Sicherheit in Windows 10: 2-Faktor-Authentifizierung, Data Loss Prevention, Per-App-VPN

Zum anderen reagiert Microsoft mit dem nächsten Release des Betriebssystems auf eine ganze Reihe neuerer Entwicklungen und daraus resultierender Gefahren. So setzen etwa die Mitarbeiter vieler Unternehmen ohne Absprache mit der IT-Abteilung unsichere Cloud-Dienste zum Synchronisieren von Dateien ein. Ähnliche Herausforderungen entstehen, wenn Anwender ihre privaten Geräte nutzen, um etwa geschäftliche Mails abzurufen. In beiden Fällen besteht die Gefahr, dass Informationen in die falschen Hände fallen.

Windows 10 soll solche Praktiken unterbinden oder zumindest dafür sorgen, dass sie ohne gravierende Folgen bleiben. Zu diesem Zweck unterscheidet das System zwischen privaten und geschäftlichen Dokumenten, wobei letztere verschlüsselt in einem eigenen Container abgelegt werden.

MDM für alle Geräte

Dieses Verfahren hat sich auf mobilen Geräten etabliert, um etwa den Einsatz von privaten Smartphones im Unternehmen zu ermöglichen. Microsoft möchte generell die Techniken des Mobile Device Management auf Notebooks und Desktops ausdehnen, weil das nächste Release des Betriebssystems alle Geräte vom Smartphone bis zur Workstation abdeckt.

Die Bearbeitung von Firmendokumenten, das Abrufen von geschäftlichen Mails oder das Öffnen von Seiten im Intranet erfordert beim Mobile Application Management häufig die Verwendung spezifischer Apps, die für diese Aufgabe berechtigt sind. Microsoft dagegen verspricht eine benutzerfreundliche Lösung, die Daten mit Hilfe von Policies automatisch verschlüsselt, wenn sie auf das Endgerät gelangen.

Verschlüsselung transparent für Anwendungen

Administratoren können dann eine zentrale Liste von Anwendungen definieren, denen es erlaubt ist, auf die verschlüsselten Informationen zuzugreifen. Die Codierung und Decodierung erfolgt offenbar über die Standarddialoge für das Speichern und Öffnen von Dateien, so dass alle Programme die verschlüsselten Informationen lesen und schreiben können, solange sie diese Dialoge verwenden. Bei Bedarf können sämtliche neu erstellten Dateien per Vorgabe verschlüsselt werden.

Weitere Richtlinien lassen es zu, das Kopieren und Einfügen von Daten zwischen persönlichen und geschäftlichen Dokumenten zu unterbinden oder sie auf externe Systeme zu übertragen, etwa zu Cloud-Services oder in soziale Netzwerke.

Abschied vom Passwort

Keineswegs neu sind die Schwächen der Authentifizierung über Benutzername und Passwort. Die Verwendung schwacher Kennwörter durch viele User ist notorisch, und das erfolgreiche Ausspähen von Passwörtern öffnet Angreifern Tür und Tor. Gegenmaßnahmen wie die automatische Kontosperrung sind nicht ausreichend und oft kontraproduktiv.

Als Alternative zur relativ unsicheren Anmeldung über Name und Passwort hat sich daher die Multi-Faktor-Authentifizierung etabliert, die Windows seit jeher in verschiedenen Varianten unterstützt, beispielsweise mit Hilfe von Smartcards. Allerdings erscheint vielen (kleineren) Firmen der Aufwand dafür zu groß, so dass die reine Anmeldung über Kennwörter noch sehr verbreitet ist.

Anmeldung an ein Gerät gebunden

Mit Windows 10 setzt sich Microsoft das Ziel, diese unsichere Form der Authentifizierung weitgehend zu eliminieren, indem es den Aufwand für die 2-Faktor-Authentifizierung senkt. Zu diesem Zweck fungiert das Endgerät als eine virtuelle Smartcard, nachdem es die Benutzer dafür registriert haben.

Der PC oder das Tablet weisen sich dann über ein Zertifikat aus, das entweder über eine firmeninterne PKI ausgestellt wurde oder das von Windows 10 selbst generiert wird. Ergänzend dazu muss der Anwender eine PIN eingeben oder sich über biometrische Verfahren zu erkennen geben, also beispielsweise über einen Fingerabdruck.

Gelingt es einem Angreifer, das Passwort etwa über eine Phishing-Attacke auszuspähen, dann könnte er sich nur erfolgreich anmelden, wenn er zusätzlich Zugang zum registrierten Gerät erhält. Umgekehrt bleibt es zumindest unter Sicherheitsaspekten folgenlos, wenn ein Notebook oder Smartphone verloren geht, solange der neue "Besitzer" die PIN nicht kennt.

Setzt ein Anwender mehrere Geräte ein, dann kann er jedes davon einzeln registrieren. Alternativ kann man aber beispielsweise ein Smartphone als virtuelle Smartcard einsetzen, um sich auch auf einem Notebook oder Tablet anzumelden. Zu diesem Zweck muss der Rechner über Bluetooth oder WLAN mit dem Telefon in Kontakt stehen.

Sichere Speicherung von Tickets

Auch wenn die Multi-Faktor-Authentifizierung die unbefugte Anmeldung mit einem ausgespähten Passwort weitergehend unterbinden kann, so hilft sie nicht gegen Angriffe, die sich des Tickets bemächtigen, das vom System nach der erfolgreichen Authentifizierung ausgestellt wird. Attacken wie Pass the Hash versetzen Angreifer in die Lage, die Identität eines Users zu übernehmen, ohne sich als solcher anmelden zu müssen.

Windows 10 soll dem vorbeugen, indem Tokens in einem sicheren Container gespeichert werden. Microsoft nutzt dafür nach eigenem Bekunden Technologie von Hyper-V, aber offensichtlich erfordert sie nicht die Installation des Hypervisors und von virtuellen Maschinen. Die Lösung soll das Auslesen von Tickets auch dann verhindern, wenn der Windows-Kernel von Malware kompromittiert wurde.

Granulares VPN

Eine weitere Neuerung, die auf mobilen Geräten durch Lösungen wie Citrix MDX bereits Einzug gehalten hat, wird auch Bestandteil von Windows 10. Es handelt sich dabei um ein fein granulares VPN, das sich über Richtlinien auf spezifische Anforderungen anpassen lässt.

Dazu gehört vor allem, dass der VPN-Tunnel ausgewählten Apps vorbehalten bleibt. Administratoren können dabei wahlweise über Blacklists oder Whitelists festlegen, welche Anwendungen explizit ausgeschlossen bzw. zugelassen sind. Zusätzliche Einschränkungen sind über die Angabe von IP-Adressen oder Port-Nummern möglich.