Starten ihrer Datenschutz-Grundverordnung-Journey (dsgvo) für Windows Server

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016

In diesem Artikel finden Sie Informationen zur dsgvo, einschließlich der Informationen und der Produkte, die Microsoft bereitstellt, um Sie bei der Konformität zu unterstützen.

Einführung

Am 25. Mai 2018 tritt ein europäisches Datenschutzgesetz in Kraft, das eine neue globale Messlatte für Datenschutzrechte, Sicherheit und Konformität setzt.

Bei der Datenschutz-Grundverordnung oder dsgvo geht es im Wesentlichen darum, die Datenschutz Rechte einzelner Personen zu schützen und zu aktivieren. Die dsgvo richtet strikte globale Datenschutzanforderungen ein, die festlegen, wie Sie persönliche Daten verwalten und schützen, während Sie die individuelle Auswahl berücksichtigen – unabhängig davon, wo Daten gesendet, verarbeitet oder gespeichert werden.

Microsoft und unsere Kunden sind nun auf dem Weg, die Datenschutz Ziele der dsgvo zu erreichen. Microsoft ist der Meinung, dass der Datenschutz ein grundlegendes Recht ist, und wir glauben, dass die dsgvo ein wichtiger Schritt für die Verdeutlichung und Aktivierung einzelner Datenschutz Rechte ist. Wir erkennen aber auch, dass die dsgvo bedeutende Änderungen von Organisationen auf der ganzen Welt erfordern wird.

Wir haben unser Engagement für die dsgvo erläutert und erläutert, wie wir unsere Kunden im Rahmen der durch die Microsoft Cloud im Blogbeitrag "dsgvo" kompatiblen Datenschutzbeauftragten " Brendon lyngvo " und das einbringen ihrer Vertrauensstellung mit vertraglichen Verpflichtungen an den Datenschutz-Grundverordnung"-Blogbeitrag von Rich sauer -Microsoft Corporate Vice President & Vice Officer" General Counsel " erhalten .

Auch wenn Ihre Reise zur dsgvo-Konformität schwierig erscheinen mag, sind wir hier, um Sie zu unterstützen. Spezifische Informationen über die dsgvo, unsere Verpflichtungen und deren Einstieg finden Sie im Abschnitt zur dsgvo im Microsoft Trust Center.

Dsgvo und ihre Auswirkungen

Die dsgvo ist eine komplexe Verordnung, die möglicherweise bedeutende Änderungen an der Erfassung, Verwendung und Verwaltung persönlicher Daten erfordert. Microsoft hat viel Zeit damit, Kunden bei der Erfüllung komplexer Vorschriften zu unterstützen. bei der Vorbereitung auf die dsgvo sind wir auf diesem Weg Ihr Partner.

Die dsgvo erzwingt Regeln für Organisationen, die Personen in der Europäischen Union (EU) waren und Dienstleistungen anbieten oder Daten sammeln und analysieren, die an EU-Bürger gebunden sind, unabhängig davon, wo sich diese Unternehmen befinden. Zu den wichtigsten Elementen der dsgvo zählen die folgenden:

  • Erweiterte persönliche Datenschutz Rechte. Der Datenschutz für die Einwohner der EU wurde gestärkt, indem sichergestellt wird, dass Sie über die Berechtigung zum Zugriff auf Ihre personenbezogenen Daten verfügen, um Ungenauigkeiten in diesen Daten zu beheben, diese Daten zu löschen, das Objekt für die Verarbeitung Ihrer persönlichen Daten zu schützen und zu verschieben.

  • Erhöhung der Aufgaben zum Schutz personenbezogener Daten. Verstärkte Verantwortlichkeit von Organisationen, die personenbezogene Daten verarbeiten, wodurch die Verantwortung für die Gewährleistung der Compliance gesteigert wird.

  • Obligatorische Berichte zu personenbezogenen Datenverletzungen. Organisationen, die personenbezogene Daten kontrollieren, sind erforderlich, um persönliche Datenverletzungen zu melden, die ein Risiko für die Rechte und Freiheitsrechte von Personen für ihre Aufsichtsbehörden darstellen, ohne unnötige Verzögerung und, wenn möglich 72, nach dem Erkennen der Sicherheitsverletzung.

Wie Sie vielleicht vermuten, kann die dsgvo einen erheblichen Einfluss auf Ihr Unternehmen haben, was möglicherweise dazu führen kann, dass Sie Datenschutzrichtlinien aktualisieren, Datenschutz Kontrollen implementieren und verstärken und Benachrichtigungs Prozeduren für Verstöße bereitstellen, äußerst transparente Richtlinien bereitstellen und weitere Investitionen in IT- Microsoft Windows 10 kann Sie bei der effektiven und effizienten Lösung einiger dieser Anforderungen unterstützen.

Persönliche und sensible Daten

Als Teil ihres Aufwands für die Einhaltung der dsgvo müssen Sie verstehen, wie die-Verordnung persönliche und sensible Daten definiert und wie diese Definitionen mit den von Ihrer Organisation gespeicherten Daten in Zusammenhang stehen. Basierend auf diesem Verständnis können Sie ermitteln, wo diese Daten erstellt, verarbeitet, verwaltet und gespeichert werden.

Die dsgvo berücksichtigt persönliche Daten als Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies kann sowohl eine direkte Identifikation (z. b. ihren rechtlichen Namen) als auch eine indirekte Identifizierung enthalten (z. b. bestimmte Informationen, mit denen klar ist, dass es sich um die Daten Verweise handelt). Die dsgvo macht auch klar, dass das Konzept der persönlichen Daten Online-IDs (z. b. IP-Adressen, IDs mobiler Geräte) und Standortdaten umfasst.

Die dsgvo führt bestimmte Definitionen für die Daten der genetische Daten (z. b. die Gene Rate eines Einzelpersonen) und biometrische Daten ein. Als sensible personenbezogene Daten werden im Rahmen der dsgvo als sensible personenbezogene Daten behandelt, und zwar zusammen mit anderen Unterkategorien personenbezogener Daten (personenbezogene Daten, die sich auf den Grund für das Geschlecht oder die sexuelle Orientierung der Person und der Natur beziehen). Sensible personenbezogene Daten bieten erweiterten Schutz und erfordern im Allgemeinen die explizite Zustimmung eines einzelnen, wenn diese Daten verarbeitet werden sollen.

Beispiele für Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Datensubjekt)

Diese Liste enthält Beispiele für verschiedene Arten von Informationen, die durch die dsgvo reguliert werden. Dies ist keine vollständige Liste.

  • Name

  • Identifikationsnummer (z. b. SSN)

  • Standortdaten (z. b. die Privatadresse)

  • Online Kennung (z. b. e-Mail-Adresse, Bildschirmnamen, IP-Adresse, Geräte-IDs)

  • Pseudonyme Daten (z. b. die Verwendung eines Schlüssels zum Identifizieren einzelner Personen)

  • Genetische Daten (z. b. biologische Stichproben von einem einzelnen)

  • Biometrische Daten (z. b. Fingerabdrücke, Gesichtserkennung)

Einführung in die Einhaltung der dsgvo

Wir empfehlen dringend, dass Sie nicht auf die Vorbereitung warten, bis die Erzwingung beginnt. Sie sollten die Datenschutz-und Daten Verwaltungsverfahren jetzt überprüfen. Es wird empfohlen, dass Sie mit der Einhaltung der dsgvo-Konformität beginnen, indem Sie sich auf vier wichtige Schritte konzentrieren:

  • Stellen. Identifizieren Sie, welche personenbezogenen Daten Sie haben und wo Sie sich befindet.

  • Stelligen. Legen Sie fest, wie personenbezogene Daten genutzt werden und wie darauf zugegriffen wird.

  • Schützen. Richten Sie Sicherheitsmaßnahmen ein, um Sicherheitsrisiken und Sicherheitsverletzungen bei Daten zu verhindern, zu erkennen und darauf zu reagieren.

