Warum Windows 11 sicherer ist als Windows 10

Seit dem 5. Oktober 2021 ist Windows 11 offiziell verfügbar. Laut Microsoft soll es sich dabei um die bislang sicherste Windows-Version handeln. Das Redmonder Unternehmen hat in dem Zusammenhang erklärt, dass vor allem der Umstieg auf hybride und Remote-Arbeitsumgebungen während der Pandemie die Tür für eine Vielzahl von Bedrohungen geöffnet hat. Beispielsweise wurden mit Spectre und Meltdown Schwachstellen in Windows 10 gezielt von Hackern ausgenutzt. Es überrascht daher kaum, dass Microsoft bei Windows 11 vor allem beim Punkt der Sicherheit nachgelegt hat.

Schön für den Anwender: Das neue Betriebssystem lässt sich auf allen kompatiblen PCs installieren, häufig sogar in Form eines kostenlosen Upgrades von Windows 10. Weniger schön sind die gestiegenen Mindestanforderungen, die quasi alle Geräte älter als fünf Jahre davon ausschließen: Ohne ein Trusted Platform Module (TPM) in der Version 2.0 auf dem Motherboard ist eine Installation nicht möglich.

Um die Erfolgschancen von Exploits und Cyberangriffen zu verringern, hat Microsoft in Windows 11 eine Reihe von Anforderungen hinsichtlich des Systems und der Funktionalitäten implementiert, welche aktiviert werden müssen. Das umfasst sowohl die Hardware wie auch den Bootvorgang. Diese Funktionalitäten sind:

• Trusted Platform Module (TPM) 2.0: Wie bereits erwähnt, ist ein TPM 2.0 für die Ausführung von Windows 11 zwingend erforderlich. Entsprechende Chips sind seit dem Jahr 2016 auf den Motherboards moderner PCs enthalten. Auf diesen Kryptoprozessoren können Windows-Verschlüsselungsschlüssel, digitale Zertifikate sowie SSL-Informationen für das sichere Surfen und VPN gespeichert werden. Eines der wichtigsten Merkmale ist, dass diese Daten nur mit dem Prozessor im TPM 2.0-Modul kommunizieren. Das macht es für Malware sehr schwierig, ohne spezielle Berechtigungen darauf zuzugreifen.

• VBS: Die in Windows 11 integrierte ‚Virtualisierungsbasierte Sicherheit (VBS)‘ nutzt Virtualisierungsfunktionen der Hardware, um einen vom Betriebssystem isolierten Speicherbereich zu erzeugen. Windows kann anschließend diesen sicheren virtuellen Modus nutzen, um dort Cybersicherheitstools und -lösungen zu speichern. Dies schützt das System vor Schwachstellen im Betriebssystem sowie vor Malware, die versucht, die Schutzmaßnahmen zu umgehen.

• HCVI: Hypervisor-Protected Code Integrity (HCVI) ist eine Funktion zum Schutz der von VBS erzeugten, isolierten Speicherumgebung. Sie erzeugt quasi eine Schutzmauer um den Windows-Kernel, da Malware häufig diesen nutzt, um Vollzugriff auf Systeme zu erhalten. HCVI konnte bereits in Windows 10 aktiviert werden. In Windows 11 ist es nun standardmäßig enthalten.

• UEFI Secure Boot: Secure Boot ist ein UEFI-Protokoll (Nachfolger des BIOS, also der Technologie, welche die Hardware des Computers steuert), das den Systemstart absichert. Es prüft die Signaturen aller installierten Hardwarekomponenten und lädt keine unsignierten Treiber. Dadurch lässt sich – noch bevor das Betriebssystem hochfährt – Bootkits und jeglicher Malware, die während des Bootvorgangs ausgeführt wird, ein Riegel vorschieben. Bevor Secure Boot nicht aktiviert ist, startet Windows 11 nicht.

Darüber hinaus wird Windows 11 mit Windows Defender als Anti-Malware-Komponente konfiguriert. Diese Funktion war bereits in früheren Versionen vorhanden. Offensichtlich arbeitet Microsoft derzeit an einer neuen Version von Defender, die noch stärker auf das neue Betriebssystem abgestimmt ist.

Verbesserter, aber unzureichender Schutz

In Summe bieten die Funktionen und Anforderungen in Windows 11 zwar mehr Schutz, sind aber immer noch nicht ausreichend. Dies wird vor allem daran deutlich, dass herkömmliche Antivirenprodukte wie Windows Defender zwar bekannte Bedrohungen scannen und erkennen können, bei neuen ausgeklügelten Gefahren wie „Living off the Land“-Angriffen per dateiloser Malware aber klar an ihre Grenzen gelangen.

Obwohl ein Upgrade auf Windows 11 empfohlen wird, sollten zusätzlich dedizierte Lösungen für Endpoint Security zum Einsatz kommen, die tradierte Antivirenscans um fortschrittliche Technologien zur Bedrohungserkennung und -abwehr ergänzen. So kann WatchGuard EDR beispielsweise als Add-on installiert werden, um auch malware- und dateilose Angriffe abzuwehren, die sich von herkömmlichen Antivirenlösungen in der Regel nicht aufhalten lassen. Alle Funktionen rund um EPP (Endpoint Protection Platform) und EDR (Endpoint Detection and Response) sind in der Lösung Watchguard EPDR integriert und bieten maximalen Schutz bei minimaler Beeinträchtigung der Computerleistung – nicht nur auf Windows 11-Systemen.

Von Paul Moll, WatchGuard

Quelle: WatchGuard Blog