Sicherheit ist Pflicht Mit Windows 11 auf Nummer sicher gehen?

Von Anna Kobylinska, Filipe Martins

Wenn es nach Microsoft geht, wäre „der PC von gestern“ Geschichte. Mit Windows 11 will der Anbieter eine neue Ära der Cybersicherheit einläuten. Es war mal an der Zeit, einen Gang höher zu schalten. Es könnte jetzt sogar geklappt haben.

Anbieter zum Thema

Windows 11 kommt! Microsoft istzuversichtlich, dass die meisten Unternehmen spätestens bis Oktober 2025 auf kompatible Hardware umgestiegen sind, und will die Patches für Windows 10 zu diesem Zeitpunkt einstellen.
Windows 11 kommt! Microsoft istzuversichtlich, dass die meisten Unternehmen spätestens bis Oktober 2025 auf kompatible Hardware umgestiegen sind, und will die Patches für Windows 10 zu diesem Zeitpunkt einstellen.
(Bild: Rawpixel.com - stock.adobe.com)

In Windows 11 dreht sich alles um die Hardware. In der Abbildung: ein Blick unter die Haube eines Laptops mit einer Intel-CPU.
In Windows 11 dreht sich alles um die Hardware. In der Abbildung: ein Blick unter die Haube eines Laptops mit einer Intel-CPU.
(Bild: Microsoft)

Teure Raubüberfälle, heimtückische Trojaner, vernichtende Viren, hinterhältige Supply-Chain-Machenschaften, Botnet-Hijacking für DDoS-Attacken… Ist das mit Windows 11 jetzt alles wirklich Schnee von gestern?

Microsoft hat mit den Chip-Herstellern Intel, AMD und Qualcomm fieberhaft dahingehend zusammengearbeitet. Sicherheitsvorkehrungen in Windows 11 bilden erstmals ein ganzheitliches, systemumfassendes Sicherheitskonzept. Kompatible Komponenten verlassen die Fertigungslinien bereits mit aktivierten Schutzmechanismen und der Benutzer kann sie nicht mehr selbst deaktivieren.

Die Sicherheitsfeatures in Windows 11 sind derart folgenschwer und tiefgreifend, dass sich Microsoft entschieden hat, die Markteinführung in Phasen umzusetzen. Einige Nutzer qualifizierter Hardware haben das System bereits am Laufen, andere sollen es in den kommenden Monaten erhalten, sobald Redmond den Segen – ganz individuell – erteilt haben wird. Microsoft spricht hierbei von einem „phased rollout“.

Wer es eilig hat, kann auf eigenes Risiko die automatische Aktualisierung umgehen und an der Windows-Installation selbst Hand anlegen, sofern die betroffene Hardware die Mindestvoraussetzungen dafür erfüllen kann. In einigen Fällen sind Anpassungen an der UEFI-Konfiguration des Motherboards erforderlich (mehr dazu weiter unten).

Mit dem Tool „PC Health Check“ lässt sich ein PC auf die Kompatibilität mit Windows 11 hin überprüfen.
Mit dem Tool „PC Health Check“ lässt sich ein PC auf die Kompatibilität mit Windows 11 hin überprüfen.
(Bild: Microsoft)

Hardwaregestützte Sicherheitsfeatures in Windows 11 erzwingen strenge Mindestanforderungen. Schätzungsweise erfüllt sie heute mit Glück gerade einmal jede zweite Unternehmens-Workstation. Insgesamt qualifizieren sich für den Upgrade nur 40 Prozent der 1,3 Milliarden PCs, die Windows 10 ausführen.

Tipp: Kompatibilität überprüfen

Ein kleines Tool von Microsoft namens „PC Health Check“ (verfügbar in den Einstellungen des Systems oder über einen direkten Download-Link) kann eine vorläufige Aussage darüber treffen, ob sich die betreffende Hardwarekonfiguration für Windows 11 qualifiziert und was der Nutzer daran ggf. ändern kann.

Zero-trust-ready

Bei den Systemanforderungen von Windows ging es typischerweise fast ausschließlich um die erforderliche Leistung. In Windows 11 gibt es zwar immer noch leistungsbezogene Voraussetzungen – mindestens zwei CPU-Kerne in 64 Bit mit einer Taktfrequenz von 1GHz oder ein SoC, 4GB RAM und 64 GB Datenspeicher – doch sie reichen nicht aus, um die Kompatibilität zu gewährleisten. Die Hardware muss zusätzlich die von Microsoft vorgeschriebenen Sicherheitsfeatures mitbringen.

Die Liste der kompatiblen CPUs beschränkt sich auf Intel Core ab der achten Generation, AMD ab Zen 2 sowie einige Snapdragon-Chips von Qualcomm. Nach dem Einbau in die Hauptplatine wacht die CPU über die Sicherheit und Integrität des Gesamtsystems. In gewöhnlichen PCs war es die Firmware.