  • Ver. Reagieren Sie auf Datenanforderungen, melden Sie Datenverletzungen, und behalten Sie die erforderliche Dokumentation bei.

    Diagramm zur Zusammenarbeit der vier schlüsseldsgvo-Schritte

In den einzelnen Schritten haben wir Beispiel Tools, Ressourcen und Features in verschiedenen Microsoft-Lösungen erläutert, die Ihnen bei der Bewältigung der Anforderungen dieses Schritts helfen können. Dieser Artikel ist zwar kein umfassendes Leitfaden, aber wir haben Links für Sie eingefügt, um weitere Informationen zu erhalten. Weitere Informationen finden Sie im Abschnitt zur dsgvo im Microsoft Trust Center.

Sicherheit und Datenschutz für Windows Server

Die dsgvo erfordert, dass Sie geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren, um persönliche Daten und Verarbeitungssysteme zu schützen. Im Zusammenhang mit der dsgvo verarbeiten Ihre physischen und virtuellen Serverumgebungen möglicherweise persönliche und vertrauliche Daten. Die Verarbeitung kann jeden Vorgang oder jede Gruppe von Vorgängen, z. b. Datenerfassung, Speicherung und Abruf, bedeuten.

Die Möglichkeit, diese Anforderung zu erfüllen und geeignete Maßnahmen für die technische Sicherheit zu implementieren, muss die Bedrohungen widerspiegeln, die Ihnen in der zunehmend feindlichen IT-Umgebung von heute ausgesetzt sind Die heutige Sicherheits Bedrohungslandschaft ist eine der aggressiven und hartnäckigen Bedrohungen. In früheren Jahren konzentrierten sich böswillige Angreifer hauptsächlich auf die Anerkennung der Community durch ihre Angriffe oder den Nervenkitzel, wenn ein System vorübergehend offline geschaltet werden konnte. Seitdem haben sich die Gründe für den Angreifer auf Geld verlagert, einschließlich der Speicherung von Geräten und Daten, bis der Besitzer das geforderte Lösegeld bezahlt hat.

Moderne Angriffe konzentrieren sich zunehmend auf den Diebstahl von geistigem Eigentum. gezielte System Beeinträchtigung, die zu einem finanziellen Verlust führen kann und jetzt sogar Cyberterrorismus, der die Sicherheit von Einzelpersonen, Unternehmen und nationalen Interessen auf der ganzen Welt gefährdet. Bei diesen Angreifern handelt es sich in der Regel um stark trainierte Personen und Sicherheitsexperten, von denen einige den Bundesstaat unterliegen, die große Budgets und scheinbar unbegrenzte Personalressourcen haben. Bedrohungen wie diese erfordern eine Herangehensweise, die dieser Herausforderung gerecht werden kann.

Diese Bedrohungen sind nicht nur ein Risiko für ihre Fähigkeit, die Kontrolle über persönliche oder vertrauliche Daten zu behalten, die Sie möglicherweise haben, Sie sind aber auch ein materielles Risiko für Ihr gesamtes Unternehmen. Beachten Sie die neuesten Daten von McKinsey, Ponemon Institute, Verizon und Microsoft:

  • Die durchschnittlichen Kosten für die Art der Datenverletzung der dsgvo erwarten, dass Sie einen Bericht mit dem Wert $3.5 Mio. erhalten.

  • 63% dieser Verstöße betreffen schwache oder gestohlene Kenn Wörter, die von der dsgvo erwartet werden.

  • Mehr als 300.000 neue schadsoftwarebeispiele werden täglich erstellt und verteilt, sodass Ihre Aufgabe den Datenschutz noch schwieriger macht.

Wie bei den jüngsten Ransomware-Angriffen, die einmal als schwarze Plage des Internets bezeichnet werden, werden Angreifer nach größeren Zielen weitergegeben, die sich möglicherweise mit schwerwiegenden Konsequenzen beschäftigen können. Die dsgvo schließt Maßnahmen ein, die ihre Systeme, einschließlich Desktops und Laptops, zur Verfügung stellen, die tatsächlich persönliche und sensible datenreiche Ziele enthalten.

Zwei wichtige Prinzipien haben eine Anleitung und Fortsetzung bei der Entwicklung von Windows:

  • Sicherheit. Die Daten unsere Software und Dienste im Auftrag unserer Kunden sollten vor Schäden geschützt werden und werden nur auf angemessene Weise verwendet oder geändert. Sicherheitsmodelle sollten Entwicklern auf einfache Weise vertraut sein, um Ihre Anwendungen zu verstehen und zu erstellen.

  • Datenschutz. Benutzer sollten Steuern, wie Ihre Daten verwendet werden. Die Richtlinien für die Verwendung von Informationen sollten für den Benutzer klar sein. Benutzer sollten steuern können, wann und ob Sie Informationen erhalten, um Ihre Zeit optimal zu nutzen. Es sollte einfach sein, dass Benutzer die geeignete Verwendung Ihrer Informationen angeben können, einschließlich der Steuerung der Verwendung von gesendeten e-Mails.

Microsoft hat sich im Hinblick auf diese Prinzipien nicht wie vor kurzem vom CEO von Microsoft, Satya NADELLA,

"Wenn sich die weltweiter ändert und sich die geschäftlichen Anforderungen weiterentwickeln, sind einige Dinge konsistent: die Nachfrage nach Sicherheit und Datenschutz durch einen Kunden."

Bei der Einhaltung der dsgvo ist es wichtig, die Rolle ihrer physischen und virtuellen Server beim Erstellen, zugreifen, verarbeiten, speichern und Verwalten von Daten zu verstehen, die als persönliche und potenziell sensible Daten in der dsgvo qualifiziert sein können. Windows Server bietet Funktionen, mit deren Hilfe Sie die dsgvo-Anforderungen erfüllen können, um geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz persönlicher Daten zu implementieren.

Die Sicherheitslage von Windows Server 2016 ist kein Bolt-on. Es ist ein architekturprinzip. Und Sie können in vier Prinzipale am besten verstanden werden:

  • Schützen. Fortlaufender Fokus und Innovation bei präventiven Maßnahmen blockieren bekannter Angriffe und bekannter Schadsoftware.

  • Auf. Umfassende Überwachungstools, die Sie dabei unterstützen, Abweichungen zu erkennen und schneller auf Angriffe zu reagieren.

  • Reagieren. Führende Antwort-und Wiederherstellungs Technologien sowie Deep Consulting-Know-how.

  • Isol. Isolieren Sie Betriebssystemkomponenten und Daten Geheimnisse, schränken Sie Administratorrechte ein, und Messen Sie die Host Integrität streng.

Mit Windows Server ist die Fähigkeit, die Arten von Angriffen zu schützen, zu erkennen und zu schützen, die zu Datenverletzungen führen können, erheblich verbessert. Aufgrund der strengen Anforderungen in Bezug auf die Verletzung von Benachrichtigungen innerhalb der dsgvo, die sicherstellen, dass Ihre Desktop-und Laptop Systeme gut geschützt sind, verringern Sie die Risiken, die Sie sich gegenseitig darstellen, was zu kostspieliger Analyse und Benachrichtigung

Im folgenden Abschnitt erfahren Sie, wie Windows Server Funktionen bereitstellt, die sich in der Phase "schützen" ihrer dsgvo-Kompatibilitäts Journey ganz direkt befinden. Diese Funktionen fallen in drei Schutz Szenarien:

  • Schützen Sie Ihre Anmelde Informationen, und beschränken Sie Administratorrechte. Windows Server 2016 hilft bei der Implementierung dieser Änderungen, um zu verhindern, dass Ihr System als Ausgangspunkt für weitere Eindring Versuche verwendet wird.

  • Sichern Sie das Betriebssystem, um Ihre apps und die Infrastruktur auszuführen. Windows Server 2016 bietet Schutz Ebenen, die verhindern, dass externe Angreifer Schadsoftware ausführen oder Sicherheitsrisiken ausnutzen.

