Minimieren von Risiken mithilfe der Sicherheitsfeatures von Windows10Mitigate threats by using Windows 10 security features

Betrifft:Applies to:

  • Windows10Windows 10

Dieses Thema enthält eine Übersicht über einige Software- und Firmware-Bedrohungen, die sich gegen die aktuellen Sicherheitslandschaft richten, sowie Gegenmaßnahmen, die Windows 10 als Reaktion auf diese Bedrohungen bietet.This topic provides an overview of some of the software and firmware threats faced in the current security landscape, and the mitigations that Windows 10 offers in response to these threats. Informationen über die zugehörigen, von Microsoft angebotenen Schutztypen finden Sie unter Verwandte Themen.For information about related types of protection offered by Microsoft, see Related topics.

AbschnittSection InhaltContents
SicherheitsbedrohungenThe security threat landscape Beschreibt die aktuelle Bedrohungsart der Sicherheitsbedrohung und erläutert, wie Windows10 entwickelt wurde, um Softwarelücken und ähnliche Bedrohungen zu verringern.Describes the current nature of the security threat landscape, and outlines how Windows 10 is designed to mitigate software exploits and similar threats.
Konfigurierbare Gegenmaßnahmen unter Windows10Windows 10 mitigations that you can configure Enthält Tabellen von konfigurierbaren Gegenmaßnahmen gegen Bedrohungen mit Links zu weiteren Informationen.Provides tables of configurable threat mitigations with links to more information. Produktfeatures, wie z.B. Device Guard werden in Tabelle 1, und Speicherschutzoptionen, wie z.B. die Datenausführungsverhinderung werden in Tabelle 2 aufgelistet.Product features such as Device Guard appear in Table 1, and memory protection options such as Data Execution Prevention appear in Table 2.
In Windows 10 integrierte GegenmaßnahmenMitigations that are built in to Windows 10 Enthält Beschreibungen von Gegenmaßnahmen unter Windows10, die keiner Konfiguration bedürfen, da sie in das Betriebssystem integriert sind.Provides descriptions of Windows 10 mitigations that require no configuration—they are built into the operating system. Heap- und Kernel-Pool-Schutzmechanismen sind beispielsweise in Windows10 integriert.For example, heap protections and kernel pool protections are built into Windows 10.
Grundlegendes zu Windows10 in Bezug auf das Enhanced Mitigation Experience Toolkit.Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit Beschreibt, wie Gegenmaßnahmen im Enhanced Mitigation Experience Toolkit (EMET) in Windows 10 integrierten Features entsprechen, und wie EMET-Einstellungen zu Richtlinien der Risikominderung für Windows10 konvertiert werden.Describes how mitigations in the Enhanced Mitigation Experience Toolkit (EMET) correspond to features built into Windows 10 and how to convert EMET settings into mitigation policies for Windows 10.

In diesem Thema geht es vor allem um die präventiven Gegenmaßnahmen mit dem Ziel des Geräteschutzes und Gefahrenschutzes.This topic focuses on pre-breach mitigations aimed at device protection and threat resistance. Dieser Schutz wirkt zusammen mit anderen Sicherheitsmaßnahmen von Windows10, wie in der folgenden Abbildungdargestellt:These protections work with other security defenses in Windows 10, as shown in the following illustration:

Types of defenses in Windows 10

Abbildung1.  Geräte- und Gefahrenschutz als Teil der Sicherheitsmaßnahmen von Windows10Figure 1.  Device protection and threat resistance as part of the Windows 10 security defenses

SicherheitsbedrohungenThe security threat landscape

Sicherheitsbedrohungen sind heute extrem aggressiv und hartnäckig.Today’s security threat landscape is one of aggressive and tenacious threats. In früheren Jahren konzentrierten sich böswillige Angreifer hauptsächlich auf die Anerkennung in der Community für ihre Angriffe oder die Begeisterung, ein System vorübergehend offline geschaltet zu haben.In previous years, malicious attackers mostly focused on gaining community recognition through their attacks or the thrill of temporarily taking a system offline. Seitdem haben sich die Motive der Angreifer in Richtung Geldgier geändert, und sie behalten die Gewalt über Geräte und Daten, bis die Besitzer das geforderte Lösegeld bezahlen.Since then, attacker’s motives have shifted toward making money, including holding devices and data hostage until the owner pays the demanded ransom. Aktuelle Angriffe konzentrieren sich zunehmend auf den Diebstahl geistigen Eigentums im großen Umfang, die zielgerichtete Systemzersetzung, die zu finanziellen Verlusten führen kann, und jetzt sogar Cyber-Terrorismus, durch den die Sicherheit von Personen und Unternehmen sowie nationale Interessen auf der ganzen Welt bedroht sind.Modern attacks increasingly focus on large-scale intellectual property theft; targeted system degradation that can result in financial loss; and now even cyberterrorism that threatens the security of individuals, businesses, and national interests all over the world. Diese Angreifer sind üblicherweise hochqualifizierte Einzelpersonen und Sicherheitsexperten, von denen einige in Nationalstaaten beschäftigt sind, die über große Budgets und scheinbar unbegrenzte menschliche Ressourcen verfügen.These attackers are typically highly trained individuals and security experts, some of whom are in the employ of nation states that have large budgets and seemingly unlimited human resources. Bedrohungen wie diese erfordern einen Ansatz, der dieser Herausforderung gerecht wird.Threats like these require an approach that can meet this challenge.

Angesichts dieser Umgebung enthält Windows 10 Creator's Update (Windows10, Version 1703) mehrere Sicherheitsfeatures, die erstellt wurden, um das Finden und Nutzen zahlreicher Softwaresicherheitslücken so schwierig (und teuer) wie möglich zu gestalten.In recognition of this landscape, Windows 10 Creator's Update (Windows 10, version 1703) includes multiple security features that were created to make it difficult (and costly) to find and exploit many software vulnerabilities. Diese Features erfüllen folgende Aufgaben:These features are designed to:

  • Entfernen ganzer Klassen von SicherheitsrisikenEliminate entire classes of vulnerabilities

  • Unterbrechen von Exploit-TechnikenBreak exploitation techniques

  • Eingrenzen des Schadens und Verhindern der DauerhaftigkeitContain the damage and prevent persistence

  • Begrenzen der Exploit-MöglichkeitenLimit the window of opportunity to exploit

Die folgenden Abschnitte enthalten weitere Details zur Minderung des Sicherheitsrisikos unter Windows10, Version 1703.The following sections provide more detail about security mitigations in Windows 10, version 1703.

Konfigurierbare Gegenmaßnahmen unter Windows10Windows 10 mitigations that you can configure

Konfigurierbare Gegenmaßnahmen unter Windows10 werden in den folgenden zwei Tabellen aufgeführt.Windows 10 mitigations that you can configure are listed in the following two tables. Die erste Tabelle umfasst eine Vielzahl von Schutzmaßnahmen für Geräte und Benutzer über das Unternehmen und die zweite Tabelle führt einen Drilldown in bestimmten Speicherschutz, z.B. Data Execution Prevention.The first table covers a wide array of protections for devices and users across the enterprise and the second table drills down into specific memory protections such as Data Execution Prevention. Speicherschutzoptionen bieten spezifische Gegenmaßnahmen gegen Schadsoftware, die versucht, den Speicher zu manipulieren, um die Kontrolle über ein System zu erhalten.Memory protection options provide specific mitigations against malware that attempts to manipulate memory in order to gain control of a system.

Tabelle 1Windows 10 Schadensbegrenzende Maßnahmen, die Sie konfigurieren könnenTable 1Windows 10 mitigations that you can configure

Risikominderung und entsprechende BedrohungMitigation and corresponding threat Beschreibung und LinksDescription and links
Windows Defender SmartScreenWindows Defender SmartScreen
verhindert, dasshelps prevent
Schädliche Anwendungenmalicious applications
heruntergeladen werden.from being downloaded
Windows Defender SmartScreen kann die Bewertung einer heruntergeladenen Anwendung durch die Verwendung eines von Microsoft verwalteten Dienstes überprüfen.Windows Defender SmartScreen can check the reputation of a downloaded application by using a service that Microsoft maintains. Wenn ein Benutzer erstmals eine aus dem Internet heruntergeladene App ausführt (selbst wenn der Benutzer sie von einem anderen PC kopiert hat), prüft SmartScreen, ob die App über eine Bewertung verfügt oder bekanntermaßen schädlich ist, und reagiert entsprechend.The first time a user runs an app that originates from the Internet (even if the user copied it from another PC), SmartScreen checks to see if the app lacks a reputation or is known to be malicious, and responds accordingly.

Weitere Informationen finden Sie in: Windows Defender SmartScreen und weiter unten in diesem Thema.More information: Windows Defender SmartScreen, later in this topic
Credential GuardCredential Guard
dient dazu, Angreifer daran zu hindernhelps keep attackers
Zugriff überfrom gaining access through
Pass-the-Hash- oderPass-the-Hash or
Pass-the-Ticket-Angriffe zu erhalten.Pass-the-Ticket attacks
Credential Guard nutzt virtualisierungsbasierte Sicherheit, um geheime Schlüssel (beispielsweise NTLM-Kennworthashes und Kerberos-TGT) zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann.Credential Guard uses virtualization-based security to isolate secrets, such as NTLM password hashes and Kerberos Ticket Granting Tickets, so that only privileged system software can access them.
Credential Guard ist in Windows10 Enterprise und Windows Server2016 enthalten.Credential Guard is included in Windows 10 Enterprise and Windows Server 2016.

Weitere Informationen finden Sie unter: Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.More information: Protect derived domain credentials with Credential Guard
Anheften von Enterprise-ZertifikatenEnterprise certificate pinning
verhindert, dasshelps prevent
Man-in–the-middle-Angriffe,man-in-the-middle attacks
die PKI nutzen.that leverage PKI
Das Anheften von Enterprise-Zertifikaten ermöglicht den Schutz interner Domänennamen vor dem Anhängen an unerwünschte oder in betrügerischer Absicht ausgestellte Zertifikate.Enterprise certificate pinning enables you to protect your internal domain names from chaining to unwanted certificates or to fraudulently issued certificates. Mit dem Anheften von Enterprise-Zertifikaten können Sie ein X.509-Zertifikat und dessen öffentlichen Schlüssel für die Zertifizierungsstelle als Ursprung oder als Knoten „anhängen“ (zuordnen).With enterprise certificate pinning, you can “pin” (associate) an X.509 certificate and its public key to its Certification Authority, either root or leaf.

Weitere Informationen finden Sie unter: Anheften von Enterprise-Zertifikaten.More information: Enterprise Certificate Pinning
Device GuardDevice Guard
dient dazu, ein Geräthelps keep a device
am Ausführen von Schadsoftware oderfrom running malware or
anderen nicht vertrauenswürdigen Apps zu hindern.other untrusted apps
Device Guard enthält eine von Ihnen erstellte Codeintegritätsrichtlinie. Dabei handelt es sich um eine Positivliste vertrauenswürdiger Apps; nur diese Apps dürfen in Ihrem Unternehmen ausgeführt werden.Device Guard includes a Code Integrity policy that you create; a whitelist of trusted apps—the only apps allowed to run in your organization. Device Guard enthält auch eine leistungsstarke Systemgegenmaßnahme namens „Hypervisor-geschützte Codeintegrität“ (hypervisor-protected code integrity, HVCI), die virtualisierungsbasierte Sicherheit (VBS) für den Schutz des Integritätsprüfungsprozesses des Kernelmoduscodes von Windows verwendet.Device Guard also includes a powerful system mitigation called hypervisor-protected code integrity (HVCI), which leverages virtualization-based security (VBS) to protect Windows’ kernel-mode code integrity validation process. Für HVCI gelten bestimmte Hardwareanforderungen, und es verwendet Codeintegritätsrichtlinien, um Angriffe zu stoppen, selbst wenn bereits Zugriff auf den Kernel erlangt wurde.HVCI has specific hardware requirements, and works with Code Integrity policies to help stop attacks even if they gain access to the kernel.
Device Guard ist in Windows10 Enterprise und Windows Server2016 enthalten.Device Guard is included in Windows 10 Enterprise and Windows Server 2016.

