Microsoft bringt Windows 11 22H2

Microsoft hat am 20. September, mit dem Rollout des Windows 11 2022 Updates (auch bekannt als Windows 11 Version 22H2) für Mainstream-Nutzer in mehr als 190 Ländern begonnen. Windows 11 22H2 ist Microsofts erstes jährliches Funktionsupdate für die erste Version von Windows 11, die letztes Jahr ausgeliefert wurde. Kunden der Enterprise- und Education-Edition erhalten 36 Monate Support für diese Version, Home- und Pro-Nutzer 24 Monate.

Wie schon in den letzten Jahren stellt Microsoft auch dieses Windows-Update schrittweise zur Verfügung. Wer das Update manuell über Windows Update installieren möchte, erhält es zuerst, und Rechner, bei denen wahrscheinlich keine Kompatibilitätsprobleme auftreten, erhalten das Update als nächstes.  Die RTM-Build-Nummer lautet 22621.521. Microsoft sagt, dass 22H2 weiterhin ein kostenloses Update für Windows 10- und Windows 11-Nutzer sein wird, deren PCs die Mindestanforderungen erfüllen.

Installation

Wenn Sie heute Windows 10 verwenden, können Sie mit der App PC Health Check prüfen, ob Ihr Gerät für ein Upgrade geeignet ist (d. h. die Mindestsystemanforderungen für Windows 11 erfüllt). Sie können dann überprüfen, ob Windows 11, Version 22H2, für Ihr spezifisches Gerät bereit ist, indem Sie die Windows Update-Einstellungen öffnen (Einstellungen > Update & Sicherheit > Windows Update) und nach Updates suchen auswählen. Wenn Ihr Gerät dafür in Frage kommt und das Upgrade bereit ist, wird die Option zum Herunterladen und Installieren angezeigt: Wenn Sie bereit sind, Windows 11 zu installieren, wählen Sie einfach Herunterladen und Installieren.

Was hat sich bei den Systemanforderungen für Windows 11 mit dem Update 22H2 geändert?

Kurz gesagt, sehr wenig. Microsoft hat die CPU/TPU-Anforderungen für qualifizierte Rechner seit letztem Jahr nicht gesenkt. Eine Neuerung ist jedoch zu beachten: Microsoft verlangt jetzt nicht nur von Windows 11 Home-Nutzern, sondern auch von Windows 11 Pro-Nutzern, dass sie mit dem Internet verbunden sind und sich über ein Microsoft-Konto anmelden, um das 22H2-Update installieren zu können. Microsoft hat das bestehende Schlupfloch nicht geschlossen, das es Nutzern von PCs, die die CPU/TPU-Barriere nicht erfüllen, erlaubt, Windows 11 auf diesen Geräten zu installieren, mit der Maßgabe, dass sie nicht offiziell von Microsoft „unterstützt“ werden.

Im Gegensatz zu der Methode des Aktivierungspakets, die Microsoft für die letzten Windows 10-Feature-Updates verwendet hat, wird Windows 11 22H2 eine vollständige Installation sein. Obwohl Microsoft nach eigenen Angaben daran gearbeitet hat, die Downloadgröße und den Zeitaufwand für die jährlichen und monatlichen Feature-Updates zu verringern, wurden die Mitarbeiter des Unternehmens darauf hingewiesen, dass das Update 22H2 bis zu 90 Minuten zum Herunterladen und Installieren und weitere 20 Minuten zum Abschluss der Installation benötigt.

Was ist in Windows 11 22H2 enthalten?

Auf höchster Ebene enthält Windows 11 22H2 einige neue Sicherheitsfunktionen, mehr produktivitätsorientierte Funktionen und mehr Verwaltungsfunktionen für Geschäftsanwender. Es gibt neue Snap-Layouts, neue Focus-Funktionen, bessere Sprachsteuerungsmöglichkeiten und Updates für den neuen Windows Store. Darüber hinaus wird die Amazon Appstore Preview, die Android-Apps unter Windows 11 verfügbar macht, auf weitere internationale Märkte ausgeweitet und umfasst nun 20.000 Android-Apps und Spiele.

