Datensicherheit

Windows 8.1 Enterprise - die wichtigsten Features für Unternehmen

28.1.2015 von Andreas Maslo

Microsoft stellt mit Windows 8.1 Enterprise eine Windows-Version für Unternehmen zur Verfügung. Sie bietet spezielle Sicherheitsfunktionen an und interagiert mit dem Windows Server 2012 R2.

ca. 9:15 Min

Mehr zu Microsoft

Business-it
VG Wort Pixel
Carbanak Hacker
Carbanak Hacker
© tkemot / Shutterstock

Microsoft bietet in der Windows-Variante für Unternehmen - Windows 8.1 Enterprise - neue und optimierte Sicherheitsfunktionen an. Diese haben das Ziel, allen Mitarbeitern mehr Freiheiten einzuräumen, ohne die Sicherheit der Firmennetzwerke zu gefährden. Die erweiterten Sicherheitsfunktionen von Windows 8.1 Enterprise bieten eine wichtige Grundlage zur Erhöhung der Datensicherheit. Ohne einen erhöhten Verwaltungsaufwand kommen diese Funktionen aber nur zum Teil aus.

Obgleich Daten beispielsweise auf Laufwerken unter Windows-Pro- und Enterprise-Editionen durch einfache Markierung per EFS (Encrypting File System) über die zugehörigen Eigenschaften zu verschlüsseln sind, aktiviert nicht jeder diese Funktion automatisch. Zudem wird diese Funktion nur auf NTFS-Partitionen und nicht in den Standard- beziehungsweise Home-Editionen unterstützt. Die Folge: Erhalten Unberechtigte Zugriff auf unverschlüsselte Laufwerke, steht auch dem Datenzugriff nichts mehr im Wege.

Auch der Virenschutz, eine Firewall, ein Schutz vor Spam, Trojanern oder Pishing-Angriffen erfordert eine permanente Überwachung und Aktualisierung des Systems, der darauf aufsetzenden Programme und der zur Absicherung erforderlichen Signaturen. In Firmennetzwerken übernehmen die IT-Abteilung und Administratoren den Großteil aller Veraltungsaufgaben.

Mehr Sicherheit bei der Authentifizierung

In der Regel erfolgt eine Authentifizierung eines Benutzers unter Windows per Kennwort. Gegebenenfalls nutzen Sie im Verbund mit einer Smartcard eine 2-Faktor-Authentifizierung (2FA). Windows unterstützt per TPM-Chip (Trusted Platform Module) auch virtuelle Smartcards, die nicht an einen Benutzer, sondern an einen Rechner gebunden sind. Mit der 2FA wird der Benutzerzugang zu Systemen abgesichert.


Windows Sicherheitsfunktionen
Per Fingerabdruck melden Sie sich über das Windows-Biometrie-Framework am System an oder greifen auf Anwendungen und Ordner zu.
© Hersteller

Anwender geben neben einem Benutzernamen und Kennwort eine Zusatzinformation ein, die einem Nutzer eindeutig zugeordnet ist. Die beiden Teilinformationen werden in einzelnen Schritten abgefragt. Erst wenn alle Komponenten zur Authentifizierung korrekt vorliegen und bestätigt sind, ist der Identitätsnachweis erbracht.

Windows 8.1 bietet mit dem Biometrie-Framework (Windows Biometric Framework (WBF)) ein Grundgerüst an, um Systemanmeldungen über Fingerabdrucksensoren vorzunehmen oder darüber Ordner und Anwendungen mit biometrischen Daten abzusichern. Auch der Kauf von Anwendungen aus dem App Store per Fingerabdruck ist bei entsprechender Konfiguration durchführbar. Die Funktion steht für lokale Rechner oder eine Domäne zur Verfügung.

WBF wird von Treibern und Anwendungen genutzt, die von den Herstellern der Fingerabdrucksensoren bereitgestellt werden. Es werden alle gängigen Fingerabdrucksensoren unterstützt. WBF erlaubt die Synchronisation von benutzerspezifischen Finderabdrücken und den zugehörigen Kennworten. Dies sorgt dafür, dass Sie sich nach Bedarf auf unterschiedlichem Weg authentifizieren. Über Gruppenrichtlinien steuern Sie die gewünschte Anmeldeprozedur.

