teal LED panel

Windows 365 – die neue Virtualisierungslösung (Teil 6: Windows 365 Sicherheit)

In diesem Artikel geht es um Windows 365 Sicherheit.

Die Blogserie enthält folgende Artikel (die Links werden geupdated sobald neue Artikel erscheinen).

Dieser Artikel unterteilt sich in die folgenden Abschnitte:

Ist Windows 365 gehackt?

Gerätesicherheit

eingebaute Sicherheit

Empfehlungen um Windows 365 abzusichern

Ist Windows 365 gehackt?

Gelesen hat es sicherlich jeder – nur wenige Stunden nach Release gab es Gerüchte „OMG Microsoft, es ist so leicht Anmeldeinformationen aus Windows 365 zu stehlen!

Ohne Frage: es IST möglich, aus einer RDP Sitzung Anmeldedaten zu stehlen. Aber das ist kein Windows 365 Problem, sondern liegt am legacy-RDP Protokoll. Wie das geht, kann man mit kurzer Recherche herausfinden:

Der Auslöser für den Hype war dieser Post auf Twitter.

Klingt erstmal doof. Auf dieser Maschine waren aber definitiv keine Enterprise Security Maßnahmen aktiv wie es jedes größere Unternehmen haben sollte. Ich konnte das mit niedrigen Sicherheitseinstellungen via Endpoint Manager nicht nachstellen.

Kein Grund, WIndows 365 nicht zu nutzen. Denn man muss sich gegen Attacken schützen – egal auf welchem System! Auch Linux, BSD, macOS und alle anderen haben Fehler und Lücken (auch wenn das viele nicht zugeben oder wahrhaben wollen). Die Frage ist immer, wie der Hersteller damit umgeht. Dass Microsoft das oft gut macht, ist am Beispiel Exchange gut zu sehen: Microsoft fixes actively exploited Exchange zero-day bugs, patch now (bleepingcomputer.com).

Es gibt ein paar do’s uand dont’s:

  • (do) Mit Mimikatz herumspielen. Das kann ich nur empfehlen! So lernt man schnell viel über ein System und dessen Schwachstellen.
  • (don’t) herumweinen dass Microsoft schlecht ist und offene Löcher nicht stopft. Egal wo und wie – sich wie ein Troll verhalten ist immer die schlechteste Idee. Angenommen man baut in der echten Welt ein Haus – und zur Haustür wird der falsche Schlüssel geliefert – wer stellt sich davor und schreit lange laut „Der Hersteller hat den falschen Schlüssel geliefert!!„? Niemand. Man sichert die Tür und besorgt den richtigen Schlüssel. Diese Analogie muss man auch auf die IT übertragen.
  • (do) CloudPCs absichern!
  • (don’t) aufhören, über Windows 365 nachzudenken. Denn so verbaut man sich viel und Fortschritte für die Zukunft.

Immer im Kopf behalten: RDP is vulnerable und Remote Desktop Vulnerabilities: What You Need to Know – Cybersecurity Insiders (cybersecurity-insiders.com).

Was aber auch nicht vergessen werden darf: Man nimmt den modernen RDP Client, also nicht mstsc.exe sondern msrdcw.exe! Viele Sicherheitslücken wurden gestopft: What’s new in the Windows Desktop client | Microsoft Docs.

Gerätesicherheit

Der Blick in die Gerätesicherheit:

Hmmm – was zum… :

Warum?!?!? Im Vergleich dazu mein Laptop (keine Azure VM):

Was bedeutet „Standard hardware security not supported“ genau? Das steht hier: Device protection in Windows Security (microsoft.com)

Microsoft: Bitte nachrüsten! 🙂

Nächste Frage: was fehlt? Sehen wir mal nach TPM:

Warum ist TPM gut und wichtig: What is TPM: Why are Trusted Platform Modules important Windows 11 – Simturax. TPM ist wichtig für BitLocker, darum fehlt er mir am meisten von allen Funktionen:

Bitlocker wird für Festplattenverschlüsselung eingesetzt – damit Daten bei entwendeten Datenträgern nicht ausgelesen werden können. Das ist bei CloudPCs ein überschaubares Risiko. Aber für ein besseres Sicherheitsgefühl sollte dieses Feature vorhanden sein.

