{"id":306267,"date":"2024-11-20T02:03:02","date_gmt":"2024-11-20T01:03:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306267"},"modified":"2024-11-23T06:50:28","modified_gmt":"2024-11-23T05:50:28","slug":"windows-11-quick-machine-recovery-soll-kommen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/20\/windows-11-quick-machine-recovery-soll-kommen\/","title":{"rendered":"Windows 11: \"Verbesserungen\" wie Quick Machine Recovery geplant"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/11\/23\/windows-11-microsoft-plans-improvements-such-as-quick-machine-recovery\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Windows 11 ist bereits jetzt das \"sicherste Betriebssystem der Galaxie\", aber es soll noch sicherer werden &#8211; die Microsoft Secure Initiative l\u00e4sst gr\u00fc\u00dfen. Daher hat Microsoft die Funktion \"Quick Machine Recovery\" angek\u00fcndigt. Eine Funktion, um Windows nach Debakeln wie bei Crowd Strike schneller wieder lauff\u00e4hig zu bekommen. Virenscanner sollen nicht mehr im Kernelmodus laufen, Anwendungen seltener Administratorenrechte ben\u00f6tigen. Hier ein Abriss der zahlreichen \"Versprechen\".<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/b461057edb1f4c89871c2a8d01b7ce06\" alt=\"\" width=\"1\" height=\"1\" \/>Aktuell l\u00e4uft die Ignite 2024-Konferenz f\u00fcr Entwickler, IT-Experten und Partner. Da haben die Microsoft-Verantwortlichen ein wahres Feuerwerk an neuen Ideen pr\u00e4sentiert. Von der Simultan\u00fcbersetzung bei Teams bis hin zum noch sichereren \"sichersten Windows aller Zeiten\". Zum 19. November 2024 hat Microsoft einige Funktionen vorgestellt, wie Windows 11 in Sicherheitsaspekten weiter entwickelt werden soll. Die Ideen wurden im Windows Blog im Beitrag\u00a0<a href=\"https:\/\/blogs.windows.com\/windowsexperience\/2024\/11\/19\/windows-security-and-resiliency-protecting-your-business\/\" target=\"_blank\" rel=\"noopener\">Windows security and resiliency: Protecting your business<\/a> kund getan.<\/p>\n<p>Falls es jemand nicht mitbekommen haben sollte, bei Microsoft hat &#8211; seit die Secure Future Initiative (SFI) nach den heftigen Sicherheitsvorf\u00e4llen mit gehackter Cloud bekannt wurde &#8211; die \"Sicherheit oberste Priorit\u00e4t\", und mit jeder neuen Version wird Windows noch sicherer. Wir sind ja bereits bei der Version 11, da ist alles inzwischen bombensicher &#8211; aber \"wir arbeiten daran\" das halt noch sicherer zu machen.<\/p>\n<p>Da scheut man sich bei Microsoft auch nicht, mal eben ein Oxymoron heranzuziehen und zu behaupten, dass der Schutz der Daten und die Gew\u00e4hrleistung der Integrit\u00e4t der Systeme von Kunden von gr\u00f6\u00dfter Bedeutung sei. Vom Chip bis zur Cloud biete Microsoft mehrere Sicherheitsebenen, um Identit\u00e4ten und Daten zu sch\u00fctzen, und erm\u00f6gliche ein umfassendes \u00d6kosystem f\u00fcr Innovationen in einer kritischen Zeit.<\/p>\n<h2>Sicherheit und Widerstandsf\u00e4higkeit<\/h2>\n<p>David Weston, Vice President Enterprise and OS Security at Microsoft, schreibt, dass\u00a0Sicherheit und Widerstandsf\u00e4higkeit von Windows 11 die oberste Priorit\u00e4t f\u00fcr Microsoft sei. Man habe Lehren aus dem CrowdStrike-Vorfall (siehe zum Beispiel <a href=\"https:\/\/borncity.com\/blog\/2024\/07\/30\/microsofts-analyse-des-crowdstrike-vorfalls-und-empfehlungen\/\">Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a>) vom Juli 2024 gezogen. Bereits im September 2024 hatte Microsoft ja erste \u00c4nderungen angek\u00fcndigt (siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2024\/09\/13\/nach-crowdstrike-microsoft-plant-security-lsungen-aus-dem-windows-kernel-zu-entfernen\/\">Nach CrowdStrike: Microsoft plant Security-L\u00f6sungen aus dem Windows-Kernel zu entfernen<\/a>). Im betreffenden Blog-Beitrag f\u00fchrt Microsoft folgende Verbesserungs-Ziele auf:<\/p>\n<ul>\n<li>Benutzern und Anwendungen erm\u00f6glichen, mehr ohne Administratorrechte\u00a0 zu tun.<\/li>\n<li>St\u00e4rkere Kontrolle dar\u00fcber, welche Anwendungen und Treiber ausgef\u00fchrt werden d\u00fcrfen.<\/li>\n<li>Verbesserter Identit\u00e4tsschutz, um Phishing-Angriffe zu verhindern.<\/li>\n<\/ul>\n<p>Im Rahmen dieser Verbesserungs-Ziele hat man dann konkrete Funktionen skizziert, die das k\u00fcnftig erf\u00fcllen sollen.<\/p>\n<h3>Ank\u00fcndigung von Quick Machine Recovery<\/h3>\n<p>Der CrowdStrike-Vorfall, bei dem Millionen Maschinen nicht mehr bootf\u00e4hig waren, weil eine Schutzfunktion diese lahm gelegt hat, waren ein Weckruf. Daher erfolgte die Ank\u00fcndigung von Quick Machine Recovery, was Anfang 2025 f\u00fcr die Windows Insider Program Community verf\u00fcgbar sein wird.<\/p>\n<p>Diese Funktion soll es IT-Administratoren erm\u00f6glichen, gezielte Korrekturen von Windows Update auf PCs auszuf\u00fchren, selbst wenn die Rechner nicht starten k\u00f6nnen, ohne dass sie physischen Zugriff auf den PC ben\u00f6tigen. Diese Remote-Wiederherstellung soll nicht mehr arbeitsf\u00e4hige Mitarbeiter schneller von streikenden Windows-Systemen befreien.<\/p>\n<h3>Virenschutz l\u00e4uft nicht mehr im Kernelmodus<\/h3>\n<p>Im Rahmen der Microsoft Virus Initiative (MVI) arbeitet man mit Antivirus-Anbietern zusammen. Es werden Safe Deployment Practices eingef\u00fchrt, die alle Sicherheitsprodukt-Updates schrittweise erfolgen m\u00fcssen. Es sollen Deployment-Ringe genutzt werden und eine \u00dcberwachung stattfindet, um sicherzustellen, dass die negativen Auswirkungen der Updates auf ein Minimum beschr\u00e4nkt werden (CrowdStrike l\u00e4sst gr\u00fc\u00dfen).<\/p>\n<p>Microsoft entwickelt auch neue Windows-Funktionen, die es Entwicklern von Sicherheitsprodukten erm\u00f6glichen, ihre Produkte au\u00dferhalb des Kernel-Modus zu entwickeln. Dies bedeutet, dass Sicherheitsprodukte, wie z. B. Antivirenl\u00f6sungen, im Benutzermodus ausgef\u00fchrt werden k\u00f6nnen, genau wie Anwendungen.<\/p>\n<h3>Administratorschutz soll helfen<\/h3>\n<p>Weiterhin f\u00fchrt Microsoft im Blog-Beitrag aus, dass Windows 11 bereits vom Design sicherer als Windows 10 sei und will dies mit weiteren Ma\u00dfnahmen weiter verbessern.\u00a0Ein Punkt, der explizit erw\u00e4hnt wird, ist der Administratorschutz, der sich derzeit in der Testphase befinden soll.<\/p>\n<p>Mir sind die Augen aus dem Kopf gefallen, als ich das las.\u00a0Eigentlich hat Microsoft mit seinen Standardkonten und der Benutzerkontensteuerung schon bestimmte Schutzmechanismen in Windows seit Vista eingezogen. F\u00fchrte dazu, dass ich seit Windows Vista standardm\u00e4\u00dfig mit einem Standard-Benutzerkonto arbeite. Und mit der klassischen Systemsteuerung gab es &#8211; bis auf wenige Ausnahmen &#8211; keinen Grund, zum Administratorkonto zu wechseln.