Lesezeit ca. 9 Min.

Gut geschützt mit Windows 11


Logo von PC Magazin
PC Magazin - epaper ⋅ Ausgabe 6/2022 vom 05.05.2022

WINDOWS-11-SICHERHEIT

Artikelbild für den Artikel "Gut geschützt mit Windows 11" aus der Ausgabe 6/2022 von PC Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Magazin, Ausgabe 6/2022

Kaum ein Stück Software steht so im Fokus von Hackern wie Windows. Es ist weit verbreitet, sodass eine Lücke eine Vielzahl von potenziellen Opfern bedeutet. Es ist sehr komplex und bietet daher viele Angriffspunkte. Und es bildet die Basis für weitere Angriffe. Ein Hacker, dem es gelungen ist, Schadsoftware tief im System zu verankern, hat nicht nur Zugriff auf das Betriebssystem selbst, sondern auch auf alle weiteren darauf laufenden Programme. Ein solcher Trojaner nennt sich Root-Kit, da er quasi mit Root-/Admin-Rechten beziehungsweise im Kernelmodus arbeitet. Er startet vor dem eigentlichen Betriebssysten, zum Beispiel bereits im UEFI-Bios oder als Treiber.

Microsoft hat das Problem vor Jahren erkannt und arbeitet stetig daran, die Sicherheit zu erhöhen. Meilensteine waren die Windows- Firewall, Sicherheits-Updates (deren Zwanghaftigkeit sich unserer Meinung nach auf ...

Weiterlesen
epaper-Einzelheft 4,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Magazin. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 6/2022 von Feiern Sie mit!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Feiern Sie mit!
Titelbild der Ausgabe 6/2022 von Jubiläums-DVD. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Jubiläums-DVD
Titelbild der Ausgabe 6/2022 von KURZ NOTIERT. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
KURZ NOTIERT
Titelbild der Ausgabe 6/2022 von SICHERHEIT NEWS. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SICHERHEIT NEWS
Mehr Lesetipps
Blättern im Magazin
35 Jubiläums- Vollversionen
Vorheriger Artikel
35 Jubiläums- Vollversionen
Weg mit Schaden
Nächster Artikel
Weg mit Schaden
Mehr Lesetipps

... Sicherheits-Patches beschränken sollte!), der sogenannte Hypervisor, der den Systemkern (Kernel) isoliert, dieVerschlüsselung Bitlocker und der Ausbau des Defenders zu einem soliden Anti-Viren-Kämpfer. Mit Windows 11 geht Microsoft noch einen Schritt weiter und führt einen neuen Schutz auf Firmware/ UEFI-Bios-Ebene ein, der sich insbesondere gegen Root-Kits wendet. Zwei inzwischen bekannt gewordene Begriffe spielen hier eine Rolle: Trusted Plattform Modul (TPM) und Secure Boot, ohne die sich Windows 11 nur auf verschlungenen Pfaden installieren lässt. Beide hängen zusammen: Das TPM garantiert quasi einen sicheren Boot-Vorgang. Wir raten den Anwendern, TPM und Secure Boot zu nutzen, da beides das Sicherheitslevel deutlich erhöht.

Chip des Vertrauens – TPM

Beim TPM handelt es sich um einen Chip auf dem Mainboard oder im Prozessor, der wie eine Smart Card funktioniert: Er bietet kryptografische in Hardware gegossene Funktionen, auf die es von außen keinen Zugriff gibt. Insbesondere die geheimen Schlüssel asymmetrischer Verfahren verlassen das TPM nicht. Der Chip dient also zum Ver-und Entschlüsseln, Signieren, Authentifizieren, Berechnen von Quersummen (Hash-Werten) sowie zum Speichern von fremden Schlüsseln und Zertifikaten.

