[English]Windows 11 ist bereits jetzt das "sicherste Betriebssystem der Galaxie", aber es soll noch sicherer werden – die Microsoft Secure Initiative lässt grüßen. Daher hat Microsoft die Funktion "Quick Machine Recovery" angekündigt. Eine Funktion, um Windows nach Debakeln wie bei Crowd Strike schneller wieder lauffähig zu bekommen. Virenscanner sollen nicht mehr im Kernelmodus laufen, Anwendungen seltener Administratorenrechte benötigen. Hier ein Abriss der zahlreichen "Versprechen".
Anzeige
Aktuell läuft die Ignite 2024-Konferenz für Entwickler, IT-Experten und Partner. Da haben die Microsoft-Verantwortlichen ein wahres Feuerwerk an neuen Ideen präsentiert. Von der Simultanübersetzung bei Teams bis hin zum noch sichereren "sichersten Windows aller Zeiten". Zum 19. November 2024 hat Microsoft einige Funktionen vorgestellt, wie Windows 11 in Sicherheitsaspekten weiter entwickelt werden soll. Die Ideen wurden im Windows Blog im Beitrag Windows security and resiliency: Protecting your business kund getan.
Falls es jemand nicht mitbekommen haben sollte, bei Microsoft hat – seit die Secure Future Initiative (SFI) nach den heftigen Sicherheitsvorfällen mit gehackter Cloud bekannt wurde – die "Sicherheit oberste Priorität", und mit jeder neuen Version wird Windows noch sicherer. Wir sind ja bereits bei der Version 11, da ist alles inzwischen bombensicher – aber "wir arbeiten daran" das halt noch sicherer zu machen.
Da scheut man sich bei Microsoft auch nicht, mal eben ein Oxymoron heranzuziehen und zu behaupten, dass der Schutz der Daten und die Gewährleistung der Integrität der Systeme von Kunden von größter Bedeutung sei. Vom Chip bis zur Cloud biete Microsoft mehrere Sicherheitsebenen, um Identitäten und Daten zu schützen, und ermögliche ein umfassendes Ökosystem für Innovationen in einer kritischen Zeit.
Sicherheit und Widerstandsfähigkeit
David Weston, Vice President Enterprise and OS Security at Microsoft, schreibt, dass Sicherheit und Widerstandsfähigkeit von Windows 11 die oberste Priorität für Microsoft sei. Man habe Lehren aus dem CrowdStrike-Vorfall (siehe zum Beispiel Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen) vom Juli 2024 gezogen. Bereits im September 2024 hatte Microsoft ja erste Änderungen angekündigt (siehe Nach CrowdStrike: Microsoft plant Security-Lösungen aus dem Windows-Kernel zu entfernen). Im betreffenden Blog-Beitrag führt Microsoft folgende Verbesserungs-Ziele auf:
Anzeige
- Benutzern und Anwendungen ermöglichen, mehr ohne Administratorrechte zu tun.
- Stärkere Kontrolle darüber, welche Anwendungen und Treiber ausgeführt werden dürfen.
- Verbesserter Identitätsschutz, um Phishing-Angriffe zu verhindern.
Im Rahmen dieser Verbesserungs-Ziele hat man dann konkrete Funktionen skizziert, die das künftig erfüllen sollen.
Ankündigung von Quick Machine Recovery
Der CrowdStrike-Vorfall, bei dem Millionen Maschinen nicht mehr bootfähig waren, weil eine Schutzfunktion diese lahm gelegt hat, waren ein Weckruf. Daher erfolgte die Ankündigung von Quick Machine Recovery, was Anfang 2025 für die Windows Insider Program Community verfügbar sein wird.
Diese Funktion soll es IT-Administratoren ermöglichen, gezielte Korrekturen von Windows Update auf PCs auszuführen, selbst wenn die Rechner nicht starten können, ohne dass sie physischen Zugriff auf den PC benötigen. Diese Remote-Wiederherstellung soll nicht mehr arbeitsfähige Mitarbeiter schneller von streikenden Windows-Systemen befreien.
