[English]Windows 11 ist bereits jetzt das "sicherste Betriebssystem der Galaxie", aber es soll noch sicherer werden – die Microsoft Secure Initiative lässt grüßen. Daher hat Microsoft die Funktion "Quick Machine Recovery" angekündigt. Eine Funktion, um Windows nach Debakeln wie bei Crowd Strike schneller wieder lauffähig zu bekommen. Virenscanner sollen nicht mehr im Kernelmodus laufen, Anwendungen seltener Administratorenrechte benötigen. Hier ein Abriss der zahlreichen "Versprechen".
Anzeige
Aktuell läuft die Ignite 2024-Konferenz für Entwickler, IT-Experten und Partner. Da haben die Microsoft-Verantwortlichen ein wahres Feuerwerk an neuen Ideen präsentiert. Von der Simultanübersetzung bei Teams bis hin zum noch sichereren "sichersten Windows aller Zeiten". Zum 19. November 2024 hat Microsoft einige Funktionen vorgestellt, wie Windows 11 in Sicherheitsaspekten weiter entwickelt werden soll. Die Ideen wurden im Windows Blog im Beitrag Windows security and resiliency: Protecting your business kund getan.
Falls es jemand nicht mitbekommen haben sollte, bei Microsoft hat – seit die Secure Future Initiative (SFI) nach den heftigen Sicherheitsvorfällen mit gehackter Cloud bekannt wurde – die "Sicherheit oberste Priorität", und mit jeder neuen Version wird Windows noch sicherer. Wir sind ja bereits bei der Version 11, da ist alles inzwischen bombensicher – aber "wir arbeiten daran" das halt noch sicherer zu machen.
Da scheut man sich bei Microsoft auch nicht, mal eben ein Oxymoron heranzuziehen und zu behaupten, dass der Schutz der Daten und die Gewährleistung der Integrität der Systeme von Kunden von größter Bedeutung sei. Vom Chip bis zur Cloud biete Microsoft mehrere Sicherheitsebenen, um Identitäten und Daten zu schützen, und ermögliche ein umfassendes Ökosystem für Innovationen in einer kritischen Zeit.
Sicherheit und Widerstandsfähigkeit
David Weston, Vice President Enterprise and OS Security at Microsoft, schreibt, dass Sicherheit und Widerstandsfähigkeit von Windows 11 die oberste Priorität für Microsoft sei. Man habe Lehren aus dem CrowdStrike-Vorfall (siehe zum Beispiel Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen) vom Juli 2024 gezogen. Bereits im September 2024 hatte Microsoft ja erste Änderungen angekündigt (siehe Nach CrowdStrike: Microsoft plant Security-Lösungen aus dem Windows-Kernel zu entfernen). Im betreffenden Blog-Beitrag führt Microsoft folgende Verbesserungs-Ziele auf:
Anzeige
- Benutzern und Anwendungen ermöglichen, mehr ohne Administratorrechte zu tun.
- Stärkere Kontrolle darüber, welche Anwendungen und Treiber ausgeführt werden dürfen.
- Verbesserter Identitätsschutz, um Phishing-Angriffe zu verhindern.
Im Rahmen dieser Verbesserungs-Ziele hat man dann konkrete Funktionen skizziert, die das künftig erfüllen sollen.
Ankündigung von Quick Machine Recovery
Der CrowdStrike-Vorfall, bei dem Millionen Maschinen nicht mehr bootfähig waren, weil eine Schutzfunktion diese lahm gelegt hat, waren ein Weckruf. Daher erfolgte die Ankündigung von Quick Machine Recovery, was Anfang 2025 für die Windows Insider Program Community verfügbar sein wird.
Diese Funktion soll es IT-Administratoren ermöglichen, gezielte Korrekturen von Windows Update auf PCs auszuführen, selbst wenn die Rechner nicht starten können, ohne dass sie physischen Zugriff auf den PC benötigen. Diese Remote-Wiederherstellung soll nicht mehr arbeitsfähige Mitarbeiter schneller von streikenden Windows-Systemen befreien.
Virenschutz läuft nicht mehr im Kernelmodus
Im Rahmen der Microsoft Virus Initiative (MVI) arbeitet man mit Antivirus-Anbietern zusammen. Es werden Safe Deployment Practices eingeführt, die alle Sicherheitsprodukt-Updates schrittweise erfolgen müssen. Es sollen Deployment-Ringe genutzt werden und eine Überwachung stattfindet, um sicherzustellen, dass die negativen Auswirkungen der Updates auf ein Minimum beschränkt werden (CrowdStrike lässt grüßen).
Microsoft entwickelt auch neue Windows-Funktionen, die es Entwicklern von Sicherheitsprodukten ermöglichen, ihre Produkte außerhalb des Kernel-Modus zu entwickeln. Dies bedeutet, dass Sicherheitsprodukte, wie z. B. Antivirenlösungen, im Benutzermodus ausgeführt werden können, genau wie Anwendungen.
Weiterhin führt Microsoft im Blog-Beitrag aus, dass Windows 11 bereits vom Design sicherer als Windows 10 sei und will dies mit weiteren Maßnahmen weiter verbessert. Details lassen sich im verlinkten Blog-Beitrag nachlesen. Was haltet ihr von diesen Ankündigungen?
Anzeige
Die Ideen und andere angekündigten Sachen hören sich im Prinzip erst mal gut an.
Ob es dann aber gut gemacht wird bleibt abzuwarten, wie bei allen Software-Firmen dieser Welt.
Dazwischen werden dann noch irgendwelche Behörden grätschen die dann wieder (Berechtigt oder nicht) irgendwas zu bemängeln haben.
Die Bedienbarkeit solcher Sachen wird auch eine Rolle spielen, ob das dann genutzt wird.
Der CrowdStrike-Vorfall, aber auch andere, wären für mich Anlass gewesen, das Produkt "Windows" in seiner Gesamtheit in Frage zu stellen.
Die technischen Schulden des Betriebssystems lassen sich kaum beziffern. Es wird also immer mehr Ballast mitgeschleppt und drumherum gebaut, oders anders ausgedrückt: Pfusch am Pfusch. Letztlich müssen es die leidgeplagten Kunden ausbaden.
Spätestens nach Windows 8 / 8.1 hätte man die Lehren ziehen können und müssen, dass sich "Windows" auch architektonisch neu aufstellen muss. Das Scheitern von Windows 10X hat dann ungewollt tiefe Einblicke in die Unternehmensführung gegeben, auch wenn dies kaum thematisiert wurde.
Inkonsistenz im Produktdesign und Inkonsequenz im Management können keine guten Produkte garantieren. Und so dürfen wir zusehen, wie sich "Windows" und Co. immer weiter vom Kunden entfernen.
Da sind wir dann beim Thema EU-Produkthaftungsrichtlinie 2024/2853.
"dass Sicherheitsprodukte, wie z. B. Antivirenlösungen, im Benutzermodus ausgeführt werden können"
Das sehe ich durchaus kritisch. Denn alles was im Benutzermodus läuft, ist durch den Benutzer (=pot. Angreifer) auch leichter angreifbar. Das heißt, die Antivirenlösung braucht wieder einen umfangreicheren Selbstschutz (Tamper-Protection, etc.) was auch Performance kostet. Und tiefgreifende Sicherheitsfunktionen, die aus Benutzerebene erreichbar sind, damit hier der Antivirus andocken kann, sind potentiell auch eine Angriffsfläche.
Besser wäre IMHO, den Systemstart robuster zu machen, in dem alle vom System aus gestarteten Dienste strenger auf Funktion/erfolgreichen Start überwacht werden, und wenn etwas 3x hintereinander schief geht, wird es abgeschaltet und für eine Reparatur "geflagt" und per Telemetrie an MS bzw. den Hersteller geloggt, sofern es nicht unbedingt "Systemrelevant "ist (bedeutet: System kommt wengistens "abgesichert" für Reparaturen hoch.
Ist ein Argument – aber ich bin mal gespannt, wie die das implementieren. Sie könnten die Prozesse ja durchaus im User-Mode laufen lassen, aber eine entsprechende Berechtigungsebene einziehen, die mehr Rechte als ein Administrator erfordert. Stirbt ein solcher Prozess im User-Space, reißt er den Kernel nicht mit in den digitalen Orkus – oder liege ich da falsch?
Würde mich freuen, wenn MS mal sich selbst an die vorgeschlagenen Regeln insbesondere seiner Updates halten würden.
Musste zwischenzeitlich zur Physiotherapie (nicht wegen Windows) – werde noch einige Gedanken meinerseits ergänzen.