Microsoft Windows 11: jetzt schon #cybersicher?
Mit Windows 11 wollte Microsoft eine neue Ära der PC-Dominanz einläuten: cybersicher. Wie weit sind wir denn schon?
Mit Windows 11 wollte Microsoft eine neue Ära der PC-Dominanz einläuten: cybersicher. Schluss mit heimtückischen Trojanern, digitalen Raubüberfällen, hinterhältigen Viren (von der digitalen Sorte), dem PC-Hijacking für Botnets und DDoS-Attacken, dem Phishing, der Spionage… Der PC soll auf einmal zum Musterknaben der Cybersicherheit werden – reines Wunschdenken?
Windows 11 debütierte ein neues Sicherheitssystem. Dieses stützt sich auf zuvor optionale Sicherheitsfeatures seines Vorgängers, der Version 10. Windows 11 macht diese Technologien erstmals unausweichlich verpflichtend – für ein ganzheitliches, systemumfassendes Sicherheitskonzept, welches in Hardware fest verankert ist.
Microsoft hat mit den Chip-Herstellern Intel, AMD und Qualcomm fieberhaft dahingehend zusammengearbeitet. Kompatible Hardware-Komponenten verlassen die Fertigungslinien bereits mit aktivierten Schutzmechanismen. Diese Stellschrauben der Cybersicherheit kann der Benutzer nicht mehr selbst deaktivieren.
Stufenweise Einführung
Die Sicherheitsfreatures in Windows 11 sind derart folgenschwer und tiefgreifend, dass sich Microsoft entschieden hat, die Markteinführung in Phasen zu implementieren. Einige Nutzer qualifizierter Hardware hatten das System früher als andere am Laufen. Redmond erteilte den wohlwollenden Segen ganz individuell nach dem eigenen Gutdünken. Microsoft taufte die Prozedur auf das Buzzword „phased rollout“, sprich: eine stufenweise Einführung.
Hardwaregestützte Sicherheitsfeatures in Windows 11 erzwingen strenge Mindestanforderungen. Schätzungsweise erfüllte sie am Tag der Bereitstellung mit Glück gerade einmal jede zweite Unternehmens-Workstation. Insgesamt qualifizierten sich für den Upgrade nur 40% der 1,3 Milliarden PCs, die Windows 10 ausführten.
Wer es eilg hatte, konnte auf eigenes Risiko die automatische Aktualisierung umgehen und an der Windows-Installation selbst Hand anlegen, sofern die betroffene Hardware die Mindestvoraussetzungen dafür erfüllen sollte. In einigen Fällen sind dazu nämlich Anpassungen etwa an der UEFI-Konfiguration des Mainboards erforderlich, siehe dazu auch den Bericht:
Eine milliardenstarke Nutzerbasis
Nach dem durchschlagenden Erfolg von Windows 7 und dem Fiasko von Windows 8 und 8.1 wollte sich Redmond bei Windows 10 von der besten Seite zeigen: pragmatisch und zuvorkommend. Damit ist Microsoft ja auch gut gefahren.
Mit Windows 10 wollte man möglichst viele ältere PCs mit ins Boot holen, um die eigene installierte Basis auf eine Milliarde Nutzer zu erweitern. Bei Windows 11 kann Microsoft jetzt darauf aufbauen. So konnte das Unternehmen die Eintrittshürde deutlich höher schrauben.
Denn im Laufe der Jahre hat sich die zehnte Generation von Windows derart zum Selbstläufer entwickelt, dass es mit dem „Zuvorkommend“ im Hinblick auf die Rückwärtskompatibilität nicht mehr drängt. Die stolze Marke von einer Milliarde Anwendern, die einst so unrealistisch schien, ist schon länger im Rückspiegel. Windows in der Version 10 konnte 1,3 Milliarden Arbeitsplätze erobern.
So meint jetzt Microsoft, es sich leisten zu können, ganz neue Saiten aufzuziehen: 60 Prozent der Anwender von Windows 10 wollte Redmond den Umstieg auf den Nachfolger, Version 11, bis zum Kauf kompatibler Hardware schlicht und ergreifend verweigern.
Lediglich eine halbe Milliarde Nutzer (genau genommen 520 Millionen) sollten sich für das Upgrade überhaupt qualifiziert haben. (Diese Zahlen sind Hochrechnungen auf der Basis einer Umfrage der Netzwerk-Softwareschmiede Lansweeper bei 30 Millionen Unternehmenskunden.)
