsignierrichtlinie überprüft. | Aktivieren des virtualisierungsbasierten Schutzes der Codeintegrität |
| Erweiterte Sign-In-Sicherheit (ESS) | Verwendet VBS und TPM 2.0 für die isolierte und sichere Kommunikation biometrischer Daten für die Authentifizierung, um Windows Hello mit biometrischer kennwortloser Anmeldung zu ermöglichen. | Erweiterte Anmeldesicherheit durch Windows Hello |
| Windows Hello for Business | Ermöglicht die kennwortlose Anmeldung mithilfe der zweistufigen Authentifizierung basierend auf secure biometrics (ESS) oder PIN und gerätespezifischen Anmeldeinformationen, die an Ihre Unternehmensidentität gebunden sind. Diese Authentifizierungsmethode bietet erhöhte Sicherheit und Komfort für Benutzer. | Funktionsweise von Windows Hello for Business |
| Geschützter Kernel | Arbeitet in einer virtualisierten Umgebung, um vor dem Windows-Betriebssystem zu schützen, indem sichergestellt wird, dass alle Überprüfungen der Codeintegritätsrichtlinie erfolgreich sind. Verwendet VBS und HVCI für eine isolierte Umgebung zum Schutz des Kernels vor potenziellen Sicherheitsrisiken des Betriebssystems. | Geschützter Kernel |
| Kernel-DMA-Schutz | Schützt vor nicht autorisiertem Zugriff auf den Arbeitsspeicher durch externe Peripheriegeräte. Schützt vor Drive-by-DMA-Angriffen. | Kernel-DMA-Schutz |
| Von Microsoft erstellte UEFI | Firmware, die das Gerät konfiguriert und das gemeinsam von Microsoft und Surface entwickelte Betriebssystem startet. Stellt Firmwarelaufzeitdienste bereit und verbessert mit Microsoft Intune die Steuerung der Hardware über cloudbasierte oder lokale Verwaltung erheblich. |
Surface UEFI: Weiterentwicklung bei Start, Sicherheit & Geräteverwaltung zum Aufbau eines branchenführenden sicheren PCs Verwalten von Surface UEFI-Einstellungen |
| Sicherer Start | Stellt sicher, dass ein Gerät nur vertrauenswürdige Software startet, indem die Signatur der einzelnen Startsoftware-Elemente überprüft wird, bevor es zur nächsten Startphase übergeht. Bei diesem Prozess werden durch die Signatur erzwungene Übergaben zwischen UEFI- und Bootloader-, Kernel- und Anwendungsumgebungen eingerichtet, um Schadsoftwareangriffe oder andere potenzielle Bedrohungen in der Startsequenz zu blockieren. | Sicherer Start |
| Dynamic Root of Trust Measurement (DRTM) | Startet das Gerät von nicht vertrauenswürdig in den vertrauenswürdigen Zustand, indem CPUs zur Unterstützung der Systemintegrität einen bekannten und gemessenen Codepfad für einen dynamisch eingerichteten Hardwarevertrauensstamm heruntergefahren werden. | Erzwingen, dass Firmwarecode durch secure launch on Windows 10 gemessen und bestätigt wird |
| Verringerung der Firmwareangriffsfläche (FASR) | Richtet einen zertifizierten Startpfad ein, der die Gefährdung der Firmware gegenüber potenziellen Angriffen minimiert, indem ausführbarer Code in der Firmwareumgebung eingeschränkt wird. | Verringerung der Firmwareangriffsfläche (FASR) |
Kommerzieller Sicherheitsvorteil von Surface
Remoteverwaltung
IT-Administratoren können Surface-Geräte remote verwalten. Microsoft Intune Admin Center mit Intune und Windows Autopilot ermöglicht die vollständige Remoteverwaltung von Surface-Geräten aus der Azure-Cloud und stellt benutzern beim Start vollständig konfigurierte Geräte bereit. Funktionen zum Zurücksetzen und Außerkraftsetzen ermöglichen es der IT, ein Gerät schnell für einen neuen Remotebenutzer zu verwenden oder ein gestohlenes Gerät zu löschen. Diese Funktionen ermöglichen schnelle und sichere Reaktionen, sodass alle Unternehmensdaten entfernt und ein Surface als völlig neues Gerät neu konfiguriert werden kann.
Im Rahmen von Microsoft Intune ermöglicht die Device Firmware Configuration Interface (DFCI) die cloudbasierte Verwaltung von Firmwareeinstellungen, einschließlich der Remotedeaktivierung von Hardware und sperren von UEFI-Einstellungen. Eine ähnliche Alternative ist surface Enterprise Management Mode (SEMM) eine weitere Verwaltungslösung zum Schützen und Verwalten von Firmwareeinstellungen innerhalb eines organization.
Reaktionsfähige Sicherheit
In einem sich schnell entwickelnden digitalen Zeitalter ist die Fähigkeit, schnell und proaktiv zu reagieren, von entscheidender Bedeutung. Microsoft Defender for Endpoint bietet KI-gesteuerten Echtzeitschutz vor erweiterten Bedrohungen und trägt zum Schutz vertraulicher Daten und Kommunikation bei. Organisationen profitieren von der Leistungsfähigkeit von Windows Update for Business, indem sie einen von Microsoft verwalteten Stapel von Firmware- und Betriebssystemanwendungen verwenden. Dieser Dienst hält Systeme mit den neuesten Sicherheitsschutzen auf dem neuesten Stand und ermöglicht die IT-Verwaltung bereits in Betrieb genommener Geräte.
