Das Betriebssystem Windows 10 wurde vor zirka 15 Monaten veröffentlicht und findet immer mehr private und geschäftliche Anwendung. Der Start von Windows 10 verlief harzig, eine grosse Begeisterung konnte bis jetzt nicht geweckt werden. Die grafische Oberfläche, wie Startmenü oder Action Center, die erzwungenen Updates sowie die Einbindung von Cloud Diensten und das Aufzeichnen des Benutzerverhaltens sorg(t)en für Unmut. Die Verbesserung von Sicherheitsfunktionen und -einstellungen wurden dabei nur wenig beachtet. Teilweise sind diese Funktionen auch Enterprise-Kunden vorenthalten, wie Credential und Device Guard.

Die Standardeinstellungen von Microsoft bilden eine solide Basis, sollten für ein sicheres Betriebssystem jedoch überarbeitet werden. Auf der Basis des CIS Microsoft Windows 10 Benchmarks habe ich eine Checkliste erarbeitet, die im privaten und geschäftlichen Umfeld für das Hardening von Windows 10 angewendet werden kann. Die Hardening-Checkliste kann für alle Windows Versionen angewendet werden, in Windows 10 Home ist jedoch der Gruppenrichtlinieneditor nicht integriert und die Anpassung muss direkt in der Registry vorgenommen werden.

Grundlagen

Als Schutzmassnahme gegen unerlaubte physische Zugriffe sollte die Festplatte verschlüsselt werden. Dabei kann die integrierte Funktion BitLocker verwendet werden. Bitlocker sollte idealerweise in Kombination mit SecureBoot eingesetzt werden. Dadurch wird die Festplatte an die Hardware des eigenen Systems gebunden.

Als Antiviren-Software kann die integrierte Lösung Windows Defender zum Einsatz kommen. Windows Defender bietet einen ausreichenden Schutz gegen bekannte Malware und verfügt über keine bekannten gravierende Schwachstellen. In einer Security Research von Antiviren-Software durch Tavis Ormandy, Researcher in Googles Project Zero, wurde bei Windows Defender im Gegensatz zur Konkurrenz keine kritische Schwachstelle gefunden, welche die Sicherheit des Betriebssystems beeinträchtigt.

Im Jahr 2009 veröffentlichte Microsoft das Enhanced Mitigation Experience Toolkit, welches als Defense in Depth Massnahme gegen die Ausnutzung von Schwachstellen verwendet werden kann. EMET beinhaltet Massnahmen gegen bekannte Exploit-Techniken wie Heap Spraying und Return Oriented Programming. Der Support für EMET wird Ende Juli 2018 eingestellt, da Microsoft den Grossteil der Funktionalität in Windows 10 integriert hat. Gemäss einer Analyse von Will Dormann ist dies mit der aktuellen Version von Windows 10 noch nicht der Fall. Dementsprechend sollte EMET auf einem gut gehärteten System weiterhin betrieben werden.

Mit Windows 10 wurde das Verhalten von Windows Update angepasst. Nach Ablauf einer bestimmten Zeit werden Updates von Windows eigenständig installiert und ein Neustart durchgeführt. Dies führte zu Unmut unter Anwendern und zur Empfehlung, den Windows Update Prozesses zu deaktivieren. Die zeitnahe Installation von Windows Updates trägt wesentlich zur Sicherheit des Systems bei und sollte auf keinen Fall deaktiviert werden. So gab es in diesem Jahr mindestens drei Schwachstellen zur Privilege Escalation (MS16-032, MS16-111 und MS16-124), zu denen funktionierende Exploits innerhalb weniger Tage nach Veröffentlichung des Patches publiziert wurden.

Security und Privacy

Auch unter Windows 10 ist der Einsatz von NT LAN Manager (NTLM) ein sicherheitsrelevantes Thema. Wenn ein Angreifer den NTLM Challenge-Response-Vorgang aufzeichnen kann, beispielweise durch Manipulation des Netzwerkverkehrs, kann das Passwort des Benutzers daraus errechnet werden. Ein achtstelliges Passwort kann dabei in wenigen Stunden errechnet werden. NTLM sollte nur noch in der Version 2 (NTLMv2) eingesetzt und alle anderen Versionen (NTLMv1 und LM) abgelehnt werden. Idealerweise wird NTLM ganz deaktiviert oder auf bekannte IP-Adressen eingeschränkt.

