Netzwerksicherheit
Windows 11 hebt die Bar für die Netzwerksicherheit und bietet umfassenden Schutz, damit Menschen von praktisch überall aus mit Vertrauen arbeiten können. Um die Angriffsfläche eines organization zu verringern, verhindert der Netzwerkschutz in Windows, dass Personen auf gefährliche IP-Adressen und Domänen zugreifen, die Phishing-Betrugsversuche, Exploits und andere schädliche Inhalte hosten können. Mit reputationsbasierten Diensten blockiert der Netzwerkschutz den Zugriff auf potenziell schädliche Domänen und IP-Adressen mit geringem Ruf.
Neue DNS- und TLS-Protokollversionen stärken den End-to-End-Schutz, der für Anwendungen, Webdienste und Zero Trust Netzwerke erforderlich ist. Der Dateizugriff fügt ein nicht vertrauenswürdiges Netzwerkszenario mit Server Message Block über QUIC und neuen Verschlüsselungs- und Signaturfunktionen hinzu. Wi-Fi- und Bluetooth-Fortschritte bieten auch mehr Vertrauen in Verbindungen mit anderen Geräten. Darüber hinaus bieten VPN- und Windows-Firewallplattformen neue Möglichkeiten zum einfachen Konfigurieren und Debuggen von Software.
In Unternehmensumgebungen funktioniert der Netzwerkschutz am besten mit Microsoft Defender for Endpoint, die detaillierte Berichte zu Schutzereignissen im Rahmen größerer Untersuchungsszenarien bereitstellt.
Weitere Informationen
Transport Layer Security (TLS)
Transport Layer Security (TLS) ist ein beliebtes Sicherheitsprotokoll, das Daten während der Übertragung verschlüsselt, um einen sichereren Kommunikationskanal zwischen zwei Endpunkten bereitzustellen. Windows aktiviert standardmäßig die neuesten Protokollversionen und starken Verschlüsselungssammlungen und bietet eine vollständige Suite von Erweiterungen, z. B. die Clientauthentifizierung für verbesserte Serversicherheit oder die Wiederaufnahme von Sitzungen für eine verbesserte Anwendungsleistung. TLS 1.3 ist die neueste Version des Protokolls und ist in Windows standardmäßig aktiviert. Diese Version trägt dazu bei, veraltete Kryptografiealgorithmen zu beseitigen, die Sicherheit gegenüber älteren Versionen zu erhöhen und einen möglichst großen Teil des TLS-Handshakes zu verschlüsseln. Der Handshake ist durchschnittlich leistungsfähiger mit einem Roundtrip weniger pro Verbindung und unterstützt nur starke Verschlüsselungssammlungen, die perfekte Vorwärtsgeheimnis und weniger Betriebsrisiken bieten. Die Verwendung von TLS 1.3 bietet mehr Datenschutz und geringere Latenzen für verschlüsselte Onlineverbindungen. Wenn die Client- oder Serveranwendung auf beiden Seiten der Verbindung TLS 1.3 nicht unterstützt, greift die Verbindung auf TLS 1.2 zurück. Windows verwendet die neueste Datagram Transport Layer Security (DTLS) 1.2 für die UDP-Kommunikation.
Weitere Informationen
DNS-Sicherheit (Domain Name System)
In Windows 11 unterstützt der Windows-DNS-Client DNS über HTTPS und DNS über TLS, zwei verschlüsselte DNS-Protokolle. Diese ermöglichen es Administratoren, sicherzustellen, dass ihre Geräte ihre Namensabfragen vor Pfad-Angreifern schützen, unabhängig davon, ob es sich um passive Beobachter handelt, die das Browserverhalten protokollieren, oder aktive Angreifer, die Versuchen, Clients an schädliche Websites umzuleiten. In einem Zero Trust Modell, bei dem keine Vertrauensstellung in einer Netzwerkgrenze platziert wird, ist eine sichere Verbindung mit einem vertrauenswürdigen Namenslöser erforderlich.
