Microsoft

Windows Defender Advanced Threat Protection: Windows-10-Netzwerke absichern

Windows Defender ATP ist ein Cloud-Dienst, mit dessen Hilfe Unternehmen Angriffe auf das eigene Netzwerk und die Systeme schneller erkennen können.

Microsoft bietet immer mehr Funktionen und Dienste an, die sich mit der Sicherheit von Netzwerken befassen.

In Windows 10 hat Microsoft dazu zahlreiche weitere Funktionen integriert, zum Beispiel die neue Technik zur Installation von Updates oder auch Windows Hello, für die sichere Authentifizierung.

Windows Defender Advanced Threat Protection (ATP) ist ein Cloud-Dienst, der Unternehmen in die Lage versetzt, Angriffe auf das eigene Netzwerk zu erkennen. Die Verwaltung erfolgt über ein webbasiertes Dashboard, in dem die Daten der einzelnen angebundenen Firmenrechner angezeigt werden.

Windows Defender ATP erkennt, wenn sich Windows-Rechner verdächtig verhalten und kann Administratoren darüber informieren. Es sind daher keine Definitionsdateien notwendig, sondern der Cloud-Dienst überwacht die Windows-Geräte und zeigt verdächtiges Verhalten in einem Dashboard an.

ATP steht allerdings nur für Windows-10-Rechner zur Verfügung. Windows Defender Advanced Threat Protection benötigt Rechner mit Windows 10 Pro, Enterprise oder Education im Netzwerk. Genaue Informationen zu den Mindestanforderungen für Windows Defender ATP finden sich hier.

Microsoft demonstriert die Funktionsweise in folgendem Video.

Die Beschränkung auf Windows 10 ist allerdings auch einer der Gründe, warum ATP zuverlässig Angriffe auf Windows 10 erkennen kann. Die notwendigen Techniken zum Messen und Übertragen von Telemetrie-Daten sind direkt in das Betriebssystem integriert.

Optimal arbeitet ATP mit Windows 10 Enterprise zusammen, da hier alle Komponenten für Windows Defender Advanced Threat Protection (ATP) bereits fest integriert sind. Die Anbindung an ATP erfolgt in diesem Fall über Gruppenrichtlinien, Skript oder mit System Center Configuration Manager. Microsoft stellt auch die entsprechenden Skripte zur Verfügung sowie Vorlagen für Gruppenrichtlinien oder die Anbindung an SCCM.

Windows Defender ATP als ergänzender Schutz

Windows Defender ATP arbeitet durchaus mit herkömmlichen Virenscannern zusammen, die wiederum mit Definitionsdateien beziehungsweise Signaturen arbeiten. Dadurch erhalten Unternehmen einen zusätzlichen Schutz. ATP hat also nicht die Aufgabe Firewalls oder Virenscanner zu ersetzen, sondern soll die vorhandenen Technologien ergänzen, um Netzwerke sicherer zu betreiben.

ATP erkennt Angriffe, bei denen Firewall und Virenscanner überfordert sind, oder keine Maßnahmen ergreifen können. Dennoch müssen in sicheren Netzwerken die PCs abgesichert werden. Dazu gehört das Installieren von Windows-Updates genauso, wie das Verwenden von sicheren Benutzerkonten und eine sichere Authentifizierung.

ATP arbeitet mit Machine Learning, und erkennt, ob sich Rechner im Netzwerk anders verhalten, als es der Norm entspricht. Die Lösung analysiert dazu nicht nur einzelne Rechner im Netzwerk, sondern nutzt die Daten von allen angebundenen Rechnern. So erkennt die Software auch zusammenhängende Angriffe und kann entsprechende Gegenmaßnahmen einleiten. Dadurch können im Netzwerk Rechner bereits geschützt werden, die überhaupt noch nicht angegriffen worden sind.

So funktioniert Windows Defender Advanced Threat Protection

Windows Defender ATP arbeitet mit einem Systemdienst in Windows 10. Dieser analysiert das eigene System und sendet Daten in die Cloud. Dort werden die gesendeten Daten aller angebundenen Rechner ausgewertet. Dazu kann der Dienst auch mit anderen Daten arbeiten, die Microsoft zur Verfügung steht.

Durch die starke Verbreitung von Windows und anderen Microsoft-Diensten stehen Microsoft zahlreiche Informationen zur Verfügung. Die hierfür anonym gesammelten Daten würden von über einer Milliarde Windows-Geräte stammen, sowie Billionen indexierter URLs und Millionen verdächtigter Dateien. Alleine durch diese starke Verbreitung von Microsoft-Produkten und -Diensten, kann ATP auf eine umfassende Basis in der Heuristik zurückgreifen, zusammen mit den Daten, welche durch die Windows 10-PCs zugestellt werden.

Die Komponenten des Cloud-Dienstes Windows Defender ATP im Überblick. Die Lösung verarbeitet Informationen von den Sensoren in den Windows-10-Endpunkten ebenso wie Security-Informationen aus der Cloud.
Abbildung 1: Die Komponenten des Cloud-Dienstes Windows Defender ATP im Überblick. Die Lösung verarbeitet Informationen von den Sensoren in den Windows-10-Endpunkten ebenso wie Security-Informationen aus der Cloud.

Die Vorteile von ATP bestehen in der breiten Datenbasis sowie in den intelligenten Algorithmen im Bereich Machine Learning. Um ATP zu nutzen, müssen die Rechner kein Bestandteil einer Active-Directory-Domäne sein. Das heißt, Unternehmen können auch Notebooks von mobilen Mitarbeitern mit einbeziehen, aber auch Heimarbeitsplätze und Kiosk-Rechner.

Das verbreitert die Datenbasis, erleichtert den Schutz und bietet weitere Sicherheitsstufen für besonders gefährdete Rechner. Neben der automatisierten Analyse können Administratoren auch verdächtige Dateien in die Cloud laden und analysieren lassen. Interessierte Admins können sich für eine Testversion registrieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows 10 Fall Creators Update: Die neuen Security-Funktionen

Windows 10: Hello for Business ersetzt Passwörter

Windows Server: Mehr Sicherheit mit Gruppenrichtlinien

Best Practices: Active Directory Security

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit