Windows 11-Sicherheit: Ist sie ausreichend?

Sind die Sicherheits- und Antivirenprogramme von Windows 11 ausreichend, um Sie von allen Bedrohungen heutzutage zu schützen? Ich glaube nicht, ebenso wenig wie die Experten für IT-Sicherheit. Windows 11 Antivirus schützt Ihre Geräte nicht vor allen potenziellen Bedrohungen und unerwarteten Ereignissen. Es ist möglicherweise die sicherste Version von Windows-Sicherheit, aber es ist nicht in der Lage, Sie vor allen Bedrohungen zu schützen. Glücklicherweise haben wir die beste Entscheidung auf dem Markt, um dieses Problem zu lösen. Es heißt Acronis Cyber Protect Home Office für private Benutzer, Acronis Cyber Protect für Unternehmen und Acronis Cyber Protect Cloud für Dienstleister.

Acronis Cyber Protect Home Office ist der ultimative Schutz vor Bedrohungen für Ihre privaten Geräte und Ihr Unternehmen. Mit den unzähligen Sicherheitstools, Sicherheitsfunktionen und Innovationen, die Sie nicht nur vor schädlicher Software schützen, sondern Ihnen auch vollen Schutz vor Bedrohungen bieten, da Bedrohungen real sind und direkt hinter der Ecke lauern und auf den richtigen Moment warten.

Über Windows 11, das neueste Betriebssystem von Microsoft, das der Softwareriese als „das sicherste Windows aller Zeiten“ bezeichnet, wurde bereits viel geschrieben. Wie viele in der Tech-Welt jedoch schnell festgestellt haben, unterstützen die meisten PCs, auf denen derzeit Windows läuft, nicht die erweiterten Systemanforderungen für das neue Betriebssystem. Laut neuesten Umfragen steigt die Anzahl der Bedrohungen täglich an, was für alle, die Windows 11 verwenden, ein Problem ist und sich nicht ausreichend vor den bereitgestellten Windows-Sicherheitseinstellungen geschützt fühlen, da die Anzahl der potenziellen Bedrohungen ständig zunimmt. Und dies trotz der Tatsache, dass Microsoft konstante Updates für seine Windows-Sicherheitssoftware veröffentlicht, wie die Implementierung von Exploit-Schutz und TPM-Chart, um nicht autorisierte Benutzer am Zugriff auf Ihre Verschlüsselungskeys zu hindern. Genauso sollte die Windows-Sicherheit von Geräten dasselbe tun und ständig immer bessere Schutzdienste aktualisieren und entwickeln, damit sich die Benutzer sicher und geschützt fühlen können, was ihr wertvollstes Gut, ihre Daten, betrifft. Denn wir alle wissen, dass der grundlegende Schutz, den die Windows-Sicherheit bereits bietet, nicht ausreicht, um alle Risiken und potenziellen Bedrohungen abzudecken.

Um die Windows-Sicherheitsverbesserungen optimal nutzen zu können, müssen PCs mit einer ultramodernen CPU mit Virtualisierungserweiterungen, Secure Boot-fähiger UEFI-Firmware und einem fortschrittlichen TPM 2,0-kompatiblen Sicherheitschip ausgestattet sein. Diese und andere Einschränkungen stellen die Unterstützung einer Vielzahl von Cybersicherheitsfunktionen sicher, die Windows 11 wesentlich widerstandsfähiger machen als seine Vorgänger. Sie stellen jedoch auch sicher, dass sich die meisten Unternehmen die Zeit nehmen, ihre Systeme zu aktualisieren.

Um die vor- und Nachteile eines Upgrades auf Windows 11 effektiv analysieren zu können, müssen Sie wissen, welche Windows-Sicherheitssoftware im Lieferumfang enthalten und verfügbar ist. Wie werden diese Windows-Sicherheitsfunktionen durch die neuen Hardware- und Softwareanforderungen unterstützt? Und welche Auswirkungen werden die aktualisierten Sicherheits- und Firewall-Einstellungen haben, um nicht nur den Schutz vor schädlichem Code, sondern auch einen vollständigen Schutz vor allen unerwünschten und unvorhergesehenen Bedrohungen zu gewährleisten, die ständig auf einen Angriff warten.

Zu den aufwändigeren Anforderungen für ein Upgrade auf Windows 11 gehören die CPU-Anforderungen. Windows 11 erfordert einen modernen 64-Bit-Prozessor mit 1 GHz, Virtualisierungserweiterungen und zwei oder mehr Kernen (z. B. Intel-Prozessor der 8. Generation, AMD Zen 2 oder Qualcomm 7 oder 8 Series). Mit diesen Spezifikationen kann Windows 11 die Vorteile der virtualisierungsbasierten Sicherheit (VBS) voll ausschöpfen.

Mithilfe von Hardwarevirtualisierungsfunktionen erstellt und isoliert VBS einen sicheren, vom Rest des Betriebssystems abgeschotteten Speicherbereich, um sensible Daten oder Prozesse zu verwalten. Durch diese Isolierung wird das Ausmaß begrenzt, in dem ein bestimmter Hack oder ein Exploit die Sicherheit des Systems gefährden kann.

„Obwohl wir VBS bei einem Upgrade auf Windows 11 nicht vorschreiben, glauben wir, dass die Sicherheitsvorteile, die es bietet, so wichtig sind, dass wir mit den Mindestsystemanforderungen sicherstellen wollten, dass jeder PC, auf dem Windows 11 läuft, dieselbe Sicherheit bietet, auf die sich das US-Verteidigungsministerium (DoD) verlässt. In Zusammenarbeit mit unseren OEM- und Siliziumpartnern werden wir VBS und HVCI im Laufe des nächsten Jahres auf den meisten neuen PCs aktivieren. Und wir werden weiterhin nach Möglichkeiten suchen, VBS im Laufe der Zeit auf zusätzliche Systeme auszuweiten.“

• Kernel Data Protection (KDP), verwendet beispielsweise VBS, um Teile des Windows-Kernels als schreibgeschützt zu kennzeichnen, und sich so zu vergewissern, dass Treiber und Software, die im Windows-Kernel (d. h. im Betriebssystemcode selbst) ausgeführt werden, nicht manipuliert werden können.
•  Application Guard verwendet VBS, um virtuelle Umgebungen (Container) zu erstellen, in denen Benutzer mit Websites oder Microsoft Office-Apps und -Dateien interagieren können, die nicht explizit auf die Whitelist gesetzt wurden. Auf diese Weise vergewissert sich der Benutzer, dass nicht vertrauenswürdige Inhalte, die über Microsoft Edge, Internet Explorer oder Microsoft Office geladen werden, vom Host-Betriebssystem und den Unternehmensdaten isoliert bleiben, wodurch der Schaden, den infizierte Inhalte verursachen können, begrenzt wird.
• Credential Guard ist eine Sicherheitsfunktion des Betriebssystems, die Windows NTLM, Kerberos-Anmeldeinformationen und andere Geheimnisse in einer VBS-geschützten Umgebung isoliert und somit sicherstellt, dass nur privilegierte Systemsoftware Zugriff erhält. Diese Funktion schützt Ihr System vor Angriffen zum Diebstahl von Anmeldeinformationen wie Pass the Ticket (PtT) und Pass the Hash (PtH).
• In ähnlicher Weise nutzt Windows Hello Enhanced Sign-In Security VBS, um die Authentifizierungsdaten (einschließlich biometrischer Daten), die für die Anmeldung an einem bestimmten Gerät verwendet werden, zu isolieren und zu schützen, und gewährleistet, dass der Zugriff auf die Daten nur über sichere Prozesse möglich ist, die in der VBS-Umgebung ausgeführt werden. Es unterstützt auch die Erstellung von sicheren Pfaden für Authentifizierungsdaten, die über externe Komponenten (z. B. einen Fingerabdrucksensor oder eine Kamera) bereitgestellt werden.

Zusätzlich zu den Prozessoranforderungen benötigt Windows 11 einen TPM-Chip für die Verwaltung kryptografischer Schlüssel sowie zum Schutz der Firmware und des Betriebssystems Ihres PCs. Das Trusted Platform Module (TPM) bietet auf Hardwareebene Schutz vor Manipulationen bei sensiblen Vorgängen wie Schlüsselgenerierung, Verschlüsselung und Systemstart. Die Version der TPM-Spezifikation 2.0 ist in alle Windows 11-unterstützten CPUs integriert und bietet einige wichtige Verbesserungen für die Windows-Sicherheit.