Windows 11 bietet Gruppenrichtlinien und programmgesteuerte Steuerelemente zum Konfigurieren des DNS-über-HTTPS-Verhaltens. Daher können IT-Administratoren die vorhandene Sicherheit erweitern, um neue Modelle wie Zero Trust zu übernehmen. IT-Administratoren können DNS über HTTPS-Protokoll festlegen, um sicherzustellen, dass Geräte, die unsicheres DNS verwenden, keine Verbindung mit Netzwerkressourcen herstellen können. IT-Administratoren haben auch die Möglichkeit, DNS nicht über HTTPS oder DNS über TLS für Legacybereitstellungen zu verwenden, bei denen Netzwerk-Edgegeräte vertrauenswürdig sind, um nur-Text-DNS-Datenverkehr zu überprüfen. Standardmäßig werden Windows 11 auf den lokalen Administrator zurückgesetzt, auf dem Resolver verschlüsseltes DNS verwenden sollen.
Die Unterstützung der DNS-Verschlüsselung lässt sich in vorhandene Windows DNS-Konfigurationen integrieren, z. B. die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT), die Hostdatei des Systems und die Konfliktlöser, die pro Netzwerkadapter oder Netzwerkprofil angegeben sind. Die Integration hilft Windows 11 sicherzustellen, dass die Vorteile einer höheren DNS-Sicherheit keine vorhandenen DNS-Kontrollmechanismen zurücktreten.
Bluetooth-Schutz
Die Anzahl der bluetooth-Geräte, die mit Windows 11 verbunden sind, nimmt weiter zu. Windows-Benutzer verbinden ihre Bluetooth-Headsets, Mäuse, Tastaturen und andere Zubehörteile und verbessern ihre tägliche PC-Erfahrung durch Streaming, Produktivität und Spiele. Windows unterstützt alle Standardprotokolle der Bluetooth-Kopplung, einschließlich klassischer und LE Secure-Verbindungen, sicherer einfacher Kopplung sowie klassischer und LE-Legacykopplung. Windows implementiert auch hostbasierten LE-Datenschutz. Windows-Updates helfen Benutzern, mit Betriebssystem- und Treibersicherheitsfeatures in Übereinstimmung mit der Bluetooth Special Interest Group (SIG) und Standard Sicherheitsrisikoberichten auf dem Laufenden zu bleiben, sowie Probleme, die über die von den Bluetooth Core-Industriestandards erforderlichen hinausgehen. Microsoft empfiehlt dringend, die Firmware und Software von Bluetooth-Zubehör auf dem neuesten Stand zu halten.
IT-verwaltete Umgebungen verfügen über eine Reihe von Richtlinieneinstellungen, die über Konfigurationsdienstanbieter, Gruppenrichtlinien und PowerShell verfügbar sind. Diese Einstellungen können über Geräteverwaltungslösungen wie Microsoft Intune[4] verwaltet werden. Sie können Windows für die Verwendung von Bluetooth-Technologie konfigurieren und gleichzeitig die Sicherheitsanforderungen Ihrer organization unterstützen. Beispielsweise können Sie Eingaben und Audiodaten zulassen, während Sie die Dateiübertragung blockieren, Verschlüsselungsstandards erzwingen, die Auffindbarkeit von Windows einschränken oder Bluetooth für die sensibelsten Umgebungen vollständig deaktivieren.
Weitere Informationen
Wi-Fi-Verbindungen
Windows Wi-Fi unterstützt branchenübische Authentifizierungs- und Verschlüsselungsmethoden beim Herstellen einer Verbindung mit Wi-Fi Netzwerken. WPA (Wi-Fi Protected Access) ist ein Sicherheitsstandard, der von der Wi-Fi Alliance (WFA) definiert wurde, um eine ausgefeilte Datenverschlüsselung und eine bessere Benutzerauthentifizierung zu ermöglichen.
Der aktuelle Sicherheitsstandard für Wi-Fi-Authentifizierung ist WPA3, das im Vergleich zu WPA2 und älteren Sicherheitsprotokollen eine sicherere und zuverlässigere Verbindungsmethode bietet. Windows unterstützt drei WPA3-Modi: WPA3 Personal, WPA3 Enterprise und WPA3 Enterprise 192-Bit Suite B.
Windows 11 umfasst WPA3 Personal mit dem neuen H2E-Protokoll und WPA3 Enterprise 192-Bit Suite B. Windows 11 unterstützt auch WPA3 Enterprise, das erweiterte Serverzertifikatüberprüfung und TLS 1.3 für die Authentifizierung mithilfe der EAP-TLS-Authentifizierung umfasst.
