Sicherheitskonzept erstreckt sich vom Chip bis zur CloudWindows 11 setzt „Security by Design“ um
4. Oktober 2021Bedrohungen durch Phishing, Ransomware und Schwachstellen in IT-Infrastrukturen dominieren heutzutage die Berichterstattung im IT-Bereich. Daher müssen neue Entwicklungen sich dem Thema IT Security voll und ganz widmen. Daher rückt Microsoft bei Windows 11 die IT-Sicherheit in den Mittelpunkt – über die gesamte Wertschöpfungskette mit Geräten bis zur Cloud. Dazu wurden hardwarebasierte Schutzmechanismen eingebaut, auf bewährte Verfahren zur Datenverschlüsselung gesetzt und Schutz vor Malware implementiert.
„Security by design hat bei uns schon lange Priorität“ – so die Aussage von Microsoft. Laut eigenen Angaben investiert das Unternehmen jedes Jahr mehr als eine Milliarde Dollar in diesen Bereich. Im Jahr 2019 wurden Secure-Core-PCs angekündigt. Sie kombinieren Schutzmechanismen auf Hardware-, Software- und Betriebssystemebene, um einen Ende-zu-Ende-Schutz gegen Bedrohungen zu bieten.
Mit Windows 11 soll es Anwendern einfacher gemacht werden, sich vor Angriffen zu schützen. Alle zertifizierten Windows-11-Devices werden mit einem TPM-2.0-Chip ausgeliefert, damit die Benutzer von der Sicherheit profitieren, die durch eine Hardware-basierte „Root-of-Trust“ unterstützt wird.
Windows 11 und das Trusted Platform Module
Das Trusted Platform Module (TPM) ist ein Chip, der entweder in die Hauptplatine des PCs integriert ist oder separat in der CPU verbaut wird. Sein Zweck ist es, Verschlüsselungsschlüssel („Encryption Keys“), Anmeldeinformationen und andere sensible Daten hinter einer Hardwarebarriere zu schützen, so dass Angreifer und Malware nicht auf diese Daten zugreifen oder sie manipulieren können. Oder einfacher ausgedrückt: TPM 2.0 prüft beim Hochfahren des Rechners, ob ein berechtigter Zugriff vorliegt.
Endgeräte brauchen eine derartige Hardware-Unterstützung, um sich sowohl vor kriminellen Attacken durch Ransomware, als auch vor Angriffen durch staatliche Akteure zu schützen. Mit der Version 2.0 des TPM und dem eingebauten Root-of-Trust hat Mirosoft den Standard für Hardwaresicherheit angehoben. TPM 2.0 gilt als ein erfolgskritischer Baustein für den Schutz der Identitäten und Daten der Anwender über Windows Hello und BitLocker. Darüber hinaus helfen TPMs vielen Unternehmenskunden dabei, eine Zero-Trust-Strategie zu verwirklichen und damit ihre Geräte wirksam zu schützen.
Windows 11 bietet auch eine Out-of-the-Box-Unterstützung für die Azure-basierte Microsoft Azure Attestation (MAA). Sie ermöglicht es Anwendern, Zero-Trust-Richtlinien beim Zugriff auf sensible Ressourcen in der Cloud und On-Premises umzusetzen.
Weitere Sicherheitsfunktionen von Windows 11 sind:
- Höheres Sicherheitsniveau gegen verschärfte Bedrohungen: Eine verbesserte Sicherheit benötigt moderne CPUs mit integrierten und aktivierten Schutzmechanismen wie virtualisierungsbasierte Sicherheit (VBS), Hypervisor-geschützte Code-Integrität (HVCI) und Secure Boot. All das unterstützt Windows 11 und bietet außerdem einen hardware-unterstützten Stack-Schutz für lizensierte Intel- und AMD-Hardware. Dies legt den Grundstein für den Schutz der Anwender vor sogenannten Zero-Day-Exploits, also vor Angriffen, die erfolgen, bevor es überhaupt Patches dagegen gibt. Innovationen wie der Sicherheitsprozessor „Pluton“ in den Geräten der Hardware-Partner von Microsoft bilden das Herzstück einer robusten Zero-Trust-Strategie.
- Passwörter sind out: Windows Hello for Business unterstützt passwortlose Bereitstellungsmodelle, damit Geräte und Systeme innerhalb eines Unternehmensnetzwerks in wenigen Minuten einsatzbereit sind. Dies umfasst die Kontrolle der Authentifizierungsmethoden durch den IT-Administrator und sichert gleichzeitig die Kommunikation zwischen Cloud-Tools, um Unternehmensdaten und -identitäten besser zu schützen.
- Sicherheit und Produktivität gehören zusammen: All diese Security-Komponenten laufen im Hintergrund, ohne die Leistungsfähigkeit der Systeme zu schmälern. Mit Windows 11 wurden neue Anforderungen an die Hardwaresicherheit formuliert, um die Endgeräte noch stärker und widerstandsfähiger gegen Angriffe zu machen.
- Umfassende Sicherheit und Compliance: Über die standardmäßige Unterstützung von Microsoft Azure Attestation (MAA) erbringt Windows 11 einen Nachweis, der als Grundlage für Compliance-Richtlinien verwendet werden kann. Die MAA-gestützten Compliance-Richtlinien validieren sowohl die Identität, als auch die Plattform und bilden so das Rückgrat für die Zero-Trust- und Conditional-Access-Workflows zur Absicherung von Unternehmensressourcen. (rhh)
Microsoft