Rund jeden zweiten Unternehmens-PC (55 Prozent, um genau zu sein) legte Microsoft ganz offiziell zum „alten Eisen“. Jene Nutzer bleiben bis zum Upgrade ihrer Hardware auf dem „Abstellgleis“ Windows 10.
Die Bezeichnung Windows 10 ist im Übrigen ein äusserst schwammiger Begriff. Das erste Windows-Betriebssystem mit dieser runden Versionsnummer gab es bereits im Jahre 2015. Das aktuellste Windows 10 trägt die Bezeichnung 22H2 und ist gerade frisch im Oktober 2022 herausgekommen. Die beiden Versionen sind ungefähr so weit voneinander entfernt, wie sich Windows 7 von Windows Vista unterscheidet. Kurz auf den Punkt gebracht: nicht wiederzuerkennen.
Bei den Systemanforderungen von Windows ging es in der Vergangenheit fast ausschliesslich um die erforderliche Leistung. In Windows 11 gibt es zwar immer noch leistungsbezogene Voraussetzungen – konkret mindestens zwei CPU-Kerne in 64 Bit mit einer Taktfrequenz von 1GHz oder ein SoC, weiter 4GB RAM und 64 GB Datenspeicher – doch sie reichen nicht aus, um die Kompatibilität zu gewährleisten.
Aufgrund der vielen Berichte über krasse Cyber-Verwundbarkeiten altbackener PC-hardware, die ab Januar 2018 unter anderem mit dem Stichwort „Spectre & Meltdown“ durch die Presse gegeistert sind, hatte sich Microsoft entschieden, ältere Mainboards, bei denen sich die Schwachstellen nachträglich nicht beheben lassen, vom Update auf Windows 11 auszuschliessen. Die Hardware muss zusätzlich zur Leistung die von Microsoft vorgeschriebenen Sicherheitsfeatures mitbringen.
Hoch gesteckte Chip-Ambitionen, Zero-trust-ready
Mit dem Upgrade auf Windows 11 zog Microsoft einen Strich zwischen die 7te und die 8te Generation von Intel-CPUs. Besitzer von Intel-Chips der 7ten und aller früherer Generationen gucken bei Windows 11 in die sprichwörtlichen Röhre. Erst die achte bis zurzeit zwölfte Generation von Intel-CPUs qualifizieren sich neben handverlesenen Chips von AMD und Qualcomm für das Update auf Windows 11.
Die Liste der kompatiblen CPUs beschränkt sich auf Intel Core der achten Generation, AMD Zen 2 sowie einige Snapdragon-Chips von Qualcomm (siehe auch hier).
Nach dem Einbau in die Hauptplatine wacht die CPU über die Sicherheit und Integrität des Gesamtsystems. In gewöhnlichen PCs war es die Firmware.
Das Motherboard muss zwingend TPM 2.0 (Trusted Platform Module in der Version 2.0) und SLAT (Second Level Address Translation) unterstützen (zum Beispiel Intel VT-X2 mit Extended Page Tables oder AMD-v mit Rapid Virtualization Indexing).
Bei SLAT handelt es sich um eine Technologie der Hardwarevirtualisierung, welche den Hypervisor entlasten soll (Intel VT-X2 mit Extended Page Tables oder AMD-v mit Rapid Virtualization Indexing).
Außerdem muss das Mainboard über eine UEFI-Schnittstelle (Unified Extensible Firmware Interface) verfügen. Secure Boot ist Pflicht. Secure Boot erzwingt das Booten eines signierten Betriebssystem.
Vertrauenskette
Den Grundpfeiler des Sicherheitskonzeptes in Windows 11 bildet eine Technologie namens VBS (Virtualization-Based Security). VBS erstellt und isoliert einen sicheren Speicherbereich des Betriebssystems. Dazu ist ein 64-Bit-Prozessor erforderlich.
TPM-Hardware sichert kryptografische Schlüssel für BitLocker und andere sicherheitskritische Informationen, ermöglicht SecureBoot bzw. MeasuredBoot (eine Variante von SecureBoot in Rücksprache mit Microsofts Servern). Der Chip führt diverse kryptografische Vorgänge aus und ermöglicht unter anderem die Hardware-basierte Authentifizierung und die Funktionalität von Windows Defender System Guard.
UEFI-gestütztes Secure-Boot schafft Abhilfe bei Ransomware wie beispielsweise NotPetya, die sich vor dem Boot-Vorgang im System einnistet.
TPM 2.0 und VBS bilden gemeinsam den Unterbau für eine Vorrichtung namens „hardware root of trust“, welche die Schlüssel für kryptografische Funktionen aufbewahrt und den abgesicherten Startvorgang ermöglicht, von dem sich dann die Vertrauenskette des Systems ableitet.
