Windows 10: обещанные усовершенствования безопасности

Windows 10 неотвратимо надвигается, угрожая вломиться ко всем в окна уже в конце июля. В этой статье мы собираемся пройтись по заявленным в системе усовершенствованиям безопасности. Кто-нибудь удивлен? :-) На данный момент Microsoft рассекретила уже некоторые новшества, предназначенные для защиты всех будущих пользователей ОС от угроз, актуальных и предполагаемых.

Доминирующий вид

С учётом глобального доминирования Windows трудно переоценить важность её кибербезопасности. На протяжении долгого времени семейство Windows олицетворяло собой распространённый источник багов и изъянов, которые энергично эксплуатировали хакеры всех видов и уровней квалификации.

Однако в первые годы нового тысячелетия Microsoft приложила колоссальные усилия к тому, чтобы повысить безопасность своей ОС. В определенный момент случился даже некоторый перебор: пользователи описывали подход к обеспечению безопасности в Windows Vista как «почти параноидальный», так как число запросов на разрешение действий от контроля учетных записей (UAC) просто зашкаливало. Эта проблема, в числе прочих, сделала Vista одной из наименее успешных версий Windows. Из этого опыта извлекли уроки, и UAC в Windows 7 стал куда менее навязчивым — без ущерба для безопасности.

#Windows10: обещанные улучшения #безопасности

Tweet

Но, опять-таки, речь идёт о Windows 10. В октябре 2014 года Microsoft опубликовала в блоге статью, посвященную функциям безопасности, которые ожидаются в новой операционной системе Windows 10: Безопасность и защита личности в современном мире.

«В Windows 10 мы активно противопоставляем современным угрозам безопасности достижения в области усиления защиты личности и контроля доступа, защиты информации и противодействия угрозам. В этот релиз мы включили практически всё необходимое для того, чтобы увести мир от использования такой однофакторной аутентификации, как пароли. Мы предлагаем надёжные средства предотвращения потери данных, встроенные в саму платформу, а на случай интернет-угроз, таких как вредоносные программы, мы предоставляем целый ряд опций, которые призваны помочь предприятиям защититься от распространенных видов инфекций ПК», — пишет Джим Алков из Microsoft.

Впечатляет.

Подробности

Microsoft анонсировала три основных улучшения безопасности. В первую очередь, защита идентичности — обязательная двухфакторная авторизация для каждого устройства на Windows 10, будь то ПК или что-то ещё. Второй фактор будет PIN-кодом или биометрическим, таким как отпечаток пальца. Пользователи смогут  нагрузить устройства новыми учетными данными или превратить свой смартфон в «мобильное удостоверение», как выразился Алков. Это позволит пользователям регистрироваться во всех своих компьютерах, сетях и веб-сервисах при наличии  под рукой мобильного телефона. По существу, он будет работать как дистанционная смарт-карта.

Согласно описанию Microsoft, само «удостоверение личности» может быть либо криптографической парой ключей (личного и публичного), сгенерированной отдельно или в Windows, либо «сертификатом устройства от существующих инфраструктур публичных ключей (PKI)». Короче говоря, это сделает ОС Windows 10 подходящей как для организаций с существующими обеспечениями PKI, так и для потребителей.

Что касается контроля доступа, то он рассчитан на защиту маркеров доступа пользователей, которые генерируются при их авторизации.

По словам Джима Алкова, эти маркеры всё чаще подвергаются нападению с использованием таких методов, как передача хэша, передача билета. Контрмеры Microsoft? «Архитектурное решение, которое хранит маркеры доступа пользователей в защищенном контейнере, работающем по новейшей технологии Hyper-V». Другими словами, эти маркеры остаются неизвлекаемыми из устройств, даже если скомпрометировано само ядро ​​Windows. Алков отдельно упоминает в этой связи АРТ.

#Windows10: единая платформа, разделённые данные. #безопасность

Tweet

Разделение данных

Следующая заявленная функция — профилактика потери данных (DLP), которая разделяет корпоративные и личные данные и помогает защитить их посредством сдерживания. Это специфическая бизнес-ориентированная функция, включённая в Windows 10 с учётом BYOD. Разделение личных и корпоративных данных является лучшей практикой, рекомендованной для предотвращения утечки конфиденциальной информации из потерянных или украденных персональных устройств.

DLP интегрирована в платформу Windows 10, и пользователям не придётся «переключать режимы или приложения для защиты корпоративных данных». Люди смогут безопасно хранить данные, не меняя своих привычек. Что ещё интереснее:

«Windows 10 обеспечивает автоматическое шифрование корпоративных приложений, данных, электронной почты, содержимого веб-сайта и другой конфиденциальной информации, как только она поступает на устройство из корпоративной сети». Таким образом, она хранится отдельно от собственного оригинального контента пользователя, хотя компании могут переназначить весь новый контент, созданный на устройстве, как корпоративный, а также установить политику, предотвращающую копирование данных из корпоративного контента в некорпоративные документы или на внешние интернет-локации, такие как социальные сети. Это может показаться чрезмерным ограничением, но речь идёт об обеспечении безопасности критических данных.

Если говорить о BYOD, то те же функции DLP будут доступны на настольных компьютерах, ноутбуках и телефонах на Windows. Обещана также сквозная совместимость, которая позволит получать доступ к защищенным документам на нескольких платформах.

«Наконец, в случае защиты данных в Windows 10 организации посредством выбора политики могут определить, какие приложения имеют доступ к корпоративным данным. Мы несколько развили эту функцию и расширили политики для удовлетворения требований VPN, пойдя на встречу пожеланиям многих наших пользователей», — пишет Алков. По его словам, будет предусмотрен «спектр вариантов управления VPN» со списками одобренных и запрещённых приложений, что позволит ИТ-специалистам определить, каким приложениям разрешить доступ к VPN и управление через MDM-решения для настольных и универсальных приложений».

Для администраторов предусмотрены ещё более «затейливые» средства управления — они могут ограничивать доступ к определенным портам или IP-адресам.

В качестве дополнительного средства защиты в Windows 10 будут работать только доверенные приложения, подписанные службой сертификации Microsoft — «для запуска на специально сконфигурированных устройствах». Сконфигурированных OEM-партнёрами, если говорить конкретнее.

Для администраторов: SSH в наличии

В начале июня Microsoft, наконец, объявила, что планирует обеспечить поддержку SSH в Windows, и инженеры компании также примут участие в развитии проекта OpenSSH.

SSH (Secure Shell) — криптографический сетевой протокол, он является популярным инструментом для удалённой авторизации и выполнения команд на многих системах Unix и Linux. Его никогда не поддерживала Microsoft по различным причинам… до недавнего времени.

«Популярный запрос, который получала команда PowerShell, относился к просьбе использовать протокол Secure Shell протокола и сессию Shell (или SSH) для взаимодействия между Windows и Linux — как подключения и управления Windows с помощью SSH, так и, наоборот, для Windows-подключения и управления Linux с помощью SSH. Таким образом, сочетание PowerShell и SSH будет представлять собой надёжное и безопасное решение для автоматизации и дистанционного управления системами Linux и Windows», — отметил Энджел Калво, глава группы разработчиков PowerShell команды Microsoft (согласно Threatpost) .

Быть в курсе

Как мы видим, описанные выше функции, в основном, бизнес-ориентированные, так как они решают основные проблемы ИТ-безопасности, с которыми приходится сталкиваться сегодня предприятиям. С учётом заявленного, разработчики подходят к вопросам надлежащим образом, озабочены защитой информации, а не только определенных устройств. Хотелось бы надеяться, что с реализацией больших проблем не будет.

Улучшения в безопасности программных платформ уже сами по себе хороши, но они удивительным образом способны работать и против самих себя. Люди привыкают полагаться на средства безопасности «по умолчанию» и часто игнорируют даже те угрозы, которым эти инструменты по умолчанию не способны противостоять, или допускают ошибки, которые успешно нивелируют эти улучшения.

Единственным верным подходом в данном случае является информированность о существующих угрозах и опора, в первую очередь, на разум и здравый смысл.