Weitere Informationen finden Sie unter: Einführung in Device Guard.More information: Introduction to Device Guard
Windows Defender AntivirusWindows Defender Antivirus,
dient dazu, Gerätewhich helps keep devices
frei von Viren und andererfree of viruses and other
Schadsoftware zu halten.malware
Windows10 enthält Windows Defender Antivirus, eine stabile Antischadsoftware-Lösung.Windows 10 includes Windows Defender Antivirus, a robust inbox antimalware solution. Windows Defender Antivirus wurde erheblich verbessert, seit es in Windows8 eingeführt wurde.Windows Defender Antivirus has been significantly improved since it was introduced in Windows 8.

Weitere Informationen finden Sie in: Windows Defender Antivirus und weiter unten in diesem Thema.More information: Windows Defender Antivirus, later in this topic
Blockieren von nicht vertrauenswürdigen SchriftartenBlocking of untrusted fonts
dient dazu, die Verwendunghelps prevent fonts
von Schriftarten infrom being used in
Rechteerweiterungsangriffen zu verhindern.elevation-of-privilege attacks
Bei „Blockieren nicht vertrauenswürdiger Schriftarten“ handelt es sich um eine Einstellung, mit der Sie verhindern, dass Benutzer „nicht vertrauenswürdige“ Schriftarten in Ihr Netzwerk laden. Dies kann Angriffe durch Rechteerweiterungen verringern, die mit dem Analysieren von Schriftartendateien verknüpft sind.Block Untrusted Fonts is a setting that allows you to prevent users from loading fonts that are "untrusted" onto your network, which can mitigate elevation-of-privilege attacks associated with the parsing of font files. Ab Windows10, Version 1703, ist diese Risikominderung jedoch weniger wichtig, da die Schriftartanalyse in einer AppContainer-Sandbox isoliert ist, (eine Beschreibung dazu sowie zu anderen Kernel-Pool-Schutzmechanismen finden Sie in einer Liste unter Kernel-Pool-Schutzmechanismen weiter unten in diesem Thema).However, as of Windows 10, version 1703, this mitigation is less important, because font parsing is isolated in an AppContainer sandbox (for a list describing this and other kernel pool protections, see Kernel pool protections, later in this topic).

Weitere Informationen finden Sie unter: Blockieren von nicht vertrauenswürdigen Schriftarten in einem Unternehmen.More information: Block untrusted fonts in an enterprise
SpeicherschutzmechanismenMemory protections
verhindern, dass Schadsoftwarehelp prevent malware
zur Manipulation von Arbeitsspeicher,from using memory manipulation
wie z.B. Pufferüberläufentechniques such as buffer
verwendet wird.overruns
Die in Tabelle 2 aufgeführten Gegenmaßnahmen schützen gegen Arbeitsspeicher-Angriffe, bei denen Schadsoftware oder anderer Code den Arbeitsspeicher manipuliert, um die Kontrolle über das System zu erlangen (z.B. Schadsoftware, die mit Pufferüberläufen versucht, schädlichen ausführbaren Code in den Speicher einzufügen).These mitigations, listed in Table 2, help to protect against memory-based attacks, where malware or other code manipulates memory to gain control of a system (for example, malware that attempts to use buffer overruns to inject malicious executable code into memory. Hinweis:Note:
Ein Teil der Apps kann nicht ausgeführt, wenn einige dieser Gegenmaßnahmen auf die restriktivsten Einstellungen festgelegt sind.A subset of apps will not be able to run if some of these mitigations are set to their most restrictive settings. Durch Testen können Sie den maximalen Schutz erreichen und dennoch die Ausführung dieser Apps ermöglichen.Testing can help you maximize protection while still allowing these apps to run.

Weitere Informationen finden Sie in: Tabelle 2 weiter unten in diesem Thema.More information: Table 2, later in this topic
Sicherer UEFI-StartUEFI Secure Boot
trägt zum Schutzhelps protect
der Plattform vorthe platform from
Bootkits und Rootkits bei.bootkits and rootkits
Der sichere Start mit Unified Extensible Firmware Interface (UEFI) ist ein Sicherheitsstandard für Firmware, der von Herstellern seit Windows8 in PCs integriert wird.Unified Extensible Firmware Interface (UEFI) Secure Boot is a security standard for firmware built in to PCs by manufacturers beginning with Windows 8. Er schützt den Startvorgang und die Firmware gegen Manipulation, wie z.B. vor einem physikalisch anwesenden Angreifer oder vor Formen von Schadsoftware, die früh im Startvorgang oder nach dem Start im Kernel ausgeführt werden.It helps to protect the boot process and firmware against tampering, such as from a physically present attacker or from forms of malware that run early in the boot process or in kernel after startup.

Weitere Informationen: UEFI und Sicherer Start.More information: UEFI and Secure Boot
Antischadsoftware-Frühstart (Early Launch Antimalware, ELAM)Early Launch Antimalware (ELAM)
trägt zum Schutzhelps protect
der Plattform vorthe platform from
als Treiber maskierte Rootkits bei.rootkits disguised as drivers
Der Antischadsoftware-Frühstart (ELAM) wurde entwickelt, um die Antischadsoftware-Lösung vor allen nicht von Microsoft stammenden Treibern und Apps starten zu können.Early Launch Antimalware (ELAM) is designed to enable the antimalware solution to start before all non-Microsoft drivers and apps. Wenn Schadsoftware einen startbezogenen Treiber ändert, erkennt ELAM die Änderung, und Windows verhindert das Starten des Treibers, sodass treiberbasierte Rootkits blockiert werden.If malware modifies a boot-related driver, ELAM will detect the change, and Windows will prevent the driver from starting, thus blocking driver-based rootkits.

Weitere Informationen finden Sie unter: Antischadsoftware-Frühstart.More information: Early Launch Antimalware
Integritätsnachweis für GeräteDevice Health Attestation
verhindert, dasshelps prevent
potentiell gefährdete Gerätecompromised devices from
auf die Unternehmensressourcenaccessing an organization’s
zugreifen können.assets
Mit dem Integritätsnachweis für Geräte (DHA) lässt sich bestätigen, dass Geräte, die sich mit einem Unternehmensnetzwerk verbinden möchten, in fehlerfreiem Zustand und nicht mit gefährlicher Schadsoftware infiziert sind.Device Health Attestation (DHA) provides a way to confirm that devices attempting to connect to an organization's network are in a healthy state, not compromised with malware. Wenn DHA konfiguriert wurde, kann die Messung der tatsächlichen Startdaten eines Geräts mit den erwarteten fehlerfreien Startdaten verglichen werden.When DHA has been configured, a device’s actual boot data measurements can be checked against the expected "healthy" boot data. Wenn die Prüfung ergibt, dass ein Gerät fehlerhaft ist, kann das Gerät am Zugriff auf das Netzwerk gehindert werden.If the check indicates a device is unhealthy, the device can be prevented from accessing the network.

Weitere Informationen finden Sie unter: Kontrollieren der Integrität Windows10-basierter Geräte und Nachweis über Geräteintegrität.More information: Control the health of Windows 10-based devices and Device Health Attestation

Konfigurierbare Gegenmaßnahmen unter Windows10, die zum Schutz gegen Arbeitsspeichermanipulation entwickelt wurden, erfordern umfangreiche Kenntnisse dieser Bedrohungen und Gegenmaßnahmen sowie Kenntnisse darüber, wie das Betriebssystem und Anwendungen mit dem Arbeitsspeicher umgehen.Configurable Windows 10 mitigations designed to help protect against memory manipulation require in-depth understanding of these threats and mitigations and knowledge about how the operating system and applications handle memory. Standardmäßig wird zur Optimierung dieser Arten von Gegenmaßnahmen versucht herauszufinden, ob eine der von Ihnen verwendeten Anwendungen durch eine bestimmte Einstellung beeinträchtigt wird, damit Sie Einstellungen vornehmen können, durch die ein höchstmöglicher Schutz gewährleistet und gleichzeitig eine ordnungsgemäße Ausführung der Anwendungen weiterhin ermöglicht wird.The standard process for maximizing these types of mitigations is to work in a test lab to discover whether a given setting interferes with any applications that you use so that you can deploy settings that maximize protection while still allowing apps to run correctly.

Als IT-Spezialist können Sie Anwendungsentwickler und Softwareanbieter bitten, Anwendungen mit zusätzlichem Schutz, genannt Ablaufsteuerungsschutz (Control Flow Guard, CFG), zu liefern.As an IT professional, you can ask application developers and software vendors to deliver applications that include an additional protection called Control Flow Guard (CFG). Für das Betriebssystem ist keine Konfiguration erforderlich. Der Schutz wird in Anwendungen kompiliert.No configuration is needed in the operating system—the protection is compiled into applications. Weitere Informationen finden Sie im Ablaufsteuerungsschutz.More information can be found in Control Flow Guard.

Tabelle 2  enthält die konfigurierbaren Gegenmaßnahmen von Windows10 zum Schutz gegen Arbeitsspeicher-Exploits.Table 2  Configurable Windows 10 mitigations designed to help protect against memory exploits

Risikominderung und entsprechende BedrohungMitigation and corresponding threat BeschreibungDescription
Datenausführungsverhinderung (Data Execution Prevention, DEP)Data Execution Prevention (DEP)
verhindert, dasshelps prevent
Pufferüberläufe ausgenutzt werden.exploitation of buffer overruns
Datenausführungsverhinderung (DEP) ist ein Feature zum Schutz des Arbeitsspeichers auf Systemebene, der in Windows-Betriebssystemen verfügbar ist.Data Execution Prevention (DEP) is a system-level memory protection feature available in Windows operating systems. DEP ermöglicht dem Betriebssystem, eine oder mehrere Seiten des Arbeitsspeichers als nicht ausführbar zu kennzeichnen, wodurch verhindert wird, dass Code aus diesem Speicherbereich ausgeführt wird und Pufferüberläufe ausgenutzt werden.DEP enables the operating system to mark one or more pages of memory as non-executable, which prevents code from being run from that region of memory, to help prevent exploitation of buffer overruns.
DEP verhindert, dass Code von Datenseiten, wie z.B. dem Standard-Heap, Stapeln und anderen Arbeitsspeicher-Pools ausgeführt wird.DEP helps prevent code from being run from data pages such as the default heap, stacks, and memory pools. Auch wenn einige Anwendungen Kompatibilitätsprobleme mit DEP vorweisen, der Großteil aller Anwendungen funktioniert.Although some applications have compatibility problems with DEP, the vast majority of applications do not.
Weitere Informationen finden Sie unter: Datenausführungsverhinderung weiter unten in diesem Thema.More information: Data Execution Prevention, later in this topic.

