{"id":263916,"date":"2022-03-31T16:40:01","date_gmt":"2022-03-31T14:40:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263916"},"modified":"2022-03-31T16:52:28","modified_gmt":"2022-03-31T14:52:28","slug":"sicherheitsfunktion-ermglicht-treiber-blocklisten-in-windows-10-11-und-windows-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/31\/sicherheitsfunktion-ermglicht-treiber-blocklisten-in-windows-10-11-und-windows-server\/","title":{"rendered":"Sicherheitsfunktion erm&ouml;glicht Treiber-Blocklisten in Windows 10, 11 und Windows Server"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/03\/31\/sicherheitsfunktion-ermglicht-treiber-blocklisten-in-windows-10-11-und-windows-server\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft arbeitet daran, den Schutz der aktuellen Versionen von Windows 10, Windows 11 und Windows Server 2016 samt Nachfolgern vor sch\u00e4dlichen Treibern zu verbessern. Dazu soll Windows Defender Application Control (nur in Enterprise-Editionen verf\u00fcgbar) oder HVCI bzw. der S-Mode eine Treiber-Blockliste unterst\u00fctzen, mit der die Ausf\u00fchrung von Treibern kontrolliert und ggf. unterbunden werden kann.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/9113f4ea6b3442a9a881660c5185f412\" alt=\"\" width=\"1\" height=\"1\" \/>Mit Malware verseuchte Treiber k\u00f6nnen erhebliche Sch\u00e4den in Windows-Systemen anrichten, da sie im Kernel des Betriebssystems mit dessen Rechten ausgef\u00fchrt werden. Microsoft hat deshalb strenge Anforderungen f\u00fcr Code, der im Windows-Kernel ausgef\u00fchrt wird. So m\u00fcssen unabh\u00e4ngige Hardwareanbieter (IHVs) und OEMs mit Microsoft zusammen arbeiten, um ihre Treiber f\u00fcr Windows zertifizieren zu lassen.<\/p>\n<h2>Neue Windows-Sicherheitsoption<\/h2>\n<p>Andererseits gelingt es Angreifern immer wieder, Treiber zu infizieren oder anf\u00e4llige Treiber f\u00fcr Angriffe zu nutzen. Hier erm\u00f6glicht Microsoft k\u00fcnftig problematische Treiber \u00fcber eine neue Sicherheitsfunktion in Windows zu blockieren. Es wurde die Tage bereits auf diversen Webseiten angerissen &#8211; denn Microsoft Mitarbeiter David Weston hat das Thema auf <a href=\"https:\/\/twitter.com\/dwizzzleMSFT\/status\/1508217367259611142\" target=\"_blank\" rel=\"noopener\">Twitter<\/a> angesto\u00dfen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/dwizzzleMSFT\/status\/1508217367259611142\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"New Windows security option driver blocklist\" src=\"https:\/\/i.imgur.com\/dVDhvid.png\" alt=\"New Windows security option driver blocklist\" \/><\/a><\/p>\n<p>Windows bekommt eine neue Funktion, die in obigem Screenshot als \"Microsoft Vulnerable Driver Blocklist\" bezeichnet wird. Ist die Funktion in Windows aktiviert, blockiert Windows alle Treiber, von denen bekannt ist, dass sie Sicherheitsl\u00fccken besitzen oder gef\u00e4hrlich sind, \u00fcber interne Sperrrichtlinien.<\/p>\n<p>Die neue Blockliste f\u00fcr anf\u00e4llige Treiber soll dazu beitragen, Systeme gegen von Drittanbietern entwickelte Treiber im gesamten Windows-\u00d6kosystem zu sch\u00fctzen, die eines der folgenden Attribute aufweisen:<\/p>\n<ul>\n<li>Bekannte Sicherheitsschwachstellen, die von Angreifern ausgenutzt werden k\u00f6nnen, um die Berechtigungen im Windows-Kernel zu erh\u00f6hen<\/li>\n<li>B\u00f6sartige Verhaltensweisen (Malware) oder Zertifikate, die zum Signieren von Malware verwendet werden<\/li>\n<li>Verhaltensweisen, die nicht b\u00f6sartig sind, aber das Windows-Sicherheitsmodell umgehen und von Angreifern ausgenutzt werden k\u00f6nnen, um die Berechtigungen im Windows-Kernel zu erh\u00f6hen<\/li>\n<\/ul>\n<p>Problem ist aber, dass die meisten Windows-Nutzer diese Option zum Aktivieren der Funktion nie zu Gesicht bekommen, weil die Voraussetzungen nicht erf\u00fcllt sind.