{"id":193662,"date":"2017-09-02T01:13:00","date_gmt":"2017-09-01T23:13:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=193662"},"modified":"2021-06-07T15:45:22","modified_gmt":"2021-06-07T13:45:22","slug":"microsoft-erklrt-die-schutzmechanismen-in-windows-10","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/09\/02\/microsoft-erklrt-die-schutzmechanismen-in-windows-10\/","title":{"rendered":"Microsoft erkl&auml;rt die Schutzmechanismen in Windows 10"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Microsoft wirbt damit, dass Windows 10 das sicherte Windows aller Zeiten ist, um es an die Kunden zu bringen. Aber was bedeutet das und wo hilft Windows as a Service dabei? In einem neuen Blog-Beitrag legen die Entwickler offen, was sich in Windows 10 in Sachen Sicherheit so tut.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/c164bb7b2e72497dbb9f7d29dfafd522\" width=\"1\" height=\"1\"\/>Anmerkung: Ziel ist es, die Kunden zum Umstieg auf Windows 10 zu bewegen. Der Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20181123025945\/https:\/\/blogs.technet.microsoft.com\/iftekhar\/2017\/08\/28\/threat-mitigation-in-windows-10\/\" target=\"_blank\" rel=\"noopener noreferrer\">Threat Mitigations in Windows 10<\/a> geht auf Probleme und L\u00f6sungen in Punkto Sicherheit ein. <\/p>\n<h2>Das Problem der Entwickler<\/h2>\n<p>Zuerst beleuchtet der Beitrag ein Dilemma, welches Entwickler haben. Bisher wurde alle paar Jahre eine neue Betriebssystemversion ausgerollt. In der Zwischenzeit entwickeln sich aber die Techniken f\u00fcr Angriffe auf Systeme sprunghaft weiter. Vor 10 Jahren gab es, laut Microsoft z.B. folgende Angriffstechniken f\u00fcr Exploits noch nicht:<\/p>\n<ul>\n<li>Stack overrun  <\/li>\n<li>Return Address Corruption  <\/li>\n<li>Shell Code<\/li>\n<\/ul>\n<p>Inzwischen ist aber ein ganzer Sack an Techniken entstanden, um Schwachstellen im Betriebssystem auszunutzen. Microsoft nennt folgende Vertreter:<\/p>\n<ul>\n<li>ARW  <\/li>\n<li>Sandbox bypass  <\/li>\n<li>Heapspray  <\/li>\n<li>Memory Corrupt  <\/li>\n<li>CFG Bypass  <\/li>\n<li>ASLR Bypass  <\/li>\n<li>DEP Bypass  <\/li>\n<li>ROP Shellcode<\/li>\n<\/ul>\n<p>Das macht das Absichern eines Systems gegen Angriffe zur Herausforderung. Mit Windows as a service 'verspricht' Microsoft da ein wirksames Gegenmittel. Denn alle 6 Monate kann man mit einem neuen Feature Upgrade (Funktionsupdate genannt), auf diese Bedrohungen reagieren. Folgende Grafik von Microsoft zeigt die Abfolge der Windows 10-Versionen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Wndows 10 Versionen\" alt=\"Wndows 10 Versionen\" src=\"https:\/\/web.archive.org\/web\/20200725184427\/https:\/\/msdnshared.blob.core.windows.net\/media\/2017\/08\/image_thumb447.png\" width=\"618\" height=\"274\"\/><br \/>(Quelle: Microsoft)<\/p>\n<h2>Antimalware-Verbesserungen bei Windows 10<\/h2>\n<p>In jeder dieser Versionen hat Microsoft auf irgend eine Bedrohung reagiert und neue Techniken eingef\u00fchrt.<\/p>\n<ul>\n<li><strong>User Mode Font Driver (UMFD):<\/strong> Angriffe \u00fcber Schriftartendaten (Fonts) aus Drittherstellerquellen sind ein Einfallsziel. Der Code zum Rendern der Schriften ist recht alt, gibt Microsoft zu. In Windows 10 RTM (TH1) wurde des Rendern der Fonts in einen App-Container verlagert (UMFD), so dass solche Angriffe ins Leere laufen sollen.  <\/li>\n<li><strong>Win32k Syscall Filtering:<\/strong>&nbsp;<strong> <\/strong>Das ist wohl das Angriffsziel Nummer 1, um aus einer Sandbox auszubrechen. Mit ca. 1200 API-Funktionen bietet Windows 10 eine gro\u00dfe Angriffsfl\u00e4che (NT hatte ca. 400 API-Funktionen). In Edge gibt es ein Syscall Filtering, \u00fcber welches man einen Gro\u00dfteil der Angriffsfl\u00e4che entsch\u00e4rfen will. [Problem in meinen Augen: Die Leute sind mit anderen Browsern unterwegs, das Feature ist nutzlos.]  <\/li>\n<li><strong>Less Privileged App Container (LPAC): <\/strong>App Container haben Zugriff auf alle Ressourcen der ALL APPLICATION PACKAGES SID: Die SID hat standardm\u00e4\u00dfig Leseberechtigung auf Ordner. LPAC ist eine in den Rechten beschr\u00e4nkte Version der App Container. Es verbietet standardm\u00e4\u00dfig den Zugriff auf alles. Dann kann explizit der Zugriff auf ein sicheres Objekt erfolgen, welchem explizit der Zugriff per LPAC gew\u00e4hrt wurde.  <\/li>\n<li><strong>Structured Exception Handling Overwrite Protection (SEHOP): <\/strong>Diese Funktion wurde entwickelt, um Exploits zu blockieren, die die Structured Exception Handler (SEH) Technik verwenden. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, hilft er, Anwendungen unabh\u00e4ngig davon zu sch\u00fctzen, ob sie mit den neuesten Verbesserungen kompiliert wurden oder nicht.  <\/li>\n<li><strong>Address Space Layout Randomization (ASLR): <\/strong>ASLR l\u00e4dt DLLs in zuf\u00e4llige Speicheradressen beim Hochfahren. Dadurch wird Malware, die bestimmte Speicherorte (mit geladenen DLLs) angreifen soll, wirkungslos.  <\/li>\n<li><strong>Heap protections:<\/strong> Windows 10 enth\u00e4lt Schutzma\u00dfnahmen f\u00fcr den Heap, wie z. B. Heap-Metadaten-H\u00e4rtung f\u00fcr interne Datenstrukturen, die der Heap verwendet. Windows nutzt auch Heap-Zuweisung Randomisierung, d. h. die Verwendung von randomisierten Adressen und Gr\u00f6\u00dfen f\u00fcr Heap-Speicherzuweisungen. Dies macht es f\u00fcr einen Angreifer schwieriger, den Ort des anzugreifenden Speichers vorherzusagen, und zu \u00fcberschreiben. Heap Protection sch\u00fctzt auch Speicherseiten vor und nach Speicherbl\u00f6cken, die als 'Stolperfallen' f\u00fcr Malware bereitgehalten werden. Wenn ein Angreifer versucht, an einem Block von Arbeitsspeicher vorbeizuschreiben (eine \u00fcbliche Technik, die als Puffer\u00fcberlauf bezeichnet wird), muss der Angreifer eine Schutzseite \u00fcberschreiben. Jeder Versuch, eine Schutzseite zu \u00e4ndern, gilt als Speicherbesch\u00e4digung, und Windows 10 antwortet mit einem sofortigen Beenden der Anwendung.  <\/li>\n<li><strong>Kernel pool protections: <\/strong>Windows 10 enth\u00e4lt Schutzfunktionen wie Kernel DEP und Kernel ASLR f\u00fcr den Speicherpool, der vom Kernel verwendet wird. Beispielsweise sch\u00fctzt das sichere Entkoppeln vor Pool-\u00dcberl\u00e4ufen, die mit Entkoppelungsoperationen kombiniert werden, um einen Angriff zu erzeugen.  <\/li>\n<li><strong>Control Flow Guard:<\/strong> Control Flow Guard (CFG) ist eine Schutztechnik vor Malwareangriffen, die keine Konfiguration innerhalb des Betriebssystems erfordert, sondern beim Kompilieren in Software integriert werden kann. Die Technik ist in Microsoft Edge, im IE11 und in andere Funktionen von Windows 10 integriert. Es kann auch in Anwendungen eingebaut werden, wenn sie kompiliert werden.\n<p>CFG kann f\u00fcr eine solche Anwendung den Versuch eines Angreifers erkennen, den beabsichtigten Codefluss zu \u00e4ndern. In diesem Fall beendet CFG die Anwendung. Administratoren k\u00f6nnen Softwareanbieter auffordern, Windows-Anwendungen mit aktivierter CFG-Kompilierung bereitzustellen.  <\/li>\n<li><strong>Protected Processes:<\/strong> Mit der Funktion verhindert Windows 10, dass nicht vertrauensw\u00fcrdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren. Protected Processes definiert Vertrauensstufen f\u00fcr Prozesse. Weniger vertrauensw\u00fcrdige Prozesse werden daran gehindert, mit vertrauensw\u00fcrdigeren Prozessen zu interagieren und somit mehr vertrauensw\u00fcrdige Prozesse anzugreifen. Windows 10 nutzt Protected Processes umfassender (als fr\u00fchere Versionen) \u00fcber das gesamte Betriebssystem hinweg, und zum ersten Mal k\u00f6nnen Sie Antimalware-L\u00f6sungen in den gesch\u00fctzten Prozessraum einbinden. Das tr\u00e4gt dazu bei, dass die System- und Antimalware-L\u00f6sungen weniger anf\u00e4llig f\u00fcr Manipulationen durch Malware werden, die dann auf dem System landet.  <\/li>\n<li><strong>Universal Windows apps protections:<\/strong> Laden Benutzer Windows-Anwendungen oder sogar Windows Classic-Anwendungen (Win32) aus dem Windows-Store, verspricht Microsoft, dass es h\u00f6chst unwahrscheinlich sei, dass diese Malware enthalten. Hintergrund ist, dass alle Anwendungen einen sorgf\u00e4ltigen \u00dcberpr\u00fcfungsprozess durchlaufen, bevor sie im Store zur Verf\u00fcgung gestellt werden. Apps, die Unternehmen im Rahmen von Sideloading-Prozessen erstellen und vertreiben, m\u00fcssen intern \u00fcberpr\u00fcft werden, um sicherzustellen, dass sie die Sicherheitsanforderungen der Organisation erf\u00fcllen.  <\/li>\n<li><strong>No Child Proc: <\/strong>Angreifer k\u00f6nnen eine Sandbox austricksen, um einen Child-Prozess zu erstellen. Dieser Kindprozess k\u00f6nnte die Schutzmechanismen umgehen. Die No Child Proc-Option verhindert die Ausf\u00fchrung von Code durch das Starten eines Kindprozesses.<\/li>\n<\/ul>\n<p>Es sind in der Tat eine Reihe cleverer Schutzmechanismen in Windows 10 integriert. Wenn ich aber schon lese, dass Store-Apps oder der Edge f\u00fcr diesen Schutz erforderlich ist, schie\u00dft mir spontan ein 'zu kurz gesprungen und am Bedarf vorbei' durch den Kopf. Es bleibt spannend, zu verfolgen, wie das Katz-und-Mausspiel bez\u00fcglich Windows und der Malware weiter geht. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Windows 10 Schutzmechanismen\" alt=\"Windows 10 Schutzmechanismen\" src=\"https:\/\/web.archive.org\/web\/20200725184426\/https:\/\/msdnshared.blob.core.windows.net\/media\/2017\/08\/Pic_thumb1.png\" width=\"616\" height=\"372\"\/><br \/>(Quelle: Microsoft)<\/p>\n<p>Hier ist noch ein Schaubild der Windows 10-Versionen mit den Aufgenommenen Schutzmechanismen. Insgesamt sind die Ans\u00e4tze schon gut \u2013 ob man das aber alle 6 Monate ausrollen muss und dabei alles \u00fcber einen Haufen werfen muss, steht auf einem andere Blatt \u2013 oder wie seht ihr das? (<a href=\"https:\/\/www.neowin.net\/news\/microsoft-persuades-customers-to-upgrade-to-windows-10-citing-increasing-security-threats\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft wirbt damit, dass Windows 10 das sicherte Windows aller Zeiten ist, um es an die Kunden zu bringen. Aber was bedeutet das und wo hilft Windows as a Service dabei? In einem neuen Blog-Beitrag legen die Entwickler offen, was &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/09\/02\/microsoft-erklrt-die-schutzmechanismen-in-windows-10\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-193662","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193662"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193662\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}