Jūs, iespējams, esat dzirdējuši, ka Microsoft ir padarījis Windows 10 drošāku nekā jebkurš no tā priekšgājējiem, iesaiņojot to ar drošības labumiem. Jūs, iespējams, nezināt, ir tas, ka daži no šiem apsveicinātajiem drošības līdzekļiem nav pieejami no kastes vai tiem nepieciešama papildu aparatūra - iespējams, nesasniedzat drošības līmeni, par kuru esat solījis.
Tādas funkcijas kā Credential Guard ir pieejamas tikai dažiem Windows 10 izdevumiem, savukārt Windows Hello solītajai uzlabotajai biometrikai ir nepieciešami krietni ieguldījumi trešo pušu aparatūrā. Windows 10 var būt līdz šim visdrošākā Windows operētājsistēma, taču drošības ziņā prasmīgai organizācijai un atsevišķam lietotājam ir jāpatur prātā šādas aparatūras un Windows 10 izdevuma prasības, lai atbloķētu nepieciešamās funkcijas, lai sasniegtu optimālu drošību .
Piezīme: Pašlaik ir četri Windows 10 darbvirsmas izdevumi - Home, Pro, Enterprise un Education - kopā ar vairākām katra versijām, kas piedāvā atšķirīgu beta un priekšskatījuma programmatūras līmeni. Vudijs Leonards iedala, kuru Windows 10 versiju izmantot. Šī Windows 10 drošības rokasgrāmata koncentrējas uz standarta Windows 10 instalācijām, nevis iekšējās informācijas priekšskatījumiem vai ilgtermiņa apkalpošanas nodaļu, un vajadzības gadījumā ietver gadadienas atjauninājumu.
Pareiza aparatūra
Windows 10 met plašu tīklu ar minimālām aparatūras prasībām, kas nav prasīgas. Kamēr jums ir šādas iespējas, jūs varat veikt jaunināšanu no Win7 / 8.1 uz Win10: 1 GHz vai ātrāku procesoru, 2 GB atmiņu (jubilejas atjaunināšanai), 16 GB (32 bitu OS) vai 20 GB (64 bitu OS) ) diska vietas, DirectX 9 grafiskās kartes vai jaunākas versijas ar WDDM 1.0 draiveri un 800x600 izšķirtspējas (7 collu vai lielāku ekrānu) displeju. Tas lielā mērā raksturo jebkuru datoru no pēdējās desmitgades.
Bet negaidiet, ka jūsu bāzes mašīna ir pilnībā droša, jo iepriekš minētās minimālās prasības neatbalstīs daudzas no kriptogrāfijas balstītajām iespējām sistēmā Windows 10. Win10 kriptogrāfijas funkcijām ir nepieciešams Trusted Platform Module 2.0, kas nodrošina drošu kriptogrāfijas krātuves zonu. atslēgas un tiek izmantots, lai šifrētu paroles, autentificētu viedkartes, aizsargātu multivides atskaņošanu, lai novērstu pirātismu, aizsargātu VM un aizsargātu aparatūras un programmatūras atjauninājumus pret iejaukšanos.
Mūsdienu AMD un Intel procesori (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) jau atbalsta TPM 2.0, tāpēc lielākajai daļai pēdējo gadu laikā pirkto mašīnu ir vajadzīgā mikroshēma. Piemēram, Intel vPro attālās pārvaldības pakalpojums izmanto TPM, lai autorizētu personālo datoru remontu. Bet ir vērts pārbaudīt, vai TPM 2.0 pastāv jebkurā jūsu jauninātajā sistēmā, īpaši ņemot vērā to, ka jubilejas atjaunināšanai ir nepieciešams TPM 2.0 atbalsts programmaparatūrā vai kā atsevišķa fiziska mikroshēma. Jaunam personālajam datoram vai sistēmām, kas instalē sistēmu Windows 10 no nulles, no sākuma ir jābūt TPM 2.0, kas nozīmē, ka apstiprinājuma atslēgas (EK) sertifikātam ir jābūt iepriekš sagatavotam aparatūras pārdevēja laikā, kad tas tiek piegādāts. Alternatīvi, ierīci var konfigurēt, lai izgūtu sertifikātu un saglabātu to TPM, pirmo reizi palaižot.
Vecākām sistēmām, kas neatbalsta TPM 2.0 - vai nu tāpēc, ka tām nav instalēta mikroshēma, vai arī tās ir pietiekami vecas, ka tām ir tikai TPM 1.2, būs jāinstalē TPM 2.0 iespējota mikroshēma. Pretējā gadījumā viņi vispār nevarēs jaunināt uz jubilejas atjauninājumu.
Kaut arī daži no drošības elementiem darbojas ar TPM 1.2, labāk ir iegūt TPM 2.0, kad vien iespējams. TPM 1.2 pieļauj tikai RSA un SHA-1 jaukšanas algoritmu, un, ņemot vērā, ka SHA-1 pāreja uz SHA-2 ir labi uzsākta, pielīmēšana ar TPM 1.2 ir problemātiska. TPM 2.0 ir daudz elastīgāks, jo atbalsta SHA-256 un elipsveida līknes kriptogrāfiju.
Unified Extensible Firmware Interface (UEFI) BIOS ir nākamais obligātās aparatūras elements, lai nodrošinātu visdrošāko Windows 10 pieredzi. Ierīce jāpiegādā ar iespējotu UEFI BIOS, lai atļautu drošu sāknēšanu, kas nodrošina, ka sāknēšanas laikā var izpildīt tikai operētājsistēmas programmatūru, kodolus un kodola moduļus, kas parakstīti ar zināmu atslēgu. Secure Boot bloķē rootkit un BIOS ļaunprātīgu programmatūru no ļaunprātīga koda izpildes. Drošai sāknēšanai nepieciešama programmaparatūra, kas atbalsta UEFI v2.3.1 Errata B un UEFI parakstu datu bāzē ir Microsoft Windows sertifikācijas iestāde. Lai gan no drošības viedokļa, Microsoft, nosakot Windows 10 obligātu drošu sāknēšanu, ir nonācis strīdos, jo tas apgrūtina neparakstītu Linux izplatīšanu (piemēram, Linux Mint) palaišanu Windows 10 spējīgā aparatūrā.
Gadadienas atjauninājums netiks instalēts, ja vien jūsu ierīce nav saderīga ar UEFI 2.31.
| Windows 10 funkcija | TPM | Ievades / izvades atmiņas pārvaldības bloks | Virtualizācijas paplašinājumi | SLAT | UEFI 2.3.1 | Tikai x64 arhitektūrai |
|---|---|---|---|---|---|---|
| Akreditācijas apsardze | Ieteicams | Nav izmantots | Nepieciešams | Nepieciešams | Nepieciešams | Nepieciešams |
| Ierīces apsardze | Nav izmantots | Nepieciešams | Nepieciešams | Nepieciešams | Nepieciešams | Nepieciešams |
| BitLocker | Ieteicams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams |
| Konfigurējama koda integritāte | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Ieteicams | Ieteicams |
| Microsoft Hello | Ieteicams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams |
| VBS | Nav nepieciešams | Nepieciešams | Nepieciešams | Nepieciešams | Nav nepieciešams | Nepieciešams |
| UEFI drošā sāknēšana | Ieteicams | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nepieciešams | Nav nepieciešams |
| Ierīces veselības apliecinājums, izmantojot izmērīto sāknēšanu | Nepieciešama TPM 2.0 | Nav nepieciešams | Nav nepieciešams | Nav nepieciešams | Nepieciešams | Nepieciešams |
Nosakot autentifikāciju, identitāti
Paroļu drošība pēdējos gados ir bijusi nozīmīga problēma, un Windows Hello mūs tuvina pasaulei bez parolēm, jo tā integrē un paplašina biometriskos pieteikšanās un divu faktoru autentifikāciju, lai "atpazītu" lietotājus bez parolēm. Windows Hello vienlaikus pārvalda arī vispieejamāko un nepieejamāko Windows 10 drošības līdzekli. Jā, tas ir pieejams visos Win10 izdevumos, taču tas prasa ievērojamus aparatūras ieguldījumus, lai maksimāli izmantotu tā piedāvājumu.
Lai aizsargātu akreditācijas datus un atslēgas, lietotājam Hello ir nepieciešama TPM 1.2 vai jaunāka versija. Bet ierīcēm, kurās TPM nav instalēta vai konfigurēta, Hello var izmantot programmatūras aizsardzību, lai tā vietā nodrošinātu akreditācijas datus un atslēgas, tāpēc Windows Hello ir pieejama gandrīz jebkurai Windows 10 ierīcei.
