Sicherheit von Windows 11: Ist sie ausreichend?

Acronis
Cyber Protect Home Office
ehemals Acronis True Image

Sicherheit von Windows 11: Ist sie ausreichend?

Über Windows 11, das neueste Betriebssystem von Microsoft, das der Softwareriese als „das sicherste Windows aller Zeiten“ bezeichnet, wurde bereits viel geschrieben. Wie viele in der Tech-Welt jedoch schnell festgestellt haben, unterstützen die meisten PCs, auf denen derzeit Windows läuft, nicht die erweiterten Systemanforderungen für das neue Betriebssystem.

Systemanforderungen für Windows 11

Um die Sicherheitsverbesserungen von Windows 11 in vollem Umfang nutzen zu können, müssen PCs mit einer hochmodernen CPU mit Virtualisierungserweiterungen, einer Secure Boot-fähigen UEFI-Firmware und einem fortschrittlichen TPM 2.0-kompatiblen Sicherheitschip ausgestattet sein. Diese und andere Einschränkungen gewährleisten die Unterstützung einer Vielzahl von Cybersicherheitsfunktionen, die Windows 11 wesentlich widerstandsfähiger machen als seine Vorgänger. Sie vergewissern sich aber auch, dass sich die meisten Unternehmen mit dem Upgrade ihrer Systeme Zeit lassen werden.

Um die Vor- und Nachteile eines Upgrades auf Windows 11 effektiv analysieren zu können, müssen Sie wissen, welche Sicherheitsfunktionen enthalten und verfügbar sind, wie diese Funktionen durch die neuen Hardware- und Softwareanforderungen unterstützt werden und welche Auswirkungen das Upgrade auf Ihre allgemeine Cybersicherheitslage haben wird.

CPU-Anforderungen und virtualisierungsbasierte Sicherheit

CPU-Anforderungen und virtualisierungsbasierte Sicherheit

Zu den erschwerenden Voraussetzungen für ein Upgrade auf Windows 11 gehören die CPU-Anforderungen. Windows 11 erfordert einen modernen 64-Bit-Prozessor mit 1 GHz, Virtualisierungserweiterungen und zwei oder mehr Kernen (z. B. Intel-Prozessor der 8. Generation, AMD Zen 2 oder Qualcomm 7 oder 8 Series). Mit diesen Spezifikationen kann Windows 11 die Vorteile der virtualisierungsbasierten Sicherheit (VBS) voll ausschöpfen.

Mithilfe von Hardwarevirtualisierungsfunktionen erstellt und isoliert VBS einen sicheren Speicherbereich vom Rest des Betriebssystems, um sensible Daten oder Prozesse zu verwalten. Durch diese Isolierung wird das Ausmaß begrenzt, in dem ein bestimmter Hack oder ein Exploit die Sicherheit des Systems gefährden kann.

In einer Erklärung des Windows-Teams vom August 2021 heißt es:

"Obwohl wir VBS bei einem Upgrade auf Windows 11 nicht vorschreiben, glauben wir, dass die Sicherheitsvorteile, die es bietet, so wichtig sind, dass wir mit den Mindestsystemanforderungen sicherstellen wollten, dass jeder PC, auf dem Windows 11 läuft, dieselbe Sicherheit bietet, auf die sich das US-Verteidigungsministerium (DoD) verlässt. In Zusammenarbeit mit unseren OEM- und Siliziumpartnern werden wir VBS und HVCI im Laufe des nächsten Jahres auf den meisten neuen PCs aktivieren. Und wir werden weiterhin nach Möglichkeiten suchen, VBS im Laufe der Zeit auf mehr Systeme auszuweiten."

