Minimieren von Risiken mithilfe der Sicherheitsfeatures von Windows10

Betrifft:

  • Windows10

Dieses Thema enthält eine Übersicht über einige Software- und Firmware-Bedrohungen, die sich gegen die aktuellen Sicherheitslandschaft richten, sowie Gegenmaßnahmen, die Windows 10 als Reaktion auf diese Bedrohungen bietet. Informationen über die zugehörigen, von Microsoft angebotenen Schutztypen finden Sie unter Verwandte Themen.

Abschnitt Inhalt
Sicherheitsbedrohungen Beschreibt die aktuelle Bedrohungsart der Sicherheitsbedrohung und erläutert, wie Windows10 entwickelt wurde, um Softwarelücken und ähnliche Bedrohungen zu verringern.
Konfigurierbare Gegenmaßnahmen unter Windows10 Enthält Tabellen von konfigurierbaren Gegenmaßnahmen gegen Bedrohungen mit Links zu weiteren Informationen. Produktfeatures, wie z.B. Device Guard werden in Tabelle 1, und Speicherschutzoptionen, wie z.B. die Datenausführungsverhinderung werden in Tabelle 2 aufgelistet.
In Windows 10 integrierte Gegenmaßnahmen Enthält Beschreibungen von Gegenmaßnahmen unter Windows10, die keiner Konfiguration bedürfen, da sie in das Betriebssystem integriert sind. Heap- und Kernel-Pool-Schutzmechanismen sind beispielsweise in Windows10 integriert.
Grundlegendes zu Windows10 in Bezug auf das Enhanced Mitigation Experience Toolkit. Beschreibt, wie Gegenmaßnahmen im Enhanced Mitigation Experience Toolkit (EMET) in Windows 10 integrierten Features entsprechen, und wie EMET-Einstellungen zu Richtlinien der Risikominderung für Windows10 konvertiert werden.

In diesem Thema geht es vor allem um die präventiven Gegenmaßnahmen mit dem Ziel des Geräteschutzes und Gefahrenschutzes. Dieser Schutz wirkt zusammen mit anderen Sicherheitsmaßnahmen von Windows10, wie in der folgenden Abbildungdargestellt:

Types of defenses in Windows 10

Abbildung1.  Geräte- und Gefahrenschutz als Teil der Sicherheitsmaßnahmen von Windows10

Sicherheitsbedrohungen

Sicherheitsbedrohungen sind heute extrem aggressiv und hartnäckig. In früheren Jahren konzentrierten sich böswillige Angreifer hauptsächlich auf die Anerkennung in der Community für ihre Angriffe oder die Begeisterung, ein System vorübergehend offline geschaltet zu haben. Seitdem haben sich die Motive der Angreifer in Richtung Geldgier geändert, und sie behalten die Gewalt über Geräte und Daten, bis die Besitzer das geforderte Lösegeld bezahlen. Aktuelle Angriffe konzentrieren sich zunehmend auf den Diebstahl geistigen Eigentums im großen Umfang, die zielgerichtete Systemzersetzung, die zu finanziellen Verlusten führen kann, und jetzt sogar Cyber-Terrorismus, durch den die Sicherheit von Personen und Unternehmen sowie nationale Interessen auf der ganzen Welt bedroht sind. Diese Angreifer sind üblicherweise hochqualifizierte Einzelpersonen und Sicherheitsexperten, von denen einige in Nationalstaaten beschäftigt sind, die über große Budgets und scheinbar unbegrenzte menschliche Ressourcen verfügen. Bedrohungen wie diese erfordern einen Ansatz, der dieser Herausforderung gerecht wird.

Angesichts dieser Umgebung enthält Windows 10 Creator's Update (Windows10, Version 1703) mehrere Sicherheitsfeatures, die erstellt wurden, um das Finden und Nutzen zahlreicher Softwaresicherheitslücken so schwierig (und teuer) wie möglich zu gestalten. Diese Features erfüllen folgende Aufgaben:

  • Entfernen ganzer Klassen von Sicherheitsrisiken

  • Unterbrechen von Exploit-Techniken

  • Eingrenzen des Schadens und Verhindern der Dauerhaftigkeit

  • Begrenzen der Exploit-Möglichkeiten

Die folgenden Abschnitte enthalten weitere Details zur Minderung des Sicherheitsrisikos unter Windows10, Version 1703.

Konfigurierbare Gegenmaßnahmen unter Windows10

Konfigurierbare Gegenmaßnahmen unter Windows10 werden in den folgenden zwei Tabellen aufgeführt. Die erste Tabelle umfasst eine Vielzahl von Schutzmaßnahmen für Geräte und Benutzer über das Unternehmen und die zweite Tabelle führt einen Drilldown in bestimmten Speicherschutz, z.B. Data Execution Prevention. Speicherschutzoptionen bieten spezifische Gegenmaßnahmen gegen Schadsoftware, die versucht, den Speicher zu manipulieren, um die Kontrolle über ein System zu erhalten.

Tabelle 1Windows 10 Schadensbegrenzende Maßnahmen, die Sie konfigurieren können

Risikominderung und entsprechende Bedrohung Beschreibung und Links
Windows Defender SmartScreen
verhindert, dass
Schädliche Anwendungen
heruntergeladen werden.
Windows Defender SmartScreen kann die Bewertung einer heruntergeladenen Anwendung durch die Verwendung eines von Microsoft verwalteten Dienstes überprüfen. Wenn ein Benutzer erstmals eine aus dem Internet heruntergeladene App ausführt (selbst wenn der Benutzer sie von einem anderen PC kopiert hat), prüft SmartScreen, ob die App über eine Bewertung verfügt oder bekanntermaßen schädlich ist, und reagiert entsprechend.

Weitere Informationen finden Sie in: Windows Defender SmartScreen und weiter unten in diesem Thema.
Credential Guard
dient dazu, Angreifer daran zu hindern
Zugriff über
Pass-the-Hash- oder
Pass-the-Ticket-Angriffe zu erhalten.
Credential Guard nutzt virtualisierungsbasierte Sicherheit, um geheime Schlüssel (beispielsweise NTLM-Kennworthashes und Kerberos-TGT) zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann.
Credential Guard ist in Windows10 Enterprise und Windows Server2016 enthalten.

Weitere Informationen finden Sie unter: Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.
Anheften von Enterprise-Zertifikaten
verhindert, dass
Man-in–the-middle-Angriffe,
die PKI nutzen.
Das Anheften von Enterprise-Zertifikaten ermöglicht den Schutz interner Domänennamen vor dem Anhängen an unerwünschte oder in betrügerischer Absicht ausgestellte Zertifikate. Mit dem Anheften von Enterprise-Zertifikaten können Sie ein X.509-Zertifikat und dessen öffentlichen Schlüssel für die Zertifizierungsstelle als Ursprung oder als Knoten „anhängen“ (zuordnen).

Weitere Informationen finden Sie unter: Anheften von Enterprise-Zertifikaten.
Device Guard
dient dazu, ein Gerät
am Ausführen von Schadsoftware oder
anderen nicht vertrauenswürdigen Apps zu hindern.
Device Guard enthält eine von Ihnen erstellte Codeintegritätsrichtlinie. Dabei handelt es sich um eine Positivliste vertrauenswürdiger Apps; nur diese Apps dürfen in Ihrem Unternehmen ausgeführt werden. Device Guard enthält auch eine leistungsstarke Systemgegenmaßnahme namens „Hypervisor-geschützte Codeintegrität“ (hypervisor-protected code integrity, HVCI), die virtualisierungsbasierte Sicherheit (VBS) für den Schutz des Integritätsprüfungsprozesses des Kernelmoduscodes von Windows verwendet. Für HVCI gelten bestimmte Hardwareanforderungen, und es verwendet Codeintegritätsrichtlinien, um Angriffe zu stoppen, selbst wenn bereits Zugriff auf den Kernel erlangt wurde.
Device Guard ist in Windows10 Enterprise und Windows Server2016 enthalten.

Weitere Informationen finden Sie unter: Einführung in Device Guard.
Windows Defender Antivirus
dient dazu, Geräte
frei von Viren und anderer
Schadsoftware zu halten.
Windows10 enthält Windows Defender Antivirus, eine stabile Antischadsoftware-Lösung. Windows Defender Antivirus wurde erheblich verbessert, seit es in Windows8 eingeführt wurde.

Weitere Informationen finden Sie in: Windows Defender Antivirus und weiter unten in diesem Thema.
Blockieren von nicht vertrauenswürdigen Schriftarten
dient dazu, die Verwendung
von Schriftarten in
Rechteerweiterungsangriffen zu verhindern.
Bei „Blockieren nicht vertrauenswürdiger Schriftarten“ handelt es sich um eine Einstellung, mit der Sie verhindern, dass Benutzer „nicht vertrauenswürdige“ Schriftarten in Ihr Netzwerk laden. Dies kann Angriffe durch Rechteerweiterungen verringern, die mit dem Analysieren von Schriftartendateien verknüpft sind. Ab Windows10, Version 1703, ist diese Risikominderung jedoch weniger wichtig, da die Schriftartanalyse in einer AppContainer-Sandbox isoliert ist, (eine Beschreibung dazu sowie zu anderen Kernel-Pool-Schutzmechanismen finden Sie in einer Liste unter Kernel-Pool-Schutzmechanismen weiter unten in diesem Thema).

Weitere Informationen finden Sie unter: Blockieren von nicht vertrauenswürdigen Schriftarten in einem Unternehmen.
Speicherschutzmechanismen
verhindern, dass Schadsoftware
zur Manipulation von Arbeitsspeicher,
wie z.B. Pufferüberläufen
verwendet wird.
Die in Tabelle 2 aufgeführten Gegenmaßnahmen schützen gegen Arbeitsspeicher-Angriffe, bei denen Schadsoftware oder anderer Code den Arbeitsspeicher manipuliert, um die Kontrolle über das System zu erlangen (z.B. Schadsoftware, die mit Pufferüberläufen versucht, schädlichen ausführbaren Code in den Speicher einzufügen). Hinweis:
Ein Teil der Apps kann nicht ausgeführt, wenn einige dieser Gegenmaßnahmen auf die restriktivsten Einstellungen festgelegt sind. Durch Testen können Sie den maximalen Schutz erreichen und dennoch die Ausführung dieser Apps ermöglichen.

Weitere Informationen finden Sie in: Tabelle 2 weiter unten in diesem Thema.
Sicherer UEFI-Start
trägt zum Schutz
der Plattform vor
Bootkits und Rootkits bei.
Der sichere Start mit Unified Extensible Firmware Interface (UEFI) ist ein Sicherheitsstandard für Firmware, der von Herstellern seit Windows8 in PCs integriert wird. Er schützt den Startvorgang und die Firmware gegen Manipulation, wie z.B. vor einem physikalisch anwesenden Angreifer oder vor Formen von Schadsoftware, die früh im Startvorgang oder nach dem Start im Kernel ausgeführt werden.

Weitere Informationen: UEFI und Sicherer Start.
Antischadsoftware-Frühstart (Early Launch Antimalware, ELAM)
trägt zum Schutz
der Plattform vor
als Treiber maskierte Rootkits bei.
Der Antischadsoftware-Frühstart (ELAM) wurde entwickelt, um die Antischadsoftware-Lösung vor allen nicht von Microsoft stammenden Treibern und Apps starten zu können. Wenn Schadsoftware einen startbezogenen Treiber ändert, erkennt ELAM die Änderung, und Windows verhindert das Starten des Treibers, sodass treiberbasierte Rootkits blockiert werden.

Weitere Informationen finden Sie unter: Antischadsoftware-Frühstart.
Integritätsnachweis für Geräte
verhindert, dass
potentiell gefährdete Geräte
auf die Unternehmensressourcen
zugreifen können.
Mit dem Integritätsnachweis für Geräte (DHA) lässt sich bestätigen, dass Geräte, die sich mit einem Unternehmensnetzwerk verbinden möchten, in fehlerfreiem Zustand und nicht mit gefährlicher Schadsoftware infiziert sind. Wenn DHA konfiguriert wurde, kann die Messung der tatsächlichen Startdaten eines Geräts mit den erwarteten fehlerfreien Startdaten verglichen werden. Wenn die Prüfung ergibt, dass ein Gerät fehlerhaft ist, kann das Gerät am Zugriff auf das Netzwerk gehindert werden.

Weitere Informationen finden Sie unter: Kontrollieren der Integrität Windows10-basierter Geräte und Nachweis über Geräteintegrität.

Konfigurierbare Gegenmaßnahmen unter Windows10, die zum Schutz gegen Arbeitsspeichermanipulation entwickelt wurden, erfordern umfangreiche Kenntnisse dieser Bedrohungen und Gegenmaßnahmen sowie Kenntnisse darüber, wie das Betriebssystem und Anwendungen mit dem Arbeitsspeicher umgehen. Standardmäßig wird zur Optimierung dieser Arten von Gegenmaßnahmen versucht herauszufinden, ob eine der von Ihnen verwendeten Anwendungen durch eine bestimmte Einstellung beeinträchtigt wird, damit Sie Einstellungen vornehmen können, durch die ein höchstmöglicher Schutz gewährleistet und gleichzeitig eine ordnungsgemäße Ausführung der Anwendungen weiterhin ermöglicht wird.

Als IT-Spezialist können Sie Anwendungsentwickler und Softwareanbieter bitten, Anwendungen mit zusätzlichem Schutz, genannt Ablaufsteuerungsschutz (Control Flow Guard, CFG), zu liefern. Für das Betriebssystem ist keine Konfiguration erforderlich. Der Schutz wird in Anwendungen kompiliert. Weitere Informationen finden Sie im Ablaufsteuerungsschutz.

Tabelle 2  enthält die konfigurierbaren Gegenmaßnahmen von Windows10 zum Schutz gegen Arbeitsspeicher-Exploits.

Risikominderung und entsprechende Bedrohung Beschreibung
Datenausführungsverhinderung (Data Execution Prevention, DEP)
verhindert, dass
Pufferüberläufe ausgenutzt werden.
Datenausführungsverhinderung (DEP) ist ein Feature zum Schutz des Arbeitsspeichers auf Systemebene, der in Windows-Betriebssystemen verfügbar ist. DEP ermöglicht dem Betriebssystem, eine oder mehrere Seiten des Arbeitsspeichers als nicht ausführbar zu kennzeichnen, wodurch verhindert wird, dass Code aus diesem Speicherbereich ausgeführt wird und Pufferüberläufe ausgenutzt werden.
DEP verhindert, dass Code von Datenseiten, wie z.B. dem Standard-Heap, Stapeln und anderen Arbeitsspeicher-Pools ausgeführt wird. Auch wenn einige Anwendungen Kompatibilitätsprobleme mit DEP vorweisen, der Großteil aller Anwendungen funktioniert.
Weitere Informationen finden Sie unter: Datenausführungsverhinderung weiter unten in diesem Thema.

Gruppenrichtlinieneinstellungen: DEP ist für 64-Bit-Apps standardmäßig eingeschaltet, aber Sie können zusätzliche DEP-Schutzmaßnahmen konfigurieren, indem Sie die in Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschriebenen Gruppenrichtlinien verwenden.
SEHOP
verhindert, dass
strukturierte Ausnahmehandler
überschrieben werden.
Der Überschreibschutz für strukturierte Ausnahmebehandlung (Structured Exception Handling Overwrite Protection, SEHOP) wurde entwickelt, um Exploits zu blockieren, die strukturierte Ausnahmehandler (Structured Exception Handler, SEH) überschreiben. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, schützt er Apps unabhängig davon, ob sie mit den aktuellen Verbesserungen kompiliert wurden. Einige Anwendungen haben Kompatibilitätsprobleme mit SEHOP, deshalb sollten Sie sie zuerst für Ihre Umgebung testen.
Weitere Informationen finden Sie unter: Überschreibschutz für strukturierte Ausnahmebehandlung weiter unten in diesem Thema.

Gruppenrichtlinieneinstellungen: SEHOP ist für 64-Bit-Apps standardmäßig eingeschaltet, aber Sie können zusätzliche SEHOP-Schutzmaßnahmen konfigurieren, indem Sie die in Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschriebenen Gruppenrichtlinien verwenden.
ASLR
verringert Schadsoftware-
Angriffe basierend auf
erwarteten Speicherbereichen.
Zufallsgestaltung des Adressraumlayouts (Address Space Layout Randomization, ASLR) lädt DLLs zur Startzeit in zufällige Speicherbereiche. Dadurch wird die Abwehr von Schadsoftware erhöht, die darauf ausgelegt ist bestimmte Speicherbereiche zu attackieren, in die bestimmte DLLs voraussichtlich geladen werden.
Weitere Informationen finden Sie unter: Zufallsgestaltung des Adressraumlayouts weiter unten in diesem Thema.

Gruppenrichtlinieneinstellungen: ASLR ist für 64-Bit-Apps standardmäßig eingeschaltet, aber Sie können zusätzliche ASLR-Schutzmaßnahmen konfigurieren, indem Sie die in Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschriebenen Gruppenrichtlinien verwenden.

Windows Defender SmartScreen

Windows Defender SmartScreen benachrichtigt Benutzer, wenn sie auf gemeldete Phishingwebsites und Websites mit Schadsoftware klicken, und hilft, sie vor unsicheren Downloads zu schützen und fundierte Entscheidungen hinsichtlich Downloads zu treffen.

Bei Windows10 hat Microsoft die SmartScreen-Schutzfunktion (jetzt Windows Defender-SmartScreen) verbessert, indem die APP-Reputations Funktionen in das Betriebssystem selbst integriert werden, wodurch SmartScreen die Reputation von heruntergeladenen Dateien überprüfen kann. aus dem Internet und warnen Benutzer, wenn Sie im Begriff sind, eine heruntergeladene Datei mit hoher Gefährdung auszuführen. Bei der ersten Ausführung einer aus dem Internet stammenden App überprüft SmartScreen die Bewertung der Anwendung mithilfe von digitalen Signaturen und anderen Faktoren anhand eines von Microsoft verwalteten Diensts. Wenn die App keine Bewertung hat oder bekanntermaßen schädlich ist, warnt SmartScreen den Benutzer oder blockiert die Ausführung vollständig, je nachdem, wie der Administrator Microsoft Intune oder die Gruppenrichtlinieneinstellungen konfiguriert hat.

Weitere Informationen finden Sie unter Übersicht über Windows Defender SmartScreen.

Windows Defender Antivirus

Windows Defender Antivirus Windows10 verwendet einen differenzierten Ansatz zur Verbesserung der Antischadsoftware:

  • Von der Cloud bereitgestellter Schutz erkennt und blockiert neue Schadsoftware innerhalb von Sekunden, auch wenn die Schadsoftware bisher noch nie vorgekommen ist. Der ab Windows10, Version 1703, verfügbare Dienst verwendet verteilte Ressourcen und Computer, die lernen, Schutz für die Endpunkte in einer Geschwindigkeit bereitzustellen, die viel schneller als herkömmliche Signaturaktualisierungen ist.

  • Umfassender lokaler Kontext verbessert die Identifizierung von Schadsoftware. Windows 10 informiert Windows Defender Antivirus nicht nur über Inhalte wie Dateien und Prozesse, sondern auch darüber, woher der Inhalt stammt, wo er gespeichert wurde und vieles mehr. Die Informationen zur Quelle und zum Verlauf ermöglichen Windows Defender Antivirus das Anwenden verschiedener Prüfungsstufen auf verschiedene Inhalte.

  • Umfangreiche globale Sensoren tragen dazu bei, Windows Defender Antivirus, auch im Hinblick auf die neueste Schadsoftware, auf dem aktuellen Stand zu halten. Dies erfolgt auf zwei Arten: durch Sammeln der Daten des umfassenden lokalen Kontexts von Endpunkten und das zentrale Analysieren dieser Daten.

  • Mit dem Nachweis von Manipulation schützt sich Windows Defender Antivirus selbst vor Angriffen durch Schadsoftware. Windows Defender Antivirus verwendet beispielsweise geschützte Prozesse, die nicht vertrauenswürdige Prozesse daran hindern, Windows Defender Antivirus-Komponenten, seine Registrierungsschlüssel usw. zu manipulieren. (Geschützte Prozesse wird später in diesem Thema beschrieben.)

  • Features auf Unternehmensebene stellt IT-Spezialisten Tools und Konfigurationsoptionen bereit, die Windows Defender Antivirus zu einer Antischadsoftware-Lösung auf Unternehmensebene werden lassen.

Weitere Informationen finden Sie unter Windows Defender in Windows10 und Übersicht über Windows Defender für Windows Server.

Informationen zum erweiterten Bedrohungsschutz von Microsoft Defender, einem Dienst, der Unternehmen hilft, erweiterte und gezielte Angriffe auf Ihre Netzwerke zu erkennen, zu untersuchen und darauf zu reagieren, finden Sie unter Microsoft Defender Advanced Threat Protection (ATP) ( Ressourcen) und Microsoft Defender Advanced Threat Protection (ATP) (Dokumentation).

Datenausführungsverhinderung

Der Erfolg von Schadsoftware hängt von ihrer Möglichkeit ab, eine schädliche Nutzlast in den Speicher einzufügen, in der Hoffnung, dass diese später ausgeführt wird. Wäre es nicht gut, wenn Sie die Ausführung von Schadsoftware verhindern könnten, wenn sie in einen Bereich schreibt, der ausschließlich für die Speicherung von Informationen zugewiesen wurde?

Die Datenausführungsverhinderung (DEP) bietet genau diese Funktion, indem der Bereich des Speichers reduziert wird, der von schädlichem Code ausgenutzt werden kann. DEP verwendet das No eXecute-Bit auf modernen CPUs, um Speicherblöcke als schreibgeschützt zu markieren, damit diese Blöcke nicht zur Ausführung von schädlichem Code genutzt werden können, der durch das Ausnutzen eines Sicherheitsrisikos eingefügt wurde.

Verwenden des Task-Managers zum Anzeigen von DEP verwendende Apps

  1. Öffnen Sie den Task-Manager: Drücken Sie STRG+ALT+ENTF und wählen Sie Task-Manager, oder suchen Sie die Startseite.

  2. Klicken Sie auf Weitere Details (falls erforderlich), und klicken Sie dann auf die Registerkarte Details .

  3. Klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift und dann auf Spalten auswählen.

  4. Aktivieren Sie im Dialogfeld Spalten auswählen das letzte Kontrollkästchen Datenausführungsverhinderung .

  5. Klicken Sie auf OK.

Jetzt können Sie sehen, für welche Prozesse DEP aktiviert ist.

Prozesse mit aktivierter Datenausführungsverhinderung in Windows10

Abbildung 2.  Prozesse, für die DEP in Windows10  aktiviert wurde

Sie können mithilfe der „Systemsteuerung“ DEP-Einstellungen anzeigen oder ändern.

Verwenden der Systemsteuerung zum Anzeigen oder Ändern von DEP-Einstellungen auf einem einzelnen PC

  1. Öffnen Sie „Systemsteuerung“, „System“: Klicken Sie auf "Start", geben Sie Systemsteuerung-Systemein, und drücken Sie die EINGABETASTE.

  2. Klicken Sie auf Erweiterte Systemeinstellungen, und klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie im Bereich Leistung auf Einstellungen.

  4. Klicken Sie in Leistungsoptionen auf die Registerkarte Datenausführungsverhinderung.

  5. Wählen Sie eine Option aus:

    • Datenausführungsverhinderung nur für erforderlich Windows-Programme und -Dienste einschalten

    • Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten. Wenn Sie diese Option auswählen, verwenden Sie die Schaltflächen Hinzufügen und Entfernen, um eine Liste mit Ausnahmen zu erstellen, für die DEP nicht aktiviert wird.

Verwenden von Gruppenrichtlinien zum Steuern von DEP-Einstellungen

Verwenden Sie die Gruppenrichtlinieneinstellungen namens Optionen für den Prozessausgleich, um die DEP-Einstellungen zu steuern. Einige Anwendungen haben Kompatibilitätsprobleme mit DEP, deshalb sollten Sie sie zuerst für Ihre Umgebung testen. Informationen zum Verwenden der Gruppenrichtlinieneinstellungen finden Sie unter Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien.

Überschreibschutz für strukturierte Ausnahmebehandlung

Der Überschreibschutz für strukturierte Ausnahmebehandlung (Structured Exception Handling Overwrite Protection, SEHOP) verhindert, dass Angreifer mithilfe von schädlichem Code die Strukturierten Ausnahmehandler ausnutzen können, die als wesentlicher Systembestandteil (nicht-schädlichen) Apps die korrekte Ausnahmebehandlung ermöglichen. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, schützt er Anwendungen unabhängig davon, ob sie mit den aktuellen Verbesserungen kompiliert wurden.

Verwenden Sie die Gruppenrichtlinieneinstellungen namens Optionen für den Prozessausgleich, um die SEHOP-Einstellungen zu steuern. Einige Anwendungen haben Kompatibilitätsprobleme mit SEHOP, deshalb sollten Sie sie zuerst für Ihre Umgebung testen. Informationen zum Verwenden der Gruppenrichtlinieneinstellungen finden Sie unter Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien.

Zufallsgestaltung des Adressraumlayouts

Eine der gängigsten Techniken, um Zugriff auf ein System zu erlangen, ist das Ermitteln eines Sicherheitsrisikos in einem privilegierten Prozess, der bereits ausgeführt wird, das Erraten oder Ermitteln des Speicherorts von wichtigem Systemcode oder Daten im Speicher und das anschließende Überschreiben dieser Informationen mit einer schädlichen Nutzlast. Jegliche Schadsoftware, die direkt in den Arbeitsspeicher des Systems schreiben kann, könnte ihn in bekannten und vorhersagbaren Speicherorten einfach überschreiben.

Die Zufallsgestaltung des Adressraumlayouts (ASLR) macht diese Art von Angriff weitaus schwieriger, da sie zufällig festlegt, wie und wo wichtige Daten im Arbeitsspeicher gespeichert werden. Mit ASLR ist es für Schadsoftware schwieriger, den bestimmten Speicherort für den Angriff zu ermitteln. Abbildung 3 veranschaulicht die Funktionsweise von ASLR, indem gezeigt wird, wie die Speicherorte verschiedener wichtiger Windows-Komponenten im Arbeitsspeicher zwischen Neustarts geändert werden können.

ASLR im Einsatz

Abbildung3.  ASLR im Einsatz

Windows10 wendet ASLR im gesamten System ganzheitlich an und erhöht den Entropie Grad im Vergleich zu früheren Versionen von Windows, um anspruchsvolle Angriffe wie das Sprühen von Heaps zu bekämpfen. 64-Bit-System-und Anwendungsprozesse können einen enorm erhöhten Speicherplatz nutzen, wodurch es für Malware noch schwieriger ist, vorherzusagen, wo Windows10 wichtige Daten speichert. Wird die zufällige Speicheranordnung von ASLR auf Systemen mit TPMs verwendet, ist sie auf verschiedenen Geräten zunehmend einzigartig. Dies macht es noch schwieriger, einen Exploit, der auf einem Gerät erfolgreich war, auch auf anderen Geräten zuverlässig einzusetzen.

Verwenden Sie die Gruppenrichtlinieneinstellungen namens Optionen für den Prozessausgleich, um ASLR-Einstellungen ("ASLR erzwingen" und "ASLR Bottom-Up") zu steuern, wie unter Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschrieben.

In Windows 10 integrierte Gegenmaßnahmen

Windows10 bietet viele Gegenmaßnahmen gegen Bedrohungen zum Schutz vor Exploits, die in das Betriebssystem integriert sind und keine Konfiguration innerhalb des Betriebssystems benötigen. In der folgenden Tabelle werden einige dieser Gegenmaßnahmen beschrieben.

Der Ablaufsteuerungsschutz (Control Flow Guard, CFG) ist eine Gegenmaßnahme, die im Betriebssystem nicht konfiguriert werden muss, aber ein Anwendungsentwickler muss die Gegenmaßnahme in der Anwendung konfigurieren, wenn sie kompiliert wurde. CFG ist in Microsoft Edge, IE11 und anderen Bereichen in Windows10 integriert und kann beim Kompilieren in vielen anderen Anwendungen erstellt werden.

Tabelle 3: Windows 10-Schutzmaßnahmen zum Schutz vor Speicher Ausnutzungen – keine Konfiguration erforderlich

Risikominderung und entsprechende Bedrohung Beschreibung
SMB-Härtung für SYSVOL und NETLOGON-Freigaben
verringert
Man-in–the-middle-Angriffe.
Für Clientverbindungen zu den Active Directory-Domänendiensten mit SYSVOL- und NETLOGON-Standardfreigaben auf Domänencontrollern sind jetzt SMB-Signaturen und die gegenseitige Authentifizierung (wie etwa Kerberos) erforderlich.

Weitere Informationen finden Sie unter: SMB-Härtungsverbesserungen für SYSVOL- und NETLOGON-Freigaben weiter unten in diesem Thema.
Geschützte Prozesse
verhindern, dass ein Prozess
durch einen anderen
Prozess manipuliert wird.
Mit dem Feature „Geschützte Prozesse“ verhindert Windows 10, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren.

Weitere Informationen finden Sie unter: Geschützte Prozesse weiter unten in diesem Thema.
Schutzmechanismen universeller Windows-Apps
überprüfen herunterladbare
Apps, und führen sie
in einer AppContainer-Sandbox aus.
Universelle Windows-Apps werden sorgfältig überprüft, bevor sie zur Verfügung gestellt werden, und sie werden in einer AppContainer-Sandbox mit eingeschränkten Berechtigungen und Funktionen ausgeführt.

Weitere Informationen finden Sie unter: Schutzmechanismen universeller Windows-Apps weiter unten in diesem Thema.
Heap-Schutzmechanismen
verhindern
die Nutzung des Heaps
Windows10 enthält Heap-Schutzmechanismen, wie z.B. die Verwendung interner Datenstrukturen, die vor Beschädigungen des vom Heap verwendeten Speichers schützen.

Weitere Informationen finden Sie unter: Windows Heap-Schutzmechanismen weiter unten in diesem Thema.
Kernel-Pool-Schutzmechanismen
verhindern
die Nutzung des Poolspeichers,
der vom Kernel verwendet wird.
Windows10 enthält Schutzmechanismen für den vom Kernel verwendeten Speicherpool. Das sichere Aufheben einer Verknüpfung beispielsweise schützt gegen Poolüberläufe, wobei diese mit Aufhebungsvorgängen kombiniert werden, die wiederum für einen Angriff verwendet werden können.

Weitere Informationen finden Sie unter: Kernel-Pool-Schutzmechanismen weiter unten in diesem Thema.
Ablaufsteuerungsschutz
verringert Exploits,
die auf dem Ablauf
zwischen Codespeicherorten
im Arbeitsspeicher basieren.
Ablaufsteuerungsschutz (Control Flow Blocker, CFG) ist eine Gegenmaßnahme, für die keine Konfiguration im Betriebssystem erforderlich ist, da sie beim Kompilieren in die Software integriert wird. Sie ist in Microsoft Edge, IE11 und in anderen Bereichen von Windows10 integriert. CFG kann in Anwendungen integriert werden, die in C oder C++ geschrieben wurden, oder in Anwendungen, die mit Visual Studio 2015 kompiliert werden.
Für solche Anwendungen kann CFG den Versuch von Angreifern erkennen, den beabsichtigten Codeverlauf zu ändern. In diesem Fall beendet CFG die Anwendung. Sie können Softwareanbieter bitten, Windows-Anwendungen bereitzustellen, bei deren Kompilierung CFG aktiviert wurde.

Weitere Informationen finden Sie unter: Ablaufsteuerungsschutz weiter unten in diesem Thema.
In Microsoft Edge integrierte Schutzmechanismen (Browser)
verringern zahlreiche
Bedrohungen.
Windows10 beinhaltet einen völlig neuen Browser, Microsoft Edge, der mit zahlreichen Sicherheitsverbesserungen entwickelt wurde.

Weitere Informationen finden Sie unter: Microsoft Edge und Internet Explorer11 weiter unten in diesem Thema.

SMB-Härtungsverbesserungen für SYSVOL- und NETLOGON-Freigaben

Unter Windows10 und Windows Server2016 sind für Clientverbindungen zu den Active Directory Domain Services mit SYSVOL- und NETLOGON-Standardfreigaben auf Domänencontrollern Server Message Block (SMB)-Signaturen und die gegenseitige Authentifizierung (wie etwa Kerberos) erforderlich. Damit wird die Wahrscheinlichkeit von Man-in-the-Middle-Angriffen verringert. Wenn die SMB-Signierung und die gegenseitige Authentifizierung nicht verfügbar sind, kann ein Computer mit Windows 10 oder Windows Server2016 keine domänenbasierten Gruppenrichtlinien und Skripts verarbeiten.

Hinweis

Die Registrierungswerte für diese Einstellungen sind nicht standardmäßig vorhanden, aber die Härtungsregeln gelten weiterhin, bis diese von Gruppenrichtlinien oder anderen Registrierungswerten überschrieben werden. Weitere Informationen zu diesen Sicherheitsverbesserungen (auch als UNC-Härtung bezeichnet) finden Sie im Microsoft Knowledge Base-Artikel 3000483 und unter MS15-011 & MS15-014: Härtung von Gruppenrichtlinien.

Geschützte Prozesse

Die meisten Sicherheitskontrollen sind darauf ausgelegt, den anfänglichen Infektionspunkt zu verhindern. Trotz bester vorbeugenden Maßnahmen, könnte Schadsoftware vielleicht trotzdem eine Möglichkeit finden, das System zu infizieren. Daher sind einige Schutzmechanismen integriert, die die Schadsoftware einschränken, wenn sie auf das Gerät gelangt. Geschützte Prozesse erstellen diese Art von Einschränkungen.

Mit geschützten Prozessen verhindert Windows 10, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren. Geschützte Prozesse definieren Vertrauensebenen für Prozesse. Es wird verhindert, dass weniger vertrauenswürdige Prozesse mit vertrauenswürdigeren Prozessen interagieren und diese angreifen. Windows10 verwendet geschützte Prozesse im gesamten Betriebssystem, und wie in Windows8.1, sind diese so implementiert, dass sie von Antischadsoftware-Drittanbietern verwendet werden können, wie unter Schutz von Antischadsoftware-Diensten beschrieben. Dadurch wird das System und Antischadsoftware-Lösungen weniger anfällig für Manipulationen durch Schadsoftware, die es auf das System schafft.

Schutzmechanismen universeller Windows-Apps

Wenn Benutzer universelle Windows-Apps aus dem Microsoft Store herunterladen, ist es unwahrscheinlich, dass Schadsoftware auftritt, weil alle Apps einen sorgfältigen Prüfungsprozess durchlaufen, bevor Sie im Store zur Verfügung gestellt werden. Apps, die von Organisationen erstellt und durch Querladeprozesse verteilt werden, müssen intern überprüft werden, um sicherzustellen, dass sie die Sicherheitsanforderungen der Organisation erfüllen.

Unabhängig davon, wie Benutzer universelle Windows-Apps erhalten, sind diese zunehmend vertrauenswürdig. Universelle Windows-Apps werden in einer AppContainer-Sandbox mit eingeschränkten Berechtigungen und Funktionen ausgeführt. Universelle Windows-Apps haben beispielsweise keinen Zugriff auf Systemebene, ihre Interaktionen mit anderen Apps sind stark kontrolliert, und sie haben keinen Zugriff auf Daten, außer der Benutzer gewährt die Anwendungsberechtigung explizit.

Darüber hinaus folgen alle universellen Windows-Apps dem Sicherheitsprinzip der geringsten Rechte. Apps erhalten nur die Rechte, die mindestens zum Ausführen legitimer Aufgaben erforderlich sind. Auch wenn ein Angreifer die App missbraucht, ist der mögliche Schaden daher stark eingeschränkt und sollte nur innerhalb des Sandkastens Auswirkungen haben. Der Microsoft Store zeigt die genauen Funktionen, die von der App benötigt werden (z. B. Zugriff auf die Kamera) an, zusammen mit der Altersfreigabe und dem Herausgeber der App.

Windows Heap-Schutzmechanismen

Der Heap ist ein Ort im Arbeitsspeicher, den Windows zum Speichern dynamischer Anwendungsdaten nutzt. Windows10 wird bei früheren Windows-Heap Designs weiterhin verbessert, indem das Risiko von Heap-Exploits, die als Teil eines Angriffs verwendet werden könnten, weiter verringert wird.

Windows10 hat mehrere wichtige Verbesserungen an der Sicherheit des Heaps:

  • Heap-Metadaten-Härtung für interne, vom Heap verwendete Datenstrukturen zum Schutz gegen Speicherbeschädigungen.