  • Sichere Virtualisierung. Windows Server 2016 ermöglicht die sichere Virtualisierung mit abgeschirmten Virtual Machines und geschütztem Fabric. Dies hilft Ihnen, Ihre virtuellen Computer auf vertrauenswürdigen Hosts in Ihrem Fabric zu verschlüsseln und auszuführen, um Sie besser vor böswilligen Angriffen zu schützen.

Diese Funktionen, die unten ausführlicher erläutert werden, mit Verweisen auf bestimmte dsgvo-Anforderungen, basieren auf dem erweiterten Geräteschutz, der die Integrität und Sicherheit des Betriebssystems und der Daten gewährleistet.

Eine Schlüssel Bereitstellung innerhalb der dsgvo ist der Schutz von Daten nach Entwurf und standardmäßig, und unterstützt Sie bei der Erfüllung dieser Bereitstellung in Windows 10, wie z. b. der BitLocker-Geräteverschlüsselung. BitLocker verwendet die Trusted Platform Module (TPM)-Technologie, die hardwarebasierte, sicherheitsrelevante Funktionen bereitstellt. Dieser kryptografieprozessorchip umfasst mehrere physische Sicherheitsmechanismen, um ihn zu manipulieren, und Schadsoftware kann die Sicherheitsfunktionen des TPM nicht manipulieren.

Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Die wichtigsten Vorteile der TPM-Technologie bestehen in ihren Möglichkeiten. Sie können:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.

  • Verwenden Sie die TPM-Technologie für die Platt Form Geräte Authentifizierung, indem Sie den eindeutigen TPM-RSA-Schlüssel verwenden, der in sich selbst gebrannt wird.

  • Gewährleisten der Platt Form Integrität durch die Übernahme und Speicherung von Sicherheitsmessungen.

Ein zusätzlicher erweiterter Geräteschutz, der für Ihren Betrieb ohne Datenverletzungen relevant ist, beinhaltet den vertrauenswürdigen Windows-Start, um die Integrität des Systems aufrechtzuerhalten, indem sichergestellt wird, dass Schadsoftware nicht vor System Abwehr

Windows Server: Unterstützung ihrer dsgvo-Konformitäts Journey

Wichtige Features in Windows Server können Sie bei der effizienten und effektiven Implementierung der Sicherheits-und Datenschutzmechanismen unterstützen, die für die Einhaltung der dsgvo erforderlich sind. Obwohl die Verwendung dieser Features nicht die Konformität gewährleistet, unterstützen Sie Ihre Bemühungen, dies zu tun.

Das Server Betriebssystem befindet sich in einer strategischen Schicht in der Infrastruktur einer Organisation und bietet neue Möglichkeiten, Schutz Ebenen vor Angriffen zu schaffen, die Daten stehlen und Ihr Unternehmen unterbrechen könnten. Wichtige Aspekte der dsgvo, wie z. b. Datenschutz, Datenschutz und Access Control müssen innerhalb Ihrer IT-Infrastruktur auf Serverebene adressiert werden.

Windows Server 2016 trägt zum Schutz der Identitäts-, Betriebssystem-und Virtualisierungsebene bei, um die häufigen Angriffsvektoren zu blockieren, die für den unerlaubten Zugriff auf Ihre Systeme verwendet werden: gestohlene Anmelde Informationen, Schadsoftware und ein kompromittiertes virtualisierungsfabric. Zusätzlich zu den Sicherheitsrisiken, die in Windows Server 2016 integriert sind, unterstützen die Sicherheitskomponenten, die in Windows Server integriert sind, Compliance-Anforderungen für die wichtigsten behördlichen

Diese Identitäts-, Betriebssystem-und virtualisierungsschutzmaßnahmen ermöglichen es Ihnen, Ihr Rechenzentrum, das Windows Server ausführen wird, besser als einen virtuellen Computer in jeder Cloud zu schützen und die Fähigkeit von Angreifern einzuschränken, Anmelde Informationen zu kompromittieren, Schadsoftware zu starten und im Netzwerk unentdeckt bleiben. Ebenso bietet Windows Server 2016 bei der Bereitstellung als Hyper-V-Host eine Sicherheitsgarantie für Ihre Virtualisierungsumgebungen durch geschützte Virtual Machines und verteilte Firewallfunktionen. Mit Windows Server 2016 wird das Server Betriebssystem zu einem aktiven Teilnehmer in ihrer Datacenter-Sicherheit.

Schützen Sie Ihre Anmelde Informationen, und beschränken Sie Administratorrechte.

Die Kontrolle über den Zugriff auf personenbezogene Daten und die Systeme, die diese Daten verarbeiten, ist ein Bereich mit der dsgvo, der bestimmte Anforderungen umfasst, einschließlich des Zugriffs durch Administratoren. Privilegierte Identitäten sind Konten mit erhöhten Rechten, wie z. b. Benutzerkonten, die Mitglieder der Gruppe "Domänen Administratoren", "Organisations Administratoren", "lokale Administratoren" oder "Hauptbenutzer" sind. Diese Identitäten können auch Konten enthalten, denen direkt Berechtigungen erteilt wurden, z. b. das Ausführen von Sicherungen, das Herunterfahren des Systems oder andere Rechte, die im Knoten zuweisen von Benutzerrechten in der Konsole der lokalen Sicherheitsrichtlinie aufgeführt sind.

Als allgemeines Zugriffs Steuerungs Prinzip und Inline mit der dsgvo müssen Sie diese privilegierten Identitäten vor Kompromittierung durch potenzielle Angreifer schützen. Zuerst ist es wichtig zu verstehen, wie Identitäten kompromittiert werden. Anschließend können Sie planen, um zu verhindern, dass Angreifer Zugriff auf diese privilegierten Identitäten erhalten.

Wie werden privilegierte Identitäten kompromittiert?

Privilegierte Identitäten können kompromittiert werden, wenn Organisationen nicht über Richtlinien zum Schutz verfügen. Hier finden Sie einige Beispiele:

  • Mehr Berechtigungen als erforderlich sind. Eines der häufigsten Probleme besteht darin, dass Benutzer über mehr Berechtigungen verfügen, als für die Ausführung ihrer Auftrags Funktion erforderlich sind. Beispielsweise kann ein Benutzer, der DNS verwaltet, ein AD-Administrator sein. In den meisten Fällen wird dies durchgeführt, um zu vermeiden, dass unterschiedliche Verwaltungsebenen konfiguriert werden müssen. Wenn ein solches Konto jedoch kompromittiert wird, hat der Angreifer automatisch erhöhte Rechte.

  • Ständig mit erhöhten Rechten angemeldet. Ein weiteres häufiges Problem ist, dass Benutzer mit erhöhten Rechten diese für unbegrenzte Zeit verwenden können. Dies gilt sehr häufig für IT-Experten, die sich mit einem privilegierten Konto bei einem Desktop Computer anmelden, angemeldet bleiben und das privilegierte Konto zum Durchsuchen des Internets und zum Verwenden von e-Mails verwenden (typische IT-Arbeitsaufgaben Funktionen). Durch die unbegrenzte Dauer privilegierter Konten ist das Konto anfälliger für Angriffe und erhöht die Wahrscheinlichkeit, dass das Konto gefährdet wird.

  • Social Engineering Research. Die meisten Bedrohungen der Anmelde Informationen beginnen mit der Untersuchung der Organisation und Durchführung durch Social Engineering. Beispielsweise kann ein Angreifer einen e-Mail-Phishing-Angriff durchführen, um legitime Konten (aber nicht unbedingt Konten mit erhöhten Rechten) zu kompromittieren, die Zugriff auf das Netzwerk einer Organisation haben. Der Angreifer verwendet dann diese gültigen Konten, um zusätzliche Untersuchungen in Ihrem Netzwerk durchzuführen und privilegierte Konten zu identifizieren, die administrative Aufgaben ausführen können.