Im Kern sitzt der Endorsement Primary Seed (EPS), ein Schlüssel, der fest verdrahtet und einzigartig ist, also für immer mit diesem einen TPM verbunden. Er ist in keiner Weise von außen zugänglich, es gibt auch keinen öffentlichen Schlüssel davon. Bei der Initialisierung entsteht aus ihm der Endorsement Key (EK), der alle weiteren kryptografischen Aktionen „billigt“, quasi das Root-Zertifikat, das eine vertrauenswürdige Verkettung von Zertifizierungen ermöglicht. Das spielt bei Secure Boot eine Rolle. Der private Teil des EK verlässt das TPM ebenfalls nie, er lässt sich von außen aber erzeugen und auch löschen beziehungsweise neu setzen. Er ist ebenfalls einzigartig und eindeutig.

Der öffentliche Schlüssel des EK wird üblicherweise vom Hersteller des PCs signiert, und das entsprechende Zertifikat (Endorsement Certificate) ist ebenfalls im TPM gespeichert.

Darauf bauen weitere Schlüssel auf: der Storage Root Key (SRK), der die Rolle des Root-Schlüssels übernimmt, und der Attestation Identity Key (AIK) zum Signieren. Da der EK eindeutig und somit einem Rechner und einer Person genau zugeordnet ist, ergibt sich ein Datenschutzproblem. Deshalb verwendet das TPM flüchtige AIK zum Signieren. Der Besitzer des AIK (meist Windows selbst) kann beliebige weitere AIK anlegen und verwenden.

Neben Schlüsseln erzeugt und speichert das TPM auch eindeutige Hash-Werte, zum Beispiel vonTreibern, sodass sofort auffällt, wenn sie verändert wurden, weil sich zum Beispiel ein Trojaner eingenistet hat. Die kryptografischen Verfahren sind vor allem RSA-2048, SHA-256 und ECC 256. Das TPM dient ferner als Kern (Provider) für die Krypto-API von Windows, damit als Provider für Bitlocker, und es kann als Ersatz für eine Smart-Card zum Beispiel für Unternehmenssicherheit oder theoretisch zum Banking dienen.

TPM im Griff

Der Zugriff auf den TPM-Chip erfolgt – wie bei Windows üblich – nicht an einer Stelle. Ein paar Informationen erhalten Sie in den Windows-Einstellungen unter Datenschutz und Sicherheit/Gerätesicherheit/Sicherheitschip/Details zum Sicherheitschip. Über Problembehandlung für Sicherheitschip können Sie Fehlermeldungen einsehen oder denTPM löschen. Das ist zum Beispiel sinnvoll, wenn Sie den Rechner verkaufen oder entsorgen wollen.

Achtung! Wenn Sie den TPM-Chip löschen beziehungsweise neu initialisieren, gehen unter Umständen Daten verloren. Das Booten könnte Probleme bereiten. Halten Sie auf alle Fälle das Passwort des Admin-Kontos und den Wiederherstellungsschlüssel von Bitlocker bereit.

Ein Löschen ist ebenfalls über das UEFI möglich. Starten Sie den Rechner neu mit: Einstellungen/System/Erweiterter Start/Jetzt neu starten. Nach dem Booten fahren Sie fort mit Problembehandlung/ErweiterteOptionen/ UEFI-Firmware-Einstellungen. Die Gestaltung dieser hängt stark vom Hersteller des PCs ab, meist gibt es den Punkt Sicherheit, unter dem Sie das TPM löschen können. Für das Steuern der Kryptofunktionen des TPM gibt es seit Windows 11 ein Konsolen- Tool, das Sie jedoch erst installieren müssen: Wechseln Sie in einen Admin-Account, und öffnen Sie Einstellungen/App/Optionale Features. Suchen und installieren Sie nun TPM-Diagnostics. Dieses starten Sie in der Eingabeaufforderung als Admin mit tpmdiagnostics. Es erscheint eine Übersicht der Befehle. Zwei Beispiele:

Aufbau eines TPM-Moduls

Das TPM-Modul auf dem Mainboard, das für Windows 11 erforderlich ist, bietet eine Reihe von sicheren Kryptofunktionen zum Verschlüsseln und Signieren. Der nichtflüchtige Speicher enthält zwei eindeutige und einmalige Schlüssel: Endorsement und Storage Root Key. Dann gibt es einen flüchtigen Speicher für beliebige weitere Schlüssel. Der eindeutige Endorsement Key tritt aus Datenschutzgründen nicht nach außen in Erscheinung, sondern nur die wechselbaren Attestation Identity Keys.

zeigt Informationen zum EK, zum Beispiel den Erzeuger und das zugehörige Zertifikat.

listet den öffentlichen Schlüssel für die Signatur auf (AIK). Mit dieser Information können Sie zum Beispiel prüfen, ob die Ihre Privatsphäre betreffenden Schlüssel wirklich neu erzeugt wurden. Aber Achtung! Arbeiten Sie mit tpmdiagnostics nur, wenn Sie wissen, was Sie tun.

5Sicherheits- Schritte

Diese Einstellungen sollten Sie aktivieren, um das Sicherheitspotenzial von Windows 11 voll auszuschöpfen.

1 UEFI-Bios

• Secure Boot: schützt den Startvorgang

• TPM: sichere Verschlüsselungen

• Virtualisierung: Windows nur virtuell

2 Windows-Einstellungen – Datenschutz und Sicherheit/Gerätesicherheit

• Kernisolierung (= Hypervisor/Virtualisierung). Bereitet aber Probleme mit VMWare und Virtual Box

• Sicherheits-Chip (= TPM)

• Sicherer Start (= Secure Boot)

3 Windows-Einstellungen – Datenschutz und Sicherheit/Viren-und Bedrohungsschutz/ Einstellungen zum Viren-und Bedrohungsschutz (= Defender), falls Sie kein anderes Anti-Viren-Programm installiert haben:

• alle Optionen sollten angewählt sein

• Ransomware-Schutz (prüfen ob alle wichtigen Ordner aufgelistet sind)

• Ausschlüsse prüfen (Liste sollte leer sein)

4 Windows-Einstellungen – Datenschutz und Sicherheit/App-und Browsersteuerung

• Exploit-Schutz (alles aktivieren)

5 Windows-Einstellungen – Datenschutz und Sicherheit/Firewall

• Aktivieren, falls nicht im Antivirenprogramm enthalten. Schützt insbesondere, wenn man in fremden Netzen ist.

Das System sicher booten – Secure und Trusted Boot

TPM steht nun auch im Mittelpunkt des sicheren Windows-Bootvorgangs. Hier geht es, wie bereits erwähnt, in erster Linie um das Verhindern von gehackter UEFI-Firmware oder infizierten Boot-Loadern. Diese Infektionen sind besonders unangenehm, weil sie vom Betriebssystem aus nicht gut erkannt werden, da dieses ja startet, wenn der Virus schon aktiv ist. Außerdem arbeitet der Schädling im privilegierten Kernel-Modus. Um das zu verhindern, findet beim Boot- Vorgang eine aufsteigende Verifizierung der Komponenten statt. Den ersten Teil, Secure Boot, erledigt die UEFI-Firmware.

Sicherheit, die Windows 11 fehlt

Für einige Schutzfunktionen muss der Anwender selbst sorgen.

KeepassXC Ein Passwortmanager erleichtert das Verwalten sicherer Passwörter. KeepassXC ist ein solides Open-Source-Tool, für das es auch Apps für das Smartphone gibt.

Paragon Backup & Restore Der beste Schutz gegen Datenvernichtung und Ransomware ist ein regelmäßiges Backup. Die Community Edition von Paragon ist mächtig, stabil und kostenlos.

Nord VPN Ein VPN schützt die Kommunikation unterwegs. Gute VPNs sind nicht kostenlos, lassen sich aber auf Monatsbasis buchen. Das kostet 10 Euro, wird im Jahrespaket aber deutlich günstiger.

