Microsoft

Windows 11: Neue Sicherheitsfunktionen für Unternehmen

Um hybriden Arbeitsmodellen besser zu entsprechen und die Anwender in Unternehmen umfassender abzusichern, kündigt Microsoft für Windows 11 neue Sicherheitsfunktionen an.

Mit den sich verändernden IT-Umgebungen und Arbeitsweisen – Stichwort Home-Office – hat sich auch die Bedrohungslage und die Angriffsfläche von Unternehmen verändert. Das sorgt dafür, dass die Herausforderungen für die IT-Abteilungen, um die Sicherheit der Anwender zu gewährleisten nicht einfacher geworden sind. Microsoft hat eine Reihe von Neuerungen für Windows 11 vorgestellt, die in künftigen Versionen dafür sorgen sollen, dass Anwender in Unternehmen besser abgesichert sind.

Abseits von Windows 11 spendiert Microsoft auch dem Endpoint Manager eine neue Funktion, die IT-Abteilungen die Arbeit erleichtern soll und kündigt neue Funktionen für Windows 365 an.

Verbesserte Sicherheit für Windows 11

Die Funktion Smart App Control soll verhindern, dass Nutzer auf ihren Windows-11-Geräten Anwendungen ausführen, die standardmäßig nicht vertrauenswürdig oder nicht signiert sind. Dabei ist die Funktion direkt in das Betriebssystem auf Prozessebene eingebettet. Welche Anwendungen sind vertrauenswürdig? Smart App Control erlaubt nur die Ausführung von Prozessen, die auf Grundlage von Code-Zertifikaten oder auf Basis eines KI-Modells für das Vertrauen in Anwendung innerhalb der Microsoft-Cloud als sicher eingestuft wurden. Dort würden rund um die Uhr aktuelle Bedrohungsdaten gesammelt, die für eine Bewertung zur Verfügung stehen. Wenn ein Nutzer eine neue Anwendung unter Windows 11 startet, wird sie anhand dieses Modells überprüft, um zu gewährleisten, dass nur sichere Anwendungen ausgeführt werden. Laut Microsoft wird Smart App Control auf neuen Geräten mit Windows 11 standardmäßig mitkommen. Systeme, die bereits mit Windows 11 im Einsatz sind, werden wohl zurückgesetzt werden müssen und eine Neuinstallation von Windows 11 erhalten, um diese Funktion nutzen zu können.

Schutz vor Phishing

Phishing gehört nach wie vor zu den häufigsten – weil auch erfolgreichsten – Angriffsarten. Mit Microsoft Defender SmartScreen soll Windows 11 eine verbesserte Phishing-Erkennung erhalten. Defender SmartScreen erkennt, wenn Anwender ihre Microsoft-Anmeldedaten in eine bösartige Anwendung oder präparierte Website eingeben wollen, und warnt die Anwender. Der Phishing-Schutz soll damit direkt in das Betriebssystem integriert werden.

Apropos Schutz von Zugangsdaten: Die Funktion Credential Guard, mit der sich Anmeldeinformationen zusätzlich absichern lassen, wird nun Standard bei Windows 11. Credential Guard wurde erstmals mit Windows 10 eingeführt und isoliert kritische Informationen des Betriebssystems. Credential Guard ist eine Sicherheitsfunktion, die vor verschiedenen Methoden des Diebstahls von Anmeldeinformationen schützen soll und nach dem Prinzip einer Art Mikrosegmentierung arbeitet. Credential Guard soll zudem verhindern, dass eine Schadsoftware auf die sensiblen Informationen zugreifen kann, selbst wenn sie mit Administratorrechten ausgeführt wird. Bei Unternehmen, die die Enterprise Edition von Windows 11 einsetzen, wird Credential Guard künftig standardmäßig aktiviert sein.

Die Funktion Config Lock erlaubt Admins etwas mehr Kontrolle über das Windows-11-Gerät, wenn dieses einmal in die Hände des Anwenders übergegangen ist. Config Lock überwacht die Registierungsschlüssel per MDM-Richtlinien. Damit soll sichergestellt werden, dass die Geräte des Unternehmen den Sicherheitsrichtlinien entsprechen. Stellt Config Lock eine Änderung bei den Registrierungschlüsseln fest, kann das System in den von der IT-Abteilung festgelegten Zustand zurückgesetzt werden. So können Admins auch sicherstellen, dass keine kritischen Security-Einstellungen von Anwendern geändert werden.

Die Funktion Personal Data Encryption soll dafür sorgen, dass die Daten der Anwender besser geschützt sind, wenn der Benutzer nicht am Gerät angemeldet ist. Hierfür werden die Verschlüsselungschlüssel mit den kennwortlosen Anmeldeinformationen des Nutzers verknüpft. So muss sich der Benutzer zunächst mit Windows Hello for Business authentifizieren, um auf die Daten zuzugreifen.

Windows 11 Core Isolation
Abbildung 1: Neue Funktionen sollen dafür sorgen, dass Anwender nur vertrauenswürdige Treiber verwenden können und anfällige Treiber blockiert werden.

