Gerätesicherheit in der Windows-Sicherheit-App

Speicherintegrität, auch als Hypervisor-geschützte Codeintegrität (HVCI) bezeichnet, ist ein Windows-Sicherheitsfeature, das es schädlichen Programmen erschwert, Treiber auf niedriger Ebene zu verwenden, um Ihren PC zu kapern.

Ein Treiber ist eine Software, die das Betriebssystem (in diesem Fall Windows) und ein Gerät (z. B. eine Tastatur oder eine Webcam) miteinander kommunizieren kann. Wenn das Gerät möchte, dass Windows etwas tut, verwendet es den Treiber, um diese Anforderung zu senden.

Die Speicherintegrität funktioniert, indem eine isolierte Umgebung mithilfe der Hardwarevirtualisierung erstellt wird.

Stellen Sie sich das wie einen Wächter in einem verriegelten Wachhäuschen vor. Diese isolierte Umgebung (das verriegelte Wachhäuschen in unserer Analogie) verhindert, dass das Speicherintegritätsfeature von einem Angreifer manipuliert wird. Ein Programm, das einen Code ausführen möchte, der möglicherweise gefährlich ist, muss den Code an die Speicherintegrität im Inneren dieses virtuellen Wachhäuschens weiterleiten, damit er überprüft werden kann. Wenn die Speicherintegrität überzeugt ist, dass der Code sicher ist, übergibt sie den Code zur Ausführung an Windows zurück. Dies erfolgt in der Regel sehr schnell.

Ohne die Speicherintegrität tritt der Sicherheitswächter direkt in den Offenen auf, wo es für einen Angreifer viel einfacher ist, den Wächter zu stören oder zu sabotieren, was es für schädlichen Code einfacher macht, sich an die Vergangenheit zu schleichen und Probleme zu verursachen.

Sie können die Speicherintegrität mithilfe der Umschaltfläche aktivieren oder deaktivieren.

Was mache ich, wenn angezeigt wird, dass ein inkompatibler Treiber installiert ist?

Wenn die Speicherintegrität nicht aktiviert werden kann, wird ihnen möglicherweise mitgeteilt, dass bereits ein inkompatibler Gerätetreiber installiert ist. Wenden Sie sich an den Hersteller des Gerätes, um festzustellen, ob ein aktualisierter Treiber verfügbar ist. Wenn kein kompatibler Treiber verfügbar ist, können Sie möglicherweise das Gerät oder die App entfernen, das bzw. die diesen inkompatiblen Treiber verwendet.

Hardware-erzwungener Stapelschutz ist ein hardwarebasiertes Sicherheitsfeature, das es bösartigen Programmen erschwert, Low-Level-Treiber zu verwenden, um Ihren PC zu kapern.

Ein Treiber ist eine Software, die das Betriebssystem (in diesem Fall Windows) und ein Gerät (z. B. eine Tastatur oder eine Webcam) miteinander kommunizieren kann. Wenn das Gerät möchte, dass Windows etwas tut, verwendet es den Treiber, um diese Anforderung zu senden.

Hardware-erzwungener Stapelschutz verhindert Angriffe, die Rückgabeadressen im Kernelmodusspeicher ändern, um schädlichen Code zu starten. Dieses Sicherheitsfeature erfordert eine CPU, die die Möglichkeit enthält, die Rückgabeadressen von ausgeführtem Code zu überprüfen.

Bei der Ausführung von Code im Kernelmodus können Rückgabeadressen im Kernelmodusstapel durch schadhafte Programme oder Treiber beschädigt werden, um die normale Codeausführung an schädlichen Code umzuleiten. Auf unterstützten CPUs verwaltet die CPU eine zweite Kopie gültiger Rückgabeadressen auf einem schreibgeschützten Schattenstapel, den Treiber nicht ändern können. Wenn eine Rückgabeadresse im regulären Stapel geändert wurde, kann die CPU diese Diskrepanz erkennen, indem sie die Kopie der Rückgabeadresse auf dem Schattenstapel überprüft. Wenn diese Diskrepanz auftritt, fordert der Computer einen Stoppfehler auf, der manchmal auch als blauer Bildschirm bezeichnet wird, um die Ausführung des schädlichen Codes zu verhindern.

