Bundesamt für Sicherheit in der Informationstechnik

M 4.471 Übersicht über neue, sicherheitsrelevante Funktionen in Windows 8

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Windows 8 stellt aus sicherheitstechnischer Sicht einerseits eine konsequente Weiterentwicklung der Windows-Vista- und Windows-7-Betriebssysteme-Systeme dar, darüber hinaus wurden aber auch gänzlich neue Sicherheitsfunktionen eingeführt. Dies ist teilweise durch den Aufbau des Systems bedingt: So können die neuen App s nur über den App -Store installiert werden, eine Absicherung des Boot-Prozesses für x86-Prozessoren auf UEFI-Systemen erfolgt über Secure Boot. Teilweise haben jedoch auch vollständig neue Funktionen in das System Einzug gehalten (z. B. Windows To Go mit seinen sicherheitsrelevanten Konfigurationsmöglichkeiten).

Die folgende Übersicht zeigt die wesentlichen, sicherheitsrelevanten Neuerungen von Windows 8 auf und verweist jeweils auf Maßnahmen mit näheren Einzelheiten. Die zwischenzeitlich von Microsoft als "Windows 8.1" herausgebrachten Aktualisierungen von Windows 8 sind entsprechend berücksichtigt.

Schutz der Pre-Boot- und Bootphase

Eine der wichtigsten Neuerungen des Windows-8-Betriebssystems ist die Absicherung des Start-Vorgangs des Systems. Die Absicherung erfolgt in verschiedenen Phasen des Systemstarts. Für die Absicherung des Boot-Prozesses ist UEFI (Unified Extensible Firmware Interface) anstelle des bisher üblichen BIOS Voraussetzung (siehe M 2.559 Beschaffung von Windows 8 ). Folgende Funktionen sichern den Systemstart ab:

Secure Boot unter Windows 8

Secure Boot wurde im Rahmen der Version 2.3.1 des Unified Extensible Firmware Interface (UEFI) definiert. Es soll unterbinden, dass nicht erwünschte Software (z. B. Schadsoftware) ausgeführt wird. Im Secure-Boot-Modus lädt die Firmware des Systems ausschließlich UEFI-Bootloader, deren digitale Signatur oder Hash vorab gespeichert worden ist. Das Betriebssystem darf dafür allerdings nicht im BIOS -Modus installiert worden sein.

ELAM (Early Launch Antimalware)

Der ELAM-Treiber (Early Launch Anti Malware) ist der erste Treiber, der nach dem Windows-Kernel initialisiert wird. Dadurch können alle weiteren Treiber auf Rootkits überprüft werden. Die Überwachung erfolgt allerdings auf der Basis von Hash-Werten bekannter Rootkits oder Bootkits. Neue und unbekannte Rootkits können somit nicht erkannt werden.

Measured Boot

Measured Boot protokolliert alle geladenen Software-Komponenten (Firmware und Treiber) beim Start des Systems. Das entstandene Protokoll kann dann von einer weiteren Software, z. B. einer Antivirus-Software, oder von einem Netzdienst zur Überprüfung des Systemzustands verwendet werden.

Schutz vor Schadsoftware und weitere Sicherheitsfunktionen

Windows Defender als vollständige Security-Suite ist nun integraler Bestandteil des Windows-8-Systems.

Trotz der integrierten Sicherheitsfunktion sollte in einer Institution die Notwendigkeit einer dedizierten Security-Suite über Windows Defender hinaus geprüft werden.

Weitere neue Sicherheitsfunktionen sind:

  • Malicious Software Removal Tool
  • SmartScreen: Diese Funktion zur Überwachung von Programmaufrufen ist nun systemweit vorhanden. Beim Einsatz von SmartScreen sollten Datenschutzaspekte berücksichtigt werden (siehe Maßnahme M 4.472 Datensparsamkeit bei Windows 8 Gewährleistung des Datenschutzes).
  • Möglichkeit des Einsatzes der Funktion "Family Safety" für Arbeitsplätze mit beschränkten Rechten ( z. B. Kiosk-Modus). Diese Funktion ermöglicht die Einschränkung durch Nutzung eines Web-Filters oder Ausführungseinschränkung von Anwendungen

Windows To Go

Mobile Benutzer einer Institution können über die neu geschaffene Windows-To-Go-Installation ihre persönliche Umgebung auf einem USB -Stick installieren.