<\/p>\n<p>Springen wir dich mal zur\u00fcck ins Jahr 2017 &#8211; denn damals hatte ich den Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2017\/02\/27\/windows-10-administration-fehlentwicklung-in-sachen-sicherheit\/\">Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a> hier im Blog. Dort wies ich auf eine bedenkliche Entwicklung hin, weil Microsoft die klassische Systemsteuerung durch die\u00a0<em>Einstellungen-<\/em>App abl\u00f6sen m\u00f6chte. Die <em>Einstellungen-<\/em>App unterst\u00fctzt (wegen der gew\u00e4hlten Implementierung \u00fcber HTML-JScript-L\u00f6sungen) aber keine Benutzerkontensteuerung. Bist Du als Standardbenutzer angemeldet, bekommst Du Optionen, die Administratorberechtigungen ben\u00f6tigen, nicht als Link zum Abrufen angezeigt. Das zwingt die Leute regelrecht zum Arbeiten mit Administratorkonten &#8211; die Windows XP-Verh\u00e4ltnisse sind zur\u00fcck. Was hab ich seinerzeit von den Leuten in Kommentaren f\u00fcr meine Aussagen \"was virtuell auf die M\u00fctze bekommen\" &#8211; seit reinstes Microsoft-Bashing (ist mir irgendwie in Erinnerung geblieben).<\/p>\n<p>Und jetzt lese ich bei Microsoft mit Verwunderung die Erkenntnis: Der Benutzerzugriff auf kritische Systemressourcen wird bei Standardkonten blockiert und das verhindert, dass Malware oder Anwendungen unbemerkt Rechnerkonfigurationen \u00e4ndern. Die Standardbenutzerberechtigung seien jedoch f\u00fcr die Benutzer frustrierend, da sie einige g\u00e4ngige Aufgaben wie das \u00c4ndern der Zeiteinstellungen oder die Installation von Produktivit\u00e4tsanwendungen nicht durchf\u00fchren k\u00f6nnen.<\/p>\n<p>Microsoft begr\u00fcndet dies damit, dass ein Standardbenutzer in vielen F\u00e4llen nicht \u00fcber die Administratorberechtigung verf\u00fcgt. Ich habe bei meinen Systemen ja die M\u00f6glichkeit, mir Administratorberechtigungen zu gew\u00e4hren. Das ist bei der\u00a0<em>Einstellungen<\/em>-App aber nicht m\u00f6glich &#8211; ich muss mich entweder am Administratorkonto anmelden oder die klassische Systemsteuerung mit ihren Befehlen, die eine UAC-Unterst\u00fctzung haben, verwenden. F\u00fchrt (zusammen mit dem Umstand, dass bei der Windows-Installation nur ein Administratorkonto angelegt wird) dazu, dass die Leute alle mit Benutzerkonten aus der Gruppe der Administratoren arbeiten, wenn sie nicht von einem Firmenadministrator daran gehindert und auf Standardbenutzerkonten gezwungen werden.<\/p>\n<p>Microsoft schreibt, dass die Standardbenutzerberechtigung auch einen zus\u00e4tzlichen Aufwand f\u00fcr die IT-Abteilung bedeutet, um die Benutzer bei akzeptablen Aufgaben zu unterst\u00fctzen, es sei denn, die IT verf\u00fcge \u00fcber Tools wie Microsoft Intune Endpoint Privilege Management. Das ist nat\u00fcrlich ein Punkt, der an Microsoft geht.<\/p>\n<p>Der (derzeit in der Preview-Phase befindliche) Administratorschutz, ist eine neue L\u00f6sung Microsofts, die diese Problematik entsch\u00e4rfen soll. Der Benutzer verf\u00fcgt standardm\u00e4\u00dfig \u00fcber die Sicherheit von Standardbenutzerberechtigungen. Bei Bedarf soll er dennoch problemlos System\u00e4nderungen, einschlie\u00dflich der Installation von Apps, auf seinem System vornehmen k\u00f6nnen.<\/p>\n<p>Mit dem Administratorschutz wird der Benutzer laut Microsoft, wenn eine System\u00e4nderung Administratorrechte erfordert, wie z. B. bei der Installation einiger Anwendungen, aufgefordert, die \u00c4nderung mit Windows Hello als sicher zu autorisieren. Windows erstellt ein tempor\u00e4res, isoliertes Admin-Token, um die Aufgabe zu erledigen. Das Token verf\u00e4llt nach Abschluss der Aufgabe.