Tags: Windows 10, Sicherheit, Virtualisierung, Kompatibilität
Windows 10 und Server 2016 enthalten neue Sicherheitsfunktionen, die isolierte Umgebungen auf Basis des Hypervisors nutzen (Virtualization Based Security). Es handelt sich dabei um Application Guard, Device Guard und Credential Guard. Für die beiden letzten bietet Microsoft ein Tool, um die Systemvoraussetzungen zu prüfen.
Credential Guard isoliert NTLM Password Hashes, Kerberos Ticket Granting Tickets und Anmeldeinformationen, die von Anwendungen als Domain Credentials gespeichert wurden. Der Hypervisor verhindert den Zugriff darauf auch für Malware, die im Kontext eines privilegierten Kontos läuft. Device Guard wiederum unterbindet die Ausführung von nicht vertrauenswürdigem Code.
Hohe Systemvoraussetzungen
Beide Features stellen erhebliche Anforderungen an die Hardware, beginnend mit den Virtualisierungserweiterungen Intel VT und AMD-V. Außerdem setzen sie Secure Boot und somit einen UEFI-Rechner voraus. Und schließlich benötigen sie am Client Windows 10 Enterprise bzw. Education in einer 64-Bit-Ausführung.
Weitere Komponenten sind für Anwender optional, für OEMs hingegen verpflichtend, wenn sie ihre Systeme als kompatibel mit diesen beiden Features bewerben wollen. Dazu zählen ein TPM oder NX Protection.
Script für deutsches Windows anpassen
Nachdem die manuelle Prüfung all dieser Anforderungen ziemlich aufwändig wäre, stellt Microsoft für diesen Zweck ein PowerShell-basiertes Tool zur Verfügung. Dieses erfüllt seine Aufgabe in zwei Schritten, zwischen denen es einen Neustart des Rechners erfordert.
Der Aufruf erfolgt in der Form
.\DG_Readiness.ps1 -Capable
Das Tool untersucht dabei über WMI auch die OS-Architektur, also ob es sich um ein 32- oder 64-Bit-Betriebssystem handelt. Auf einem deutschen Windows schlägt dies jedoch fehl, weil WMI hier "Bit" mit einem Großbuchstaben ausgibt, die Abfrage aber nur "bit" erwartet. Will man hier eine Fehlermeldung vermeiden, dann muss man das Script ab Zeile 701 anpassen.
Device / Credential Guard aktivieren
Erfüllt ein Rechner alle Voraussetzungen, dann enthält der Report nur Einträge in grüner oder gelber Schrift. In diesem Fall kann man das Tool auch gleich verwenden, um Device Guard und Credential Guard zu aktivieren. Über die optionalen Features in der Systemsteuerung oder der App Einstellungen ist dies nicht möglich. Der Befehl dafür lautet
.\DG_Readiness.ps1 -Enable -CG
für Credential Guard und
.\DG_Readiness.ps1 -Enable -DG
für Device Guard. Nach der Installation kann man schließlich noch prüfen, ob die Sicherheitsfunktionen tatsächlich laufen. Dazu ruft man das Script mit dem Parameter Ready auf.
Verfügbarkeit
Das Device Guard and Credential Guard Hardware Readiness Tool kann von Microsofts Website heruntergeladen werden. Es benötigt mindestens Windows 10 1703. Unter Umständen muss man die Execution Policy auf Unrestricted stellen, wenn PowerShell das Script nicht ausführen möchte.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Secured Core in Windows Server 2022: HVCI, DMA-Schutz, System Guard und VBS konfigurieren
- TPM und Virtualisierung: Hardware-basierte Sicherheitsfunktionen zur Abwehr von Malware in Windows
Weitere Links
1 Kommentar
Hi,
für eine Enterprise Umgebung sollte noch erwähnt werden das Credential Guard nur Kerberos Constrained Delegation unterstützt. Bevor man dieses Feature flächenmäßig aktiviert, sollte man prüfen ob Kerberos Unconstrained Delegation verwendet wird, ansonsten werden manche Zugriffe auf Applikationen und Dienst nicht mehr funktionieren.