Authentifizierung, Data Loss Prevention und mehr

Windows 10 und die Sicherheit
Kommentare

Wie Windows 10 am Ende aussehen und welche neuen Funktionen die finale Version tatsächlich aufweisen wird, werden wir erst sehen, wenn sie vorgestellt wird. Aber das, was bisher zur Sicherheit bekannt ist, ist recht vielversprechend. Einen Dämpfer gibt es allerdings doch.

Seit der Veröffentlichung der Technical Preview wissen wir, wohin die Reise bei Windows 10 geht. Am auffälligsten sind die Änderungen an der Oberfläche, wie das neue Startmenü und die virtuellen Desktops. Aber auch unter der Haube hat sich einiges getan. Und soweit es den Sicherheitsbereich betrifft, sind die Änderungen durchaus erfreulich, vor allem für Unternehmen. Jim Alkove war der Erste, der nach der Veröffentlichung der Technical Preview am 22. Oktober 2014 im „Windows For Your Business“-Blog offizielle Informationen zu den Sicherheitsfunktionen von Windows 10 postete. Weitere Informationen gab Chris Hallum, verantwortlich für die Sicherheitsfeatures in Windows und Windows Phone, in einem Interview mit TechRadar.

Benutzername und Passwort sind gefährlich

Lange Zeit reichten Benutzername und Passwort aus, um einen Benutzer sicher zu authentifizieren. Heutzutage werden diese Zugangsdaten beispielsweise nach dem Kompromittieren von Servern massenhaft kopiert und sind außerdem leicht über Social-Engineering- oder Phishing-Angriffe zu erbeuten oder von Spyware auszuspähen. Die übliche Lösung dieses Problems besteht in der Nutzung eines zweiten Faktors, zum Beispiel eines entsprechenden Tokens oder einer Smartphone-App zum Erzeugen von Einmalpasswörtern oder dem Einsatz biometrischer Verfahren wie eines Fingerabdrucksensors.

Doppelte Absicherung

Microsoft hat einen anderen Weg gewählt: Die Geräte selbst werden zu einem von zwei zur Authentifizierung benötigten Faktoren. Der zweite Faktor ist eine PIN oder ein biometrisches Verfahren. Wobei die PIN bis zu 20 Zeichen lang sein und aus Groß- und Kleinbuchstaben, Zahlen, Symbolen und Leerzeichen bestehen kann. Mit anderen Worten: es handelt sich eigentlich um ein ganz normales Passwort, so wie man es schon seit Langem wählen sollte, damit es vor Wörterbuchangriffen sicher ist. Microsoft zieht ein biometrisches Verfahren vor, schließlich will man vom Passwort weg.

Worum es aber eigentlich geht, ist etwas anderes: Ein Angreifer benötigt durch die neue Authentifizierung immer physikalischen Zugriff auf das Gerät des Benutzers, wenn er sich als dieser Benutzer ausgeben will. Durch Phishing erbeutete Zugangsdaten sind für ihn damit nutzlos. Inwieweit das Auswirkungen auf Angriffe mittels Schadsoftware hat, bleibt abzuwarten. Vermutlich werden Cyberkriminelle aber nach Wegen suchen, auch diese Authentifizierung auszuhebeln.

Es können sowohl alle Geräte des Benutzers als auch nur ein einziges für die neue Authentifizierung konfiguriert werden. Als Beispiel für ein zur Authentifizierung konfiguriertes Gerät nennt Jim Alkove ein Smartphone, das mittels Bluetooth zum einzigen universellen Zugangsschlüssel zu allen Konten des Benutzers wird, egal ob es sich um einen lokalen Rechner, ein Netzwerk oder eine Webanwendung handelt. Sie loggen sich dann also bei Ihrem Smartphone ein, und so lange das in der Nähe ist, ermöglicht es ihnen den Zugriff auf ihren Desktop-PC und über diesen beispielsweise auf eine Webanwendung.

Unter der Haube kommen dabei als Credentials entweder ein lokal erzeugtes Public-Key-Schlüsselpaar oder das Zertifikat einer existierenden PKI zum Einsatz. Active Directory, Azure Active Directory und Microsoft Accounts unterstützen Windows 10 von Haus aus.

Es lebe der Standard!

Bei der Authentifizierung setzt Microsoft nicht auf eine Eigenentwicklung, sondern auf die von der Fast IDentity Online (FIDO) Alliance entwickelten Industriestandards, zu deren kommender Version 2.0 man selbst beiträgt. Alternativ geht Microsoft den üblichen Weg und implementiert in Windows 10 eine Lösung, die es dem standardisierten Gremium vorlegt. So oder so wird Windows 10 einen von bestenfalls vielen weiteren Anbietern unterstützten Standard implementieren, der die sichere Authentifizierung bei Webservern etc. ermöglicht (eine entsprechende Verbreitung vorausgesetzt).

