TPM und Virtualisierung: Hardware-basierte Sicherheitsfunktionen zur Abwehr von Malware in Windows


    Tags: , , ,

    Trusted Platform Module (TPM)Um Angriffe auf Windows zu er­schweren, hat Micro­soft sein Betriebs­system mit immer neuen Sicher­heits­funktionen ausge­stattet. So erhielt bereits XP die Data Execution Prevention (DEP), Secure Boot kam mit Version 8 hinzu. Windows 11 setzt hier neue Maß­stäbe, er­fordert dafür aber auch ent­sprechende Hardware.

    Nach der Ankündigung von Windows 11 führten vor allem die merklich höheren Hardware-Anforderungen des neuen Betriebs­systems zu Diskussionen. TPM 2.0 und CPUs der 8. Generation als Minimal­voraussetzungen sorgten für Aufregung, weil damit viele vorhandene Rechner außen vor bleiben. Doch für Microsoft sind diese Komponenten jedoch Eckpfeiler der Windows-Sicherheits­architektur.

    Trusted Platform Module

    Das Trusted Platform Module (TPM) ist ein Sicherheits-Chip mit einem abgesicherten Speicher­bereich, der in die Hauptplatine des Computers verbaut wird. Sein Zweck ist es, Verschlüsselungs­schlüssel ("Encryption Keys"), Anmelde­informationen und andere sensible Daten hinter einer Hardware-Barriere zu schützen, so dass Angreifer und Malware nicht auf diese Daten zugreifen oder sie manipulieren können.

    Windows Hello mit der Validierung einer PIN nutzt zum Beispiel diesen Krypto-Prozessor. Sie wird also niemals übertragen wie ein Password und kann auch nicht abgefangen werden. Ohne das Gerät bzw. den TPM-Chip kann ein Hacker mit der PIN nichts anfangen.

    Krypto-Keys werden innerhalb des Chips erzeugt, verwendet und sicher gespeichert. Sie verlassen diesen also nie. Dadurch sind sie vor Software-Angriffen geschützt. Vor Hardware-Angriffen besteht ebenfalls ein relativ hoher Schutz. Die Schlüssel auf einem TPM-Chip werden bei einigen Modellen bei einer physischen Manipulation zerstört.

    TPM 2.0

    Mit der Version 2.0 von TPM und dem eingebauten Root-of-Trust wird der Security-Level nun deutlich angehoben. Es unterstützt neuere Algorithmen, wodurch sich die Leistung bei der Signierung und Schlüssel­generierung verbessert.

    TPM 2.0 wurde so spezifiziert, dass die Erkennung und Verwaltung weniger aufwändig ist als unter 1.2. Die Version 2.0 unterstützt RSA- und ECC-Algorithmen für Endorsement Keys und SRKs sowie SHA-2 256.

    Die älteren TPM-1.2-Chips gibt es nur als diskrete Chips, nicht als fTPM. Dabei handelt es sich um Firmware, die auf einem separaten Mikrocontroller-Kern läuft, der im Prozessor, Chipsatz oder System-on-Chip integriert ist.

    Windows Funktionen, die TPM 2.0 nutzen

    Die Azure AD-Verknüpfung von Windows Hello unterstützt beide TPM-Versionen, erfordert jedoch einen Algorithmus für den Nachrichten­authentifizierungs­code mit Schlüsselhash (Hash Message Authentication Code, HMAC) sowie das Endorsement Key (EK)-Zertifikat für die Unter­stützung des Schlüssel­nachweises.

    Windows Hello als FIDO-Plattform-Authentifikator nutzt TPM 2.0 für die Schlüssel­speicherung.

    Die Geräteverschlüsselung sowie Windows Defender System Guard (auch schon in Windows 10) verlangen eine Modern Standby/Connected-Standby-Zertifizierung, wofür TPM 2.0 nötig ist.

    Wenn Sie Windows mit AutoPilot über ein Szenario bereitstellen möchten, das einen TPM erfordert (zum Beispiel White Glove oder Self-deploying Mode), sind TPM 2.0 und UEFI-Firmware erforderlich.

    Welche TPM-Version habe ich?

    Wo finden Sie die Information, welche Version von TPM Ihr PC hat? In der App Einstellungen von Windows, im Bereich Gerätesicherheit findet sich der Punkt Sicherheitschip. Dieser Punkt liefert folgende Info:

    Informationen zum Trusted Platform Module in der App Einstellungen

    Bei Geräten mit TPM 2.0 darf der BIOS-Modus nur als natives UEFI konfiguriert sein. UEFI ist wiederum Voraussetzung für Secure Boot. Dieses Feature ist eine Anforderung für Windows 11, wird aber schon seit Jahren in Windows unterstützt.

    Startvorgang sichern mit Secure Boot

    Viele Sicherheits­funktionen wie der Virenscanner schützen erst nach dem Starten von Windows. Moderne Schadsoftware, besonders Bootkits und Rootkits, können sogar vor dem Start von Windows aktiv werden und so die Sicherheit des Betriebs­systems umgehen, und dabei vollständig verborgen bleiben.

    Schutz des Boot-Vorgangs gegen Boot- und Rootkits

    Der vertrauenswürdige Start schützt den PC vor Schadsoftware von dem Moment an, in dem Sie ihn einschalten, bis die Anti-Malware ihre Arbeit beginnt.

    Virtualization Based Security (VBS)

    Virtualisierungs­basierte Sicherheit verwendet Hardware-Virtualisierung, um eine isolierte Umgebung zu erstellen.

    VBS erfordert den Windows-Hypervisor (Hyper-V), der nur auf 64-Bit-IA-Prozessoren mit Virtualisierungs­erweiterungen wie Intel VT-X und AMD-v verfügbar ist. Es setzt zudem Second Level Address Translation (SLAT) des Prozessors voraus, also entweder Intel VT-x2 mit Extended Page Tables (EPT) oder AMD-v with Rapid Virtualization Indizierung (RVI). Wer noch weitere technische Details hierzu benötigt, kann hier nachlesen.

    Schädlinge können nur den isolierten Prozess im Subsystem angreifen, sich aber nicht über die virtuelle Maschine hinaus ausbreiten und weiteren Schaden verursachen.

    Hypervisor-geschützte Codeintegrität (HVCI)

    Die Sicherheits­funkton Hypervisor-geschützte Codeintegrität (HVCI) kontrolliert und schützt den Zugriff auf den Arbeitsspeicher des Computers. HVCI wird daher auch in den Windows-Einstellungen als Speicherintegrität bezeichnet. Ab Windows 11 ist die sie für neue Installationen auf kompatiblen Systemen standard­mäßig aktiviert.

    Da HVCI die modusbasierte Ausführungssteuerung verwendet, funktioniert HVCI besser mit Intel Kaby Lake oder AMD Zen 2 CPUs und höher. Bei Prozessoren ohne MBEC wird dieses Feature emuliert, das dann eingeschränkter Benutzermodus heißt. Dieser hat natürlich Auswirkungen auf die Leistung.

    Browser und Office isolieren mit Application Guard

    Bislang gab es bereits eine Technologie, um Anwendungen und vor allem den Browser durch Virtualisierungs­technologie zu isolieren, nämlich Application Guard.

    Der Administrator definiert dabei, welche Websites vertrauens­würdig sind. Alle anderen Seiten öffnet der Browser (Microsoft Edge, Internet Explorer, Firefox und Chrome mit einer eigenen Extension) in einem isolierten Container. Seit Anfang 2021 unterstützt Application Guard auch Microsoft Office.

    Web-Seite interaktiv mit Edge in einem isolierten Container öffnen

    Falls sich eine Website oder Office-Datei als bösartig herausstellt, ist das Host-Gerät geschützt und der Angreifer kann aus der VM nicht zu Ihren Unternehmens­daten gelangen.

    Übrigens ist Microsoft Defender Application Guard (MDAG) bereits in Windows 10 Pro enthalten, aber nicht aktiviert:

    Application Guard muss in Windows 10 erst explizit aktiviert werden

    Application Guard ist zwar eine interessante Sicherheits­funktion, aber für den Power-User eher hinderlich, weil die meisten aufgerufenen URLs normaler­weise nicht in die Liste eingetragen werden können. Es ist also eher für Anwender geeignet, für deren Arbeit eine URL-Whitelist weitgehend ausreicht.

