Internet Security test Windows 10

Windows 10: Was ist das Neue im Sicherungssystem?

Bei Microsoft hat die Sicherung des Betriebsystems oberste Prioriät. Bei der neuesten Windowsversion wurden die Programmierer von den neuesten Cyber-Bedrohungen für die Windows-Plattform geleitet. Dank seiner breiten Streuung ist und bleibt Windows das bevorzugte Ziel von Cyberkriminellen aller Art. Jeder neue Release wird von tausend schwarzen Hüten genauestens geprüft, die nach neuen Wegen suchen, um Geld zu verdienen.

Aber auch die "White Hats", für die Windows das bedeutendste Feld im Krieg gegen ihre verbrecherischen Kollegen ist, gehen ihnen auf den Grund. Natürlich werden auch alle Änderungen von Microsoft am Windows-Sicherheitssystem von uns, den Spezialisten von Caspersky Lab, genauestens analysiert, um unseren Kundinnen und Anwendern den größtmöglichen Sicherheitsschutz vor Internet-Bedrohungen zu gewährleisten.

Unsere Übersicht ist in drei Abschnitte unterteilt, die je den wesentlichen Sicherheitsverbesserungen in Windows 10 vorbehalten sind. Dazu gehören der Microsoft Edge-Browser, die auf Virtualität basierende Sicherheits-Technologie und die eingebaute Antivirenlösung, der überarbeitete Windows Defender. Die drei haben das Sicherungssystem von Windows zwar optimiert, aber auch die Schwachstellen sind nicht ohne.

Nachfolgend finden Sie Beispiele dafür, wie Windows 10-Schutztechnologien arbeiten und wie sie verbessert werden können, um die Sicherheit von Systemen mit Lösungen von Drittanbietern zu erhöhen. Mit dem neuen Microsoft Edge wird der Internet Explorer ersetzt und ist der standardmäßige Webbrowser unter Windows 10. Microsoft hat viel gearbeitet und eine Reihe von Innovationen implementiert, darunter auch Sicherheitsfragen.

Edge nutzt die Inhaltssicherheitsrichtlinie und die HTTP-Technologie für strenge Transportsicherheit, um sich gegen Cross-Site-Scripting-Angriffe zu schützen. Edge schützt auch vor Angriffen, unter denen der Internet Explorer schon immer gelitten hat. Zusätzlich zur Förderung der neuen Technologie wird die Datensicherheit von Edge auch durch den Wegfall alter, gefährdeter Technologie erhöht.

Viele bösartige Programme, die sich auf den Gelddiebstahl durch Internet-Banking spezialisieren, arbeiten mit populären Webbrowsern wie Internet Explorer, Chrome, Firefox, Opern und anderen. Dazu tragen die meisten Bankiers ihren Kode in den Browser-Prozess ein und greifen auf Netzwerkkommunikationsfunktionen zu. Die Nachrichten vom 11. Oktober 2015 machten die Runde, dass der trojanische Speicher um eine Funktion erweitert wurde, die es erlaubt, Microsoft Edge anzugreifen.

Krone, ein weiterer namhafter Bankplage, hat Edge im Jahr 2016 mit Erfolg angegriffen. Die Fähigkeiten wurden auf einer Windows 10 Virtual Machine ausprobiert. In der neuen Version von Krons haben wir im Coding eine Prüffunktion zur Prüfung des Prozessbezeichners und der Checksumme sowie der Hashwerte der zu überwachenden Prüffunktionen gefunden. Der Beginn steht daher nicht im Widerspruch zu der im Internetbrowser installierten Abwehrrichtlinie.

Allerdings kann Krone Edge nur auf der 32-Bit-Version von Windows 10 attackieren. Dies ist jedoch keine grundlegende Beschränkung, es gibt bereits Bankmalware, die mit der 64-Bit-Version von Edge funktioniert. Anfang des Berichtsjahres kam eine neue Version der renommierten Bank Trojan Gozi auf den Markt, die unter anderem MitB-Angriffe auf die 64-Bit-Version von Edge durchführte.

Er führt seinen Programmcode in den Prozess RuntimeBroker. exe ein, in dessen Name er dann den Webbrowser gestartet und sich in den Webbrowser-Prozess selbst eingeschleust hat. Durch den infiltrierten Quellcode wird die Funktionalität zum Erstellen und Senden von HTTP-Requests abgefangen, wie dies bei der Firma Bras. Windows Defender kann die aktuelle Version von Krone und Gozi problemlos aufheben.

Allerdings wird erwartet, dass neue Schaderreger und Werbeapplikationen entstehen, die in der Lage sein werden, die Vorteile von Edelsteinen für ihre Zwecke zu nutzen. Microsoft hat in Windows 10 Enterprises, der Unternehmensversion von Windows, Hyper-V implementiert, einen neuen Ansatz für die Datensicherheit auf Basis von Hardware-Virtualisierung. Die neue Methode namens VBS ( "Virtualization Based Security") beruht auf dem White List-Ansatz.

Dies bedeutet, dass der Rechner nur isoliert Applikationen aus der Reihe der vertrauenswürdigen und wichtigen Dienste sowie Dateien aus anderen Betriebssystemkomponenten starten darf. Microsoft nutzt den Hyper-V als virtuelle Plattform. Die weniger Code-Hypervisoren beinhalten, je weniger Angriffsoberflächen sie bereitstellen. Anders als bei älteren Windows-Versionen beginnt der Hyper-Visor nicht wie ein Fahrer im Kernel-Modus, sondern im UEFI-Modus, und zwar in einer Anfangsphase des Hochfahrens des Systems.

Der Modus des sicheren Kernels (oder SKM, Ringe 0, VTL 1) besteht nur aus einem Minimalkern el (SK), einem Codeintegritäts- oder CI-Modul und einem Chiffriermodul. Es kann die Seitenattribute verändern, indem es das Auslesen, Beschreiben und Ausführen von Quelltext auf einer speziellen Seite zulässt oder unterdrückt.

Dies kann den Launch von nicht vertrauenswürdigen Programmen, die böswillige Änderung von vertrauenswürdigen Anwendungscodes und den Abfluss von geschützten Dateien verhindern. Ausgehend von dieser Struktur ist die einzigste Komponenten, die die Ausführung von willkürlichem Programmcode im Gesamtsystem steuert, das secure isolated Profile Integrity (CI) Verification Module. Ein wichtiges Merkmal des VBS ist der Qualifikationswächter, der kryptographische Secrets so voneinander trennt, dass nur vertrauenswürdige Programme auf sie zugriff.

Der Device Guard, der auch zum VBS gehört, ist der Abkömmling von Microsoft AppLocker. In der VBS von Windows 10 werden die erforderlichen Funktionen auf einem eigenen Testrechner aufgesetzt. Es wird ein Windows-Referenzmuster erzeugt. Dabei wird die Originalrichtlinie mit der im Audit-Modus erstellten Fassung zusammengeführt.

In der Richtlinie zur Codeintegrität werden die Startbedingungen für den Codestart festgelegt, sowohl im Benutzermodus (User Mode Codeintegrität oder UMCI) als auch im Kernelmodus (Kernel Mode Codeintegrität oder KMCI). Die Sicherheit beim Einlesen des Windowskerns selbst wird durch die Secure Boot-Technologie garantiert. Zusätzlich zur Integritätsrichtlinie gibt es weitere Beschränkungen beim Starten von Programmcode.

Wenn dies nicht beachtet wird, bricht Windows ab und gibt den BSOD aus. Daher ist es nicht möglich, nicht signierte Fahrer, Applikationen, dynamische Libraries sowie einige Skripttypen und Benutzeroberflächenmodule mit aktiver Zwischenablage und allen aktivierten Sicherheitseinstellungen wie Secure Boot, TPM, IOMMU und SLAT zu verwenden. Je nach Ausgestaltung der Policy kann auch signierter, aber nicht vertrauenswürdiger Quellcode vom System nicht gestartet werden.

Microsoft empfiehlt, die Richtlinien mit einem vom Systemadministrator selbst erstellten Zertifizierungszertifikat zu unterzeichnen, um sie vor unbestraften Änderungen oder Ersetzungen zu schützen. In diesem Fall ist es empfehlenswert, sie zu unterschreiben. Zur Verbesserung des Schutzes zahlen Sie mit einer schlechteren Leistung, was angesichts der Anwesenheit eines Hyper-Visors unumgänglich ist. Weil der sichere Start eine wichtige Rolle in dieser Technik einnimmt, ist der Schutzgrad in hohem Maße von der Beschaffenheit des von einem Dritten geschriebenen und nicht von Microsoft gesteuerten OEFI-Codes abhängig.

Das funktionierte nicht direkt, aber in der Vorabversion von Windows 10 (10154) haben wir einen spannenden Bug entdeckt. Microsoft haben wir sofort über den aufgetretenen Mangel unterrichtet und ihn innerhalb weniger Tage behoben. Sie ist in der Echtzeituhr von Windows 10 (10240) nicht mehr inbegriffen. Dieses Problem wurde in Windows 10 BH2 ("10586") behoben.

