cutimage - Fotolia

Windows 10 Anniversary Update: Die neuen Sicherheitsfunktionen

Microsoft legt bei Windows 10 in Sachen Sicherheit nach. So können Unternehmenskunden nun auf eine Advanced-Threat-Protection-Lösung zugreifen.

Windows 10 gilt auch unter Kritikern als bislang sicherstes Windows. Mit dem Windows 10 Anniversary Update erweitert und ergänzt Microsoft einige Funktionen in Sachen Sicherheit. Das gilt zum einen für die Authentifizierung des Nutzers. Ziel ist es weiterhin, die Anmeldung per Passwort abzulösen. Darüber hinaus stehen Unternehmenskunden optional nun neue Sicherheitsfunktionen zur Erkennung von Bedrohungen zur Verfügung. Nicht alle Funktionen stehen allen Editionen offen, einige sind der Enterprise-Ausführung von Windows 10 vorbehalten. Alle Neuerungen, die sich eher mit der Benutzerfreundlichkeit beschäftigen, finden Sie in dem Beitrag Windows 10 Anniversary Update: Jubiläums-Update jetzt verfügbar.

Windows Hello – jetzt auch für Anwendungen und Websites

Mit der Einführung von Windows 10 hat Microsoft die Anmeldeoptionen an das System deutlich erweitert. Ziel war es bessere Alternativen, als die Verwendung von Benutzername und Passwort zu bieten. So kann man sich unter Windows 10 auch mit einem PIN oder einem Foto anmelden. Verfügt das System über einen Fingerabdruckscanner oder eine Kamera kann die Anmeldung über Windows Hello und entsprechender biometrischer Erkennung erfolgen.

Die Gesichtserkennung von Windows Hello gilt als sehr sicher, allerdings ist hierfür spezielle Hardware erforderlich. So ist eine Kamera mit Intels RealSense-Technologie notwendig. Seit der Einführung von Windows 10 sind zwar einige Notebooks mit integrierter RealSense-Kamera auf den Markt gekommen, von einer flächendeckenden Versorgung kann jedoch keine Rede sein. Daher bleibt diese Funktionalität einem bislang überschaubarem Anwenderkreis vorbehalten.

Mit dem Anniversary Update von Windows 10 sollen sich Anwender künftig auch bei Windows-Apps und Websites über Windows Hello biometrisch authentifizieren können. Die Hello-Unterstützung wird hierfür in den Browser Edge implementiert. Nutzer verwenden Passwörter häufig für mehrere Web-Dienste, eine biometrische Authentifizierung soll da die Sicherheit erhöhen. Bei der Implementierung von Windows Hello in den Browser Edge orientiert sich Microsoft am Web-Authentication-Standard beziehungsweise FIDO.

Wie funktioniert die Hello-Implementierung in Edge? Um den Anwender zu identifizieren schickt der Server eine Klartextanfrage an den Browser. Wenn Microsoft Edge den Anwender über Windows Hello identifiziert, sendet das System die Anfrage mit einem privaten Schlüssel signiert zurück an den Server. Wenn der Server die Signatur mit dem öffentlichen Schlüssel überprüfen kann, ist der Benutzer sicher angemeldet.

In der Tat wäre die biometrische Anmeldung an Webdienste ein erheblicher Sicherheitsgewinn, da Nutzer doch häufig die gleichen Zugangsdaten für entsprechende Services verwenden. Mit der Einschränkung auf den Browser Microsoft Edge und die notwendige Einbindung durch die Website-Betreiber bleibt die Akzeptanz abzuwarten.

Was mit Websites klappt, funktioniert auch mit Windows-10-Apps, auch hier lässt sich Hello durch die Entwickler implementieren. Microsoft demonstrierte exemplarisch eine Dropbox-App mit Hello-Authentifizierung.

Eine weitere Neuerung in Windows Hello ist die Authentifizierung über „Begleitgeräte“ (Companion Device), die mit dem Anniversary Update verfügbar wird. Die „Windows Unlock“ genannte Funktion steht in allen Windows-10-Versionen zur Verfügung. Microsoft bietet für Entwickler ein entsprechendes Framework. Dieses Begleitgerät kann beispielsweise ein Smartphone oder auch ein Fitnessarmband sein. Jedes Begleitgerät kann nur für einen einzelnen Benutzer auf dem jeweiligen Windows-10-Desktopgerät verwendet werden. Das Framework unterstützt unterschiedliche Kommunikationsformen, mit denen sich Begleitgerät und Desktop verständigen: USB, NFC, WLAN, Bluetooth.

Windows Information Protection – Daten klassifizieren und schützen

Windows Information Protection soll Unternehmen vor unbeabsichtigten Datenverlusten schützen – Stichwort Data Loss Protection. Über eine Label-Funktion sollen sich Dokumente einfach klassifizieren lassen, etwa um den Zugriff darauf einzuschränken. Über diese Klassifizierung kann zwischen Untenehmensdaten und persönlichen Daten unterschieden werden.

