Beginnen Der Weg zur Datenschutz-Grundverordnung (DSGVO) für Windows Server

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Artikel finden Sie Informationen zur DSGVO, einschließlich ihrer Funktionsweise, und die Von Microsoft bereitgestellten Produkte helfen Ihnen dabei, konform zu werden.

Einführung

Am 25. Mai 2018 tritt ein europäisches Datenschutzgesetz in Kraft, das eine neue globale Messlatte für Datenschutzrechte, Sicherheit und Konformität setzt.

Die Datenschutz-Grundverordnung oder DSGVO geht es grundsätzlich um den Schutz und die Aktivierung der Datenschutzrechte von Einzelpersonen. Die DSGVO richtet strenge globale Datenschutzanforderungen ein, die die Verwaltung und den Schutz personenbezogener Daten bei der Einhaltung der individuellen Wahl – unabhängig davon, wo Daten gesendet, verarbeitet oder gespeichert werden.

Microsoft und unsere Kunden sind jetzt auf einer Reise, um die Datenschutzziele der DSGVO zu erreichen. Bei Microsoft glauben wir, dass der Datenschutz ein Grundrecht ist, und wir glauben, dass die DSGVO ein wichtiger Schritt ist, um individuelle Datenschutzrechte zu klären und zu ermöglichen. Aber wir erkennen auch, dass die DSGVO erhebliche Änderungen von Organisationen auf der ganzen Welt erfordert.

Wir haben unser Engagement für die DSGVO und wie wir unsere Kunden innerhalb des Blogbeitrags "Get GDPR konform mit dem Blogbeitrag von Microsoft Cloud" von unserem Chief Privacy Officer Brendon Lynch und dem Verdienen Ihres Vertrauens mit vertraglichen Verpflichtungen an die Datenschutz-Grundverordnung unterstützen" Blogbeitrag von Rich Sauer - Microsoft Corporate Vice President & Deputy General Counsel.

Obwohl Ihre Reise zur DSGVO-Compliance schwierig erscheinen kann, sind wir hier, um Ihnen zu helfen. Um spezifische Informationen zur DSGVO, unsere Verpflichtungen und ihre Reise zu beginnen, besuchen Sie bitte den DSGVO-Abschnitt des Microsoft Trust Centers.

DSGVO und ihre Auswirkungen

Die DSGVO ist eine komplexe Verordnung, die möglicherweise erhebliche Änderungen an der Erfassung, Verwendung und Verwaltung personenbezogener Daten erfordert. Microsoft hat eine lange Geschichte, unseren Kunden dabei zu helfen, komplexe Vorschriften einzuhalten, und wenn es darum geht, die DSGVO vorzubereiten, sind wir Ihr Partner auf dieser Reise.

Die DSGVO legt Regeln für Organisationen fest, die Personen in der Europäischen Union (EU) Waren und Dienstleistungen anbieten oder Daten sammeln und analysieren, die an EU-Einwohner gebunden sind, unabhängig davon, wo sich diese Unternehmen befinden. Zu den wichtigsten Elementen der DSGVO gehören:

  • Verbesserte Datenschutzrechte. Verstärkter Datenschutz für Einwohner der EU, indem sichergestellt wird, dass sie das Recht haben, auf ihre personenbezogenen Daten zuzugreifen, in diesen Daten Ungenauigkeiten zu korrigieren, diese Daten zu löschen, die Verarbeitung ihrer personenbezogenen Daten zu widersprechen und sie zu verschieben.

  • Erhöhte Pflicht zum Schutz personenbezogener Daten. Verstärkte Rechenschaftspflicht von Organisationen, die personenbezogene Daten verarbeiten, bieten eine erhöhte Klarheit der Verantwortung bei der Gewährleistung der Compliance.

  • Obligatorische Berichterstellung zu personenbezogenen Daten. Organisationen, die personenbezogene Daten kontrollieren, müssen personenbezogene Datenverletzungen melden, die ein Risiko für die Rechte und Freiheiten von Personen an ihre Aufsichtsbehörden darstellen, ohne unzuverlänglich, und, sofern möglich, spätestens 72 Stunden, sobald sie sich der Verletzung bewusst sind.

Wie Sie erwarten können, kann die DSGVO erhebliche Auswirkungen auf Ihr Unternehmen haben, was möglicherweise erfordert, dass Sie Datenschutzrichtlinien aktualisieren, Datenschutzkontrollen und Benachrichtigungsverfahren für Datenschutzverletzungen implementieren und stärken, hoch transparente Richtlinien bereitstellen und weiter in IT und Schulung investieren müssen. Microsoft Windows 10 kann Ihnen dabei helfen, einige dieser Anforderungen effektiv und effizient zu beheben.

Persönliche und vertrauliche Daten

Im Rahmen Ihrer Bemühungen, die DSGVO einzuhalten, müssen Sie verstehen, wie die Verordnung personenbezogene und vertrauliche Daten definiert und wie diese Definitionen sich auf Daten beziehen, die von Ihrer Organisation aufbewahrt werden. Basierend auf diesem Verständnis können Sie ermitteln, wo diese Daten erstellt, verarbeitet, verwaltet und gespeichert werden.

Die DSGVO hält personenbezogene Daten für alle Informationen im Zusammenhang mit einer identifizierten oder identifizierbaren natürlichen Person. Dies kann sowohl die direkte Identifizierung (z. B. Ihr juristischer Name) als auch die indirekte Identifizierung (z. B. bestimmte Informationen, die es deutlich machen, dass sie die Datenverweise sind). Die DSGVO macht außerdem klar, dass das Konzept personenbezogener Daten Online-Bezeichner (z. B. IP-Adressen, Mobile Geräte-IDs) und Standortdaten umfasst.

Die DSGVO führt spezifische Definitionen für genetische Daten (z. B. die Gensequenz einer Person) und biometrische Daten ein. Genetische Daten und biometrische Daten zusammen mit anderen Unterkategorien personenbezogener Daten (personenbezogene Daten, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft der Gewerkschaft enthalten: Daten über Gesundheit oder Daten über das Sexleben oder die sexuelle Ausrichtung einer Person) werden gemäß der DSGVO als vertrauliche personenbezogene Daten behandelt. Vertrauliche personenbezogene Daten werden verbessert und erfordert im Allgemeinen die ausdrückliche Zustimmung einer Person, in der diese Daten verarbeitet werden sollen.

Beispiele für Informationen zu einer identifizierten oder identifizierbaren natürlichen Person (betroffene Person)

Diese Liste enthält Beispiele für verschiedene Arten von Informationen, die über die DSGVO geregelt werden. Diese Liste ist nicht vollständig.

  • Name

  • Identifikationsnummer (z. B. SSN)

  • Standortdaten (z. B. Privatadresse)

  • Onlinebezeichner (z. B. E-Mail-Adresse, Bildschirmnamen, IP-Adresse, Geräte-IDs)

  • Pseudonyme Daten (z. B. mithilfe eines Schlüssels zum Identifizieren von Einzelpersonen)

  • Genetische Daten (z. B. biologische Proben aus einer Person)

  • Biometrische Daten (z. B. Fingerabdruck, Gesichtserkennung)

Erste Schritte auf dem Weg zur DSGVO-Compliance

Angesichts dessen, wie viel beteiligt ist, um DSGVO-konform zu werden, empfehlen wir dringend, dass Sie nicht warten, bis die Durchsetzung beginnt. Sie sollten Ihre Datenschutz- und Datenverwaltungspraktiken jetzt überprüfen. Es wird empfohlen, ihre Reise zur DSGVO-Compliance zu beginnen, indem sie sich auf vier wichtige Schritte konzentrieren:

  • Entdecken. Identifizieren Sie, welche personenbezogenen Daten Sie haben und wo sie sich befindet.

  • Verwaltung Legen Sie fest, wie personenbezogene Daten genutzt werden und wie darauf zugegriffen wird.

  • Schützen. Richten Sie Sicherheitsmaßnahmen ein, um Sicherheitsrisiken und Sicherheitsverletzungen bei Daten zu verhindern, zu erkennen und darauf zu reagieren.

  • Bericht Reagieren Sie auf Datenanforderungen, melden Sie Datenverletzungen, und halten Sie erforderliche Dokumentationen.

    Diagram about how the 4 key GDPR steps work together

Für jede der Schritte haben wir Beispieltools, Ressourcen und Features in verschiedenen Microsoft-Lösungen beschrieben, mit denen Sie die Anforderungen dieses Schritts erfüllen können. Während dieser Artikel kein umfassender Leitfaden für "Vorgehensweisen" ist, haben wir Links für Sie hinzugefügt, um weitere Details zu erfahren, und weitere Informationen sind im DSGVO-Abschnitt des Microsoft Trust Center verfügbar.

Windows Serversicherheit und Datenschutz

Die DSGVO erfordert, dass Sie geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren, um personenbezogene Daten und Verarbeitungssysteme zu schützen. Im Kontext der DSGVO verarbeiten Ihre physischen und virtuellen Serverumgebungen potenziell personenbezogene und vertrauliche Daten. Die Verarbeitung kann einen beliebigen Vorgang oder eine Reihe von Vorgängen bedeuten, z. B. Datensammlung, Speicherung und Abruf.

Ihre Fähigkeit, diese Anforderung zu erfüllen und geeignete technische Sicherheitsmaßnahmen zu implementieren, müssen die Bedrohungen widerspiegeln, die Sie in der heutigen zunehmend feindlichen IT-Umgebung sehen. Die heutige Sicherheitsbedrohungslandschaft ist eine der aggressiven und hartnäckigen Bedrohungen. In den vergangenen Jahren konzentrierten sich böswillige Angreifer hauptsächlich auf die Anerkennung der Community durch ihre Angriffe oder den Nervenkitzel, ein System vorübergehend offline zu nehmen. Seitdem haben sich die Motive des Angreifers auf das Geld verschiebt, einschließlich der Aufbewahrung von Geräten und Datenhostage, bis der Besitzer das geforderte Lösegeld bezahlt.

Moderne Angriffe konzentrieren sich zunehmend auf den Diebstahl von großem geistigem Eigentum; gezielte Systemverschlechterung, die zu finanziellen Verlusten führen kann; und jetzt sogar Cyberterrorismus, der die Sicherheit von Einzelpersonen, Unternehmen und nationalen Interessen auf der ganzen Welt bedroht. Diese Angreifer sind in der Regel hoch ausgebildete Einzelpersonen und Sicherheitsexperten, von denen einige in der Beschäftigung von Nationalstaaten sind, die große Budgets haben und scheinbar unbegrenzte Personalressourcen haben. Bedrohungen wie diese erfordern einen Ansatz, der diese Herausforderung erfüllen kann.

Diese Bedrohungen sind nicht nur ein Risiko für Ihre Fähigkeit, die Kontrolle über persönliche oder vertrauliche Daten zu behalten, die Sie haben, sondern auch ein materielles Risiko für Ihr Gesamtgeschäft. Berücksichtigen Sie die neuesten Daten von McKinsey, Ponemon Institute, Verizon und Microsoft:

  • Die durchschnittlichen Kosten für die Art der Datenschutzverletzung erwarten, dass Sie melden können, 3,5 Mio. USD.

  • 63 % dieser Verstöße umfassen schwache oder gestohlene Kennwörter, die die DSGVO erwartet.

  • Über 300.000 neue Schadsoftwarebeispiele werden erstellt und täglich verbreitet, sodass Ihre Aufgabe noch anspruchsvoller wird.

Wie mit den jüngsten Ransomware-Angriffen gesehen, als die schwarze Pest des Internets bezeichnet, gehen Angreifer nach größeren Zielen, die es sich leisten können, mehr zu zahlen, mit potenziell katastrophalen Folgen. Die DSGVO umfasst Strafen, die Ihre Systeme, einschließlich Desktops und Laptops, mit persönlichen und vertraulichen Daten enthalten, die tatsächlich umfassende Ziele enthalten.

Zwei Schlüsselprinzipien haben die Entwicklung von Windows geführt und weiter geführt:

  • Sicherheit. Die Daten, die unsere Software und Dienste im Auftrag unserer Kunden speichern, sollten nur auf geeignete Weise vor Schaden geschützt und verwendet oder geändert werden. Sicherheitsmodelle sollten Entwicklern einfach sein, ihre Anwendungen zu verstehen und zu erstellen.

  • Datenschutz. Benutzer sollten steuern, wie ihre Daten verwendet werden. Richtlinien für die Informationsverwendung sollten dem Benutzer klar sein. Benutzer sollten steuern, wann und wann sie Informationen erhalten, um ihre Zeit optimal nutzen zu können. Es sollte benutzern leicht sein, die geeignete Verwendung ihrer Informationen anzugeben, einschließlich der Kontrolle der Verwendung von E-Mails, die sie senden.

Microsoft unterstützt diese Prinzipien wie kürzlich von Microsoft CEO Satya Nadella,

"Da sich die Welt weiter ändert und geschäftliche Anforderungen weiterentwickelt werden, sind einige Dinge konsistent: die Nachfrage eines Kunden nach Sicherheit und Datenschutz."

Während Sie daran arbeiten, die DSGVO einzuhalten, ist das Verständnis der Rolle Ihrer physischen und virtuellen Server beim Erstellen, Zugreifen, Verarbeiten, Speichern und Verwalten von Daten, die als personenbezogene und potenziell vertrauliche Daten unter der DSGVO gelten können, wichtig. Windows Server bietet Funktionen, die Ihnen helfen, die DSGVO-Anforderungen einzuhalten, um geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu implementieren.

Der Sicherheitsstatus von Windows Server 2016 ist kein Bolzen-On; es ist ein architektonisches Prinzip. Und es kann in vier Prinzipalen am besten verstanden werden:

  • Schützen. Laufender Fokus und Innovation auf Präventionsmaßnahmen; Blockieren bekannter Angriffe und bekannter Schadsoftware.

  • Erkennen. Umfassende Überwachungstools, die Ihnen helfen, Anomalien zu erkennen und schneller auf Angriffe zu reagieren.

  • Reagieren. Führende Reaktions- und Wiederherstellungstechnologien sowie tiefe Beratungskompetenz.

  • Isolieren. Isolieren Sie Betriebssystemkomponenten und Datenschlüssel, beschränken Sie Administratorberechtigungen, und messen Sie die Hostintegrität streng.

Mit Windows Server können Sie die Arten von Angriffen schützen, erkennen und schützen, die zu Datenverletzungen führen können, erheblich verbessert. Angesichts der strengen Anforderungen an die Verletzungsbenachrichtigung innerhalb der DSGVO wird sichergestellt, dass Ihre Desktop- und Laptopsysteme gut geschützt sind, die Risiken verringern, denen Sie gegenüberstehen, die zu einer kostspieligen Verletzungsanalyse und Benachrichtigung führen könnten.

Im folgenden Abschnitt sehen Sie, wie Windows Server Funktionen bereitstellt, die in der Phase "Schützen" Ihrer DSGVO-Compliance-Reise quadratisch passen. Diese Funktionen fallen in drei Schutzszenarien:

  • Schützen Sie Ihre Anmeldeinformationen und beschränken Sie Administratorberechtigungen. Windows Server 2016 hilft, diese Änderungen zu implementieren, um zu verhindern, dass Ihr System als Startpunkt für weitere Einbrüche verwendet wird.

  • Sichern Sie das Betriebssystem, um Ihre Apps und Infrastruktur auszuführen. Windows Server 2016 bietet Schutzebenen, die dazu beiträgt, externe Angreifer vor dem Ausführen bösartiger Software oder Ausnutzung von Sicherheitsrisiken zu blockieren.

  • Sichere Virtualisierung. Windows Server 2016 ermöglicht die sichere Virtualisierung mithilfe von Shielded Virtual Machines und Guarded Fabric. Dadurch können Sie Ihre virtuellen Computer auf vertrauenswürdigen Hosts in Ihrem Fabric verschlüsseln und ausführen, indem Sie sie besser vor böswilligen Angriffen schützen.

Diese Funktionen, die unten mit Verweisen auf bestimmte DSGVO-Anforderungen erläutert werden, basieren auf dem erweiterten Geräteschutz, der die Integrität und Sicherheit des Betriebssystems und der Daten unterstützt.

Eine wichtige Bereitstellung innerhalb der DSGVO ist datenschutzgeschützt und unterstützt standardmäßig mit Ihrer Fähigkeit, diese Bereitstellung zu erfüllen, features innerhalb von Windows 10 wie BitLocker-Geräteverschlüsselung. BitLocker verwendet die Tpm-Technologie (Trusted Platform Module), die hardwarebasierte, sicherheitsbezogene Funktionen bereitstellt. Dieser Krypto-Prozessor-Chip umfasst mehrere physische Sicherheitsmechanismen, um es manipulationssicher zu machen, und böswillige Software kann nicht mit den Sicherheitsfunktionen des TPM manipuliert werden.

Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Die wichtigsten Vorteile der TPM-Technologie bestehen in ihren Möglichkeiten. Sie können:

  • Kryptografieschlüssel generieren, speichern und deren Einsatz beschränken.

  • Verwenden Sie TPM-Technologie für die Plattformgeräteauthentifizierung mithilfe des einzigartigen RSA-Schlüssels des TPM, der in sich selbst verbrannt wird.

  • Helfen Sie, die Plattformintegrität zu gewährleisten, indem Sie Sicherheitsmessungen durchführen und speichern.

Zusätzliche erweiterte Geräteschutz, der für Ihren Betrieb relevant ist, ohne Datenverletzungen zu haben, umfassen Windows vertrauenswürdigen Start, um die Integrität des Systems zu erhalten, indem sichergestellt wird, dass Schadsoftware nicht gestartet werden kann, bevor Systemschutzmaßnahmen ausgeführt werden.

Windows Server: Unterstützung Ihrer DSGVO-Compliance-Reise

Wichtige Features innerhalb von Windows Server können Ihnen helfen, die Sicherheits- und Datenschutzmechanismen effizient und effektiv umzusetzen, die DSGVO für die Compliance benötigt. Während die Verwendung dieser Features Ihre Compliance nicht garantiert, unterstützen sie Ihre Bemühungen, dies zu tun.

Das Serverbetriebssystem befindet sich auf einer strategischen Ebene in der Infrastruktur einer Organisation und bietet neue Möglichkeiten zum Erstellen von Schutzebenen vor Angriffen, die Daten stehlen und Ihr Unternehmen unterbrechen können. Wichtige Aspekte der DSGVO, z. B. Datenschutz, Datenschutz und Access Control müssen in Ihrer IT-Infrastruktur auf Serverebene behandelt werden.

Um die Identitäts-, Betriebssystem- und Virtualisierungsebenen zu schützen, hilft Windows Server 2016, die gängigen Angriffsvektoren zu blockieren, die für den illegalen Zugriff auf Ihre Systeme verwendet werden: gestohlene Anmeldeinformationen, Schadsoftware und eine kompromittierte Virtualisierungsstruktur. Zusätzlich zum Reduzieren des Geschäftsrisikos helfen die in Windows Server 2016 integrierten Sicherheitskomponenten, Complianceanforderungen für wichtige Behörden und Branchensicherheitsvorschriften zu erfüllen.

Diese Identitäts-, Betriebssystem- und Virtualisierungsschutz ermöglichen Es Ihnen, Ihr Rechenzentrum, das Windows Server als VM in jeder Cloud ausführt, besser zu schützen und die Fähigkeit von Angreifern zu beschränken, Anmeldeinformationen zu kompromittieren, Schadsoftware zu starten und in Ihrem Netzwerk nicht erkannt zu bleiben. Ebenso bietet Windows Server 2016 bei der Bereitstellung als Hyper-V-Host Sicherheit für Ihre Virtualisierungsumgebungen über abgeschirmte Virtual Machines und verteilte Firewallfunktionen. Mit Windows Server 2016 wird das Serverbetriebssystem zu einem aktiven Teilnehmer in Ihrer Rechenzentrumssicherheit.

Schützen Ihrer Anmeldeinformationen und Einschränken von Administratorberechtigungen

Kontrolle über den Zugriff auf personenbezogene Daten und die Systeme, die diese Daten verarbeiten, ist ein Bereich mit der DSGVO, die bestimmte Anforderungen hat, einschließlich zugriff von Administratoren. Privilegierte Identitäten sind alle Konten, die über erhöhte Berechtigungen verfügen, z. B. Benutzerkonten, die Mitglieder der Domänenadministratoren sind, Enterprise Administratoren, lokale Administratoren oder sogar Power Users-Gruppen. Solche Identitäten können auch Konten enthalten, die direkt Berechtigungen gewährt haben, z. B. Sicherungen ausführen, das System herunterfahren oder andere Rechte, die im Knoten "Benutzerrechtezuweisung" in der Konsole "Lokale Sicherheitsrichtlinie" aufgeführt sind.

Als allgemeines Zugriffssteuerungsprinzip und im Einklang mit der DSGVO müssen Sie diese privilegierten Identitäten vor Kompromittierung durch potenzielle Angreifer schützen. Zunächst ist es wichtig zu verstehen, wie Identitäten kompromittiert werden; Dann können Sie planen, dass Angreifer zugriff auf diese privilegierten Identitäten erhalten.

Wie werden privilegierte Identitäten kompromittiert?

Privilegierte Identitäten können kompromittiert werden, wenn Organisationen keine Richtlinien zum Schutz haben. Hier finden Sie einige Beispiele:

  • Mehr Berechtigungen als erforderlich. Eines der häufigsten Probleme besteht darin, dass Benutzer mehr Berechtigungen haben als erforderlich, um ihre Aufgabe auszuführen. Beispielsweise kann ein Benutzer, der DNS verwaltet, ein AD-Administrator sein. Dies geschieht am häufigsten, um die Notwendigkeit zu vermeiden, unterschiedliche Verwaltungsebenen zu konfigurieren. Wenn ein solches Konto kompromittiert ist, weist der Angreifer jedoch automatisch erhöhte Berechtigungen auf.

  • Ständig mit erhöhten Berechtigungen angemeldet. Ein weiteres häufiges Problem besteht darin, dass Benutzer mit erhöhten Berechtigungen sie für eine unbegrenzte Zeit verwenden können. Dies ist sehr häufig bei IT-Experten, die sich mit einem privilegierten Konto bei einem Desktopcomputer anmelden, angemeldet bleiben und das privilegierte Konto verwenden, um das Web zu durchsuchen und E-Mails zu verwenden (typische IT-Arbeitsauftragsfunktionen). Unbegrenzte Dauer von privilegierten Konten macht das Konto anfälliger für Angriffe und erhöht die Chancen, dass das Konto kompromittiert wird.

  • Sozialtechnikforschung. Die meisten Anmeldeinformationenbedrohungen beginnen mit der Recherche der Organisation und dann durch Social Engineering. Ein Angreifer kann beispielsweise einen E-Mail-Phishingangriff durchführen, um legitime Konten zu kompromittieren (aber nicht unbedingt erhöhte Konten), die Zugriff auf das Netzwerk einer Organisation haben. Der Angreifer verwendet dann diese gültigen Konten, um zusätzliche Forschungen auf Ihrem Netzwerk durchzuführen und privilegierte Konten zu identifizieren, die administrative Aufgaben ausführen können.

  • Nutzen Sie Konten mit erhöhten Berechtigungen. Auch bei einem normalen, nicht erhöhten Benutzerkonto im Netzwerk können Angreifer Zugriff auf Konten mit erhöhten Berechtigungen erhalten. Eine der gängigeren Methoden ist die Verwendung der Pass-the-Hash- oder Pass-the-Token-Angriffe. Weitere Informationen zu den Pass-the-Hash- und anderen Anmeldeinformationen-Diebstahlstechniken finden Sie auf der Seite Pass-the-Hash (PtH).

Es gibt natürlich andere Methoden, die Angreifer verwenden können, um privilegierte Identitäten zu identifizieren und zu kompromittieren (mit neuen Methoden, die jeden Tag erstellt werden). Daher ist es wichtig, dass Sie Methoden für Benutzer einrichten, die sich mit wenigsten privilegierten Konten anmelden, um die Möglichkeit von Angreifern zu verringern, zugriff auf privilegierte Identitäten zu erhalten. In den nachstehenden Abschnitten werden Funktionen beschrieben, in denen Windows Server diese Risiken verringern kann.

Just-in-Time Admin (JIT) und Just Enough Admin (JEA)

Während der Schutz vor Pass-the-Hash- oder Pass-the-Ticket-Angriffen wichtig ist, können Administratoranmeldeinformationen immer noch durch andere Mittel gestohlen werden, einschließlich Social Engineering, unmutige Mitarbeiter und brute Force. Daher möchten Sie neben dem Isolieren von Anmeldeinformationen so viel wie möglich auch eine Möglichkeit haben, die Reichweite von Berechtigungen auf Administratorebene einzuschränken, wenn sie kompromittiert sind.

Heute sind zu viele Administratorkonten überprivilegiert, auch wenn sie nur einen Bereich der Verantwortung haben. Beispielsweise wird einem DNS-Administrator, der eine sehr schmale Gruppe von Berechtigungen zum Verwalten von DNS-Servern erfordert, häufig Domänenadministratorberechtigungen gewährt. Darüber hinaus, da diese Anmeldeinformationen für Einepetuität gewährt werden, gibt es keine Begrenzung für die Dauer der Verwendung.

Jedes Konto mit unnötigen Domänenadministratorberechtigungen erhöht ihre Exposition bei Angreifern, die Anmeldeinformationen kompromittieren möchten. Um den Oberflächenbereich für Angriffe zu minimieren, möchten Sie nur die spezifischen Rechte bereitstellen, die ein Administrator für den Auftrag benötigt – und nur für das Zeitfenster, das zum Abschließen erforderlich ist.

Mithilfe der Just-in-Time-Administration können Administratoren die spezifischen Berechtigungen anfordern, die sie für das genaue Zeitfenster benötigen. Mit PowerShell können Sie beispielsweise mithilfe von PowerShell eine begrenzte Gruppe von Befehlen erstellen, die für die DNS-Verwaltung verfügbar sind.

Wenn der DNS-Administrator ein Update auf einen ihrer Server vornehmen muss, würde sie den Zugriff auf die Verwaltung von DNS mit Microsoft Identity Manager 2016 anfordern. Der Anforderungsworkflow kann einen Genehmigungsprozess wie die zweistufige Authentifizierung enthalten, die das Mobiltelefon des Administrators aufrufen kann, um ihre Identität zu bestätigen, bevor die angeforderten Berechtigungen erteilt werden. Sobald dies gewährt wurde, bieten diese DNS-Berechtigungen Zugriff auf die PowerShell-Rolle für DNS für einen bestimmten Zeitraum.

Imagine dieses Szenario, wenn die Anmeldeinformationen des DNS-Administrators gestohlen wurden. Erstens, da die Anmeldeinformationen keine Administratorrechte an sie angefügt haben, würde der Angreifer keinen Zugriff auf den DNS-Server – oder andere Systeme – erhalten, um Änderungen vorzunehmen. Wenn der Angreifer versucht hat, Berechtigungen für den DNS-Server anzufordern, würde die zweite Faktorauthentifizierung sie bitten, ihre Identität zu bestätigen. Da es nicht wahrscheinlich ist, dass der Angreifer über das Mobiltelefon des DNS-Administrators verfügt, würde die Authentifizierung fehlschlagen. Dies würde den Angreifer aus dem System sperren und die IT-Organisation benachrichtigen, dass die Anmeldeinformationen möglicherweise kompromittiert werden.

Darüber hinaus verwenden viele Organisationen die kostenlose Lokale Administratorkennwortlösung (LAPS) als einfachen, aber leistungsstarken JIT-Verwaltungsmechanismus für ihre Server- und Clientsysteme. Die LAPS-Funktion bietet die Verwaltung von lokalen Konto-Kennwörtern von domänenverbundenen Computern. Kennwörter werden in Active Directory (AD) gespeichert und durch und Access Control List (ACL) geschützt, sodass nur berechtigte Benutzer es lesen oder anfordern können.

Wie im Windows Credential Theft Mitigation Guide erwähnt,

"Die Tools und Techniken, die Kriminelle verwenden, um Diebstahl von Anmeldeinformationen durchzuführen und Angriffe wiederverwenden zu verbessern, böswillige Angreifer finden es einfacher, ihre Ziele zu erreichen. Der Diebstahl von Anmeldeinformationen basiert häufig auf betriebstechnischen Methoden oder Benutzeranmeldeinformationen, sodass effektive Entschärfungen einen ganzheitlichen Ansatz erfordern, der Personen, Prozesse und Technologie behandelt. Darüber hinaus verlassen sich diese Angriffe auf den Angreifer, die Anmeldeinformationen stehlen, nachdem ein System kompromittiert wurde, um den Zugriff zu erweitern oder beizubehalten, sodass Organisationen Schnellverletzungen enthalten müssen, indem Sie Strategien implementieren, die verhindern, dass Angreifer sich frei bewegen und in einem kompromittierten Netzwerk nicht erkannt werden."

Eine wichtige Entwurfsüberlegung für Windows Server wurde durch Diebstahl von Anmeldeinformationen – insbesondere abgeleitete Anmeldeinformationen – beeinträchtigt. Credential Guard bietet deutlich verbesserte Sicherheit vor abgeleiteten Anmeldeinformationen und Wiederverwendung, indem eine erhebliche architektonische Änderung in Windows implementiert wird, die dazu dient, hardwarebasierte Isolationsangriffe zu beseitigen, anstatt einfach gegen sie zu schützen.

Während die Verwendung von Windows Defender Credential Guard, NTLM und Kerberos abgeleiteten Anmeldeinformationen mithilfe virtualisierungsbasierter Sicherheit geschützt sind, werden die in vielen gezielten Angriffen verwendeten Methoden und Tools blockiert. Im Betriebssystem ausgeführte Schadsoftware mit Administratorberechtigungen kann geheime Schlüssel, die durch die virtualisierungsbasierte Sicherheit geschützt sind, nicht extrahieren. Während Windows Defender Credential Guard ein leistungsstarkes Entschärfungsrisiko ist, werden sich die beständigen Bedrohungsangriffe wahrscheinlich auf neue Angriffstechniken verschieben und Sie sollten auch Device Guard, wie unten beschrieben, zusammen mit anderen Sicherheitsstrategien und Architekturen integrieren.

Windows Defender Credential Guard

Windows Defender Credential Guard verwendet virtualisierungsbasierte Sicherheit zum Isolieren von Anmeldeinformationen, verhindern, dass Kennworthashes oder Kerberos-Tickets abgefangen werden. Es verwendet einen vollständig neuen isolierten lokalen Sicherheitsbehördesprozess (LSA), der für den Rest des Betriebssystems nicht zugänglich ist. Alle binärdateien, die von der isolierten LSA verwendet werden, werden mit Zertifikaten signiert, die überprüft werden, bevor sie in der geschützten Umgebung gestartet werden, wodurch Pass-the-Hash-Typangriffe vollständig ungültig sind.

