Microsoft stellt neue Sicherheitsfunktionen von Windows 10 vor

Microsoft hat Details zu neuen Sicherheitsfunktionen von Windows 10 veröffentlicht. Mit dem Nachfolger von Windows 8.x will Microsoft das Ende der Ein-Schritt-Authentifizierung per Passwort einläuten. Der dafür entwickelte Dienst „Next Generation Credentials“ ist in der aktuellen Enterprise Technical Preview allerdings noch nicht aktiv. Darüber hinaus soll Windows 10 die Sicherheit in Unternehmen verbessern.

Der Dienst Next Generation Credentials soll es Besitzern eines Windows-10-Geräts erlauben, ihren PC, ihr Tablet oder ihr Smartphone als vertrauenswürdiges Gerät für eine Zwei-Faktor-Authentifizierung einzusetzen. Zusammen mit einer PIN oder einem biometrischen Nachweis wie einem Fingerabdruck sollen Nutzer in der Lage sein, sich bei beliebigen mobilen Diensten anzumelden, die die Technik unterstützen.

Die PIN ist nicht auf Zahlen beschränkt und darf auch Buchstaben enthalten. Sollte die PIN bei einem Einbruch in einen Server oder einem Phishing-Angriff gestohlen werden, könnte der Dieb nicht auf die betroffenen Dienste zugreifen, weil ihm die für die Anmeldung in zwei Schritten benötigte Hardwarekomponente fehlt. Gleiches gilt auch beim Verlust des Geräts, das ohne die PIN nutzlos ist.

Für die Authentifizierung setzt Microsoft auf Standards der FIDO Alliance. Zu deren Mitgliedern zählen neben Technikfirmen wie Microsoft, Google und Lenovo auch Banken und Bezahldienste (Bank of America, PayPal, Visa und MasterCard) sowie etablierte Sicherheitsfirmen wie RSA und IdentityX.

Unternehmen können die benötigten öffentlichen und persönlichen Schlüssel mit ihrer vorhandenen PKI-Infrastruktur ausstellen. Auf Consumer-Geräten würden sie durch Windows 10 selbst generiert und gespeichert. Darüber hinaus kann der Sicherheitsdienst auf allen oder nur ausgewählten Geräten eingesetzt werden. Alternativ kann ein einziges Gerät auch so konfiguriert werden, dass es als virtuelle Smart Card dient. Ein Smartphone könnte beispielsweise lokalen Geräten die Zwei-Faktor-Authentifizierung per WLAN oder Bluetooth zur Verfügung stellen.

Zwei weitere neue Sicherheitsfunktionen richten sich speziell an Unternehmen. Unter anderem verbessert Microsoft den Datenschutz auf privaten Geräten, die im Unternehmensumfeld eingesetzt werden (Bring your own Device, BYOD). Administratoren können unter Windows 10 Richtlinien für die automatische Verschlüsselung von vertraulichen Informationen wie Apps, Daten, E-Mails und Inhalten von Intranet-Sites definieren.

Die Verschlüsselung wird durch APIs auch von gängigen Windows-Befehlen wie „Öffnen“ und „Speichern“ unterstützt, sodass sie allen Windows-Apps zur Verfügung steht, die wiederum diese Befehle unterstützen. Zudem lassen sich Anwendungen definieren, die auf die verschlüsselten Daten zugreifen dürfen. Anderen Anwendungen wie beispielsweise Cloudspeicherdiensten kann der Zugriff auch explizit verwehrt werden.

Unternehmen wie Banken, Behörden oder die Rüstungsindustrie, die besonders hohe Sicherheitsansprüche haben, können mit Windows 10 und spezieller OEM-Hardware verhindern, dass auf einem Gerät nicht vertrauenswürdiger Code ausgeführt wird. In einer solchen Konfiguration sind nur Apps erlaubt, die ein von Microsoft ausgestelltes Sicherheitszertifikat besitzen. Unternehmen, die eigene Geschäftsanwendungen einsetzen, erhalten dafür von Microsoft einen eigenen Schlüsselgenerator, der es ihnen erlaubt, die Apps in ihrem Netzwerk auszuführen – aber nicht außerhalb des eigenen Netzwerks.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de