\u00a0Der Administratorschutz stellt sicher, dass Benutzer und nicht Malware die Kontrolle \u00fcber die Systemressourcen behalten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"\" src=\"https:\/\/i.postimg.cc\/kGPBxPtc\/image.png\" alt=\"Administratorschutz in Windows\" width=\"583\" height=\"732\" \/><\/p>\n<p>Au\u00dferdem w\u00fcrden Angreifer gest\u00f6rt, da sie ohne spezielle Windows Hello-Autorisierung nicht mehr automatisch und direkt auf den Kernel oder andere, als kritisch eingestufte Systemfunktionen zugreifen k\u00f6nnen. F\u00fcr mich klingt das nach \"k\u00f6nnte theoretisch ein hilfreicher Ansatz werden, l\u00e4uft aber m\u00f6glicherweise auf Schlangen\u00f6l hinaus\".<\/p>\n<h3>Weitere Sicherheitsfunktionen<\/h3>\n<p>Weiterhin verspricht Microsoft den verbesserten Schutz von Anmeldeinformationen. Denn der Diebstahl von Zugangsdaten und Identit\u00e4ten ist ein Hauptanliegen von Cyberangreifern. Hier will Microsoft eine Multifaktor-Authentifizierung (MFA) \u00fcber Windows Hello pushen. Windows Hello wurde, als integrierte MFA-L\u00f6sung in Windows, weiter geh\u00e4rtet und um die Unterst\u00fctzung von Passkeys erweitert. Windows Hello werde auch zum Schutz von Recall und Personal Data Encryption eingesetzt.<\/p>\n<p>Ein weiterer Punkt sind vertrauensw\u00fcrdige Apps und Treiber, auf die Microsoft seine Hoffnungen setzt. Viele Angriffe w\u00fcrden nur erfolgen, weil Benutzer unsichere oder nicht signierte Anwendungen und Treiber herunterladen. Die Richtlinien <em>Smart App Control<\/em> und <em>App Control for Business<\/em> geben der IT die M\u00f6glichkeit, sicherzustellen, dass nur verifizierte Apps auf dem Ger\u00e4t der Nutzer ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n<p>Zum letztgenannten Punkt geht mir durch den Kopf: Nicht vertrauensw\u00fcrdige Apps und Treiber sind doch eigentlich nur ein Problem auf nicht verwalteten Systemen. Auf Systemen, die in Unternehmen zentral von der IT administriert werden, installiert der Anwender doch keine unsicheren Treiber und Anwendungen. Der Klemmer kommt doch nur auf, weil Microsoft Installationen von Apps \u00fcber Appx oder als Add-Ins zul\u00e4sst &#8211; oder sehe ich das falsch? Microsoft ist sich sicher, dass durch die Ma\u00dfnahmen Angriffe \u00fcber b\u00f6sartige Anh\u00e4nge oder Social-Engineering-Malware verhindert werden.<\/p>\n<p>IT-Administratoren sollen in Assistenten f\u00fcr die App-Kontrolle einfach eine Vorlage\u00a0 \"Signierte und seri\u00f6se Richtlinie\" ausw\u00e4hlen k\u00f6nnen, um Millionen von verifizierten Apps\u00a0 unabh\u00e4ngig vom Bereitstellungsort, auszuf\u00fchren. Microsoft nicht bekannte Gesch\u00e4ftsanwendungen, k\u00f6nnen, so das Versprechen, vom IT-Administrator durch Richtlinien\u00e4nderungen oder \u00fcber Microsoft Intune Managed App Deployments problemlos zur Liste der zul\u00e4ssigen Apps hinzugef\u00fcgt werden.<\/p>\n<p>Erw\u00e4hnt wird auch Windows Protected Print als Neuerung. Diese Technologie funktioniert nahtlos mit Mopria-zertifizierten Ger\u00e4ten und erfordert keine Treiber von Drittanbietern. Der Ansatz wurde entwickelt, um viele der fr\u00fcheren Sicherheitsprobleme mit Druckertreibern zu entsch\u00e4rfen.