Nicht alle Treiber sind mit diesem Sicherheitsfeature kompatibel, da eine kleine Anzahl legitimer Treiber die Adressänderung für nicht böswillige Zwecke durchführen. Microsoft hat sich mit zahlreichen Treiberherverlegern beschäftigt, um sicherzustellen, dass ihre neuesten Treiber mit hardwarebasiertem Stapelschutz kompatibel sind.

Sie können den vom Hardware erzwungenen Stapelschutz mithilfe der Umschaltfläche aktivieren oder deaktivieren.

Um hardwareseitig erzwungenen Stapelschutz verwenden zu können, muss die Speicherintegrität aktiviert sein, und Sie müssen eine CPU ausführen, die Intel Control-Flow Enforcement Technology oder AMD Shadow Stack unterstützt.

Was geschieht, wenn angegeben wird, dass ich einen inkompatiblen Treiber oder Dienst habe?

Wenn der von der Hardware erzwungene Stapelschutz nicht aktiviert werden kann, wird ihnen möglicherweise mitgeteilt, dass bereits ein inkompatibler Gerätetreiber oder -dienst installiert ist. Wenden Sie sich an den Hersteller des Geräts oder den Herausgeber der Anwendung, um festzustellen, ob ein aktualisierter Treiber verfügbar ist. Wenn kein kompatibler Treiber verfügbar ist, können Sie möglicherweise das Gerät oder die App entfernen, die diesen inkompatiblen Treiber verwendet.

Einige Anwendungen installieren möglicherweise einen Dienst anstelle eines Treibers während der Installation der Anwendung und den Treiber nur, wenn die Anwendung gestartet wird. Für eine genauere Erkennung von inkompatiblen Treibern werden auch Dienste aufgelistet, von denen bekannt ist, dass sie mit inkompatiblen Treibern verknüpft sind.

Dieses Sicherheitsfeature wird auch als Kernel-DMA-Schutz bezeichnet und schützt Ihr Gerät vor Angriffen, die auftreten können, wenn ein schädliches Gerät an einen PCI-Anschluss (Peripheral Component Interconnect) wie einen Thunderbolt-Anschluss angeschlossen ist.

Ein einfaches Beispiel für einen dieser Angriffe wäre, wenn jemand den PC für eine kurze Kaffeepause verlässt und während der Abwesenheit ein Angreifer eintritt, ein USB-Gerät einsteckt und mit vertraulichen Daten vom Computer weggeht oder Schadsoftware einschleust, mit der er den PC aus der Ferne steuern kann. 

Der Speicherzugriffsschutz verhindert diese Art von Angriffen, indem er diesen Geräten den direkten Zugriff auf den Speicher verweigert, außer unter besonderen Umständen, insbesondere wenn der PC gesperrt ist oder der Benutzer abgemeldet wird.

Jedes Gerät verfügt über Software, die in den schreibgeschützten Speicher des Gerätes geschrieben wurde (im Grunde auf einen Chip auf dem Systemboard) und für die grundlegenden Funktionen des Gerätes verwendet wird, z. B. das Laden des Betriebssystems, das alle von uns verwendeten Apps ausführt. Da diese Software schwer (aber nicht unmöglich) zu ändern ist, bezeichnen wir sie als Firmware.

Da die Firmware zuerst geladen wird und unter dem Betriebssystem ausgeführt wird, ist es schwierig, sicherheitsrelevante Tools und Features, die im Betriebssystem ausgeführt werden, zu erkennen oder zu schützen. Wie ein Haus, das auf eine gute Grundlage angewiesen ist, um sicher zu sein, benötigt ein Computer seine Firmware, um sicherzustellen, dass das Betriebssystem, die Anwendungen und die Daten auf diesem Computer sicher sind.

Systemüberwachung ist eine Reihe von Features, die sicherstellen, dass Angreifer Ihr Gerät nicht dazu bringen können, mit nicht vertrauenswürdiger oder böswilliger Firmware zu beginnen.