Das Motherboard muss zwingend TPM 2.0 (Trusted Platform Module in der Version 2.0) und SLAT (Second Level Address Translation) unterstützen. Bei SLAT handelt es sich um eine Technologie der Hardwarevirtualisierung, welche den Hypervisor entlasten soll (Intel VT-X2 mit Extended Page Tables oder AMD-v mit Rapid Virtualization Indexing).

Außerdem muss das Motherboard über eine UEFI-Schnittstelle (Unified Extensible Firmware Interface) verfügen. Secure Boot ist Pflicht. Secure Boot erzwingt zum Booten ein signiertes Betriebssystem.

Tipp: Aktivieren von TPM und Secure-Boot

Auf kompatiblen UEFI-Motherboards lassen sich TPM und Secure Boot in den UEFI-Einstellungen aktivieren. Um UEFI-Einstellungen zu laden, muss man beim Neustart des PCs die UEFI-Taste drücken. Um welche Taste es sich handelt, hängt von dem Motherboard-Anbieter ab. Ein entsprechender Hinweis wird nach der POST-Diagnose (Power-On Self-Test)) angezeigt, bevor das Windows-Logo lädt. Wo sich die benötigte Einstellung befindet, ist anbieterabhängig. Die geänderten UEFI-Einstellungen muss man unbedingt speichern, was einen Neustart auslöst. Einige Boards wie Asus ROG Rampage VI Extreme Encore verfügen über zwei UEFI-Chips; die Einstellung muss man für jeden Chip einzeln vornehmen. Zum Umschalten zwischen den beiden Chips dient eine Taste auf dem Motherboard.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Tipp: Secure-Boot-Aktivierung überprüfen

Mit dem PowerShell-cmdlet lässt sich ermitteln, ob Secure-Boot bereits aktiviert ist, und zwar:

Confirm-SecureBootUEFI

Der Aufruf der PowerShell muss mit Administrator-Privilegien erfolgen. Der Befehl funktioniert nur auf einem UEFI-Computer. Der Rückgabewert true bestätigt, dass das Aktivieren von Secure-Boot geklappt hat.

Tipp: TPM-Aktivierung überprüfen

Um die TPM-Aktivierung zu überprüfen, kann man den TPM-Chip unter Windows auslesen. Hierzu drückt man die Tastenkombination Windows+R und ruft mit dem Befehl „tpm.msc“

die Anwendung Trusted Platform Module (TPM) Management auf. Die Meldung, ein TPM-Chip sei nicht vorhanden, ist jedoch gelegentlich unzutreffend, denn der Chip kann vorhanden, aber deaktiviert sein. Alternativ hilft in der Eingabeaufforderung der Befehl:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl

oder in der PowerShell:

Get-Tpm

Einige Motherboards haben einen Steckplatz, in den man einen kompatiblen TPM-Chip nachrüsten kann, doch das ist eher die Ausnahme. Wenn das UEFI keine Möglichkeit zur Aktivierung bietet, muss das betreffende Motherboard außen vor bleiben.

Vertrauenskette

Die nun obligatorisch aktivierten Sicherheitsfeatures sind hardwaregebunden. Microsoft liefert seine Surface-Laptops schon länger mit VBS/HVCI aus.
Die nun obligatorisch aktivierten Sicherheitsfeatures sind hardwaregebunden. Microsoft liefert seine Surface-Laptops schon länger mit VBS/HVCI aus.
(Bild: Microsoft)

Den Grundpfeiler des Sicherheitskonzeptes in Windows 11 bildet eine Technologie namens VBS (Virtualization-Based Security).

TPM-Hardware sichert kryptografische Schlüssel für BitLocker und andere sicherheitskritische Informationen. Der Chip führt diverse kryptografische Vorgänge aus und ermöglicht unter anderem die Hardware-basierte Authentifizierung und die Funktionalität von Windows Defender System Guard. Auch der Secure-Boot-Vorgang („Sicherer Start“) in Windows 11 nutzt den TPM-Chip. UEFI-gestütztes Secure-Boot schafft Abhilfe bei Ransomware wie beispielsweise NotPetya, die sich vor dem Boot-Vorgang im System einnistet.

TPM 2.0 und VBS bilden gemeinsam den Unterbau für eine Vorrichtung namens „hardware root of trust“, welche die Schlüssel für kryptografische Funktionen aufbewahrt und den abgesicherten Startvorgang ermöglicht, von dem sich dann die Vertrauenskette des Systems ableitet.

Measured-Boot erweitert den „Secure-Boot-zu-Trusted-Boot“-Vorgang um einen zusätzlichen Schritt: das „Anklopfen“ bei Microsoft.
Measured-Boot erweitert den „Secure-Boot-zu-Trusted-Boot“-Vorgang um einen zusätzlichen Schritt: das „Anklopfen“ bei Microsoft.
(Bild: Microsoft)

Der abgesicherte Startvorgang geht im Erfolgsfalle in den sogenannten vertrauenswürdigen Start ("Trusted Boot") über. Im Rahmen eines weiteren Ablaufs namens kontrollierter Start ("Measured Boot") fragt das System ggf. bei Microsoft-Servern nach, ob der Bootvorgang fortgesetzt werden darf.