Aus Sicherheitsgründen ist unter Windows To Go standardmäßig der Zugriff auf USB -Sticks oder Festplatten deaktiviert. Dadurch wird das Risiko, sich durch externe Peripheriegeräte mit Schadsoftware zu infizieren, erheblich reduziert.

Dateien oder Anwendungen sind jedoch für den Benutzer verfügbar.

Neues in den Gruppenrichtlinien

Mit der Einführung von Windows 8 und dem korrespondierenden Windows 2012 Server wurden neue Gruppenrichtlinienobjekte ( GPO ) geschaffen, bzw. bestehende wesentlich erweitert.

Es gilt zu beachten, dass die neuen GPO s in der Regel nur in Verbindung mit einem Active Directory auf einem Windows 2012 Server anwendbar sind.

Wichtige neue GPO s für Windows 8 sind unter anderem Möglichkeiten zur Nutzung oder Sperrung der Optionen "PIN Logon" und "Picture Password" als Login-Methoden. Darüber hinaus wurde die biometrische Sicherheit (Windows Biometric Framework) erweitert.

Über die Dynamic Access Control (DAC) können Daten automatisch oder manuell klassifiziert werden.

Dies ermöglicht die Überwachung von Zugriffen. Beispielsweise kann der Zugriff auf vertrauliche Informationen nachvollzogen werden.

Neues in der Sicherheitsüberwachung

Als Folge der neuen Sicherheitsfunktion Dynamische Zugriffssteuerung (englisch DAC - Dynamic Access Control) kann ein Benutzer über unterschiedliche Berechtigungen verfügen, abhängig davon, ob er von einem Desktop oder von einem Laptop über ein VPN -Netz auf die Ressourcen der Institution zugreift.

Für die Überwachung dieser neuen Funktion stehen in Windows 8 und Windows Server 2012 folgende neue oder erweiterte Überwachungsoptionen zur Verfügung:

Dateizugriffsüberwachung

Beim Einsatz der Dateizugriffsüberwachung werden nun auch Informationen zu den Attributen der Datei, auf die zugegriffen wurde, protokolliert.

Erweiterte Benutzeranmeldungsüberwachung

Windows-Server- und Windows-Client-Systeme bieten die Möglichkeit, Benutzeranmeldungen zu überwachen. Sobald sich ein Anwender lokal oder über ein Netz anmeldet, generiert das Windows-Betriebssystem ein Überwachungsereignis.

Ab Windows Server 2012 und Windows 8 werden erweiterte Informationen durch eine neue Ereignis-ID zusätzlich zum Anmeldeereignis erfasst. So werden z. B. bei einem Dateizugriff die Attribute der Datei, auf die zugegriffen wird, protokolliert.

Ausdrucksbasierte Überwachungsrichtlinien

Für eine Datei oder einen Ordner können nun auch ausdrucksbasierte Überwachungsrichtlinien erstellt werden. Hierfür können verschiedene Ereignisse ausgewählt und zusammengefasst werden, bei deren Eintreten ein entsprechender Eintrag im Protokoll erzeugt wird.

Ein Beispiel einer solchen ausdrucksbasierten Überwachungsrichtlinie ist die Protokollierung der Dateizugriffe durch Externe auf Daten, für die keine Berechtigungen bestehen.

Überwachen von Wechselmedien

Beim Zugriff auf ein Wechselmedium wird nun ein Überwachungsereignis generiert.

DirectAccess

Bisher war für den Einsatz von DirectAccess für den VPN -Zugriff im internen Netz zwingend der Einsatz von IPv6 erforderlich. Ab Windows 8 ist nun auch der Einsatz von DirectAccess in Verbindung mit IPv4 im internen Netz möglich.

Virtuelle Smartcards

Mit Windows 8 können nun virtuelle Smartcards eingesetzt werden. Diese emulieren die Funktionalität physikalischer Smartcards, nutzen jedoch den TPM -Chip des Systems.

Stand: 15. EL Stand 2016