Datensicherheit

Windows 8.1 Enterprise - die wichtigsten Features für Unternehmen

Microsoft stellt mit Windows 8.1 Enterprise eine Windows-Version für Unternehmen zur Verfügung. Sie bietet spezielle Sicherheitsfunktionen an und interagiert mit dem Windows Server 2012 R2.

Carbanak Hacker

© tkemot / Shutterstock

Carbanak Hacker

Microsoft bietet in der Windows-Variante für Unternehmen - Windows 8.1 Enterprise - neue und optimierte Sicherheitsfunktionen an. Diese haben das Ziel, allen Mitarbeitern mehr Freiheiten einzuräumen, ohne die Sicherheit der Firmennetzwerke zu gefährden. Die erweiterten Sicherheitsfunktionen von Windows 8.1 Enterprise bieten eine wichtige Grundlage zur Erhöhung der Datensicherheit. Ohne einen erhöhten Verwaltungsaufwand kommen diese Funktionen aber nur zum Teil aus.

Obgleich Daten beispielsweise auf Laufwerken unter Windows-Pro- und Enterprise-Editionen durch einfache Markierung per EFS (Encrypting File System) über die zugehörigen Eigenschaften zu verschlüsseln sind, aktiviert nicht jeder diese Funktion automatisch. Zudem wird diese Funktion nur auf NTFS-Partitionen und nicht in den Standard- beziehungsweise Home-Editionen unterstützt. Die Folge: Erhalten Unberechtigte Zugriff auf unverschlüsselte Laufwerke, steht auch dem Datenzugriff nichts mehr im Wege.

Auch der Virenschutz, eine Firewall, ein Schutz vor Spam, Trojanern oder Pishing-Angriffen erfordert eine permanente Überwachung und Aktualisierung des Systems, der darauf aufsetzenden Programme und der zur Absicherung erforderlichen Signaturen. In Firmennetzwerken übernehmen die IT-Abteilung und Administratoren den Großteil aller Veraltungsaufgaben.

Mehr Sicherheit bei der Authentifizierung

In der Regel erfolgt eine Authentifizierung eines Benutzers unter Windows per Kennwort. Gegebenenfalls nutzen Sie im Verbund mit einer Smartcard eine 2-Faktor-Authentifizierung (2FA). Windows unterstützt per TPM-Chip (Trusted Platform Module) auch virtuelle Smartcards, die nicht an einen Benutzer, sondern an einen Rechner gebunden sind. Mit der 2FA wird der Benutzerzugang zu Systemen abgesichert.

Windows Sicherheitsfunktionen

© Hersteller

Per Fingerabdruck melden Sie sich über das Windows-Biometrie-Framework am System an oder greifen auf Anwendungen und Ordner zu.

Anwender geben neben einem Benutzernamen und Kennwort eine Zusatzinformation ein, die einem Nutzer eindeutig zugeordnet ist. Die beiden Teilinformationen werden in einzelnen Schritten abgefragt. Erst wenn alle Komponenten zur Authentifizierung korrekt vorliegen und bestätigt sind, ist der Identitätsnachweis erbracht.

Windows 8.1 bietet mit dem Biometrie-Framework (Windows Biometric Framework (WBF)) ein Grundgerüst an, um Systemanmeldungen über Fingerabdrucksensoren vorzunehmen oder darüber Ordner und Anwendungen mit biometrischen Daten abzusichern. Auch der Kauf von Anwendungen aus dem App Store per Fingerabdruck ist bei entsprechender Konfiguration durchführbar. Die Funktion steht für lokale Rechner oder eine Domäne zur Verfügung.

WBF wird von Treibern und Anwendungen genutzt, die von den Herstellern der Fingerabdrucksensoren bereitgestellt werden. Es werden alle gängigen Fingerabdrucksensoren unterstützt. WBF erlaubt die Synchronisation von benutzerspezifischen Finderabdrücken und den zugehörigen Kennworten. Dies sorgt dafür, dass Sie sich nach Bedarf auf unterschiedlichem Weg authentifizieren. Über Gruppenrichtlinien steuern Sie die gewünschte Anmeldeprozedur.

Laufwerksverschlüsselung mit BitLocker

Mit Windows Vista Ultimate/Enterprise wurde mit BitLocker eine neue Technologie zur Laufwerksverschlüsselung eingeführt. Diese Funktion steht in optimierter Fassung auch in Windows 8.1 Pro/Enterprise und erstmalig auch in der Standardvariante von Windows 8.1 zur Verfügung. Damit verschlüsseln Sie das Systemlaufwerk, beliebige Festplattenlaufwerke oder auch Wechseldatenträger, die ein exFAT-, FAT16-, FAT32- oder NTFS-Dateisystem verwenden.

