Tags: Windows 11, Hardware, Virtualisierung, Sicherheit
Um Angriffe auf Windows zu erschweren, hat Microsoft sein Betriebssystem mit immer neuen Sicherheitsfunktionen ausgestattet. So erhielt bereits XP die Data Execution Prevention (DEP), Secure Boot kam mit Version 8 hinzu. Windows 11 setzt hier neue Maßstäbe, erfordert dafür aber auch entsprechende Hardware.
Nach der Ankündigung von Windows 11 führten vor allem die merklich höheren Hardware-Anforderungen des neuen Betriebssystems zu Diskussionen. TPM 2.0 und CPUs der 8. Generation als Minimalvoraussetzungen sorgten für Aufregung, weil damit viele vorhandene Rechner außen vor bleiben. Doch für Microsoft sind diese Komponenten jedoch Eckpfeiler der Windows-Sicherheitsarchitektur.
Trusted Platform Module
Das Trusted Platform Module (TPM) ist ein Sicherheits-Chip mit einem abgesicherten Speicherbereich, der in die Hauptplatine des Computers verbaut wird. Sein Zweck ist es, Verschlüsselungsschlüssel ("Encryption Keys"), Anmeldeinformationen und andere sensible Daten hinter einer Hardware-Barriere zu schützen, so dass Angreifer und Malware nicht auf diese Daten zugreifen oder sie manipulieren können.
Windows Hello mit der Validierung einer PIN nutzt zum Beispiel diesen Krypto-Prozessor. Sie wird also niemals übertragen wie ein Password und kann auch nicht abgefangen werden. Ohne das Gerät bzw. den TPM-Chip kann ein Hacker mit der PIN nichts anfangen.
Krypto-Keys werden innerhalb des Chips erzeugt, verwendet und sicher gespeichert. Sie verlassen diesen also nie. Dadurch sind sie vor Software-Angriffen geschützt. Vor Hardware-Angriffen besteht ebenfalls ein relativ hoher Schutz. Die Schlüssel auf einem TPM-Chip werden bei einigen Modellen bei einer physischen Manipulation zerstört.
TPM 2.0
Mit der Version 2.0 von TPM und dem eingebauten Root-of-Trust wird der Security-Level nun deutlich angehoben. Es unterstützt neuere Algorithmen, wodurch sich die Leistung bei der Signierung und Schlüsselgenerierung verbessert.
TPM 2.0 wurde so spezifiziert, dass die Erkennung und Verwaltung weniger aufwändig ist als unter 1.2. Die Version 2.0 unterstützt RSA- und ECC-Algorithmen für Endorsement Keys und SRKs sowie SHA-2 256.
Die älteren TPM-1.2-Chips gibt es nur als diskrete Chips, nicht als fTPM. Dabei handelt es sich um Firmware, die auf einem separaten Mikrocontroller-Kern läuft, der im Prozessor, Chipsatz oder System-on-Chip integriert ist.
Windows Funktionen, die TPM 2.0 nutzen
Die Azure AD-Verknüpfung von Windows Hello unterstützt beide TPM-Versionen, erfordert jedoch einen Algorithmus für den Nachrichtenauthentifizierungscode mit Schlüsselhash (Hash Message Authentication Code, HMAC) sowie das Endorsement Key (EK)-Zertifikat für die Unterstützung des Schlüsselnachweises.
Windows Hello als FIDO-Plattform-Authentifikator nutzt TPM 2.0 für die Schlüsselspeicherung.
Die Geräteverschlüsselung sowie Windows Defender System Guard (auch schon in Windows 10) verlangen eine Modern Standby/Connected-Standby-Zertifizierung, wofür TPM 2.0 nötig ist.
Wenn Sie Windows mit AutoPilot über ein Szenario bereitstellen möchten, das einen TPM erfordert (zum Beispiel White Glove oder Self-deploying Mode), sind TPM 2.0 und UEFI-Firmware erforderlich.
Welche TPM-Version habe ich?