Avira Prime Es ist durchaus sinnvoll, zusätzlich zum Defender ein Anti-Viren-Programm zu betreiben. Avira Prime kostet für fünf Geräte jährlich 100 Euro und bietet auch alle hier im Kasten aufgelisteten Funktionen.

Bevor ein Rechner ausgeliefert wird, legt der Hersteller Schlüssel für vertrauenswürdige Bootmanager, einen öffentlichen Update- Schlüssel (Key Exchange Key, KEK) und eine Signatur seiner selbst (Platform Key, PK) im nicht veränderbaren Speicher des UEFI ab. Ferner gibt es eine Update-Datenbank für den Fall, dass das UEFI per Update geändert wird oder Schlüssel für Boot-Loader ergänzt und zurückgerufen werden. Eine Änderung ist nur durch den Hersteller über dessen privaten KEK möglich.

Beim Start prüft das UEFI zuerst, ob es selbst gültig mit dem PK signiert ist (siehe Grafik oben). Wenn nicht, lädt es die hardware-verdrahtete Kopie seiner selbst. Dann prüft es, ob es für den angeforderten Bootmanager eine gültige Signatur gibt. Das kann der Windows-Bootmanager sein oder zum BeispielLinuxShim(github.com/rhboot/shim). Wenn das nicht der Fall ist, versucht der PC ein Back-up des Bootmanagers einzuspielen. Scheitert auch das, startet die System- Wiederherstellung des PC-Herstellers.

Secure und Trusted Boot bei Windows

Der sichere Start von Windows erfolgt in einer Kaskade von Prüfvorgängen: Zuerst kontrolliert sich das UEFI-Bios selbst anhand einer Hardware-Signatur. Dann prüft es den ebenfalls signierten Bootloader. Der Windows-11-Bootloader wird wiederum vom TPM-Modul kontrolliert. Sehr früh, noch vor den Gerätetreibern, lädt sich eine erste Malware-Prüfung (ELAM).

Soweit Secure Boot; sobald der Bootloader gültig startet, geht das weitere Vorgehen in die Hand des Betriebssystems über. Das nennt sich bei Windows Trusted Boot, und das TPM kommt ins Spiel. Denn für jede zu startende Komponente gibt es im TPM eine Signatur (im Platform Configuration Register, PCR), die von der jeweils vorangegangenen Komponente geprüft wird. Liegt ein Fehler vor, fällt Windows in die Reparatur-Umgebung.

Als Erstes startet der Kernel oder – wenn aktiviert – der Hypervisor. Es folgen die Systemtreiber und -komponenten und schließlich Early Load Anti Malware (ELAM). Das kann der Windows Defender sein oder ein Dritthersteller wie Bitdefender, Eset oder Avira. Auch ELAM muss eine gültige Signatur aufweisen und dient der Früherkennung von Schädlingen (insbesondere von Gerätetreibern), bevor der User-Mode von Windows erreicht wird. ELAM ist die erste Nicht- Windows-Software, die aktiv werden kann. Jetzt erst lädt das Betriebssystem die Treiber und schließlich das Login-Fenster.

Durch diese Verkettung von Signaturen und Prüfungen, wird ein Root-Kit früh erkannt und unschädlich gemacht, bevor es aktiv werden kann.

Windows virtuell – der Hypervisor

Eine Sicherheitsfunktion, die Microsoft bei Windows 11 nicht von vorneherein aktiviert hat, ist die Virtualisierungsebene Hypervisor. Der Begriff Hypervisor oder Hyper-V wird für zwei verschiedene, aber zusammenhängende Dinge verwendet. Einmal ist es eine Kernel-Schicht auf Basis der Hardware-Virtualisierung des Prozessors. Die zweite Bedeutung ist ein virtueller PC wie VMware oder Virtual Box. Letzteres gibt es nur für Windows Pro und Enterprise, Ersteres ist jedoch in jedem Windows 10 oder 11 vorhanden, nennt sich bei Windows Kernisolierung, was aber etwas irreführend ist. Denn nicht der Kernel wird virtualisiert, sondern der Rest. Das bringt Sicherheitsvorteile.