Virenschutz läuft nicht mehr im Kernelmodus
Im Rahmen der Microsoft Virus Initiative (MVI) arbeitet man mit Antivirus-Anbietern zusammen. Es werden Safe Deployment Practices eingeführt, die alle Sicherheitsprodukt-Updates schrittweise erfolgen müssen. Es sollen Deployment-Ringe genutzt werden und eine Überwachung stattfindet, um sicherzustellen, dass die negativen Auswirkungen der Updates auf ein Minimum beschränkt werden (CrowdStrike lässt grüßen).
Microsoft entwickelt auch neue Windows-Funktionen, die es Entwicklern von Sicherheitsprodukten ermöglichen, ihre Produkte außerhalb des Kernel-Modus zu entwickeln. Dies bedeutet, dass Sicherheitsprodukte, wie z. B. Antivirenlösungen, im Benutzermodus ausgeführt werden können, genau wie Anwendungen.
Administratorschutz soll helfen
Weiterhin führt Microsoft im Blog-Beitrag aus, dass Windows 11 bereits vom Design sicherer als Windows 10 sei und will dies mit weiteren Maßnahmen weiter verbessern. Ein Punkt, der explizit erwähnt wird, ist der Administratorschutz, der sich derzeit in der Testphase befinden soll.
Mir sind die Augen aus dem Kopf gefallen, als ich das las. Eigentlich hat Microsoft mit seinen Standardkonten und der Benutzerkontensteuerung schon bestimmte Schutzmechanismen in Windows seit Vista eingezogen. Führte dazu, dass ich seit Windows Vista standardmäßig mit einem Standard-Benutzerkonto arbeite. Und mit der klassischen Systemsteuerung gab es – bis auf wenige Ausnahmen – keinen Grund, zum Administratorkonto zu wechseln.
Springen wir dich mal zurück ins Jahr 2017 – denn damals hatte ich den Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit? hier im Blog. Dort wies ich auf eine bedenkliche Entwicklung hin, weil Microsoft die klassische Systemsteuerung durch die Einstellungen-App ablösen möchte. Die Einstellungen-App unterstützt (wegen der gewählten Implementierung über HTML-JScript-Lösungen) aber keine Benutzerkontensteuerung. Bist Du als Standardbenutzer angemeldet, bekommst Du Optionen, die Administratorberechtigungen benötigen, nicht als Link zum Abrufen angezeigt. Das zwingt die Leute regelrecht zum Arbeiten mit Administratorkonten – die Windows XP-Verhältnisse sind zurück. Was hab ich seinerzeit von den Leuten in Kommentaren für meine Aussagen "was virtuell auf die Mütze bekommen" – seit reinstes Microsoft-Bashing (ist mir irgendwie in Erinnerung geblieben).
Und jetzt lese ich bei Microsoft mit Verwunderung die Erkenntnis: Der Benutzerzugriff auf kritische Systemressourcen wird bei Standardkonten blockiert und das verhindert, dass Malware oder Anwendungen unbemerkt Rechnerkonfigurationen ändern. Die Standardbenutzerberechtigung seien jedoch für die Benutzer frustrierend, da sie einige gängige Aufgaben wie das Ändern der Zeiteinstellungen oder die Installation von Produktivitätsanwendungen nicht durchführen können.
Microsoft begründet dies damit, dass ein Standardbenutzer in vielen Fällen nicht über die Administratorberechtigung verfügt. Ich habe bei meinen Systemen ja die Möglichkeit, mir Administratorberechtigungen zu gewähren. Das ist bei der Einstellungen-App aber nicht möglich – ich muss mich entweder am Administratorkonto anmelden oder die klassische Systemsteuerung mit ihren Befehlen, die eine UAC-Unterstützung haben, verwenden. Führt (zusammen mit dem Umstand, dass bei der Windows-Installation nur ein Administratorkonto angelegt wird) dazu, dass die Leute alle mit Benutzerkonten aus der Gruppe der Administratoren arbeiten, wenn sie nicht von einem Firmenadministrator daran gehindert und auf Standardbenutzerkonten gezwungen werden.
