Mit Windows 10 stehen zwei nennenswerte Neuerungen zur Verfügung, welche die Sicherheit von Unternehmensrechnern zusätzlich stärken.
Device Guard
Das Feature Device-Guard beruht auf der Virtualisierungs-Schicht des Betriebssystems, welche das Ausführen nicht vertrauenswürdiger Software verhindert. Die Hardware basierte Virtualisierung ist eine effektive Ergänzung zum Whitelisting von Applikationen.
Für die Funktion muss die Software eine gültige Signatur besitzen. Die Signierung kann das Unternehmen selbst für seine Anwendungen vornehmen und dann eine Whitelist der auszuführenden Anwendungen definieren. Zusätzlich laufen Windows Dienste die Treiber und Code überprüfen in einem virtuellen Container, der selbst wenn der Rechner von Malware befallen ist, von dieser nicht modifiziert werden kann. Nur eine signierte neue Device-Policy der das Unternehmen vertraut kann die Informationen im virtuellen Container aktualisieren. Also ein sehr effektiver zusätzlicher Schutz.
Credential Guard
Der Credential Guard schützt genutzte Zugangsdaten, indem sie durch Hardware basierte Virtualisierung vor Zugriff durch Malware etc. geschützt wird.
Bisher konnte Malware, hatte sie bereits Zugang zum System, sich mit den im LSA Store gehashten Zugangsdaten weiteren Zugang zu anderen Systemen im Netzwerk verschaffen. Das ist durch den neuen zusätzlichen Schutz durch einen virtuellen Container nicht mehr so einfach möglich.
Beide Features zusammen eingesetzt, erhöhen massiv die Sicherheit eines Windows-Systems und legen die Latte für einen Hacker zusätzliche zwei Stufen höher.
Mit Secure Disk (ab Rel. 5.2.4) ist der Einsatz, in der Umgebung Windows 10 mit UEFI/Secure Boot und DeviceGuard/Credential Guard , freigegeben.
Mehr Infos: https://www.cryptware.eu/news/secure-disk-for-bitlocker-mit-microsoft-device-guard-credential-gurad/