| Feature | Beschreibung | Weitere Informationen |
|---|---|---|
| Microsoft Intune | Eine cloudbasierte Endpunktverwaltungslösung, die Organisationen beim Verwalten des Benutzerzugriffs, von Apps und Geräten unterstützt und so einen sicheren Zugriff auf Unternehmensressourcen sicherstellt. Es unterstützt das Zero Trust Sicherheitsmodells, indem Gerätekonformität, Integration in Verteidigungsdienste und Schutz von Identitäts- und App-Daten erzwungen wird. | Microsoft Intune verwaltet Identitäten sicher, verwaltet Apps und Geräte. |
| Windows Autopilot | Ermöglicht die cloudbasierte Einrichtung und Vorkonfiguration neuer Geräte, um sie für die produktive Nutzung vorzubereiten und die Belastung für IT-Administratoren zu minimieren. Es kann auch verwendet werden, um Geräte zurückzusetzen, zu verwenden oder wiederherzustellen, um den Lebenszyklus von Windows-Geräten zu vereinfachen. | Übersicht über Windows Autopilot |
| Device Firmware Configuration Interface (DFCI) | Ermöglicht die Remoteverwaltung von UEFI-Einstellungen auf Geräten, die bei Windows Autopilot registriert und über Microsoft Intune verwaltet werden. Es ermöglicht die Remotesteuerung von Firmwareeinstellungen, das Deaktivieren von Hardwarekomponenten und das Erzwingen autorisierter Konfigurationen, um die Gerätesicherheit zu erhöhen. | Verwalten von DFCI auf Surface-Geräten |
| Surface Enterprise Management Mode (SEMM) | Ermöglicht die zentralisierte Unternehmensverwaltung von UEFI-Firmwareeinstellungen in lokalen, Hybrid- und Cloudumgebungen. Ermöglicht IT-Administratoren, UEFI-Konfigurationseinstellungen vorzubereiten und auf Surface-Geräten zu installieren. | Erste Schritte mit dem Surface Enterprise-Verwaltungsmodus |
| Microsoft Defender for Endpoint | Sicherheitsplattform auf Unternehmensniveau, die komplexe Bedrohungen erkennt, verhindert und darauf reagiert. Bietet robuste KI-gesteuerte Endpunktsicherheit für verwaltete Surface-Geräte. | Microsoft Defender for Endpoint |
| Windows Update for Business | Ermöglicht ES IT-Administratoren, die Windows-Clientgeräte ihrer organization immer auf dem neuesten Stand mit den neuesten Sicherheitsupdates und Windows-Features zu halten, indem sie diese Systeme direkt mit dem Windows Update-Dienst verbinden. | Was ist Windows Update for Business? |
Skalierungssicherheit
Während sich die Bedrohungslandschaft weiterentwickelt, beginnt Surface mit der Einführung weiterer Sicherheitsfeatures auf ausgewählten Geräten. Diese Features müssen noch in das gesamte Portfolio der Surface-Produkte integriert werden, werden aber in den nächsten Jahren auf verschiedene Produktlinien skaliert. Hier sind einige Sicherheitsfeatures aufgeführt, die produktspezifisch sind:
| Feature | Beschreibung | Weitere Informationen |
|---|---|---|
| Speichersicherheitserweiterung | Die Programmiersprache Rust stellt bestimmte Speichersicherheitsgarantien sicher, die im Vergleich zu herkömmlichem C-Code bis zu 70 % der Sicherheitsrisiken reduzieren können. Zielkomponenten innerhalb der Surface-Software und -Firmware werden in Rust übersetzt, beginnend mit Teilen der UEFI- und Mikrocontroller-Unit-Stapel (MCU) sowie der Erstellung eines Treiberframeworks für die Entwicklung von Rust-Treibern. |
Rust-Unterstützung für die UEFI-Entwicklung über Project Mu Open-Source-Entwicklungsplattform für Rust-Treiber |
| Microsoft Pluton-Sicherheitsprozessor | Microsoft Pluton Security Processor ist ein sicherer Kryptoprozessor, der in die CPU für die Sicherheit im Gerätekern integriert ist. | Microsoft Pluton-Sicherheitsprozessor |
| Microsoft Pluton TPM | Microsoft Pluton unterstützt TPM 2.0 für einen Silizium-Vertrauensstamm zum Schutz vertraulicher Informationen und Verschlüsselungsschlüssel. Es unterstützt auch die Erfassung von Sicherheitsverbesserungen über Windows Updates. | Microsoft Pluton als vertrauenswürdiges Plattformmodul |
| Copilot+ PC | PCs mit integrierten neuronalen Verarbeitungseinheiten (Neural Processing Units, NPU), die Ki-Erfahrungen und -Vorgänge innerhalb des Geräts beschleunigen. | Weitere Informationen zu Copilot+-PCs und Windows 11 PCs von Surface |
Während diese Sicherheitsfeatures skaliert werden, werden sie von mehr Surface-Geräten standardmäßig in ihre Produkte integriert. Für instance enthalten Copilot+-PCs, neue Windows-PCs mit integrierten neuronalen Verarbeitungseinheiten (Neural Processing Units, NPU), die ki-Erfahrungen und -Vorgänge innerhalb des Geräts beschleunigen, zusätzlich zu den auf dieser Seite beschriebenen vollständigen Surface-Sicherheitsfeatures den standardmäßig aktivierten Microsoft Pluton-Prozessor.
Verweise
Das FASR-Feature ist exklusiv für Von Intel entworfene Surface-Produkte verfügbar. FASR gilt nicht für Surface-Produkte, die mit Qualcomm (QC) oder AMD-Prozessoren entwickelt wurden.