  • Zufällige Heap-Zuweisung, d.h. die Verwendung von zufälligen Speicherorten und -größen für Heap-Speicherzuweisungen, die es Angreifern erschwert, den Ort von kritischem Speicher vorherzusagen, der überschrieben werden soll. Insbesondere fügt Windows10 einen zufälligen Offset zur Adresse eines neu zugewiesenen Heaps hinzu, wodurch die Zuordnung deutlich unvorhersehbarer wird.

  • Heap-Schutzseiten vor und nach Speicherblöcken dienen als Hindernisse. Wenn ein Angreifer versucht, über einen Speicherblock hinaus zu schreiben (eine gängige Technik, die als Pufferüberlauf bezeichnet wird), muss er eine Schutzseite überschreiben. Jeder Versuch, eine Guard-Seite zu ändern, gilt als Speicherbeschädigung, und Windows10 antwortet, indem die APP sofort beendet wird.

Kernel-Pool-Schutzmechanismen

Der Kernel des Windows-Betriebssystems reserviert zwei Arbeitsspeicher-Pools, einen als physischen Arbeitsspeicher ("nicht ausgelagerter Pool") und einen, der in den Arbeitsspeicher ("ausgelagerten Pool") ein- und ausgelagert werden kann. Es gibt viele Arten von Angriffen, die gegen diese Pools unternommen wurden, wie z.B. Prozesskontingent-Zeigercodierung, Lookaside, verzögerungsfreie und Poolseiten-Cookies, sowie Grenzenprüfungen des PoolIndex. Windows10 verfügt über mehrere Schutzmechanismen zur „Pool-Härtung“ wie, z.B. Integritätsprüfungen, die den Kernel-Pool gegen derartige Angriffe schützen.

Zusätzlich zur Pool-Härtung sind in Windows10 weitere Features zur Kernel-Härtung enthalten:

  • Kernel-DEP und Kernel-ASLR: Funktionieren nach den gleichen Prinzipien wie Datenausführungsverhinderung und Zufallsgestaltung des Adressraumlayouts wie weiter oben in diesem Thema beschrieben.

  • Schriftartenanalyse im AppContainer: isoliert die Schriftartenanalyse in eine AppContainer-Sandbox.

  • Deaktivierung von NTVirtual DOS Machine (NTVDM): das alte NTVDM-Kernelmodul (für die Ausführung von 16-Bit-Anwendungen) ist standardmäßig deaktiviert, wodurch die zugehörigen Sicherheitsanfälligkeiten neutralisiert werden. (Eine Aktivierung der NTVDM verringert den Schutz gegen NULL-Dereferenzierung und andere Exploits.)

  • Ausführungsverhinderung im Vorgesetztenmodus (Supervisor Mode Execution Prevention, SMEP): verhindert, dass den Kernel (der "Vorgesetzte") Code in Benutzerseiten ausführt, eine von Angreifern übliche Technik für die Rechteerweiterung (Elevation of privilege, EOP) für den lokalen Kernel. Dies erfordert eine Prozessorunterstützung, die in Intel Ivy Bridge oder späteren Prozessoren sowie ARM mit PXN-Unterstützung vorhanden ist.

  • Sicheres Aufheben einer Verknüpfung: trägt zum Schutz gegen Poolüberläufe bei, die mit Aufhebungsvorgängen kombiniert werden, um einen Angriff zu starten. Windows10 beinhaltet das sichere Aufheben von Verknüpfungen global, wodurch auch das sichere Aufheben von Verknüpfungen der Heap- und Kernel-Pools mit allen Verwendungen von LIST_ENTRY enthalten ist, sowie einen „FastFail“-Mechanismus zum schnellen und sicheren Beenden von Prozessen.

  • Speicherreservierungen: Die niedrigsten 64 KB des Prozessspeichers sind für das System reserviert. Apps dürfen diesen Teils des Speichers nicht zuweisen. Dies erschwert es Schadsoftware, Techniken anzuwenden, wie z.B. „NULL-Dereferenzierung“, um kritische Systemdatenstrukturen im Arbeitsspeicher zu überschreiben.

Ablaufsteuerungsschutz

Wenn Anwendungen in den Speicher geladen werden, wird ihnen basierend auf der Größe des Codes, des angeforderten Speicherplatzes und anderen Faktoren Speicherplatz zugewiesen. Wenn eine Anwendung mit der Ausführung von Code beginnt, ruft sie zusätzlichen Code auf, der sich in anderen Arbeitsspeicheradressen befindet. Die Beziehungen zwischen den Codespeicherorten sind bekannt – sie stehen im Code selbst – aber in älteren Versionen als Windows 10 wurde der Ablauf zwischen diesen Speicherorten nicht erzwungen; dies bietet Angreifern die Möglichkeit, den Ablauf ihren Bedürfnissen anzupassen.

Diese Art von Bedrohung wird unter Windows 10 durch den Ablaufsteuerungsschutz (Control Flow Blocker, CFG) verringert. Wenn eine vertrauenswürdige Anwendung, die zur Verwendung von CFG kompiliert wurde, Code aufruft, überprüft CFG, ob der aufgerufene Codespeicherort für die Ausführung vertrauenswürdig ist. Wenn der Speicherort nicht vertrauenswürdig ist, gilt die Anwendung als potenzielles Sicherheitsrisiko und wird sofort beendet.

Ein Administrator kann CFG nicht konfigurieren. Stattdessen kann ein Anwendungsentwickler CFG nutzen, indem er das Feature beim Kompilieren der Anwendung konfiguriert. Sie sollten Anwendungsentwickler und Softwareanbieter auffordern, vertrauenswürdige Windows-Anwendungen bereitzustellen, bei deren Kompilierung CFG aktiviert wurde. Es kann beispielsweise für in C oder C++ geschriebenen Anwendungen aktiviert werden, oder in Anwendungen, die mit Visual Studio2015 kompiliert werden. Weitere Informationen zum Aktivieren von CFG für Visual Studio2015-Projekte, finden Sie unter Ablaufsteuerungsschutz.

Browser sind natürlich ein wichtiger Einstiegspunkt für Angriffe. Daher werden alle Vorteile von CFG von Microsoft Edge, IE und anderen Windows-Features optimal genutzt.

Microsoft Edge und Internet Explorer11

Die Browsersicherheit ist ein wichtiger Bestandteil jeder Sicherheitsstrategie und das aus gutem Grund: Der Browser ist die Schnittstelle des Benutzers mit dem Internet, einer Umgebung, die mit schädlichen Websites und angriffswilligen Inhalten überhäuft ist. Die meisten Benutzer können zumindest einen Teil ihrer Arbeit nicht ohne einen Browser erledigen, und viele Benutzer sind vollständig darauf angewiesen. Daher ist der Browser der am häufigsten genutzte Ausgangspunkt von Angriffen durch Hacker.

Alle Browser ermöglichen gewisse Erweiterungen, um neben den ursprünglichen Funktionen des Browsers zusätzliche Möglichkeiten zu bieten. Zwei allgemeine Beispiele hierfür sind Flash- und Java-Erweiterungen, die das Ausführen der jeweiligen Anwendungen in einem Browser ermöglichen. Das Schützen von Windows10 für Webbrowsing und-Anwendungen, insbesondere für diese beiden Inhaltstypen, ist eine Priorität.

Windows 10 bietet mit Microsoft Edge einen vollkommen neuen Browser. Microsoft Edge ist in vielfacher Hinsicht sicherer, insbesondere in folgenden Aspekten:

  • Geringere Angriffsfläche; keine Unterstützung für nicht von Microsoft stammende binäre Erweiterungen. Mehrere Browserkomponenten mit anfälligen Angriffsflächen wurden aus Microsoft Edge entfernt. Zu den entfernten Komponenten zählen Legacydokumentmodi und Skriptmodule, Browserhilfsobjekte (BHOs), ActiveX-Steuerelemente und Java. Microsoft Edge unterstützt jedoch standardmäßig Flash-Inhalte und PDF-Anzeigen über integrierte Erweiterungen.

