Mitte 2015 hat Microsoft mit Windows 10 sein neustes Betriebssystem veröffentlicht und wie üblich wurden auch bei Windows 10 zahlreiche neue Features und Verbesserungen eingebaut. Von Microsoft wurde nun ein kostenloses eBook veröffentlicht, in dem die neuen Möglichkeiten vorgestellt werden (hier abrufbar, englischsprachig)

In dem Buch werden Themen von der Windows 10 Benutzeroberfläche bis zum Einsatz auf mobilen Geräten oder im Unternehmen behandelt. Die interessanten Neuerungen mit Bezug auf Datenschutz und IT-Sicherheit haben wir außerdem im Folgenden kurz zusammengefasst.

Datensammlung in Windows 10

Nach der Veröffentlichung war der Aufschrei unter den Anwendern und Datenschützern zur Datensammlung in Windows 10 erst einmal groß.

Allerdings ermöglicht es Windows 10, unter „Einstellungen->Privatsphäre“ die Datensammlung- und weitergabe zu konfigurieren. Es können sowohl allgemeine als auch anwendungsspezifische Einstellungen, z.B. zur Nutzung der Kamera/Webcam, vorgenommen werden.

Da die  Standardeinstellungen unter Windows leider nicht datenschutzfreundlich gewählt sind, sollte die Konfiguration auf jeden Fall überprüft werden und Unternehmen sollten für die Einstellungen entsprechende Gruppenrichtlinien einrichten.

Neue Sicherheitsfeatures in Windows 10

Die neuen Sicherheitsfeatures beginnen gleich beim Bootprozess. Hier kann zwischen Secure Boot, Trusted Boot und Measured Boot gewählt werden, durch die unterschiedliche Integritätsprüfungen beim Booten durchgeführt werden. Außerdem wird durch Early Launch Antimalware (ELAM) die installierte Anti-Malware frühzeitig im Bootprozess geladen, um bereits aktiv nach Malware zu suchen. Standardmäßig wird hierfür auf Windows Defender zurückgegriffen, es kann aber jede ELAM-zertifizierte Software von Drittherstellern verwendet werden. Windows Defender wurde außerdem zu einer vollständigen Sicherheitslösung erweitert und ersetzt nun die Microsoft Security Essentials.

Sofern Virtualisierung vom System unterstützt wird, wird Windows 10 in einer Virtuellen Maschine (VM) betrieben und wichtige Schutzfunktionen werden in eine protected VM ausgegliedert, die parallel zu Windows 10 betrieben wird. In der protected VM werden z.B. Identitäts-Hashes für die AD-Domäne und vertrauenswürdige Zertifikaten verwaltet. Da die VM getrennt von Windows 10 betrieben wird, sind die Daten der protected VM auch bei einem erfolgreichen Angriff auf Windows 10-weiterhin sicher.

Mit der neuen Funktion Device Guard kann festgelegt werden, welche Software in Windows 10 ausgeführt werden darf. Die Software wird mit einem Zertifikat signiert und das verwendete Zertifikat wird beim Device Guard als vertrauenswürdig hinterlegt. Die Vertrauensentscheidungen für die Software und die Ablage der vertrauenswürdigen Zertifikate erfolgt in der protected VM.

Mit Windows 10 steht Bitlocker auch in der Home-Version zur Verfügung. Unternehmensdaten auf der lokalen Festplatten können mit remote Business data removal markiert und separat verschlüsselt werden. Unternehmen erhalten dadurch die Möglichkeit zur Fernlöschung der Daten.

Auch eine bessere Unterstützung für Zwei-Faktor-Authentifikation ist in Windows 10 enthalten. In AD-Domänen kann z.B. ein IT-System mit einem Benutzeraccount verknüpft werden. Auf dem IT-System wird dann als zweiter Faktor ein Identitätszertifikat abgelegt und die Anmeldung erfolgt dann mit dem hinterlegten Zertifikat und einer Pin oder einem biometrischen Merkmal.

Auch sichere Verbindungen zu Unternehmensnetzen werden vereinfacht. Für Anwendungen kann konfiguriert werden, dass automatisch im Hintergrund eine VPN-Verbindung aufgebaut werden soll, wenn sich das IT-System nicht im Unternehmensnetz befindet. Die Unternehmen können außerdem festlegen, welche der Anwendungen in ihrem Unternehmensnetz NICHT über VPN zugreifbar sein sollen.

Verwaltung von Systemen und Updates

Auch die Verwaltung von Systemen wird mit Windows 10 vereinfacht. Am einfachsten können Windows 10-Geräte mit dem System Center Configuration Manager (SCCM) verwaltet werden, wenn sich alle Geräte in der gleichen Active Directory-Domäne befinden. Alternativ gibt es noch Microsoft Intune, mit dem Geräte Domänen-übergreifend verwaltet werden können und Software und Richtlinien auf den Geräten verteilt werden können.

Bei den Gruppenrichtlinien kommt Windows-Update for Business dazu, mit der die automatische Verteilung von Windows-Updates gesteuert werden kann, sofern noch kein zentraler Mechanismus wie WSUS eingesetzt wird.

Außerdem gibt es noch eine Reihe von kleinen Security Polices, mit denen z.B. das Installieren von Schriftfonts verhindert werden kann.

Fazit

Windows 10 bringt vor allem für die IT-Sicherheit einige interessant neue Funktionen mit, für die sich nun zeigen muss wie effektiv und geeignet Sie als Schutzmaßnahmen tatsächlich sind.

Beim Datenschutz wird sich zeigen, ob die Einstellungen unter Privatsphäre tatsächlich umfassend auf alle Funktionen von Windows 10 angewendet werden.