Mehr Sicherheit in Windows 11

Windows 11 setzt seit Beginn auf das Prinzip “Vertraue niemandem”. Das heißt, dass keine Apps und keine Programme vertrauenswürdig sind, solange sie das nicht nachweisen können. Dieses Konzept beginnt schon beim Start von Windows 11: Dort sorgt das Trusted Plattform Module (TPM) zusammen mit Secure Boot und UEFI dafür, dass Windows nur dann startet, wenn es nicht manipuliert wurde. TPM ist ein zusätzlicher Chip, der mittels sicherer Kryptografieschlüssel prüft, ob Betriebssystem und Firmware auch das sind, was sie vorgeben zu sein.

Damit verhindert Microsoft zum Beispiel, dass Malware vor Windows startet und Schutzfunktionen blockiert. Das ist aber nicht alles, was Windows 11 so sicher macht. Viele weitere Funktionen wie Windows Hello, Virtualization-Based Security und Hypervisor-Protected Code Integrity erhöhen den Grundschutz von Windows 11 zusätzlich. Was genau dahintersteckt, lesen Sie unten.

Windows 11 nutzt Virtualization-Based Security (VBS). Das ist eine Funktion, mit der Microsoft die laufenden Prozesse und Programme vom eigentlichen Betriebssystem trennt. Die Anwendungen laufen in einer Virtualisierung und haben keinerlei Möglichkeit, auf Windows selbst zuzugreifen und es zu manipulieren. Das verhindert beispielsweise das Ausnutzen einiger Sicherheitslücken und schließt viele Angriffsvektoren.

Die Funktion “Hypervisor-protected Code Integrity (HVCI)” führt Programmcode zuerst in einem virtuellen Betriebssystemkern (Kernel) aus, um sicherzugehen, dass der Code lauffähig, sicher und signiert ist, bevor er tatsächlich im echten Windows-Kernel läuft. Das ist im Wesentlichen ein Malwareschutz auf Kernelbasis.

Der Microsoft Defender ist keine Neuerung in Windows 11, dort aber noch besser ins System integriert und stellt die erste Hürde für angreifende Malware dar. Der Defender schützt zwar nicht so gut wie die besten Virenschuz-Kaufprogramme, bietet aber einen durchaus annehmbaren Grundschutz. Wer eine eigene Programmoberfläche, noch besseren Schutz und Zusatzfunktionen möchte, kann den Defender gegen eine Antivirus-Software tauschen. Er deaktiviert sich automatisch, wenn Sie eine solche Software installieren.

Eine komplett neue Funktion ist “Smart App Control”. Das ist ein neuer Schutz, der alle Programme vor dem Start in der Microsoft-Cloud prüft. Mithilfe von künstlicher Intelligenz checkt die Funktion, ob das Programm vertrauenswürdig ist. Ist es das, wird es ausgeführt. Stuft der Dienst es als bösartig oder potenziell unerwünscht ein, blockiert er den Start. Gelingt es nicht, eine genaue Einschätzung zu treffen, entscheidet die digitale Signatur eines Programms. Nur wenn die vorhanden ist, darf es starten. Auf diese Weise blockiert Windows 11 jede Menge Malware und nervige PUP (“potenziell unerwünschte Programme”) – selbst dann, wenn die noch unbekannt sind.

Sie finden die Smart App Control, indem Sie auf Start klicken, Smart App eintippen und Smart App Control auswählen. Sie können das Feature allerdings nicht nachträglich aktivieren. Das heißt, um die Funktion zu nutzen, müssen Sie Windows neu installieren. Danach ist es automatisch aktiv. Ausgenommen sind einige Entwicklerinnen und Entwickler, für die es zu oft bei der täglichen Arbeit im Weg stehen würde.

Eine weitere Neuerung ist die Blacklist für verwundbare Treiber. Diese erweitert den Microsoft Defender um eine Funktion zum Blockieren schädlicher Treiber. Auf dieser von Microsoft gepflegten “schwarzen Liste” stehen Treiber, wenn

• es bekannte Schwachstellen gibt, die Angreifer zum Erlangen erhöhter Rechte missbrauchen könnten,
• der Treiber sich schädlich verhält oder Zertifikate zum Signieren von Malware genutzt werden oder
• der Treiber das Windows-Sicherheitssystem umgeht und es Angreifern dadurch ermöglicht, erhöhte Rechte zu erlangen.