Plattformen, die Firmwareschutz bieten, schützen in der Regel auch den Systemverwaltungsmodus (System Management Mode , SMM), einen Betriebsmodus mit hohen Berechtigungen, in unterschiedlichem Maße. Sie können einen der drei Werte erwarten, wobei eine höhere Zahl auf einen höheren Grad an SMM-Schutz hinweist:

• Ihr Gerät erfüllt Firmwareschutz-Version 1: Dies bietet die grundlegenden Sicherheitsminderungen, die SMM helfen, der Ausnutzung durch Schadsoftware zu widerstehen, und verhindert die Exfiltration von Geheimnissen aus dem Betriebssystem (einschließlich VBS).

• Ihr Gerät erfüllt Firmwareschutzversion 2: Zusätzlich zur Firmwareschutzversion 1 stellt Version 2 sicher, dass SMM virtualisierungsbasierte Sicherheit (VBS) und Kernel-DMA-Schutz nicht deaktivieren kann.

• Ihr Gerät erfüllt Firmwareschutzversion 3: Zusätzlich zur Firmwareschutzversion 2 wird das SMM weiter verstärkt, indem der Zugriff auf bestimmte Register verhindert wird, die das Betriebssystem kompromittieren können (einschließlich VBS).

Der Schutz der lokalen Sicherheitsautorität (Local Security Authority, LSA) ist ein Windows-Sicherheitsfeature, das den Diebstahl von Anmeldeinformationen verhindert, die für die Anmeldung bei Windows verwendet werden.   

Die lokale Sicherheitsautorität (Local Security Authority, LSA) ist ein wichtiger Prozess in Windows, der an der Benutzerauthentifizierung beteiligt ist. Sie ist für die Überprüfung der Anmeldeinformationen während des Anmeldevorgangs und die Verwaltung von Authentifizierungstoken und Tickets verantwortlich, die zum Aktivieren des einmaligen Anmeldens für Dienste verwendet werden. Der LSA-Schutz verhindert, dass nicht vertrauenswürdige Software in LSA ausgeführt wird oder auf den LSA-Speicher zugreift.  

Gewusst wie den Schutz der lokalen Sicherheitsautorität verwalten?

Sie können den LSA-Schutz mithilfe der Umschaltfläche aktivieren oder deaktivieren.

Nachdem Sie die Einstellung geändert haben, müssen Sie einen Neustart durchführen, damit sie wirksam wird. 

Was geschieht, wenn ich nicht kompatible Software habe? 

Wenn der LSA-Schutz aktiviert ist und das Laden von Software in den LSA-Dienst blockiert wird, wird die blockierte Datei in einer Benachrichtigung angezeigt. Möglicherweise können Sie die Software entfernen, die die Datei lädt, oder Sie können zukünftige Warnungen für diese Datei deaktivieren, wenn das Laden in LSA blockiert wird.  

Während Sie Ihr Geschäfts-, Schul- oder Unigerät verwenden, wird es sich ruhig bei einer Vielzahl von Dingen anmelden und Zugriff auf eine Vielzahl von Dingen erhalten, z. B. Dateien, Drucker, Apps und andere Ressourcen in Ihrer organization. Damit dieser Prozess sicher und dennoch einfach für den Benutzer ist, bedeutet dies, dass ihr PC jederzeit über eine Reihe von Authentifizierungstoken verfügt.

Wenn ein Angreifer Zugriff auf ein oder mehrere dieser Token erhalten kann, kann er sie möglicherweise verwenden, um Zugriff auf die Organisationsressource (vertrauliche Dateien usw.) zu erhalten, für die das Token vorgesehen ist. Credential Guard trägt zum Schutz dieser Token bei, indem sie in einer geschützten, virtualisierten Umgebung bereitgestellt werden, in der nur bestimmte Dienste bei Bedarf darauf zugreifen können.

Ein Treiber ist eine Software, die das Betriebssystem (in diesem Fall Windows) und ein Gerät (z. B. eine Tastatur oder eine Webcam) miteinander kommunizieren kann. Wenn das Gerät möchte, dass Windows etwas tut, verwendet es den Treiber, um diese Anforderung zu senden. Aus diesem Grund haben Treiber ausgedehnten sensiblen Zugriff in Ihrem System.