Die Hardware-gestützte Root-of-Trust-Technologie soll das Auftreten von Sicherheitslücken wie PrintNightmare (2021) verhindern. Hierbei handelt es sich um eine Verwundbarkeit des Windows Print Spoolers, die es jedem authentifizierten (ob lokalem oder entferntem) Akteur ermöglichen kann, beliebigen Code mit SYSTEM-Berechtigungen auszuführen. Mit Windows 11 kann es nicht mehr passieren.
Secured-core PC und Speicherintegrität
Mit dem Konzept eines „secured-core PC“ möchte Microsoft anhaltenden Bedrohungen auf allen Ebenen des Systems Einhalt gebieten.
Windows 11 läuft auf einem Hypervisor, um die Erstellung von abgesicherten Bereichen des Arbeitsspeichers durch Hardware-gestützte Isolation zu ermöglichen. Diese Isolation kann etwa Prozesse wie den Webbrowser von anderen Anwendungen oder Funktionen des Betriebssystems abschotten.
Auf dem Unterbau von VBS hat Microsoft eine Vielzahl sehr interessanter Sicherheitsfeatures aufgebaut. Einige davon debütierten bereits in der Vorgängerversion; jetzt sind sie nicht mehr optional.
Zu den interessantesten technologischen Errungenschaften von Microsoft in Windows 11 zählen:
Schutz für Daten der Kernel-Ebene (Kernel Data Protection): VBS kennzeichnet einen Teil des Kernel-Speichers als schreibgeschützt, um seinen Inhalt vor Manipulationen zu schützen;
Hypervisor-gestützte Code-Absicherung (kurz: HVCI für Hypervisor-Protected Code Integrity): Hierbei handelt es sich um einen Mechanismus zur Durchführung von Code-Integritätsprüfungen in einer isolierten Umgebung; HVCI soll Ransomware eindämmen können, die Kernel-Treiber missbraucht (Malware wie Trickbot geht jetzt leer aus);
Microsoft Defender Application Guard: Hierbei handelt es sich um eine Sandbox für Microsofts Browser Edge und Microsoft Office; sie macht sich die Virtualisierung zu Nutze, um nicht vertrauenswürdige Websites und Office-Dokumente zwecks Schadensbegrenzung zu isolieren;
Credential Guard: Dieses Feature erzwingt die Durchsetzung der Sicherheitspolicy, indem es LSASS (den Local Security Authority Subsystem Service) in einem Container ausführt, der potenzielle Angreifer daran hindern soll, Anmeldedaten auszulesen und für Pass-the-Hash-Angriffe zu missbrauchen;
Windows Hello Enhanced Sign-In: VBS isoliert biometrische Software und schafft sichere Pfade zu externen Komponenten wie der Kamera und dem TPM (Trusted Platform Module).
Einige dieser Features wurden bereits in Windows 10 eingeführt. Jetzt sind sie immer automatisch aktiviert.
Während des Boot-Vorgangs prüft System Guard die Integrität des Systems und ruft im Problemfall eine Software wie Intune oder Microsoft Endpoint Configuration Manager auf, um dem Gerät ggf. den Netzwerkzugriff zu verweigern.
Die Software „reift“ inzwischen wie eine Banane bei jenen Endanwendern, deren PCs in den Genuss der Aktualisierung kommen konnten. Microsoft hat auch schon den einen oder anderen Bug im Blitztempo behoben.
Microsoft zeigt sich zuversichtlich, dass die meisten Unternehmen spätestens bis Oktober 2025 auf kompatible Hardware umgestiegen sein dürften, und will die Patches für Windows 10 zu diesem Zeitpunkt einstellen.
PC Health Check
Wer nicht warten will, muss handeln. Benutzer von Windows 10 können ihren Arbeitsmaschinen mit einem manuellen Upgrade auf Windows 11 „die Sporen geben“. Das Upgrade ist derzeit kostenfrei.
Ein kleines Tool von Microsoft namens „PC Health Check“ (verfügbar in den Einstellungen des Systems oder über diesen direkten Download-Link, Vorsicht Download!) kann eine vorläufige Aussage darüber treffen, ob sich die betreffende Hardwarekonfiguration für Windows 11 qualifiziert und was der Nutzer daran ggf. ändern kann.
Unterm Strich
„Der PC von gestern ist tot, es lebe der PC von morgen“: So ungefähr ließe sich das elfte Windows auf den Punkt bringen.
In dem PC von morgen ist Sicherheit direkt in die Hardware „verbacken“ – und zu der Welt von Gestern gibts kein Zurück mehr.