Windows 10 liefert mit „Credential Guard“ wichtige Sicherheitsfeatures

160120_Jason Fossen

Interview mit Jason Fossen, SANS-Trainer für SEC505 in München

  1. Welche Angriffe auf Windows sind am weitesten verbreitet? Können Sie einen Security-Vorfall beschreiben, der untersucht und im Anschluss publik gemacht wurde?

Die häufigsten Angriffe sind noch immer „Angriffe“, die auf Web Browser wie den Internet Explorer abzielen. Das Opfer besucht beispielsweise eine infizierte Webseite und lädt Schadcode auf den eigenen Computer herunter. Die im Microsoft Security Advisory MS15-093 beschriebene kritische Schwachstelle wird oft für diesen Vorgang ausgenutzt und ist in den meisten Versionen des Internet Explorers vorhanden. Microsoft hat die Lücke inzwischen geschlossen und den Internet Explorer durch den neuen Edge Browser ersetzt. Edge ist nicht mit veraltetem Code belastet, den der Internet Explorer über die Jahre hinweg gesammelt hat, und somit ein „gesunder“ Neustart.

  1. Was sind die wichtigsten Weiterentwicklungen im Hinblick auf Sicherheit, die Windows 10 mit sich bringt?

Mit „Credential Guard“ führt Windows 10 eine wesentliche Weiterentwicklung in Sachen Security ein. Übernehmen Hacker einen Windows-Computer, werden in der Regel alle gespeicherten Passwörter oder Hashes gestohlen und dazu genutzt, um andere Hosts innerhalb des Netzwerkes zu kompromittieren. Ist „Credential Guard“ jedoch aktiviert, werden genau diese gespeicherten Informationen durch eine Kombination aus Hardware, Firmware, Hypervisor sowie Komponenten eines Betriebssystems geschützt, die dazu dienen, Kernel-Mode-Malware daran zu hindern, sie zu stehlen. Die Auswirkungen eines Pass-the-hash-Angriffs können für Unternehmen nach einer Kompromittierung ansonsten verheerend sein. „Credential Guard“ jedoch verspricht, die Durchführung derartiger Angriffe zu erschweren.

  1. Welche Critical Security Controls sind für Windows am wichtigsten und wie werden sie implementiert?

Die wichtigsten Critical Security Controls, die Windows betreffen, sind:

  • Aktualisieren auf die aktuellste Windows-Version
  • Schnelleres Durchführen von Security Patches nach Veröffentlichung
  • Entfernen von Usern aus der Administratorengruppe
  • Einsatz von AppLocker oder anderen Application-Whitelisting-Produkten

Ohne diese „Top 4“ als Grundfundament haben die übrigen Critical Security Controls nur einen schwachen Randeffekt.

  1. Was ist „PowerShell“ und welchen Beitrag leistet es zum Schutz von Windows?

„PowerShell“ ist weitaus mehr als eine Skriptsprache und eine Befehls-Shell. Es handelt sich vielmehr um Automatisierungs- und Remote-Management-Richtlinien, die einen wichtigen Beitrag dazu leisten, wie die Sicherheit von Windows zukünftig verwaltet wird. Es ist davon auszugehen, dass im Laufe der Zeit auch graphische Administrations-Tools wie GUI-Wrapper an der Spitze von PowerShell stehen werden.

Hier ein paar Details: „PowerShell Desired State Configuration (DSC)“ hat beispielsweise Ähnlichkeit zu „Puppet“ oder „Chef“[1], während „DSC“ als die Zukunft von Sicherheits-Templates sowie Compliance-Management angesehen wird. Ein weiteres Beispiel ist der PowerShell-Fernzugriff, der in Bezug auf Flexibilität und Skalierbarkeit noch besser als „Secure Shell (SSH)“ ist.

  1. Beim diesjährigen SANS Trainingsevent in München unterrichten Sie den Kurs SEC505. Welche Zielgruppen fokussiert das Training? Was sind die wichtigsten Erkenntnisse, die die Teilnehmer mitnehmen?

Der sechstägige Kurs „Securing Windows with Power Shell and the Critical Security Controls (SEC505)“ richtet sich hauptsächlich an Interessierte aus dem Bereich der IT Security Operations und nicht an Manager oder Auditoren. Zu den meisten Teilnehmern gehören in der Regel System-Administratoren, Security-Architekten und Consultants. Das Training stellt den Einsatz von „PowerShell“ und „Group Policies“ in großen Umgebungen in den Vordergrund. Geübt wird der Einsatz von PKI, IPSec, Dynamic Access Control (DAC), AppLocker, EMET sowie anderen nützlichen, teils jedoch komplexen Sicherheitslösungen. Ausgangspunkt ist hierbei die Annahme, dass sich Hacker bereits Zugang zum Netzwerk verschafft haben.

[1] Open Source-Tools für automatisches Konfigurationsmanagement, die in direkter Konkurrenz zueinander stehen und von Windows unterstützt werden.