Microsoft schreibt, dass die Standardbenutzerberechtigung auch einen zusätzlichen Aufwand für die IT-Abteilung bedeutet, um die Benutzer bei akzeptablen Aufgaben zu unterstützen, es sei denn, die IT verfüge über Tools wie Microsoft Intune Endpoint Privilege Management. Das ist natürlich ein Punkt, der an Microsoft geht.
Der (derzeit in der Preview-Phase befindliche) Administratorschutz, ist eine neue Lösung Microsofts, die diese Problematik entschärfen soll. Der Benutzer verfügt standardmäßig über die Sicherheit von Standardbenutzerberechtigungen. Bei Bedarf soll er dennoch problemlos Systemänderungen, einschließlich der Installation von Apps, auf seinem System vornehmen können.
Mit dem Administratorschutz wird der Benutzer laut Microsoft, wenn eine Systemänderung Administratorrechte erfordert, wie z. B. bei der Installation einiger Anwendungen, aufgefordert, die Änderung mit Windows Hello als sicher zu autorisieren. Windows erstellt ein temporäres, isoliertes Admin-Token, um die Aufgabe zu erledigen. Das Token verfällt nach Abschluss der Aufgabe. Der Administratorschutz stellt sicher, dass Benutzer und nicht Malware die Kontrolle über die Systemressourcen behalten.
Außerdem würden Angreifer gestört, da sie ohne spezielle Windows Hello-Autorisierung nicht mehr automatisch und direkt auf den Kernel oder andere, als kritisch eingestufte Systemfunktionen zugreifen können. Für mich klingt das nach "könnte theoretisch ein hilfreicher Ansatz werden, läuft aber möglicherweise auf Schlangenöl hinaus".
Weitere Sicherheitsfunktionen
Weiterhin verspricht Microsoft den verbesserten Schutz von Anmeldeinformationen. Denn der Diebstahl von Zugangsdaten und Identitäten ist ein Hauptanliegen von Cyberangreifern. Hier will Microsoft eine Multifaktor-Authentifizierung (MFA) über Windows Hello pushen. Windows Hello wurde, als integrierte MFA-Lösung in Windows, weiter gehärtet und um die Unterstützung von Passkeys erweitert. Windows Hello werde auch zum Schutz von Recall und Personal Data Encryption eingesetzt.
Ein weiterer Punkt sind vertrauenswürdige Apps und Treiber, auf die Microsoft seine Hoffnungen setzt. Viele Angriffe würden nur erfolgen, weil Benutzer unsichere oder nicht signierte Anwendungen und Treiber herunterladen. Die Richtlinien Smart App Control und App Control for Business geben der IT die Möglichkeit, sicherzustellen, dass nur verifizierte Apps auf dem Gerät der Nutzer ausgeführt werden können.
Zum letztgenannten Punkt geht mir durch den Kopf: Nicht vertrauenswürdige Apps und Treiber sind doch eigentlich nur ein Problem auf nicht verwalteten Systemen. Auf Systemen, die in Unternehmen zentral von der IT administriert werden, installiert der Anwender doch keine unsicheren Treiber und Anwendungen. Der Klemmer kommt doch nur auf, weil Microsoft Installationen von Apps über Appx oder als Add-Ins zulässt – oder sehe ich das falsch? Microsoft ist sich sicher, dass durch die Maßnahmen Angriffe über bösartige Anhänge oder Social-Engineering-Malware verhindert werden.
IT-Administratoren sollen in Assistenten für die App-Kontrolle einfach eine Vorlage "Signierte und seriöse Richtlinie" auswählen können, um Millionen von verifizierten Apps unabhängig vom Bereitstellungsort, auszuführen. Microsoft nicht bekannte Geschäftsanwendungen, können, so das Versprechen, vom IT-Administrator durch Richtlinienänderungen oder über Microsoft Intune Managed App Deployments problemlos zur Liste der zulässigen Apps hinzugefügt werden.