Um den Schutz vor anfälligen Treibern beziehungsweise Treiberschwachstellen zu verbessern, wird in der nächsten Version von Windows 11 HVCI (Hypervisor-Protected Code Integrity) bei vielen Geräten standardmäßig aktiviert sein. Diese Funktion soll sicherstellen, dass alle in das Betriebssystem geladenen Treiber signiert und vertrauenswürdig sind. So soll es Angreifern erschwert werden, bösartigen Code einzuschleusen.

Zero Trust und Microsoft Pluton

Bereits Ende 2020 hat Microsoft den Pluton-Sicherheitsprozessor angekündigt, der in Zusammenarbeit mit AMD, Intel und Qualcomm entwickelt wurde. Angreifer würden immer häufiger auf die Kommunikation zwischen TPM und CPU setzen. Durch eine Verlagerung der Sicherheitsinformationen verhindere Pluton Angriffe auf diesen Kommunikationskanal. Sensbile Daten wie die Verschlüsselungsschlüssel werden im Pluton-Prozessor gespeichert und dieser vom Rest des Betriebssystem isoliert. Pluton sei der ersten Security-Prozessor, der wie jede andere Windows-Komponente seine Security- und Funktionsupdates per Windows Update erhalte. IT-Abteilungen müssten so keine manuellen Updates der Firmware durchführen. Im Januar 2022 hatte Microsoft in einem Blogbeitrag erste Systeme mit Pluton-Prozessor angekündigt.

Überarbeiteter Datei-Explorer in Windows 11

Abseits der Sicherheitsfunktionen hat Microsoft auch Neuerungen für den Datei-Explorer vorgestellt. Die Suche nach Dateien und Ordner soll künftig durch kontextbezogene Vorschläge verbessert werden. Dabei würden auch Dokumente aus der Cloud einbezogen, ebenso wie jene, bei denen einem Arbeitskollegen Zugriff gestattet haben. Und der Datei-Explorer erhält Registerkarten beziehungsweise Tabs, so dass man in der Lage sein soll, mehrere Dateien gleichzeitig zu suchen und zu finden.

Neues vom Endpoint Manager – Remote Help

Die veränderten Arbeitsweisen und -modelle haben es für IT-Abteilungen im Alltag nicht immer unbedingt leichter gemacht. Wenn viele Mitarbeiter der Belegschaft von außerhalb des Unternehmens aus agieren, ändern sich auch die Anforderungen an das Helpdesk und den IT-Support. Dieser Herausforderung will Microsoft mit der neuen Funktion Remote Help für den Endpoint Manager begegnen. Remote Help soll sichere Verbindungen zwischen dem IT-Support und den Anwendern ermöglichen, unabhängig davon, wo sicher der Benutzer befindet. Dies soll es Mitarbeiter der IT-Abteilungen erleichtern, Probleme bei den Anwendern zu lösen.

Microsoft Endpoint Manager Remote Help
Abbildung 2. Die Funktion Remote Help des Endpoint Manager soll es dem Helpdesk erleichtern, über eine sichere Verbindung Unterstützung aus der Ferne zu bieten.

Remote Help unterstützt eine rollenbasierter Zugriffskontrolle (RBAC). Will heißen, Admins können festlegen, wer wem helfen kann und was der IT-Support während einer Sitzung auf dem System des zu unterstützenden Anwenders vornehmen kann. Es erfolgt eine Überprüfung der Identität von Benutzer und Helpdesk-Mitarbeiter, so dass Angriffe über diesen Weg erschwert werden sollen. Die Funktion Remote Help soll laut Microsoft zeitnah ausgerollt werden.

Neuerungen bei Windows 365

Für seinen Desktop aus der Cloud – Windows 365 – kündigt Microsoft ebenfalls einige neue Funktionen an. Mit Windows 365 Boot können sich Anwender direkt beim Start beim Cloud-PC anmelden, so als sei es das primäre Windows. Dies verbessere die Möglichkeiten, wenn sich verschiedene Anwender ein Gerät teilen. Nutzer können sich direkt mit ihren Anmeldedaten an ihren eigenen Cloud-PC anmelden.

Microsoft Windows 365 Switch
Abbildung 3: Mit der Funktion Windows 365 Switch sollen Anwender künftig zwischen lokalem Windows 11 und dem Cloud-PC Windows 365 einfach umschalten können.

Wenn Anwender ein lokales Windows 11 sowie einen Windows-365-Cloud-PC nutzen, sollen sie künftig mit Windows 365 Switch zwischen beiden umschalten können, so wie man das bislang zwischen Desktops macht. Zudem kündigt Microsoft an, dass man an Windows 365 Offline arbeite. Dies soll es erlauben mit Windows 365 zu arbeiten, auch wenn die Verbindung unterbrochen wird. Wird diese wiederhergestellt, synchronisiere sich der Cloud-PC automatisch mit dem Windows-365-Dienst, so dann man nahtlos weiterarbeiten könne.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit