Sicherheitsfunktion ermöglicht Treiber-Blocklisten in Windows 10, 11 und Windows Server

Publiziert am 31. März 2022 von Günter Born

Windows[English]Microsoft arbeitet daran, den Schutz der aktuellen Versionen von Windows 10, Windows 11 und Windows Server 2016 samt Nachfolgern vor schädlichen Treibern zu verbessern. Dazu soll Windows Defender Application Control (nur in Enterprise-Editionen verfügbar) oder HVCI bzw. der S-Mode eine Treiber-Blockliste unterstützen, mit der die Ausführung von Treibern kontrolliert und ggf. unterbunden werden kann.

Anzeige

Mit Malware verseuchte Treiber können erhebliche Schäden in Windows-Systemen anrichten, da sie im Kernel des Betriebssystems mit dessen Rechten ausgeführt werden. Microsoft hat deshalb strenge Anforderungen für Code, der im Windows-Kernel ausgeführt wird. So müssen unabhängige Hardwareanbieter (IHVs) und OEMs mit Microsoft zusammen arbeiten, um ihre Treiber für Windows zertifizieren zu lassen.

Neue Windows-Sicherheitsoption

Andererseits gelingt es Angreifern immer wieder, Treiber zu infizieren oder anfällige Treiber für Angriffe zu nutzen. Hier ermöglicht Microsoft künftig problematische Treiber über eine neue Sicherheitsfunktion in Windows zu blockieren. Es wurde die Tage bereits auf diversen Webseiten angerissen – denn Microsoft Mitarbeiter David Weston hat das Thema auf Twitter angestoßen.

New Windows security option driver blocklist

Windows bekommt eine neue Funktion, die in obigem Screenshot als "Microsoft Vulnerable Driver Blocklist" bezeichnet wird. Ist die Funktion in Windows aktiviert, blockiert Windows alle Treiber, von denen bekannt ist, dass sie Sicherheitslücken besitzen oder gefährlich sind, über interne Sperrrichtlinien.

Die neue Blockliste für anfällige Treiber soll dazu beitragen, Systeme gegen von Drittanbietern entwickelte Treiber im gesamten Windows-Ökosystem zu schützen, die eines der folgenden Attribute aufweisen:

  • Bekannte Sicherheitsschwachstellen, die von Angreifern ausgenutzt werden können, um die Berechtigungen im Windows-Kernel zu erhöhen
  • Bösartige Verhaltensweisen (Malware) oder Zertifikate, die zum Signieren von Malware verwendet werden
  • Verhaltensweisen, die nicht bösartig sind, aber das Windows-Sicherheitsmodell umgehen und von Angreifern ausgenutzt werden können, um die Berechtigungen im Windows-Kernel zu erhöhen

Problem ist aber, dass die meisten Windows-Nutzer diese Option zum Aktivieren der Funktion nie zu Gesicht bekommen, weil die Voraussetzungen nicht erfüllt sind.

Voraussetzung für Treiberblockade

Dazu hat Microsoft zum 30. März 2022 den Supportbeitrag Microsoft recommended driver block rules veröffentlicht, der einige zusätzliche Informationen enthält. So werden die Treiber-Blockier-Regeln nur in nachfolgenden Windows-Versionen unterstützt.

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höhere Server-Versionen

Das Ganze ist Bestandteil von Windows Defender Application Control (WDAC) – eine Funktion, die nur unter Windows-Enterprise und Windows Server verfügbar ist. Die Blockierungsrichtlinie für Treiber kann dabei auf folgenden Gerätegruppen angewendet werden:

Anzeige
  • Geräte mit aktivierter Hypervisor-geschützter Code-Integrität (HVCI)
  • Geräte mit Windows 10 im S-Modus (S-Modus)

Hört sich auf der einen Seite gut an, wird aber nur solchen Systemen aus dem Business-Bereich zugute kommen, auf denen HVCI aktiviert wurde (oder überhaupt aktivierbar ist)  bzw. auf denen Windows Defender Application Control (WDAC) verfügbar ist. Oder Systeme, die mit Windows 10 im S-Modus laufen (wird im Business-Umfeld wohl eher nicht der Fall sein). Microsoft empfiehlt zum Schutz der Geräte vor Sicherheitsbedrohungen den HVCI- oder S-Modus zu aktivieren.

An dieser Stelle kommen wir zu einem Grund, warum Microsoft in Windows 11 sehr restriktive Hardware-Anforderungen bezüglich der CPU aufstellt. Nur neuere Prozessoren unterstützen direkt die modusbasierte Ausführungssteuerung (MBEC), während das Ganze in älteren Prozessoren als eingeschränkter Benutzermodus emuliert werden muss. Zudem benötigt HVCI mindestens 8 GByte RAM, um automatisch aktiviert zu werden – ich hatte unter Windows 11: Mindestanforderungen bei Masse der Hardware nicht erfüllt, Microsoft verrät By-Passing-Trick was dazu geschrieben.

Wenn die Verwendung der beiden oben genannten Modi nicht möglich ist, empfiehlt Microsoft, die Liste von Treibern innerhalb Ihrer bestehenden Windows Defender Application Control-Richtlinie zu blockieren. Die Blockade von Treibern durch Windows kann aber dazu führen, das Geräte oder Software nicht mehr funktionieren – und in seltenen Fällen kommt es sogar zu BlueScreens. Administratoren, die diese Funktionalität verwenden möchten, sollten daher ausgiebig testen. Dazu gibt es den Audit-Mode, um WDAC-Policy-Regeln zu erstellen, die sich dann in der Ereignisanzeige überprüfen lassen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.