Windows Defender Credential Guard verwendet:

  • Virtualisierungsbasierte Sicherheit (erforderlich). Außerdem erforderlich:

    • 64-Bit-CPU

    • CPU-Virtualisierungserweiterungen sowie erweiterte Seitentabellen

    • Windows Hypervisor

  • Sicherer Start (erforderlich)

  • TPM 2.0 entweder diskret oder firmware (bevorzugt – stellt Bindung an Hardware bereit)

Sie können Windows Defender Credential Guard verwenden, um privilegierte Identitäten zu schützen, indem Sie die Anmeldeinformationen und Anmeldeinformationenderivate auf Windows Server 2016 schützen. Weitere Informationen zu Windows Defender Credential Guard-Anforderungen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Windows Defender Credential Guard.

Windows Defender Remote Credential Guard

Windows Defender Remote Credential Guard auf Windows Server 2016 und Windows 10 Anniversary Update schützt auch Anmeldeinformationen für Benutzer mit Remotedesktopverbindungen. Zuvor müssen sich alle Benutzer, die Remotedesktopdienste verwenden, bei ihrem lokalen Computer anmelden und sich dann erneut anmelden, wenn sie eine Remoteverbindung mit ihrem Zielcomputer ausgeführt haben. Diese zweite Anmeldung würde Anmeldeinformationen an den Zielcomputer übergeben, indem sie pass-the-Hash- oder Pass-the-Ticket-Angriffe ausgesetzt werden.

Mit Windows Defender Remote Credential Guard implementiert Windows Server 2016 einmaliges Anmelden für Remotedesktopsitzungen, wodurch die Anforderung zur erneuten Eingabe Ihres Benutzernamens und Ihres Kennworts vermieden wird. Stattdessen nutzt sie die Anmeldeinformationen, die Sie bereits zum Anmelden bei Ihrem lokalen Computer verwendet haben. Um Windows Defender Remote Credential Guard zu verwenden, muss der Remotedesktopclient und der Server die folgenden Anforderungen erfüllen:

  • Muss einer Active Directory-Domäne beigetreten sein und sich in derselben Domäne oder einer Domäne mit einer Vertrauensstellung befinden.

  • Muss die Kerberos-Authentifizierung verwenden.

  • Muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden.

  • Die klassische Windows-App für Remotedesktop ist erforderlich. Die Remotedesktop-Universelle Windows-Plattform-App unterstützt Windows Defender Remote Credential Guard nicht.

Sie können Windows Defender Remote Credential Guard mithilfe einer Registrierungseinstellung auf dem Remotedesktopserver und Gruppenrichtlinie oder einem Remotedesktopverbindungsparameter auf dem Remotedesktopclient aktivieren. Weitere Informationen zum Aktivieren Windows Defender Remote Credential Guard finden Sie unter Schützen von Remotedesktopanmeldeinformationen mit Windows Defender Remote Credential Guard. Wie bei Windows Defender Credential Guard können Sie Windows Defender Remote Credential Guard verwenden, um privilegierte Identitäten auf Windows Server 2016 zu schützen.

Sichern des Betriebssystems zum Ausführen Ihrer Apps und Infrastruktur

Das Verhindern von Cyberbedrohungen erfordert auch das Suchen und Blockieren von Schadsoftware und Angriffen, die die Kontrolle erlangen möchten, indem die standardbetriebsweisen Ihrer Infrastruktur subvertiert werden. Wenn Angreifer ein Betriebssystem oder eine Anwendung abrufen können, die nicht vorbestimmt, nicht funktionsfähig ist, verwenden sie dieses System wahrscheinlich, um schädliche Aktionen auszuführen. Windows Server 2016 bietet Schutzebenen, die externe Angreifer blockieren, die böswillige Software ausführen oder Sicherheitsrisiken ausnutzen. Das Betriebssystem übernimmt eine aktive Rolle beim Schutz von Infrastruktur und Anwendungen, indem Administratoren über Aktivitäten benachrichtigt werden, die darauf hinweisen, dass ein System verletzt wurde.

Windows Defender Device Guard

Windows Server 2016 enthält Windows Defender Device Guard, um sicherzustellen, dass nur vertrauenswürdige Software auf dem Server ausgeführt werden kann. Mithilfe der virtualisierungsbasierten Sicherheit kann sie einschränken, welche Binärdateien auf dem System basierend auf der Richtlinie der Organisation ausgeführt werden können. Wenn alles andere als die angegebenen Binärdateien ausgeführt werden sollen, blockiert Windows Server 2016 sie und protokolliert den fehlgeschlagenen Versuch, damit Administratoren sehen können, dass eine potenzielle Verletzung aufgetreten ist. Die Benachrichtigung über Sicherheitsverletzungen ist ein wichtiger Bestandteil der Anforderungen für die DSGVO-Compliance.

Windows Defender Device Guard ist auch in PowerShell integriert, sodass Sie autorisieren können, welche Skripts auf Ihrem System ausgeführt werden können. In früheren Versionen von Windows Server können Administratoren die Codeintegritätserzwingung umgehen, indem Sie die Richtlinie einfach aus der Codedatei löschen. Mit Windows Server 2016 können Sie eine Richtlinie konfigurieren, die von Ihrer Organisation signiert ist, damit nur eine Person mit Zugriff auf das Zertifikat, das die Richtlinie signiert hat, die Richtlinie ändern kann.

Ablaufsteuerungsschutz

Windows Server 2016 enthält auch integrierten Schutz vor einigen Klassen von Speicherbeschädigungsangriffen. Das Patchen Ihrer Server ist wichtig, aber es besteht immer die Möglichkeit, dass Schadsoftware für eine Sicherheitsanfälligkeit entwickelt werden könnte, die noch nicht identifiziert wurde. Einige der am häufigsten verwendeten Methoden zum Ausnutzen dieser Sicherheitsanfälligkeiten sind die Bereitstellung ungewöhnlicher oder extremer Daten für ein ausgeführtes Programm. Ein Angreifer kann z. B. eine Pufferüberlauflücke ausnutzen, indem er mehr Eingaben für ein Programm bereitstellt als erwartet und den vom Programm reservierten Bereich überläuft, um eine Antwort zu halten. Dadurch kann der angrenzende Speicher beschädigt werden, der einen Funktionszeiger enthält.

Wenn das Programm diese Funktion aufruft, kann es dann zu einem unbeabsichtigten Speicherort springen, der vom Angreifer angegeben wird. Diese Angriffe werden auch als Sprungorientierte Programmierungsangriffe (JOP) bezeichnet. Die Steuerung Flow Guard verhindert JOP-Angriffe, indem enge Einschränkungen für die Ausführung des Anwendungscodes platziert werden können – insbesondere indirekte Aufrufanweisungen. Es fügt einfache Sicherheitsüberprüfungen hinzu, um den Satz von Funktionen in der Anwendung zu identifizieren, die gültige Ziele für indirekte Aufrufe sind. Wenn eine Anwendung ausgeführt wird, überprüft sie, ob diese indirekten Aufrufziele gültig sind.

Wenn die Steuerelement-Flow Guard-Überprüfung zur Laufzeit fehlschlägt, wird das Programm sofort beendet Windows Server 2016, wenn ein Exploit unterbrochen wird, der versucht, indirekt eine ungültige Adresse aufzurufen. Control Flow Guard bietet eine wichtige zusätzliche Schutzebene für Device Guard. Wenn eine zugelassene Anwendung kompromittiert wurde, kann sie von Device Guard deaktiviert werden, da die Device Guard-Überprüfung sehen würde, dass die Anwendung signiert wurde und als vertrauenswürdig betrachtet wird.