Windows 11 enthält eine Sperrliste von Treibern, die bekannte Sicherheitsrisiken aufweisen, mit Zertifikaten signiert wurden, die zum Signieren von Schadsoftware verwendet wurden oder die das Windows-Sicherheit-Modell umgehen.

Wenn Sie über Speicherintegrität, Smart App Controloder den Windows S-Modus verfügen, ist auch die Liste gesperrter anfälliger Treiber aktiviert.

Hier finden Sie Informationen zum Hersteller des Sicherheitsprozessor und zu Versionsnummern, wie auch zum Status des Sicherheitsprozessors.

In der Windows-Sicherheit-App „“ auf Ihrem PC, Gerätesicherheit  > Sicherheitsprozessordetails aus, oder verwenden Sie die folgende Verknüpfung:

Sicherheitsprozessordetails

Wenn Ihr Sicherheitsprozessor nicht ordnungsgemäß funktioniert, können Sie den Link Problembehandlung für Sicherheitsprozessor auswählen, um Fehlermeldungen und erweiterte Optionen anzuzeigen, oder die folgende Verknüpfung verwenden:

Problembehandlung für Sicherheitsprozessoren

Die Problembehandlungsseite des Sicherheitsprozessors enthält alle relevanten Fehlermeldungen zum TPM. Hier finden Sie eine Liste der Fehlermeldungen und Details:

Nachricht	Details
Für Ihren Sicherheitsprozessor (TPM) ist ein Firmwareupdate erforderlich.	Die Hauptplatine Ihres Geräts scheint TPM derzeit nicht zu unterstützen, aber ein Firmwareupdate kann dies beheben. Wenden Sie sich an den Hersteller Ihres Geräts, um zu erfahren, ob ein Firmwareupdate verfügbar ist und wie es installiert wird. Firmwareupdates sind in der Regel kostenlos.
Das TPM ist deaktiviert und erfordert eine Aktion.	Das vertrauenswürdige Plattformmodul ist wahrscheinlich im System-BIOS (Basic Input/Output System) oder UEFI (Unified Extensible Firmware Interface) deaktiviert. Informationen zum Aktivieren finden Sie in der Supportdokumentation ihres Geräteherstellers, oder wenden Sie sich an den technischen Support.
Der TPM-Speicher ist nicht verfügbar. Bitte löschen Sie Ihr TPM.	Die Schaltfläche TPM löschen befindet sich auf dieser Seite. Sie sollten sicherstellen, dass Sie über eine gute Sicherung Ihrer Daten verfügen, bevor Sie fortfahren.
Der Integritätsnachweis für Geräte ist nicht verfügbar. Bitte löschen Sie Ihr TPM.	Die Schaltfläche TPM löschen befindet sich auf dieser Seite. Sie sollten sicherstellen, dass Sie über eine gute Sicherung Ihrer Daten verfügen, bevor Sie fortfahren.
Auf diesem Gerät werden keine Integritätsnachweise für Geräte unterstützt.	Dies bedeutet, dass das Gerät nicht genügend Informationen enthält, um festzustellen, warum TPM auf Ihrem Gerät möglicherweise nicht ordnungsgemäß funktioniert.
Ihr TPM ist nicht mit Ihrer Firmware kompatibel und funktioniert möglicherweise nicht ordnungsgemäß.	Wenden Sie sich an den Hersteller Ihres Geräts, um zu erfahren, ob ein Firmwareupdate verfügbar ist und wie Sie es abrufen und installieren. Firmwareupdates sind in der Regel kostenlos.
Das TPM-Protokoll für kontrollierten Start fehlt. Versuchen Sie, Ihr Gerät neu zu starten.
Es gibt ein Problem mit Ihrem TPM. Versuchen Sie, Ihr Gerät neu zu starten.

Wenn nach der Behebung einer Fehlermeldung weiterhin Probleme auftreten, wenden Sie sich an Ihren Gerätehersteller.

Wählen Sie TPM löschen, um den Sicherheitsprozessor auf die Standardeinstellungen zurückzusetzen.