ADMIN

2021

10

2021-10-01T12:00:00

Endpoint Security

SCHWERPUNKT

084

Sicherheit

Microsoft Defender

Windows 10

Endpunktsicherheit für Windows 10

Wehrhaft mit Bordmitteln

von Marc Grote

Veröffentlicht in Ausgabe 10/2021 - SCHWERPUNKT

Microsoft-Betriebssysteme standen schon immer im Fokus von Kritikern, wenn es um Sicherheitsbedrohungen und deren Abwehr ging. Windows 10 im Build 21H1 verfügt jedoch ab Werk über zahlreiche Schutzmechanismen. In diesem Beitrag gehen wir auf die Option für verzögerte Updates, die Bestandteile und Funktionen von Microsoft Defender und nicht zuletzt auch die BSI-Empfehlungen hinsichtlich der Härtung des Betriebssystems ein.

In Windows 10 hat Microsoft eine Reihe neuer Sicherheitsmerkmale bereitgestellt, die jedoch nicht in allen Varianten des Betriebssystems zur Verfügung stehen. Zum Beispiel gibt es Funktionen wie Windows Defender Device Guard – jetzt Microsoft Defender Application Control – oder Microsoft Defender Credential Guard nur in Windows 10 Enterprise E3/E5. Und Microsoft Defender for Endpoint – ehemals Advanced Threat Protection – ist zum Beispiel nur mit Windows 10 Enterprise E3/E5, Microsoft 365 E5 Security und Microsoft 365 E5 erhältlich. Nicht außer Acht zu lassen ist ferner die Tatsache, dass Redmond nur der Enterprise-Version Gruppenrichtlinien ermöglicht, die den Windows Store konfigurieren können.
Windows Update for Business
Der monatliche Patchday sorgt bei vielen Administratoren immer noch für Aufregung und die Frage, ob nach einem Update alles noch so funktionieren wird wie davor. Bei Windows 10 setzt Microsoft auf einen veränderten Updatezyklus: Abgesehen von den monatlich erscheinenden kritischen Updates veröffentlicht der Konzern zu unterschiedlichen Zeitpunkten in der zweiten Monatshälfte optionale Updates. Somit können sich Administratoren auf die Installation der kritischen Updates konzentrieren und die optionalen Updates zu einem späteren Zeitpunkt aufspielen, wenn deren Verträglichkeit mit der IT-Infrastruktur erfolgreich geprüft worden ist.
Zu "Windows Update for Business" [1], dem Updateprozess für Geschäftskunden, gehören sogenannte Wartungsringe (Update Rings), mit denen Administratoren festlegen können, in welcher Reihenfolge sie Endgeräte und Server patchen wollen. Mit diesen Ringen ist es möglich, zum Beispiel in einer ersten Updatewelle nur unwichtigere Computer oder spezielle Testmaschinen zu patchen. Wartungsringe ermöglichen außerdem das Patchen von Systemen in Abhängigkeit ihres Zusammenspiels. Zum Beispiel lässt sich ein Domänencontroller als Erstes patchen und anschließend ein Exchange-Server, der die Active-Directory-Dienste zum einwandfreien Funktionieren benötigt.
In Windows 10 hat Microsoft eine Reihe neuer Sicherheitsmerkmale bereitgestellt, die jedoch nicht in allen Varianten des Betriebssystems zur Verfügung stehen. Zum Beispiel gibt es Funktionen wie Windows Defender Device Guard – jetzt Microsoft Defender Application Control – oder Microsoft Defender Credential Guard nur in Windows 10 Enterprise E3/E5. Und Microsoft Defender for Endpoint – ehemals Advanced Threat Protection – ist zum Beispiel nur mit Windows 10 Enterprise E3/E5, Microsoft 365 E5 Security und Microsoft 365 E5 erhältlich. Nicht außer Acht zu lassen ist ferner die Tatsache, dass Redmond nur der Enterprise-Version Gruppenrichtlinien ermöglicht, die den Windows Store konfigurieren können.
Windows Update for Business
Der monatliche Patchday sorgt bei vielen Administratoren immer noch für Aufregung und die Frage, ob nach einem Update alles noch so funktionieren wird wie davor. Bei Windows 10 setzt Microsoft auf einen veränderten Updatezyklus: Abgesehen von den monatlich erscheinenden kritischen Updates veröffentlicht der Konzern zu unterschiedlichen Zeitpunkten in der zweiten Monatshälfte optionale Updates. Somit können sich Administratoren auf die Installation der kritischen Updates konzentrieren und die optionalen Updates zu einem späteren Zeitpunkt aufspielen, wenn deren Verträglichkeit mit der IT-Infrastruktur erfolgreich geprüft worden ist.