Laufwerksverschlüsselung mit BitLocker

Mit Windows Vista Ultimate/Enterprise wurde mit BitLocker eine neue Technologie zur Laufwerksverschlüsselung eingeführt. Diese Funktion steht in optimierter Fassung auch in Windows 8.1 Pro/Enterprise und erstmalig auch in der Standardvariante von Windows 8.1 zur Verfügung. Damit verschlüsseln Sie das Systemlaufwerk, beliebige Festplattenlaufwerke oder auch Wechseldatenträger, die ein exFAT-, FAT16-, FAT32- oder NTFS-Dateisystem verwenden.

Um ein Laufwerk zu verschlüsseln, rufen Sie den zugehörigen Kontextmenübefehl BitLocker aktivieren ab. Im ersten Dialog geben Sie an, ob Sie die spätere Entschlüsselung mit einem Kennwort und einer Smartcard aufheben wollen. Das Kennwort geben Sie zweifach verdeckt ein und bestätigen mit Weiter. Anschließend bestimmen Sie, ob Sie den Wiederherstellungsschlüssel im Microsoft-Konto oder in einer Datei speichern oder ausdrucken wollen. Diesen Schlüssel nutzen Sie im Notfall, wenn Kennwort oder Smartcard verloren gehen.

BitLocker
Mit BitLocker verschlüsseln Sie Laufwerke mit NTFS-, exFAT-, FAT16- oder FAT32-Dateisystemen.
© Hersteller

Bestätigen Sie erneut mit Weiter und ge ben Sie an, ob Sie nur den verwendeten Laufwerksspeicher (empfohlen) oder das gesamte Laufwerk verschlüsseln wollen. Führen Sie dann die Verschlüsselung mit Weiter und Verschlüsselung starten durch. Das Laufwerkssymbol wird mit einem Vorhängeschloss gekennzeichnet. Alle Daten, die Sie anschließend auf dem Laufwerk ablegen, werden automatisch verschlüsselt.

Über den Kontextmenübefehl BitLocker verwalten gelangen Sie nach der ersten Aktivierung in einen gesonderten Dialog, der alle Laufwerke mit Hinweisen zur Aktivierung aufführt. Jede Laufwerksanwahl legt spezifische Funktionen zur (De)Aktivierung oder zur Verwaltung einer Verschlüsselung offen. Darüber sichern Sie den Wiederherstellungsschlüssel erneut, ändern oder entfernen Sie das zugewiesene Kennwort oder auch eine Smartcard-Anbindung.

Windows To Go - Windows auf Reisen

Üblicherweise werden Firmendokumente auf Datensticks transportiert. Diese Datensticks schützen Sie ebenfalls mit der Bitlocker-Laufwerksverschlüsselung. Um die Daten im mobilen Einsatz und auf Reisen vereinfacht zu bearbeiten, gegebenenfalls mit einem fremden PC oder mobilen Gerät, nutzen Sie Windows To Go. Dahinter verbirgt sich eine Funktion, die das Windows-System portabel macht. Das Enterprise-Betriebssystem wird dazu auf einem bootfähigen, zertifizierten USB-Stick gegebenenfalls mit zusätzlichen (Firmen)Anwendungen und Daten abgelegt.

Diesen Stick nutzen Sie, um das darauf eingerichtete System in einer abgeschirmten Umgebung mit vollem Funktionsumfang zu starten. Das System kann Online-Verbindungen nutzen, erfordert aber keine Anbindung an das Firmennetzwerk. Nach dem Booten werden alle anderen Laufwerke des verwendeten Rechners gesperrt. Damit wird verhindert, dass Daten auf anderen Laufwerken - auch nicht temporär - abgelegt werden. Da es keinen Datenaustausch zwischen Laufwerken gibt, sind Daten nach dem Beenden einer Arbeitssitzung nicht mehr ohne Windows-To-Go-Stick zugänglich und somit auch nicht restaurierbar.

