Schutz hoch zehn
Die neuen Schutzfunktionen des Windows 10 Fall Creators Update
In der jüngsten Windows-10-Ausgabe stecken zahlreiche neue Sicherheitsfunktionen, die Krypto-Trojanern und anderen üblen Gesellen das Leben schwer machen sollen. Windows kann damit Ihr digitales Hab und Gut vor der Verschlüsselung schützen, Exploits blockieren, den Netzwerkverkehr filtern und den Browser in eine virtuelle Umgebung sperren. Doch nicht alle Schutzschilde sind automatisch aktiv, einige versteckt Microsoft sogar regelrecht.
Microsoft hat Windows 10 mit dem Fall Creators Update eine ganze Reihe sinnvoller Schutzfunktionen spendiert. Ein paar davon erreicht man über das erweiterte Windows Defender Security Center, von anderen erfährt man nur, wenn man aufmerksam die Dokumentation studiert. Die bekannteste Neuerung ist der überwachte Ordnerzugriff [1]. Er sorgt dafür, dass nur vertrauenswürdige Prozesse wichtige Orte wie die „Dokumente“ manipulieren dürfen. Ein Krypto-Trojaner wird von der Schutzfunktion effektiv daran gehindert, Office-Dokumente, Projektdateien, Fotos, Kundendaten & Co. zu verschlüsseln. Der überwachte Ordnerzugriff ist jedoch nur eine von insgesamt vier Funktionen des Schutzpakets „Windows Defender Exploit Guard“, das seit dem Fall Creators Update ein fester Bestandteil von Windows 10 ist.
Auch wenn Microsoft nicht müde wird darauf hinzuweisen, dass Exploit Guard am besten mit der auf Unternehmen zugeschnittenen Windows Defender Advanced Threat Protection (ATP) funktioniert, stecken die Funktionen in allen Windows-10-Editionen. In den Versionen Pro und Enterprise lassen sie sich mithilfe von Gruppenrichtlinien oder der PowerShell scharfschalten, in der Home-Ausgabe funktioniert das nur über die PowerShell. Eine Voraussetzung ist, dass der vorinstallierte Windows Defender als Virenwächter auf dem System aktiv ist – installiert man einen alternativen Virenschutz nach, ist der Exploit Guard größtenteils inaktiv.
Wir haben den Exploit-Schutz, die Attack Surface Reduction sowie den Netzwerkschutz aktiviert und einen Blick auf deren Funktionsweise geworfen. Darüber hinaus haben wir die neue Browser-Sandbox „Windows Defender Application Guard“ angeschaut. Mit ihr kann man Edge und Internet Explorer in einer virtuellen Umgebung ausführen – fein säuberlich getrennt vom Hauptsystem. Diese Funktion behält Microsoft Nutzern der Enterprise-Ausgabe von Windows 10 vor.
Exploit-Schutz
Im über das Startmenü erreichbare Windows Defender Security Center findet man seit dem Herbst-Update unter „App- und Browsersteuerung“ den Exploit-Schutz, der Nutzer mit seltsam klingenden Einstellungsmöglichkeiten wie „Ablaufsteuerungsschutz“ oder „Ausnahmeketten überprüfen“ konfrontiert. Es handelt sich dabei um Schutzfunktionen, die das System gegen bestimmte Angriffstechniken härten. Einen vollständigen Überblick inklusive Kurzbeschreibungen finden Sie unter ct.de/ymnx. Der Exploit-Schutz ist der Nachfolger des Enhanced Mitigation Experience Toolkit (EMET), das bisher separat installiert werden musste und hauptsächlich von Admins eingesetzt wurde. Ein Parallelbetrieb beider ist nicht möglich, eine etwaige bereits installierte EMET-Version wird beim Upgrade auf die aktuelle Windows-10-Version automatisch deinstalliert.
Die Abwehrmaßnahmen des Exploit-Schutzes hat Microsoft im Laufe der vergangenen Jahre als Reaktion auf echte Angriffe und durch Forscher entdeckte Exploit-Techniken entwickelt. Einige der Funktionen wie die zufällige Verwürfelung von Speicheradressen (Address Space Layout Randomization, ASLR) beherrscht Windows bereits seit einiger Zeit, schaltet sie aber nur ein, wenn der Entwickler eines Programms die ausführbare Datei mit der Compiler-Option /DYNAMICBASE kompiliert hat. EMET und der neue Exploit-Schutz aktivieren solche Funktionen auf Wunsch auch für andere Prozesse.