<\/p>\n<h2>Voraussetzung f\u00fcr Treiberblockade<\/h2>\n<p>Dazu hat Microsoft zum 30. M\u00e4rz 2022 den Supportbeitrag <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/windows-defender-application-control\/microsoft-recommended-driver-block-rules\" target=\"_blank\" rel=\"noopener\">Microsoft recommended driver block rules<\/a> ver\u00f6ffentlicht, der einige zus\u00e4tzliche Informationen enth\u00e4lt. So werden die Treiber-Blockier-Regeln nur in nachfolgenden Windows-Versionen unterst\u00fctzt.<\/p>\n<ul>\n<li>Windows 10<\/li>\n<li>Windows 11<\/li>\n<li>Windows Server 2016 und h\u00f6here Server-Versionen<\/li>\n<\/ul>\n<p>Das Ganze ist Bestandteil von Windows Defender Application Control (WDAC) &#8211; eine Funktion, die nur unter Windows-Enterprise und Windows Server verf\u00fcgbar ist. Die Blockierungsrichtlinie f\u00fcr Treiber kann dabei auf folgenden Ger\u00e4tegruppen angewendet werden:<\/p>\n<ul>\n<li>Ger\u00e4te mit aktivierter Hypervisor-gesch\u00fctzter Code-Integrit\u00e4t (HVCI)<\/li>\n<li>Ger\u00e4te mit Windows 10 im S-Modus (S-Modus)<\/li>\n<\/ul>\n<p>H\u00f6rt sich auf der einen Seite gut an, wird aber nur solchen Systemen aus dem Business-Bereich zugute kommen, auf denen <a href=\"https:\/\/docs.microsoft.com\/de-de\/windows\/security\/threat-protection\/device-guard\/enable-virtualization-based-protection-of-code-integrity\" target=\"_blank\" rel=\"noopener\">HVCI<\/a> aktiviert wurde (oder \u00fcberhaupt aktivierbar ist)\u00a0 bzw. auf denen Windows Defender Application Control (WDAC) verf\u00fcgbar ist. Oder Systeme, die mit Windows 10 im S-Modus laufen (wird im Business-Umfeld wohl eher nicht der Fall sein). Microsoft empfiehlt zum Schutz der Ger\u00e4te vor Sicherheitsbedrohungen den HVCI- oder S-Modus zu aktivieren.<\/p>\n<blockquote><p>An dieser Stelle kommen wir zu einem Grund, warum Microsoft in Windows 11 sehr restriktive Hardware-Anforderungen bez\u00fcglich der CPU aufstellt. Nur neuere Prozessoren unterst\u00fctzen direkt die modusbasierte Ausf\u00fchrungssteuerung (MBEC), w\u00e4hrend das Ganze in \u00e4lteren Prozessoren als <em>eingeschr\u00e4nkter Benutzermodus <\/em>emuliert werden muss. Zudem ben\u00f6tigt HVCI mindestens 8 GByte RAM, um automatisch aktiviert zu werden &#8211; ich hatte unter <a href=\"https:\/\/borncity.com\/blog\/2021\/10\/07\/windows-11-mindestanforderungen-bei-masse-der-hardware-nicht-erfllt-microsoft-verrt-by-passing-trick\/\">Windows 11: Mindestanforderungen bei Masse der Hardware nicht erf\u00fcllt, Microsoft verr\u00e4t By-Passing-Trick<\/a> was dazu geschrieben.<\/p><\/blockquote>\n<p>Wenn die Verwendung der beiden oben genannten Modi nicht m\u00f6glich ist, empfiehlt Microsoft, die Liste von Treibern innerhalb Ihrer bestehenden Windows Defender Application Control-Richtlinie zu blockieren. Die Blockade von Treibern durch Windows kann aber dazu f\u00fchren, das Ger\u00e4te oder Software nicht mehr funktionieren &#8211; und in seltenen F\u00e4llen kommt es sogar zu BlueScreens. Administratoren, die diese Funktionalit\u00e4t verwenden m\u00f6chten, sollten daher ausgiebig testen. Dazu gibt es den <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/windows-defender-application-control\/audit-windows-defender-application-control-policies\" target=\"_blank\" rel=\"noopener\">Audit-Mode<\/a>, um WDAC-Policy-Regeln zu erstellen, die sich dann in der Ereignisanzeige \u00fcberpr\u00fcfen lassen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft arbeitet daran, den Schutz der aktuellen Versionen von Windows 10, Windows 11 und Windows Server 2016 samt Nachfolgern vor sch\u00e4dlichen Treibern zu verbessern. Dazu soll Windows Defender Application Control (nur in Enterprise-Editionen verf\u00fcgbar) oder HVCI bzw. der S-Mode eine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/31\/sicherheitsfunktion-ermglicht-treiber-blocklisten-in-windows-10-11-und-windows-server\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694,2557],"tags":[2699,4328,3288],"class_list":["post-263916","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","category-windows-server","tag-defender","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263916"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263916\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}