Bet labākais veids, kā lietot Hello, ir uzglabāt biometriskos datus un citu autentifikācijas informāciju borta TPM mikroshēmā, jo aparatūras aizsardzība uzbrucējiem apgrūtina to nozagšanu. Turklāt, lai pilnībā izmantotu biometriskās autentifikācijas priekšrocības, ir nepieciešama papildu aparatūra, piemēram, specializēta izgaismota infrasarkanā kamera vai īpaša varavīksnenes vai pirkstu nospiedumu lasītājs. Lielākā daļa biznesa klases klēpjdatoru un vairākas patērētāju klēpjdatoru līnijas tiek piegādātas ar pirkstu nospiedumu skeneriem, ļaujot uzņēmumiem sākt darbu ar Hello, izmantojot jebkuru Windows 10 izdevumu. Bet tirgus joprojām ir ierobežots, ja runa ir par 3D atpazīšanas kamerām sejas atpazīšanai un tīklenē. skeneri varavīksnenes skenēšanai, tāpēc Windows Hello progresīvākā biometrija ir nākotnes iespēja lielākajai daļai, nevis ikdienas realitāte.
Pieejama visiem Windows 10 izdevumiem, Windows Hello Companion Devices ir ietvars, kas ļauj lietotājiem izmantot ārēju ierīci, piemēram, tālruni, piekļuves karti vai valkājamu, kā vienu vai vairākus autentificēšanas faktorus Hello. Lietotājiem, kuri vēlas strādāt ar Windows Hello Companion Device, lai klīst ar Windows Hello akreditācijas datiem starp vairākām Windows 10 sistēmām, katrā no tām jābūt instalētām Pro vai Enterprise.
Iepriekš operētājsistēmā Windows 10 bija Microsoft Passport, kas lietotājiem ļāva pieteikties uzticamās lietojumprogrammās, izmantojot Hello akreditācijas datus. Izmantojot jubilejas atjauninājumu, Passport vairs nepastāv kā atsevišķa funkcija, bet ir iekļauta Hello. Trešo pušu lietojumprogrammas, kas izmanto Fast Identity Online (FIDO) specifikāciju, varēs atbalstīt vienreizēju pierakstīšanos sveiki. Piemēram, lietotni Dropbox var autentificēt tieši, izmantojot Hello, un Microsoft Edge pārlūks nodrošina integrāciju ar Hello, lai tā tiktu paplašināta arī tīmeklī. Šo funkciju ir iespējams ieslēgt arī trešās puses mobilo ierīču pārvaldības platformā. Nāk ar paroli nesaistīta nākotne, taču vēl ne gluži tā.
Ļauj ļaunprātīgai programmatūrai izvairīties
Windows 10 ievieš arī ierīci Device Guard - tehnoloģiju, kas pārmet tradicionālo antivīrusu uz galvas. Device Guard bloķē Windows 10 ierīces, paļaujoties uz baltajiem sarakstiem, lai ļautu instalēt tikai uzticamas lietojumprogrammas. Programmas nav atļauts palaist, ja vien tās nav drošas, pārbaudot faila kriptogrāfisko parakstu, kas nodrošina, ka visas neparakstītās lietojumprogrammas un ļaunprātīgo programmatūru nevar izpildīt. Lai saglabātu savus baltos sarakstus aizsargātā virtuālā mašīnā, kurai sistēmas administratori nevar piekļūt vai to mainīt, ierīču aizsargs paļaujas uz pašas Microsoft Hyper-V virtualizācijas tehnoloģiju. Lai izmantotu Device Guard priekšrocības, mašīnām jāpalaiž Windows 10 Enterprise vai Education un jāatbalsta TPM, aparatūras CPU virtualizācija un I / O virtualizācija. Device Guard paļaujas uz Windows sacietēšanu, piemēram, Secure Boot.
AppLocker, kas pieejams tikai uzņēmumiem un izglītībai, var izmantot kopā ar Device Guard, lai iestatītu koda integritātes politikas. Piemēram, administratori var izlemt ierobežot, kuras universālās lietojumprogrammas no Windows veikala var instalēt ierīcē.
Konfigurējama koda integritāte ir vēl viens Windows komponents, kas pārbauda, vai darbojas kods ir uzticams un gudrs. Kodola režīma koda integritāte (KMCI) neļauj kodolam izpildīt neparakstītus draiverus. Administratori var pārvaldīt politikas sertifikātu iestādes vai izdevēja līmenī, kā arī katra binārā izpildāmā faila individuālās jaukšanas vērtības. Tā kā liela daļa preču ļaunprātīgas programmatūras mēdz būt neparakstītas, koda integritātes politikas ieviešana ļauj organizācijām nekavējoties aizsargāties pret neparakstītu ļaunprātīgu programmatūru.
Windows Defender, kas pirmo reizi tika izlaists kā atsevišķa programmatūra operētājsistēmai Windows XP, operētājsistēmā Windows 8 kļuva par Microsoft noklusējuma ļaunprātīgas programmatūras aizsardzības komplektu ar pretspiegprogrammatūru un antivīrusu. Defender tiek automātiski atspējots, kad tiek instalēts trešās puses antimalware komplekts. Ja nav instalēts konkurējošs pretvīrusu vai drošības produkts, pārliecinieties, vai ir ieslēgts Windows Defender, kas pieejams visos izdevumos un bez īpašām aparatūras prasībām. Windows 10 Enterprise lietotājiem ir Windows Defender uzlabotā draudu aizsardzība, kas reāllaikā piedāvā uzvedības draudu analīzi, lai atklātu tiešsaistes uzbrukumus.
Datu drošība
BitLocker, kas drošina failus šifrētā konteinerā, darbojas kopš Windows Vista un ir labāks nekā jebkad iepriekš operētājsistēmā Windows 10. Ar jubilejas atjauninājumu šifrēšanas rīks ir pieejams Pro, Enterprise un Education izdevumiem. Līdzīgi kā Windows Hello, arī BitLocker darbojas vislabāk, ja šifrēšanas atslēgu aizsardzībai tiek izmantots TPM, taču tas var izmantot arī programmatūras bāzes atslēgu aizsardzību, ja TPM nav vai tā nav konfigurēta. BitLocker aizsardzība ar paroli nodrošina visvienkāršāko aizsardzību, taču labāka metode ir viedkartes vai failu šifrēšanas sistēmas izmantošana, lai izveidotu failu šifrēšanas sertifikātu saistīto failu un mapju aizsardzībai.
Kad sistēmas diskā ir iespējots BitLocker un ir iespējota brutāla spēka aizsardzība, Windows 10 pēc noteikta skaita nepareizas paroles mēģinājumu var restartēt datoru un bloķēt piekļuvi cietajam diskam. Lai palaistu ierīci un piekļūtu diskam, lietotājiem būs jāievada BitLocker atkopšanas atslēga ar 48 rakstzīmēm. Lai iespējotu šo funkciju, sistēmā jābūt UEFI programmaparatūras versijai 2.3.1 vai jaunākai.
Windows informācijas aizsardzība, agrāk - uzņēmuma datu aizsardzība (EDP), ir pieejama tikai izdevumiem Windows 10 Pro, Enterprise vai Education. Tas nodrošina pastāvīgu faila līmeņa šifrēšanu un pamattiesību pārvaldību, vienlaikus integrējoties arī ar Azure Active Directory un Tiesību pārvaldības pakalpojumiem. Informācijas aizsardzībai ir nepieciešama sava veida mobilo ierīču pārvaldība - Microsoft Intune vai trešās puses platforma, piemēram, VMware’s AirWatch, vai System Center Configuration Manager (SCCM), lai pārvaldītu iestatījumus. Administrators var definēt Windows veikala vai darbvirsmas lietojumprogrammu sarakstu, kas var piekļūt darba datiem vai tos pilnībā bloķēt. Windows informācijas aizsardzība palīdz kontrolēt, kas var piekļūt datiem, lai novērstu nejaušu informācijas noplūdi. Active Directory palīdz atvieglot pārvaldību, taču informācijas aizsardzība nav nepieciešama, norāda Microsoft.
Drošības aizsardzības virtualizēšana
Credential Guard, kas pieejams tikai operētājsistēmai Windows 10 Enterprise un Education, var izolēt “noslēpumus”, izmantojot uz virtualizāciju balstītu drošību (VBS) un ierobežot piekļuvi priviliģētai sistēmas programmatūrai. Tas palīdz bloķēt hash-hash uzbrukumus, lai gan drošības pētnieki nesen ir atraduši veidus, kā apiet aizsardzību. Pat tad, ja jums ir Credential Guard, tas joprojām ir labāk nekā nav tā vispār. Tas darbojas tikai x64 sistēmās, un tam ir nepieciešama UEFI 2.3.1 vai jaunāka versija. Jāaktivizē tādi virtualizācijas paplašinājumi kā Intel VT-x, AMD-V un SLAT, kā arī IOMMU, piemēram, Intel VT-d, AMD-Vi un BIOS Lockdown. TPM 2.0 ir ieteicams, lai iespējotu ierīces veselības apstiprināšanu Credential Guard, bet, ja TPM nav pieejams, tā vietā var izmantot programmatūras bāzes aizsardzības līdzekļus.
Vēl viena Windows 10 uzņēmuma un izglītības funkcija ir virtuālais drošais režīms, kas ir Hyper-V konteiners, kas aizsargā Windows saglabātos domēna akreditācijas datus.
