Freigeben über


Systemsicherheit

Diagramm mit einer Liste der Sicherheitsfeatures.

Vertrauenswürdiger Start (Sicherer Start + gemessener Start)

Windows 11 erfordert, dass alle PCs das Feature "Sicherer Start" von Unified Extensible Firmware Interface (UEFI) verwenden. Wenn ein Windows 11 Gerät gestartet wird, arbeiten Sicherer Start und vertrauenswürdiger Start zusammen, um zu verhindern, dass Schadsoftware und beschädigte Komponenten geladen werden. Sicherer Start bietet anfänglichen Schutz, und der vertrauenswürdige Start übernimmt den Prozess.

Sicherer Start stellt einen sicheren und vertrauenswürdigen Pfad von der Unified Extensible Firmware Interface (UEFI) über die vertrauenswürdige Startsequenz des Windows-Kernels her. Schadsoftwareangriffe auf die Windows-Startsequenz werden durch die Signaturerzwingungs-Handshakes während der gesamten Startsequenz zwischen UEFI, Bootloader, Kernel und Anwendungsumgebungen blockiert.

Um das Risiko von Firmware-Rootkits zu verringern, überprüft der PC die digitale Signatur der Firmware zu Beginn des Startvorgangs. Der sichere Start überprüft dann die digitale Signatur des Betriebssystem-Bootloaders und den gesamten Code, der vor dem Starten des Betriebssystems ausgeführt wird, und stellt sicher, dass die Signatur und der Code gemäß der Richtlinie für den sicheren Start uneingeschränkt und vertrauenswürdig sind.

Der vertrauenswürdige Start übernimmt den Prozess, der mit dem sicheren Start beginnt. Der Windows-Bootloader überprüft die digitale Signatur des Windows-Kernels vor dem Laden. Der Windows-Kernel überprüft wiederum jede andere Komponente des Windows-Startprozesses, einschließlich Starttreiber, Startdateien und des ELAM-Treibers (Early-Launch Anti-Malware) von Antischadsoftware-Produkten. Wenn eine dieser Dateien manipuliert wurde, erkennt der Bootloader das Problem und weigert sich, die beschädigte Komponente zu laden. Häufig kann Windows die beschädigte Komponente automatisch reparieren, die Integrität von Windows wiederherstellen und den normalen Start des PCs ermöglichen.

Weitere Informationen

Kryptografie

Kryptografie wurde entwickelt, um Benutzer- und Systemdaten zu schützen. Der Kryptografiestapel in Windows 11 erstreckt sich vom Chip bis in die Cloud, sodass Windows, Anwendungen und Dienste System- und Benutzergeheimnisse schützen können. Beispielsweise können Daten verschlüsselt werden, sodass sie nur von einem bestimmten Leser mit einem eindeutigen Schlüssel gelesen werden können. Als Grundlage für die Datensicherheit hilft Kryptografie dabei, zu verhindern, dass alle Personen außer dem beabsichtigten Empfänger Daten lesen, führt Integritätsprüfungen durch, um sicherzustellen, dass Die Daten frei von Manipulationen sind, und authentifiziert die Identität, um sicherzustellen, dass die Kommunikation sicher ist. Windows 11 Kryptografie ist zertifiziert, um die Federal Information Processing Standard (FIPS) 140 zu erfüllen. Die FIPS 140-Zertifizierung stellt sicher, dass von der US-Regierung genehmigte Algorithmen ordnungsgemäß implementiert werden.

Weitere Informationen

  • FIPS 140-Überprüfung

Kryptografiemodule von Windows bieten Grundtypen auf niedriger Ebene, z. B.:

  • Zufallszahlengeneratoren (RNG)
  • Unterstützung für AES 128/256 mit den Betriebsmodi XTS, EZB, CBC, CFB, CCM und GCM; RSA und DSA 2048, 3072 und 4.096 Schlüsselgrößen; ECDSA über Kurven P-256, P-384, P-521
  • Hashing (Unterstützung für SHA1, SHA-256, SHA-384 und SHA-512)
  • Signieren und Überprüfen (Auffüllungsunterstützung für OAEP, PSS und PKCS1)
  • Schlüsselvereinbarung und Schlüsselableitung (Unterstützung für ECDH über NIST-Standard-Primkurven P-256, P-384, P-521 und HKDF)

Anwendungsentwickler können diese Kryptografiemodule verwenden, um kryptografische Vorgänge auf niedriger Ebene (Bcrypt), Schlüsselspeichervorgänge (NCrypt), statische Daten (DPAPI) zu schützen und Geheimnisse sicher freizugeben (DPAPI-NG).

Weitere Informationen

  • Kryptografie- und Zertifikatverwaltung

Entwickler können auf die Module unter Windows über die Cryptography Next Generation API (CNG) zugreifen, die von der Open-Source-Kryptografiebibliothek SymCrypt von Microsoft unterstützt wird. SymCrypt unterstützt vollständige Transparenz durch seinen Open-Source-Code. Darüber hinaus bietet SymCrypt eine Leistungsoptimierung für kryptografische Vorgänge, indem die Vorteile der Assembly- und Hardwarebeschleunigung genutzt werden, sofern verfügbar.

SymCrypt ist Teil der Transparenzverpflichtung von Microsoft, die das globale Microsoft Government Security Program umfasst, das darauf abzielt, die vertraulichen Sicherheitsinformationen und Ressourcen bereitzustellen, die Personen benötigen, um den Produkten und Diensten von Microsoft zu vertrauen. Das Programm bietet kontrollierten Zugriff auf Quellcode, den Austausch von Informationen zu Bedrohungen und Sicherheitsrisiken, die Möglichkeit, sich mit technischen Inhalten zu Den Produkten und Diensten von Microsoft zu beschäftigen, und Zugang zu fünf global verteilten Transparenzzentren.

Zertifikate

Um Informationen zu schützen und zu authentifizieren, bietet Windows umfassende Unterstützung für die Zertifikat- und Zertifikatverwaltung. Das integrierte Befehlszeilenprogramm für die Zertifikatverwaltung (certmgr.exe) oder das Microsoft Management Console(MMC)-Snap-In (certmgr.msc) kann zum Anzeigen und Verwalten von Zertifikaten, Zertifikatvertrauenslisten (Certificate Trust Lists, CTLs) und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) verwendet werden. Wenn ein Zertifikat in Windows verwendet wird, überprüfen wir, ob das Untergeordnete Zertifikat und alle Zertifikate in seiner Vertrauenskette nicht widerrufen oder kompromittiert wurden. Die vertrauenswürdigen Stamm- und Zwischenzertifikate sowie öffentlich widerrufene Zertifikate auf dem Computer werden als Referenz für die PKI-Vertrauensstellung (Public Key Infrastructure) verwendet und vom Microsoft Trusted Root-Programm monatlich aktualisiert. Wenn ein vertrauenswürdiges Zertifikat oder stamm widerrufen wird, werden alle globalen Geräte aktualisiert, was bedeutet, dass Benutzer darauf vertrauen können, dass Windows automatisch vor Sicherheitsrisiken in der Public Key-Infrastruktur schützt. Für Cloud- und Unternehmensbereitstellungen bietet Windows Benutzern auch die Möglichkeit, Zertifikate in Active Directory mit Gruppenrichtlinien automatisch zu registrieren und zu verlängern, um das Risiko potenzieller Ausfälle aufgrund von Zertifikatablauf oder Fehlkonfiguration zu reduzieren.

Codesignierung und Integrität

Um sicherzustellen, dass Windows-Dateien nicht manipuliert wurden, überprüft der Windows-Codeintegritätsprozess die Signatur jeder Datei in Windows. Die Codesignierung ist der Kern der Integrität von Firmware, Treibern und Software auf der gesamten Windows-Plattform. Bei der Codesignatur wird eine digitale Signatur erstellt, indem der Hash der Datei mit dem privaten Schlüsselteil eines Codesignaturzertifikats verschlüsselt und die Signatur in die Datei eingebettet wird. Der Windows-Codeintegritätsprozess überprüft die signierte Datei, indem die Signatur entschlüsselt wird, um die Integrität der Datei zu überprüfen und zu bestätigen, dass sie von einem seriösen Herausgeber stammt, um sicherzustellen, dass die Datei nicht manipuliert wurde.

Die digitale Signatur wird in der gesamten Windows-Umgebung für Windows-Startcode, Windows-Kernelcode und Windows-Benutzermodusanwendungen ausgewertet. Sicherer Start und Codeintegrität überprüfen die Signatur auf Bootloadern, Options-ROMs und anderen Startkomponenten, um sicherzustellen, dass sie vertrauenswürdig ist und von einem seriösen Herausgeber stammt. Bei Treibern, die nicht von Microsoft veröffentlicht wurden, überprüft die Kernelcodeintegrität die Signatur auf Kerneltreibern und erfordert, dass Treiber von Windows signiert oder vom Windows-Hardwarekompatibilitätsprogramm (WHCP) zertifiziert werden. Dieses Programm stellt sicher, dass Drittanbietertreiber mit verschiedenen Hardware und Windows kompatibel sind und dass die Treiber von geprüften Treiberentwicklern stammen.

Integritätsnachweis für Geräte

Der Windows Device Health Attestation-Prozess unterstützt ein Zero Trust Paradigma, das den Fokus von statischen, netzwerkbasierten Umkreisen auf Benutzer, Ressourcen und Ressourcen verlagert. Der Nachweisprozess bestätigt, dass sich das Gerät, die Firmware und der Startvorgang in einem guten Zustand befinden und nicht manipuliert wurden, bevor sie auf Unternehmensressourcen zugreifen können. Diese Ermittlungen werden mit Daten getroffen, die im TPM gespeichert sind, was einen sicheren Vertrauensstamm bietet. Die Informationen werden an einen Nachweisdienst wie Azure Attestation gesendet, um zu überprüfen, ob sich das Gerät in einem vertrauenswürdigen Zustand befindet. Anschließend überprüft eine cloudnative Geräteverwaltungslösung wie Microsoft Intune[4] die Geräteintegrität und verbindet diese Informationen mit Microsoft Entra ID[4] für bedingten Zugriff.

Windows enthält viele Sicherheitsfeatures, um Benutzer vor Schadsoftware und Angriffen zu schützen. Sicherheitskomponenten sind jedoch nur dann vertrauenswürdig, wenn die Plattform wie erwartet gestartet und nicht manipuliert wird. Wie oben erwähnt, setzt Windows auf Unified Extensible Firmware Interface (UEFI) Secure Boot, ELAM, DRTM, Trusted Boot und andere Low-Level-Hardware- und Firmwaresicherheitsfeatures, um Ihren PC vor Angriffen zu schützen. Vom Einschalten Ihres PCs bis zum Start der Antischadsoftware verfügt Windows über die entsprechenden Hardwarekonfigurationen, die Ihnen helfen, Ihre Sicherheit zu gewährleisten. Gemessener Start, der von Bootloadern und BIOS implementiert wird, überprüft und zeichnet jeden Schritt des Starts auf verkettete Weise kryptografisch auf. Diese Ereignisse sind an das TPM gebunden, das als Hardwarevertrauensbasis fungiert. Der Remotenachweis ist der Mechanismus, mit dem diese Ereignisse von einem Dienst gelesen und überprüft werden, um einen überprüfbaren, unvoreingenommenen und manipulationssicheren Bericht bereitzustellen. Der Remotenachweis ist der vertrauenswürdige Prüfer des Systemstarts, der es abhängigen Parteien ermöglicht, die Vertrauensstellung an das Gerät und dessen Sicherheit zu binden.

Eine Zusammenfassung der Schritte, die beim Nachweis und Zero-Trust auf einem Windows-Gerät erforderlich sind, lautet wie folgt:

  • Bei jedem Schritt des Startvorgangs – z. B. beim Laden von Dateien, aktualisieren von speziellen Variablen und mehr – werden Informationen wie Dateihashes und Signaturen im TPM-Plattformkonfigurationsregister (PCRs) gemessen. Die Messungen sind an eine Trusted Computing Group-Spezifikation gebunden, die vorgibt, welche Ereignisse aufgezeichnet werden können, und das Format der einzelnen Ereignisse. Die Daten liefern wichtige Informationen zur Gerätesicherheit ab dem Zeitpunkt, an dem sie aktiviert werden.
  • Nachdem Windows gestartet wurde, fordert der Nachweiser (oder Prüfer) das TPM an, die in seinen PCRs gespeicherten Messungen zusammen mit dem Protokoll für den gemessenen Start abzurufen. Zusammen bilden diese den Nachweis, der an den Azure Attestation-Dienst gesendet wird.
  • Das TPM wird mithilfe der Schlüssel oder kryptografischen Materialien überprüft, die auf dem Chipsatz mit einem Azure-Zertifikatdienst verfügbar sind.
  • Die oben genannten Informationen werden an den Azure Attestation-Dienst gesendet, um zu überprüfen, ob sich das Gerät in einem vertrauenswürdigen Zustand befindet.

Weitere Informationen

Einstellungen und Überwachung von Windows-Sicherheitsrichtlinien

Sicherheitsrichtlinieneinstellungen sind ein wichtiger Bestandteil Ihrer allgemeinen Sicherheitsstrategie. Windows bietet einen robusten Satz von Sicherheitseinstellungsrichtlinien, die IT-Administratoren verwenden können, um Windows-Geräte und andere Ressourcen in Ihrer organization zu schützen. Sicherheitsrichtlinieneinstellungen sind Regeln, die Sie auf einem Oder mehreren Geräten konfigurieren können, um Folgendes zu steuern:

  • Benutzerauthentifizierung bei einem Netzwerk oder Gerät
  • Ressourcen, auf die Benutzer zugreifen dürfen
  • Ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden sollen
  • Mitgliedschaft in einer Gruppe

Die Sicherheitsüberwachung ist eines der leistungsfähigsten Tools, mit dem Sie die Integrität Ihres Netzwerks und Ihrer Ressourcen aufrechterhalten können. Die Überwachung kann dabei helfen, Angriffe, Netzwerksicherheitsrisiken und Angriffe auf hochwertige Ziele zu identifizieren. Sie können Kategorien von sicherheitsbezogenen Ereignissen angeben, um mithilfe von Konfigurationsdienstanbietern (Configuration Service Providers, CSP) oder Gruppenrichtlinien eine Überwachungsrichtlinie zu erstellen, die auf die Anforderungen Ihrer organization zugeschnitten ist.

Alle Überwachungskategorien sind deaktiviert, wenn Windows zum ersten Mal installiert wird. Führen Sie vor der Aktivierung die folgenden Schritte aus, um eine effektive Sicherheitsüberwachungsrichtlinie zu erstellen:

  1. Identifizieren Sie Ihre wichtigsten Ressourcen und Aktivitäten.
  2. Identifizieren Sie die Überwachungseinstellungen, die Sie zum Nachverfolgen dieser Einstellungen benötigen.
  3. Bewerten Sie die Vorteile und potenziellen Kosten, die mit jeder Ressource oder Einstellung verbunden sind.
  4. Testen Sie diese Einstellungen, um Ihre Auswahl zu überprüfen.
  5. Entwickeln Sie Pläne für die Bereitstellung und Verwaltung Ihrer Überwachungsrichtlinie.

Weitere Informationen

Windows-Sicherheit

Sichtbarkeit und Sensibilisierung für Gerätesicherheit und -integrität sind der Schlüssel zu allen ergriffenen Maßnahmen. Die Windows-Sicherheit-App bietet einen Überblick über die sicherheitsrelevante status und die Integrität Ihres Geräts. Diese Erkenntnisse helfen Ihnen, Probleme zu identifizieren und zu handeln, um sicherzustellen, dass Sie geschützt sind. Sie können schnell die status Ihres Viren- und Bedrohungsschutzes, Firewall- und Netzwerksicherheit, Gerätesicherheitskontrollen und mehr sehen.

Weitere Informationen

Konfigurationsaktualisierung

Bei herkömmlichen Gruppenrichtlinien werden Richtlinieneinstellungen auf einem PC aktualisiert, wenn sich ein Benutzer anmeldet und standardmäßig alle 90 Minuten. Administratoren können diesen Zeitpunkt so anpassen, dass er kürzer ist, um sicherzustellen, dass die Richtlinieneinstellungen mit den von der IT festgelegten Verwaltungseinstellungen kompatibel sind.