Erwähnt wird auch Windows Protected Print als Neuerung. Diese Technologie funktioniert nahtlos mit Mopria-zertifizierten Geräten und erfordert keine Treiber von Drittanbietern. Der Ansatz wurde entwickelt, um viele der früheren Sicherheitsprobleme mit Druckertreibern zu entschärfen.
Neu ist auch die eingeführte, persönliche Datenverschlüsselung für bekannte Ordner in Windows 11 Enterprise. Diese nutzt eine Windows Hello-Authentifizierung zum schützen von Dateien, die in den Ordnern Desktop, Dokumente und Bilder gespeichert sind. Angezeigt wird der Schutz durch ein Schlosssymbol auf der Datei.
Ist die persönliche Datenverschlüsselung aktiviert, kann ein Geräteadministrator den Inhalt der Dateien nicht einsehen, da die Dateien verschlüsselt bleiben, bis sich der Nutzer mit Windows Hello authentifiziert. Da wird es spannend sein, zu beobachten, wie die IT-Administration sicherstellen kann, dass bei "Verlust" des Mitarbeiters die berechtigen Personen des Unternehmens an diese Daten heran kommen.
Ein IT-Administrator kann mit Microsoft Intune (oder einem anderen Verwaltungstool) alle oder eine Teilmenge dieser Ordner auswählen, um Personal Data Encryption anzuwenden. Es lässt sich mit OneDrive und SharePoint auf Microsoft 365 integrieren, um eine einfache Zusammenarbeit zu ermöglichen.
Personal Data Encryption kann unabhängig von BitLocker oder anderen Lösungen verwendet werden, und in Kombination mit BitLocker bietet es doppelten Verschlüsselungsschutz. Softwareentwickler können auch die Personal Data Encryption-API nutzen, um den Schutz ihrer Anwendungsdaten zu erweitern.
Einige Gedanken dazu
Es ist eine Entwicklerkonferenz und es ist legitim von Microsoft, da einige neue Ideen vorzustellen. Die Sicherheitsvorfälle der letzten 24 Monate zwingen Redmond dazu, aktiv zu werden. Aber es bleibt abzuwarten, wann und wie das Ganze implementiert und umgesetzt wird. Das Desaster mit Recall in Windows 11 zeigt, wie etwas ziemlich schief gehen kann.
Egal, wie sinnvoll so manche vorgestellte Neuerung in der Theorie ausschauen mag. Am Ende des Tage zählt, wie es praktisch umgesetzt wird und ob es handhabbar ist. Für mich sieht es so aus, als ob das einige "Balkönchen" an ein wackeliges Gebäude geschraubt werden, in der Hoffnung, dass das Ganze besser hält.
Am Ende des Tages bleibt abzuwarten, wie stabil und bugfrei das Zeugs ausgerollt wird, und ob die Neuerungen das halten, was sich Microsoft davon verspricht. Die täglich empfundene Praxis im Umgang mit dem "gefühlt seit 20 Jahren sichersten Windows aller Zeiten" lässt eine gewisse Skepsis aufkommen, dass alles besser wird. Details lassen sich im verlinkten Blog-Beitrag nachlesen. Was haltet ihr von diesen Ankündigungen?
Anzeige
Die Ideen und andere angekündigten Sachen hören sich im Prinzip erst mal gut an.
Ob es dann aber gut gemacht wird bleibt abzuwarten, wie bei allen Software-Firmen dieser Welt.
Dazwischen werden dann noch irgendwelche Behörden grätschen die dann wieder (Berechtigt oder nicht) irgendwas zu bemängeln haben.
Die Bedienbarkeit solcher Sachen wird auch eine Rolle spielen, ob das dann genutzt wird.
Der CrowdStrike-Vorfall, aber auch andere, wären für mich Anlass gewesen, das Produkt "Windows" in seiner Gesamtheit in Frage zu stellen.
Die technischen Schulden des Betriebssystems lassen sich kaum beziffern. Es wird also immer mehr Ballast mitgeschleppt und drumherum gebaut, oders anders ausgedrückt: Pfusch am Pfusch. Letztlich müssen es die leidgeplagten Kunden ausbaden.
Spätestens nach Windows 8 / 8.1 hätte man die Lehren ziehen können und müssen, dass sich "Windows" auch architektonisch neu aufstellen muss. Das Scheitern von Windows 10X hat dann ungewollt tiefe Einblicke in die Unternehmensführung gegeben, auch wenn dies kaum thematisiert wurde.
Inkonsistenz im Produktdesign und Inkonsequenz im Management können keine guten Produkte garantieren. Und so dürfen wir zusehen, wie sich "Windows" und Co. immer weiter vom Kunden entfernen.
Da sind wir dann beim Thema EU-Produkthaftungsrichtlinie 2024/2853.
Finde ich jetzt nicht ganz fair. Seit Windows Vista wird enorm viel in die Kapselung von Funktionen/Modulen und deren Unabängigkeit von anderen Modulen unternommen. Das wurde mit jeder Version besser. Insofern ist nicht das Basis-Produkt/Konzept an sich bescheiden sondern allenfalls das Tempo der Umsetzung. z.B. NTLM das auch für gewisse Windows Komponenten benötigt wird usw.
Das Problem sind die elenden durchlöcherungen des guten Konzepts. Dazu gehören insbesondere durch die Apps. Auch das Tempo könnte man MS allenfalls ankreiden.
"dass Sicherheitsprodukte, wie z. B. Antivirenlösungen, im Benutzermodus ausgeführt werden können"
Das sehe ich durchaus kritisch. Denn alles was im Benutzermodus läuft, ist durch den Benutzer (=pot. Angreifer) auch leichter angreifbar. Das heißt, die Antivirenlösung braucht wieder einen umfangreicheren Selbstschutz (Tamper-Protection, etc.) was auch Performance kostet. Und tiefgreifende Sicherheitsfunktionen, die aus Benutzerebene erreichbar sind, damit hier der Antivirus andocken kann, sind potentiell auch eine Angriffsfläche.
Besser wäre IMHO, den Systemstart robuster zu machen, in dem alle vom System aus gestarteten Dienste strenger auf Funktion/erfolgreichen Start überwacht werden, und wenn etwas 3x hintereinander schief geht, wird es abgeschaltet und für eine Reparatur "geflagt" und per Telemetrie an MS bzw. den Hersteller geloggt, sofern es nicht unbedingt "Systemrelevant "ist (bedeutet: System kommt wengistens "abgesichert" für Reparaturen hoch.
Ist ein Argument – aber ich bin mal gespannt, wie die das implementieren. Sie könnten die Prozesse ja durchaus im User-Mode laufen lassen, aber eine entsprechende Berechtigungsebene einziehen, die mehr Rechte als ein Administrator erfordert. Stirbt ein solcher Prozess im User-Space, reißt er den Kernel nicht mit in den digitalen Orkus – oder liege ich da falsch?
wenn ich mich recht entsinne, kann man bei der Einrichtung von Treibern sagen wie wichtig die sind. Clown Strikes haben in ihrer Aroganz ihren Treiber als existentiell für den Boot Vorgang definiert, was die fatalen Folgen hatte, neben der Aroganz nicht testen und der Aroganz, Updates ungestaffelt zu deployen.
Alles etwas was zu verhindern wäre in dem man solche Produkte nicht verwendet.
Würde mich freuen, wenn MS mal sich selbst an die vorgeschlagenen Regeln insbesondere seiner Updates halten würden.
Musste zwischenzeitlich zur Physiotherapie (nicht wegen Windows) – werde noch einige Gedanken meinerseits ergänzen.
Das heisst etwas abstrakter, Dritte können remote Dinge auf PCs ändern/löschen/einspielen auch wenn diese nicht gestartet sind? What could go wrong…
Das geht. Vorausgesetzt man hat den M$ Cloud PC. Da wurde ja nix von lokaler Kontrolle gesagt, oder?
Das ist durchaus sicher umsetzbar.