Alles in allem liefert Microsoft ausgezeichnete Leistungen bei der Neuentwicklung von Abwehrmechanismen. Wie in früheren Version bietet Windows 10 aber auch die Möglichkeit von Angriffen über die Firmwares. Wird eine falsche Systemkonfiguration vorgenommen oder das private Zertifikat verloren, erlischt der gesamte Schutzvorgang. Darüber hinaus gibt es keinen Sicherheitsschutz gegen Sicherheitsschwachstellen im Benutzermodus.

Darüber hinaus steht das VBS exklusiv für Anwender der Firmenversion Windows 10 an. Microsoft wurde über alle Sicherheitsschwachstellen während des Tests aufklärt. Kommen wir nun zur Windowskomponente, die den Echtzeitschutz des Betriebssystem gegen Schadsoftware bietet. Sie ist das standardmäßige und bedeutendste Informationssicherheitstool unter Windows für Benutzer, die keine AV-Lösungen von Drittanbietern installieren.

Zu den Hauptaufgaben des eingebauten Schutzsystems gehört es, die Installierung und den Launch von bösartiger Software zu unterdrücken. In den meisten FÃ?llen ist dieser Datenschutz ausreichen. Sind Sie jedoch ein aktiv tätiger Internetbenutzer und führen häufiger kritische Vorgänge auf Ihrem Rechner aus, wie z.B. Online-Banking, ist ein mehrstufiger geschützt.

In einer kleinen Umfrage fanden die Experten von Caspersky einige Praxisbeispiele, bei denen sich der in Windows 10 eingebaute Sicherheitsschutz als unzulänglich herausstellen könnte. Bei vielen Antivirenlösungen, einschließlich Caspersky Internet Security, gibt es eine Komponenten, die Angriffe von Anwendern auf Tastenanschläge registrieren und blockieren.

Die Antwort des eingebauten Schutzsystems von Windows 10 auf das Tastaturabfangen haben wir mit einer Testanwendung und der WinAPI GetAsyncKeyState-Funktion geprüft (diese Vorgehensweise wurde im letzen MRG-Test des Herstellers verwendet). Wenn Windows Defender aktiv ist, ist es uns gelungen, bei der Anmeldung am PayPal-Zahlungssystem den Benutzernamen und das Kennwort des Benutzers abzuhören.

Bei unserem naechsten Test haben wir versucht, unbefugten Zugang zur Webcam zu ermoeglichen. Schließlich hat die Applikation auf einem Windows 10-Computer mit Schutzfunktion ein Videobild störungsfrei abgefangen, und der Benutzer wurde in keiner Form darüber unterrichtet. Eine weitere akut auftretende Problematik für Windows-Anwender sind die vielen Schwachstellen, die es erlauben, das Betriebssystem über Sicherheitsschwachstellen in unterschiedlichen Applikationen zu infizieren.

Es wurde der integrierte Schutzschild für eines der aktuellsten Schwachstellen von CVE-2016-1019 in Adobe Flash Player geprüft. Auf diese Weise wird die betreffende Grafikdatei beim Erstellen des Kopiervorgangs von Windows Defender wiedererkannt und in die Isolierung übernommen. Wenn jedoch die Dateien entpackt und in ihr Original-SWF-Format zurückgeführt werden, schlägt der Schutzvorgang fehl.

Wenn auf dem Computer eine anfällige Variante von Flash Player aufgesetzt ist, ist eine Infizierung möglich, da der Verteidiger keine Drive-by-Download-Kontrollkomponente besitzt. Außerdem weisen wir darauf hin, dass Microsoft eine in Windows integrierte Funktion (SmartScreen) entwickelt hat, die Drive-by-Angriffe durch reputationsbasierte Analysen wirkungsvoll unterbinden kann.

Anhand dieses Testfalls, der nicht von der SmartScreen-Komponente erfasst wird, konnten wir nachweisen, dass, wenn Hacker einen Flash-Exploit mit Methoden zur Überwindung von Sicherheitsmechanismen von Edge nutzen, der Rechner möglicherweise kontaminiert wird. Für einen verlässlichen Langzeitschutz von Anwendersystemen ist ein komplexer Ansatz erforderlich, der sowohl gängige Erkennungstechniken (signaturbasierte Analysen, Verhaltensanalysen usw.) als auch Zusatzmodule kombiniert, die gemeinsame Angreifertechniken von Cyberkriminellen erkennen können.

Unsere kleine Studie hat ergeben, dass die in Windows 10 integrierte IT-Sicherheitstechnologie in einigen Bereichen nicht ausreicht, um vollständig vor bösartigen Angriffen zu schützen. So wie in den Vorgängerversionen von Windows müssen alle erdenklichen Angriffe mit Unterstützung von spezialisierten Internet Security Class Protection-Lösungen ausgelassen werden.