United Extensible Firmware Interface (UEFI) tritt an die Stelle des traditionellen Legacy BIOS. Diese programmierbare Boot-Umgebung initialisiert Geräte und startet den Bootloader des Betriebssystems. PCs mit UEFI 2.3.1 und einem TPM-Chip unterstützen auch Secure Boot, eine Funktion, die den gesamten Code überprüft, der vor dem Laden des Betriebssystems ausgeführt wird, sowie die digitale Signatur des Betriebssystem-Bootloaders. Alle Windows 11-Rechner sind von Anfang an mit vollständig aktiviertem UEFI Secure Boot ausgestattet, sodass nur autorisierte Firmware und Software mit vertrauenswürdigen digitalen Signaturen während des Bootvorgangs ausgeführt werden kann, und das System sowohl vor Boot-Kits als auch vor Rootkits geschützt ist.

Windows 11 ist das erste Betriebssystem, das Microsoft Pluton unterstützt, den neuen von Microsoft entwickelten und aktualisierten Sicherheitsprozessor, der in zukünftige Intel-, AMD- und Qualcomm-CPUs für Windows-PCs integriert wird. Pluton implementiert durchgängige Windows-Sicherheit, die von Microsoft erstellt, verwaltet und aktualisiert wird. Sie wird in den standardmäßigen Windows Update-Prozess integriert, was eine engere und sicherere Integration mit dem Betriebssystem auf Hardware-Ebene ermöglicht Diese Integration hilft, eine physische Schwachstelle in aktuellen TPM-Implementierungen zu beheben, bei der Angreifer, die in den Besitz eines Geräts gelangt sind, immer noch auf den Kommunikationskanal zwischen der CPU und TPM anvisieren können, um während der Übertragung Informationen zu stehlen oder zu verändern.

Diese Anforderungen an Windows 11 gewährleisten die Unterstützung einer Reihe von fortschrittlichen Sicherheitstechnologien wie Geräteverschlüsselung. Einige, wie z. B. UEFI Secure Boot, sind standardmäßig in jeder Windows 11-Installation aktiviert und erleichtern so den standardmäßigen Zero Trust-Schutz

Hardwaregestützter Stapelschutz (HSP) ist eine Funktion, die dazu beiträgt, Exploits zu erkennen und zu deaktivieren, die durch Umgehung des Code-Ausführungsflusses einer Anwendung funktionieren. HSP ermöglicht es Anwendungen, die lokale CPU-Hardware zu nutzen, um den (Speicher-)Stack – in dem der Code zur Laufzeit gespeichert wird – vor Änderungen zu schützen. Dies geschieht durch den Vergleich des Aufrufstapels der Anwendung mit einem Shadow-Stack (einer hardwaregesicherten Aufzeichnung des normalen Codeausführungsflusses der Anwendung). Wenn die Stack-Integrität beeinträchtigt wurde, wird der Prozess beendet.

Während diese Funktion seit März 2020 verfügbar ist (zumindest in Entwickler-Builds), ist der Shadow-Stack-Mechanismus nur auf bestimmten fortschrittlichen Chipsätzen verfügbar, wie sie von Windows 11 benötigt werden, womit eine breitere Akzeptanz im neuen Betriebssystem gewährleistet ist.

Dank Funktionen wie UEFI Secure Boot und Kernel Data Protection ist die Stabilität der Geräte mit Windows 11 gewährleistet. Als solches bietet das Betriebssystem auch sofortige Unterstützung für die Remote-Geräteüberprüfung, d. h. die Remote-Überprüfung, dass alle Windows-Geräte, die sich mit Ihrem Netzwerk verbinden, tatsächlich vertrauenswürdig sind. Durch die Attestierung wird Vertrauen hergestellt, indem die Identität und Integrität wichtiger Hardware- und Softwarekomponenten überprüft wird. Die Remote-Attestierungsmethode bietet vertrauenden Parteien einen überprüfbaren, unvoreingenommenen und manipulationssicheren Gerätebericht über einen Remote-Peer.

Microsoft Azure Attestation (MAA)ist ein Paradebeispiel für einen Remote-Attestierungsdienst, der verwendet werden kann, um den Zustand von Windows-Geräten umfassend zu überprüfen und diese Informationen zu verwenden, um den bedingten Zugriff auf Cloud-basierte Anwendungen und Daten über Azure Active Directory durchzusetzen.

Microsoft hat große Anstrengungen unternommen, um sicherzustellen, dass das neue Betriebssystem von Anfang an durch die Windows-Sicherheitssoftware sicher ist. Die erforderliche sicherheitsgerichtete Hardware, die Funktionen wie VBS und UEFI Secure Boot unterstützt, kann das in Windows 11 integrierte Antivirenprogramm ganze Klassen von Malware-Angriffen vollständig neutralisieren und vollständigen Ransomware-Schutz wie Rootkits und ROP-Angriffe (Return-Oriented Programming) gewährleisten. Eine weitere nützliche Anwendung der Windows-Sicherheits-App ist Defender SmartScreen, der auch vor Phishing- und Malware-Websites für potenziell schädliche Dateien schützt.

Die meisten Windows-Benutzer arbeiten jedoch weiterhin mit älteren Rechnern. Einige von ihnen nutzen ein virtuelles privates Netzwerk als Garantie für besseren Schutz bei der Verbindung von Gerät und Internet. Viele dieser Benutzer sind bereits eifrig dabei, das neue Betriebssystem auszuprobieren, und verstehen vielleicht nicht ganz, dass die neuen Sicherheitsverbesserungen von Windows 11 mit den neuen Hardwarebeschränkungen Hand in Hand gehen. Damit steigt die Wahrscheinlichkeit für bösartige Anwendungen und Malware-Angriffe erheblich. Einige denken vielleicht sogar darüber nach, die Systemanforderungen zu umgehen. Auf diese Weise erhalten sie nicht einmal den grundlegenden Schutz vor Virenbedrohungen, was zu katastrophalen Folgen führen kann. Benutzer (oder IT-Administratoren), die Windows 11 unter Umgehung der Hardwareanforderungen installieren oder auf andere Weise wichtige Sicherheitsfunktionen deaktivieren, verpassen folglich viele der Sicherheitsvorteile der Plattform.

Denken Sie außerdem daran, dass viele der Angriffsvektoren, auf die Ihre aktuelle Cybersicherheitsstrategie abzielt, nicht speziell von den neuen Sicherheitsfunktionen in Windows 11 berücksichtigt werden. Cyberkriminelle suchen ständig nach neuen Schwachstellen und erzeugen neue Malware und andere Exploits, von denen einige auch weiterhin problemlos auf TPM-geschützten Systemen funktionieren, wie z. B. Phishing. Obwohl Windows 11 über eine Virus- und Thread-Schutzsoftware verfügt, die in regelmäßigen Abständen Tiefenscans durchführt, um Bedrohungen automatisch zu erkennen, ist es keine schlechte Idee, gelegentlich manuell Scans durchzuführen. Dies wird noch deutlicher, wenn man bedenkt, dass Microsoft trotz des Zustroms neuer Technologien, die in Windows 11 implementiert wurden – Microsoft weiterhin verpflichtet ist, zahlreiche ältere Anwendungen in der Windows-Sicherheit zu unterstützen, wie Security Boot, das auf der Seite für die Gerätesicherheit aufgeführt ist und erstellt wurde, um zu verhindern, dass Malware den Startprozess angreift. Sie müssen nur einen sicheren Start aktivieren und sicher ausführen. Windows 11 bietet auch Abwärtskompatibilität und verbesserte Sicherheit. Daher ist es vertretbar zu erwarten, dass viele zuvor nicht gemeldete Sicherheitslücken, die Windows 10 betreffen, auch für Windows 11 gelten können (wie in einem kürzlich veröffentlichten Patch-Update festgestellt wurde).

Es gibt eine Umfrage, dass 80 % der Windows-Benutzer immer noch nur Passwörter verwenden, anstatt wesentlich sicherere biometrische Authentifizierung wie Fingerabdruckerkennung, und Gesichtserkennung in ihrem Microsoft-Konto, wo Sie auch dynamische Sperren finden und aktivieren können, die Ihren PC automatisch sperren, wenn Sie mit Ihrem Smartphone in der Hand weggehen. Wenn Sie ein Bluetooth-Gerät mit Ihrem PC verbinden möchten, können Sie weiterhin die dynamische Sperre für alle verbundenen Geräte verwenden. All diese nützlichen Anwendungen der Windows-Sicherheit finden Sie in den Einstellungen für die Anmeldeoptionen Ihres Administratorkontos, wo Sie die Systemeinstellungen nach Bedarf verwalten und ändern können. Es gibt eine weitere großartige Anwendung für die Browsersteuerung, wenn Sie während des Online-Betriebs, des Speicherns von Dateien und des Surfens im Internet durch die Windows-Sicherheits-App geschützt bleiben möchten. Auf der anderen Seite ist es sehr wichtig, den Passwortmanager zu verwenden, wenn Sie sich bei einem bestehenden oder einem neuen Konto anmelden müssen. Auf diese Weise erstellen Sie für jede Website, bei der Sie sich anmelden, eindeutige und sichere Passwörter.

Die Windows-Sicherheit reicht nicht aus, um Hacker abzuwehren, und das ist trotz des reputationsbasierten Schutzes bedenklich, denn so kann es jederzeit zu Software- oder Hardwarefehlern kommen. IT-Experten raten allen, Ihr Kontopasswort mindestens zweimal im Jahr zu ändern und immer ein Sonderzeichen in allen Passwörtern zu haben, um die Informationssicherheit bei der Anmeldung zu verbessern.

Ein weiterer guter Rat ist, die Windows-Sicherheits-App zu öffnen und die Einstellungen-App sorgfältig zu durchsuchen und sich den Verschlüsselungsmodus anzusehen, falls Sie Ihre wertvollsten Daten mit einem Passwort verschlüsseln möchten, um einen besseren Schutz zu gewährleisten. Wenn Sie Ihr Passwort vergessen, ist es wichtig, einen Wiederherstellungsschlüssel zu erstellen. Sie können auch detaillierte Informationen zu anderen nützlichen Tools anzeigen und auswählen, wo Sie App-Berechtigungen erteilen, um die bestmögliche Sicherheit Ihres primären oder Standardkontos zu gewährleisten.

Alles in allem sind die neuen Sicherheitsfunktionen in Windows 11 absolut ein Schritt in die richtige Richtung. Darüber hinaus scheint Microsoft neu gemeldete Probleme relativ schnell anzugehen. Dennoch werden Einzelpersonen, Organisationen und Managed Service Provider (MSPs) feststellen, dass sie nur mit Lösungen,die von Anbietern für Cybersicherheit wie Acronis entwickelt wurden, effiziente Sicherheit und Schutz erreichen können. Die Lösungen von Acronis konzentrieren sich auf die Integration von Datenschutz, Cybersicherheit und Workload-Management und verhindern moderne Cyberbedrohungen, einschließlich Zero-Day-Angriffen, und ermöglichen Sicherheitsadministratoren die Wiederherstellung von Daten, Anwendungen und Systemen über eine einzige Plattform.

Egal, ob Sie zu Hause, geschäftlich oder als Dienstleister tätig sind, Acronis bietet den besten Schutz für Cybersicherheit, der heute auf dem Markt erhältlich ist. Die Lösungen umfassen:

Für Heimanwender: Acronis Cyber Protect Home Office(ehemals Acronis True Image) bietet alles, was ein Heimanwender benötigt, um seinen PC oder Mac zu schützen und seine Daten zu sichern. Das macht ihn widerstandsfähiger gegenüber aktuellen Bedrohungen – von Festplattenausfällen bis hin zu Ransomware-Angriffen. Dank der einzigartigen Integration von Backup und Cybersicherheit in einem Produkt spart es Zeit und reduziert Kosten, Komplexität und Risiken, die durch die Verwaltung mehrerer Einzellösungen entstehen.

Für Unternehmen: Acronis Cyber Protect bietet Unternehmen eine Cybersicherheitslösung, die native Cybersicherheit, Sicherung von Geschäftsdaten und Workload-Management integriert, um Endpunkte, Systeme und Daten zu schützen. Durch die Integration von Datenschutz und Cybersicherheit kann Ihr Unternehmen Komplexität eliminieren, besseren Schutz vor aktuellen Bedrohungen bieten und die Effizienz durch Zeit- und Kosteneinsparungen maximieren.

Für Dienstleister: Acronis Cyber Protect Cloud vereint Cloud-Backup und Wiederherstellung, Anti-Malware- und Workload-Management der nächsten Generation in einer einzigen Lösung. Integration und Automatisierung bieten unübertroffene Benutzerfreundlichkeit für MSPs – weniger Komplexität bei gleichzeitiger Steigerung der Produktivität und Senkung der Betriebskosten.