SecureBoot schützt vor schadhaftem Code beim Bootvorgang. Auch hier ist es für das Gefühl gut, wenn die Funktion vorhanden ist. Aber letztendlich muss man auf Microsoft als Anbieter vertrauen.

DEP ist die Kurzform von Data execution prevention. Warum das wichtig ist: Data execution prevention (DEP) in Windows 10 – Infosec Resources (infosecinstitute.com). Einfach erklärt: DEP schützt den Speicher. Es ist immer an, aber sollte via GPO oder Intune Policy verwaltet werden:

Sehr gut in Windows 365 ist der Hinweis am Ende: „Your computer’s processor supports hardware-based DEP.

Und was ist mit UEFI MAT? Das steht für Unified Extensible Firmware Interface Memory Memory Attributes Table. Das schützt Windows vor bösartigen Treibern.

Alle diese Funktionen gemeinsam bilden ein starkes Team. Mehr dazu gibt es hier: How to turn on Memory Integrity and Core Isolation in Windows 10 – Scott Hanselman’s Blog.

Ich habe noch die Funktion Core isolation ausgelassen. Das ist recht komplex, darum spare ich mir das in diesem Artikel und verweise auf einen anderen: What Are “Core Isolation” and “Memory Integrity” in Windows 10? (howtogeek.com)

Hier muss man sein eigenes Fazit ziehen. Ich wünsche mir, dass MS TPM und BitLocker nachrüstet.

Eingebaute Sicherheit

Falls alles jetzt so klingt als wäre ich unglücklich mit Windows 365: das bin ich nicht! Es sind nur Kleinigkeiten die fehlen – das ist für eine Version 1 (v.a. bei MS) schon sehr gut 🙂 Windows 365 wird mit Windows 11 laufen, das ist sicher. In einer Beta hatte ich das schon am Laufen und es lief gut. Die Frage ist, wie Windows 11 installiert wird — denn es erfordert TPM. Läuft da etwa Code wie:

if (OS == "Windows 11")
{
  SkipSecurityChecksForInstall()
}
else 
{
  PerformSecurityChecksForInstall()
}
Code-Sprache: C++ (cpp)

Das glaube ich nicht. Microsoft hat sehr viel in die Sicherheit auf den Azure Hosts investiert. Davon profitiert Windows 365. Göbe es kein TPM, hätte die Beta auch nicht laufen können (Windows 11 enables security by design from the chip to the cloud – Microsoft Security Blog). Windows 11 wurde nun für Business und Enterprise angekündigt. Heißt die Sicherheitsfunktionen sind da oder werden es bald sein.

Ich hoffe, Microsoft macht die SIcherheitsfunktionen in der Windows 365 VM transparent.

Empfehlungen, Windows 365 abzusichern

Alles was ich hier zeige, sollte immer getan werden. Neben all den technischen Maßnahmen gibt es immer einen unkontrollierbaren Faktor: Das Internet! Das Internet ist böse. Hacker, Scriptkiddies, all die selbsternannten und professionellen, die nur Schaden anrichten möchten. Pro Sekunde werden unzählige Angriffe ausgeführt. Also ist auch WIndows 365 ein Ziel. Also muss jeder Cloud PC abgesichert werden. Das sollte man tun:

So könnten Conditional Access Policies aussehen:

Zugriff auf Windows 365 mit Basic Authentication blockieren

Zugriff mit Browser (mit Microsoft Edge getestet) und modern RDP Client sind immer noch möglich.

Windows 365 Zugriff nur im Browser gestatten

Zugriff nur für bestimmte Personen erlauben

Das geht wie jede andere CA Regel (auch in Kombination). Man muss lediglich im Bereich Benutzer die entsprechenden Personen oder Gruppen eintragen.

MFA bei der Verbindung mit Windows 365 erzwingen

Der Unterschied hier ist das GRANT am Ende der Regel:

Session lifetime

Natürlich bringt es nichts, das jetzt blind 1:1 umzusetzen – jedes Unternehmen muss für sich seine passenden Einstellungen finden. Zu restriktiv bedeutet (wie immer) unglückliche User.

Published by Andreas

Gründer von M365 Evangelists Cloud-Architekt, Strategieberater, Consultant für Microsoft Technologien Graph API Enthusiast, PowerShell Enthusiast