    Windows Security (Gerätesicherheit)

    In den Einstellungen von Windows 10 und Windows 11 findet sich der Punkt Gerätesicherheit. Je nach Gerät werden jedoch unter­schiedliche Menüpunkte angezeigt.

    Windows-Features für die Gerätesicherheit

    Die drei Hauptpunkte sind:

    • Kernisolierung / Core Isolation
    • Sicherheitschip / TPM-Chip
    • Sicherer Start / Secure Boot

    Die Core Isolation ist erst seit der Windows 10 Version 1803 für alle Editionen verfügbar und nicht mehr bloß im Device Guard der Enterprise Edition enthalten.

    Kernisolierung, Sicherheits-Chip und Secure Boot Features im Device Security-Menü werden erst von Gen8-Prozessoren unterstützt.

    Kernisolierung und HVCI

    Kernisolation bietet zusätzlichen Schutz vor Malware und anderen Angriffen durch die Abschottung von Computer-Prozessen gegenüber Betriebssystem und der Hardware.

    In den Details zur Kernisolierung findet sich die Speicherintegrität, also die Hypervisor-geschützte Codeintegrität HVCI. Durch Aktivieren der Einstellung Speicherintegrität können Sie bei einem Angriff verhindern, dass Malware auf Hochsicherheits­prozesse zugreift.

    Die wichtigsten Funktionen für die Kernisolation sollten keine Probleme verursachen. Die Core Isolation ist daher auf allen Windows-10-PCs aktiviert, die es unterstützen, und es gibt keine Schnittstelle, es zu deaktivieren.

    Anders die Speicher­integrität: Hier kann es zu Problemen mit einigen Gerätetreibern oder anderen Low-Level-Windows-Anwendungen kommen, daher ist es standardmäßig bei Windows 10 deaktiviert.

    Die Kernisolierung setzt eine neuere CPU-Generation voraus, die Speicher-Integrität kann an alten Treibern scheitern.

    Es wird dann exakt aufgelistet, welche inkompatiblen Treiber die Aktivierung verhindern.

    Anforderungen für automatische Aktivierung der Speicherintegrität

    Die Kernisolierung ist auf Geräten standard­mäßig aktiviert, wenn bestimmte Hardware-und Firmware-Anforderungen erfüllt sind. Dazu zählen eine 64-bit-CPU, UEFI und ein TPM-2.0-Chip sowie Intel VT-x oder AMD-V-Virtualisierungstechnik.

    • Intel Core-Prozessoren der 11. Generation und neuere
    • AMD Zen 2-Architektur und neuer
    • Qualcomm Qualcomm 8180 und neuer

    Fazit

    Schutzmaßnahmen wie Windows Hello, Geräte­verschlüsselung, auf Virtualisierung basierende Sicherheit (VBS), Hypervisor-geschützte Codeintegrität (HVCI) und Secure Boot setzen einen TPM-Chip oder Virtualisierungs­techniken voraus.

    Die Kombination dieser Funktionen reduziert Malware auf getesteten Geräten Microsoft zufolge um 60 Prozent. Damit begründen sich auch die gestiegenen Anforderungen an die Hardware für Windows 11.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Carola Pantenburg

    Carola Pantenburg ist Inhaberin der skilllocation GmbH. Sie ist seit 1991 für Microsoft (Deutsch­land, Schweiz, Österreich) und im Micro­soft Reseller-Umfeld tätig. Carola hält dabei regel­mäßig vertriebs­technische und stra­tegische Vor­träge auf Einzel­veran­staltungen, Messen und End­kunden- sowie Partner-Events.
    // Kontakt: E-Mail, Weblog, LinkedIn, Xing //

    Ähnliche Beiträge

    Weitere Links

    2 Kommentare

    Ergänzung: sowie SHA-2 256 und höher. z.B. Bei Intel Gen 10

    Ergänzung: Die Kernisolierung ist auf Geräten standard­mäßig aktiviert

    In Windows 11 Beta und Insider auf einem Intel 9th gen ist das Feature aktiviert und kann nicht deaktiviert werden. Als gäbe es eine GPO.