Nachdem wir im ersten Teil unserer Reise die Anwendungs-, Identitäts- und Passwortsicherheitsfunktionen von Windows 11 erkundet haben, wagen wir uns nun in den Bereich der Hardware- und Speicher Schutzmaßnahmen. Die Core-Isolation, ein wichtiger Akteur in diesem Bereich, verbessert unsere Verteidigung gegen Malware und Angriffe, indem sie Computerprozesse vom zugrunde liegenden Betriebssystem und Gerät isoliert. Ebenso dient die Memory Integrity, eine Komponente der Core-Isolation, als Schutz für wichtige Systemprozesse und nutzt Virtualization Based Security (VBS), um eine sichere Umgebung aufrechtzuerhalten. Wenn wir tiefer eintauchen, werden wir herausfinden, wie Windows 11 Exploit-Schutzmechanismen einsetzt, um Code, Anwendungen und Speicher zu stärken, das Risiko von Ausnutzungen zu mindern und den Benutzern ein sichereres Computing-Erlebnis zu bieten.
Core Isolation
Die Kernisolierung, eine hardwarebasierte Sicherheitsfunktion, stärkt die Verteidigung gegen Malware und Angriffe, indem sie Computerprozesse vom zugrunde liegenden Betriebssystem und Gerät isoliert und dabei Hardwarevirtualisierung nutzt.
Speicherintegrität, eine Komponente der Kernisolierung, schützt wichtige Systemprozesse, verhindert unbefugten Zugriff, indem sie sie vom Betriebssystem trennt. Dadurch wird verhindert, dass Malware während eines Angriffs auf Systemprozesse zugreifen kann.
Die Speicherintegrität nutzt die Virtualization Based Security (VBS), die den Windows-Hypervisor verwendet, um eine isolierte virtuelle Umgebung zu schaffen, die das Vertrauensdach des Betriebssystems bildet, das davon ausgeht, dass der Kernel kompromittiert werden kann. Die Speicherintegrität analysiert die Codeintegrität im Kernelmodus innerhalb der isolierten Umgebung und bestimmt, ob der Code sicher ist oder nicht. Ist er sicher, wird der Code an Windows zurückgegeben, um ausgeführt zu werden. Zudem werden Kernel-Speicherzuweisungen eingeschränkt, die zur Kompromittierung des Systems verwendet werden könnten.
Die Speicherintegrität kann auch über Gruppenrichtlinienobjekte (GPO) oder MEM verwaltet werden und bietet so mehrere Verwaltungsoptionen für IT-Administratoren. Beachten Sie jedoch, dass einige Programme und Treiber möglicherweise nicht mit der Speicherintegrität kompatibel sind, was zu Bluescreens führen kann.
Exploit Protection
Windows 11 bietet eine Reihe von Funktionen, um Code, Anwendungen und Speicher auf Ausführungsebene zu stärken und das Risiko von Ausnutzungen zu mindern.
Control Flow Guard
Wenn Anwendungen in den Speicher geladen werden, wird ihnen basierend auf mehreren Faktoren wie Größe des Codes, angefordertem Speicher usw. eine bestimmte Speichergröße zugeordnet. Der zugeordnete Speicher befindet sich möglicherweise nicht in einer Reihe, sondern kann verschiedene Speicherblöcke mit unterschiedlichen Adressen enthalten. Wenn die Anwendung beginnt, Code auszuführen, ruft sie Code an verschiedenen Speicheradressen auf.
In der Vergangenheit konnten Bedrohungsakteure dieses Verhalten ausnutzen, indem sie die Funktionsaufrufe änderten und auf ein anderes Ziel zeigten, um ihre Bedürfnisse zu erfüllen.
Diese Möglichkeit wird in Windows 11 für Anwendungen, die für die Verwendung von CFG kompiliert wurden, gemindert. Wenn eine solche Anwendung den Code aufruft, überprüft CFG, ob der Codeort für die Ausführung vertrauenswürdig ist. Wenn der Ort nicht vertrauenswürdig ist, wird die Anwendung beendet.
Da die Anwendung mit Unterstützung für CFG entwickelt werden muss, können Administratoren CFG nicht konfigurieren, sondern die Anwendungsentwickler müssen in Betracht ziehen, Anwendungen mit aktiviertem CFG zu kompilieren. Die Unterstützung für CFG ist besonders wichtig für Anwendungen, die ein hohes Risiko darstellen, wie Internetbrowser.
Data Execution Prevention
Datenausführungsverhinderung (DEP) ist eine systemweite Speicherschutzfunktion, die es dem Betriebssystem ermöglicht, eine oder mehrere Speicherseiten als nicht ausführbar zu kennzeichnen, was bedeutet, dass Code in diesen Bereichen nicht ausgeführt werden kann.
Dies hilft, die Ausführung von Malware zu verhindern, da sich Malware in der Regel darauf verlässt, eine bösartige Nutzlast in den Speicher einzufügen, in der Hoffnung, später ausgeführt zu werden. Wenn diese Nutzlast in den nicht ausführbaren Teil des Speichers eingefügt wird, kann diese Nutzlast nicht ausgeführt werden, DEP stoppt und beendet die Anwendung. Standardmäßig schützt DEP nur wesentliche Windows-Programme und -Dienste.
Einige Anwendungen könnten Probleme mit DEP haben. In diesem Fall kann die einzelne Anwendung von DEP-Schutz ausgeschlossen werden, entweder lokal auf dem Computer in den Systemeinstellungen -> Erweiterte Systemeinstellungen -> Erweitert (Leistung) -> Datenausführungsverhinderung oder Systemadministratoren können auch GPO für DEP-Ausnahmen nutzen. Die Ausnahmen können unter Administrative Vorlagen\System\Milderungsoptionen\Einstellungen für Prozessmilderungsoptionen vorgenommen werden.
Weitere Informationen zu GPO-Ausnahmen finden Sie in folgendem Microsoft-Artikel -https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/override-mitigation-options-for-app-related-security-policies
Address Space Layout Randomization
ASLR verhindert die Ausnutzung von Speicherkorruptions-Schwachstellen, indem es die Basisadresse eines Programms jedes Mal, wenn das Programm ausgeführt wird, zufällig ändert, was verhindert, dass ein Exploit auf allen Maschinen wirksam ist. Die Schwäche von ASLR besteht darin, dass das gesamte Programm als eine Einheit verschoben wird. Ein Beispiel für ASLR ist im folgenden Foto zu sehen.
Force randomization for images
Dies ist ein Unterabschnitt von ASLR, bei dem Windows eine Neupositionierung aller DLLs innerhalb des Prozesses und aller DLLs und EXE-Dateien erzwingt, wenn das Abbild in den Prozess eingebunden wird. Diese Neupositionierung hat keine Entropie, und die Positionen könnten vorhergesagt werden.
Die erzwungene Zufälligkeit kann sich auf ältere Anwendungen auswirken, die mit Compilern erstellt wurden, die Annahmen über die Basisadresse einer Binärdatei getroffen haben oder Basirelokationsinformationen entfernt haben. Dies kann zu unvorhersehbaren Fehlern führen.
Randomize memory allocations
Zufällige Speicherzuweisungen (Bottom-up ASLR) fügen Entropie zu Umplatzierungen hinzu, sodass ihre Position zufällig ist und daher weniger vorhersehbar ist. Diese Milderung erfordert, dass Mandatory ASLR wirksam wird.
High-entropy ASLR
High-Entropy ASLR fügt 24 Bits Entropie in die Bottom-up-Zuweisung für 64-Bit-Anwendungen hinzu, was die Adressvorhersage noch schwieriger macht.
Structured Exception Handling Overwrite Protection
Eine Ausnahme ist ein Ereignis in einem Programm, das den normalen Ablauf unterbricht und eine Ausführung von Code außerhalb des Standardpfads erfordert. Es gibt zwei Arten: Hardwareausnahmen, die vom Prozessor aufgrund von Problemen wie Division durch Null oder ungültigem Speicherzugriff ausgelöst werden, und Softwareausnahmen, die von Anwendungen oder dem Betriebssystem ausgelöst werden, oft aufgrund ungültiger Parameter. Strukturierte Ausnahmehandhabung ist eine Methode zur Verwaltung beider Arten von Ausnahmen. Sie ermöglicht eine einheitliche Behandlung von Hardware- und Softwareausnahmen, bietet volle Kontrolle über das Ausnahmemanagement, unterstützt Debugging und ist kompatibel mit verschiedenen Programmiersprachen und Maschinen.
Strukturierte Ausnahmehandhabungsschutz (SEHOP) hilft dabei, zu verhindern, dass Angreifer bösartigen Code verwenden, um die strukturierte Ausnahmehandhabung (SEH) auszunutzen, die integraler Bestandteil des Systems ist und (nicht bösartigen) Apps ermöglicht, Ausnahmen angemessen zu behandeln.
Wenn Anwendungen Probleme mit SEHOP haben, können Ausnahmen in GPO unter Administrative Templates\System\Mitigation Options\Process Mitigation Options konfiguruert werden.
Validate Heap Integrity
Der Heap ist ein Speicherbereich, den Windows verwendet, um dynamische Anwendungsdaten zu speichern.
Die Milderung zur Validierung der Heapsicherheit erhöht das Schutzniveau der Heapsicherungen in Windows, indem sie bewirkt, dass die Anwendung beendet wird, wenn eine Heapkorruption erkannt wird.
Die Milderungen umfassen:
Verhindern, dass ein HEAP-Handle freigegeben wird
Durchführung einer weiteren Validierung der erweiterten Blockheader für Heapspeicherzuweisungen
Überprüfen Sie, ob Heapspeicherzuweisungen nicht bereits als in Verwendung gekennzeichnet sind
Hinzufügen von Schutzseiten zu großen Zuweisungen, Heapsegmenten und -subsegmenten über einer Mindestgröße.
Die Überprüfung der Heapsicherheit wird standardmäßig bereits für 64-Bit- und 32-Bit-Anwendungen nach Windows Vista angewendet. Daher sind keine großen Kompatibilitätsprobleme zu erwarten. Kompatibilitätsprobleme können nur bei Anwendungen von Windows XP oder früher auftreten.
Zusammenfassend unserer Erkundung der Sicherheitsfunktionen von Windows 11 haben wir uns mit zwei entscheidenden Aspekten beschäftigt: Anwendungs-, Identitäts- und Passwortsicherheit sowie Hardware- und Speicherschutz. Der erste Teil unserer Reise bot Einblicke in die Maßnahmen von Windows 11 zur Abwehr von Cyberbedrohungen auf Softwareebene und gewährleistete robusten Schutz für digitale Identitäten und sensible Informationen der Benutzer. Im Übergang zum zweiten Teil haben wir die hardwarebasierten Sicherheitsmaßnahmen von Windows 11 aufgedeckt, wie z.B. die Kernisolierung und die Mechanismen zum Schutz vor Ausnutzungen, die unsere Verteidigung gegen Malware und Angriffe durch Prozessisolierung und Stärkung der Codesicherheit verstärken. Gemeinsam schaffen diese umfassenden Sicherheitsfunktionen eine robuste Verteidigungshaltung für Windows 11 und schützen die digitalen Erlebnisse der Benutzer auf allen Ebenen. Während wir die digitale Landschaft durchqueren, ist es beruhigend zu wissen, dass Windows 11 sowohl die Software- als auch die Hardware-Sicherheit priorisiert, um eine sicherere Computing-Umgebung für alle Benutzer zu gewährleisten.
Comments