Nach der Authentifizierung kommt die Autorisierung

Ebenso wichtig wie die Authentifizierung ist die Autorisierung, also insbesondere der Schutz der nach erfolgreicher Authentifizierung erzeugten Zugriffs-Token der Benutzer. Diese sind zurzeit zum Beispiel durch „Pass the Hash“-Angriffe gefährdet. Microsoft versucht zwar stetig, ihnen einen Riegel vorzuschieben, allerdings werden sie immer wieder durch neue Schwachstellen oder angepasste Angriffsmethoden möglich. Sobald ein Angreifer sich einen Zugriffs-Token verschafft hat, kann er damit im Namen des jeweiligen Benutzers auf dessen Ressourcen zugreifen, ohne seine Zugangsdaten zu benötigen.

Windows 10 speichert diese Zugriffs-Token in einem sicheren Container, der auf einer Hyper-V-Technologie läuft. Daraus können die Token selbst dann nicht extrahiert werden, wenn der Kernel des Systems kompromittiert wurde.

Auch Windows 10 selbst läuft in einem solchen Container. Chris Hallum gibt aber offen zu, dass sich „Pass the Hash“-Angriffe möglicherweise dennoch durchführen lassen, zum Beispiel in Folge eines Implementierungsfehlers. Die Architekturänderungen erschweren diese Angriffe aber so weit, wie es aktuell irgend möglich ist.

Data Loss Prevention (DLP) on Board

Mit der Festplattenverschlüsselung durch BitLocker steht seit Längerem eine Technik für den Schutz gespeicherter Daten zur Verfügung, und mit den Azure Rights Management Services und dem Information Rights Management (IRM) in Microsoft Office gibt es Lösungen für Daten, die das Gerät verlassen. Letzteres aber nur, wenn der Benutzer es aktiv nutzt.

Mit Windows 10 integriert Microsoft eine Lösung für die Data Loss Prevention (DLP) in das System, die Unternehmensdaten und private Daten mithilfe von Containern trennt, und das ohne zusätzlichen Aufwand für den Benutzer. Unternehmenseigene Apps, Daten, E-Mails und Websiteinhalte sowie alle weiteren sensible Daten können automatisch verschlüsselt werden, wenn sie aus dem Unternehmensnetz auf den Rechner übertragen werden. Erzeugen die Benutzer neue Inhalte, können sie dabei festlegen, ob es sich um zu schützende Unternehmensdaten handelt oder nicht. Bei Bedarf kann auch über eine Policy festgelegt werden, dass alle neu erzeugten Daten automatisch den Schutz als Unternehmensdaten genießen sollen.

Über weitere Policies kann verhindert werden, dass geschützte Unternehmensdaten in ungeschützte Daten oder an externe Orte im Web wie zum Beispiel Social Networks kopiert werden. Auch kann über eine Policy festgelegt werden, welche Apps Zugriff auf Unternehmensdaten haben und welche nicht. Das alles funktioniert auf dem Desktop ebenso wie auf Windows-Phone-Geräten. Da die DLP in die herkömmlichen Windows-APIs integriert ist, erfolgt die Ver- und Entschlüsselung für den Benutzer transparent und in allen Apps, die diese APIs zum Öffnen und Speichern verwenden. Darüber hinaus wurde die Unterstützung von Virtual Private Networks verbessert. Beispielsweise gibt es nun die Möglichkeit, festzulegen, welche Apps auf das VPN zugreifen dürfen und welchen der Zugriff verweigert wird.

Ab in den „Walled Garden“!

Bei Bedarf kann Windows 10 so konfiguriert werden, dass nur signierte Apps installiert werden können. Diese stammen entweder aus dem Store von Microsoft oder können innerhalb eines Unternehmens u. a. auch vom jeweiligen Unternehmen selbst signiert werden. Zusätzlich kann die Auswahl auf eine eingeschränkte Menge vertrauenswürdiger Apps beschränkt werden. Ein Unternehmen kann so beispielsweise festlegen, dass nur von der IT-Abteilung überprüfte und anschließend signierte Apps installiert werden können, oder dass nur eine Reihe ausgewählter, von Microsoft signierter Apps zulässig ist. Das alles wirkt allerdings nur dann zuverlässig, wenn das UEFI-Bootsystem bereits entsprechend gesichert ist, um eine Änderung der Konfiguration zu verhindern. Ansonsten könnte Schadsoftware versuchen, ein entsprechend abgesichertes Windows 10 auf die Nutzung unsignierter Apps umzukonfigurieren.