Im Gegensatz dazu werden Richtlinien bei einer Geräteverwaltungslösung wie Microsoft Intune[4] aktualisiert, wenn sich ein Benutzer anmeldet und dann standardmäßig im Intervall von acht Stunden. Richtlinieneinstellungen werden jedoch vom Gruppenrichtlinienobjekt zu einer Geräteverwaltungslösung migriert. Eine verbleibende Lücke ist der längere Zeitraum zwischen der Erneuten Veröffentlichung einer geänderten Richtlinie.

Die Konfigurationsaktualisierung ermöglicht, dass Einstellungen im Richtlinienkonfigurationsdienstanbieter (Policy Configuration Service Provider, CSP), die aufgrund von Fehlkonfigurationen, Registrierungsbearbeitungen oder Schadsoftware auf einem PC abweichen, standardmäßig alle 90 Minuten auf den vom Administrator vorgesehenen Wert zurückgesetzt werden. Sie kann bei Bedarf alle 30 Minuten aktualisiert werden. Der Richtlinien-CSP deckt Hunderte von Einstellungen ab, die traditionell mit Gruppenrichtlinien festgelegt wurden und jetzt über Mobile Geräteverwaltung-Protokolle (MDM) festgelegt werden.

Die Konfigurationsaktualisierung kann auch für einen konfigurierbaren Zeitraum angehalten werden, nach dem sie erneut aktiviert wird. Dies dient zur Unterstützung von Szenarien, in denen ein Helpdesktechniker möglicherweise ein Gerät für die Problembehandlung neu konfigurieren muss. Sie kann auch jederzeit von einem Administrator fortgesetzt werden.

Weitere Informationen

Kioskmodus

Mit Windows können Sie die Funktionalität mithilfe integrierter Features auf bestimmte Anwendungen beschränken, sodass sie ideal für öffentliche oder freigegebene Geräte wie Kioske geeignet ist. Sie können Windows entweder lokal auf dem Gerät oder über eine cloudbasierte Geräteverwaltungslösung wie Microsoft Intune[7] als Kiosk einrichten. Der Kioskmodus kann so konfiguriert werden, dass eine einzelne App, mehrere Apps oder ein Vollbildwebbrowser ausgeführt werden. Sie können das Gerät auch so konfigurieren, dass es sich beim Start automatisch anmeldet und die angegebene Kiosk-App startet.

Weitere Informationen

Windows-geschützter Druck

Windows-geschützter Druck wurde entwickelt, um ein moderneres und sichereres Drucksystem bereitzustellen, das die Kompatibilität maximiert und die Benutzer an erster Stelle stellt. Es vereinfacht das Drucken, da Geräte ausschließlich mit dem modernen Windows-Druckstapel drucken können.

Zu den Vorteilen des windows-geschützten Druckens gehören:

  • Erhöhte PC-Sicherheit
  • Vereinfachtes und konsistentes Druckerlebnis, unabhängig von der PC-Architektur
  • Entfernt die Notwendigkeit, Drucktreiber zu verwalten

Windows-geschützter Druck ist nur für die Verwendung mit Mopria-zertifizierten Druckern konzipiert. Viele vorhandene Drucker sind bereits kompatibel.

Weitere Informationen

Rust für Windows

Rust ist eine moderne Programmiersprache, die für ihren Fokus auf Sicherheit, Leistung und Parallelität bekannt ist. Es wurde entwickelt, um häufige Programmierfehler wie NULL-Zeigerdeferencing und Pufferüberläufe zu verhindern, die zu Sicherheitsrisiken und Abstürzen führen können. Rust erreicht dies durch sein einzigartiges Besitzsystem, das die Speichersicherheit gewährleistet, ohne dass ein Garbage Collector erforderlich ist. Wir erweitern die Integration von Rust in den Windows-Kernel, um die Sicherheit und Zuverlässigkeit der Windows-Codebasis zu verbessern. Dieser strategische Schritt unterstreicht unser Engagement für die Einführung moderner Technologien zur Verbesserung der Qualität und Sicherheit von Windows.

Weitere Informationen