  • Nutzen Sie Konten mit erhöhten Rechten. Selbst bei einem normalen, nicht erhöhten Benutzerkonto im Netzwerk können Angreifer Zugriff auf Konten mit erhöhten Berechtigungen erhalten. Eine der gängigeren Methoden hierfür ist die Verwendung der Pass-the-Hash-oder Pass-the-Token-Angriffe. Weitere Informationen zu den Verfahren Pass-the-Hash und andere Verfahren zum Diebstahl von Anmelde Informationen finden Sie in den Ressourcen auf der Seite Pass-the-Hash (PTH).

Es gibt natürlich andere Methoden, mit denen Angreifer privilegierte Identitäten identifizieren und kompromittieren können (wobei täglich neue Methoden erstellt werden). Daher ist es wichtig, dass Sie Verfahren für Benutzer einrichten, die sich mit Konten mit geringsten Berechtigungen anmelden, um die Möglichkeit zu verringern, dass Angreifer Zugriff auf privilegierte Identitäten erhalten. In den folgenden Abschnitten werden die Funktionen beschrieben, mit denen Windows Server diese Risiken mindern kann.

Just-in-time admin (JIT) und Just Enough admin (Jea)

Obwohl der Schutz vor Pass-the-Hash-oder Pass-The-Ticket-Angriffen wichtig ist, können Administrator Anmelde Informationen weiterhin auf andere Weise gestohlen werden, einschließlich Social Engineering, verärgerten Employees und Brute-Force. Daher ist es nicht nur so weit wie möglich, Anmelde Informationen zu isolieren, sondern auch die Reichweite von Berechtigungen auf Administratorebene einzuschränken, falls diese kompromittiert sind.

Heute sind zu viele Administrator Konten überlastet, auch wenn Sie nur einen Zuständigkeitsbereich haben. Beispielsweise werden einem DNS-Administrator, der einen sehr schmalen Satz von Berechtigungen zum Verwalten von DNS-Servern benötigt, häufig Berechtigungen auf Administratorebene erteilt. Außerdem gibt es keine Beschränkung, wie lange Sie verwendet werden können, da diese Anmelde Informationen für die Dauerhaftigkeit erteilt werden.

Jedes Konto mit unnötigen Berechtigungen auf Domänen Administratorebene erhöht die Angriffsfläche für Angreifer, die Anmelde Informationen kompromittieren möchten. Um die Angriffsfläche für Angriffe zu minimieren, sollten Sie nur den spezifischen Satz von rechten bereitstellen, den ein Administrator für den Auftrag benötigt – und nur für das Zeitfenster, das zum Abschluss benötigt wird.

Mithilfe der eben ausreichenden Administration und Just-in-Time-Verwaltung können Administratoren die spezifischen Berechtigungen anfordern, die Sie für das genaue Zeitfenster benötigen, das benötigt wird. Für einen DNS-Administrator können Sie z. b. mithilfe von PowerShell nur eine ausreichende Verwaltung aktivieren, um einen begrenzten Satz von Befehlen zu erstellen, die für die DNS-Verwaltung verfügbar sind.

Wenn der DNS-Administrator einen Ihrer Server aktualisieren muss, fordert er den Zugriff zum Verwalten von DNS mithilfe von Microsoft Identity Manager 2016 an. Der Anforderungs Workflow kann einen Genehmigungsprozess einschließen, z. b. die zweistufige Authentifizierung, bei dem das Mobiltelefon des Administrators aufgerufen werden kann, um Ihre Identität zu bestätigen, bevor die angeforderten Berechtigungen erteilt werden. Nach der Erteilung gewähren diese DNS-Berechtigungen den Zugriff auf die PowerShell-Rolle für DNS für eine bestimmte Zeitspanne.

Stellen Sie sich dieses Szenario vor, wenn die Anmelde Informationen des DNS-Administrators gestohlen wurden. Da den Anmelde Informationen keine Administratorrechte zugeordnet sind, konnte der Angreifer zunächst nicht auf den DNS-Server – oder andere Systeme – zugreifen, um Änderungen vorzunehmen. Wenn der Angreifer versucht hat, Berechtigungen für den DNS-Server anzufordern, werden Sie von der zweistufigen Authentifizierung aufgefordert, Ihre Identität zu bestätigen. Da der Angreifer wahrscheinlich nicht über das Mobiltelefon des DNS-Administrators verfügt, schlägt die Authentifizierung fehl. Dadurch wird der Angreifer vom System gesperrt und die IT-Organisation benachrichtigt, dass die Anmelde Informationen kompromittiert werden könnten.

Außerdem verwenden viele Organisationen die kostenlose lokale Administrator Kenn Wort Lösung (Runden) als einfachen, aber leistungsfähigen JIT-Verwaltungsmechanismus für Ihre Server-und Client Systeme. Die Runden Funktion ermöglicht die Verwaltung von lokalen Konto Kennwörtern für in die Domäne eingebundener Computer. Kenn Wörter werden in Active Directory (AD) gespeichert und von Access Control Liste (ACL) geschützt, sodass nur berechtigte Benutzer Sie lesen oder deren zurück Setzung anfordern können.

Wie im Leitfaden zur Entschärfung von Windows-Anmelde Informationen vermerkt,

"die Tools und Techniken, die kriminelle zum Durchführen von Diebstahl von Anmelde Informationen und zum wieder verwenden von Angriffen verwenden, werden durch böswillige Angreifer leichter gefunden. Der Diebstahl von Anmelde Informationen basiert häufig auf Betriebspraktiken oder dem verfügbar machen von Benutzer Anmelde Informationen, sodass effektive entschärfungen einen ganzheitlichen Ansatz erfordern, der Personen, Prozesse und Technologien adressiert. Außerdem beruhen diese Angriffe darauf, dass der Angreifer Anmelde Informationen stiehlt, nachdem ein System zum Erweitern oder beibehalten des Zugriffs kompromittiert wurde, sodass Organisationen rasch Verletzungen durch Implementieren von Strategien aufweisen müssen, die verhindern, dass Angreifer in einem gefährdeten Netzwerk frei und unentdeckt bleiben."

Eine wichtige Entwurfs Überlegungen für Windows Server bestand darin, den Diebstahl von Anmelde Informationen zu mindern – insbesondere abgeleitete Anmelde Informationen. Anmelde Informationen Guard bietet eine deutlich verbesserte Sicherheit vor dem Diebstahl und der Wiederverwendung abgeleiteter Anmelde Informationen, indem eine bedeutende Architektur Änderung in Windows implementiert wurde, um hardwarebasierte Isolations Angriffe auszuschließen, anstatt einfach zu versuchen, Sie gegen Sie zu schützen.

Bei der Verwendung von Windows Defender Anmelde Informationen Guard, NTLM und Kerberos abgeleitete Anmelde Informationen werden mithilfe der virtualisierungsbasierten Sicherheit geschützt, aber die Verfahren und Tools zum Diebstahl von Anmelde Informationen, die in vielen gezielten Angriffen verwendet werden, werden blockiert. Im Betriebssystem ausgeführte Schadsoftware mit Administratorberechtigungen kann geheime Schlüssel, die durch die virtualisierungsbasierte Sicherheit geschützt sind, nicht extrahieren. Obwohl Windows Defender Credential Guard eine leistungsstarke Entschärfung ist, werden permanente Bedrohungs Angriffe wahrscheinlich zu neuen Angriffstechniken verschoben, und Sie sollten auch Device Guard, wie unten beschrieben, zusammen mit anderen Sicherheitsstrategien und-Architekturen integrieren.

Windows Defender Credential Guard

Windows Defender Anmelde Informationen Guard verwendet virtualisierungsbasierte Sicherheit, um Anmelde Informationen zu isolieren, sodass Kennworthashes oder Kerberos-Tickets nicht abgefangen werden. Er verwendet einen völlig neuen, isolierten lokalen Sicherheits Autorität (Local Security Authority, LSA), der für den Rest des Betriebssystems nicht zugänglich ist. Alle Binärdateien, die von der isolierten LSA verwendet werden, werden mit Zertifikaten signiert, die überprüft werden, bevor Sie in der geschützten Umgebung gestartet werden, sodass Pass-the-Hash-Typen Angriffe vollständig wirkungslos werden.

Windows Defender Credential Guard verwendet Folgendes:

  • Virtualisierungsbasierte Sicherheit (erforderlich). Ebenfalls erforderlich:

    • 64-Bit-CPU

    • Erweiterungen der CPU-Virtualisierung sowie erweiterte Seitentabellen

    • Windows-Hypervisor

  • Sicherer Start (erforderlich)

  • TPM 2,0 entweder diskret oder Firmware (bevorzugt-Bereitstellen der Bindung an die Hardware)

Sie können Windows Defender Anmelde Informationen Guard verwenden, um privilegierte Identitäten zu schützen, indem Sie die Anmelde Informationen und die Ableitungen von Anmelde Informationen unter Windows Server 2016 schützen. Weitere Informationen zu den Anforderungen von Windows Defender Credential Guard finden Sie unter schützen abgeleiteter Domänen Anmelde Informationen mit Windows Defender Credential Guard.

Windows Defender Remote Credential Guard

Windows Defender Remote Credential Guard unter Windows Server 2016 und Windows 10 Anniversary Update unterstützt auch den Schutz von Anmelde Informationen für Benutzer mit Remote Desktop Verbindungen. Zuvor musste sich jede Person, die Remotedesktopdienste verwendet, bei Ihrem lokalen Computer anmelden und sich dann erneut anmelden, wenn Sie eine Remote Verbindung mit dem Zielcomputer durchgeführt hat. Dieser zweite Anmelde Name übergibt Anmelde Informationen an den Zielcomputer und macht Sie für Pass-the-Hash-oder Pass-The-Ticket-Angriffe verfügbar.

Mit Windows Defender Remote Credential Guard implementiert Windows Server 2016 Single Sign-on für Remotedesktop Sitzungen, sodass der Benutzername und das Kennwort nicht erneut eingegeben werden müssen. Stattdessen werden die Anmelde Informationen verwendet, die Sie bereits zum Anmelden an Ihrem lokalen Computer verwendet haben. Um Windows Defender Remote Credential Guard verwenden zu können, müssen die Remotedesktop Client und der Server die folgenden Anforderungen erfüllen:

  • Muss einer Active Directory Domäne beitreten und sich in derselben Domäne oder in einer Domäne mit einer Vertrauensstellung befinden.

  • Muss die Kerberos-Authentifizierung verwenden.

  • Muss mindestens Windows 10, Version 1607 oder Windows Server 2016 ausführen.

  • Die Remotedesktop klassische Windows-APP ist erforderlich. Die Remotedesktop universelle Windows-Plattform-App unterstützt nicht Windows Defender Remote Credential Guard.

Sie können Windows Defender Remote Credential Guard aktivieren, indem Sie eine Registrierungs Einstellung auf dem Remotedesktop Server und Gruppenrichtlinie oder einen Remotedesktopverbindung Parameter auf dem Remotedesktop Client verwenden. Weitere Informationen zum Aktivieren von Windows Defender Remote Credential Guard finden Sie unter Schützen von Remotedesktop Anmelde Informationen mit Windows Defender Remote Credential Guard. Wie bei Windows Defender Credential Guard können Sie Windows Defender Remote Credential Guard verwenden, um privilegierte Identitäten unter Windows Server 2016 zu schützen.

Sichern des Betriebssystems zum Ausführen von apps und Infrastrukturen

Das verhindern von Cyberbedrohungen erfordert auch das Auffinden und Blockieren von Schadsoftware und Angriffen, die die Kontrolle über die Standard Betriebssysteme Ihrer Infrastruktur erlangen. Wenn Angreifer ein Betriebssystem oder eine Anwendung für die Ausführung in einer nicht vordefinierten, nicht realisierbaren Weise erhalten können, verwenden Sie wahrscheinlich dieses System, um böswillige Aktionen auszuführen. Windows Server 2016 bietet Schutz Ebenen, die verhindern, dass externe Angreifer Schadsoftware ausführen oder Sicherheitsrisiken ausnutzen. Das Betriebssystem übernimmt eine aktive Rolle beim Schutz von Infrastruktur und Anwendungen, indem Administratoren auf Aktivitäten hingewiesen werden, die darauf hindeuten, dass ein System verletzt wurde.

Windows Defender Device Guard

Windows Server 2016 enthält Windows Defender Device Guard, um sicherzustellen, dass nur vertrauenswürdige Software auf dem Server ausgeführt werden kann. Mithilfe der virtualisierungsbasierten Sicherheit kann durch die IT-Abteilung eingeschränkt werden, welche Binärdateien auf dem System basierend auf der Richtlinie der Organisation ausgeführt werden können. Wenn etwas anderes als die angegebenen Binärdateien ausgeführt werden soll, wird es von Windows Server 2016 blockiert, und der fehlgeschlagene Versuch wird protokolliert, damit Administratoren erkennen können, dass eine potenzielle Verletzung aufgetreten ist. Die Warnungs Benachrichtigung ist ein wichtiger Bestandteil der Anforderungen hinsichtlich der Einhaltung der dsgvo.

Windows Defender Device Guard ist auch in PowerShell integriert, sodass Sie autorisieren können, welche Skripts auf Ihrem System ausgeführt werden können. In früheren Versionen von Windows Server konnten Administratoren die Code Integritäts Erzwingung umgehen, indem Sie einfach die Richtlinie aus der Codedatei löschen. Mit Windows Server 2016 können Sie eine Richtlinie konfigurieren, die von Ihrer Organisation signiert wird, sodass nur eine Person mit Zugriff auf das Zertifikat, mit dem die Richtlinie signiert wurde, die Richtlinie ändern kann.

Ablaufsteuerungsschutz

Windows Server 2016 umfasst auch integrierten Schutz gegen einige Klassen von Speicher Beschädigungen. Das Patchen Ihrer Server ist wichtig, aber es besteht immer die Möglichkeit, dass Schadsoftware für ein Sicherheitsrisiko entwickelt wird, das noch nicht identifiziert wurde. Einige der gängigsten Methoden zum Ausnutzen dieser Sicherheitsrisiken sind die Bereitstellung ungewöhnlicher oder extremer Daten für ein ausgelaufendes Programm. Ein Angreifer kann z. b. ein Pufferüberlauf-Sicherheitsrisiko ausnutzen, indem er mehr Eingaben für ein Programm als erwartet bereitstellt und den vom Programm reservierten Bereich zum Speichern einer Antwort überschreitet. Dadurch kann der angrenzende Arbeitsspeicher beschädigt werden, der möglicherweise einen Funktionszeiger enthält.

Wenn das Programm diese Funktion aufruft, kann es zu einem unbeabsichtigten Speicherort springen, der vom Angreifer angegeben wird. Diese Angriffe werden auch als Jump-Oriented Programming-Angriffe (jop) bezeichnet. Der Ablauf Steuerungs Schutz verhindert Jop-Angriffe, indem strenge Einschränkungen für den Anwendungscode festgelegt werden, – insbesondere indirekte Aufrufe. Es werden vereinfachte Sicherheitsüberprüfungen hinzugefügt, um den Satz von Funktionen in der Anwendung zu identifizieren, die gültige Ziele für indirekte Aufrufe sind. Wenn eine Anwendung ausgeführt wird, überprüft Sie, ob diese indirekten callziele gültig sind.

Wenn bei der Überprüfung des Ablauf Steuerungs Schutzes zur Laufzeit ein Fehler auftritt, beendet Windows Server 2016 das Programm sofort und unterbricht alle Exploits, die versuchen, indirekt eine ungültige Adresse aufzurufen. Der Ablauf Steuerungs Schutz bietet eine wichtige zusätzliche Schutz Ebene für Device Guard. Wenn eine allowaufgelisteten Anwendung kompromittiert wurde, kann Sie von Device Guard nicht überprüft werden, da das Device Guard-Screening sehen würde, dass die Anwendung signiert wurde und als vertrauenswürdig eingestuft wird.