Wird die Verbindung zum USB-Stick gelöst, wird das System eingefroren und nach 60 Sekunden, sofern sie nicht wiederhergestellt wird, getrennt. Für Windows To Go werden ausschließlich zertifizierte (!) USB-Sticks mit einer Mindestkapazität von 32 GByte unterstützt, die sich als Fixed Drive am System anmelden. Obgleich USB 2.0 funktioniert, sollten Sie aus Geschwindigkeitsgründen nur USB-3.0-Sticks verwenden. Sichern Sie vor der Installation alle vorhandenen Daten eines Sticks, da dieser neu formatiert wird.

Windows to go
Mit Windows To Go erzeugen Sie einen startbaren, abgeschirmten Windows-Arbeitsbereich.
© Hersteller

Um den Assistenten zur Anlage eines bootfähigen USB-Sticks zu starten, öffnen Sie die Charmsleiste, wählen die Funktion Suchen an und geben dann im Textfeld den Text Windows To Go ein. Anschließend wählen Sie den gleichnamigen Programmeintrag an. Es öffnet sich der Dialog Einen Windows To Go-Arbeitsbereich erstellen. Nach Anwahl eines Laufwerks erhalten Sie gegebenenfalls eine Fehlermeldung.

Wählen Sie hier ein unterstütztes Laufwerk. Dieses wird neu formatiert. Anschließend wählen Sie die Speicherabbilddatei, hier beispielsweise install.wim. Anschließend legen Sie fest, ob Sie das Laufwerk mit BitLocker verschlüsseln wollen. Dies wird ausdrücklich empfohlen, um einen unrechtmäßigen Zugriff zu unterbinden. Mit Erstellen erzeugen Sie dann den bootfähigen USB-Stick. Die Anlage selbst kann geraume Zeit in An spruch nehmen. Ist die Systemeinrichtung abgeschlossen, legen Sie im Dialog Startoptionen auswählen fest, in welcher Reihenfolge die Systeme auf dem eigenen Rechner gestartet werden.

Den Stick selbst setzen Sie ohnehin bevorzugt auf anderen Rechnern ein. Wird der USB-Stick entwendet oder von Ihnen verloren, ist dieser ausschließlich nach korrekter Kennworteingabe nutzbar. Windows To Go ersetzt keine Geräte, die Unternehmen für den mobilen Einsatz oder für Außendienstmitarbeiter bereitstellen. Es handelt sich um einen alternativen Weg, um System, Anwendungen und Daten ohne Gerät sicher mitzunehmen.

Mehr lesen:

Cybercrime als Geschäftsmodell

Hacks, Spam & Cyber-Attacken auf Bestellung

IT-Sicherheit

Datensicherheit - Maßnahmen für den Mittelstand

Wie bereits erwähnt verhält sich Windows To Go wie ein herkömmliches Windows-System. Allerdings werden alle internen Laufwerke abgeschaltet. Sie erscheinen nicht im Windows Explorer. Entsprechend wird das USB-Laufwerk nicht erkannt, wenn Windows bereits über die System-platte gestartet wurde.

Unter Windows To Go wird auch der TPM-Chip nicht verwendet. Nur so ist der USB-Stick auf unterschiedlichen Geräten nutzbar. Da moderne Anwendungen aus dem Windows Store mit Hardware verknüpft werden, was auf dem System des USB-Sticks wenig sinnvoll ist, ist auch der Windows Store deaktiviert. Eine Aktivierung sollten Sie nur dann vornehmen, wenn Sie einen bootbaren USB-Stick lediglich auf einem bestimmten Rechner verwenden.

BYOD - Mobile Geräteverwaltung

Bring Your Own Device (BYOD) bezeichnet die Integration von privaten mobilen Geräten in Unternehmensnetzwerke. Mobile Geräte sind Laptops, Tablet-PCs oder auch Smartphones, die ihrerseits mit unterschiedlichen Betriebssystemen arbeiten (z.B. Android, Windows RT, iOS). Bei den angebundenen Geräten ist zwischen den darüber verwalteten geschäftlichen und privaten Daten zu unterscheiden. Die geschäftlichen Daten sind gesondert zu schützen.