Zu "Windows Update for Business" [1], dem Updateprozess für Geschäftskunden, gehören sogenannte Wartungsringe (Update Rings), mit denen Administratoren festlegen können, in welcher Reihenfolge sie Endgeräte und Server patchen wollen. Mit diesen Ringen ist es möglich, zum Beispiel in einer ersten Updatewelle nur unwichtigere Computer oder spezielle Testmaschinen zu patchen. Wartungsringe ermöglichen außerdem das Patchen von Systemen in Abhängigkeit ihres Zusammenspiels. Zum Beispiel lässt sich ein Domänencontroller als Erstes patchen und anschließend ein Exchange-Server, der die Active-Directory-Dienste zum einwandfreien Funktionieren benötigt.
Windows Update for Business erlaubt es zudem, Wartungsfenster zu definieren, in denen Computer Aktualisierungen erhalten. Administratoren können so Zeitfenster wählen, zu denen die mit der Update-Installation verbundenen Dienste-Unterbrechungen in Form von Computer- oder Dienst-Neustarts wenig oder keine Auswirkungen haben. Dabei können IT-Verantwortliche mithilfe lokaler Einstellungen auf dem Client oder per Gruppenrichtlinie festlegen, dass Updates verzögert aufgespielt werden.
Optionen zur Authentifizierung
Windows 10 stellt neben der klassischen Möglichkeit, eine Authentifizierung am System mit einem Benutzernamen und Kennwort durchzuführen, weitere Optionen zur Verfügung (Bild 1). In Arbeitsgruppen-Umgebungen lässt sich etwa ein Picture Password verwenden. Sie können zur Anmeldung auf diese Art ein Bild auswählen, auf dieses verschiedene Haltepunkte setzen, die nur Ihnen bekannt sind, und diese zur Authentifizierung verwenden. Microsoft setzt Picture Passwords vom Sicherheitsniveau her mit der PIN-Eingabemethode gleich.
Bei Windows Hello [2] handelt es sich um eine Gesichtserkennungsfunktion, die bei einem bekannten Gesicht den Benutzer automatisch am Betriebssystem anmeldet. Alternativ zur Gesichtskontrolle lassen sich auch Augen (Iris) oder Finger (Fingerprint) als Identifikation nutzen. Microsoft hat sich für diese zusätzliche Authentifizierungsmöglichkeit entschieden, weil Kennwörter schon lange keine ausreichende Sicherheit mehr bieten, wenn Benutzer nicht alle Anforderungen an deren sichere Verwendung umsetzen. Für den Betrieb von Microsoft Hello sind entsprechende Endgeräte erforderlich, die zum Beispiel einen integrierten Iris-Scanner besitzen. In AD-Umgebungen ist die Implementierung von Windows Hello mit Hilfe von Gruppenrichtlinien möglich.
Bei Microsoft Passport handelt sich um eine Multifaktor-Authentifizierung (MFA), bei der eine PIN oder biometrische Merkmale (bereitgestellt durch Windows Hello) in Verbindung mit codierten Schlüsseln eines Gerätes für die Authentifizierung zum Einsatz kommen. Benutzer können sich damit gegen ein lokales Active Directory, ein Azure Active Directory (AAD) oder einem nicht von Microsoft stammenden LDAP-Dienst authentifizieren.
Windows-10-Clients können auch einem Azure Active Directory beitreten und dieses als ausschließliche Authentifizierungsquelle verwenden. Die Mitgliedschaft eines Clients im AAD ermöglicht dann ein Single Sign-on (SSO) zu verschiedenen Diensten wie etwa Office 365 in der Microsoft-Cloud. In Umgebungen mit einem lokalen Active Directory und Azure Active Directory stellt eine Synchronisierungsinstanz sicher, dass ein SSO für lokale und Cloudressourcen weiterhin gewährleistet ist.
Endpunktschutz mit Microsoft Defender
Microsoft Defender ist integraler Bestandteil in Windows 10, um den Computer vor Malware zu schützen. Microsoft Defender schützt einen PC auf zwei unterschiedliche Arten vor einer Infektion mit Schadsoftware:
- Echtzeitschutz: Microsoft Defender blockiert Schadsoftware, die versucht, sich auf dem PC zu installieren oder auszuführen, und benachrichtigt den Anwender. Er erhält ebenso eine Mitteilung, wenn Apps versuchen, wichtige Einstellungen zu ändern.
- Verschiedene Scan-Optionen: Microsoft Defender überprüft automatisch und in regelmäßigen Abständen, ob auf dem PC Schadsoftware installiert ist. Die Überprüfung lässt sich auf Wunsch zu einem anderen Zeitpunkt starten. Microsoft Defender entfernt automatisch alle bei einer Überprüfung erkannten Objekte oder stellt sie unter Quarantäne. Benutzer und Administratoren können Objekte manuell aus der Quarantäne entfernen oder die dortigen Objekte werden automatisch nach einem definierbaren Zeitraum gelöscht.
Die Oberfläche von Microsoft Defender entspricht weitestgehend älteren Windows-Defender-Versionen. Die Konfiguration der Defender-Optionen erfolgt jetzt aber in den Einstellungsmenüs von Windows 10 und nicht mehr in der Defender-Anwendung selbst.
Mit Windows 10 wurde Microsoft Defender zu einem strategischen Produkt und um zahlreiche Funktionen erweitert, die wir in den in folgenden Abschnitten dieses Artikels noch näher beschreiben. Zu den Komponenten gehören Defender Security Center, Defender for Endpoint, Defender Application Control, Defender Credential Guard, Defender Exploit Guard und Defender Smartscreen.
Defender Security Center
Mit der Version 1703 hat Microsoft verschiedene Sicherheitsfunktionen von Windows im Defender Security Center [3] zusammengefasst und stellt diese in einer zentralen Oberfläche übersichtlich zur Verfügung. Das Defender Security Center vereint folgende Funktionen:
- Defender-Funktionen: Viren- und Bedrohungsschutz.
- Geräteperformance und -Gesundheitszustand: Dazu gehören Informationen über Gerätetreiber und Windows-Update-Zustände, aber auch über den Batteriestatus bei mobilen Geräten.
- Firewall und Network-Protection: Zustand der Defender-Firewall mit erweiterter Sicherheit.
- App & Browser Control: Im Defender Smartscreen erfolgt die Konfiguration für Anwendungen, Dateien und den Edge-Browser.
- Family Options: Steuerung des Zugriffs auf Webseiten, Zeitsteuerung für Anwendungen und Zugriff auf erlaubte Anwendungen für Kinder.
Bild 1: Die Anmeldeverfahren sind zahlreich und je nach Endgerät unterschiedlich sinnvoll.
Defender for Endpoint
Bei Microsoft Defender for Endpoint (ehemals Windows Defender Advanced Threat Protection) [4] handelt es sich um einen Dienst für Windows 10 ab Version 1607, mit dessen Hilfe Administratoren Angriffe in einem Netzwerk erkennen und entsprechende Gegenmaßnahmen einleiten können. Microsoft Defender for Endpoint vereint Windows-10-Schutzmaßnahmen und Cloudtechnologien in einem Werkzeug. Zu den Features gehören Funktionen zur Erkennung von Anomalien (Registry-, Dateisystem- und Netzwerkzugriffe), Sicherheitsanalyse-Funktionen in der Microsoft-Cloud (Bing und Smartscreen Reputation, Microsoft Malicious Removal Tool und Threat Intelligence). Microsoft Defender for Endpoint unterstützt außerdem Sicherheitsfunktionen wie AppLocker oder Device Guard. Die Konfiguration erfolgt mithilfe von Gruppenrichtlinien, des System Center Endpoint Configuration Managers, über Skripte, MDM-Werkzeuge oder Microsoft Intune.
Während es sich bei Microsoft Defender for Endpoint um einen cloudbasierten Dienst handelt, ist Microsoft Advanced Threat Analytics (ATA) ein lokaler Service, installiert auf Servern in der IT-Infrastruktur, um verdächtige Aktivitäten im Netzwerk in Echtzeit zu ermitteln. ATA besteht aus den Komponenten ATA-Gateway beziehungsweise ATA-Lightweight Gateway, ATA Center und weiteren, teilweise optionalen Bestandteilen. Kernstück der Funktionalität ist, dass alle Domänencontroller im Unternehmen den Netzwerkverkehr zum ATA-Gateway spiegeln, ATA die Daten in einer Datenbank erfasst, die ermittelten Informationen im ATA-Center übersichtlich darstellt und auf Bedrohungen und mögliche Gegenmaßnahmen hinweist.