Zusätzlich zum Datei-Explorer mit Registerkarten erhalten Windows 11 22H2-Benutzer separate Updates für die Fotos-App, für die vorgeschlagenen Aktionen zum Kopieren von Telefonnummern, zukünftigen Terminen usw., für die Taskleisten-Überlauf-Funktion und für die Freigabe an mehr Geräte über Nearby Share. Microsoft hat im Februar angekündigt, dass die Funktionen außerhalb des jährlichen Windows Feature Updates über Sicherheitsupdates und den Microsoft Store zur Verfügung gestellt werden sollen. Offiziell werden diese Feature-Updates, die außerhalb des jährlichen Feature-Updates bereitgestellt werden, als kontinuierliche Innovation bezeichnet.

Verbesserte Sicherheit

Windows 11 22H2 enthält viele Verbesserungen, die Schutz vor Angriffen auf den Windows-Kernel durch anfällige Treiber bieten, mit mehr Schutz für Anmeldeinformationen, besserem Schutz vor Bösewicht-Angriffen und einfacherer Authentifizierung ohne Passwörter.

Laut David Weston, Microsoft Vice President of Enterprise and Operating System Security, ist die wichtigste Sicherheitsfunktion von Windows 11 22H2 jedoch die Smart App Control, die standardmäßig die Kontrolle von Anwendungen ermöglicht.

Microsoft hat einen Ansatz mit Erlaubnislisten in Windows 10 S auf Millionen Geräten ausprobiert und dank dieses Ansatzes keine Malware auf ihnen gesehen, sagt Weston. Das Problem war, dass es sich um ein stumpfes Instrument handelte: App-Installationen wurden auf den Microsoft Store beschränkt.

Dieses Mal stützt sich die Anwendungskontrolle auf künstliche Intelligenz, um die Erlaubnisliste zu definieren. Microsoft hat dies in diesem Jahr mit Windows 11 Insidern über die Funktion Smart App Control getestet.

Die Erlaubnisliste erlaubt nur die Ausführung einer Reihe von Anwendungen unter Windows 11. Smart App Control basiert auf denselben Windows-Funktionen wie Windows Defender Application Control, mit dem Richtlinien manuell definiert werden können.

Wenn Benutzer also eine Anwendung erhalten, die von Millionen anderer Benutzer verwendet wird – unabhängig davon, ob sie aus dem Store oder von einer Website stammt -, wird sie ganz normal funktionieren, so Weston. Wenn jedoch jemand eine Anwendung als Anhang sendet, die er kürzlich erstellt hat, um den Virenschutz zu umgehen, wird diese nicht ausgeführt, da sie nicht auf der Zulassungsliste steht.

„Die meisten der Anwendungen, die wir heute verwenden, werden von Millionen anderer Menschen genutzt. Die meiste Malware wird nur auf ein paar Rechnern gesehen. Mit diesem Durchsetzungsmechanismus sind wir in den Kern des Betriebssystems vorgedrungen. Vor Windows 11 22H2 war dies eine Richtlinie, die Sie selbst in einer XML-Datei verfassen mussten. Sie können sich vorstellen, dass das in einem Unternehmen ziemlich schwierig ist, wenn man wissen will, welche Anwendungen jeder ausführen muss“, so Weston.

Windows 11 22H2 blockiert auch die meisten Skriptvektoren aus dem Internet. Dies ist teilweise auf die Entscheidung des Office-Teams zurückzuführen, nicht vertrauenswürdige Makros aus dem Internet standardmäßig zu blockieren.

„Windows 11 22H2 hat diese Idee weiter verfolgt. Wir haben gesagt, keine PowerShell, keine LNK-Dateien, kein Visual Basic aus dem Internet. Jeder, der ein Auge auf die Bedrohungslandschaft hat, weiß, dass dies einige der Favoriten sind. Windows 11 im Smart App Control-Modus blockiert diese Bedrohungen“, sagte er.