Hypervisor – die virtuelle Sicherheitsebene

Bei der Hypervisor-Technik virtualisiert Windows die meisten Teile des Betriebssystems. Nur noch die Kernfunktionen des Betriebssystem haben im Hypervisor Zugriff auf die Hardware: der Kernel und die Systemtreiber. Der Rest von Windows inklusive Gerätetreibern befindet sich in einer virtuellen Sandbox, sodass Malware keinen Zugriff auf den Systemkern erhält. Das Haupt-Windows arbeitet in der Parent Partition. Daneben lassen sich virtuell weitere Betriebssysteme in Child Partitions betreiben. Deren Steuerung erfolgt über den VMBus.

Den Hypervisor müssen Sie aktivieren, einmal im UEFI als Hardware-Virtualisierung und ferner in den Windows-Einstellungen unter Datenschutz und Sicherheit/Windows Sicherheit/Gerätesicherheit/Kernisolierung. Schalten Sie Speicher-Integrität auf An. Nun starten Sie den Rechner neu. Ab jetzt bootet nicht mehr der Windows-Kernel, sondern der des Hypervisors. Dieser stellt eine virtuelle Hardware-Schicht zur Verfügung, auf der virtuelle Rechner inklusive ihrer Hardware- Treiber laufen. Dazu zählt nun Ihr Windows selbst. Diese kann nicht mehr auf die darunterliegende echte Hardware zugreifen, sondern alle Speicherzugriffe, Interrupts etc. werden über den Hypervisor abgewickelt. Das bedeutet auch, dass Trojaner, die in den Kernel-Moduls gelangt sind (also Root-Kits), nicht auf den wirklichen Hypervisor-Kernel und die Systemtreiber zugreifen.

Wenn Sie Windows Enterprise oder Pro besitzen, können Sie wie in Virtual Box weitere Betriebssysteme parallel virtuell in Windows- Fenstern betreiben, wobei Ihr Ur-Windows (parent) die anderen (children) managt. Der virtuelle VMBus regelt die Kommunikation zwischen den Maschinen (siehe Grafik links). Nachteil von Hyper-V: Software, die unmittelbar auf die Hardware zugreift, wird ausgebremst. Das spüren Gamer, Videokünstler, aber auch Anwender anderer Virtualisierungs-Software wie eben Virtual Box. Diese greifen direkt auf die Virtualisierung des Prozessors zu, was mit zwischengeschaltetem Hypervisor nicht mehr möglich ist.

Noch mehr Sicherheit

TPM und Secure Boot sind nicht neu, aber nun wie dargelegt sinnvollerweise verpflichtend. Daneben gibt es noch eine Reihe weiterer sinnvoller Sicherheitseinstellungen, die jeder Anwender aktivieren sollte (siehe Kasten 5 Sicherheits-Schritte). Den Hypervisor haben wirschonbeschrieben,denSienutzensollten, wenn Sie nicht hardwarenahe Tools betreiben. Testen Sie es, denn die Einstellung lässt sich jederzeit deaktivieren.

Eine weniger bekannte Einstellung betrifft Ordner, die Sie vor Ransomware schützen wollen: Windows-Einstellungen – Datenschutz und Sicherheit/Viren- und Bedrohungsschutz/ Einstellungen zum Viren-und Bedrohungsschutz. Aktivieren Sie den Überwachten Ordnerzugriff. Nun blockiert Windows unbekannte Programme, die Dateien öffnen oder ändern wollen. Prüfen Sie, ob sich alle Ihre Daten in der Liste Geschützte Ordner finden. Falls Windows ein Programm versehentlich blockiert, können Sie es in die Whitelist aufnehmen: Apps durch überwachten Ordnerzugriff zulassen. Gegen Ransomware empfiehlt Microsoft ferner, den Dateiversionsverlauf zu aktivieren und OneDrive zu nutzen. In beiden Fällen legt Windows automatische Sicherheitskopien von Daten an.