Letztes Jahr drangen chinesische Hacker in die Microsoft Exchange Online-Software ein und griffen auf die E-Mails der US-Regierung von 22 Organisationen zu, was möglicherweise eine Gefahr für die nationale Sicherheit darstellte. Nach dem Vorfall veröffentlichte das US Cyber Safety Review Board eine kritische Stellungnahme Bericht Er sagte: „Eine Reihe von operativen und strategischen Entscheidungen von Microsoft, die insgesamt auf eine Unternehmenskultur hindeuteten, die Investitionen in die Unternehmenssicherheit und ein strenges Risikomanagement in den Hintergrund stellte …“
Seitdem hat Microsoft unter Satya Nadella die Sicherheit zu seiner obersten Priorität gemacht und das gestartet Secure Future Initiative (SFI) im November 2023. Nadella schrieb in einem Memo an Microsoft-Mitarbeiter: „Wenn Sie mit dem Kompromiss zwischen Sicherheit und einer anderen Priorität konfrontiert werden, ist Ihre Antwort klar: Sorgen Sie für Sicherheit.“
Im Juli 2024 brachte das CrowdStrike-Update jedoch Tausende von Windows-Systemen auf der ganzen Welt zum Absturz, was zu weitreichenden Störungen führte. Derzeit denkt Microsoft darüber nach, ob es Sicherheitsanbietern von Drittanbietern erlaubt werden soll, Treiber auf Kernel-Ebene zu laden.
Auf Verbraucherseite hat das jüngste Recall-Fiasko Microsofts mangelhaftes Sicherheitsmodell für die KI-Funktion offengelegt. Daraufhin stoppte Microsoft die Einführung und nun hat das Unternehmen das Sicherheitsmodell für Recall überarbeitet, sodass Benutzer es vollständig deinstallieren können.
Jetzt unternimmt Microsoft einen großen Schritt zum Schutz privater Windows 11-PCs. Das Unternehmen plant die Einführung von „Adminless“ Windows 11, damit Administratorrechte nicht von unbekannten Apps und bösartigen Skripten ausgenutzt werden.
„Administratorloses“ Windows ist endlich verschwunden!! Erhältlich in der kanarischen Ausführung. Dies ist die wirkungsvollste Sicherheitsfunktion, die Windows in letzter Zeit erhalten hat. Sie können es sich über Windows Hello als „sudo“ vorstellen, wenn Sie Vorgänge auf Administratorebene ausführen müssen, z. B. das Ändern einer Einstellung … pic.twitter.com/OkyzmU0LDS– David Weston (DWIZZZLE) (@dwizzzleMSFT) 2. Oktober 2024
Es ist das erste Mal, dass Microsoft die Funktionsweise des Windows-Betriebssystems überarbeitet. David WestonMicrosoft VP of OS Security and Enterprise sagt: „Dies ist die wirkungsvollste Sicherheitsfunktion, die Windows in der letzten Zeit erreicht hat.“
Was ist adminless Windows 11?
Im Gegensatz zu macOS und Linux gewährt Windows standardmäßig Administratorzugriff auf das erste Benutzerkonto, das während der Installation oder Einrichtung erstellt wird. Dies ist unter Windows schon seit vielen Jahren der Fall, allerdings ist der Admin-Zugriff durch die UAC-Eingabeaufforderung geschützt.
Jetzt die neueste Windows 11 Insider Preview Build 27718 im Canary-Kanal stellt vor etwas namens „Administratorschutz“. Derzeit ist die Funktion standardmäßig deaktiviert, Benutzer können sie jedoch über Gruppenrichtlinien aktivieren.
Es erstellt im Hintergrund ein Administratorkonto (z. B. admin_username) und erhöht die Administratorrechte vorübergehend über den Befehl „runas“ für die aktuelle Sitzung. Die Eskalation erfolgt über sichere Methoden wie PIN/Fingerabdruck/Windows Hello-Authentifizierung. Auf diese Weise werden die Administratorrechte nicht dauerhaft gewährt.
Grundsätzlich sind Administratorrechte nur bei Bedarf vorübergehend aktiv und nicht ständig verfügbar. Microsoft nennt es „Just-in-Time“-Administratorrechte. Im Windows-Blog heißt es:
„Administratorschutz ist eine kommende Plattformsicherheitsfunktion in Windows 11, die darauf abzielt, frei schwebende Administratorrechte für Administratorbenutzer zu schützen, damit diese weiterhin alle Administratorfunktionen mit Just-in-Time-Administratorrechten ausführen können. Diese Funktion ist standardmäßig deaktiviert und muss über eine Gruppenrichtlinie aktiviert werden. Wir planen, weitere Details zu dieser Funktion auf der Microsoft Ignite zu teilen.“
Anstatt also UAC-Eingabeaufforderungen zuzulassen, müssen Benutzer eine PIN eingeben oder sich mit anderen Windows Hello-Methoden authentifizieren, um vorübergehend Administratorrechte zu gewähren, ähnlich wie bei macOS und Linux. Unter der Haube werden Administratorrechte nur bei Bedarf erhöht und sind nicht immer verfügbar. Microsoft sagt, dass weitere Details zu dieser Funktion auf der Microsoft Ignite-Veranstaltung im November bekannt gegeben werden.
Meine Erfahrung mit adminless Windows 11
Ich habe die Administratorschutzfunktion über den Gruppenrichtlinien-Editor im Canary-Build aktiviert. Sie können es aktivieren, indem Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen navigieren. Öffnen Sie hier „Benutzerkontensteuerung: Art des Administratorgenehmigungsmodus konfigurieren“ und ändern Sie ihn in „Administratorgenehmigungsmodus mit Administratorschutz“. Starten Sie nun Ihren PC neu.
Nach der Aktivierung werden Sie bei jeder Installation eines Programms aufgefordert, eine PIN einzugeben oder sich mit anderen Methoden zu authentifizieren. Die Eingabeaufforderung zur Benutzerkontensteuerung (UAC) wird nicht mehr angezeigt. Selbst zum Öffnen des Task-Managers oder anderer Systemtools wie dem Registrierungseditor oder dem Gruppenrichtlinien-Editor müssen sich Benutzer über sichere Methoden authentifizieren.
Um Änderungen an den Windows-Sicherheitseinstellungen vorzunehmen, müssen Sie den Vorgang außerdem durch die Eingabe einer PIN bestätigen. Sicherlich könnte es einige Power-User verärgern, aber das ist der Kompromiss zwischen Sicherheit und Komfort.
In den Screenshots oben können Sie feststellen, dass CMD beim Ausführen der Eingabeaufforderung als Administrator angibt, dass sie unter einem neu erstellten Konto „admin_username“ mit Administratorrechten ausgeführt wird. Anstatt dem Benutzerkonto vollständige Administratorrechte zu gewähren, wird ein verdecktes Administratorkonto verwendet, um temporäre Administratorrechte zu erhöhen. Diese Trennung vom Hauptbenutzerkonto erhöht die Sicherheit.
Insgesamt gefällt mir sehr, dass Microsoft erhebliche Anstrengungen unternimmt, um die Sicherheit von Windows-PCs auf Verbraucherseite zu verbessern. Ähnlich wie macOS und Linux, die standardmäßig eine Umgebung ohne Sudo/Root bieten, geht Windows 11 mit dem Administratorschutz in diese Richtung. Ich hoffe, dass dieses Update, wenn es in Zukunft auf Windows 11 eintrifft, standardmäßig aktiviert ist.