Das Arbeitspaket besteht aus zwei Teilen. Ziel des ersten Teils ist die Analyse des Lebenszyklus von Universal Windows Apps sowie die Entwicklung eines UWA-Management Prozesses, welcher ohne Anbindung an den Microsoft Store auskommt. Inhalt des zweiten Teils ist die Analyse der Windows Information Protection (WIP).

• Analyse der Universal Windows Apps (UWA) und Windows Information Protection (WIP) - Teil 1
• Analyse der Universal Windows Apps (UWA) und Windows Information Protection (WIP) - Teil 2

Inhaltsverzeichnis - Teil 1

1 Einleitung
1.1 Zusammenfassung
1.2 Executive Summary
1.3 Konzept und Fachbegriffe
2 Technische Analyse
2.1 AppContainer Prozesse
2.2 Integritätsprüfung
2.3 Management von Drittanbieter-Apps
Anhang
Tools
AppContainer Process Launcher
PoC: UWA Manager
Event IDs
Referenzen
Abkürzungen

Inhaltsverzeichnis - Teil 2

1 Einleitung
1.1 Zusammenfassung
1.2 Executive Summary
1.3 Konzept und Fachbegriffe
2 Technische Analyse
3 Logging Möglichkeiten
Anhang
Tools
WIP Policy
EFSRA.CER
Event IDs
Abkürzungen
Referenzen

Kurzzusammenfassung Teil 1

Windows 10 enthält die UWP-Anwendungsplattform (Universal Windows Platform) zum Entwickeln und Ausführen von Benutzeranwendungen auf heterogenen Windows-Plattformen wie Computern, Smartphones, X-Box-Geräten und Tablets. Diese Anwendungen werden als Universal Windows Applications (UWAs) bezeichnet. Auf Betriebssystemebene sind UWAs Prozesse, die in der AppContainer-Anwendungsausführungsumgebung ausgeführt werden. AppContainer ist eine Anwendungs-Sandbox-Umgebung, die Mechanismen zur Einschränkung von AppContainer-Prozessen hinsichtlich der Systemressourcen implementiert, auf die sie zugreifen können. Diese Einschränkung wird sowohl auf Prozess-, Dateisystem- und Windows-Objekt-Ebene implementiert.

UWAs werden zur Bereitstellung in Form von Anwendungspaketdateien an Windows-Instanzen verteilt. Anwendungspaketdateien archivieren mehrere Dateien und sind im ZIP-Archivdateiformat formatiert.

In dieser Arbeit wird ein Konzept für die Verwaltung von UWAs von Drittanbietern vorgestellt, die in einem privaten lokalen UWA-Repository, d.h. einem Repository von Anwendungspaketdateien, gehostet werden. Das Konzept dient einem Demonstrationszweck und kann erheblich erweitert werden. Es unterstützt die folgenden UWA-Verwaltungsaktivitäten: UWA-Bereitstellung, UWA-Deinstallation und UWA-Aktualisierung. Diese Aktivitäten werden in Windows 10-Instanzen ausgeführt, die als Windows-Clients bezeichnet werden. Die Windows-Clients kommunizieren über eine Netzwerkverbindung mit dem UWA-Repository und bilden eine Client-Server-Beziehung.

Kurzzusammenfassung Teil 2

WIP ermöglicht den Schutz von Daten, indem der Zugriff auf Dateien mithilfe eines auf AppLocker basierenden Whitelisting-Ansatzes eingeschränkt wird, und schützt in Dateien gespeicherte Daten mithilfe von Verschlüsselung auf Basis des Encrypting File System (EFS) vor potenziellen Datenlecks. Dieses Arbeitspaket konzentriert sich auf die von WIP durchgeführten Ver- und Entschlüsselungsprozesse.

WIP verschlüsselt und entschlüsselt Dateien mit einem symmetrischen Verschlüsselungsschlüssel, der als File Encryption Key (FEK) bezeichnet wird. Dieser Schlüssel wird im Kontext des Local Security Authority Subsystem Service (LSASS)-Prozesses generiert und mit einem von der Data Protection Application Programming Interface (DPAPI) verwalteten symmetrischen Schlüssel verschlüsselt, der einem bestimmten Benutzer zugewiesen ist, d.h. dem DPAPI-Schlüssel des angemeldeten Benutzers. Dies bindet den FEK an einen spezifischen Benutzer und daher auch die mit dem FEK verschlüsselte Datei. Die Bindung einer Datei an einen spezifischen Benutzer bildet den Kernschutz gegen versehentliche Datenlecks. Darüber hinaus wird der FEK auch mit einem asymmetrischen Schlüsselpaar verschlüsselt, der von WIP zu Wiederherstellungszwecken verwaltet wird, d.h. in dem Szenario, in dem der DPAPI-Schlüssel des Benutzers verloren geht oder widerrufen wird. Nur der Benutzer mit dem DPAPI-Benutzerschlüssel, mit dem die Dateien verschlüsselt wurden, oder mit dem asymmetrischen Wiederherstellungsschlüssel kann die Dateien entschlüsseln.