Microsoft wird die Sicherheitsfunktion schrittweise für die Nutzer einführen. Es wird eine Ein-Klick-Option für Benutzer geben, um Smart App Control zu verlassen, was einen Neustart erfordert, um es zu beenden. Im Laufe der Zeit wird Microsoft granularere Richtlinien veröffentlichen, um beispielsweise die Ausführung einer nominierten App zu ermöglichen, während die Funktion ansonsten aktiviert ist.

„Für die Leute, die in diesem Modus bleiben können, wird dies, basierend auf unseren Daten von Dingen wie Defender, eine der wichtigsten Sicherheitsfunktionen sein, die es gibt, und es wird Scripting und die meisten Malware-Vektoren blockieren“, sagte Weston voraus.

Smart App Control ist für Windows 11 für Verbraucher und kleine Unternehmen gedacht. In Unternehmen wird es standardmäßig für Windows 11 aktiviert sein, aber Microsoft erwartet nicht, dass sie es einsetzen werden, da viele Unternehmen ihre eigenen Geschäftsanwendungen haben. Microsoft erwartet, dass sie stattdessen Windows Defender Application Control verwenden, so Weston.

Weitere Sicherheitsverbesserungen zum Schutz von Anmeldeinformationen

In der ersten Version von Windows 11 hat Microsoft die virtualisierungsbasierte Sicherheit (VBS) nur für die neuesten AMD-, Intel- und Qualcomm-Prozessoren aktiviert. Weston sagte, dass er davon ausgeht, dass Windows in Zukunft mehr Gebrauch von VBS machen wird.

Außerdem schaltet Microsoft für die Enterprise-Editionen von Windows 11 22H2 standardmäßig Credential Guard ein. In Windows 10 hat Credential Guard NTLM-Anmeldeinformationen außerhalb von Windows und in VBS verschoben, um Credential-Dumping-Tools wie Mimikatz zu verhindern.

Microsoft hat jetzt geschützte Prozesse für den Local Security Authority Subsystem Service (LSASS) für neue Windows 11-Geräte, die in Unternehmen eingesetzt werden, aktiviert. LSA speichert Anmeldeinformationen von Microsoft und Drittanbietern. Mit diesem Schutz lädt Windows nur noch vertrauenswürdigen, signierten Code, was es Angreifern erschwert, Anmeldedaten zu stehlen.

„Wir haben gesagt: ‚Kein Prozess, einschließlich der Administratoren, kann von LSA lesen oder schreiben‘. Damit werden viele gängige Tools für den Diebstahl von Anmeldeinformationen und laterale Bewegungen ausgeschaltet. Es ist nicht so stark wie VBS, und wir wollen schließlich alles in VBS verlagern, aber dies ist eine ausgezeichnete Brückentechnologie, die einen echten Einfluss haben wird. Das Eindringen in LSA und das Auslesen von Anmeldedaten ist einer der häufigsten Angriffsvektoren. Das wird nicht mehr vorkommen“, so Weston.

Für seine Secured-Core-PCs und Laptops hat Microsoft außerdem eine neue Verschlüsselungstechnologie als zweite Schicht zu BitLocker eingeführt, die Personal Data Encryption (PDE).

Wenn Sie einen Laptop verlieren und der Angreifer ihn bis zum Anmeldebildschirm öffnet, werden die Daten auf der Festplatte trotzdem entschlüsselt. Wenn der Angreifer ein spezielles Gerät anbringt oder den Sperrbildschirm umgeht, um auf die Daten zuzugreifen oder einen Code auszuführen, kann er die Daten ausspähen.

Während SecuredCore-PCs dieser Bedrohung durch das Sperren der Ports begegnen, bietet PDE eine Möglichkeit, über BitLocker hinaus eine dateispezifische Verschlüsselung zu aktivieren, so dass Angreifer selbst dann, wenn sie BitLocker umgehen könnten, mit einer verschlüsselten Datei konfrontiert würden, wodurch effektiv ein zweites Sicherheitsnetz über BitLocker hinaus geschaffen wird.