Eine neue Sicherheitsfunktion blockiert nicht vertrauenswürdigen Schriftarten (True Type Fonts), ist aber in der Standardeinstellung nicht aktiv. Diese Funktion sollte entsprechend aktiviert werden. In Windows wurden einige Schwachstellen gefunden, die durch das Öffnen oder Ansehen einer Schriftart eine Privilege Escalation bis auf Kernel-Ebene des Betriebssystems ermöglichen. Nun ist es möglich, die Unterstützung für nicht vertrauenswürdige Schriftarten zu deaktivieren und die Schwachstelle zu mitigieren.

Mit Windows 10 werden verschiedene Funktionen mitgeliefert, die in den Standardeinstellungen die Privatsphäre des Benutzers negativ beeinflussen. So kann beispielsweise das Benutzerverhalten durch die Aufzeichnung von Telemetrie-Daten analysiert werden. Zudem sind in den Standardeinstellungen Cloud-Funktionen aktiv, die ein Benutzer gegebenenfalls gar nicht einsetzen will. Dazu gehören die Speicherfunktion OneDrive sowie die Spracherkennungssoftware Cortana. Die meistens dieser Punkte können mittels Gruppenrichtlinien verwaltet und bei Bedarf deaktiviert werden. So ist es möglich, das Aufzeichnen und Senden von Fehlermeldungen an Microsoft auszuschalten, die Aufzeichnung von Telemetrie-Daten auf ein Minimum zu reduzieren (komplettes Ausschalten ist nur in der Enterprise Version möglich), und Cloud-Anwendungen wie OneDrive oder Cortana zu deaktivieren.

Auditing und Logs

Sicherheitsrelevante Ereignisse müssen auf einem gehärteten System aufgezeichnet und ausgewertet werden. Die Standardeinstellungen sollten dazu erweitert werden. Um einen Angriffsversuch oder den Missbrauch von Zugangsdaten in einem frühen Stadium festzustellen, sollten fehlgeschlagene Anmeldeversuche aufgezeichnet werden. Das Verschärfen der Log-Einstellungen hilft aber nur etwas, wenn die Integrität der Logs sichergestellt ist und diese auch wirklich aufgezeichnet werden. Dementsprechend sollte die Maximalgrösse der Event-Logs erweitert werden, damit sichergestellt ist, dass keine Einträge durch Überschreiben verloren gehen. Zudem sollten die Zugriffsrechte auf Administratoren eingeschränkt werden.

Vollständige Checkliste

Die vollständige Checkliste mit allen Einstellungen kann im Textformat heruntergeladen werden. Die Einstellungen sind als Empfehlung aus der Perspektive der Sicherheit zu betrachten und sollten vor der Übernahme sorgfältig darauf überprüft werden, ob diese den Betrieb der eigenen Infrastruktur beeinflussen oder einen Nachteil in der Bedienbarkeit von wichtigen Funktionen mit sich bringen. Dabei gilt es zwischen Security und Usability abzuwägen. Sich mit den Sicherheitseinstellungen des Systems auseinander zu setzen, führt zu einem besseren Verständnis des Systems und der eigenen Bedürfnisse, was wiederum die Sicherheit des Gesamtsystems verbessert.

Über den Autor

Michael Schneider arbeitet seit dem Jahr 2000 in der IT. Im Jahr 2010 hat er sich auf die Informationssicherheit spezialisiert. Zu seinen Aufgaben gehören das Penetration Testing, Hardening und das Aufspüren von Schwachstellen in Betriebssystemen. Er ist bekannt für eine Vielzahl in PowerShell geschriebener Tools zum Finden, Ausnutzen und Beheben von Schwachstellen. (ORCID 0000-0003-0772-9761)

Links

• https://benchmarks.cisecurity.org/tools2/windows/CIS_Microsoft_Windows_10_Enterprise_RTM_Release_1507_Benchmark_v1.0.0.pdf
• https://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/
• https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=owner%3Ataviso%40google.com
• https://en.wikipedia.org/wiki/Privilege_escalation
• https://en.wikipedia.org/wiki/Return-oriented_programming
• https://github.com/0×6d69636b/windows_hardening/
• https://googleprojectzero.blogspot.com
• https://insights.sei.cmu.edu/author/will-dormann/
• https://insights.sei.cmu.edu/cert/2016/11/windows-10-cannot-protect-insecure-applications-like-emet-can.html
• https://technet.microsoft.com/en-us/security/jj653751
• https://twitter.com/taviso
• https://vuldb.com/de/?id.81278
• https://vuldb.com/de/?id.91564
• https://vuldb.com/de/?id.92593
• https://wikipedia.org/wiki/Heap_spraying