Windows 10 verbessert Sicherheit in Unternehmen

Microsoft hat Einzelheiten über die Sicherheitsfunktionen von Windows 10 präsentiert. Nach Aussagen des Softwarekonzerns soll mit der neuen Version des Betriebssystems die Sicherheit in Unternehmen verbessert werden. Es ersetzt die Ein-Schritt-Authentifizierung per Passwort durch den Dienst “Next Generation Credentials”. In der aktuellen Enterprise Technical Preview ist es jedoch noch nicht aktiv.

Nutzer sollen mit Next Generation Credentials in der Lage sein, ihren PC, ihr Tablet oder ihr Smartphone als vertrauenswürdiges Gerät für eine Zwei-Faktor-Authentifizierung zu verwenden. Um sich bei mobilen Diensten, die die Technik unterstützen, anmelden zu können, benötigen Anwender eine PIN oder einen biometrischen Nachweis wie einen Fingerabdruck.

Dabei beschränkt sich die PIN nicht nur auf Zahlen, sondern kann auch Buchstaben enthalten. Entwendet ein Angreifer die PIN bei einem Einbruch in einen Server oder einem Phishing-Angriff, kann er nicht auf die betroffenen Dienste zugreifen, da die benötigte Hardwarekomponente für die Anmeldung in zwei Schritten fehlt. Das trifft auch beim Verlust des Gerätes zu. Ohne PIN ist es nutzlos.

Microsoft verwendet Standards der FIDO Alliance bei der Authentifizierung. Neben Technikfirmen wie Microsoft, Google und Lenovo setzen auch Banken und Bezahldienste (Bank of America, PayPal, Visa und MasterCard) sowie etablierte Sicherheitsfirmen wie RSA und IdentityX diese ein.

Die benötigten öffentlichen und persönlichen Schlüssel können Unternehmen mit der eigenen vorhandenen PKI-Infrastruktur ausstellen. Windows 10 generiert und speichert sie auf Consumer-Geräten selbst. Der Sicherheitsdienst steht auf allen oder nur ausgewählten Geräten zur Verfügung. Ein einziges Gerät lässt sich alternativ als virtuelle Smart Card konfigurieren. Ein Smartphone könnte beispielsweise lokalen Geräten die Zwei-Faktor-Authentifizierung per WLAN oder Bluetooth zur Verfügung stellen.

Mit zwei weiteren Sicherheitsfunktionen wendet sich Microsoft speziell an Unternehmen. Einen davon ist ein verbesserter Datenschutz auf privaten Geräten, die im Unternehmensumfeld eingesetzt werden (Bring your own Device, BYOD). Unter Windows 10 können Administratoren Richtlinien für die automatische Verschlüsselung von vertraulichen Informationen wie Apps, Daten, E-Mails und Inhalten von Intranet-Sites definieren.

Die Verschlüsselung wird durch APIs auch von gängigen Windows-Befehlen wie “Öffnen” und “Speichern” unterstützt, sodass sie allen Windows-Apps zur Verfügung steht, die wiederum diese Befehle unterstützen. Zudem lassen sich Anwendungen definieren, die auf die verschlüsselten Daten zugreifen dürfen. Anderen Anwendungen wie beispielsweise Cloud-Speicherdiensten kann der Zugriff auch explizit verwehrt werden.

Unternehmen wie Banken, Behörden oder die Rüstungsindustrie, die besonders hohe Sicherheitsansprüche haben, können mit Windows 10 und spezieller OEM-Hardware verhindern, dass auf einem Gerät nicht vertrauenswürdiger Code ausgeführt wird. In einer solchen Konfiguration sind nur Apps erlaubt, die ein von Microsoft ausgestelltes Sicherheitszertifikat besitzen. Unternehmen, die eigene Geschäftsanwendungen einsetzen, erhalten dafür von Microsoft einen eigenen Schlüsselgenerator, der es erlaubt, die Apps im eignen Netzwerk auszuführen – aber nicht außerhalb davon.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de