Wo finden Sie die Information, welche Version von TPM Ihr PC hat? In der App Einstellungen von Windows, im Bereich Gerätesicherheit findet sich der Punkt Sicherheitschip. Dieser Punkt liefert folgende Info:
Bei Geräten mit TPM 2.0 darf der BIOS-Modus nur als natives UEFI konfiguriert sein. UEFI ist wiederum Voraussetzung für Secure Boot. Dieses Feature ist eine Anforderung für Windows 11, wird aber schon seit Jahren in Windows unterstützt.
Startvorgang sichern mit Secure Boot
Viele Sicherheitsfunktionen wie der Virenscanner schützen erst nach dem Starten von Windows. Moderne Schadsoftware, besonders Bootkits und Rootkits, können sogar vor dem Start von Windows aktiv werden und so die Sicherheit des Betriebssystems umgehen, und dabei vollständig verborgen bleiben.
Der vertrauenswürdige Start schützt den PC vor Schadsoftware von dem Moment an, in dem Sie ihn einschalten, bis die Anti-Malware ihre Arbeit beginnt.
Virtualization Based Security (VBS)
Virtualisierungsbasierte Sicherheit verwendet Hardware-Virtualisierung, um eine isolierte Umgebung zu erstellen.
VBS erfordert den Windows-Hypervisor (Hyper-V), der nur auf 64-Bit-IA-Prozessoren mit Virtualisierungserweiterungen wie Intel VT-X und AMD-v verfügbar ist. Es setzt zudem Second Level Address Translation (SLAT) des Prozessors voraus, also entweder Intel VT-x2 mit Extended Page Tables (EPT) oder AMD-v with Rapid Virtualization Indizierung (RVI). Wer noch weitere technische Details hierzu benötigt, kann hier nachlesen.
Schädlinge können nur den isolierten Prozess im Subsystem angreifen, sich aber nicht über die virtuelle Maschine hinaus ausbreiten und weiteren Schaden verursachen.
Hypervisor-geschützte Codeintegrität (HVCI)
Die Sicherheitsfunkton Hypervisor-geschützte Codeintegrität (HVCI) kontrolliert und schützt den Zugriff auf den Arbeitsspeicher des Computers. HVCI wird daher auch in den Windows-Einstellungen als Speicherintegrität bezeichnet. Ab Windows 11 ist die sie für neue Installationen auf kompatiblen Systemen standardmäßig aktiviert.
Da HVCI die modusbasierte Ausführungssteuerung verwendet, funktioniert HVCI besser mit Intel Kaby Lake oder AMD Zen 2 CPUs und höher. Bei Prozessoren ohne MBEC wird dieses Feature emuliert, das dann eingeschränkter Benutzermodus heißt. Dieser hat natürlich Auswirkungen auf die Leistung.
Browser und Office isolieren mit Application Guard
Bislang gab es bereits eine Technologie, um Anwendungen und vor allem den Browser durch Virtualisierungstechnologie zu isolieren, nämlich Application Guard.
Der Administrator definiert dabei, welche Websites vertrauenswürdig sind. Alle anderen Seiten öffnet der Browser (Microsoft Edge, Internet Explorer, Firefox und Chrome mit einer eigenen Extension) in einem isolierten Container. Seit Anfang 2021 unterstützt Application Guard auch Microsoft Office.
Falls sich eine Website oder Office-Datei als bösartig herausstellt, ist das Host-Gerät geschützt und der Angreifer kann aus der VM nicht zu Ihren Unternehmensdaten gelangen.
Übrigens ist Microsoft Defender Application Guard (MDAG) bereits in Windows 10 Pro enthalten, aber nicht aktiviert:
Application Guard ist zwar eine interessante Sicherheitsfunktion, aber für den Power-User eher hinderlich, weil die meisten aufgerufenen URLs normalerweise nicht in die Liste eingetragen werden können. Es ist also eher für Anwender geeignet, für deren Arbeit eine URL-Whitelist weitgehend ausreicht.
Windows Security (Gerätesicherheit)
In den Einstellungen von Windows 10 und Windows 11 findet sich der Punkt Gerätesicherheit. Je nach Gerät werden jedoch unterschiedliche Menüpunkte angezeigt.
Die drei Hauptpunkte sind:
- Kernisolierung / Core Isolation
- Sicherheitschip / TPM-Chip
- Sicherer Start / Secure Boot
Die Core Isolation ist erst seit der Windows 10 Version 1803 für alle Editionen verfügbar und nicht mehr bloß im Device Guard der Enterprise Edition enthalten.
Kernisolierung, Sicherheits-Chip und Secure Boot Features im Device Security-Menü werden erst von Gen8-Prozessoren unterstützt.
Kernisolierung und HVCI
Kernisolation bietet zusätzlichen Schutz vor Malware und anderen Angriffen durch die Abschottung von Computer-Prozessen gegenüber Betriebssystem und der Hardware.
In den Details zur Kernisolierung findet sich die Speicherintegrität, also die Hypervisor-geschützte Codeintegrität HVCI. Durch Aktivieren der Einstellung Speicherintegrität können Sie bei einem Angriff verhindern, dass Malware auf Hochsicherheitsprozesse zugreift.
Die wichtigsten Funktionen für die Kernisolation sollten keine Probleme verursachen. Die Core Isolation ist daher auf allen Windows-10-PCs aktiviert, die es unterstützen, und es gibt keine Schnittstelle, es zu deaktivieren.
Anders die Speicherintegrität: Hier kann es zu Problemen mit einigen Gerätetreibern oder anderen Low-Level-Windows-Anwendungen kommen, daher ist es standardmäßig bei Windows 10 deaktiviert.
Es wird dann exakt aufgelistet, welche inkompatiblen Treiber die Aktivierung verhindern.
Anforderungen für automatische Aktivierung der Speicherintegrität
Die Kernisolierung ist auf Geräten standardmäßig aktiviert, wenn bestimmte Hardware-und Firmware-Anforderungen erfüllt sind. Dazu zählen eine 64-bit-CPU, UEFI und ein TPM-2.0-Chip sowie Intel VT-x oder AMD-V-Virtualisierungstechnik.
- Intel Core-Prozessoren der 11. Generation und neuere
- AMD Zen 2-Architektur und neuer
- Qualcomm Qualcomm 8180 und neuer
Fazit
Schutzmaßnahmen wie Windows Hello, Geräteverschlüsselung, auf Virtualisierung basierende Sicherheit (VBS), Hypervisor-geschützte Codeintegrität (HVCI) und Secure Boot setzen einen TPM-Chip oder Virtualisierungstechniken voraus.
Die Kombination dieser Funktionen reduziert Malware auf getesteten Geräten Microsoft zufolge um 60 Prozent. Damit begründen sich auch die gestiegenen Anforderungen an die Hardware für Windows 11.
Täglich Know-how für IT-Pros mit unserem Newsletter
Carola Pantenburg ist Inhaberin der skilllocation GmbH. Sie ist seit 1991 für Microsoft (Deutschland, Schweiz, Österreich) und im Microsoft Reseller-Umfeld tätig. Carola hält dabei regelmäßig vertriebstechnische und strategische Vorträge auf Einzelveranstaltungen, Messen und Endkunden- sowie Partner-Events.
Ähnliche Beiträge
- Verfügbarkeit von Azure-VMs: SLA abhängig von Disk-Typ und Availability Set
- Updates für VM-Hosts in Azure: Geplante und ungeplante Wartung
- VirtualBox 7.0: Support für vTPM, Secure Boot, VM-Verschlüsselung
- Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS
- Windows 11 2022 Update: Die wichtigsten Neuerungen für professionelle Anwender im Überblick
Weitere Links
2 Kommentare
Ergänzung: sowie SHA-2 256 und höher. z.B. Bei Intel Gen 10
Ergänzung: Die Kernisolierung ist auf Geräten standardmäßig aktiviert
In Windows 11 Beta und Insider auf einem Intel 9th gen ist das Feature aktiviert und kann nicht deaktiviert werden. Als gäbe es eine GPO.