Programavimas

Izoliacija! Grūdinkite „Windows 10“, kad būtų užtikrintas maksimalus saugumas

Galbūt girdėjote, kad „Microsoft“ padarė „Windows 10“ saugesnę nei bet kuris ankstesnis, pakuodamas ją su saugumo gėrybėmis. Ko nežinote, yra tai, kad kai kurių iš šių paslėptų saugos funkcijų negalima įsigyti iš dėžutės arba joms reikalinga papildoma aparatūra - gali būti, kad nepasieksite tokio lygio saugumo, kokio tikėjotės.

Tokios funkcijos kaip „Credential Guard“ yra prieinamos tik tam tikriems „Windows 10“ leidimams, o „Windows Hello“ pažadėtai pažangiai biometrikai reikia nemažų investicijų į trečiųjų šalių aparatinę įrangą. „Windows 10“ gali būti saugiausia „Windows“ operacinė sistema iki šiol, tačiau saugumą išmananti organizacija ir atskiras vartotojas turi atsižvelgti į šiuos aparatūros ir „Windows 10“ leidimo reikalavimus, kad atrakintų būtinas funkcijas, kad būtų pasiektas optimalus saugumas. .

Pastaba: Šiuo metu yra keturi „Windows 10“ darbalaukio leidimai - „Home“, „Pro“, „Enterprise“ ir „Education“ - kartu su keliomis jų versijomis, siūlančiomis įvairaus lygio beta ir peržiūros programinę įrangą. Woody Leonard'as suskirsto, kurią „Windows 10“ versiją naudoti. Šiame „Windows 10“ saugos vadove daugiausia dėmesio skiriama standartiniams „Windows 10“ įrenginiams, o ne „Insider Previews“ ar „Long Term Servising Branch“, ir, jei reikia, jame pateikiamas jubiliejaus atnaujinimas.

Tinkama aparatūra

„Windows 10“ išmeta platų tinklą, o minimalūs aparatūros reikalavimai yra nereiklūs. Jei turite šiuos dalykus, galite atnaujinti iš „Win7 / 8.1“ į „Win10“: 1 GHz arba spartesnį procesorių, 2 GB atminties (sukakties atnaujinimui), 16 GB (32 bitų OS) arba 20 GB (64 bitų OS) ) vietos diske, „DirectX 9“ grafikos plokštė arba naujesnė su WDDM 1.0 tvarkykle ir 800 x 600 raiškos (7 colių ar didesnių ekranų) ekranas. Tai apibūdina beveik bet kurį praėjusio dešimtmečio kompiuterį.

Tačiau nesitikėkite, kad jūsų pagrindinė mašina bus visiškai saugi, nes aukščiau nurodyti minimalūs reikalavimai nepalaikys daugelio kriptografija pagrįstų „Windows 10“ galimybių. „Win10“ kriptografijos funkcijoms reikalingas „Trusted Platform Module 2.0“, kuris suteikia saugią kriptografijos saugyklą raktai ir naudojami slaptažodžiams šifruoti, intelektualioms kortelėms autentifikuoti, saugiam laikmenų atkūrimui, siekiant užkirsti kelią piratavimui, apsaugoti VM ir apsaugoti aparatūros ir programinės įrangos atnaujinimus nuo klastojimo, be kitų funkcijų.

Šiuolaikiniai AMD ir „Intel“ procesoriai („Intel Management Engine“, „Intel Converged Security Engine“, „AMD Security Processor“) jau palaiko TPM 2.0, todėl dauguma pastaraisiais metais pirktų mašinų turi reikiamą lustą. Pavyzdžiui, „Intel“ nuotolinio valdymo „vPro“ tarnyba naudoja TPM, kad suteiktų leidimą nuotolinio kompiuterio taisymui. Bet verta patikrinti, ar TPM 2.0 egzistuoja bet kurioje jūsų naujovinamoje sistemoje, ypač atsižvelgiant į tai, kad „Anniversary Update“ reikia TPM 2.0 palaikymo programinėje įrangoje arba kaip atskiros fizinės mikroschemos. Naujame kompiuteryje arba sistemose, kuriose „Windows 10“ diegiama nuo nulio, nuo pradžios turi būti TPM 2.0, o tai reiškia, kad patvirtinimo rakto (EK) sertifikatą turi iš anksto numatyti aparatinės įrangos tiekėjas, kai jis išsiunčiamas. Arba įrenginį galima sukonfigūruoti taip, kad jis gautų sertifikatą ir jį išsaugotų TPM pirmą kartą paleidus.

Senesnėms sistemoms, nepalaikančioms TPM 2.0 - dėl to, kad jose nėra įdiegtos lustos arba jos yra pakankamai senos, kad turi tik TPM 1.2, reikės įdiegti lustą, kuriame įgalinta TPM 2.0. Priešingu atveju jie apskritai negalės atnaujinti „Anniversary Update“.

Nors kai kurios saugos funkcijos veikia su TPM 1.2, geriau gauti TPM 2.0, kai tik įmanoma. TPM 1.2 leidžia naudoti tik RSA ir SHA-1 maišos algoritmus, ir atsižvelgiant į tai, kad SHA-1 į SHA-2 migracija yra gerai vykdoma, laikytis TPM 1.2 yra problemiška. TPM 2.0 yra daug lankstesnis, nes palaiko SHA-256 ir elipsinės kreivės kriptografiją.

„Unified Extensible Firmware Interface“ (UEFI) BIOS yra kitas privalomas aparatūros elementas, užtikrinantis saugiausią „Windows 10“ patirtį. Įrenginį reikia pristatyti su įjungta UEFI BIOS, kad būtų galima saugiai paleisti, o tai užtikrina, kad įkrovos metu galima vykdyti tik operacinės sistemos programinę įrangą, branduolius ir branduolio modulius, pasirašytus žinomu raktu. Saugus paleidimas blokuoja rootkit'us ir BIOS kenkėjiškas programas nuo kenksmingo kodo vykdymo. Saugiam paleidimui reikalinga programinė aparatinė įranga, palaikanti UEFI v2.3.1 „Errata B“ ir turinti „Microsoft Windows“ sertifikavimo instituciją UEFI parašų duomenų bazėje. Nors saugumo požiūriu „Microsoft“, nurodydama „Windows 10“ privalomą saugų įkrovą, kilo ginčų, nes tai apsunkina neparašytų „Linux“ paskirstymų (pvz., „Linux Mint“) paleidimą „Windows 10“ palaikančioje aparatinėje įrangoje.

Jubiliejaus naujinys nebus įdiegtas, nebent jūsų įrenginys suderinamas su UEFI 2.31 ar naujesniu.

Trumpas „Windows 10“ funkcijų ir aparatinės įrangos sąrašas
„Windows 10“ funkcijaTPMĮvesties / išvesties atminties valdymo blokasVirtualizacijos plėtiniaiSLATASUEFI 2.3.1Tik x64 architektūrai
Kredencialų sargybaRekomenduojamasNėra naudojamasBūtinaBūtinaBūtinaBūtina
„Device Guard“Nėra naudojamasBūtinaBūtinaBūtinaBūtinaBūtina
„BitLocker“RekomenduojamasNereikalaujamaNereikalaujamaNereikalaujamaNereikalaujamaNereikalaujama
Konfigūruojamas kodo vientisumasNereikalaujamaNereikalaujamaNereikalaujamaNereikalaujamaRekomenduojamasRekomenduojamas
„Microsoft Hello“RekomenduojamasNereikalaujamaNereikalaujamaNereikalaujamaNereikalaujamaNereikalaujama
VBSNereikalaujamaBūtinaBūtinaBūtinaNereikalaujamaBūtina
„UEFI Secure Boot“RekomenduojamasNereikalaujamaNereikalaujamaNereikalaujamaBūtinaNereikalaujama
Įrenginio sveikatos patvirtinimas naudojant išmatuotą įkrovąReikalinga TPM 2.0NereikalaujamaNereikalaujamaNereikalaujamaBūtinaBūtina

Tvirtina tapatybę ir tapatybę

Slaptažodžių saugumas per pastaruosius kelerius metus buvo svarbi problema, o „Windows Hello“ priartina mus prie pasaulio, kuriame nėra slaptažodžių, nes jis integruoja ir praplečia biometrinius prisijungimus ir dviejų veiksnių autentifikavimą, kad „atpažintų“ vartotojus be slaptažodžių. „Windows Hello“ taip pat sugeba būti vienu metu labiausiai prieinama ir nepasiekiama „Windows 10“ saugos funkcija. Taip, ji yra prieinama visuose „Win10“ leidimuose, tačiau norint išnaudoti viską, ką ji gali pasiūlyti, reikia didelių aparatinės įrangos investicijų.

Norėdami apsaugoti kredencialus ir raktus, „Hello“ reikalauja TPM 1.2 ar naujesnės versijos. Tačiau įrenginiams, kuriuose TPM nėra įdiegtas ar sukonfigūruotas, „Hello“ gali naudoti programine apsauga apsaugoti kredencialus ir raktus, taigi „Windows Hello“ yra prieinama beveik bet kuriam „Windows 10“ įrenginiui.

Tačiau geriausias būdas naudoti „Hello“ yra saugoti biometrinius duomenis ir kitą autentifikavimo informaciją laive esančiame TPM luste, nes aparatinės įrangos apsauga užpuolikams apsunkina jų vagystę. Be to, norint pasinaudoti visais biometrinio autentifikavimo privalumais, būtina papildoma įranga, pvz., Specializuota apšviesta infraraudonųjų spindulių kamera arba specialus rainelės ar pirštų atspaudų skaitytuvas. Daugelis verslo klasės nešiojamųjų kompiuterių ir kelios vartotojų nešiojamųjų kompiuterių linijos tiekiamos su pirštų atspaudų skaitytuvais, o tai leidžia įmonėms pradėti naudotis „Hello“ naudojant bet kurį „Windows 10“ leidimą. Tačiau rinka vis dar ribota, kai kalbama apie 3D gylio jutiklius, skirtus veido atpažinimui ir tinklainei. rainelės nuskaitymo skaitytuvai, todėl pažangesnė „Windows Hello“ biometrija daugeliui yra ateities galimybė, o ne kasdienybė.

Visiems „Windows 10“ leidimams prieinami „Windows Hello Companion Devices“ yra pagrindas, leidžiantis vartotojams naudoti išorinį įrenginį, pvz., Telefoną, prieigos kortelę ar nešiojamą, kaip vieną ar kelis „Hello“ autentifikavimo veiksnius. Vartotojai, norintys dirbti su „Windows Hello Companion Device“ ir klajoti naudodami „Windows Hello“ kredencialus tarp kelių „Windows 10“ sistemų, turi turėti „Pro“ arba „Enterprise“.

Anksčiau „Windows 10“ turėjo „Microsoft Passport“, kuris leido vartotojams prisijungti prie patikimų programų per „Hello“ kredencialus. Atnaujinus sukaktį, „Passport“ nebeegzistuoja kaip atskira funkcija, bet yra įtraukta į „Hello“. Trečiųjų šalių programos, naudojančios „Fast Identity Online“ (FIDO) specifikaciją, galės palaikyti vienkartinį prisijungimą per „Hello“. Pvz., „Dropbox“ programą galima patvirtinti tiesiogiai per „Hello“, o „Microsoft Edge“ naršyklė leidžia integruotis su „Hello“ ir išplėsti žiniatinklį. Šią funkciją galima įjungti ir trečiųjų šalių mobiliųjų įrenginių valdymo platformoje. Ateitis be slaptažodžių ateina, bet dar ne taip.

Nenaudokite kenkėjiškų programų

„Windows 10“ taip pat pristato „Device Guard“ - technologiją, kuri ant galvos apverčia tradicinę antivirusinę programą. „Device Guard“ užrakina „Windows 10“ įrenginius, remdamasi baltaisiais sąrašais, kad leistų įdiegti tik patikimas programas. Neleidžiama paleisti programų, nebent jos būtų nustatytos saugiai patikrinus failo kriptografinį parašą, kuris užtikrina, kad visos nepasirašytos programos ir kenkėjiškos programos negali būti vykdomos. „Device Guard“ remiasi „Microsoft“ sukurta „Hyper-V“ virtualizacijos technologija, kad išsaugotų savo baltąjį sąrašą apsaugotoje virtualioje mašinoje, prie kurios sistemos administratoriai negali naudotis ar sugadinti. Norėdami pasinaudoti „Device Guard“ pranašumais, mašinos turi paleisti „Windows 10 Enterprise“ arba „Education“ ir palaikyti TPM, aparatinės įrangos procesoriaus virtualizaciją ir įvesties / išvesties virtualizavimą. „Device Guard“ remiasi „Windows“ grūdinimu, tokiu kaip „Secure Boot“.

„AppLocker“, prieinama tik „Enterprise“ ir „Education“, gali būti naudojama su „Device Guard“ nustatant kodo vientisumo politiką. Pavyzdžiui, administratoriai gali nuspręsti apriboti, kurias universalias programas iš „Windows“ parduotuvės galima įdiegti įrenginyje.

Konfigūruojamas kodo vientisumas yra dar vienas „Windows“ komponentas, kuris patikrina, ar vykdomas kodas yra patikimas ir išmintingas. Branduolio režimo kodo vientisumas (KMCI) neleidžia branduoliui vykdyti nepasirašytų tvarkyklių. Administratoriai gali valdyti strategijas sertifikato institucijos ar leidėjo lygiu, taip pat kiekvieno dvejetainio vykdomojo failo individualias maišos reikšmes. Kadangi didžioji dalis kenkėjiškų prekių yra nepasirašyta, taikant kodo vientisumo politiką organizacijos gali nedelsiant apsisaugoti nuo nepasirašytos kenkėjiškos programos.

„Windows Defender“, pirmą kartą išleista kaip atskira „Windows XP“ programinė įranga, „Windows 8“ tapo numatytuoju „Microsoft“ apsaugos nuo kenkėjiškų programų rinkiniu su šnipinėjimo ir antivirusine programa. „Defender“ automatiškai išjungiamas, kai įdiegiama trečiosios šalies antimalware programa. Jei nėra įdiegtas konkuruojantis antivirusas ar saugos produktas, įsitikinkite, kad įjungtas „Windows Defender“, prieinamas visuose leidimuose ir be jokių specialių aparatinės įrangos reikalavimų. „Windows 10 Enterprise“ vartotojams yra „Windows Defender Advanced Threat Protection“, kuri siūlo realaus laiko elgesio grėsmių analizę, kad būtų galima nustatyti internetines atakas.

Duomenų saugumas

„BitLocker“, saugantis failus šifruotame konteineryje, egzistuoja nuo „Windows Vista“ ir yra geresnis nei bet kada „Windows 10“. Su „Anniversary Update“ šifravimo įrankis yra prieinamas „Pro“, „Enterprise“ ir „Education“ leidimams. Panašiai kaip „Windows Hello“, „BitLocker“ veikia geriausiai, jei TPM naudojamas šifravimo raktams apsaugoti, tačiau jis taip pat gali naudoti programinės įrangos raktų apsaugą, jei TPM nėra arba jis nėra sukonfigūruotas. Apsaugant „BitLocker“ slaptažodžiu užtikrinama elementariausia apsauga, tačiau geresnis būdas yra naudoti intelektualiąją kortelę arba šifravimo failų sistemą, kad sukurtumėte failų šifravimo sertifikatą, kad apsaugotumėte susietus failus ir aplankus.

Kai sistemos diske yra įjungtas „BitLocker“ ir įjungta apsauga nuo brutalios jėgos, „Windows 10“ gali iš naujo paleisti kompiuterį ir užrakinti prieigą prie standžiojo disko, kai bandoma nurodyti neteisingą slaptažodį. Vartotojai turėtų įvesti 48 simbolių „BitLocker“ atkūrimo raktą, kad paleistų įrenginį ir pasiektų diską. Norint įjungti šią funkciją, sistemoje reikės turėti UEFI programinės įrangos versiją 2.3.1 arba naujesnę.

„Windows Information Protection“, anksčiau buvusi „Enterprise Data Protection“ (EDP), galima tik „Windows 10 Pro“, „Enterprise“ ar „Education“ leidimuose. Jis teikia nuolatinį failų lygio šifravimą ir pagrindinių teisių valdymą, taip pat integruojamas su „Azure Active Directory“ ir teisių valdymo paslaugomis. Informacijos apsaugai reikalingas tam tikras mobiliojo įrenginio valdymas - „Microsoft Intune“ ar trečiosios šalies platforma, pvz., „VMware's AirWatch“, arba „System Center Configuration Manager“ (SCCM), kad būtų galima valdyti nustatymus. Administratorius gali apibrėžti „Windows Store“ arba darbalaukio programų, galinčių pasiekti darbo duomenis, sąrašą arba visiškai juos užblokuoti. „Windows“ informacijos apsauga padeda kontroliuoti, kas gali pasiekti duomenis, kad būtų išvengta atsitiktinio informacijos nutekėjimo. „Microsoft“ teigia, kad „Active Directory“ padeda lengviau valdyti, tačiau nereikia naudoti informacijos apsaugos.

Virtualizuoti saugumo gynybą

„Credential Guard“, prieinama tik „Windows 10 Enterprise“ ir „Education“, gali išskirti „paslaptis“ naudodama virtualizacijos saugą (VBS) ir apriboti prieigą prie privilegijuotos sistemos programinės įrangos. Tai padeda užkirsti kelią maišos atakoms, nors saugumo tyrėjai neseniai rado būdų apeiti apsaugą. Nepaisant to, turėti „Credential Guard“ vis tiek yra geriau nei jo neturėti. Jis veikia tik „x64“ sistemose ir reikalauja UEFI 2.3.1 arba naujesnės versijos. Turi būti įjungti tokie virtualizavimo plėtiniai kaip „Intel VT-x“, „AMD-V“ ir „SLAT“, taip pat IOMMU, pvz., „Intel VT-d“, „AMD-Vi“ ir „BIOS Lockdown“. TPM 2.0 rekomenduojamas norint įgalinti „Device Health“ patvirtinimą „Credential Guard“, tačiau jei TPM nėra, vietoj jo galima naudoti programinės įrangos apsaugas.

Kita „Windows 10 Enterprise“ ir „Education“ funkcija yra „Virtual Secure Mode“, kuris yra „Hyper-V“ konteineris, saugantis „Windows“ išsaugotus domeno kredencialus.