Sicherheitsfunktion ermöglicht Treiber-Blocklisten in Windows 10, 11 und Windows Server
Microsoft arbeitet daran, den Schutz der aktuellen Versionen von Windows 10, Windows 11 und Windows Server 2016 samt Nachfolgern vor schädlichen Treibern zu verbessern. Dazu soll Windows Defender Application Control (nur in Enterprise-Editionen verfügbar) oder HVCI bzw. der S-Mode eine Treiber-Blockliste unterstützen, mit der die Ausführung von Treibern kontrolliert und ggf. unterbunden werden kann.
Mit Malware verseuchte Treiber können erhebliche Schäden in Windows-Systemen anrichten, da sie im Kernel des Betriebssystems mit dessen Rechten ausgeführt werden. Microsoft hat deshalb strenge Anforderungen für Code, der im Windows-Kernel ausgeführt wird. So müssen unabhängige Hardwareanbieter (IHVs) und OEMs mit Microsoft zusammen arbeiten, um ihre Treiber für Windows zertifizieren zu lassen.
Neue Windows-Sicherheitsoption
Andererseits gelingt es Angreifern immer wieder, Treiber zu infizieren oder anfällige Treiber für Angriffe zu nutzen. Hier ermöglicht Microsoft künftig problematische Treiber über eine neue Sicherheitsfunktion in Windows zu blockieren.
Windows bekommt eine neue Funktion, die in obigem Screenshot als „Microsoft Vulnerable Driver Blocklist“ bezeichnet wird. Ist die Funktion in Windows aktiviert, blockiert Windows alle Treiber, von denen bekannt ist, dass sie Sicherheitslücken besitzen oder gefährlich sind, über interne Sperrrichtlinien.
Die neue Blockliste für anfällige Treiber soll dazu beitragen, Systeme gegen von Drittanbietern entwickelte Treiber im gesamten Windows-Ökosystem zu schützen, die eines der folgenden Attribute aufweisen:
- Bekannte Sicherheitsschwachstellen, die von Angreifern ausgenutzt werden können, um die Berechtigungen im Windows-Kernel zu erhöhen
- Bösartige Verhaltensweisen (Malware) oder Zertifikate, die zum Signieren von Malware verwendet werden
- Verhaltensweisen, die nicht bösartig sind, aber das Windows-Sicherheitsmodell umgehen und von Angreifern ausgenutzt werden können, um die Berechtigungen im Windows-Kernel zu erhöhen
Problem ist aber, dass die meisten Windows-Nutzer diese Option zum Aktivieren der Funktion nie zu Gesicht bekommen, weil die Voraussetzungen nicht erfüllt sind.
Voraussetzung für Treiberblockade
Dazu hat Microsoft zum 30. März 2022 den Supportbeitrag Microsoft recommended driver block rules veröffentlicht, der einige zusätzliche Informationen enthält. So werden die Treiber-Blockier-Regeln nur in nachfolgenden Windows-Versionen unterstützt.
- Windows 10
- Windows 11
- Windows Server 2016 und höhere Server-Versionen
Das Ganze ist Bestandteil von Windows Defender Application Control (WDAC) – eine Funktion, die nur unter Windows-Enterprise und Windows Server verfügbar ist. Die Blockierungsrichtlinie für Treiber kann dabei auf folgenden Gerätegruppen angewendet werden:
- Geräte mit aktivierter Hypervisor-geschützter Code-Integrität (HVCI)
- Geräte mit Windows 10 im S-Modus (S-Modus)
Hört sich auf der einen Seite gut an, wird aber nur solchen Systemen aus dem Business-Bereich zugute kommen, auf denen HVCI aktiviert wurde (oder überhaupt aktivierbar ist) bzw. auf denen Windows Defender Application Control (WDAC) verfügbar ist. Oder Systeme, die mit Windows 10 im S-Modus laufen (wird im Business-Umfeld wohl eher nicht der Fall sein). Microsoft empfiehlt zum Schutz der Geräte vor Sicherheitsbedrohungen den HVCI- oder S-Modus zu aktivieren.
An dieser Stelle kommen wir zu einem Grund, warum Microsoft in Windows 11 sehr restriktive Hardware-Anforderungen bezüglich der CPU aufstellt. Nur neuere Prozessoren unterstützen direkt die modusbasierte Ausführungssteuerung (MBEC), während das Ganze in älteren Prozessoren als eingeschränkter Benutzermodus emuliert werden muss. Zudem benötigt HVCI mindestens 8 GByte RAM, um automatisch aktiviert zu werden.
Wenn die Verwendung der beiden oben genannten Modi nicht möglich ist, empfiehlt Microsoft, die Liste von Treibern innerhalb Ihrer bestehenden Windows Defender Application Control-Richtlinie zu blockieren. Die Blockade von Treibern durch Windows kann aber dazu führen, dass Geräte oder Software nicht mehr funktionieren – und in seltenen Fällen kommt es sogar zu BlueScreens. Administratoren, die diese Funktionalität verwenden möchten, sollten daher ausgiebig testen. Dazu gibt es den Audit-Mode, um WDAC-Policy-Regeln zu erstellen, die sich dann in der Ereignisanzeige überprüfen lassen.
Quelle: https://www.borncity.com/blog/2022/03/31/sicherheitsfunktion-ermglicht-treiber-blocklisten-in-windows-10-11-und-windows-server/