Um ein Laufwerk zu verschlüsseln, rufen Sie den zugehörigen Kontextmenübefehl BitLocker aktivieren ab. Im ersten Dialog geben Sie an, ob Sie die spätere Entschlüsselung mit einem Kennwort und einer Smartcard aufheben wollen. Das Kennwort geben Sie zweifach verdeckt ein und bestätigen mit Weiter. Anschließend bestimmen Sie, ob Sie den Wiederherstellungsschlüssel im Microsoft-Konto oder in einer Datei speichern oder ausdrucken wollen. Diesen Schlüssel nutzen Sie im Notfall, wenn Kennwort oder Smartcard verloren gehen.

BitLocker

© Hersteller

Mit BitLocker verschlüsseln Sie Laufwerke mit NTFS-, exFAT-, FAT16- oder FAT32-Dateisystemen.

Bestätigen Sie erneut mit Weiter und ge ben Sie an, ob Sie nur den verwendeten Laufwerksspeicher (empfohlen) oder das gesamte Laufwerk verschlüsseln wollen. Führen Sie dann die Verschlüsselung mit Weiter und Verschlüsselung starten durch. Das Laufwerkssymbol wird mit einem Vorhängeschloss gekennzeichnet. Alle Daten, die Sie anschließend auf dem Laufwerk ablegen, werden automatisch verschlüsselt.

Über den Kontextmenübefehl BitLocker verwalten gelangen Sie nach der ersten Aktivierung in einen gesonderten Dialog, der alle Laufwerke mit Hinweisen zur Aktivierung aufführt. Jede Laufwerksanwahl legt spezifische Funktionen zur (De)Aktivierung oder zur Verwaltung einer Verschlüsselung offen. Darüber sichern Sie den Wiederherstellungsschlüssel erneut, ändern oder entfernen Sie das zugewiesene Kennwort oder auch eine Smartcard-Anbindung.

Windows To Go - Windows auf Reisen

Üblicherweise werden Firmendokumente auf Datensticks transportiert. Diese Datensticks schützen Sie ebenfalls mit der Bitlocker-Laufwerksverschlüsselung. Um die Daten im mobilen Einsatz und auf Reisen vereinfacht zu bearbeiten, gegebenenfalls mit einem fremden PC oder mobilen Gerät, nutzen Sie Windows To Go. Dahinter verbirgt sich eine Funktion, die das Windows-System portabel macht. Das Enterprise-Betriebssystem wird dazu auf einem bootfähigen, zertifizierten USB-Stick gegebenenfalls mit zusätzlichen (Firmen)Anwendungen und Daten abgelegt.

Diesen Stick nutzen Sie, um das darauf eingerichtete System in einer abgeschirmten Umgebung mit vollem Funktionsumfang zu starten. Das System kann Online-Verbindungen nutzen, erfordert aber keine Anbindung an das Firmennetzwerk. Nach dem Booten werden alle anderen Laufwerke des verwendeten Rechners gesperrt. Damit wird verhindert, dass Daten auf anderen Laufwerken - auch nicht temporär - abgelegt werden. Da es keinen Datenaustausch zwischen Laufwerken gibt, sind Daten nach dem Beenden einer Arbeitssitzung nicht mehr ohne Windows-To-Go-Stick zugänglich und somit auch nicht restaurierbar.

Wird die Verbindung zum USB-Stick gelöst, wird das System eingefroren und nach 60 Sekunden, sofern sie nicht wiederhergestellt wird, getrennt. Für Windows To Go werden ausschließlich zertifizierte (!) USB-Sticks mit einer Mindestkapazität von 32 GByte unterstützt, die sich als Fixed Drive am System anmelden. Obgleich USB 2.0 funktioniert, sollten Sie aus Geschwindigkeitsgründen nur USB-3.0-Sticks verwenden. Sichern Sie vor der Installation alle vorhandenen Daten eines Sticks, da dieser neu formatiert wird.

Windows to go

© Hersteller

Mit Windows To Go erzeugen Sie einen startbaren, abgeschirmten Windows-Arbeitsbereich.

Um den Assistenten zur Anlage eines bootfähigen USB-Sticks zu starten, öffnen Sie die Charmsleiste, wählen die Funktion Suchen an und geben dann im Textfeld den Text Windows To Go ein. Anschließend wählen Sie den gleichnamigen Programmeintrag an. Es öffnet sich der Dialog Einen Windows To Go-Arbeitsbereich erstellen. Nach Anwahl eines Laufwerks erhalten Sie gegebenenfalls eine Fehlermeldung.