<\/p>\n<p>Neu ist auch die eingef\u00fchrte,\u00a0pers\u00f6nliche Datenverschl\u00fcsselung f\u00fcr bekannte Ordner in Windows 11 Enterprise. Diese nutzt eine Windows Hello-Authentifizierung zum sch\u00fctzen von Dateien, die in den Ordnern Desktop, Dokumente und Bilder gespeichert sind. Angezeigt wird der Schutz durch ein Schlosssymbol auf der Datei.<\/p>\n<p>Ist die pers\u00f6nliche Datenverschl\u00fcsselung aktiviert, kann ein Ger\u00e4teadministrator den Inhalt der Dateien nicht einsehen, da die Dateien verschl\u00fcsselt bleiben, bis sich der Nutzer mit Windows Hello authentifiziert. Da wird es spannend sein, zu beobachten, wie die IT-Administration sicherstellen kann, dass bei \"Verlust\" des Mitarbeiters die berechtigen Personen des Unternehmens an diese Daten heran kommen.<\/p>\n<p>Ein IT-Administrator kann mit Microsoft Intune (oder einem anderen Verwaltungstool) alle oder eine Teilmenge dieser Ordner ausw\u00e4hlen, um Personal Data Encryption anzuwenden. Es l\u00e4sst sich mit OneDrive und SharePoint auf Microsoft 365 integrieren, um eine einfache Zusammenarbeit zu erm\u00f6glichen.<\/p>\n<p>Personal Data Encryption kann unabh\u00e4ngig von BitLocker oder anderen L\u00f6sungen verwendet werden, und in Kombination mit BitLocker bietet es doppelten Verschl\u00fcsselungsschutz. Softwareentwickler k\u00f6nnen auch die Personal Data Encryption-API nutzen, um den Schutz ihrer Anwendungsdaten zu erweitern.<\/p>\n<h2>Einige Gedanken dazu<\/h2>\n<p>Es ist eine Entwicklerkonferenz und es ist legitim von Microsoft, da einige neue Ideen vorzustellen. Die Sicherheitsvorf\u00e4lle der letzten 24 Monate zwingen Redmond dazu, aktiv zu werden. Aber es bleibt abzuwarten, wann und wie das Ganze implementiert und umgesetzt wird. Das Desaster mit Recall in Windows 11 zeigt, wie etwas ziemlich schief gehen kann.<\/p>\n<p>Egal, wie sinnvoll so manche vorgestellte Neuerung in der Theorie ausschauen mag. Am Ende des Tage z\u00e4hlt, wie es praktisch umgesetzt wird und ob es handhabbar ist.\u00a0F\u00fcr mich sieht es so aus, als ob das einige \"Balk\u00f6nchen\" an ein wackeliges Geb\u00e4ude geschraubt werden, in der Hoffnung, dass das Ganze besser h\u00e4lt.<\/p>\n<p>Am Ende des Tages bleibt abzuwarten, wie stabil und bugfrei das Zeugs ausgerollt wird, und ob die Neuerungen das halten, was sich Microsoft davon verspricht. Die t\u00e4glich empfundene Praxis im Umgang mit dem \"gef\u00fchlt seit 20 Jahren sichersten Windows aller Zeiten\" l\u00e4sst eine gewisse Skepsis aufkommen, dass alles besser wird. Details lassen sich im verlinkten Blog-Beitrag nachlesen. Was haltet ihr von diesen Ank\u00fcndigungen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Windows 11 ist bereits jetzt das \"sicherste Betriebssystem der Galaxie\", aber es soll noch sicherer werden &#8211; die Microsoft Secure Initiative l\u00e4sst gr\u00fc\u00dfen. Daher hat Microsoft die Funktion \"Quick Machine Recovery\" angek\u00fcndigt. Eine Funktion, um Windows nach Debakeln wie bei &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/11\/20\/windows-11-quick-machine-recovery-soll-kommen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[8257],"class_list":["post-306267","post","type-post","status-publish","format-standard","hentry","category-windows","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306267"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306267\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306267"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306267"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}