Für die Implementierung mehrerer verschiedener Sicherheitsfunktionen in Windows 11 ist VBS erforderlich:

  1. Kernel Data Protection (KDP), verwendet beispielsweise VBS, um Teile des Windows-Kernels als schreibgeschützt zu kennzeichnen und sich so zu vergewissern, dass Treiber und Software, die im Windows-Kernel (d. h. im Betriebssystemcode selbst) ausgeführt werden, nicht manipuliert werden können.
  2. Application Guard verwendet VBS, um virtuelle Einwegumgebungen (Container) zu erstellen, in denen Benutzer mit Websites oder Microsoft Office-Dateien interagieren können, die nicht explizit in die Whitelist aufgenommen wurden. Auf diese Weise vergewissert sich der Benutzer, dass nicht vertrauenswürdige Inhalte, die über Microsoft Edge, Internet Explorer oder Microsoft Office geladen werden, vom Host-Betriebssystem und den Unternehmensdaten isoliert bleiben, wodurch der Schaden, den infizierte Inhalte verursachen können, begrenzt wird.
  3. Credential Guard ist eine Sicherheitsfunktion des Betriebssystems, die Windows NTLM, Kerberos-Anmeldeinformationen und andere Geheimnisse in einer VBS-geschützten Umgebung isoliert und somit sicherstellt, dass nur privilegierte Systemsoftware Zugriff erhält. Diese Funktion schützt Ihr System vor Angriffen zum Diebstahl von Anmeldeinformationen wie Pass the Ticket (PtT) und Pass the Hash (PtH).
  4. In ähnlicher Weise nutzt Windows Hello Enhanced Sign-In Security VBS, um die Authentifizierungsdaten (einschließlich biometrischer Daten), die für die Anmeldung an einem bestimmten Gerät verwendet werden, zu isolieren und zu schützen, und gewährleistet, dass der Zugriff auf die Daten nur über sichere Prozesse möglich ist, die in der VBS-Umgebung ausgeführt werden. Es unterstützt auch die Erstellung von sicheren Pfaden für Authentifizierungsdaten, die über externe Komponenten (z. B. einen Fingerabdrucksensor oder eine Kamera) bereitgestellt werden.

Trusted Platform Module (TPM) 2.0

IZusätzlich zu den Prozessoranforderungen benötigt Windows 11 einen TPM-Chip für die Verwaltung kryptografischer Schlüssel sowie zum Schutz der Firmware und des Betriebssystems Ihres PCs. Das Trusted Platform Module (TPM) bietet Schutz vor Manipulationen auf Hardwareebene für sensible Vorgänge wie Schlüsselgenerierung, Verschlüsselung und Systemstart. Die Version 2.0 der TPM-Spezifikation ist in alle von Windows 11 unterstützten CPUs eingebettet und bietet einige wichtige Erweiterungen.

United Extensible Firmware Interface (UEFI) und Secure Boot

United Extensible Firmware Interface (UEFI) tritt an die Stelle des traditionellen Legacy-BIOS. Diese programmierbare Boot-Umgebung initialisiert Geräte und startet den Bootloader des Betriebssystems. PCs mit UEFI 2.3.1 und einem TPM-Chip unterstützen auch Secure Boot, eine Funktion, die den gesamten Code überprüft, der vor dem Laden des Betriebssystems ausgeführt wird, sowie die digitale Signatur des Betriebssystem-Bootloaders. Alle Windows 11-Rechner sind von Anfang an mit vollständig aktiviertem UEFI Secure Boot ausgestattet, so dass sich nur autorisierte Firmware und Software mit vertrauenswürdigen digitalen Signaturen während des Bootvorgangs vergewissern können und das System sowohl vor Bootkits als auch vor Rootkits geschützt ist.

Microsoft Pluton

Windows 11 ist das erste Betriebssystem, das Microsoft Pluton unterstützt, den neuen, von Microsoft entwickelten und aktualisierten Sicherheitsprozessor, der in zukünftige Intel-, AMD- und Qualcomm-CPUs für Windows-PCs eingebettet sein wird. Pluton implementiert eine durchgängige Sicherheit, die von Microsoft erstellt, gewartet und aktualisiert wird, und wird in den Standard-Windows-Update-Prozess integriert, was eine engere und sicherere Integration mit dem Betriebssystem auf Hardware-Ebene ermöglicht. Diese Integration trägt dazu bei, eine physische Schwachstelle aktueller TPM-Implementierungen zu beheben, bei der Angreifer, die im Besitz eines Geräts sind, immer noch auf den Kommunikationskanal zwischen CPU und TPM abzielen können, um Informationen während der Übertragung zu stehlen oder zu verändern.