Opportunistic Wireless Encryption (OWE), eine Technologie, die es drahtlosen Geräten ermöglicht, verschlüsselte Verbindungen mit öffentlichen Wi-Fi Hotspots herzustellen, ist ebenfalls enthalten.
5G und eSIM
5G-Netzwerke verwenden im Vergleich zu früheren Generationen von Mobilfunkprotokollen eine stärkere Verschlüsselung und eine bessere Netzwerksegmentierung. Im Gegensatz zu WLAN wird der 5G-Zugriff immer gegenseitig authentifiziert. Zugriffsanmeldeinformationen werden in einer EAL4-zertifizierten eSIM gespeichert, die physisch in das Gerät eingebettet ist, wodurch angreifern die Manipulation erheblich erschwert wird. Zusammen bilden 5G und eSIM eine starke Grundlage für Sicherheit.
Weitere Informationen
Windows-Firewall
Die Windows-Firewall ist ein wichtiger Bestandteil eines mehrstufigen Sicherheitsmodells. Es bietet eine hostbasierte, bidirektionale Filterung des Netzwerkdatenverkehrs und blockiert nicht autorisierten Datenverkehr, der auf dem lokalen Gerät ein- oder aus dem lokalen Gerät fließt, basierend auf den Netzwerktypen, mit denen das Gerät verbunden ist.
Die Windows-Firewall bietet die folgenden Vorteile:
- Verringert das Risiko von Netzwerksicherheitsbedrohungen: Die Windows-Firewall reduziert die Angriffsfläche eines Geräts mit Regeln, die den Datenverkehr durch viele Eigenschaften wie IP-Adressen, Ports oder Programmpfade einschränken oder zulassen. Diese Funktionalität erhöht die Verwaltbarkeit und verringert die Wahrscheinlichkeit eines erfolgreichen Angriffs.
- Schutz vertraulicher Daten und geistiges Eigentum: Durch die Integration in internet protocol security (IPSec) bietet die Windows-Firewall eine einfache Möglichkeit, authentifizierte End-to-End-Netzwerkkommunikation zu erzwingen. Es bietet skalierbaren, mehrstufigen Zugriff auf vertrauenswürdige Netzwerkressourcen, hilft dabei, die Integrität der Daten zu erzwingen und optional die Vertraulichkeit der Daten zu schützen.
- Erweitert den Wert vorhandener Investitionen: Da es sich bei der Windows-Firewall um eine hostbasierte Firewall handelt, die im Betriebssystem enthalten ist, ist keine zusätzliche Hardware oder Software erforderlich. Die Windows-Firewall wurde auch entwickelt, um vorhandene Nicht-Microsoft-Netzwerksicherheitslösungen durch eine dokumentierte Anwendungsprogrammierschnittstelle (Application Programming Interface, API) zu ergänzen.
Windows 11 erleichtert die Analyse und das Debuggen der Windows-Firewall. Das IPSec-Verhalten ist in den Paketmonitor integriert, ein integriertes, komponentenübergreifendes Netzwerkdiagnosetool für Windows. Darüber hinaus werden die Ereignisprotokolle der Windows-Firewall verbessert, um sicherzustellen, dass eine Überwachung den spezifischen Filter identifizieren kann, der für ein bestimmtes Ereignis verantwortlich war. Dies ermöglicht die Analyse des Firewallverhaltens und der umfassenden Paketerfassung, ohne sich auf Tools von Drittanbietern verlassen zu müssen.
Administratoren können weitere Einstellungen über die Richtlinienvorlagen für Firewall und Firewallregel im Knoten Endpunktsicherheit in Microsoft Intune[4] konfigurieren, indem sie die Plattformunterstützung des Firewallkonfigurationsdienstanbieters (CSP) verwenden und diese Einstellungen auf Windows-Endpunkte anwenden.