Dieser Datenschutzmechanismus soll unabhängig davon funktionieren, wo sich die Daten befinden. Der Ersteller eines Dokumentes kann darüber hinaus nachvollziehen, wer beispielsweise alles darauf zugegriffen hat. Die Richtlinien werden beispielsweise über Microsoft-Management-Systeme wie Intune oder System Center Configuration Manager aktiviert.

Ist beispielsweise eine Excel-Datei gekennzeichnet, dass es sich dabei um Unternehmensdaten handelt, bekommt der Anwender je nach Konfiguration eine Warnung, wenn er Inhalt daraus in anderen Anwendungen einfügen will. Funktionell handelt es sich bei Windows Information Protection um ein Subset des jüngst vorgestellten Microsoft Azure Information Protection.

Voraussetzungen für die Funktionalität von Windows Information Protection ist zum einen ein Active Directory sowie Office 365.

Windows Defender – zusätzliche Sicherheit

Microsoft erweitert die in Windows 10 integrierte Antivirenlösung Defender um eine neue Funktion. Diese soll dazu beitragen, dass die Gesamtsicherheit des Systems erhöht wird. So kann man Windows Defender so konfigurieren, das in regelmäßigen Abständen, das System im Hintergrund auf Schadsoftware untersucht wird. Das Besondere daran, diese Funktion steht nur dann zur Verfügung, wenn eine zusätzliche Sicherheitssoftware eines anderen Herstellers installiert ist. Serienmäßig ist die Funktion „Limited Periodic Scanning“ deaktiviert und muss aktiv vom Nutzer eingeschaltet werden. Durch das Scannen mit einer zweiten Sicherheitslösung soll zusätzliche Sicherheit gewährleistet werden. Die Funktion wurde in Zusammenarbeit mit den Anbietern von Antivirenlösungen abgestimmt. Bei Anwendern, die ohnehin nur Defender als Sicherheitslösung einsetzen, erscheint diese Option nicht, sondern arbeitet standardmäßig im Hintergrund.

Windows Defender Limited Periodic Scanning
Abbildung 1: Windows Defender kann nun auch bei einer installierten Antiviren-Lösung eines anderen Anbieters von Zeit zu Zeit einen zusätzlichen Scan durchführen.

Windows Defender erkennt nun beispielsweise auch, ob das Abonnement des primären Antivirenscanners abgelaufen ist und dieser nicht mehr aktiv ist. Dann springt Windows Defender selbstständig ein, um den Schutz aufrecht zu erhalten.

Windows Defender Advanced Threat Protection

Unternehmenskunden soll mit dem Windows 10 Anniversary Update die neue Sicherheitslösung Windows Defender Advanced Threat Protection angeboten werden. Wie andere ATP-Lösungen auch, soll der neue Service Unternehmen dabei unterstützen Attacken aufs Netzwerk und die Systeme zu erkennen und entsprechend zu reagieren.

Basierend auf den bislang aktuellen Schutzmechanismen von Windows 10 wird mit Windows Defender Advanced Threat Protection eine neue Schutzebene in den Windows-Sicherheits-Stack eingezogen. Das Zusammenspiel zwischen lokalen Windows-Funktionen und einem Cloud-Dienst soll für die Erkennung entsprechender Gefahren sorgen. Damit sei der Service auch in der Lage Gefahren zu erkennen, die bereits anderen Schutzmaßnahmen überwunden hätten, so Microsoft. Der Service nutzt Verhaltenssensoren von Windows und cloud-basierte Sicherheitsanalysen. Hinzu kommen Threat Intelligence sowie Microsofts intelligenter Security Graph. Dieser liefert Big-Data-Sicherheitsanalysen, aus den Daten, die Microsoft zur Verfügung stehen, und soll so Anomalien identifizieren können. Die hierfür anonym gesammelten Daten würden von über einer Milliarde Windows-Geräte stammen, sowie Billionen indexierter URLs und Millionen verdächtigter Dateien.

Windows Defender Advanced Threat Protection
Abbildung 2: Mit Windows Defender Advanced Threat Protection sollen Unternehmenskunden Bedrohungen erkennen und Gegenmaßnahmen ergreifen können.

Über Windows 10 würde die Defender Advanced Threat Protection ständig aktuell gehalten. Eine On-Premise-Server-Infrastruktur sei nicht erforderlich. Zudem ergänze die Lösung die E-Mail-Schutzdienste von Office 365 Advanced Threat Protection und Microsoft Advanced Threat Analytics. Voraussetzung für Windows Defender Advanced Threat Protections ist das Windows 10 Anniversary Udpate auf den Clients. Dann können Untenehmenskunden den Service optional lizenzieren.

Bislang steht der Service als Preview zur Verfügung, interessieret Admins können sich hier bewerben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

 

Erfahren Sie mehr über Strategien für Zweifaktor-und Multifaktor-Authentifizierung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close