Softline Solutions GmbH // IT-Sicherheit

Sicherheitsanforderungen an Betriebssysteme

... und wie diese mit Windows 10 umgesetzt werden.

Die Architektur eines Betriebssystems und die damit verbundenen Sicherheitsfunktionen entsprechen immer den Bedrohungen der Zeit, in denen sie entwickelt wurden. Dies hat zur Folge, dass bereits Windows 7 und Windows 8 bzw. 8.1 den aktuellen Gefahren nicht mehr gewachsen sind.

 

Die Systemintegrität kann nur noch schwer garantiert werden, da sich Malware immer besser tarnt und versteckt. Jeden Tag kommen über 200.000 neue Schadprogramme und Bedrohungen zu den bestehenden hinzu – diese können herkömmliche Antiviren- und Security-Lösungen nicht abwehren. Die schwierige Administration der Verschlüsselungslösungen für Geräte und Festplatten der bisherigen Betriebssysteme stellt eine zusätzliche Hürde für deren sicheren Einsatz dar. Auch die Komplexität von Multi-Faktor-Authentifizierungslösungen,  z. B. in Windows 7 Umgebungen, verhindert die Herstellung der gewünschten Datensicherheit, welche in letzter Zeit einen massiven Anstieg von Passwortdiebstahl begünstigt.

Microsoft hat bei Windows 10 in vier Bereichen auf die aktuellen Bedrohungssituationen reagiert und neue Technologien und Lösungen implementiert, die uns das IT-Leben leichter und vor allem sicherer machen:

  • Identity Protection
  • Data Protection
  • Device Guard
  • Security Hardware

Windows 10 ermöglicht über die Funktionalitäten »Windows Hello« und »Microsoft Passport« eine Multifaktor-Authentifizierung, welche einfacher administrier- und verwendbar ist. Bei »Windows Hello«  handelt es sich um eine Gesichtserkennung, die den Nutzer automatisch, zuverlässig und sicher bei Windows anmeldet. Eine entsprechende Hardware ermöglicht dabei dreidimensionale Scans, die eine Überlistung (wie bei bisherigen Lösungen) erschwert. Alternativ zur Gesichts-erkennung können auch Finger- oder Iris Scan-Anwendung verwendet werden, welche sich über neue und erweiterte Hardware realisieren lassen.

Über »Windows Hello« erfolgt nicht nur die Authentifizierung am System sondern auch auf Webseiten. »Microsoft Passport« verwaltet hierbei die biometrischen Daten, im Gegensatz zu herkömmlichen Passwort Managern, welche die Passwörter speichern. Damit wird eine Erhöhung der Sicherheit gewährleistet, denn egal wie Komplex Passwörter sind, sind diese in der Regel irgendwo im System gespeichert und können, im Gegensatz zu biometrischen Daten, einfacher von nicht berechtigten verwendet werden.  

Ein weiterer Schritt von Microsoft ist die Ausweitung der Sicherheit von BitLocker auf die Dateien selbst. Die Funktionalität dahinter heißt »Enterprise Data Protection« und wird für Windows 10 Enterprise Kunden verfügbar sein. Es bedeutet, dass Dokumente, die auf einer BitLocker verschlüsselten Festplatte liegen und von dort weitergegeben werden, automatisch verschlüsselt werden. Dies geschieht via Rights Management Services RMS. Über EDP Policies werden die Regeln hierfür festgelegt. Definierte Orte gelten als sicher, alles andere wird als Public belegt und dort abgelegte Dokumente werden automatisch RMS verschlüsselt.

Über den Device Guard werden Devices überwacht und abgesichtert gegen bekannte und unbekannte Malware, sowie Advanced Persistent Threats APTs. Die Idee dahinter ist alles zu blockieren, was nicht vertrauenswürdig ist. Erlaubte Anwendungen müssen daher zuvor als vertrauenswürdig eingestuft werden. Unternehmen und Hersteller zertifizieren ihre Apps und Anwendungen. Das bereits seit einigen Jahren existierende Werkzeug AppLocker kommt hier zum Tragen. Device Guard führt diese Überprüfung jedoch isoliert auf eigener Hardware-Technologie aus, so dass dies zwar noch sicherer ist, allerdings eine OEM-Hardware-Unterstützung vorhanden sein muss.

Neue Hardware, welche mit Windows 10 ausgeliefert wird, kommt zukünftig immer mit einem TPM-Chip (Trusted Platform Module). Dieser Microchip speichert die privaten Teile von Schlüsseln und Zertifikaten und kann nur von berechtigten Teilen des Systems ausgelesen werden. Diese neue Version 2.0 der TPM-Definition wird zukünftig als offizielle Systemvoraussetzung für Windows 10 verpflichtend sein.

Zusätzlich kommt im neuen Security-Subsystem eine Virtualisierungs-Technologie zum Einsatz. Damit liegen sicherheitsrelevante Informationen in einem speziellen Bereich und können mit heutigen Methoden von Speicherdumps nicht mehr ausgelesen oder kompromittiert werden.