Server Manager
Arbeitsordner, Bitlocker-Funktionen und auch das Biometrie-Framework fügt der Admin auf dem Server per Server Manager hinzu.
© Hersteller

Eigene, mobile Geräte bringen mehr Flexibilität mit sich. Daten sind nicht nur abzusichern, sondern erneut gegen unrechtmäßige und unautorisierte System- und/oder Netzwerkzugänge abzusichern. Ferner ist zu regeln, was mit Daten geschieht, wenn Mitarbeiter ein Unternehmen verlassen oder eine Verbindung lösen. Windows 8.1 bietet unterschiedliche Funktionen für die Anbindung mobiler Geräte:

  • Arbeitsplatzbeitritt (Workplace Join): Firmennetzwerken treten Sie in der Regel über eine Domänenanbindung bei. Mobile Geräte (z.B. das Surface mit Windows RT) unterstützen aber nicht zwangsläufig eine Domänenanbindung. Der Arbeitsplatzbeitritt ist eine Alternative zum Zugriff auf das Firmennetzwerk zuzugreifen, ohne einer Domäne vollständig beizutreten. Dabei wird zudem die Rechtezuweisung durch den Administrator beziehungsweise die IT-Abteilung über bestimmte Sicherheitsrichtlinien gewährleistet. Um einen Arbeitsplatzbeitritt durchzuführen, öffnen Sie die Charmsleiste. Wählen Sie die Funktionen Einstellungen, PC-Einstellungen und Arbeitslatz an. Geben Sie dann die Benutzerkennung und die Serveradresse an. Aktivieren Sie gegebenenfalls die automatische Erkennung der Serveradresse und treten Sie dann durch Anwahl der Schaltfläche Beitreten dem Unternehmensserver bei. Im Anschluss daran greifen Sie auf interne Webseiten oder Unternehmensanwendungen zu.
  • Arbeitsordner (Work Folder): Die Arbeitsordner sind Bestandteil des Windows Servers 2012 R2 und werden serverbasiert eingerichtet. Sie sind in Verbindung mit Windows 7, 8.1 und 8.1 RT nutzbar. Über die Arbeitsordner lassen sich Daten auf unterschiedlichen Geräten (Unternehmensgeräte und private Geräte) nutzen, miteinander synchronisieren und auch offline bereitstellen. Die Ordner selbst erfordern einen Workfolder-DNS-Namen, SSL-Zertifikate, ADFS 3.0 (Active Directory Federation Services = Active-Directory-Verbunddienste), WAP (Web Application Proxy) und einen NTFS-Dateiserver. Eine schrittweise Anleitung zur Einrichtung finden Sie in diesem IT-Blog.
Workplace
Über die PC-Einstellungen der Charmsleiste treten Sie dem Arbeitsplatznetzwerk bei.
© Hersteller
  • Ressourcenverwaltung: Für die Ressourcenverwaltung kommen der System Center Configuration Manager 2012 R2, das Cloud-basierte Windows Intune und die mobile Geräteverwaltung (MDM - Mobile Device Management) zum Einsatz.
  • Druckeranbindung: Über die Nahfeldkommunikation (Near Field Communication - NFC) geben Sie Informationen über ein mobiles Gerät drahtlos aus. Dank des Übertragungsstandards Wi-Fi Direct ist keine Suche nach Netzwerkdruckern und keine Treibereinrichtungen erforderlich.
  • DirectAccess/BranchCache: Über DirectAccess wird der Zugriff auf Unternehmensressourcen erlaubt, ohne eine VPN-Verbindung herzustellen (Virtual Private Network). Administratoren aktualisieren Remote-Clients und deren Anwender mit geänderten Richtlinien und versorgen diese mit Software-Aktualisierungen. Über BranchCache werden Dateien zu Webseiten und anderen Inhalten zwischengespeichert, um das mehrfache Herunterladen zu unterbinden.
  • AppLocker: Mit der Funktion AppLocker sperren Administratoren den Zugriff und die Ausführung bestimmter Anwendungen, Installationsprogramme oder auch Skriptdateien durch angebundene Clients. Selbst die Sperrung systemeigener Anwendungen wie den Registrierungseditor ist damit durchführbar. Die Sperrung erfolgt dabei über die Gruppenrichtlinien und die Gruppenrichtlinienverwaltung. Mit AppLocker werden Zugriffsrechte eingeschränkt und damit die Sicherheit erhöht. 
AppLocker
Der Admin legt Einstellungen zur Sperrung von Anwendungen über Anwendungssteuerungsrichtlinien fest.
© Hersteller