Bild 2: Mithilfe der Advanced-Threat-Analytics-Konsole sind Sicherheitsvorfälle im Verzeichnisdienst schnell erkennbar.
Defender Application Control
Die Technologie hinter Defender Application Control (WDAC) [5] soll ebenfalls verhindern, dass Malware auf einem System ausgeführt wird und somit das System infiltriert. Dabei soll das Werkzeug vor allem gegen neue und unbekannte Schadsoftware und Advanced Persistent Threats (APT) schützen. WDAC sorgt somit für einen erhöhten Schutz in Win­dows 10, weil es jede nicht vertrauenswürdige oder digital signierte App an der Ausführung hindert. Dazu gehören portable Anwendungen, die zum Beispiel über einen USB-Stick ohne eine lokale Installation zur Ausführung kommen.
Administratoren können die Quelle festlegen, aus der Apps als vertrauenswürdig angesehen werden. Es lassen sich auf diese Weise sowohl Universal Apps als auch Win32-Apps mit WDAC schützen. Bei der Ausführung einer Anwendung überprüft WDAC deren Vertrauenswürdigkeit. Eine Anwendung gilt als sicher, wenn diese eine digitale Signatur des Herstellers oder des Windows Store besitzt. Darüber hinaus können Unternehmen eigene Anwendungen als sicher definieren. Mithilfe von zentralen Richtlinien legen Administratoren fest, welche Apps vertrauenswürdig sind und wie WDAC im Unternehmen konfiguriert sein soll.
WDAC schützt sich selbst vor Manipulation mit Hardware- und Virtualisierungstechnologien, um den Prozess von allen anderen Komponenten zu isolieren. Da WDAC Hyper-V als Basis verwendet, müssen die Clientsysteme deshalb alle Anforderungen zur Aktivierung der Hyper-V-Rolle erfüllen. Im Vergleich zu anderen Microsoft-Technologien wie AppLocker spielt Defender Application Control somit seine Stärken aus, weil es nicht möglich ist, den Prüfprozess selbst zu infiltrieren.
Defender Credential Guard
Eine der wichtigsten neueren Funktionen in Windows 10 ist Defender Credential Guard [6]. Sie nutzt ebenfalls auf Hyper-V-Virtualisierung basierende Sicherheitsmerkmale, um Geheimnisse wie Kennwörter, Passwort-Hashes und Kerberos-Ticket-Granting-Tickets zu isolieren und nur privilegierten Systemprozessen Zugriff auf die Daten zu gewähren. Das Ergaunern von NTLM-Hashes oder die allseits bekannten Pass-the-Hash- oder Pass-the-Ticket-Attacken sind dann nicht mehr möglich. Defender Credential Guard setzt den Einsatz von Windows 10 Enterprise oder Windows Server 2016 voraus und hat folgende Hardware-Anforderungen:
- Virtualization Based Security – VBS erfordert eine 64-Bit-CPU, aktivierte CPU-Virtualization-Extensions und Extended Page Tables sowie einen Windows-Hypervisor
- Secure Boot
- TPM 2.0 (empfohlen)
- UEFI Lock (empfohlen)
Die Konfiguration von Defender Credential Guard erfolgt mithilfe von Gruppenrichtlinien.
Defender Exploit Guard
Den Defender Exploit Guard (WDEG) [7] stellt Microsoft ab der Windows-Version 1709 bereit. WDEG bietet eine Reihe von Host-Intrusion-Prevention-Funktionen, um die Angriffsoberfläche bei von Anwendern benutzten Applikationen zu reduzieren. Es ist der Nachfolger des EMET (Enhanced Mitigation Experience Toolkit), das Microsoft auch kostenlos zum Download für ältere Windows-Versionen bereitstellt, um mit Techniken wie Data Execution Prevention, Address Space Layout Randomization, Structured Exception Handling Overwrite Protection und weiteren vor Exploits in Anwendungen zu schützen. WDEG lässt sich über das Defender Security Center konfigurieren.
Defender Exploit Guard erweitert die mit EMET bereitgestellten Sicherheitsfunktionen um den Control Flow Guard. Dieser schützt vor Korruption des Arbeitsspeichers durch Restriktionen, wo Anwendungen Programmcode ausführen dürfen, und erweitert bestehende Exploit-Verhinderungstechnologien.
Defender SmartScreen