Wählen Sie hier ein unterstütztes Laufwerk. Dieses wird neu formatiert. Anschließend wählen Sie die Speicherabbilddatei, hier beispielsweise install.wim. Anschließend legen Sie fest, ob Sie das Laufwerk mit BitLocker verschlüsseln wollen. Dies wird ausdrücklich empfohlen, um einen unrechtmäßigen Zugriff zu unterbinden. Mit Erstellen erzeugen Sie dann den bootfähigen USB-Stick. Die Anlage selbst kann geraume Zeit in An spruch nehmen. Ist die Systemeinrichtung abgeschlossen, legen Sie im Dialog Startoptionen auswählen fest, in welcher Reihenfolge die Systeme auf dem eigenen Rechner gestartet werden.

Den Stick selbst setzen Sie ohnehin bevorzugt auf anderen Rechnern ein. Wird der USB-Stick entwendet oder von Ihnen verloren, ist dieser ausschließlich nach korrekter Kennworteingabe nutzbar. Windows To Go ersetzt keine Geräte, die Unternehmen für den mobilen Einsatz oder für Außendienstmitarbeiter bereitstellen. Es handelt sich um einen alternativen Weg, um System, Anwendungen und Daten ohne Gerät sicher mitzunehmen.

Mehr lesen:

Microsoft Betriebssystem

Cybercrime als Geschäftsmodell

Wie bereits erwähnt verhält sich Windows To Go wie ein herkömmliches Windows-System. Allerdings werden alle internen Laufwerke abgeschaltet. Sie erscheinen nicht im Windows Explorer. Entsprechend wird das USB-Laufwerk nicht erkannt, wenn Windows bereits über die System-platte gestartet wurde.

Unter Windows To Go wird auch der TPM-Chip nicht verwendet. Nur so ist der USB-Stick auf unterschiedlichen Geräten nutzbar. Da moderne Anwendungen aus dem Windows Store mit Hardware verknüpft werden, was auf dem System des USB-Sticks wenig sinnvoll ist, ist auch der Windows Store deaktiviert. Eine Aktivierung sollten Sie nur dann vornehmen, wenn Sie einen bootbaren USB-Stick lediglich auf einem bestimmten Rechner verwenden.

BYOD - Mobile Geräteverwaltung

Bring Your Own Device (BYOD) bezeichnet die Integration von privaten mobilen Geräten in Unternehmensnetzwerke. Mobile Geräte sind Laptops, Tablet-PCs oder auch Smartphones, die ihrerseits mit unterschiedlichen Betriebssystemen arbeiten (z.B. Android, Windows RT, iOS). Bei den angebundenen Geräten ist zwischen den darüber verwalteten geschäftlichen und privaten Daten zu unterscheiden. Die geschäftlichen Daten sind gesondert zu schützen.

Server Manager

© Hersteller

Arbeitsordner, Bitlocker-Funktionen und auch das Biometrie-Framework fügt der Admin auf dem Server per Server Manager hinzu.

Eigene, mobile Geräte bringen mehr Flexibilität mit sich. Daten sind nicht nur abzusichern, sondern erneut gegen unrechtmäßige und unautorisierte System- und/oder Netzwerkzugänge abzusichern. Ferner ist zu regeln, was mit Daten geschieht, wenn Mitarbeiter ein Unternehmen verlassen oder eine Verbindung lösen. Windows 8.1 bietet unterschiedliche Funktionen für die Anbindung mobiler Geräte:

  • Arbeitsplatzbeitritt (Workplace Join): Firmennetzwerken treten Sie in der Regel über eine Domänenanbindung bei. Mobile Geräte (z.B. das Surface mit Windows RT) unterstützen aber nicht zwangsläufig eine Domänenanbindung. Der Arbeitsplatzbeitritt ist eine Alternative zum Zugriff auf das Firmennetzwerk zuzugreifen, ohne einer Domäne vollständig beizutreten. Dabei wird zudem die Rechtezuweisung durch den Administrator beziehungsweise die IT-Abteilung über bestimmte Sicherheitsrichtlinien gewährleistet. Um einen Arbeitsplatzbeitritt durchzuführen, öffnen Sie die Charmsleiste. Wählen Sie die Funktionen Einstellungen, PC-Einstellungen und Arbeitslatz an. Geben Sie dann die Benutzerkennung und die Serveradresse an. Aktivieren Sie gegebenenfalls die automatische Erkennung der Serveradresse und treten Sie dann durch Anwahl der Schaltfläche Beitreten dem Unternehmensserver bei. Im Anschluss daran greifen Sie auf interne Webseiten oder Unternehmensanwendungen zu.
  • Arbeitsordner (Work Folder): Die Arbeitsordner sind Bestandteil des Windows Servers 2012 R2 und werden serverbasiert eingerichtet. Sie sind in Verbindung mit Windows 7, 8.1 und 8.1 RT nutzbar. Über die Arbeitsordner lassen sich Daten auf unterschiedlichen Geräten (Unternehmensgeräte und private Geräte) nutzen, miteinander synchronisieren und auch offline bereitstellen. Die Ordner selbst erfordern einen Workfolder-DNS-Namen, SSL-Zertifikate, ADFS 3.0 (Active Directory Federation Services = Active-Directory-Verbunddienste), WAP (Web Application Proxy) und einen NTFS-Dateiserver. Eine schrittweise Anleitung zur Einrichtung finden Sie in diesem IT-Blog.
Workplace