Test The Best

Microsoft macht für Windows 8.1 Enterprise 90-Tage-Testversionen verfügbar. Das System ist in gesonderten 32- und 64-Bit-Varianten erhältlich. Windows 8.1 Pro und auch Windows 8.1 Enterprise entfalten erst im Zusammenspiel mit dem Windows Server 2012 R2 und dessen Sicherheitsfunktionen die volle Leistungsfähigkeit. Dazu ist eine Domänenanbindung erforderlich. Die Standardvariante von Windows 8.1 bietet keine Funktion zu Domänenanbindung. Mit den BitLocker- und Windows-To-Go-Funktionalitäten stehen in Windows 8.1 Enterprise die grundlegenden Funktionen zur Erhöhung der Systemsicherheit bereit.

Bei den komplexeren serverbasierten Funktionen, die eine mobile Geräteanbindung vereinfachen, unterstützt Sie bereits der Serveradministrator. Wer aktuell noch nicht über die Enterprise-Edition verfügt, kann sich mit den Testversionen in aller Ruhe in die Systemumgebung für Unternehmen einarbeiten. Und alternativ spricht auch weiterhin nichts gegen den Einsatz zusätzlicher Sicherheitssoftware, mit deren Hilfe Sie Daten gezielt verschlüsseln und verschlüsselt verteilen.

Mehr zu Microsoft

Nächste passende Artikel

Windows 10: Desktop mit Tablet

Enterprise, Education und mehr

Windows 10: Neuer Update-Zyklus und verlängerter…
Windows 10 April 2018 Update Download

Enterprise-Umstieg

Windows 10 Pro: Microsoft soll Features für…
Windows 10: Das neue Windows soll auf PCs, Notebooks, Tablets und Smartphones laufen und dabei fast immer gleich funktionieren.

Unternehmenssoftware

Windows 10 Enterprise: Abo kommt für monatlich…
Windows 10: Desktop mit Tablet

Windows Update

Windows 10: Detaillierte Patch-Notes nur für…
Windows 10 auf vielen Geräten

Home vs. Pro vs. Enterprise &…

Windows 10 Versionen - Das sind die Unterschiede
CPU, RAM, Malware & Co.: PC-Probleme beheben - Bluescreen of Death

Update 2

Windows 11: MSI löst Intel-Probleme nach Patch…
Windows 11 Logo

WLAN-Standard

Wi-Fi 7: Erst ab Windows 11 möglich?
Fehlschlagende Updates sorgen für Frust.

Optionales Update

Windows 10 mit KB5029331: Aktuelle CPUs können…
Überrasch’ mich!
mehrweniger

Mehr zum Thema

Interview zu Datenschutz und Passwortsicherheit

Tag der Passwortsicherheit 2014

"Zugänge zu sensiblen Daten benötigen speziellen…

Cloud Computing,Sicherheit,Deutschland

Cloud Computing nach dem NSA-Skandal

Die deutsche Cloud - eine sichere Alternative?

E-Mail,Marketing,Mail

It-Sicherheitsreport

"Hired Hackers" als unterschätzte Gefahr

Apple Pay, Mobile Payment

IT-Recht: Datenschutz

Mobile Payment - Das Handy als Geldbörse

Ransomware Zerolocker

Cybercrime als Geschäftsmodell

Hacks, Spam & Cyber-Attacken auf Bestellung

Weiter zur Startseite