Gruppenrichtlinieneinstellungen: DEP ist für 64-Bit-Apps standardmäßig eingeschaltet, aber Sie können zusätzliche DEP-Schutzmaßnahmen konfigurieren, indem Sie die in Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschriebenen Gruppenrichtlinien verwenden.Group Policy settings: DEP is on by default for 64-bit applications, but you can configure additional DEP protections by using the Group Policy settings described in Override Process Mitigation Options to help enforce app-related security policies.
SEHOPSEHOP
verhindert, dasshelps prevent
strukturierte Ausnahmehandleroverwrites of the
überschrieben werden.Structured Exception Handler
Der Überschreibschutz für strukturierte Ausnahmebehandlung (Structured Exception Handling Overwrite Protection, SEHOP) wurde entwickelt, um Exploits zu blockieren, die strukturierte Ausnahmehandler (Structured Exception Handler, SEH) überschreiben.Structured Exception Handling Overwrite Protection (SEHOP) is designed to help block exploits that use the Structured Exception Handler (SEH) overwrite technique. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, schützt er Apps unabhängig davon, ob sie mit den aktuellen Verbesserungen kompiliert wurden.Because this protection mechanism is provided at run-time, it helps to protect apps regardless of whether they have been compiled with the latest improvements. Einige Anwendungen haben Kompatibilitätsprobleme mit SEHOP, deshalb sollten Sie sie zuerst für Ihre Umgebung testen.A few applications have compatibility problems with SEHOP, so be sure to test for your environment.
Weitere Informationen finden Sie unter: Überschreibschutz für strukturierte Ausnahmebehandlung weiter unten in diesem Thema.More information: Structured Exception Handling Overwrite Protection, later in this topic.

Gruppenrichtlinieneinstellungen: SEHOP ist für 64-Bit-Apps standardmäßig eingeschaltet, aber Sie können zusätzliche SEHOP-Schutzmaßnahmen konfigurieren, indem Sie die in Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschriebenen Gruppenrichtlinien verwenden.Group Policy setting: SEHOP is on by default for 64-bit applications, but you can configure additional SEHOP protections by using the Group Policy setting described in Override Process Mitigation Options to help enforce app-related security policies.
ASLRASLR
verringert Schadsoftware-helps mitigate malware
Angriffe basierend aufattacks based on
erwarteten Speicherbereichen.expected memory locations
Zufallsgestaltung des Adressraumlayouts (Address Space Layout Randomization, ASLR) lädt DLLs zur Startzeit in zufällige Speicherbereiche.Address Space Layout Randomization (ASLR) loads DLLs into random memory addresses at boot time. Dadurch wird die Abwehr von Schadsoftware erhöht, die darauf ausgelegt ist bestimmte Speicherbereiche zu attackieren, in die bestimmte DLLs voraussichtlich geladen werden.This helps mitigate malware that's designed to attack specific memory locations, where specific DLLs are expected to be loaded.
Weitere Informationen finden Sie unter: Zufallsgestaltung des Adressraumlayouts weiter unten in diesem Thema.More information: Address Space Layout Randomization, later in this topic.

Gruppenrichtlinieneinstellungen: ASLR ist für 64-Bit-Apps standardmäßig eingeschaltet, aber Sie können zusätzliche ASLR-Schutzmaßnahmen konfigurieren, indem Sie die in Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschriebenen Gruppenrichtlinien verwenden.Group Policy settings: ASLR is on by default for 64-bit applications, but you can configure additional ASLR protections by using the Group Policy settings described in Override Process Mitigation Options to help enforce app-related security policies.

Windows Defender SmartScreenWindows Defender SmartScreen

Windows Defender SmartScreen benachrichtigt Benutzer, wenn sie auf gemeldete Phishingwebsites und Websites mit Schadsoftware klicken, und hilft, sie vor unsicheren Downloads zu schützen und fundierte Entscheidungen hinsichtlich Downloads zu treffen.Windows Defender SmartScreen notifies users if they click on reported phishing and malware websites, and helps protect them against unsafe downloads or make informed decisions about downloads.

Bei Windows10 hat Microsoft die SmartScreen-Schutzfunktion (nun als Windows Defender-SmartScreen-Datei bezeichnet) verbessert, indem Sie die APP-Reputations Funktionen in das Betriebssystem selbst integriert hat, wodurch Windows Defender SmartScreen die Reputation von Dateien, die aus dem Internet heruntergeladen wurden, und warnen Benutzer, wenn Sie eine heruntergeladene Datei mit großem Risiko ausführen möchten.For Windows10, Microsoft improved SmartScreen (now called Windows Defender SmartScreen) protection capability by integrating its app reputation abilities into the operating system itself, which allows Windows Defender SmartScreen to check the reputation of files downloaded from the Internet and warn users when they’re about to run a high-risk downloaded file. Wenn ein Benutzer zum ersten Mal eine APP ausführt, die aus dem Internet stammt, überprüft Windows Defender SmartScreen die Reputation der Anwendung mithilfe digitaler Signaturen und anderer Faktoren für einen von Microsoft verwalteten Dienst.The first time a user runs an app that originates from the Internet, Windows Defender SmartScreen checks the reputation of the application by using digital signatures and other factors against a service that Microsoft maintains. Wenn die APP keine Reputation hat oder bekanntermaßen bösartig ist, warnt Windows Defender SmartScreen den Benutzer oder blockiert die Ausführung vollständig, je nachdem, wie der Administrator Microsoft InTune-oder Gruppenrichtlinieneinstellungen konfiguriert hat.If the app lacks a reputation or is known to be malicious, Windows Defender SmartScreen warns the user or blocks execution entirely, depending on how the administrator has configured Microsoft Intune or Group Policy settings.

Weitere Informationen finden Sie unter Übersicht über Windows Defender SmartScreen.For more information, see Windows Defender SmartScreen overview.

Windows Defender AntivirusWindows Defender Antivirus

Windows Defender Antivirus Windows10 verwendet einen differenzierten Ansatz zur Verbesserung der Antischadsoftware:Windows Defender Antivirus in Windows 10 uses a multi-pronged approach to improve antimalware:

  • Von der Cloud bereitgestellter Schutz erkennt und blockiert neue Schadsoftware innerhalb von Sekunden, auch wenn die Schadsoftware bisher noch nie vorgekommen ist.Cloud-delivered protection helps detect and block new malware within seconds, even if the malware has never been seen before. Der ab Windows10, Version 1703, verfügbare Dienst verwendet verteilte Ressourcen und Computer, die lernen, Schutz für die Endpunkte in einer Geschwindigkeit bereitzustellen, die viel schneller als herkömmliche Signaturaktualisierungen ist.The service, available as of Windows 10, version 1703, uses distributed resources and machine learning to deliver protection to endpoints at a rate that is far faster than traditional signature updates.

  • Umfassender lokaler Kontext verbessert die Identifizierung von Schadsoftware.Rich local context improves how malware is identified. Windows 10 informiert Windows Defender Antivirus nicht nur über Inhalte wie Dateien und Prozesse, sondern auch darüber, woher der Inhalt stammt, wo er gespeichert wurde und vieles mehr.Windows 10 informs Windows Defender Antivirus not only about content like files and processes but also where the content came from, where it has been stored, and more. Die Informationen zur Quelle und zum Verlauf ermöglichen Windows Defender Antivirus das Anwenden verschiedener Prüfungsstufen auf verschiedene Inhalte.The information about source and history enables Windows Defender Antivirus to apply different levels of scrutiny to different content.

  • Umfangreiche globale Sensoren tragen dazu bei, Windows Defender Antivirus, auch im Hinblick auf die neueste Schadsoftware, auf dem aktuellen Stand zu halten.Extensive global sensors help keep Windows Defender Antivirus current and aware of even the newest malware. Dies erfolgt auf zwei Arten: durch Sammeln der Daten des umfassenden lokalen Kontexts von Endpunkten und das zentrale Analysieren dieser Daten.This is accomplished in two ways: by collecting the rich local context data from end points and by centrally analyzing that data.

  • Mit dem Nachweis von Manipulation schützt sich Windows Defender Antivirus selbst vor Angriffen durch Schadsoftware.Tamper proofing helps guard Windows Defender Antivirus itself against malware attacks. Windows Defender Antivirus verwendet beispielsweise geschützte Prozesse, die nicht vertrauenswürdige Prozesse daran hindern, Windows Defender Antivirus-Komponenten, seine Registrierungsschlüssel usw. zu manipulieren.For example, Windows Defender Antivirus uses Protected Processes, which prevents untrusted processes from attempting to tamper with Windows Defender Antivirus components, its registry keys, and so on. (Geschützte Prozesse wird später in diesem Thema beschrieben.)(Protected Processes is described later in this topic.)

  • Features auf Unternehmensebene stellt IT-Spezialisten Tools und Konfigurationsoptionen bereit, die Windows Defender Antivirus zu einer Antischadsoftware-Lösung auf Unternehmensebene werden lassen.Enterprise-level features give IT pros the tools and configuration options necessary to make Windows Defender Antivirus an enterprise-class antimalware solution.

Weitere Informationen finden Sie unter Windows Defender in Windows10 und Übersicht über Windows Defender für Windows Server.For more information, see Windows Defender in Windows 10 and Windows Defender Overview for Windows Server.

Informationen zum erweiterten Bedrohungsschutz von Microsoft Defender, einem Dienst, der Unternehmen hilft, erweiterte und gezielte Angriffe auf Ihre Netzwerke zu erkennen, zu untersuchen und darauf zu reagieren, finden Sie unter Microsoft Defender Advanced Threat Protection (ATP) (Ressourcen) und Microsoft Defender Advanced Threat Protection (ATP) (Dokumentation).For information about Microsoft Defender Advanced Threat Protection, a service that helps enterprises to detect, investigate, and respond to advanced and targeted attacks on their networks, see Microsoft Defender Advanced Threat Protection (ATP) (resources) and Microsoft Defender Advanced Threat Protection (ATP) (documentation).

DatenausführungsverhinderungData Execution Prevention

Der Erfolg von Schadsoftware hängt von ihrer Möglichkeit ab, eine schädliche Nutzlast in den Speicher einzufügen, in der Hoffnung, dass diese später ausgeführt wird.Malware depends on its ability to insert a malicious payload into memory with the hope that it will be executed later. Wäre es nicht gut, wenn Sie die Ausführung von Schadsoftware verhindern könnten, wenn sie in einen Bereich schreibt, der ausschließlich für die Speicherung von Informationen zugewiesen wurde?Wouldn’t it be great if you could prevent malware from running if it wrote to an area that has been allocated solely for the storage of information?

Die Datenausführungsverhinderung (DEP) bietet genau diese Funktion, indem der Bereich des Speichers reduziert wird, der von schädlichem Code ausgenutzt werden kann.Data Execution Prevention (DEP) does exactly that, by substantially reducing the range of memory that malicious code can use for its benefit. DEP verwendet das No eXecute-Bit auf modernen CPUs, um Speicherblöcke als schreibgeschützt zu markieren, damit diese Blöcke nicht zur Ausführung von schädlichem Code genutzt werden können, der durch das Ausnutzen eines Sicherheitsrisikos eingefügt wurde.DEP uses the No eXecute bit on modern CPUs to mark blocks of memory as read-only so that those blocks can’t be used to execute malicious code that may be inserted by means of a vulnerability exploit.

Verwenden des Task-Managers zum Anzeigen von DEP verwendende AppsTo use Task Manager to see apps that use DEP

  1. Öffnen Sie den Task-Manager: Drücken Sie STRG+ALT+ENTF und wählen Sie Task-Manager, oder suchen Sie die Startseite.Open Task Manager: Press Ctrl+Alt+Del and select Task Manager, or search the Start screen.

  2. Klicken Sie auf Weitere Details (falls erforderlich), und klicken Sie dann auf die Registerkarte Details .Click More Details (if necessary), and then click the Details tab.

  3. Klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift und dann auf Spalten auswählen.Right-click any column heading, and then click Select Columns.

  4. Aktivieren Sie im Dialogfeld Spalten auswählen das letzte Kontrollkästchen Datenausführungsverhinderung .In the Select Columns dialog box, select the last Data Execution Prevention check box.

  5. Klicken Sie auf OK.Click OK.

Jetzt können Sie sehen, für welche Prozesse DEP aktiviert ist.You can now see which processes have DEP enabled.

Prozesse mit aktivierter Datenausführungsverhinderung in Windows10

Abbildung 2.  Prozesse, für die DEP in Windows10  aktiviert wurdeFigure 2.  Processes on which DEP has been enabled in Windows10

Sie können mithilfe der „Systemsteuerung“ DEP-Einstellungen anzeigen oder ändern.You can use Control Panel to view or change DEP settings.

Verwenden der Systemsteuerung zum Anzeigen oder Ändern von DEP-Einstellungen auf einem einzelnen PCTo use Control Panel to view or change DEP settings on an individual PC

  1. Öffnen Sie „Systemsteuerung“, „System“: Klicken Sie auf "Start", geben Sie Systemsteuerung-Systemein, und drücken Sie die EINGABETASTE.Open Control Panel, System: click Start, type Control Panel System, and press ENTER.

  2. Klicken Sie auf Erweiterte Systemeinstellungen, und klicken Sie auf die Registerkarte Erweitert.Click Advanced system settings, and then click the Advanced tab.

  3. Klicken Sie im Bereich Leistung auf Einstellungen.In the Performance box, click Settings.

  4. Klicken Sie in Leistungsoptionen auf die Registerkarte Datenausführungsverhinderung.In Performance Options, click the Data Execution Prevention tab.

  5. Wählen Sie eine Option aus:Select an option:

    • Datenausführungsverhinderung nur für erforderlich Windows-Programme und -Dienste einschaltenTurn on DEP for essential Windows programs and services only

    • Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten.Turn on DEP for all programs and services except those I select. Wenn Sie diese Option auswählen, verwenden Sie die Schaltflächen Hinzufügen und Entfernen, um eine Liste mit Ausnahmen zu erstellen, für die DEP nicht aktiviert wird.If you choose this option, use the Add and Remove buttons to create the list of exceptions for which DEP will not be turned on.

Verwenden von Gruppenrichtlinien zum Steuern von DEP-EinstellungenTo use Group Policy to control DEP settings

Verwenden Sie die Gruppenrichtlinieneinstellungen namens Optionen für den Prozessausgleich, um die DEP-Einstellungen zu steuern.You can use the Group Policy setting called Process Mitigation Options to control DEP settings. Einige Anwendungen haben Kompatibilitätsprobleme mit DEP, deshalb sollten Sie sie zuerst für Ihre Umgebung testen.A few applications have compatibility problems with DEP, so be sure to test for your environment. Informationen zum Verwenden der Gruppenrichtlinieneinstellungen finden Sie unter Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien.To use the Group Policy setting, see Override Process Mitigation Options to help enforce app-related security policies.

Überschreibschutz für strukturierte AusnahmebehandlungStructured Exception Handling Overwrite Protection

Der Überschreibschutz für strukturierte Ausnahmebehandlung (Structured Exception Handling Overwrite Protection, SEHOP) verhindert, dass Angreifer mithilfe von schädlichem Code die Strukturierten Ausnahmehandler ausnutzen können, die als wesentlicher Systembestandteil (nicht-schädlichen) Apps die korrekte Ausnahmebehandlung ermöglichen.Structured Exception Handling Overwrite Protection (SEHOP) helps prevent attackers from being able to use malicious code to exploit the Structured Exception Handler (SEH), which is integral to the system and allows (non-malicious) apps to handle exceptions appropriately. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, schützt er Anwendungen unabhängig davon, ob sie mit den aktuellen Verbesserungen kompiliert wurden.Because this protection mechanism is provided at run-time, it helps to protect applications regardless of whether they have been compiled with the latest improvements.

Verwenden Sie die Gruppenrichtlinieneinstellungen namens Optionen für den Prozessausgleich, um die SEHOP-Einstellungen zu steuern.You can use the Group Policy setting called Process Mitigation Options to control the SEHOP setting. Einige Anwendungen haben Kompatibilitätsprobleme mit SEHOP, deshalb sollten Sie sie zuerst für Ihre Umgebung testen.A few applications have compatibility problems with SEHOP, so be sure to test for your environment. Informationen zum Verwenden der Gruppenrichtlinieneinstellungen finden Sie unter Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien.To use the Group Policy setting, see Override Process Mitigation Options to help enforce app-related security policies.

Zufallsgestaltung des AdressraumlayoutsAddress Space Layout Randomization

Eine der gängigsten Techniken, um Zugriff auf ein System zu erlangen, ist das Ermitteln eines Sicherheitsrisikos in einem privilegierten Prozess, der bereits ausgeführt wird, das Erraten oder Ermitteln des Speicherorts von wichtigem Systemcode oder Daten im Speicher und das anschließende Überschreiben dieser Informationen mit einer schädlichen Nutzlast.One of the most common techniques used to gain access to a system is to find a vulnerability in a privileged process that is already running, guess or find a location in memory where important system code and data have been placed, and then overwrite that information with a malicious payload. Jegliche Schadsoftware, die direkt in den Arbeitsspeicher des Systems schreiben kann, könnte ihn in bekannten und vorhersagbaren Speicherorten einfach überschreiben.Any malware that could write directly to the system memory could simply overwrite it in well-known and predictable locations.

Die Zufallsgestaltung des Adressraumlayouts (ASLR) macht diese Art von Angriff weitaus schwieriger, da sie zufällig festlegt, wie und wo wichtige Daten im Arbeitsspeicher gespeichert werden.Address Space Layout Randomization (ASLR) makes that type of attack much more difficult because it randomizes how and where important data is stored in memory. Mit ASLR ist es für Schadsoftware schwieriger, den bestimmten Speicherort für den Angriff zu ermitteln.With ASLR, it is more difficult for malware to find the specific location it needs to attack. Abbildung 3 veranschaulicht die Funktionsweise von ASLR, indem gezeigt wird, wie die Speicherorte verschiedener wichtiger Windows-Komponenten im Arbeitsspeicher zwischen Neustarts geändert werden können.Figure 3 illustrates how ASLR works by showing how the locations of different critical Windows components can change in memory between restarts.

ASLR im Einsatz

Abbildung3.  ASLR im EinsatzFigure 3.  ASLR at work

Windows10 wendet ASLR im gesamten System ganzheitlich an und erhöht den Entropie Grad im Vergleich zu früheren Versionen von Windows, um anspruchsvolle Angriffe wie das Sprühen von Heaps zu bekämpfen.Windows10 applies ASLR holistically across the system and increases the level of entropy many times compared with previous versions of Windows to combat sophisticated attacks such as heap spraying. 64-Bit-System-und Anwendungsprozesse können einen enorm erhöhten Speicherplatz nutzen, wodurch es für Malware noch schwieriger ist, vorherzusagen, wo Windows10 wichtige Daten speichert.64-bit system and application processes can take advantage of a vastly increased memory space, which makes it even more difficult for malware to predict where Windows10 stores vital data. Wird die zufällige Speicheranordnung von ASLR auf Systemen mit TPMs verwendet, ist sie auf verschiedenen Geräten zunehmend einzigartig. Dies macht es noch schwieriger, einen Exploit, der auf einem Gerät erfolgreich war, auch auf anderen Geräten zuverlässig einzusetzen.When used on systems that have TPMs, ASLR memory randomization will be increasingly unique across devices, which makes it even more difficult for a successful exploit that works on one system to work reliably on another.

Verwenden Sie die Gruppenrichtlinieneinstellungen namens Optionen für den Prozessausgleich, um ASLR-Einstellungen ("ASLR erzwingen" und "ASLR Bottom-Up") zu steuern, wie unter Außerkraftsetzen von Optionen für den Prozessausgleich zum Erzwingen von App-bezogenen Sicherheitsrichtlinien beschrieben.You can use the Group Policy setting called Process Mitigation Options to control ASLR settings (“Force ASLR” and “Bottom-up ASLR”), as described in Override Process Mitigation Options to help enforce app-related security policies.

In Windows 10 integrierte GegenmaßnahmenMitigations that are built in to Windows 10

Windows10 bietet viele Gegenmaßnahmen gegen Bedrohungen zum Schutz vor Exploits, die in das Betriebssystem integriert sind und keine Konfiguration innerhalb des Betriebssystems benötigen.Windows 10 provides many threat mitigations to protect against exploits that are built into the operating system and need no configuration within the operating system. In der folgenden Tabelle werden einige dieser Gegenmaßnahmen beschrieben.The table that follows describes some of these mitigations.

Der Ablaufsteuerungsschutz (Control Flow Guard, CFG) ist eine Gegenmaßnahme, die im Betriebssystem nicht konfiguriert werden muss, aber ein Anwendungsentwickler muss die Gegenmaßnahme in der Anwendung konfigurieren, wenn sie kompiliert wurde.Control Flow Guard (CFG) is a mitigation that does not need configuration within the operating system, but does require that an application developer configure the mitigation into the application when it’s compiled. CFG ist in Microsoft Edge, IE11 und anderen Bereichen in Windows10 integriert und kann beim Kompilieren in vielen anderen Anwendungen erstellt werden.CFG is built into Microsoft Edge, IE11, and other areas in Windows 10, and can be built into many other applications when they are compiled.

Tabelle 3: Windows 10-Schutzmaßnahmen zum Schutz vor Speicher Ausnutzungen – keine Konfiguration erforderlichTable 3 Windows 10 mitigations to protect against memory exploits – no configuration needed

Risikominderung und entsprechende BedrohungMitigation and corresponding threat BeschreibungDescription
SMB-Härtung für SYSVOL und NETLOGON-FreigabenSMB hardening for SYSVOL and NETLOGON shares
verringerthelps mitigate
Man-in–the-middle-Angriffe.man-in-the-middle attacks
Für Clientverbindungen zu den Active Directory-Domänendiensten mit SYSVOL- und NETLOGON-Standardfreigaben auf Domänencontrollern sind jetzt SMB-Signaturen und die gegenseitige Authentifizierung (wie etwa Kerberos) erforderlich.Client connections to the Active Directory Domain Services default SYSVOL and NETLOGON shares on domain controllers now require SMB signing and mutual authentication (such as Kerberos).

Weitere Informationen finden Sie unter: SMB-Härtungsverbesserungen für SYSVOL- und NETLOGON-Freigaben weiter unten in diesem Thema.More information: SMB hardening improvements for SYSVOL and NETLOGON shares, later in this topic.
Geschützte ProzesseProtected Processes
verhindern, dass ein Prozesshelp prevent one process
durch einen anderenfrom tampering with another
Prozess manipuliert wird.process
Mit dem Feature „Geschützte Prozesse“ verhindert Windows 10, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren.With the Protected Processes feature, Windows 10 prevents untrusted processes from interacting or tampering with those that have been specially signed.

Weitere Informationen finden Sie unter: Geschützte Prozesse weiter unten in diesem Thema.More information: Protected Processes, later in this topic.
Schutzmechanismen universeller Windows-AppsUniversal Windows apps protections
überprüfen herunterladbarescreen downloadable
Apps, und führen sieapps and run them in
in einer AppContainer-Sandbox aus.an AppContainer sandbox
Universelle Windows-Apps werden sorgfältig überprüft, bevor sie zur Verfügung gestellt werden, und sie werden in einer AppContainer-Sandbox mit eingeschränkten Berechtigungen und Funktionen ausgeführt.Universal Windows apps are carefully screened before being made available, and they run in an AppContainer sandbox with limited privileges and capabilities.

Weitere Informationen finden Sie unter: Schutzmechanismen universeller Windows-Apps weiter unten in diesem Thema.More information: Universal Windows apps protections, later in this topic.
Heap-SchutzmechanismenHeap protections
verhindernhelp prevent
die Nutzung des Heapsexploitation of the heap
Windows10 enthält Heap-Schutzmechanismen, wie z.B. die Verwendung interner Datenstrukturen, die vor Beschädigungen des vom Heap verwendeten Speichers schützen.Windows 10 includes protections for the heap, such as the use of internal data structures which help protect against corruption of memory used by the heap.

Weitere Informationen finden Sie unter: Windows Heap-Schutzmechanismen weiter unten in diesem Thema.More information: Windows heap protections, later in this topic.
Kernel-Pool-SchutzmechanismenKernel pool protections
verhindernhelp prevent
die Nutzung des Poolspeichers,exploitation of pool memory
der vom Kernel verwendet wird.used by the kernel
Windows10 enthält Schutzmechanismen für den vom Kernel verwendeten Speicherpool.Windows 10 includes protections for the pool of memory used by the kernel. Das sichere Aufheben einer Verknüpfung beispielsweise schützt gegen Poolüberläufe, wobei diese mit Aufhebungsvorgängen kombiniert werden, die wiederum für einen Angriff verwendet werden können.For example, safe unlinking protects against pool overruns that are combined with unlinking operations that can be used to create an attack.

Weitere Informationen finden Sie unter: Kernel-Pool-Schutzmechanismen weiter unten in diesem Thema.More information: Kernel pool protections, later in this topic.
AblaufsteuerungsschutzControl Flow Guard
verringert Exploits,helps mitigate exploits
die auf dem Ablaufthat are based on
zwischen Codespeicherortenflow between code locations
im Arbeitsspeicher basieren.in memory
Ablaufsteuerungsschutz (Control Flow Blocker, CFG) ist eine Gegenmaßnahme, für die keine Konfiguration im Betriebssystem erforderlich ist, da sie beim Kompilieren in die Software integriert wird.Control Flow Guard (CFG) is a mitigation that requires no configuration within the operating system, but instead is built into software when it’s compiled. Sie ist in Microsoft Edge, IE11 und in anderen Bereichen von Windows10 integriert.It is built into Microsoft Edge, IE11, and other areas in Windows 10. CFG kann in Anwendungen integriert werden, die in C oder C++ geschrieben wurden, oder in Anwendungen, die mit Visual Studio 2015 kompiliert werden.CFG can be built into applications written in C or C++, or applications compiled using Visual Studio 2015.
Für solche Anwendungen kann CFG den Versuch von Angreifern erkennen, den beabsichtigten Codeverlauf zu ändern.For such an application, CFG can detect an attacker’s attempt to change the intended flow of code. In diesem Fall beendet CFG die Anwendung.If this occurs, CFG terminates the application. Sie können Softwareanbieter bitten, Windows-Anwendungen bereitzustellen, bei deren Kompilierung CFG aktiviert wurde.You can request software vendors to deliver Windows applications compiled with CFG enabled.

Weitere Informationen finden Sie unter: Ablaufsteuerungsschutz weiter unten in diesem Thema.More information: Control Flow Guard, later in this topic.
In Microsoft Edge integrierte Schutzmechanismen (Browser)Protections built into Microsoft Edge (the browser)
verringern zahlreichehelps mitigate multiple
Bedrohungen.threats
Windows10 beinhaltet einen völlig neuen Browser, Microsoft Edge, der mit zahlreichen Sicherheitsverbesserungen entwickelt wurde.Windows 10 includes an entirely new browser, Microsoft Edge, designed with multiple security improvements.

Weitere Informationen finden Sie unter: Microsoft Edge und Internet Explorer11 weiter unten in diesem Thema.More information: Microsoft Edge and Internet Explorer 11, later in this topic.

SMB-Härtungsverbesserungen für SYSVOL- und NETLOGON-FreigabenSMB hardening improvements for SYSVOL and NETLOGON shares

Unter Windows10 und Windows Server2016 sind für Clientverbindungen zu den Active Directory Domain Services mit SYSVOL- und NETLOGON-Standardfreigaben auf Domänencontrollern Server Message Block (SMB)-Signaturen und die gegenseitige Authentifizierung (wie etwa Kerberos) erforderlich.In Windows 10 and Windows Server 2016, client connections to the Active Directory Domain Services default SYSVOL and NETLOGON shares on domain controllers require Server Message Block (SMB) signing and mutual authentication (such as Kerberos). Damit wird die Wahrscheinlichkeit von Man-in-the-Middle-Angriffen verringert.This reduces the likelihood of man-in-the-middle attacks. Wenn die SMB-Signierung und die gegenseitige Authentifizierung nicht verfügbar sind, kann ein Computer mit Windows 10 oder Windows Server2016 keine domänenbasierten Gruppenrichtlinien und Skripts verarbeiten.If SMB signing and mutual authentication are unavailable, a computer running Windows 10 or Windows Server 2016 won’t process domain-based Group Policy and scripts.

Hinweis

Die Registrierungswerte für diese Einstellungen sind nicht standardmäßig vorhanden, aber die Härtungsregeln gelten weiterhin, bis diese von Gruppenrichtlinien oder anderen Registrierungswerten überschrieben werden.The registry values for these settings aren’t present by default, but the hardening rules still apply until overridden by Group Policy or other registry values. Weitere Informationen zu diesen Sicherheitsverbesserungen (auch als UNC-Härtung bezeichnet) finden Sie im Microsoft Knowledge Base-Artikel 3000483 und unter MS15-011 & MS15-014: Härtung von Gruppenrichtlinien.For more information on these security improvements, (also referred to as UNC hardening), see Microsoft Knowledge Base article 3000483 and MS15-011 & MS15-014: Hardening Group Policy.

Geschützte ProzesseProtected Processes

Die meisten Sicherheitskontrollen sind darauf ausgelegt, den anfänglichen Infektionspunkt zu verhindern.Most security controls are designed to prevent the initial infection point. Trotz bester vorbeugenden Maßnahmen, könnte Schadsoftware vielleicht trotzdem eine Möglichkeit finden, das System zu infizieren.However, despite all the best preventative controls, malware might eventually find a way to infect the system. Daher sind einige Schutzmechanismen integriert, die die Schadsoftware einschränken, wenn sie auf das Gerät gelangt.So, some protections are built to place limits on malware that gets on the device. Geschützte Prozesse erstellen diese Art von Einschränkungen.Protected Processes creates limits of this type.

Mit geschützten Prozessen verhindert Windows 10, dass nicht vertrauenswürdige Prozesse mit speziell signierten Prozessen interagieren oder diese manipulieren.With Protected Processes, Windows 10 prevents untrusted processes from interacting or tampering with those that have been specially signed. Geschützte Prozesse definieren Vertrauensebenen für Prozesse.Protected Processes defines levels of trust for processes. Es wird verhindert, dass weniger vertrauenswürdige Prozesse mit vertrauenswürdigeren Prozessen interagieren und diese angreifen.Less trusted processes are prevented from interacting with and therefore attacking more trusted processes. Windows10 verwendet geschützte Prozesse im gesamten Betriebssystem, und wie in Windows8.1, sind diese so implementiert, dass sie von Antischadsoftware-Drittanbietern verwendet werden können, wie unter Schutz von Antischadsoftware-Diensten beschrieben.Windows 10 uses Protected Processes more broadly across the operating system, and as in Windows 8.1, implements them in a way that can be used by 3rd party anti-malware vendors, as described in Protecting Anti-Malware Services. Dadurch wird das System und Antischadsoftware-Lösungen weniger anfällig für Manipulationen durch Schadsoftware, die es auf das System schafft.This helps make the system and antimalware solutions less susceptible to tampering by malware that does manage to get on the system.

Schutzmechanismen universeller Windows-AppsUniversal Windows apps protections

Wenn Benutzer universelle Windows-Apps aus dem Microsoft Store herunterladen, ist es unwahrscheinlich, dass Schadsoftware auftritt, weil alle Apps einen sorgfältigen Prüfungsprozess durchlaufen, bevor Sie im Store zur Verfügung gestellt werden.When users download Universal Windows apps from the Microsoft Store, it’s unlikely that they will encounter malware because all apps go through a careful screening process before being made available in the store. Apps, die von Organisationen erstellt und durch Querladeprozesse verteilt werden, müssen intern überprüft werden, um sicherzustellen, dass sie die Sicherheitsanforderungen der Organisation erfüllen.Apps that organizations build and distribute through sideloading processes will need to be reviewed internally to ensure that they meet organizational security requirements.

Unabhängig davon, wie Benutzer universelle Windows-Apps erhalten, sind diese zunehmend vertrauenswürdig.Regardless of how users acquire Universal Windows apps, they can use them with increased confidence. Universelle Windows-Apps werden in einer AppContainer-Sandbox mit eingeschränkten Berechtigungen und Funktionen ausgeführt.Universal Windows apps run in an AppContainer sandbox with limited privileges and capabilities. Universelle Windows-Apps haben beispielsweise keinen Zugriff auf Systemebene, ihre Interaktionen mit anderen Apps sind stark kontrolliert, und sie haben keinen Zugriff auf Daten, außer der Benutzer gewährt die Anwendungsberechtigung explizit.For example, Universal Windows apps have no system-level access, have tightly controlled interactions with other apps, and have no access to data unless the user explicitly grants the application permission.

Darüber hinaus folgen alle universellen Windows-Apps dem Sicherheitsprinzip der geringsten Rechte.In addition, all Universal Windows apps follow the security principle of least privilege. Apps erhalten nur die Rechte, die mindestens zum Ausführen legitimer Aufgaben erforderlich sind. Auch wenn ein Angreifer die App missbraucht, ist der mögliche Schaden daher stark eingeschränkt und sollte nur innerhalb des Sandkastens Auswirkungen haben.Apps receive only the minimum privileges they need to perform their legitimate tasks, so even if an attacker exploits an app, the damage the exploit can do is severely limited and should be contained within the sandbox. Der Microsoft Store zeigt die genauen Funktionen, die von der App benötigt werden (z. B. Zugriff auf die Kamera) an, zusammen mit der Altersfreigabe und dem Herausgeber der App.The Microsoft Store displays the exact capabilities the app requires (for example, access to the camera), along with the app’s age rating and publisher.

Windows Heap-SchutzmechanismenWindows heap protections

Der Heap ist ein Ort im Arbeitsspeicher, den Windows zum Speichern dynamischer Anwendungsdaten nutzt.The heap is a location in memory that Windows uses to store dynamic application data. Windows10 wird bei früheren Windows-Heap Designs weiterhin verbessert, indem das Risiko von Heap-Exploits, die als Teil eines Angriffs verwendet werden könnten, weiter verringert wird.Windows10 continues to improve on earlier Windows heap designs by further mitigating the risk of heap exploits that could be used as part of an attack.

Windows10 hat mehrere wichtige Verbesserungen an der Sicherheit des Heaps:Windows10 has several important improvements to the security of the heap:

  • Heap-Metadaten-Härtung für interne, vom Heap verwendete Datenstrukturen zum Schutz gegen Speicherbeschädigungen.Heap metadata hardening for internal data structures that the heap uses, to improve protections against memory corruption.

  • Zufällige Heap-Zuweisung, d.h. die Verwendung von zufälligen Speicherorten und -größen für Heap-Speicherzuweisungen, die es Angreifern erschwert, den Ort von kritischem Speicher vorherzusagen, der überschrieben werden soll.Heap allocation randomization, that is, the use of randomized locations and sizes for heap memory allocations, which makes it more difficult for an attacker to predict the location of critical memory to overwrite. Insbesondere fügt Windows10 einen zufälligen Offset zur Adresse eines neu zugewiesenen Heaps hinzu, wodurch die Zuordnung deutlich unvorhersehbarer wird.Specifically, Windows10 adds a random offset to the address of a newly allocated heap, which makes the allocation much less predictable.

  • Heap-Schutzseiten vor und nach Speicherblöcken dienen als Hindernisse.Heap guard pages before and after blocks of memory, which work as tripwires. Wenn ein Angreifer versucht, über einen Speicherblock hinaus zu schreiben (eine gängige Technik, die als Pufferüberlauf bezeichnet wird), muss er eine Schutzseite überschreiben.If an attacker attempts to write past a block of memory (a common technique known as a buffer overflow), the attacker will have to overwrite a guard page. Jeder Versuch, eine Guard-Seite zu ändern, gilt als Speicherbeschädigung, und Windows10 antwortet, indem die APP sofort beendet wird.Any attempt to modify a guard page is considered a memory corruption, and Windows10 responds by instantly terminating the app.

Kernel-Pool-SchutzmechanismenKernel pool protections

Der Kernel des Windows-Betriebssystems reserviert zwei Arbeitsspeicher-Pools, einen als physischen Arbeitsspeicher ("nicht ausgelagerter Pool") und einen, der in den Arbeitsspeicher ("ausgelagerten Pool") ein- und ausgelagert werden kann.The operating system kernel in Windows sets aside two pools of memory, one that remains in physical memory (“nonpaged pool”) and one that can be paged in and out of physical memory (“paged pool”). Es gibt viele Arten von Angriffen, die gegen diese Pools unternommen wurden, wie z.B. Prozesskontingent-Zeigercodierung, Lookaside, verzögerungsfreie und Poolseiten-Cookies, sowie Grenzenprüfungen des PoolIndex.There are many types of attacks that have been attempted against these pools, such as process quota pointer encoding; lookaside, delay free, and pool page cookies; and PoolIndex bounds checks. Windows10 verfügt über mehrere Schutzmechanismen zur „Pool-Härtung“ wie, z.B. Integritätsprüfungen, die den Kernel-Pool gegen derartige Angriffe schützen.Windows 10 has multiple “pool hardening” protections, such as integrity checks, that help protect the kernel pool against such attacks.

Zusätzlich zur Pool-Härtung sind in Windows10 weitere Features zur Kernel-Härtung enthalten:In addition to pool hardening, Windows 10 includes other kernel hardening features:

  • Kernel-DEP und Kernel-ASLR: Funktionieren nach den gleichen Prinzipien wie Datenausführungsverhinderung und Zufallsgestaltung des Adressraumlayouts wie weiter oben in diesem Thema beschrieben.Kernel DEP and Kernel ASLR: Follow the same principles as Data Execution Prevention and Address Space Layout Randomization, described earlier in this topic.

  • Schriftartenanalyse im AppContainer: isoliert die Schriftartenanalyse in eine AppContainer-Sandbox.Font parsing in AppContainer: Isolates font parsing in an AppContainer sandbox.

  • Deaktivierung von NTVirtual DOS Machine (NTVDM): das alte NTVDM-Kernelmodul (für die Ausführung von 16-Bit-Anwendungen) ist standardmäßig deaktiviert, wodurch die zugehörigen Sicherheitsanfälligkeiten neutralisiert werden.Disabling of NTVirtual DOS Machine (NTVDM): The old NTVDM kernel module (for running 16-bit applications) is disabled by default, which neutralizes the associated vulnerabilities. (Eine Aktivierung der NTVDM verringert den Schutz gegen NULL-Dereferenzierung und andere Exploits.)(Enabling NTVDM decreases protection against Null dereference and other exploits.)

  • Ausführungsverhinderung im Vorgesetztenmodus (Supervisor Mode Execution Prevention, SMEP): verhindert, dass den Kernel (der "Vorgesetzte") Code in Benutzerseiten ausführt, eine von Angreifern übliche Technik für die Rechteerweiterung (Elevation of privilege, EOP) für den lokalen Kernel.Supervisor Mode Execution Prevention (SMEP): Helps prevent the kernel (the “supervisor”) from executing code in user pages, a common technique used by attackers for local kernel elevation of privilege (EOP). Dies erfordert eine Prozessorunterstützung, die in Intel Ivy Bridge oder späteren Prozessoren sowie ARM mit PXN-Unterstützung vorhanden ist.This requires processor support found in Intel Ivy Bridge or later processors, or ARM with PXN support.

  • Sicheres Aufheben einer Verknüpfung: trägt zum Schutz gegen Poolüberläufe bei, die mit Aufhebungsvorgängen kombiniert werden, um einen Angriff zu starten.Safe unlinking: Helps protect against pool overruns that are combined with unlinking operations to create an attack. Windows10 beinhaltet das sichere Aufheben von Verknüpfungen global, wodurch auch das sichere Aufheben von Verknüpfungen der Heap- und Kernel-Pools mit allen Verwendungen von LIST_ENTRY enthalten ist, sowie einen „FastFail“-Mechanismus zum schnellen und sicheren Beenden von Prozessen.Windows 10 includes global safe unlinking, which extends heap and kernel pool safe unlinking to all usage of LIST_ENTRY and includes the “FastFail” mechanism to enable rapid and safe process termination.

  • Speicherreservierungen: Die niedrigsten 64 KB des Prozessspeichers sind für das System reserviert.Memory reservations: The lowest 64 KB of process memory is reserved for the system. Apps dürfen diesen Teils des Speichers nicht zuweisen.Apps are not allowed to allocate that portion of the memory. Dies erschwert es Schadsoftware, Techniken anzuwenden, wie z.B. „NULL-Dereferenzierung“, um kritische Systemdatenstrukturen im Arbeitsspeicher zu überschreiben.This makes it more difficult for malware to use techniques such as “NULL dereference” to overwrite critical system data structures in memory.

AblaufsteuerungsschutzControl Flow Guard

Wenn Anwendungen in den Speicher geladen werden, wird ihnen basierend auf der Größe des Codes, des angeforderten Speicherplatzes und anderen Faktoren Speicherplatz zugewiesen.When applications are loaded into memory, they are allocated space based on the size of the code, requested memory, and other factors. Wenn eine Anwendung mit der Ausführung von Code beginnt, ruft sie zusätzlichen Code auf, der sich in anderen Arbeitsspeicheradressen befindet.When an application begins to execute code, it calls additional code located in other memory addresses. Die Beziehungen zwischen den Codespeicherorten sind bekannt – sie stehen im Code selbst – aber in älteren Versionen als Windows 10 wurde der Ablauf zwischen diesen Speicherorten nicht erzwungen; dies bietet Angreifern die Möglichkeit, den Ablauf ihren Bedürfnissen anzupassen.The relationships between the code locations are well known—they are written in the code itself—but previous to Windows 10, the flow between these locations was not enforced, which gave attackers the opportunity to change the flow to meet their needs.

Diese Art von Bedrohung wird unter Windows 10 durch den Ablaufsteuerungsschutz (Control Flow Blocker, CFG) verringert.This kind of threat is mitigated in Windows 10 through the Control Flow Guard (CFG) feature. Wenn eine vertrauenswürdige Anwendung, die zur Verwendung von CFG kompiliert wurde, Code aufruft, überprüft CFG, ob der aufgerufene Codespeicherort für die Ausführung vertrauenswürdig ist.When a trusted application that was compiled to use CFG calls code, CFG verifies that the code location called is trusted for execution. Wenn der Speicherort nicht vertrauenswürdig ist, gilt die Anwendung als potenzielles Sicherheitsrisiko und wird sofort beendet.If the location is not trusted, the application is immediately terminated as a potential security risk.

Ein Administrator kann CFG nicht konfigurieren. Stattdessen kann ein Anwendungsentwickler CFG nutzen, indem er das Feature beim Kompilieren der Anwendung konfiguriert.An administrator cannot configure CFG; rather, an application developer can take advantage of CFG by configuring it when the application is compiled. Sie sollten Anwendungsentwickler und Softwareanbieter auffordern, vertrauenswürdige Windows-Anwendungen bereitzustellen, bei deren Kompilierung CFG aktiviert wurde.Consider asking application developers and software vendors to deliver trustworthy Windows applications compiled with CFG enabled. Es kann beispielsweise für in C oder C++ geschriebenen Anwendungen aktiviert werden, oder in Anwendungen, die mit Visual Studio2015 kompiliert werden.For example, it can be enabled for applications written in C or C++, or applications compiled using Visual Studio 2015. Weitere Informationen zum Aktivieren von CFG für Visual Studio2015-Projekte, finden Sie unter Ablaufsteuerungsschutz.For information about enabling CFG for a Visual Studio 2015 project, see Control Flow Guard.

Browser sind natürlich ein wichtiger Einstiegspunkt für Angriffe. Daher werden alle Vorteile von CFG von Microsoft Edge, IE und anderen Windows-Features optimal genutzt.Of course, browsers are a key entry point for attacks, so Microsoft Edge, IE, and other Windows features take full advantage of CFG.

Microsoft Edge und Internet Explorer11Microsoft Edge and Internet Explorer11

Die Browsersicherheit ist ein wichtiger Bestandteil jeder Sicherheitsstrategie und das aus gutem Grund: Der Browser ist die Schnittstelle des Benutzers mit dem Internet, einer Umgebung, die mit schädlichen Websites und angriffswilligen Inhalten überhäuft ist.Browser security is a critical component of any security strategy, and for good reason: the browser is the user’s interface to the Internet, an environment with many malicious sites and content waiting to attack. Die meisten Benutzer können zumindest einen Teil ihrer Arbeit nicht ohne einen Browser erledigen, und viele Benutzer sind vollständig darauf angewiesen.Most users cannot perform at least part of their job without a browser, and many users are completely reliant on one. Daher ist der Browser der am häufigsten genutzte Ausgangspunkt von Angriffen durch Hacker.This reality has made the browser the common pathway from which malicious hackers initiate their attacks.

Alle Browser ermöglichen gewisse Erweiterungen, um neben den ursprünglichen Funktionen des Browsers zusätzliche Möglichkeiten zu bieten.All browsers enable some amount of extensibility to do things beyond the original scope of the browser. Zwei allgemeine Beispiele hierfür sind Flash- und Java-Erweiterungen, die das Ausführen der jeweiligen Anwendungen in einem Browser ermöglichen.Two common examples of this are Flash and Java extensions that enable their respective applications to run inside a browser. Das Schützen von Windows10 für Webbrowsing und-Anwendungen, insbesondere für diese beiden Inhaltstypen, ist eine Priorität.Keeping Windows10 secure for web browsing and applications, especially for these two content types, is a priority.

Windows 10 bietet mit Microsoft Edge einen vollkommen neuen Browser.Windows 10 includes an entirely new browser, Microsoft Edge. Microsoft Edge ist in vielfacher Hinsicht sicherer, insbesondere in folgenden Aspekten:Microsoft Edge is more secure in multiple ways, especially:

  • Geringere Angriffsfläche; keine Unterstützung für nicht von Microsoft stammende binäre Erweiterungen.Smaller attack surface; no support for non-Microsoft binary extensions. Mehrere Browserkomponenten mit anfälligen Angriffsflächen wurden aus Microsoft Edge entfernt.Multiple browser components with vulnerable attack surfaces have been removed from Microsoft Edge. Zu den entfernten Komponenten zählen Legacydokumentmodi und Skriptmodule, Browserhilfsobjekte (BHOs), ActiveX-Steuerelemente und Java.Components that have been removed include legacy document modes and script engines, Browser Helper Objects (BHOs), ActiveX controls, and Java. Microsoft Edge unterstützt jedoch standardmäßig Flash-Inhalte und PDF-Anzeigen über integrierte Erweiterungen.However, Microsoft Edge supports Flash content and PDF viewing by default through built-in extensions.

  • Führt 64-Bit-Prozesse aus.Runs 64-bit processes. Ein 64-Bit-PC mit einer älteren Version von Windows wird häufig im 32-Bit-Kompatibilitätsmodus ausgeführt, um ältere und weniger sichere Erweiterungen zu unterstützen.A 64-bit PC running an older version of Windows often runs in 32-bit compatibility mode to support older and less secure extensions. Wird Microsoft Edge auf einem 64-Bit-PC ausgeführt, werden nur 64-Bit-Prozesse ausgeführt, die sehr viel sicherer gegen Angriffe sind.When Microsoft Edge runs on a 64-bit PC, it runs only 64-bit processes, which are much more secure against exploits.

  • Dazu zählt die automatische Arbeitsspeicherbereinigung (MemGC).Includes Memory Garbage Collection (MemGC). Dies bietet Schutz gegen UAF-Probleme.This helps protect against use-after-free (UAF) issues.

  • Wurde als universelle Windows-App entwickelt.Designed as a Universal Windows app. Microsoft Edge ist grundsätzlich eigenständig und wird in einem AppContainer ausgeführt, der ihn durch Sandboxing von System, Daten und anderen Apps isoliert.Microsoft Edge is inherently compartmentalized and runs in an AppContainer that sandboxes the browser from the system, data, and other apps. IE11 auf Windows10 kann auch die Vorteile der gleichen AppContainer-Technologie über den erweiterten Protect-Modus nutzen.IE11 on Windows10 can also take advantage of the same AppContainer technology through Enhanced Protect Mode. Da IE11 jedoch ActiveX und BHOs ausführen kann, sind der Browser und die Sandbox für eine weitaus größere Anzahl von Angriffen anfällig als Microsoft Edge.However, because IE11 can run ActiveX and BHOs, the browser and sandbox are susceptible to a much broader range of attacks than Microsoft Edge.

  • Vereinfacht die Sicherheitskonfiguration.Simplifies security configuration tasks. Da Microsoft Edge eine vereinfachte Anwendungsstruktur und eine einzelne Sandboxkonfiguration verwendet, sind weniger Sicherheitseinstellungen erforderlich.Because Microsoft Edge uses a simplified application structure and a single sandbox configuration, there are fewer required security settings. Darüber hinaus richten sich die Standardeinstellungen für Microsoft Edge nach bewährten Sicherheitsmethoden, sodass der Browser standardmäßig sicherer ist.In addition, Microsoft Edge default settings align with security best practices, which makes it more secure by default.

Zusätzlich zu Microsoft Edge umfasst Microsoft IE11 in Windows10, hauptsächlich für die Abwärtskompatibilität mit Websites und mit binären Erweiterungen, die nicht mit Microsoft Edge funktionieren.In addition to Microsoft Edge, Microsoft includes IE11 in Windows10, primarily for backwards-compatibility with websites and with binary extensions that do not work with Microsoft Edge. IE11 sollte nicht als primärer Browser, sondern als optionaler oder automatischer Switchover konfiguriert werden.It should not be configured as the primary browser but rather as an optional or automatic switchover. Wir empfehlen, Microsoft Edge als primären Webbrowser zu verwenden, da er mit dem modernen Internet kompatibel ist und die bestmögliche Sicherheit bietet.We recommend using Microsoft Edge as the primary web browser because it provides compatibility with the modern web and the best possible security.

Für Websites, die die Kompatibilität von IE11 erfordern, einschließlich derer, die binäre Erweiterungen und Plug-Ins erfordern, aktivieren Sie den Unternehmensmodus und definieren mithilfe der Websiteliste für den Unternehmensmodus, welche Websites die Abhängigkeit aufweisen.For sites that require IE11 compatibility, including those that require binary extensions and plug ins, enable Enterprise mode and use the Enterprise Mode Site List to define which sites have the dependency. Mit dieser Konfiguration wechseln Benutzer automatisch zu IE11, wenn Microsoft Edge eine Website identifiziert, die IE11 erfordert.With this configuration, when Microsoft Edge identifies a site that requires IE11, users will automatically be switched to IE11.

Funktionen, die Softwareanbieter als Gegenmaßnahmen in Apps integrieren könnenFunctions that software vendors can use to build mitigations into apps

Einige der Schutzmechanismen in Windows10 werden durch Funktionen bereitgestellt, die von Apps oder anderer Software aufgerufen werden können.Some of the protections available in Windows 10 are provided through functions that can be called from apps or other software. Diese Software bietet wahrscheinlich weniger Angriffsfläche für Exploits.Such software is less likely to provide openings for exploits. Wenn Sie mit einen Softwareanbieter zusammenarbeiten, bitten Sie ihn, diese auf Sicherheit ausgerichteten Funktionen in der Anwendung zu integrieren.If you are working with a software vendor, you can request that they include these security-oriented functions in the application. Die folgende Tabelle enthält einige Arten von Gegenmaßnahmen sowie die entsprechenden, auf Sicherheit ausgerichteten Funktionen dazu, die in Apps verwendet werden können.The following table lists some types of mitigations and the corresponding security-oriented functions that can be used in apps.

Hinweis

Der Ablaufsteuerungsschutz (Control Flow Guard, CFG) ist auch eine wichtige Schutzmaßnahmen, die ein Entwickler beim Kompilieren der Software integrieren kann.Control Flow Guard (CFG) is also an important mitigation that a developer can include in software when it is compiled. Weitere Informationen finden Sie unter Ablaufsteuerungsschutz.For more information, see Control Flow Guard, earlier in this topic.

Für Entwickler Verfügbare Tabellen-4Functions zum Erstellen von Schadens Behebungen in appsTable 4Functions available to developers for building mitigations into apps

GegenmaßnahmeMitigation FunktionFunction
Ladeeinschränkungen für LoadLib-ImageLoadLib image loading restrictions Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON]
MemProt – Dynamische CodeeinschränkungMemProt dynamic code restriction Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON]
Einschränkung untergeordneter Prozesse zum Einschränken der Fähigkeit, untergeordnete Prozesse zu erstellen.Child Process Restriction to restrict the ability to create child processes Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY][PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY]
Codeintegritätseinschränkung zum Einschränken des Ladevorgangs für BilderCode Integrity Restriction to restrict image loading Funktion SetProcessMitigationPolicySetProcessMitigationPolicy function
[ProcessSignaturePolicy][ProcessSignaturePolicy]
Deaktivierung von Win32k System-Aufrufen zum Einschränken der Möglichkeit NTUser und GDI zu verwendenWin32k System Call Disable Restriction to restrict ability to use NTUser and GDI Funktion SetProcessMitigationPolicySetProcessMitigationPolicy function
[ProcessSystemCallDisablePolicy][ProcessSystemCallDisablePolicy]
Hohe ASLR-Entropie für bis zu 1TB Abweichung in SpeicherzuweisungenHigh Entropy ASLR for up to 1TB of variance in memory allocations Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON]
Strenge Handle-Prüfungen, die sofort eine Ausnahme auslösen, sobald eine ungültige Handle-Referenz auftritt.Strict handle checks to raise immediate exception upon bad handle reference Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON]
Deaktivieren von Erweiterungspunkten, um die Verwendung von bestimmten Erweiterungspunkten von Drittanbietern zu blockieren.Extension point disable to block the use of certain third-party extension points Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON]
Heap wird bei Beschädigung beendet, um das System vor einen beschädigten Heap zu schützen.Heap terminate on corruption to protect the system against a corrupted heap Funktion UpdateProcThreadAttributeUpdateProcThreadAttribute function
[PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON][PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON]

Grundlegendes zu Windows10 in Bezug auf das Enhanced Mitigation Experience Toolkit.Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit

Sie sind möglicherweise bereits mit dem Enhanced Mitigation Experience Toolkit (EMET) vertraut, das seit 2009 eine Vielzahl von Schutzmaßnahmen gegen Exploits beinhaltet sowie eine Schnittstelle zum Konfigurieren dieser Gegenmaßnahmen anbietet.You might already be familiar with the Enhanced Mitigation Experience Toolkit (EMET), which has since 2009 offered a variety of exploit mitigations, and an interface for configuring those mitigations. In diesem Abschnitt erfahren Sie, wie EMET-Gegenmaßnahmen mit den Gegenmaßnahmen in Windows10 in Verbindung stehen.You can use this section to understand how EMET mitigations relate to those in Windows 10. Viele EMET-Gegenmaßnahmen wurden in Windows10 integriert, einige mit weiteren Verbesserungen.Many of EMET’s mitigations have been built into Windows 10, some with additional improvements. Allerdings führen einige EMET-Gegenmaßnahmen zu hohen Leistungseinbußen oder scheinen relativ wirkungslos gegen moderne Bedrohungen und wurden daher nicht in Windows10 integriert.However, some EMET mitigations carry high performance cost, or appear to be relatively ineffective against modern threats, and therefore have not been brought into Windows 10.

Da viele EMET-Gegenmaßnahmen und Sicherheitsmechanismen bereits in Windows 10 vorhanden sind und verbessert wurden, insbesondere die, die mit einer hohen Effektivität zur Vermeidung von bekannten Umgehungen bewerten wurden, wurde Version 5.5x als finale EMET-Hauptversion vorgestellt (siehe Enhanced Mitigation Experience Toolkit).Because many of EMET’s mitigations and security mechanisms already exist in Windows 10 and have been improved, particularly those assessed to have high effectiveness at mitigating known bypasses, version 5.5x has been announced as the final major version release for EMET (see Enhanced Mitigation Experience Toolkit).

Die folgende Tabelle enthält EMET-Features in Bezug auf Windows10-Features.The following table lists EMET features in relation to Windows 10 features.

Tabellen 5EMET Features in Bezug auf Windows 10-FeaturesTable 5EMET features in relation to Windows 10 features

Spezielle EMET-FeaturesSpecific EMET features Wie sind diese EMET-FeaturesHow these EMET features map
zu Windows 10-Features zugeordnet.to Windows 10 features
  • DEPDEP

  • SEHOPSEHOP

  • ASLR (ASLR erzwingen, ASLR Bottom-Up)ASLR (Force ASLR, Bottom-up ASLR)

DEP, SEHOP und ASLR sind als konfigurierbare Features in Windows10 enthalten.DEP, SEHOP and ASLR are included in Windows 10 as configurable features. Siehe Tabelle 2 weiter oben in diesem Thema.See Table 2, earlier in this topic.