Da der Ablauf Steuerungs Schutz jedoch erkennen kann, ob die Anwendung in einer nicht vordefinierten, nicht ordnungsgemäß ausgeführten Reihenfolge ausgeführt wird, würde der Angriff fehlschlagen, wodurch verhindert wird, dass die kompromittierte Anwendung ausgeführt wird. Diese Schutzmaßnahmen erleichtern Angreifern das Einfügen von Schadsoftware in Software, die unter Windows Server 2016 ausgeführt wird.

Entwickler, die Anwendungen entwickeln, in denen persönliche Daten verarbeitet werden, werden empfohlen, den Ablauf Steuerungs Schutz (Control Flow Guard, cfg) in Ihren Anwendungen zu aktivieren Diese Funktion ist in Microsoft Visual Studio 2015 verfügbar und wird unter "cfg-fähige" Versionen von Windows – den x86-und x64-Releases für Desktop und Server von Windows 10 und Windows 8.1 Update (KB3000850) ausgeführt. Sie müssen CFG nicht für jeden Teil Ihres Codes aktivieren, da eine Mischung aus cfg-aktiviertem und nicht cfg aktiviertem Code problemlos ausgeführt werden kann. Wenn aber cfg nicht für den gesamten Code aktiviert werden kann, können Lücken im Schutz geöffnet werden. Außerdem funktioniert der cfg-aktivierte Code in den "cfg-nicht-"-Versionen von Windows einwandfrei und ist daher vollständig kompatibel mit diesen.

Windows Defender Antivirus

Windows Server 2016 umfasst die branchenführenden, aktiven Erkennungsfunktionen von Windows Defender zum Blockieren bekannter Schadsoftware. Windows Defender Antivirus (AV) kann zusammen mit Windows Defender Device Guard und Ablauf Steuerungs Schutz verwendet werden, um zu verhindern, dass bösartiger Code jeglicher Art auf Ihren Servern installiert wird. Diese Einstellung ist standardmäßig aktiviert – der Administrator muss keine Maßnahmen ergreifen, um mit der Arbeit zu beginnen. Windows Defender AV ist auch für die Unterstützung der verschiedenen Server Rollen in Windows Server 2016 optimiert. In der Vergangenheit nutzten die Angreifer Shells wie z. b. PowerShell, um bösartigen Binär Code zu starten. In Windows Server 2016 ist PowerShell nun in Windows Defender AV integriert, um vor dem Starten des Codes Schadsoftware zu überprüfen.

Windows Defender AV ist eine integrierte antischadsoftwarelösung, die die Verwaltung von Sicherheits-und Antischadsoftware für Desktops, tragbare Computer und Server ermöglicht. Windows Defender AV wurde seit der Einführung in Windows 8 erheblich verbessert. Windows Defender Antivirus in Windows Server verwendet einen mehrstufigen Ansatz, um Antischadsoftware zu verbessern:

  • Der durch die Cloud bereitgestellte Schutz hilft, neue Schadsoftware innerhalb von Sekunden zu erkennen und zu blockieren, auch wenn die Schadsoftware bisher noch nie erkannt wurde.

  • Der umfangreiche lokale Kontext verbessert die Identifizierung von Schadsoftware. Windows Server informiert Windows Defender AV nicht nur über Inhalte wie Dateien und Prozesse, sondern auch über den Speicherort der Inhalte, wo Sie gespeichert wurden und vieles mehr.

  • Umfassende globale Sensoren helfen dabei, Windows Defender AV auf dem neuesten Stand zu halten und selbst die neuesten Schadsoftware zu berücksichtigen. Dies erfolgt auf zwei Arten: durch Sammeln der Daten des umfassenden lokalen Kontexts von Endpunkten und das zentrale Analysieren dieser Daten.

  • Manipulationsschutz schützt Windows Defender AV selbst gegen Angriffe durch Schadsoftware. Beispielsweise verwendet Windows Defender AV geschützte Prozesse, wodurch verhindert wird, dass nicht vertrauenswürdige Prozesse versuchen, Windows Defender AV-Komponenten, deren Registrierungsschlüssel usw. zu manipulieren.

  • Features auf Unternehmensebene ermöglichen IT-Experten die Tools und Konfigurationsoptionen, die erforderlich sind, um Windows Defender AV zu einer Lösung für die Unternehmens-Antischadsoftware zu machen

Verstärkte Sicherheitsüberwachung

Windows Server 2016 warnt Administratoren aktiv durch die verstärkte Sicherheitsüberprüfung, die ausführlichere Informationen bereitstellt, die zur schnelleren Erkennung von Angriffen und forensischen Analysen verwendet werden können. Es protokolliert Ereignisse von Ablauf Steuerungs Schutz, Windows Defender Device Guard und anderen Sicherheitsfeatures an einem Ort, sodass Administratoren leichter feststellen können, welche Systeme gefährdet sind.

Zu den neuen Ereignis Kategorien gehören:

  • Überwachen der Gruppenmitgliedschaft. Ermöglicht es Ihnen, die Gruppen Mitgliedschafts Informationen im Anmelde Token eines Benutzers zu überwachen. Ereignisse werden generiert, wenn Gruppenmitgliedschaften auf dem PC aufgelistet oder abgefragt werden, auf dem die Anmelde Sitzung erstellt wurde.

  • Überwachen der PNP-Aktivität. Ermöglicht Ihnen, zu überwachen, wann Plug & amp; Play ein externes Gerät erkennt – das möglicherweise Schadsoftware enthält. PNP-Ereignisse können verwendet werden, um Änderungen an der System Hardware zu verfolgen. Im Ereignis ist eine Liste der Hardwarehersteller-IDs enthalten.

Windows Server 2016 lässt sich problemlos mit den SIEM-Systemen (Security Incident Management), wie z. b. Microsoft Operations Management Suite (OMS), integrieren, die die Informationen zu potenziellen Sicherheitsverletzungen in Intelligence-Berichte integrieren können. Die Tiefe der von der erweiterten Überwachung bereitgestellten Informationen ermöglicht es Sicherheitsteams, potenzielle Verletzungen schneller und effektiver zu erkennen und darauf zu reagieren.

Sichere Virtualisierung

Unternehmen virtualisieren heute alles, was Sie können, von SQL Server zu SharePoint auf Active Directory-Domäne Controller. Virtuelle Computer (Virtual Machines, VMS) vereinfachen die Bereitstellung, Verwaltung, Verwaltung und Automatisierung Ihrer Infrastruktur. Wenn es jedoch um die Sicherheit geht, werden gefährdete virtualisierungsfabrics zu einem neuen Angriffsvektor, der schwer gegen – schwer zu verteidigen ist. Aus Gründen der dsgvo sollten Sie sich Gedanken über den Schutz von VMS machen, wenn Sie physische Server schützen, einschließlich der Verwendung der VM-TPM-Technologie.

Windows Server 2016 ändert grundlegend, wie Unternehmen die Virtualisierung sichern können, indem Sie mehrere Technologien einschließen, die es Ihnen ermöglichen, virtuelle Maschinen zu erstellen, die nur in Ihrem eigenen Fabric ausgeführt werden. Schutz vor der Speicherung, dem Netzwerk und den Host Geräten, auf denen Sie ausgeführt werden.

Abgeschirmte virtuelle Computer

Die gleichen Dinge, die virtuelle Computer so einfach zu migrieren, zu sichern und zu replizieren, erleichtern das ändern und Kopieren von Daten. Bei einem virtuellen Computer handelt es sich lediglich um eine Datei, sodass er nicht im Netzwerk, im Speicher, in Sicherungen oder an anderen Orten geschützt ist. Ein weiteres Problem ist, dass fabricadministratoren – ob es sich um einen Speicher Administrator oder einen Netzwerkadministrator handelt – Zugriff auf alle virtuellen Computer haben.

Ein kompromittierter Administrator im Fabric kann problemlos zu kompromittierten Daten auf virtuellen Computern führen. Alle Angreifer müssen die kompromittierten Anmelde Informationen verwenden, um beliebige VM-Dateien auf ein USB-Laufwerk zu kopieren und diese aus der Organisation zu kopieren, in der von jedem anderen System aus auf diese VM-Dateien zugegriffen werden kann. Wenn einer dieser gestohlenen VMS ein Active Directory Domänen Controller wäre, könnte der Angreifer den Inhalt problemlos anzeigen und sofort verfügbare Brute-Force-Techniken verwenden, um die Kenn Wörter in der Active Directory Datenbank zu knacken, sodass Sie den Zugriff auf alle anderen Elemente in Ihrer Infrastruktur gewährt haben.

Windows Server 2016 führt abgeschirmte Virtual Machines (abgeschirmte VMS) ein, um den Schutz vor Szenarien wie dem soeben beschriebenen Szenario zu erleichtern. Abgeschirmte VMS enthalten ein virtuelles TPM-Gerät, mit dem Organisationen die BitLocker-Verschlüsselung auf die virtuellen Computer anwenden und sicherstellen können, dass Sie nur auf vertrauenswürdigen Hosts ausgeführt werden, um Schutz vor gefährdeten Speicher-, Netzwerk-und Host Administratoren zu bieten. Abgeschirmte VMS werden mithilfe von VMS der Generation 2 erstellt, die Unified Extensible Firmware Interface-Firmware (UEFI) unterstützen und über ein virtuelles TPM verfügen.

Host-Überwachungsdienst

Neben abgeschirmten VMS ist der Host-Überwachungsdienst eine wesentliche Komponente zum Erstellen eines sicheren virtualisierungsfabrics. Seine Aufgabe besteht darin, die Integrität eines Hyper-V-Hosts zu bestätigen, bevor eine abgeschirmte VM gestartet oder zu diesem Host migriert werden kann. Sie enthält die Schlüssel für abgeschirmte VMS und gibt Sie erst frei, wenn die Sicherheits Integrität gewährleistet ist. Es gibt zwei Möglichkeiten, wie Sie Hyper-V-Hosts zum Bestätigen des Host-Überwachungs Diensts auffordern können.

Der erste und sicherste Nachweis ist der Hardware vertrauenswürdige Nachweis. Diese Lösung erfordert, dass Ihre abgeschirmten VMS auf Hosts mit TPM 2,0-Chips und UEFI 2.3.1 ausgeführt werden. Diese Hardware ist erforderlich, um die vom Host-Überwachungsdienst benötigten Informationen zur Start-und Betriebssystem-Kernel Integrität bereitzustellen, um sicherzustellen, dass der Hyper-V-Host nicht manipuliert wurde.

IT-Organisationen haben eine Alternative zur Verwendung von Administrator vertrauenswürdigem Nachweis. Dies ist möglicherweise wünschenswert, wenn die TPM 2,0-Hardware in Ihrer Organisation nicht verwendet wird. Dieses Nachweis Modell ist einfach bereitzustellen, weil Hosts einfach in eine Sicherheitsgruppe eingefügt werden und der Host-Überwachungsdienst so konfiguriert ist, dass abgeschirmte VMS auf Hosts ausgeführt werden können, die Mitglieder der Sicherheitsgruppe sind. Bei dieser Methode gibt es keine komplexe Messung, um sicherzustellen, dass der Host Computer nicht manipuliert wurde. Allerdings ist es nicht möglich, dass unverschlüsselte VMS auf USB-Laufwerken die Tür durchlaufen oder dass die VM auf einem nicht autorisierten Host ausgeführt wird. Dies liegt daran, dass die VM-Dateien nicht auf Computern ausgeführt werden, die nicht in der angegebenen Gruppe vorhanden sind. Wenn Sie noch nicht über TPM 2,0-Hardware verfügen, können Sie mit dem Administrator vertrauenswürdigen Nachweis beginnen und zum Hardware vertrauenswürdigen Nachweis wechseln, wenn die Hardware aktualisiert wird.

Virtueller Computer Trusted Platform Module

Windows Server 2016 unterstützt TPM für virtuelle Computer, sodass Sie erweiterte Sicherheitstechnologien wie BitLocker® Laufwerk Verschlüsselung auf virtuellen Computern unterstützen können. Sie können die TPM-Unterstützung auf jedem virtuellen Hyper-v-Computer der Generation 2 mithilfe des Hyper-v-Managers oder des Windows PowerShell-Cmdlets Enable-vmtpm aktivieren.

Sie können das virtuelle TPM (vtpm) schützen, indem Sie die lokalen Kryptografieschlüssel verwenden, die auf dem Host gespeichert oder im Host-Überwachungsdienst gespeichert sind. Obwohl der Host-Überwachungsdienst mehr Infrastruktur benötigt, bietet er auch mehr Schutz.

Verteilte Netzwerk Firewall mit Software-Defined Networking

Eine Möglichkeit, den Schutz in virtualisierten Umgebungen zu verbessern, besteht darin, das Netzwerk so zu segmentieren, dass es VMS nur mit den spezifischen Systemen kommunizieren kann, die für die Funktion erforderlich sind Wenn Ihre Anwendung z. b. keine Verbindung mit dem Internet herstellen muss, können Sie Sie partitionieren, sodass diese Systeme als Ziele von externen Angreifern entfernt werden. Das Software-Defined Networking (SDN) in Windows Server 2016 umfasst eine verteilte Netzwerk Firewall, die es Ihnen ermöglicht, die Sicherheitsrichtlinien, mit denen Ihre Anwendungen vor Angriffen innerhalb oder außerhalb eines Netzwerks geschützt werden können, dynamisch zu erstellen. Diese verteilte Netzwerk Firewall fügt Ihrer Sicherheit Ebenen hinzu, indem Sie Ihre Anwendungen im Netzwerk isolieren können. Richtlinien können überall in Ihrer virtuellen Netzwerkinfrastruktur angewendet werden, wobei der VM-zu-VM-Datenverkehr, der VM-zu-Host-Datenverkehr oder der VM-zu-Internet-Datenverkehr bei Bedarf isoliert wird – entweder für einzelne Systeme, die möglicherweise in mehreren Subnetzen kompromittiert wurden oder Programm gesteuert sind. Mit den Software definierten Netzwerkfunktionen von Windows Server 2016 können Sie eingehenden Datenverkehr auch an virtuelle Geräte außerhalb von Microsoft weiterleiten oder spiegeln. Beispielsweise können Sie den gesamten e-Mail-Datenverkehr über ein virtuelles Barracuda-Gerät senden, um zusätzlichen Schutz vor Spam Filtern zu erhalten. Dies ermöglicht es Ihnen, auf einfache Weise zusätzliche Sicherheit sowohl lokal als auch in der Cloud zu ermöglichen.

Weitere dsgvo-Überlegungen zu Servern

Die dsgvo beinhaltet explizite Anforderungen für Verstöße gegen Benachrichtigungen, bei denen eine persönliche Datenverletzung bedeutet: "eine Sicherheitsverletzung, die zur versehentlichen oder ungesetzlichen Zerstörung, Verlust, Änderung, nicht autorisierter Offenlegung oder Zugriff auf, übermittelte oder anderweitig verarbeitete personenbezogene Daten führt." Natürlich können Sie nicht fortfahren, um die strengen Anforderungen an die dsgvo-Benachrichtigung innerhalb von 72 Stunden zu erfüllen, wenn Sie die Sicherheitslücke überhaupt nicht erkennen können.

Wie im Windows-Security Center Whitepaper zu beachten, stellen Sie die nach Verletzung: Umgang mit erweiterten Bedrohungen

"Anders als bei der vor-und nach Verletzung geht die nach Verletzung davon aus, dass bereits eine Verletzung aufgetreten ist – fungiert als Flight Recorder und Crime Scene Investigator (CSI). Die nach Verletzung bietet Sicherheitsteams die erforderlichen Informationen und Toolsets, um Angriffe zu identifizieren, zu untersuchen und darauf zu reagieren, die andernfalls nicht erkannt werden und sich unter dem Netz befinden."