Updates ‑ mal mehr, mal weniger

Für Windows 10 stehen Unternehmen verschiedene Updatemöglichkeiten zur Verfügung: Long-Term Servicing Branches werden in bestimmten Zeitabständen veröffentlicht und sind für unternehmenskritische Systeme gedacht. Sie erhalten nach der Veröffentlichung außer sicherheitsrelevanten Updates nur kritische Updates, aber keine neuen Funktionen oder ähnliches, das möglicherweise zu unerwünschten Nebenwirkungen führen könnte. Der Current Branch for Business ist für normale Endbenutzergeräte gedacht und wird stetig mit Featureupdates versorgt, die für Windows 10 regelmäßig ausgerollt werde sollen.

(Mindestens) eine neue Mitigation

Windows 10 enthält (mindestens) eine neue Mitigation, also eine Schutzmaßnahme, die bestimmte Angriffe zwar nicht vollständig verhindert, sie aber sehr viel komplizierter macht (siehe: Eilers, Carsten: „Lebensretter an Tag Null“, in Windows Developer 10.2014). Sie wird als Control Flow Guard (CFG) bezeichnet und soll verhindern, dass ein Angreifer den vorgesehenen Ablauf des Programms durcheinanderbringt und Code anspringt, der in der aktuellen Situation nicht angesprungen werden darf. Voraussetzung zur Nutzung des CFG ist, dass er sowohl vom Compiler als auch vom Betriebssystem unterstützt wird. Die Visual Studio 2015 Preview enthält die entsprechenden Funktionen bereits.

Erste Schwachstelle

In der Preview-Phase von Windows 10 trat eine erste Schwachstelle auf. Ein einziges manipuliertes Bit reichte aus, um einem Benutzer Administratorrechte zu verschaffen. Ein vor allem von Schadsoftware gerne genutzter Weg, um nach dem Einschleusen des ersten mit reduzierten Rechten laufenden Codes die vollständige Kontrolle über den Rechner zu erlangen.

Nun ist es durchaus üblich, dass Betaversionen, zu denen ja auch die Technical Preview gehört, noch Fehler und auch Schwachstellen enthalten, immerhin handelt es sich ja um Neuentwicklungen. Bei dieser Schwachstelle sieht das leider etwas anders aus. Da sie nunmehr fünfzehn Jahre alt ist, betrifft sie alle noch unterstützten Windows-Versionen sowie auch das nicht mehr unterstützte Windows XP. Was wieder einmal zeigt, dass auch in Windows 10 noch uralte Schwachstellen lauern, und das, obwohl alle Systeme seit Windows Vista nach dem SDL entwickelt werden. Allerdings konnte Vista im ersten Jahr deutlich weniger Schwachstellen aufweisen als Windows XP in seinem ersten Jahr (siehe: Eilers, Carsten: „Microsoft Security Development Lifecycle“, in Windows Developer 4.2012).

Fazit

Die neuen Sicherheitsfunktionen richten sich zwar primär an Unternehmen, aber auch private Nutzer können davon profitieren. Vor allem die Zwei-Faktor-Authentifizierung ist nicht zu verachten, denn der Diebstahl von Zugangsdaten ist ein nicht zu unterschätzendes Problem. Das gleiche gilt für die mehrfache Verwendung von Zugangsdaten   wird die gleiche Benutzername-Passwort-Kombination beispielsweise bei mehreren Webanwendungen genutzt, sind bei einem erfolgreichen Angriff auf eine davon auch alle anderen gefährdet. Wenn das Log-in aber zusätzlich an ein bestimmtes Gerät bzw. einen Fingerabdruck gebunden ist, können Cyberkriminelle mit den erbeuteten Zugangsdaten nichts mehr anfangen.

Ob der „Walled Garden“ für Privatnutzer nützlich ist, ist Geschmackssache. Apple fährt bei iOS sehr gut mit diesem Ansatz, auf der anderen Seite schränkt es natürlich die Auswahl der zu installierenden Apps stark ein   auf das, was in diesem Fall Microsoft gefällt. Aber so lange sich die Einschränkung auf signierte Apps abschalten lässt, ist das kein Problem. Dazu würde es erst, wenn, wie im Fall von iOS, kein Weg aus dem Walled Garden führt und man darin eingesperrt ist.
 
Mehr zum Thema finden Interessierte außerdem auf unserer Windows-10-Themenseite.

Aufmacherbild: Biometric fingerprint identification via Shutterstock.com / Urheberrecht: Sentavio

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -