Microsoft Ignite: Mehr Sicherheit für Windows und Agenten

Sicherer Agenteneinsatz

Auf der Build-2025-Konferenz im Mai 2025 hatte Microsoft seinen Ansatz für den Umgang mit dem Model Context Protocol (MCP) vorgestellt und wie in diesem Kontext für mehr Sicherheit gesorgt werden soll.

Auf der Ignite 2025 hat Microsoft nun Agent Workspace angekündigt. Hierbei handelt es sich um eine getrennte und abgeschlossene Umgebung, in der Agenten mit Anwendungen interagieren können und die Aufgaben abarbeiten können, ohne dass die Sitzung des Anwenders beeinträchtigt wird.

Alles, was der Agent innerhalb dieser Umgebung ausführt, kann ihm beziehungsweise seiner Identität zugeordnet werden. Das erlaubt eine Nachverfolgung und Trennung von den Aktionen, die der menschliche Anwender ausführt.

Die Aktivierung des Agent Workspace obliegt dem Anwender. Der Agent hat dann Zugriff auf die begrenzte Umgebung des Anwenders wie etwa Dokumente, Downloads oder Desktop sowie andere Ressourcen, die aus dem Kontext dieses Systems zugänglich sind. Es greifen hier alle Security-Mechanismen von Windows, wie etwa Zugriffskontrolllisten.

Agent Workspace befindet sich derzeit im Status Private Preview.

Cloud-PC für Agenten

Einen Schritt weiter geht Microsoft mit Windows 365 for Agents. Dabei handelt es sich um einen Cloud-PC ganz ähnlich wie bei Windows 365 for Enterprise. Hiermit soll eine sichere und verwaltbare Umgebung für Agenten zur Verfügung stehen. Sprich, der Cloud-PC kann mit Microsoft Entra verknüpft werden, ebenso wie mit Richtlinien aus Intune. So können die Richtlinien des Unternehmens auf diesen Cloud-PC angewendet werden.

Der Ablauf stellt sich wie folgt dar: Wenn ein Agent eine Aufgabe ausführen muss, checkt er einen Cloud-PC aus einem Pool aus. Ist die Aufgabe abgearbeitet, wird der Cloud-PC vom Agent wieder eingecheckt, so dass er für andere zu Verfügung steht. Die Cloud-PC sind in Host-Pools organisiert, so das IT-Teams diese für verschiedene Anforderungen gruppieren können, um die Durchsetzung von Richtlinien zu gewährleisten.

Windows 365 for Agents befindet sich derzeit im Status der Public Preview.

Neuerungen bei der Verschlüsselung von Windows

Für Unternehmen ist es seit einiger Zeit ein sehr guter Zeitpunkt sich mit Post-Quanten-Kryptografie zu beschäftigen. Bereits Ende 2024 hat das BSI Betreiber kritischer Infrastrukturen und die öffentliche Verwaltung aufgefordert, zur Post-Quanten-Kryptografie überzugehen. Dafür bedarf es entsprechender PQC-Algorithmen (Post Quantum Cryptography). Windows sei nun in Sachen PQC-Schnittstellen (APIs) bereit, so dass Unternehmen mit der Migration beginnen und ihre Anwendungen und Umgebungen entsprechend überprüfen könnten.

Microsofts eigene Verschlüsselung BitLocker soll künftig in Sachen Hardware-Beschleunigung erweitert werden. Dabei sollen moderne SoC und Prozessoren Unterstützung finden und bieten. Auf entsprechender Hardware seien die Verschlüsselungsschlüssel damit besser geschützt und Schwachstellen in CPU oder Speicher könnten der Verschlüsselung so weniger anhaben.

Quick Machine Recovery wird erweitert

Der Crowdstrike-Vorfall im Jahr 2024 hat offengelegt, dass eine nicht einfache Wiederherstellung von Windows-Systemen ein großes Hemmnis bei der Wiederaufnahme des Geschäftsbetriebs darstellen kann. Als Lehre und Folge daraus hat Microsoft Quick Machine Recovery eingeführt (QMR). Windows-Maschinen können so ohne großen Bedienaufwand auch aus der Ferne wieder in den regulären Betriebszustand versetzt werden.

Vereinfacht gesagt hat Quick Machine Recovery die Wiederherstellungsumgebung von Windows 11 erweitert. Scheitern mehrere Startversuche kann Windows 11 automatisch in Windows RE starten. Es wird eine Netzwerkverbindung hergestellt und es werden via Windows Update geeignete Korrekturpakete bezogen (siehe auch Quick Machine Recovery als neue Funktion in Windows 11 25H2).

Nun kündigt Microsoft zwei neue Funktionen von QMR für den Einsatz in Unternehmensumgebungen an. Bislang wurde die Netzwerkkonfiguration über eine Datei übergeben, künftig soll WinRE die Netzwerkkonfiguration des Windows auslesen können. Das soll in Zukunft auch mit Enterprise-WLAN-Konfigurationen mit WPA2/3-Enterprise und den notwendigen Zertifikaten funktionieren. Zudem kann sich Autopatch um die Genehmigung und Verwaltung von QMR-Updates kümmern, ebenso wie bei allen anderen Updates auch.

Apropos WinRE, künftig wird Intune anzeigen, wenn ein Windows-System in die Windows-Recovery-Umgebung bootet. Administratoren sollen so zeitnah entsprechende Probleme erkennen können.

Mehr Sicherheit bei Treibern

Auf der letztjährigen Ignite 2024 hat Microsoft einige Neuerungen und Änderungen angekündigt, die die Sicherheit von Windows 11 insbesondere verbessern sollen. Hierfür wurde die Windows Resiliency Initiative eingeführt. Zum Thema Resilienz gehört auch der Umgang und die Signierung von Treibern.

An die Signierung von Treibern sollen künftig strengere Maßstäbe angelegt werden, wenn es um die Sicherheit geht. Hierfür würden auch neue Tests eingeführt. Darüber hinaus wird das Angebot an Windows-eigenen-Treibern und APIs erhöht, so dass es für Dritthersteller einfacher sein soll, die eigenen Treiber durch Windows-Treiber zu ersetzen.

Zudem erwartet man für die längerfristige Zukunft bei gängigen Treiberklassen, beispielsweise für USB, Drucker, Audio und Kameras, deutlich weniger Notwendigkeit, dass Code im Kernel-Modus ausgeführt wird.

Für Kernel-Modus-Treiber will man seitens Microsoft die Vorgaben optimieren, um Risiken zu minimieren und künftige Fehler zu reduzieren.