Bei Linux kannst du z.B. auch den Kernel so konfigurieren, dass er z.B. eine SSH-Servers während des Boot-Prozesses mitlaufen lässt. Das ist hilfreich, wenn du z.B. mit verschlüsselten Festplatten arbeitest, deren Passwort beim Boot-Prozess eingegeben werden muss, bevor dieser fehlerfrei abgeschlossen wird. In dem Kontext kann man dann die SSH-Shell nutzen, Passwort eingeben, fertig, SSH-Shell wird Abschluss des Boot-Prozesses verworfen.
Übertragen auf Windows wäre es notwendig ein WindowsPE-Lite beim Booten mitlaufen zulassen, wenn der normale Bootvorgang nicht erfolgreich ist, oder manuell angetriggert wird. Das müsste dann natürlich die notwendigen Dienste mitlaufen lassen, um den Login mit Domänen-Account zu erlauben, der berechtigt ist.
Alternative zu einem PE-Lite wäre natürlich, dass ein Schmalspur Hyper-V mitläuft auf den man sich aufschaltet und in dem das eigentliche System läuft.
Des Weiteren stellt sich mir aber folgende Fragen
1. Um diese Funktion sicher anzubieten, wäre dann doch eine saubere Konfiguration, wie bei Androids AB Slots (Es wird immer die System-Update-Version wechselseitig in den Slot A oder B geschrieben, womit bei einem fehlerhaften Update zum unveränderten Slot zurückgegangen werden kann) oder Linux, wo nicht mit Installation des neuesten Kernel der alte automatisch verworfen werden muss? – Denn was bringt es eine dergleichen Funktion zu haben, aber der Kernel ist oder Teile vom Kernel sind durch das Update zerschossen?
2. Wie transparent wird MS damit umgehen, wie gut wird das umgesetzt, oder läuft macht man da an einer anderen Stelle wieder maximal eine neue Tür an Problemen auf?
> Was haltet ihr davon?
Darf ich die Frage an den von mir sehr geschätzten und hier mitlesenden Stephan Kanthak weiterleiten? Er hat hunderte Gegenbeispiele, dass das nur Bla und Blupp ist, was Microsoft hier verzapft.
Lassen Sie doch Mircosoft das ersteimal umsetzten. Jetzt schon wieder meckern ist nicht angesagt. Wenn Sie so ein helles Köpfchen sind, dann gründen Sie ein Unternehmen das ein neues OS entwickelt das zu 99,999% sicher und gut bedienbar ist.
Man kann beide Positionen einnehmen: a) nicht sofort zerreden, was Microsoft vor hat, versus b) äußerst skeptisch bleiben, dass das mehr als weiße Salbe ist.
Da ich einige Beispiele von Stefan Kanthak kenne – und bei so mancher Mail zwischen ihm und dem MSRC auf cc war, was ich hier nicht im Blog thematisiert habe, bin ich persönlich eher bei der Position von Tomas Jakobs als bei dir. Aber hey, Vorschlag zur Güte: Warten wir es ab, es liegt an Microsoft, zu liefern und uns Skeptiker zu überzeugen.
PS: Ich sitze hier seit einige Jahren täglich nasebohrend und warte, dass das passiert. Bisher bin ich leider immer böse enttäuscht worden. Aber als "Berufsoptimist" gebe ich die Hoffnung nicht auf – "Lebbe hat (als Blogger) noch nicht fertig" ;-).
unter Unix gibt es Tools wie chkrootkit, die selbstverständlich nicht als root laufen und auch nicht durch Treiber diese Rechte besorgen. Diese funktionieren ganz gut, weil gewisse Änderungen auch im User Mode sichtbar sind.
Seien geänderte fnodes oder unerwartete Prozess.ID.
Das hier klingt so, als würden Vierenscsnner nur so weil es bequemer ist im Kernmode arbeiten..
Es kann ja nicht sein, das ms eine neue Ebene einzieht, die Kernzugriffe erlaubt, aber nicht so heißt, nur weil das Marketing da Dünnschiss gelabert hat