Windows Defender Advanced Threat Protection

Device Guard, Windows Hello, Windows Passport, Credential Guard, Enterprise Data Protection (EDP) oder Device State Attestation heißen die neuen Sicherheitsfunktionen in Windows 10. Diese sollen vor den sich stets weiterentwickelnden, modernen Angriffsmethoden schützen wie etwa dem Diebstahl von Anmeldeinformationen, Zero-Day-Angriffen und dem Kompromittieren des Systems durch Änderungen im Bootbereich. Die meisten Funktionen sind präventiver Art, um die Angriffsfläche klein zu halten. Sie sollen verdächtigen und schädlichen Programmen und Diensten anhand heuristischer Methoden auf die Schliche kommen.

Ganz anders funktioniert "Windows Defender Advanced Threat Protection" (ATP) und grenzt sich von den genannten Schutzmechanismen klar ab: Der Windows-Dienst zielt darauf ab, Unternehmen Daten an die Hand zu geben, um ungewöhnliche Aktivitäten oder gar erfolgreiche Angriffe auf ihre Rechner zu erkennen. Administratoren sollen mit diesen Erkenntnissen die passenden Gegenmaßnahmen in die Wege leiten können. Damit positioniert Microsoft ATP deutlich im Post-Breach-Teil einer Angriffskette, da Verhaltensdaten aus Win-dows analysiert und im Fall eines hinreichenden Verdachts als potenzieller Angriff gewertet werden.

Zentraler Anlaufpunkt ist ein Dashboard, das mögliche Angriffe auf den Unternehmensrechnern auflistet und Administratoren Gegenmaßnahmen und Bereinigungsvorschläge an die Hand gibt. So finden sich in dem Portal ungewöhnliche Vorgänge auf Windows-10-Clients wieder, die nicht von der Antivirenlösung erkannt wurden. Dies kann der Fall sein, weil bisher kein erkennbarer Schaden angerichtet wurde oder die Heuristik der AV-Software den Code noch nicht oder mit zu geringer Erkennungssicherheit kategorisieren konnte.

Gezieltere Angriffe

Unternehmen sehen sich vermehrt gezielten Angriffen ausgesetzt: in Sicherheitskreisen "Targeted Attacks" genannt.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.