SmartScreen ist bereits seit einigen Windows-Versionen Bestandteil des Betriebssystems auf Clients und Servern und wurde mit Windows 10 in Microsoft Defender SmartScreen [8] umbenannt. Das Werkzeug hilft dabei, den Aufruf von Webseiten, die als Phishing- oder Malware-Verbreiter gemeldet wurden, zu verhindern und den Download von potenziell gefährlichen Dateien zu blockieren. Defender SmartScreen ermittelt folgendermaßen, ob eine Webseite potenziell gefährlich ist:
- Analyse der besuchten Webseiten und Suche nach Hinweisen auf verdächtiges Verhalten. Ist dies der Fall, zeigt SmartScreen eine Warnseite und rät zur Vorsicht.
- Vergleich der besuchten Webseiten mit einer dynamischen Liste an gemeldeten Phishing- und Schadsoftware-Portalen. Bei einer Übereinstimmung zeigt SmartScreen ebenfalls eine Warnung an, dass die Webseite möglicherweise schädlich ist.
Ob eine heruntergeladene App oder ein App-Installer eventuell gefährlich ist, versucht Smart-Screen auf folgende Arten herauszufinden:
- Vergleich der heruntergeladenen Dateien mit einer Liste von gemeldeten Webseiten und Programmen mit Schadsoftware, die als unsicher bekannt sind. Bei Übereinstimmung zeigt Smart­Screen eine entsprechende Warnung an.
- Vergleich der heruntergeladenen Dateien mit einer Liste von bekannten Files, die von vielen Windows-Benutzern heruntergeladen werden. Wenn die Datei nicht in dieser Liste auftaucht, zeigt SmartScreen eine Warnung und rät zur Vorsicht.
Die Konfiguration von SmartScreen erfolgt mithilfe von Active-Directory-Gruppenrichtlinien oder einem Werkzeug zum Mobile Device Management wie Microsoft Intune.
Bild 3: Die Konfiguration von Defender Exploit Guard erfolgt im Defender Security Center.
BSI-Empfehlungen für Windows 10
Ein Großteil der erfolgreichen Angriffe auf Systeme mit Windows 10 lässt sich bereits mit den im Betriebssystem vorhandenen Bordmitteln erkennen oder verhindern. Um die passende Konfiguration des Betriebssystems zu erleichtern, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) unlängst Handlungsempfehlungen zur Absicherung von Windows-Systemen veröffentlicht [9] – die "Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10" (SiSyPHuS). Ein Fokus bei der Erstellung lag auf der einfachen Umsetzung und praktischen Anwendung. Aus diesem Grund stellt das BSI die empfohlenen Konfigurationseinstellungen als direkt importierbare Gruppenrichtlinienobjekte zum Download bereit.
In der Sicherheitsanalyse untersucht das BSI sicherheitskritische Funktionen des Betriebssystems. Ziel sei es, die Sicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können, Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems zu identifizieren sowie praktisch nutzbare Ratschläge für eine Härtung und den sicheren Einsatz zu erstellen. Die Empfehlungen aus SiSyPHuS richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Aber auch technisch versierte Bürgerinnen und Bürger können die aufgeführten Punkte umsetzen, abhängig von der eingesetzten Windows-10-Version.
Die Empfehlungen, GPOs sowie andere bereits veröffentlichte Teilergebnisse zur Studie sind auf der Website des BSI abrufbar. Weitere Folgerungen aus anderen Teilbereichen der Studie möchte das BSI sukzessive veröffentlichen. Die Analysen umfassen unter anderem Komponenten wie die PowerShell, die "Application Com­patibility Infrastructure", das Treibermanagement und den PatchGuard. Untersuchungsgegenstand war Windows 10 Enterprise LTSC 2019 64-Bit in deutscher Sprache.
Fazit
Microsoft hat sich mit Windows 10 bemüht, die Liste der neuen Sicherheitsfunktionen zusätzlich zu den bereits integrierten Funktionen auszubauen, und hat dadurch ein besseres Schutzniveau als in älteren Betriebssystem-Versionen erreicht. Die halbjährlichen Updates und die immer stärkere Integration in die Azure Cloud machen Windows 10 zu einem der sichersten Betriebssysteme auf dem Markt. Leider setzen viele Funktionen die Verwendung der Enterprise-Version und eine Cloudintegration voraus.
(ln)
Link-Codes