  • Führt 64-Bit-Prozesse aus. Ein 64-Bit-PC mit einer älteren Version von Windows wird häufig im 32-Bit-Kompatibilitätsmodus ausgeführt, um ältere und weniger sichere Erweiterungen zu unterstützen. Wird Microsoft Edge auf einem 64-Bit-PC ausgeführt, werden nur 64-Bit-Prozesse ausgeführt, die sehr viel sicherer gegen Angriffe sind.

  • Dazu zählt die automatische Arbeitsspeicherbereinigung (MemGC). Dies bietet Schutz gegen UAF-Probleme.

  • Wurde als universelle Windows-App entwickelt. Microsoft Edge ist grundsätzlich eigenständig und wird in einem AppContainer ausgeführt, der ihn durch Sandboxing von System, Daten und anderen Apps isoliert. IE11 auf Windows10 kann auch die Vorteile der gleichen AppContainer-Technologie über den erweiterten Protect-Modus nutzen. Da IE11 jedoch ActiveX und BHOs ausführen kann, sind der Browser und die Sandbox für eine weitaus größere Anzahl von Angriffen anfällig als Microsoft Edge.

  • Vereinfacht die Sicherheitskonfiguration. Da Microsoft Edge eine vereinfachte Anwendungsstruktur und eine einzelne Sandboxkonfiguration verwendet, sind weniger Sicherheitseinstellungen erforderlich. Darüber hinaus richten sich die Standardeinstellungen für Microsoft Edge nach bewährten Sicherheitsmethoden, sodass der Browser standardmäßig sicherer ist.

Zusätzlich zu Microsoft Edge umfasst Microsoft IE11 in Windows10, hauptsächlich für die Abwärtskompatibilität mit Websites und mit binären Erweiterungen, die nicht mit Microsoft Edge funktionieren. IE11 sollte nicht als primärer Browser, sondern als optionaler oder automatischer Switchover konfiguriert werden. Wir empfehlen, Microsoft Edge als primären Webbrowser zu verwenden, da er mit dem modernen Internet kompatibel ist und die bestmögliche Sicherheit bietet.

Für Websites, die die Kompatibilität von IE11 erfordern, einschließlich derer, die binäre Erweiterungen und Plug-Ins erfordern, aktivieren Sie den Unternehmensmodus und definieren mithilfe der Websiteliste für den Unternehmensmodus, welche Websites die Abhängigkeit aufweisen. Mit dieser Konfiguration wechseln Benutzer automatisch zu IE11, wenn Microsoft Edge eine Website identifiziert, die IE11 erfordert.

Funktionen, die Softwareanbieter als Gegenmaßnahmen in Apps integrieren können

Einige der Schutzmechanismen in Windows10 werden durch Funktionen bereitgestellt, die von Apps oder anderer Software aufgerufen werden können. Diese Software bietet wahrscheinlich weniger Angriffsfläche für Exploits. Wenn Sie mit einen Softwareanbieter zusammenarbeiten, bitten Sie ihn, diese auf Sicherheit ausgerichteten Funktionen in der Anwendung zu integrieren. Die folgende Tabelle enthält einige Arten von Gegenmaßnahmen sowie die entsprechenden, auf Sicherheit ausgerichteten Funktionen dazu, die in Apps verwendet werden können.

Hinweis

Der Ablaufsteuerungsschutz (Control Flow Guard, CFG) ist auch eine wichtige Schutzmaßnahmen, die ein Entwickler beim Kompilieren der Software integrieren kann. Weitere Informationen finden Sie unter Ablaufsteuerungsschutz.

Für Entwickler Verfügbare Tabellen-4Functions zum Erstellen von Schadens Behebungen in apps

Gegenmaßnahme Funktion
Ladeeinschränkungen für LoadLib-Image Funktion UpdateProcThreadAttribute
[PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON]
MemProt – Dynamische Codeeinschränkung Funktion UpdateProcThreadAttribute
[PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON]
Einschränkung untergeordneter Prozesse zum Einschränken der Fähigkeit, untergeordnete Prozesse zu erstellen. Funktion UpdateProcThreadAttribute
[PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY]
Codeintegritätseinschränkung zum Einschränken des Ladevorgangs für Bilder Funktion SetProcessMitigationPolicy
[ProcessSignaturePolicy]
Deaktivierung von Win32k System-Aufrufen zum Einschränken der Möglichkeit NTUser und GDI zu verwenden Funktion SetProcessMitigationPolicy
[ProcessSystemCallDisablePolicy]
Hohe ASLR-Entropie für bis zu 1TB Abweichung in Speicherzuweisungen Funktion UpdateProcThreadAttribute
[PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON]
Strenge Handle-Prüfungen, die sofort eine Ausnahme auslösen, sobald eine ungültige Handle-Referenz auftritt. Funktion UpdateProcThreadAttribute
[PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON]
Deaktivieren von Erweiterungspunkten, um die Verwendung von bestimmten Erweiterungspunkten von Drittanbietern zu blockieren. Funktion UpdateProcThreadAttribute
[PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON]
Heap wird bei Beschädigung beendet, um das System vor einen beschädigten Heap zu schützen. Funktion UpdateProcThreadAttribute
[PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON]

Grundlegendes zu Windows10 in Bezug auf das Enhanced Mitigation Experience Toolkit.

Sie sind möglicherweise bereits mit dem Enhanced Mitigation Experience Toolkit (EMET) vertraut, das seit 2009 eine Vielzahl von Schutzmaßnahmen gegen Exploits beinhaltet sowie eine Schnittstelle zum Konfigurieren dieser Gegenmaßnahmen anbietet. In diesem Abschnitt erfahren Sie, wie EMET-Gegenmaßnahmen mit den Gegenmaßnahmen in Windows10 in Verbindung stehen. Viele EMET-Gegenmaßnahmen wurden in Windows10 integriert, einige mit weiteren Verbesserungen. Allerdings führen einige EMET-Gegenmaßnahmen zu hohen Leistungseinbußen oder scheinen relativ wirkungslos gegen moderne Bedrohungen und wurden daher nicht in Windows10 integriert.

Da viele EMET-Gegenmaßnahmen und Sicherheitsmechanismen bereits in Windows 10 vorhanden sind und verbessert wurden, insbesondere die, die mit einer hohen Effektivität zur Vermeidung von bekannten Umgehungen bewerten wurden, wurde Version 5.5x als finale EMET-Hauptversion vorgestellt (siehe Enhanced Mitigation Experience Toolkit).

Die folgende Tabelle enthält EMET-Features in Bezug auf Windows10-Features.

Tabellen 5EMET Features in Bezug auf Windows 10-Features

Spezielle EMET-Features Wie sind diese EMET-Features
zu Windows 10-Features zugeordnet.
  • DEP

  • SEHOP

  • ASLR (ASLR erzwingen, ASLR Bottom-Up)

DEP, SEHOP und ASLR sind als konfigurierbare Features in Windows10 enthalten. Siehe Tabelle 2 weiter oben in diesem Thema.

Sie können das PowerShell-Modul „ProcessMitigations“ installieren, um Ihre EMET-Einstellungen für diese Features in Richtlinien zu konvertieren, die Sie auf Windows10 anwenden können.