Da Control Flow Guard jedoch erkennen kann, ob die Anwendung in einer nicht vordefinierten, nicht funktionsfähigen Reihenfolge ausgeführt wird, schlägt der Angriff fehl, hindert die kompromittierte Anwendung daran, ausgeführt zu werden. Zusammen machen diese Schutzmaßnahmen es sehr schwierig, dass Angreifer Schadsoftware in Software einfügen, die auf Windows Server 2016 ausgeführt wird.

Entwickler, die Anwendungen erstellen, in denen personenbezogene Daten verarbeitet werden, werden empfohlen, control Flow Guard (CFG) in ihren Anwendungen zu aktivieren. Dieses Feature ist in Microsoft Visual Studio 2015 verfügbar und wird in "CFG-Aware"-Versionen von Windows ausgeführt– die x86- und x64-Versionen für Desktop und Server von Windows 10 und Windows 8.1 Update (KB3000850). Sie müssen CFG nicht für jeden Teil Ihres Codes aktivieren, da eine Mischung aus aktiviertem CFG- und nicht CFG-aktiviertem Code einwandfrei ausgeführt wird. Fehler beim Aktivieren von CFG für alle Code kann jedoch Lücken im Schutz öffnen. Darüber hinaus funktioniert CFG-aktivierter Code gut für "CFG-Unaware"-Versionen von Windows und ist daher vollständig mit ihnen kompatibel.

Windows Defender Antivirus

Windows Server 2016 umfasst die branchenführenden, aktiven Erkennungsfunktionen von Windows Defender, um bekannte Schadsoftware zu blockieren. Windows Defender Antivirus (AV) arbeitet zusammen mit Windows Defender Device Guard und Control Flow Guard zusammen, um zu verhindern, dass böswilliger Code auf Ihren Servern installiert wird. Sie ist standardmäßig aktiviert – der Administrator muss keine Aktion ausführen, damit er mit der Arbeit beginnt. Windows Defender AV ist auch optimiert, um die verschiedenen Serverrollen in Windows Server 2016 zu unterstützen. In der Vergangenheit verwendeten Angreifer Shells wie PowerShell, um bösartigen Binärcode zu starten. In Windows Server 2016 ist PowerShell jetzt in Windows Defender AV integriert, um nach Schadsoftware zu suchen, bevor der Code gestartet wird.

Windows Defender AV ist eine integrierte Antischadsoftwarelösung, die Sicherheits- und Antischadsoftwareverwaltung für Desktops, tragbare Computer und Server bereitstellt. Windows Defender AV wurde seit der Einführung in Windows 8 erheblich verbessert. Windows Defender Antivirus in Windows Server verwendet einen mehrstufigen Ansatz zur Verbesserung von Antischadsoftware:

  • Der von der Cloud bereitgestellte Schutz hilft, neue Schadsoftware innerhalb von Sekunden zu erkennen und zu blockieren, auch wenn die Schadsoftware noch nie gesehen wurde.

  • Ein umfangreicher lokaler Kontext verbessert, wie Schadsoftware identifiziert wird. Windows Server informiert Windows Defender AV nicht nur über Inhalte wie Dateien und Prozesse, sondern auch darüber, wo der Inhalt stammt, wo er gespeichert wurde und vieles mehr.

  • Umfangreiche globale Sensoren helfen, Windows Defender AV aktuell zu halten und sich sogar auf die neueste Schadsoftware aufmerksam zu halten. Dies erfolgt auf zwei Arten: durch Sammeln der Daten des umfassenden lokalen Kontexts von Endpunkten und das zentrale Analysieren dieser Daten.

  • Manipulationsprüfung hilft, Windows Defender AV selbst vor Schadsoftwareangriffen zu schützen. Beispielsweise verwendet Windows Defender AV geschützte Prozesse, wodurch verhindert wird, dass nicht vertrauenswürdige Prozesse versuchen, Windows Defender AV-Komponenten, seine Registrierungsschlüssel usw. zu manipulieren.

  • Enterprise-Level-Features bieten IT-Experten die Tools und Konfigurationsoptionen, die erforderlich sind, um Windows Defender AV an eine Antischadsoftwarelösung der Unternehmensklasse zu machen.

Verbesserte Sicherheitsüberwachung

Windows Server 2016 warnt Administratoren aktiv vor potenziellen Sicherheitsversuchen mit verbesserter Sicherheitsüberwachung, die detailliertere Informationen bereitstellt, die für schnellere Angriffserkennung und forensische Analyse verwendet werden können. Es protokolliert Ereignisse von Control Flow Guard, Windows Defender Device Guard und anderen Sicherheitsfeatures an einem Ort, wodurch Administratoren leichter ermitteln können, welche Systeme gefährdet sind.

Zu den neuen Ereigniskategorien gehören:

  • Gruppenmitgliedschaft überwachen. Ermöglicht es Ihnen, die Gruppenmitgliedschaftsinformationen im Anmeldetoken eines Benutzers zu überwachen. Ereignisse werden generiert, wenn Gruppenmitgliedschaften auf dem PC aufgezählt oder abgefragt werden, auf dem die Anmeldesitzung erstellt wurde.

  • PnP-Aktivität überwachen. Ermöglicht es Ihnen, zu überwachen, wann Plug and Play ein externes Gerät erkennt – was Schadsoftware enthalten könnte. PnP-Ereignisse können verwendet werden, um Änderungen der Systemhardware nachzuverfolgen. Eine Liste der Hardwareanbieter-IDs ist im Ereignis enthalten.

Windows Server 2016 integriert einfach in Sicherheitsvorfälle-Ereignisverwaltungssysteme (SIEM), z. B. Microsoft Operations Management Suite (OMS), die die Informationen in Intelligence-Berichte zu potenziellen Verstößen integrieren können. Die Tiefe der von der erweiterten Überwachung bereitgestellten Informationen ermöglicht es Sicherheitsteams, potenzielle Verstöße schneller und effektiver zu identifizieren und darauf zu reagieren.

Sichere Virtualisierung

Unternehmen virtualisieren heute alles, was sie können, von SQL Server bis SharePoint zu Active Directory-Domäne Controllern. Virtuelle Computer (VMs) erleichtern einfach die Bereitstellung, Verwaltung, Dienst und Automatisieren Ihrer Infrastruktur. Aber wenn es um Sicherheit geht, haben kompromittierte Virtualisierungs fabrics zu einem neuen Angriffsvektor geworden, der schwer zu verteidigen ist – bis jetzt. Aus DSGVO-Sicht sollten Sie über den Schutz von virtuellen Computern nachdenken, da Sie physische Server schützen würden, einschließlich der Verwendung von VM-TPM-Technologie.

Windows Server 2016 ändert sich grundlegend, wie Unternehmen die Virtualisierung sichern können, indem Sie mehrere Technologien einschließen, mit denen Sie virtuelle Computer erstellen können, die nur in Ihrem eigenen Fabric ausgeführt werden. Dabei hilft es, vor dem Speicher, Netzwerk und hosten von Geräten zu schützen, auf denen sie ausgeführt werden.

Abgeschirmte virtuelle Computer

Die gleichen Dinge, die virtuelle Computer so einfach migrieren, sichern und replizieren, machen sie auch einfacher zu ändern und zu kopieren. Ein virtueller Computer ist nur eine Datei, sodass er nicht im Netzwerk, im Speicher, in Sicherungen oder an anderer Stelle geschützt ist. Ein weiteres Problem besteht darin, dass Fabric-Administratoren – unabhängig davon, ob sie ein Speicheradministrator oder ein Netzwerkadministrator sind – Zugriff auf alle virtuellen Computer haben.

Ein kompromittierter Administrator auf der Fabric kann leicht zu kompromittierten Daten auf virtuellen Computern führen. Alle Angreifer müssen die kompromittierten Anmeldeinformationen verwenden, um alle vm-Dateien, die sie mögen, auf ein USB-Laufwerk zu kopieren und es aus der Organisation zu führen, wo auf diese VM-Dateien von jedem anderen System zugegriffen werden kann. Wenn es sich bei einem dieser gestohlenen VMs um einen Active Directory-Domänencontroller handelte, könnte der Angreifer den Inhalt ganz einfach anzeigen und schnell verfügbare Brute-Force-Techniken verwenden, um die Kennwörter in der Active Directory-Datenbank zu knacken, was ihnen letztendlich Zugriff auf alles andere in Ihrer Infrastruktur gibt.

Windows Server 2016 führt abgeschirmte Virtual Machines (abgeschirmte VMs) ein, um vor Szenarien wie der soeben beschriebenen Zu schützen. Abgeschirmte VMs umfassen ein virtuelles TPM-Gerät, mit dem Organisationen BitLocker-Verschlüsselung auf virtuelle Computer anwenden und sicherstellen, dass sie nur auf vertrauenswürdigen Hosts ausgeführt werden, um vor kompromittierten Speicher-, Netzwerk- und Hostadministratoren zu schützen. Abgeschirmte VMs werden mithilfe von Generation 2-VMs erstellt, die Unified Extensible Firmware Interface (UEFI) unterstützen und über virtuelles TPM verfügen.

Host-Wächterdienst

Neben abgeschirmten VMs ist der Host Guardian Service eine wesentliche Komponente zum Erstellen eines sicheren Virtualisierungs-Fabrics. Der Auftrag besteht darin, die Integrität eines Hyper-V-Hosts zu bestätigen, bevor es einem abgeschirmten virtuellen Computer ermöglicht, zu starten oder zu diesem Host zu migrieren. Es enthält die Schlüssel für abgeschirmte VMs und wird sie erst freigeben, wenn die Sicherheitsintegrität sichergestellt ist. Es gibt zwei Möglichkeiten, wie Sie Hyper-V-Hosts benötigen, um den Host Guardian Service zu bestätigen.

Das erste und sicherste ist hardwarevertrauenswürdige Nachweise. Diese Lösung erfordert, dass Ihre abgeschirmten VMs auf Hosts ausgeführt werden, die TPM 2.0-Chips und UEFI 2.3.1 haben. Diese Hardware ist erforderlich, um die gemessenen Start- und Betriebssystem-Kernelintegritätsinformationen bereitzustellen, die vom Host Guardian Service benötigt werden, um sicherzustellen, dass der Hyper-V-Host nicht manipuliert wurde.

IT-Organisationen haben die Alternative zur Verwendung der Administratorvertrauenswürdigen Bescheinigung, die möglicherweise wünschenswert sein kann, wenn TPM 2.0-Hardware nicht in Ihrer Organisation verwendet wird. Dieses Nachweismodell ist einfach bereitzustellen, da Hosts einfach in eine Sicherheitsgruppe platziert werden und der Host Guardian Service so konfiguriert ist, dass abgeschirmte VMs auf Hosts ausgeführt werden können, die Mitglieder der Sicherheitsgruppe sind. Mit dieser Methode gibt es keine komplexe Messung, um sicherzustellen, dass der Hostcomputer nicht manipuliert wurde. Sie entfernen jedoch die Möglichkeit, nicht verschlüsselte VMs auf USB-Laufwerken zu gehen oder dass die VM auf einem nicht autorisierten Host ausgeführt wird. Dies liegt daran, dass die VM-Dateien nicht auf einem anderen Computer als denen in der angegebenen Gruppe ausgeführt werden. Wenn Sie noch nicht über TPM 2.0-Hardware verfügen, können Sie mit dem Administratorvertrauenswürdigen Nachweis beginnen und zu hardwarevertrauenswürdiger Bestätigung wechseln, wenn Ihre Hardware aktualisiert wird.

Virtual Machine Trusted Platform Module

Windows Server 2016 unterstützt TPM für virtuelle Computer, wodurch Sie erweiterte Sicherheitstechnologien wie BitLocker® Drive Encryption in virtuellen Computern unterstützen können. Sie können TPM-Unterstützung auf jedem virtuellen Computer der Generation 2 hyper-V aktivieren, indem Sie Hyper-V-Manager oder das Cmdlet Enable-VMTPM Windows PowerShell verwenden.

Sie können virtuelle TPM (vTPM) schützen, indem Sie die lokalen Kryptoschlüssel verwenden, die auf dem Host gespeichert sind oder im Host Guardian Service gespeichert sind. Während der Host Guardian Service also mehr Infrastruktur erfordert, bietet es auch mehr Schutz.

Verteilte Netzwerk-Firewall mithilfe von softwaredefiniertem Netzwerk

Eine Möglichkeit, den Schutz in virtualisierten Umgebungen zu verbessern, besteht darin, das Netzwerk so zu segmentieren, dass VMs nur mit den spezifischen Systemen sprechen können, die für die Funktion erforderlich sind. Wenn Ihre Anwendung z. B. keine Verbindung mit dem Internet herstellen muss, können Sie sie partitionieren und diese Systeme als Ziele von externen Angreifern entfernen. Das softwaredefinierte Netzwerk (SDN) in Windows Server 2016 umfasst eine verteilte Netzwerk firewall, mit der Sie die Sicherheitsrichtlinien dynamisch erstellen können, die Ihre Anwendungen vor Angriffen innerhalb oder außerhalb eines Netzwerks schützen können. Diese verteilte Netzwerk-Firewall fügt Ihrer Sicherheit Ebenen hinzu, indem Sie Ihre Anwendungen im Netzwerk isolieren können. Richtlinien können überall in Ihrer virtuellen Netzwerkinfrastruktur angewendet werden, vm-zu-VM-Datenverkehr, VM-zu-Host-Datenverkehr oder VM-to-Internet-Datenverkehr, falls erforderlich – entweder für einzelne Systeme, die möglicherweise kompromittiert oder programmgesteuert in mehreren Subnetzen ausgeführt wurden. Windows Server 2016 softwaredefinierte Netzwerkfunktionen ermöglichen Es Ihnen auch, eingehenden Datenverkehr an nicht microsoft virtuelle Geräte zu weiterleiten oder zu spiegeln. Sie können beispielsweise auswählen, dass Sie ihren gesamten E-Mail-Datenverkehr über eine virtuelle Barracuda-Appliance senden können, um zusätzlichen Spamfilterschutz zu erhalten. Dadurch können Sie sowohl lokal als auch in der Cloud problemlos zusätzliche Sicherheit auflisten.

Weitere DSGVO-Überlegungen für Server

Die DSGVO enthält explizite Anforderungen an die Verletzungsbenachrichtigung, bei der eine Verletzung personenbezogener Daten bedeutet, "eine Sicherheitsverletzung, die zu der versehentlichen oder rechtswidrigen Zerstörung führt, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden." Offensichtlich können Sie nicht beginnen, die strengen DSGVO-Benachrichtigungsanforderungen innerhalb von 72 Stunden zu erfüllen, wenn Sie die Verletzung nicht an erster Stelle erkennen können.

Wie im Windows-Sicherheit Center-Whitepaper erwähnt, Post Breach: Umgang mit erweiterten Bedrohungen

"Im Gegensatz zur Vorverletzung wird davon ausgegangen, dass eine Verletzung bereits aufgetreten ist – als FlightRecorder und Crime Scene Investigator (CSI). Nach der Verletzung stellt Sicherheitsteams die Informationen und Toolset bereit, die benötigt werden, um Angriffe zu identifizieren, zu untersuchen und zu reagieren, die andernfalls nicht erkannt und unterhalb des Radars bleiben."