© Hersteller

Über die PC-Einstellungen der Charmsleiste treten Sie dem Arbeitsplatznetzwerk bei.
  • Ressourcenverwaltung: Für die Ressourcenverwaltung kommen der System Center Configuration Manager 2012 R2, das Cloud-basierte Windows Intune und die mobile Geräteverwaltung (MDM - Mobile Device Management) zum Einsatz.
  • Druckeranbindung: Über die Nahfeldkommunikation (Near Field Communication - NFC) geben Sie Informationen über ein mobiles Gerät drahtlos aus. Dank des Übertragungsstandards Wi-Fi Direct ist keine Suche nach Netzwerkdruckern und keine Treibereinrichtungen erforderlich.
  • DirectAccess/BranchCache: Über DirectAccess wird der Zugriff auf Unternehmensressourcen erlaubt, ohne eine VPN-Verbindung herzustellen (Virtual Private Network). Administratoren aktualisieren Remote-Clients und deren Anwender mit geänderten Richtlinien und versorgen diese mit Software-Aktualisierungen. Über BranchCache werden Dateien zu Webseiten und anderen Inhalten zwischengespeichert, um das mehrfache Herunterladen zu unterbinden.
  • AppLocker: Mit der Funktion AppLocker sperren Administratoren den Zugriff und die Ausführung bestimmter Anwendungen, Installationsprogramme oder auch Skriptdateien durch angebundene Clients. Selbst die Sperrung systemeigener Anwendungen wie den Registrierungseditor ist damit durchführbar. Die Sperrung erfolgt dabei über die Gruppenrichtlinien und die Gruppenrichtlinienverwaltung. Mit AppLocker werden Zugriffsrechte eingeschränkt und damit die Sicherheit erhöht. 
AppLocker

© Hersteller

Der Admin legt Einstellungen zur Sperrung von Anwendungen über Anwendungssteuerungsrichtlinien fest.

Test The Best

Microsoft macht für Windows 8.1 Enterprise 90-Tage-Testversionen verfügbar. Das System ist in gesonderten 32- und 64-Bit-Varianten erhältlich. Windows 8.1 Pro und auch Windows 8.1 Enterprise entfalten erst im Zusammenspiel mit dem Windows Server 2012 R2 und dessen Sicherheitsfunktionen die volle Leistungsfähigkeit. Dazu ist eine Domänenanbindung erforderlich. Die Standardvariante von Windows 8.1 bietet keine Funktion zu Domänenanbindung. Mit den BitLocker- und Windows-To-Go-Funktionalitäten stehen in Windows 8.1 Enterprise die grundlegenden Funktionen zur Erhöhung der Systemsicherheit bereit.

Bei den komplexeren serverbasierten Funktionen, die eine mobile Geräteanbindung vereinfachen, unterstützt Sie bereits der Serveradministrator. Wer aktuell noch nicht über die Enterprise-Edition verfügt, kann sich mit den Testversionen in aller Ruhe in die Systemumgebung für Unternehmen einarbeiten. Und alternativ spricht auch weiterhin nichts gegen den Einsatz zusätzlicher Sicherheitssoftware, mit deren Hilfe Sie Daten gezielt verschlüsseln und verschlüsselt verteilen.

Mehr zum Thema

Metro-Oberfläche von Windows 8
BSI warnt

Das BSI warnt vor einer neuen Betrugsmasche. Nach Eingabe persönlicher Daten soll ein Gratis-Download zu Windows 8 warten. Zudem warnt Trend Micro…
Microsoft, Logo, Hardwarehersteller
Patch Day am Dienstag

Microsoft will beim Patch Day am kommenden Dienstag sieben Security Bulletins veröffentlichen, welche die Sicherheitslücken in Windows, im Internet…
E-Mail,Marketing,Mail
It-Sicherheitsreport

Weil Compliance-Vorschriften zu oft außer Acht gelassen werden werden Angestellte schnell zu "Hired Hackers", wie eine aktuelle Studie von Samsung…
isight: Sandworm-Aufmacher
Windows-Sicherheitsleck

Die IT-Sicherheitsfirma iSight hat eine massive Sicherheitslücke in allen aktuellen Windows-Versionen aufgedeckt. Diese sollen Hacker schon lange…
Ransomware Zerolocker
Cybercrime als Geschäftsmodell

Der Markt für illegale Dienstleistungen wächst. Das Organisierte Verbrechen verdient mit Hackern, Spammern und Cyber-Attacken riesige Summen.