Windows 10 1709 – Windows Defender Stack

 In Security, Windows 10

Anlässlich der Veröffentlichung der aktuellen Windows 10 Version 1709 möchten wir in diesem Blogbeitrag die mittlerweile deutlich gewachsene Funktionsvielfalt des Windows Defenders kurz vorstellen. Eins vorweg: unter Windows Defender labelt Microsoft ab jetzt alle Sicherheitsfunktionen in Windows 10. Einige alte Bekannte finden sich deshalb hier unter neuem Namen wieder. Ein weiterer Hinweis: einige Funktionen benötigen die Enterprise-Version von Windows 10.

Windows Defender Antivirus

Weiterhin ist die Antivirusfunktion des Defenders mit an Bord. Hier gab es lediglich kleine Verbesserungen. Wie auch bei Drittherstellern üblich stehen mittlerweile Funktionen wie Cloudanalyse und das Teilen von Funden mit Microsoft zur Verbesserung der Erkennungsrate zur Verfügung.

Windows Defender Advanced Threat Protection (ATP)

Mit Windows Defender ATP stellt Microsoft ein Onlineportal bereit, das verschiedene Statusmeldungen von Clients sammelt und auswertet. Dort landen zum Beispiel alle erkannten Bedrohungen aber auch Health-Daten der einzelnen Systeme. Darin sind zum Beispiel Update-Stand und aktivierte bzw. nicht aktivierte Sicherheitsfunktionen enthalten. Administratoren erhalten auf Wunsch E-Mail-Benachrichtigungen bei bestimmten Ereignissen und können dann sofort reagieren. Über ATP stehen dazu einige Möglichkeiten zur Verfügung: Sammlung eines sogenannten Investigation Packages, Netzwerkisolierung des Systems oder die Remote-Ausführung eines Cleanup-Skripts, etc. Um den Benutzer zu kontaktieren kann dieser auch direkt über Skype for Business angeschrieben werden.

Achtung: Windows Defender ATP sammelt detaillierte Daten über sämtliche Prozesse und Abläufe, was aus Datenschutzgründen sicherlich vor einer Implementierung bewertet werden muss.

Windows Defender Application Guard

Application Guard erstellt kurz gesagt eine abgeschottete virtuelle Umgebung für den Edge Browser. Dadurch sollen Bedrohungen aus dem Internet erst gar nicht auf das System gelangen können. Per Gruppenrichtlinie können diverse Einstellungen vorgenommen werden. Hierzu gehören zum Beispiel die automatische Verwendung von Application Guard für bestimmte Websites (z.B. alle außerhalb des Intranets). Zu beachten ist, dass Application Guard durch die eingesetzte Virtualisierung deutlich mehr Ressourcen benötigt als Edge im normalen Modus.

Weitere Informationen gibt es hier.

Windows Defender Exploit Guard

Manche werden sich an EMET erinnern – das Enhanced Mitigation Experience Toolkit, das Microsoft vor einigen Jahren veröffentlicht hat. Ziel war es, Windows mit weiteren Schutzmechanismen auszustatten um Speicherexploits und andere von Malware verwendeten Angriffsmethoden zu verhindern. Seit Version 1709 kann EMET nicht mehr verwendet werden, die Nutzung wird aktiv geblockt. Microsoft hat die Funktionalität in Exploit Guard migriert, welches deutlich übersichtlicher und einfacher zu konfigurieren ist.

Weitere Informationen gibt es hier.

Controlled Folder Access

Eine Unterfunktion von Exploit Guard ist Controlled Folder Access. Damit sollen massenhafte Schreibvorgänge auf bestimmte Ordner erkannt und verhindert werden, wie sie zum Beispiel durch Ransomware verursacht werden.

Weitere Informationen gibt es hier.

Windows Defender Application Control

Bereits seit früheren Versionen konnte mit Windows 10 ein Application Whitelisting umgesetzt werden. Diese sogenannte Code Integrity Policy heißt jetzt Application Control und war vorher vor allem im Zusammenhang mit der Funktion Device Guard bekannt. Da die vorherige Namensgebung für einige Verwirrung gesorgt hat, wurde hier eine Änderung vorgenommen. Kurz gesagt ist es mit Application Control möglich, auf Basis bestimmter Richtlinien erlaubte Anwendungen zu definieren (z. B. Signatur, Versionsnummern, Filehashes, etc.). Zusätzlich kann die Code Integrity Policy signiert und über die in Windows 10 integrierte Virtualization-based Security (VBS) geschützt werden (Virtualization-based Protection of Code Integrity – HVCI). Selbst lokale Administratoren können dann keine Änderungen daran mehr vornehmen.

Weitere Informationen gibt es hier.

Windows Defender Device Guard

Das eben schon angesprochene Device Guard bleibt dabei weiter bestehen und steht für einen kompletten Schutzstatus aus Application Control, Virtualization-based Protection of Code Integrity (HVCI) und allen Hardware- und Firmwareschutzfunktionen.

Windows Defender System Guard

System Guard bezeichnet mehrere passive und aktiv zu konfigurierenden Funktionen in Windows 10. Darin sind zum Beispiel die Überprüfung des Startvorgangs auf Veränderungen per Secure Boot sowie Funktionen wie Device Guard und Exploit Guard enthalten. Zu guter Letzt gehört auch die sogenannte Device Health Attestation zu System Guard dazu. Hierbei werden beim Bootvorgang bestimmte Daten gesammelt, die verwendet werden, um die Integrität der Firmware- und Hardwarekonfiguration zu prüfen. Das kann zum Beispiel durch Intune und System Center Configuration Manager geschehen. Auf Basis der gesammelten Daten können dann schlussendlich bestimmte Schritte eingeleitet werden, zum Beispiel die Zugriffsverweigerung auf bestimmte Ressourcen.

Weitere Informationen gibt es hier.

Windows Defender Credential Guard

Auf Basis der Virtualization-based Security (VBS) lagert Windows 10 mit Credential Guard sensible Anmeldedaten in einen separaten Prozess aus, der nicht mit Tools wie Mimikatz ausgelesen werden kann. Ziel ist es, Konten zu schützen und Angriffsmethoden wie Pass-the-Hash und Pass-the-Ticket unwirksam zu machen.

Weitere Informationen gibt es hier.

Fazit

Microsoft entwickelt Windows aus Sicherheitsgesichtspunkten stetig weiter, viele Funktionen müssen jedoch erst aktiv konfiguriert werden und stehen nicht out-of-the-box zur Verfügung. infoWAN steht hier gerne als Ansprechpartner zur Verfügung.

Recent Posts
Kontaktformular

Wir werden Sie so schnell wie möglich kontaktieren.

Start typing and press Enter to search