MS Build 2026: Windows soll sicherer werden

Auf der Entwicklerkonferenz Microsoft Build 2026 stellt das Unternehmen vor allem für Entwickler relevante Neuerungen vor. Es gibt aber auch Neuerungen, die die Nutzerinnen und Nutzer der Windows-Betriebssysteme selbst direkt betreffen, etwa bezüglich der IT-Sicherheit.

Ein Übersichtsbeitrag im Windows-Blog nennt diverse Änderungen, die insbesondere Developer helfen. Etwa am Ende des Artikels finden sich jedoch auch Neuerungen, die Windows für alle sicherer machen sollen. Die meisten davon lassen sich bereits in Windows-Insider-Vorschauversionen austesten. So erklären die Autoren des Beitrags, dass Windows nun die Unterstützung von Post-Quanten-Kryptografie (PQC, Post-Quantum Cryptography) über die Windows-Plattform ausweiten und sie tiefer darin verankern will. Das umfasse PQ-Hybrid-Key-Exchange im TLS-Stack von Windows sowie den Support von zusammengesetzten PQC-Algorithmen durch die Windows-Kryptografie-APIs (CNG). Die Active Directory Certificate Services (ADCS) sollen nun auch PQ-Zertifikate verteilen können. Ein Blog-Beitrag in der Microsoft Techcommunity liefert Interessierten tiefergehende Einblicke.

Hilfe beim NTLM-Ausstieg

NTLM (NT LAN Manager) ist ein Sicherheitsalbtraum. Googles Tochterfirma Mandiant liefert inzwischen Hilfestellung beim Knacken von NTLM-Hashes, was die Sicherheit von Windows-Netzen mit NTLM-Authentifizierung deutlich beeinträchtigt. Die nächste Version von Windows Server soll NTLM dann nicht mehr unterstützen. Bis dahin arbeiten Microsofts Entwickler daran, sicherere Standardeinstellungen durchzusetzen und bekannte Angriffsvektoren für die veraltete Authentifizierung abzusichern. Im WIP-Server und Client lassen sich nun „IAKerb“ und „LocalKDC“ mit Registry-Keys konfigurieren. Das soll die Nutzung von NTLM reduzieren und den Einsatz stärkerer Kerberos-basierter Authentifizierung in weiteren Szenarien ermöglichen. Auch hierzu liefert ein Beitrag im Windows-IT-Pro-Blog tiefere Einsichten.

Um sicherzustellen, dass Windows nur vertrauenswürdige Treiber lädt, erfordert Microsoft nun einen strengeren Zertifizierungsprozess. Standardmäßig lädt Windows nur noch Treiber, die im Windows Hardware Compatibility Program (WHCP) signiert wurden. Das testen die Entwickler seit März in ersten Windows-Insider-Vorschauen. Konkret bedeutet das, dass Windows keine Treiber mehr lädt, die im Cross-Signed-Root-Programm signiert wurden. Dahinter steckt eine Option, dass Certificate Authorities (CA) öffentlichen Schlüsseln anderer CAs vertrauen; solche Cross-Signed-Root-Zertifikate akzeptiert Windows nicht mehr.

Microsoft hebt weiterhin hervor, dass Windows-Geräte durch Smart App Control für Endanwender und die Business-Variante davon vor nicht vertrauenswürdigen Apps geschützt werden. Ohne weiter in Details zu gehen, soll die reputationsbasierte Durchsetzung verstärkt werden und im Enterprise-Umfeld neue APIs zur Integration sowie richtlinienbasierte Kontrolle kommen.

(dmk)