Sie können das PowerShell-Modul „ProcessMitigations“ installieren, um Ihre EMET-Einstellungen für diese Features in Richtlinien zu konvertieren, die Sie auf Windows10 anwenden können.You can install the ProcessMitigations PowerShell module to convert your EMET settings for these features into policies that you can apply to Windows 10.

  • Bibliotheksladeprüfung (LoadLib)Load Library Check (LoadLib)

  • Speicherschutzprüfung (MemProt)Memory Protection Check (MemProt)

LoadLib und MemProt werden in Windows10 für alle Anwendungen unterstützt, die für die Verwendung dieser Funktionen geschrieben wurden.LoadLib and MemProt are supported in Windows 10, for all applications that are written to use these functions. Siehe Tabelle 4 weiter oben in diesem Thema.See Table 4, earlier in this topic.
  • NullseiteNull Page

Maßnahmen gegen diese Bedrohung sind in Windows10 integriert, wie im Abschnitt „Speicherreservierungen“ in Kernel-Pool-Schutzmechanismen weiter oben in diesem Thema beschrieben.Mitigations for this threat are built into Windows 10, as described in the “Memory reservations” item in Kernel pool protections, earlier in this topic.
  • Heap-SprayHeap Spray

  • EAFEAF

  • EAF+EAF+

Windows10 enthält keine diesem EMET-Feature speziell zugeordneten Maßnahmen, da sie im Bereich der aktuellen Bedrohungen nur eine geringe Auswirkung haben, und das Ausnutzen von Sicherheitslücken nicht erheblich erschweren können.Windows 10 does not include mitigations that map specifically to these EMET features because they have low impact in the current threat landscape, and do not significantly increase the difficulty of exploiting vulnerabilities. Microsoft hält unverändert am Überwachen der Sicherheitsumgebung fest, und sobald neue Exploits auftauchen werden Schritte unternommen, das Betriebssystem dagegen zu schützen.Microsoft remains committed to monitoring the security environment as new exploits appear and taking steps to harden the operating system against them.
  • Aufrufer-PrüfungCaller Check

  • Simulieren des AusführungsflussesSimulate Execution Flow

  • Stapel-PivotStack Pivot

  • Deep Hooks (ein ROP „Erweiterte Maßnahme“)Deep Hooks (an ROP “Advanced Mitigation”)

  • Anti Detours (ein ROP „Erweiterte Maßnahme“)Anti Detours (an ROP “Advanced Mitigation”)

  • Gesperrte Funktionen (ein ROP „Erweiterte Maßnahme“)Banned Functions (an ROP “Advanced Mitigation”)

Maßnahmen unter Windows10 mit Anwendungen, die mit dem Ablaufsteuerungsschutz kompiliert wurden, wie in Ablaufsteuerungsschutz weiter oben in diesem Thema beschrieben.Mitigated in Windows 10 with applications compiled with Control Flow Guard, as described in Control Flow Guard, earlier in this topic.

Konvertieren einer XML-Datei mit EMET-Einstellungen zu Richtlinien der Risikominderung in Windows10Converting an EMET XML settings file into Windows 10 mitigation policies

Ein Vorteil der EMET liegt darin, Konfigurationseinstellungen für EMET-Gegenmaßnahmen als XML-Einstellungsdatei für eine einfache Bereitstellung zu importieren und exportieren.One of EMET’s strengths is that it allows you to import and export configuration settings for EMET mitigations as an XML settings file for straightforward deployment. Um Richtlinien der Risikominderung für Windows10 aus einer XML-Datei mit EMET-Einstellungen zu generieren, können Sie das PowerShell-Modul „ProcessMitigations“ installieren.To generate mitigation policies for Windows 10 from an EMET XML settings file, you can install the ProcessMitigations PowerShell module. Führen Sie in einer PowerShell-Sitzung mit erhöhten Rechten dieses Cmdlet aus:In an elevated PowerShell session, run this cmdlet:

Install-Module -Name ProcessMitigations

Das Cmdlet „Get-ProcessMitigation“ ruft die aktuellen Risikominderungseinstellungen aus der Registrierung oder aus einem laufenden Prozess auf, oder speichert alle Einstellungen in eine XML-Datei.The Get-ProcessMitigation cmdlet gets the current mitigation settings from the registry or from a running process, or it can save all settings to an XML file.

So erhalten Sie die aktuellen Einstellungen für alle ausgeführten Instanzen von „notepad.exe“:To get the current settings on all running instances of notepad.exe:

Get-ProcessMitigation -Name notepad.exe -RunningProcess

So erhalten Sie die aktuellen Einstellungen in der Registrierung für „notepad.exe“:To get the current settings in the registry for notepad.exe:

Get-ProcessMitigation -Name notepad.exe

So erhalten Sie die aktuellen Einstellungen für den ausgeführten Prozess mit pid 1304:To get the current settings for the running process with pid 1304:

Get-ProcessMitigation -Id 1304

So erhalten Sie alle Einstellungen zur Risikominderung von Prozessen aus der Registrierung, und speichern sie in die XML-Datei „settings.xml“:To get the all process mitigation settings from the registry and save them to the xml file settings.xml:

Get-ProcessMitigation -RegistryConfigFilePath settings.xml

Das Cmdlet „Set-ProcessMitigation“kann die Risikominderung von Prozessen aktivieren oder deaktivieren, oder sie aus eine XML-Datei in Massenverhalten einstellen.The Set-ProcessMitigation cmdlet can enable and disable process mitigations or set them in bulk from an XML file.

So erhalten Sie die aktuelle Risikominderung von Prozessen für „notepad.exe“ aus der Registrierung, aktivieren „MicrosoftSignedOnly“ und deaktivieren „MandatoryASLR“:To get the current process mitigation for "notepad.exe" from the registry and then enable MicrosoftSignedOnly and disable MandatoryASLR:

Set-ProcessMitigation -Name Notepad.exe -Enable MicrosoftSignedOnly -Disable MandatoryASLR

So stellen Sie die Risikominderung von Prozessen aus einer XML-Datei ein (die von „Get-ProcessMitigation - RegistryConfigFilePath“ aus der settings.xml generiert werden kann):To set the process mitigations from an XML file (which can be generated from get-ProcessMitigation -RegistryConfigFilePath settings.xml):

Set-ProcessMitigation -PolicyFilePath settings.xml

So stellen Sie den Systemstandard auf „MicrosoftSignedOnly“ ein:To set the system default to be MicrosoftSignedOnly:

Set-ProcessMitigation -System -Enable MicrosoftSignedOnly

Das Cmdlet „ConvertTo-ProcessMitigationPolicy“ konvertiert in Dateiformate für die Richtlinien zu Risikominderung.The ConvertTo-ProcessMitigationPolicy cmdlet converts mitigation policy file formats. Die Syntax lautet:The syntax is:

ConvertTo-ProcessMitigationPolicy -EMETFilePath <String> -OutputFilePath <String> [<CommonParameters>]

Beispiele:Examples:

  • Konvertieren von EMET-Einstellungen in Windows10-Einstellungen: Sie können „ConvertTo-ProcessMitigationPolicy“ ausführen und eine XML-Datei mit EMET-Einstellungen als Eingabe verwenden, woraus eine Ergebnisdatei mit Risikominderungseinstellungen für Windows 10 generiert wird.Convert EMET settings to Windows 10 settings: You can run ConvertTo-ProcessMitigationPolicy and provide an EMET XML settings file as input, which will generate a result file of Windows 10 mitigation settings. Zum Beispiel:For example:

    ConvertTo-ProcessMitigationPolicy -EMETFilePath policy.xml -OutputFilePath result.xml
    
  • Überwachen und Ändern der konvertierten Einstellungen (die Ausgabedatei): Verwenden Sie weitere Cmdlets, um Einstellungen in der Ausgabedatei anzuwenden, aufzulisten, zu aktivieren, zu deaktivieren und zu speichern.Audit and modify the converted settings (the output file): Additional cmdlets let you apply, enumerate, enable, disable, and save settings in the output file. Dieses Cmdlet z.B., aktiviert SEHOP und deaktiviert MandatoryASLR und DEPATL-Registrierungseinstellungen für Notepad:For example, this cmdlet enables SEHOP and disables MandatoryASLR and DEPATL registry settings for Notepad:

    Set-ProcessMitigation -Name notepad.exe -Enable SEHOP -Disable MandatoryASLR,DEPATL
    
  • Konvertieren der Einstellungen zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) in eine Codeintegritätsrichtliniendatei: Wenn die Eingabedatei irgendwelche EMET-Einstellungen zur Verringerung der Angriffsfläche (ASR) enthält, erstellt der Konverter auch eine Codeintegritätsrichtliniendatei.Convert Attack surface reduction (ASR) settings to a Code Integrity policy file: If the input file contains any settings for EMET’s Attack surface reduction (ASR) mitigation, the converter will also create a Code Integrity policy file. In diesem Fall können Sie den Zusammenführungs-, Überwachungs- und Bereitstellungsprozess für die Codeintegritätsrichtlinie gemäß Bereitstellen von Device Guard: Bereitstellen von Codeintegritätsrichtlinien ausführen.In this case, you can complete the merging, auditing, and deployment process for the Code Integrity policy, as described in Deploy Device Guard: deploy code integrity policies. Damit werden Schutzmechanismen auf Windows10 entsprechend den EMET-ASR-Schutzmechanismen aktiviert.This will enable protections on Windows 10 equivalent to EMET’s ASR protections.

  • Konvertieren von Zertifikatsvertrauenseinstellungen in Regeln zum Anheften von Enterprise-Zertifikaten: Wenn Sie über eine EMET-XML-Datei mit "Zertifikatvertrauensregeln“ (Datei mit Regeln zum Anheften) verfügen, können Sie „ConvertTo-ProcessMitigationPolicy“ verwenden, um die Datei mit den Regeln zum Anheften in eine Datei mit Regeln zum Anheften von Enterprise-Zertifikaten zu konvertieren.Convert Certificate Trust settings to enterprise certificate pinning rules: If you have an EMET “Certificate Trust” XML file (pinning rules file), you can also use ConvertTo-ProcessMitigationPolicy to convert the pinning rules file into an enterprise certificate pinning rules file. Abschließend können Sie die Datei gemäß Anheften von Enterprise-Zertifikaten aktivieren.Then you can finish enabling that file as described in Enterprise Certificate Pinning. Beispiele:For example:

    ConvertTo-ProcessMitigationPolicy -EMETfilePath certtrustrules.xml -OutputFilePath enterprisecertpinningrules.xml
    

Microsoft Consulting Services (MCS) und Microsoft Support / Premier Field Engineering (PFE) bieten eine Reihe von Optionen für EMET, Unterstützung für EMET und EMET-bezogenes Berichtswesen sowie Überwachungsprodukte wie z.B. EMET Enterprise Reporting Service (ERS).Microsoft Consulting Services (MCS) and Microsoft Support/Premier Field Engineering (PFE) offer a range of options for EMET, support for EMET, and EMET-related reporting and auditing products such as the EMET Enterprise Reporting Service (ERS). Für Unternehmenskunden, die diese Produkte heute verwenden oder die sich für ähnliche Funktionen interessieren, empfehlen wir, Microsoft Defender Advanced Threat Protection (ATP) zu evaluieren.For any enterprise customers who use such products today or who are interested in similar capabilities, we recommend evaluating Microsoft Defender Advanced Threat Protection (ATP).

Verwandte ThemenRelated topics