In diesem Abschnitt sehen wir uns an, wie Windows Server Ihnen helfen kann, Ihre DSGVO-Verletzungsbenachrichtigungsverpflichtungen zu erfüllen. Dies beginnt mit dem Verständnis der zugrunde liegenden Bedrohungsdaten, die für Microsoft verfügbar sind, die für Ihren Vorteil gesammelt und analysiert werden, und wie Windows Defender Advanced Threat Protection (ATP) diese Daten für Sie kritisch sein können.

Einblicke in die Sicherheitsdiagnosedaten

Fast zwei Jahrzehnte hat Microsoft Bedrohungen in nützliche Intelligenz umgewandelt, die ihnen dabei helfen kann, ihre Plattform zu stärken und Kunden zu schützen. Heute finden wir mit den immensen Computing-Vorteilen, die von der Cloud bereitgestellt werden, neue Möglichkeiten, unsere rich Analytics-Engines zu verwenden, die durch Bedrohungsintelligenz gesteuert werden, um unsere Kunden zu schützen.

Indem wir eine Kombination aus automatisierten und manuellen Prozessen, maschinellem Lernen und menschlichen Experten anwenden, können wir eine intelligente Sicherheit Graph erstellen, die von sich selbst lernen und sich in Echtzeit entwickelt, indem wir unsere kollektive Zeit reduzieren, um neue Vorfälle in unseren Produkten zu erkennen und zu reagieren.

Microsoft Intelligence Security Graph

Der Umfang der Bedrohungsintelligenz von Microsoft erstreckt sich buchstäblich, Milliarden von Datenpunkten: 35 Milliarden Nachrichten, die monatlich gescannt wurden, 1 Milliarden Kunden in Unternehmens- und Verbrauchersegmenten, die täglich auf 200+ Clouddienste zugreifen, und 14 Milliarden Authentifizierungen, die täglich ausgeführt wurden. Alle diese Daten werden in Ihrem Auftrag von Microsoft zusammengezogen, um die intelligente Sicherheit Graph zu erstellen, die Ihnen dabei helfen können, Ihre Tür auf dynamische Weise zu schützen, sicher zu bleiben, produktiv zu bleiben und die Anforderungen der DSGVO zu erfüllen.

Erkennen von Angriffen und forensischen Untersuchungen

Selbst die besten Endpunktschutze können schließlich verletzt werden, da Cyberangriffe komplexer und gezielter werden. Mit zwei Funktionen kann die Erkennung potenzieller Verstöße unterstützt werden – Windows Defender Advanced Threat Protection (ATP) und Microsoft Advanced Threat Analytics (ATA).

Windows Defender Advanced Threat Protection (ATP) hilft Ihnen, erweiterte Angriffe und Datenverletzungen in Ihren Netzwerken zu erkennen, zu untersuchen und zu reagieren. Die Arten von Datenschutzverletzungen erwartet Sie, dass Sie durch technische Sicherheitsmaßnahmen schützen, um die fortlaufende Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten und Verarbeitungssysteme sicherzustellen.

Unter den wichtigsten Vorteilen von Windows Defender ATP sind die folgenden:

  • Erkennen der unerkennbaren Daten. Sensoren, die tief in den Betriebssystemkern integriert sind, Windows Sicherheitsexperten und einzigartige Optiken von über 1 Milliarden Maschinen und Signalen über alle Microsoft-Dienste hinweg.

  • Integriert, nicht angeschraubt. Agentless, mit hoher Leistung und minimalem Einfluss, cloudbasierten; einfache Verwaltung ohne Bereitstellung.

  • Einzelner Glasbereich für Windows Sicherheit. Erkunden Sie 6 Monate mit umfangreichen, maschinellen Zeitachsen, vereinheitlichen Sicherheitsereignissen aus Windows Defender ATP, Windows Defender Antivirus und Windows Defender Device Guard.

  • Power of the Microsoft graph. Nutzt die Microsoft Intelligence Security Graph, um Erkennung und Erkundung mit Office 365 ATP-Abonnement zu integrieren, um Angriffe zurückzuverfolgen und zu reagieren.

Weitere Informationen finden Sie in der Vorschau Windows Defender ATP Creators Update.

ATA ist ein lokales Produkt, das identitätskompromittiert in einer Organisation erkennt. ATA kann Netzwerkdatenverkehr für Authentifizierung, Autorisierung und Informationssammlungsprotokolle (z. B. Kerberos, DNS, RPC, NTLM und andere Protokolle) erfassen und analysieren. ATA verwendet diese Daten, um ein Verhaltensprofil über Benutzer und andere Entitäten in einem Netzwerk zu erstellen, damit sie Anomalien und bekannte Angriffsmuster erkennen kann. In der folgenden Tabelle sind die von ATA erkannten Angriffstypen aufgeführt.

Angriffstyp BESCHREIBUNG
Böswillige Angriffe Diese Angriffe werden erkannt, indem Sie nach Angriffen aus einer bekannten Liste von Angriffstypen suchen, einschließlich:
  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Böswillige Replikationen
  • Reconnaissance
  • Brute-Force
  • Remoteausführung
Eine vollständige Liste böswilliger Angriffe, die erkannt werden können und deren Beschreibung, finden Sie unter Was verdächtige Aktivitäten ATA erkennen können?.
Ungewöhnliches Verhalten Diese Angriffe werden mithilfe von Verhaltensanalyse erkannt und maschinelles Lernen verwendet, um fragwürdige Aktivitäten zu identifizieren, einschließlich:
  • Nicht normale Anmeldungen
  • Unbekannte Gefahren
  • Kennwortfreigabe
  • Seitwärtsbewegung
Sicherheitsprobleme und Risiken Diese Angriffe werden erkannt, indem Sie sich die aktuelle Netzwerk- und Systemkonfiguration ansehen, einschließlich:
  • einer fehlerhaften Vertrauensstellung
  • schwacher Protokolle
  • bekannter Protokollschwachstellen.

Sie können ATA verwenden, um Angreifer zu erkennen, die versuchen, privilegierte Identitäten zu kompromittieren. Weitere Informationen zum Bereitstellen von ATA finden Sie in den Themen "Plan", "Entwurf" und "Bereitstellen" in der Advanced Threat Analytics-Dokumentation.

Haftungsausschluss

Dieser Artikel ist ein Kommentar zur DSGVO, da Microsoft es als Datum der Publikation interpretiert. Wir haben viel Zeit mit DER DSGVO verbracht und denken, dass wir über ihre Absicht und Bedeutung nachdenken. Die Anwendung der DSGVO ist jedoch sehr faktenspezifisch, und nicht alle Aspekte und Interpretationen der DSGVO sind gut festgelegt.

Daher wird dieser Artikel nur für Informationszwecke bereitgestellt und sollte nicht als Rechtsberatung verwendet werden oder bestimmen, wie die DSGVO für Sie und Ihre Organisation gelten kann. Wir empfehlen Ihnen, mit einem rechtsqualifizierten Fachmann zu arbeiten, um die DSGVO zu diskutieren, wie sie speziell auf Ihre Organisation angewendet wird und wie Sie die Compliance am besten gewährleisten können.

MICROSOFT STELLT KEINE GARANTIEN, EXPRESS, IMPLIZIT ODER GESETZLICH ZUR INFORMATION IN DIESEM ARTIKEL BEREIT. Dieser Artikel wird "as-is" bereitgestellt. Informationen und Ansichten, die in diesem Artikel ausgedrückt wurden, einschließlich URL und anderen Internetwebsiteverweisen, können ohne Ankündigung geändert werden.

Dieser Artikel stellt Ihnen keine rechtsrechtlichen Rechte für geistiges Eigentum in jedem Microsoft-Produkt zur Verfügung. Sie können diesen Artikel nur für Interne, Referenzzwecke kopieren und verwenden.

Veröffentlicht vom September 2017
Version 1.0
© 2017 Microsoft. Alle Rechte vorbehalten.