Neu in Windows 11, Version 24H2
Der Firewall Configuration Service Provider (CSP) in Windows erzwingt jetzt einen Alles-oder-Nichts-Ansatz zum Anwenden von Firewallregeln in jedem atomischen Block. Wenn beim CSP ein Problem mit einer Regel in einem Block aufgetreten ist, wurde die Verarbeitung dieser Regel nicht nur beendet, sondern auch die Verarbeitung nachfolgender Regeln beendet, wodurch möglicherweise eine Sicherheitslücke bei teilweise bereitgestellten Regelblöcken hinterlassen wurde. Wenn nun eine Regel im Block nicht erfolgreich angewendet werden kann, beendet der CSP die Verarbeitung nachfolgender Regeln und setzt alle Regeln aus diesem atomaren Block zurück, wodurch die Mehrdeutigkeit teilweise bereitgestellter Regelblöcke beseitigt wird.
Weitere Informationen
Virtuelle private Netzwerke (VPN)
Organisationen verlassen sich seit langem auf Windows, um zuverlässige, sichere und verwaltbare VPN-Lösungen (Virtual Private Network) bereitzustellen. Die Windows-VPN-Clientplattform umfasst integrierte VPN-Protokolle, Konfigurationsunterstützung, eine gemeinsame VPN-Benutzeroberfläche und Programmierunterstützung für benutzerdefinierte VPN-Protokolle. VPN-Apps sind im Microsoft Store sowohl für Unternehmens- als auch Heimanwender-VPNs verfügbar, einschließlich Apps für die beliebtesten Unternehmens-VPN-Gateways.
In Windows 11 haben wir die am häufigsten verwendeten VPN-Steuerelemente direkt in den Bereich Windows 11 Schnellaktionen integriert. Im Bereich Schnelle Aktionen können Benutzer die status ihres VPN überprüfen, die Verbindung starten und beenden und Einstellungen für weitere Steuerelemente einfach öffnen.
Die Windows-VPN-Plattform stellt eine Verbindung mit Microsoft Entra ID[4] und bedingtem Zugriff für einmaliges Anmelden her, einschließlich mehrstufiger Authentifizierung (MFA) über Microsoft Entra ID. Die VPN-Plattform unterstützt auch die klassische, in die Domäne eingebundene Authentifizierung. Sie wird von Microsoft Intune[4] und anderen Geräteverwaltungslösungen unterstützt. Das flexible VPN-Profil unterstützt sowohl integrierte als auch benutzerdefinierte Protokolle. Es kann mehrere Authentifizierungsmethoden konfigurieren und bei Bedarf automatisch gestartet oder vom Endbenutzer manuell gestartet werden. Es unterstützt auch Split-Tunnel-VPN und exklusives VPN mit Ausnahmen für vertrauenswürdige externe Standorte.
Mit Universelle Windows-Plattform VPN-Apps (UWP) bleiben Endbenutzer nie an einer alten Version ihres VPN-Clients hängen. VPN-Apps aus dem Store werden bei Bedarf automatisch aktualisiert. Natürlich befinden sich die Updates in der Kontrolle Ihrer IT-Administratoren.
Die Windows-VPN-Plattform ist für cloudbasierte VPN-Anbieter wie Azure VPN optimiert und gehärtet. Features wie Microsoft Entra ID-Authentifizierung, Windows-Benutzeroberflächenintegration, IKE-Datenverkehrsselektoren und Serverunterstützung sind alle in die Windows-VPN-Plattform integriert. Die Integration in die Windows-VPN-Plattform führt zu einer einfacheren IT-Administratorerfahrung. Die Benutzerauthentifizierung ist konsistenter, und Benutzer können ihr VPN leicht finden und steuern.
Weitere Informationen
Server Message Block-Dateidienste
Server Message Block (SMB) und Dateidienste sind die häufigsten Windows-Workloads im kommerziellen und öffentlichen Ökosystem. Benutzer und Anwendungen verlassen sich auf SMB, um auf die Dateien zuzugreifen, die Organisationen aller Größen ausführen.
Windows 11 wichtige Sicherheitsupdates eingeführt, um den heutigen Bedrohungen gerecht zu werden, einschließlich AES-256 SMB-Verschlüsselung, beschleunigter SMB-Signatur, RDMA-Netzwerkverschlüsselung (Remote Directory Memory Access) und SMB über QUIC für nicht vertrauenswürdige Netzwerke.
Neu in Windows 11, Version 24H2
Zu den neuen Sicherheitsoptionen gehören standardmäßig obligatorische SMB-Signierung, NTLM-Blockierung, Begrenzung der Authentifizierungsrate und mehrere andere Verbesserungen.
Weitere Informationen