Die Hardware-gestützte Root-of-Trust-Technologie soll das Auftreten von Sicherheitslücken wie PrintNightmare (2021) verhindern. Hierbei handelt es sich um eine Verwundbarkeit des Windows Print Spoolers, die es jedem authentifizierten (ob lokalem oder entferntem) Akteur ermöglichen kann, beliebigen Code mit SYSTEM-Berechtigungen auszuführen. Mit Windows 11 kann es nicht mehr passieren.

Tipp: Den TPM-Chip zurücksetzen

Wer einen PC oder ein Motherboard kauft, wäre gut beraten, den Inhalt des TPM-Chips zurückzusetzen, besonders im Falle von gebrauchten Geräten. Ein Eintrag für den TPM-Chip erscheint im Device Manager (devmgmt.msc) unter „Security Devices“ (das Anzeigen unsichtbarer Geräte gelingt ggf. mittels „View > Show hidden devices“, außer wenn sie „ghosted“ sind). In der Anzeige der Eigenschaften des TPM-Chips ist es möglich, den Inhalt des TPM-Chips zu löschen („Clear TPM“).

Secured-core PC und die „angeborene“ Cyber-Immunität

Mit dem Konzept eines „secured-core PC“ möchte Microsoft anhaltenden Bedrohungen auf allen Ebenen des Systems Einhalt gebieten.

Windows 11 läuft auf einem Hypervisor, um die Erstellung von abgesicherten Bereichen des Arbeitsspeichers durch Hardware-gestützte Isolation zu ermöglichen. Diese Isolation kann etwa Prozesse wie den Webbrowser von anderen Anwendungen oder Funktionen des Betriebssystems abschotten.

Auf dem Unterbau von VBS hat Microsoft eine Vielzahl sehr interessanter Sicherheitsfeatures aufgebaut. Einige davon debütierten bereits in der Vorgängerversion; jetzt sind sie nicht mehr optional.

Zu den interessantesten technologischen Errungenschaften von Microsoft in Windows 11 zählen:

  • Schutz für Daten der Kernel-Ebene (Kernel Data Protection): VBS kennzeichnet einen Teil des Kernel-Speichers als schreibgeschützt, um seinen Inhalt vor Manipulationen zu schützen;
  • Hypervisor-gestützte Code-Absicherung (kurz: HVCI für Hypervisor-Protected Code Integrity): Hierbei handelt es sich um einen Mechanismus zur Durchführung von Code-Integritätsprüfungen in einer isolierten Umgebung; HVCI soll Ransomware eindämmen können, die Kernel-Treiber missbraucht (Malware wie Trickbot geht jetzt leer aus);
  • Microsoft Defender Application Guard: Hierbei handelt es sich um eine Sandbox für Microsofts Browser Edge und Microsoft Office; sie macht sich die Virtualisierung zu Nutze, um nicht vertrauenswürdige Websites und Office-Dokumente zwecks Schadensbegrenzung zu isolieren;
  • Credential Guard: Dieses Feature erzwingt die Durchsetzung der Sicherheitspolicy, indem es LSASS (den Local Security Authority Subsystem Service) in einem Container ausführt, der potenzielle Angreifer daran hindern soll, Anmeldedaten auszulesen und für Pass-the-Hash-Angriffe zu missbrauchen;
  • Windows Hello Enhanced Sign-In: VBS isoliert biometrische Software und schafft sichere Pfade zu externen Komponenten wie der Kamera und dem TPM (Trusted Platform Module).

Einige dieser Features wurden bereits in Windows 10 eingeführt. Jetzt sind sie immer automatisch aktiviert.

Microsoft Defender Application Guard in Windows 11 bietet eine Hardware-Isolation durch Hypervisor-gestützte Virtualisierung.
Microsoft Defender Application Guard in Windows 11 bietet eine Hardware-Isolation durch Hypervisor-gestützte Virtualisierung.
(Bild: Microsoft)

Während des Boot-Vorgangs prüft System Guard die Integrität des Systems und ruft im Problemfall eine Software wie Intune oder Microsoft Endpoint Configuration Manager auf, um dem Gerät ggf. den Netzwerkzugriff zu verweigern.

Microsoft zeigt sich zuversichtlich, dass die meisten Unternehmen spätestens bis Oktober 2025 auf kompatible Hardware umgestiegen sein dürften, und will die Patches für Windows 10 zu diesem Zeitpunkt einstellen.

Windows 11 „reift“ inzwischen wie eine Banane bei jenen Endanwendern, deren PCs in den Genuss der Aktualisierung kommen konnten. Microsoft hat auch schon den einen oder anderen Bug im Blitztempo behoben.

Fazit

In Windows 11 macht Microsoft viel neu und anders. Mit dem Versprechen einer dem PC nun angeborenen Cyber-Immunität dürfen die Nutzer endlich etwas aufatmen. Doch es wäre noch voreilig, einen Sieg über die dunkle Seite des Cyberspaces zu feiern. Der Ball ist jetzt auf der Gegenseite. Schaun 'mer mal.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:48172897)