In diesem Abschnitt erfahren Sie, wie Sie mithilfe von Windows Server Ihre dsgvo-Benachrichtigungs Verpflichtungen erfüllen können. Dies beginnt mit dem Verständnis der zugrunde liegenden Bedrohungs Daten, die Microsoft zur Verfügung steht und die für Ihren Vorteil gesammelt und analysiert werden, und wie Sie über Windows Defender Advanced Threat Protection (ATP) für Sie von entscheidender Bedeutung sein können.

Aufschlussreiche Sicherheits Diagnosedaten

Seit fast zwei Jahrzehnten hat Microsoft Bedrohungen in nützliche Informationen verwandelt, mit denen die Plattform und der Schutz von Kunden unterstützt werden können. Mit den immensen computingvorteilen der Cloud bieten wir heute neue Möglichkeiten, unsere umfassenden Analysemodule zu verwenden, die von Bedrohungs Informationen genutzt werden, um unsere Kunden zu schützen.

Indem wir eine Kombination aus automatisierten und manuellen Prozessen, Machine Learning und Human Experts anwenden, können wir einen Intelligent Security Graph erstellen, der von sich selbst lernt und sich in Echtzeit entwickelt, sodass wir unsere Sammelzeit verringern, um neue Vorfälle für unsere Produkte zu erkennen und darauf zu reagieren.

Microsoft Intelligence-Sicherheits Diagramm

Der Umfang der Bedrohungs Intelligenz von Microsoft umfasst im wesentlichen Milliarden von Datenpunkten: 35 Milliarden Nachrichten, die monatlich gescannt werden, 1 Milliarde Kunden in Unternehmens-und consumersegmenten, die auf 200 + Cloud-Dienste und 14 Milliarden Authentifizierungen täglich zugreifen. Alle diese Daten werden in Ihrem Auftrag von Microsoft zusammengeführt, um die intelligent Security Graph zu erstellen, die Ihnen helfen, Ihre Front-Door-Sicherheit auf dynamische Weise zu schützen, weiterhin produktiv zu bleiben und die Anforderungen der dsgvo zu erfüllen.

Erkennen von Angriffen und forensischen Ermittlungen

Selbst die beste Endpunkt Abwehr wird möglicherweise verletzt, da Cyberangriffe komplexer und gezielter werden. Zwei Funktionen können zur Unterstützung der Erkennung möglicher Sicherheitsverletzungen verwendet werden: Windows Defender Advanced Threat Protection (ATP) und Microsoft Advanced Threat Analytics (ATA).

Windows Defender Advanced Threat Protection (ATP) hilft Ihnen dabei, erweiterte Angriffe und Datenverletzungen in ihren Netzwerken zu erkennen, zu untersuchen und darauf zu reagieren. Die Typen der Datenverletzung, die für die dsgvo durch technische Sicherheitsmaßnahmen geschützt werden müssen, um die fortlaufende Vertraulichkeit, Integrität und Verfügbarkeit von persönlichen Daten und Verarbeitungssystemen sicherzustellen.

Zu den wichtigsten Vorteilen von Windows Defender ATP zählen die folgenden:

  • Erkennen der nicht erkennbaren. Sensoren, die tief in den Kernel des Betriebssystems, Windows-Sicherheitsexperten und eindeutige Optiken integriert sind, von über 1 Milliarde Computern und Signalen über alle Microsoft-Dienste hinweg.

  • Integriert, nicht fett formatiert. Ohne Agent, mit hoher Leistung und minimaler Auswirkung, cloudbasiert; einfache Verwaltung ohne Bereitstellung.

  • Einzelner Glasbereich für Windows-Sicherheit. Erkunden Sie den umfangreichen Zeitraum von 6 Monaten, Machine-Timeline und Vereinheitlichung von Sicherheits Ereignissen von Windows Defender ATP, Windows Defender Antivirus und Windows Defender Device Guard.

  • Leistungsfähigkeit von Microsoft Graph. Nutzt das Microsoft Intelligence Security Graph, um die Erkennung und Untersuchung mit dem Office 365 ATP-Abonnement zu integrieren, um Angriffe zurückverfolgen und darauf reagieren zu können.

Weitere Informationen finden Sie unter Neuigkeiten in der Windows Defender ATP Creators Update-Vorschau.

ATA ist ein lokales Produkt, mit dem Identitäts Gefährdung in einer Organisation erkannt werden kann. ATA kann Netzwerk Datenverkehr für Authentifizierungs-, Autorisierungs-und Informations Sammel Protokolle (z. b. Kerberos, DNS, RPC, NTLM und andere Protokolle) erfassen und analysieren. ATA verwendet diese Daten, um ein Verhaltensprofil für Benutzer und andere Entitäten in einem Netzwerk zu erstellen, damit Anomalien und bekannte Angriffsmuster erkannt werden können. In der folgenden Tabelle sind die von ATA erkannten Angriffstypen aufgeführt.

Angreitertyp BESCHREIBUNG
Böswillige Angriffe Diese Angriffe werden erkannt, indem Sie nach Angriffen aus einer bekannten Liste von Angriffstypen suchen, einschließlich:
  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Böswillige Replikationen
  • Reconnaissance
  • Brute-Force
  • Remoteausführung
Eine umfassende Liste der gefundenen böswilligen Angriffe und deren Beschreibung finden Sie unter welche verdächtigen Aktivitäten können von ATA erkannt werden?.
Ungewöhnliches Verhalten Diese Angriffe werden mithilfe der Verhaltensanalyse erkannt und verwenden Machine Learning, um fragwürdige Aktivitäten zu identifizieren, einschließlich:
  • Nicht normale Anmeldungen
  • Unbekannte Gefahren
  • Kennwortfreigabe
  • Seitwärtsbewegung
Sicherheitsprobleme und-Risiken Diese Angriffe werden erkannt, wenn Sie die aktuelle Netzwerk-und Systemkonfiguration betrachten, einschließlich:
  • einer fehlerhaften Vertrauensstellung
  • schwacher Protokolle
  • bekannter Protokollschwachstellen.

Mithilfe von ATA können Sie Angreifer erkennen, die versuchen, privilegierte Identitäten zu kompromittieren. Weitere Informationen zum Bereitstellen von ATA finden Sie in den Themen Plan, Entwurf und Bereitstellung in der Advanced Threat Analytics-Dokumentation.

Haftungsausschluss

Dieser Artikel ist ein Kommentar zur dsgvo, der von Microsoft zum Zeitpunkt der Veröffentlichung interpretiert wird. Wir haben viel Zeit mit dsgvo verbracht und wissen, dass wir uns Gedanken über seine Absicht und Bedeutung gemacht haben. Die Anwendung der dsgvo ist jedoch sehr Fakten spezifisch, und nicht alle Aspekte und Interpretationen der dsgvo sind gut gelöst.

Dies hat zur Folge, dass dieser Artikel nur zu Informationszwecken zur Verfügung gestellt wird und nicht als rechtliche Beratung herangezogen werden soll, oder um zu bestimmen, wie die dsgvo für Sie und Ihre Organisation gelten könnte. Wir empfehlen Ihnen, mit einem gesetzlich qualifizierten Professional zusammenzuarbeiten, um dsgvo zu erörtern, zu erfahren, wie dies speziell für Ihre Organisation gilt und wie am besten die Konformität gewährleistet ist.

Microsoft übernimmt keinerlei ausdrückliche, konkludente oder gesetzliche Gewährleistung hinsichtlich der Informationen in diesem Artikel. Dieser Artikel wird so bereitgestellt, wie es ist. Die in diesem Artikel enthaltenen Informationen und Ansichten, einschließlich URLs und anderer Verweise auf Internet Websites, können ohne vorherige Ankündigung geändert werden.

In diesem Artikel erhalten Sie keine rechtlichen Rechte für geistiges Eigentum in Microsoft-Produkten. Sie dürfen diesen Artikel nur für interne Referenzzwecke kopieren und verwenden.

Veröffentlicht September 2017
Version 1.0
© 2017 Microsoft. Alle Rechte vorbehalten.