Sicherheit durch Design

Diese Anforderungen an Windows 11 gewährleisten die Unterstützung einer Reihe von fortschrittlichen Sicherheitstechnologien. Einige, wie UEFI Secure Boot, sind in jeder Windows 11-Installation standardmäßig aktiviert, was den Zero-Trust-Schutz direkt nach der Installation ermöglicht.

Hardware-gestützter Stapelschutz

Hardware-gestützter Stapelschutz (HSP) ist eine Funktion, die dazu beiträgt, Exploits zu erkennen und zu deaktivieren, die durch Umgehung des Code-Ausführungsflusses einer Anwendung funktionieren. HSP ermöglicht es Anwendungen, die lokale CPU-Hardware zu nutzen, um den (Speicher-)Stack - in dem der Code zur Laufzeit gespeichert wird - vor Änderungen zu schützen. Dies geschieht durch den Vergleich des Aufrufstapels der Anwendung mit einem Schattenstapel (einer hardwaregesicherten Aufzeichnung des normalen Codeausführungsflusses der Anwendung). Wenn die Stack-Integrität beeinträchtigt wurde, wird der Prozess beendet.

Während diese Funktion seit März 2020 verfügbar ist (zumindest in Entwickler-Builds), ist der Shadow-Stack-Mechanismus nur auf bestimmten fortschrittlichen Chipsätzen verfügbar, wie sie von Windows 11 benötigt werden, womit eine breitere Akzeptanz im neuen Betriebssystem gewährleistet ist.

Microsoft Azure Attestation

Dank Funktionen wie UEFI Secure Boot und Kernel Data Protection ist die Stabilität der Geräte mit Windows 11 gewährleistet. Als solches sorgt das Betriebssystem auch für eine sofort verfügbare Unterstützung für die Remote-Geräteüberprüfung, d. h. die Remote-Überprüfung, dass alle Windows-Geräte, die sich mit Ihrem Netzwerk verbinden, tatsächlich vertrauenswürdig sind. Die Bescheinigung schafft Vertrauen, indem sie die Identität und Integrität wichtiger Hardware- und Softwarekomponenten überprüft. Die Remote-Attestation-Methode bietet vertrauenden Parteien einen überprüfbaren, unvoreingenommenen und manipulationssicheren Gerätebericht über eine entfernte Gegenstelle.

Microsoft Azure Attestation (MAA) ist ein Paradebeispiel für einen Remote-Attestierungsdienst, mit dem der Zustand von Windows-Geräten umfassend überprüft werden kann. Diese Informationen können genutzt werden, um den bedingten Zugriff auf Cloud-basierte Anwendungen und Daten über Azure Active Directory zu erzwingen.

Kann Windows 11 also Hacker in Schach halten?

Microsoft hat große Anstrengungen unternommen, um sich zu vergewissern, dass sein neues Betriebssystem von Haus aus sicher ist. Die notwendige sicherheitsorientierte Hardware, die Funktionen wie VBS und UEFI Secure Boot unterstützt, könnte Windows 11 sogar in die Lage versetzen, ganze Klassen von Malware-Angriffen wie Rootkits und ROP-Angriffe (Return Oriented Programming) vollständig zu neutralisieren.

Die meisten Windows-Benutzer arbeiten jedoch weiterhin mit älteren Rechnern. Viele dieser Benutzer sind bereits eifrig dabei, das neue Betriebssystem auszuprobieren, und verstehen vielleicht nicht ganz, dass die neuen Sicherheitsverbesserungen von Windows 11 mit den neuen Hardwarebeschränkungen Hand in Hand gehen. Einige erwägen vielleicht sogar, die Systemanforderungen zu umgehen. Benutzer (oder IT-Administratoren), die Windows 11 unter Umgehung der Hardwareanforderungen installieren oder auf andere Weise wichtige Sicherheitsfunktionen deaktivieren, verpassen folglich viele der Sicherheitsvorteile der Plattform.

Außerdem sollten Sie bedenken, dass viele der Angriffsvektoren, auf die Ihre aktuelle Cybersicherheitsstrategie abzielt, nicht speziell von den neuen Sicherheitsfunktionen in Windows 11 berücksichtigt werden. Cyberkriminelle sind ständig auf der Suche nach neuen Schwachstellen und entwickeln neue Malware und andere Exploits, von denen einige auch auf TPM-geschützten Systemen funktionieren, wie z. B. Phishing. Dies wird noch deutlicher, wenn man bedenkt, dass Microsoft trotz des Zustroms neuer Technologien, die in Windows 11 implementiert wurden, verpflichtet ist, zahlreiche ältere Anwendungen weiterhin zu unterstützen und Abwärtskompatibilität zu gewährleisten. Folglich kann man davon ausgehen, dass viele bisher nicht gemeldete Sicherheitslücken, die Windows 10 betreffen, auch für Windows 11 gelten können (wie in einem kürzlich veröffentlichten Patch-Update festgestellt wurde).

Acronis
Die Sicherheit von Windows 11 reicht nicht aus, um Hacker in Schach zu halten

Acronis bietet überzeugende Cybersicherheit für Windows 11

Letztendlich sind die neuen Sicherheitsfunktionen in Windows 11 ein Schritt in die richtige Richtung. Außerdem scheint Microsoft neu gemeldete Probleme relativ schnell zu beheben. Dennoch werden Einzelpersonen, Unternehmen und Managed Service Provider (MSPs) feststellen, dass sie nur mit Lösungen, die von Cybersecurity-Anbietern wie Acronis entwickelt wurden, effiziente Sicherheit und Schutz erreichen können. Die Lösungen von Acronis sind auf die Integration von Datenschutz, Cybersicherheit und Workload-Management ausgerichtet. Sie verhindern moderne Cyberbedrohungen, einschließlich Zero-Day-Angriffen, und ermöglichen Sicherheitsadministratoren die Wiederherstellung von Daten, Anwendungen und Systemen über eine einzige Plattform.

Egal, ob Sie ein Privatanwender, ein Unternehmen oder ein Service Provider sind, Acronis bietet den besten Cybersecurity-Schutz, der derzeit auf dem Markt erhältlich ist. Die Lösungen umfassen:

Für Heimanwender: Acronis Cyber Protect Home Office (ehemals Acronis True Image) bietet alles, was ein Heimanwender benötigt, um seinen PC oder Mac zu schützen und seine Daten zu sichern, und macht ihn widerstandsfähiger gegen die heutigen Bedrohungen - von Festplattenausfällen bis hin zu Ransomware-Angriffen. Dank der einzigartigen Integration von Backup und Cybersicherheit in einem Produkt spart es Zeit und reduziert die Kosten, die Komplexität und das Risiko, die durch die Verwaltung mehrerer Einzellösungen entstehen.

Für Unternehmen: Acronis Cyber Protect Bietet Unternehmen eine Cybersicherheitslösung, die Cybersicherheit, Datenschutz und Workload-Management standardmäßig integriert, um Endpunkte, Systeme und Daten zu schützen. Durch die Integration von Datenschutz und Cybersicherheit kann Ihr Unternehmen die Komplexität beseitigen, einen besseren Schutz vor aktuellen Bedrohungen bieten und die Effizienz durch Zeit- und Kosteneinsparungen maximieren.

Für Dienstleister: Acronis Cyber Protect Cloud vereint Backup und Wiederherstellung, Antimalware- und Workload-Management der nächsten Generation in einer einzigen Lösung. Integration und Automatisierung sorgen für unübertroffene Einfachheit für MSPs - die Komplexität wird reduziert, während die Produktivität steigt und die Betriebskosten sinken.

Mehr von Acronis