  • Bibliotheksladeprüfung (LoadLib)

  • Speicherschutzprüfung (MemProt)

LoadLib und MemProt werden in Windows10 für alle Anwendungen unterstützt, die für die Verwendung dieser Funktionen geschrieben wurden. Siehe Tabelle 4 weiter oben in diesem Thema.
  • Nullseite

Maßnahmen gegen diese Bedrohung sind in Windows10 integriert, wie im Abschnitt „Speicherreservierungen“ in Kernel-Pool-Schutzmechanismen weiter oben in diesem Thema beschrieben.
  • Heap-Spray

  • EAF

  • EAF+

Windows10 enthält keine diesem EMET-Feature speziell zugeordneten Maßnahmen, da sie im Bereich der aktuellen Bedrohungen nur eine geringe Auswirkung haben, und das Ausnutzen von Sicherheitslücken nicht erheblich erschweren können. Microsoft hält unverändert am Überwachen der Sicherheitsumgebung fest, und sobald neue Exploits auftauchen werden Schritte unternommen, das Betriebssystem dagegen zu schützen.
  • Aufrufer-Prüfung

  • Simulieren des Ausführungsflusses

  • Stapel-Pivot

  • Deep Hooks (ein ROP „Erweiterte Maßnahme“)

  • Anti Detours (ein ROP „Erweiterte Maßnahme“)

  • Gesperrte Funktionen (ein ROP „Erweiterte Maßnahme“)

Maßnahmen unter Windows10 mit Anwendungen, die mit dem Ablaufsteuerungsschutz kompiliert wurden, wie in Ablaufsteuerungsschutz weiter oben in diesem Thema beschrieben.

Konvertieren einer XML-Datei mit EMET-Einstellungen zu Richtlinien der Risikominderung in Windows10

Ein Vorteil der EMET liegt darin, Konfigurationseinstellungen für EMET-Gegenmaßnahmen als XML-Einstellungsdatei für eine einfache Bereitstellung zu importieren und exportieren. Um Richtlinien der Risikominderung für Windows10 aus einer XML-Datei mit EMET-Einstellungen zu generieren, können Sie das PowerShell-Modul „ProcessMitigations“ installieren. Führen Sie in einer PowerShell-Sitzung mit erhöhten Rechten dieses Cmdlet aus:

Install-Module -Name ProcessMitigations

Das Cmdlet „Get-ProcessMitigation“ ruft die aktuellen Risikominderungseinstellungen aus der Registrierung oder aus einem laufenden Prozess auf, oder speichert alle Einstellungen in eine XML-Datei.

So erhalten Sie die aktuellen Einstellungen für alle ausgeführten Instanzen von „notepad.exe“:

Get-ProcessMitigation -Name notepad.exe -RunningProcess

So erhalten Sie die aktuellen Einstellungen in der Registrierung für „notepad.exe“:

Get-ProcessMitigation -Name notepad.exe

So erhalten Sie die aktuellen Einstellungen für den ausgeführten Prozess mit pid 1304:

Get-ProcessMitigation -Id 1304

So erhalten Sie alle Einstellungen zur Risikominderung von Prozessen aus der Registrierung, und speichern sie in die XML-Datei „settings.xml“:

Get-ProcessMitigation -RegistryConfigFilePath settings.xml

Das Cmdlet „Set-ProcessMitigation“kann die Risikominderung von Prozessen aktivieren oder deaktivieren, oder sie aus eine XML-Datei in Massenverhalten einstellen.

So erhalten Sie die aktuelle Risikominderung von Prozessen für „notepad.exe“ aus der Registrierung, aktivieren „MicrosoftSignedOnly“ und deaktivieren „MandatoryASLR“:

Set-ProcessMitigation -Name Notepad.exe -Enable MicrosoftSignedOnly -Disable MandatoryASLR

So stellen Sie die Risikominderung von Prozessen aus einer XML-Datei ein (die von „Get-ProcessMitigation - RegistryConfigFilePath“ aus der settings.xml generiert werden kann):

Set-ProcessMitigation -PolicyFilePath settings.xml

So stellen Sie den Systemstandard auf „MicrosoftSignedOnly“ ein:

Set-ProcessMitigation -System -Enable MicrosoftSignedOnly

Das Cmdlet „ConvertTo-ProcessMitigationPolicy“ konvertiert in Dateiformate für die Richtlinien zu Risikominderung. Die Syntax lautet:

ConvertTo-ProcessMitigationPolicy -EMETFilePath <String> -OutputFilePath <String> [<CommonParameters>]

Beispiele:

  • Konvertieren von EMET-Einstellungen in Windows10-Einstellungen: Sie können „ConvertTo-ProcessMitigationPolicy“ ausführen und eine XML-Datei mit EMET-Einstellungen als Eingabe verwenden, woraus eine Ergebnisdatei mit Risikominderungseinstellungen für Windows 10 generiert wird. Zum Beispiel:

    ConvertTo-ProcessMitigationPolicy -EMETFilePath policy.xml -OutputFilePath result.xml
    
  • Überwachen und Ändern der konvertierten Einstellungen (die Ausgabedatei): Verwenden Sie weitere Cmdlets, um Einstellungen in der Ausgabedatei anzuwenden, aufzulisten, zu aktivieren, zu deaktivieren und zu speichern. Dieses Cmdlet z.B., aktiviert SEHOP und deaktiviert MandatoryASLR und DEPATL-Registrierungseinstellungen für Notepad:

    Set-ProcessMitigation -Name notepad.exe -Enable SEHOP -Disable MandatoryASLR,DEPATL
    
  • Konvertieren der Einstellungen zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) in eine Codeintegritätsrichtliniendatei: Wenn die Eingabedatei irgendwelche EMET-Einstellungen zur Verringerung der Angriffsfläche (ASR) enthält, erstellt der Konverter auch eine Codeintegritätsrichtliniendatei. In diesem Fall können Sie den Zusammenführungs-, Überwachungs- und Bereitstellungsprozess für die Codeintegritätsrichtlinie gemäß Bereitstellen von Device Guard: Bereitstellen von Codeintegritätsrichtlinien ausführen. Damit werden Schutzmechanismen auf Windows10 entsprechend den EMET-ASR-Schutzmechanismen aktiviert.

  • Konvertieren von Zertifikatsvertrauenseinstellungen in Regeln zum Anheften von Enterprise-Zertifikaten: Wenn Sie über eine EMET-XML-Datei mit "Zertifikatvertrauensregeln“ (Datei mit Regeln zum Anheften) verfügen, können Sie „ConvertTo-ProcessMitigationPolicy“ verwenden, um die Datei mit den Regeln zum Anheften in eine Datei mit Regeln zum Anheften von Enterprise-Zertifikaten zu konvertieren. Abschließend können Sie die Datei gemäß Anheften von Enterprise-Zertifikaten aktivieren. Beispiele:

    ConvertTo-ProcessMitigationPolicy -EMETfilePath certtrustrules.xml -OutputFilePath enterprisecertpinningrules.xml
    

EMET – Verwandte Produkte

Microsoft Consulting Services (MCS) und Microsoft Support / Premier Field Engineering (PFE) bieten eine Reihe von Optionen für EMET, Unterstützung für EMET und EMET-bezogenes Berichtswesen sowie Überwachungsprodukte wie z.B. EMET Enterprise Reporting Service (ERS). Für Unternehmenskunden, die diese Produkte heute verwenden oder die sich für ähnliche Funktionen interessieren, empfehlen wir, Microsoft Defender Advanced Threat Protection (ATP) zu evaluieren.

Verwandte Themen