Izolacija! Stvrdnite Windows 10 za maksimalnu sigurnost

Možda ste čuli da je Microsoft Windows 10 učinio sigurnijim od bilo kojeg prethodnika, spakiravši ga sigurnosnim dodacima. Ono što možda ne znate jest da neke od ovih hvaljenih sigurnosnih značajki nisu dostupne odmah ili zahtijevaju dodatni hardver - možda nećete dobiti razinu sigurnosti za koju ste se dogovorili.

Značajke poput Credential Guard dostupne su samo za određena izdanja sustava Windows 10, dok napredna biometrija koju Windows Hello obećava zahtijeva pozamašno ulaganje u hardver treće strane. Windows 10 možda je najsigurniji operativni sustav Windows do danas, ali sigurnosno pametna organizacija - i pojedinačni korisnik - moraju imati na umu sljedeće zahtjeve za hardverom i izdanjem Windows 10 kako bi otključali potrebne značajke za postizanje optimalne sigurnosti .

Napomena: Trenutno postoje četiri stolna izdanja sustava Windows 10 - Home, Pro, Enterprise i Education - zajedno s više verzija, nudeći različite razine beta i softvera za pregled. Woody Leonard razbija koju verziju sustava Windows 10 koristiti. Sljedeći sigurnosni vodič za Windows 10 usredotočen je na standardne instalacije sustava Windows 10 - ne na Insider Previews ili Long Term Servicing Branch - i uključuje Anniversary Update gdje je to potrebno.

Pravi hardver

Windows 10 emitira široku mrežu s minimalnim hardverskim zahtjevima koji su nezahtjevni. Sve dok imate sljedeće, dobro je nadograditi sa Win7 / 8.1 na Win10: 1 GHz ili brži procesor, 2 GB memorije (za obljetnicu ažuriranja), 16 GB (za 32-bitni OS) ili 20 GB (64-bitni OS) ) prostora na disku, grafičke kartice DirectX 9 ili novije s WDDM 1.0 pokretačkim programom i zaslona rezolucije 800 x 600 (7-inčni ili veći zasloni). To opisuje gotovo svako računalo iz proteklog desetljeća.

Ali nemojte očekivati ​​da će vaš osnovni stroj biti potpuno siguran, jer gore navedeni minimalni zahtjevi neće podržati mnoge mogućnosti zasnovane na kriptografiji u sustavu Windows 10. Za kriptografske značajke Win10-a potreban je Trusted Platform Module 2.0, koji pruža sigurno područje za pohranu kriptografskih podataka tipki i koristi se za šifriranje lozinki, provjeru autentičnosti pametnih kartica, sigurnu reprodukciju medija radi sprečavanja piratstva, zaštitu VM-a i osiguravanje ažuriranja hardvera i softvera od neovlaštenog rada, između ostalih funkcija.

Moderni AMD i Intel procesori (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) već podržavaju TPM 2.0, tako da većina strojeva kupljenih u posljednjih nekoliko godina ima potreban čip. Intelova usluga vPro za daljinsko upravljanje, na primjer, koristi TPM za autorizaciju daljinskih popravaka računala. No, vrijedi provjeriti postoji li TPM 2.0 na bilo kojem sustavu koji nadogradite, posebno s obzirom da Anniversary Update zahtijeva podršku TPM 2.0 u firmwareu ili kao zasebni fizički čip. Novo računalo ili sustavi koji instaliraju Windows 10 od nule, moraju imati TPM 2.0 od početka, što znači da treba imati certifikat o potvrdi (EK) koji je unaprijed predvidio dobavljač hardvera prilikom isporuke. Uređaj se može konfigurirati za preuzimanje certifikata i pohranjivanje u TPM prilikom prvog pokretanja.

Stariji sustavi koji ne podržavaju TPM 2.0 - bilo zato što nemaju instaliran čip ili su dovoljno stari da imaju samo TPM 1.2 - morat će instalirati čip s omogućenom TPM 2.0. U suprotnom, uopće neće moći nadograditi na Anniversary Update.

Iako neke sigurnosne značajke rade s TPM 1.2, bolje je nabaviti TPM 2.0 kad god je to moguće. TPM 1.2 dopušta samo algoritam hashiranja RSA i SHA-1, a s obzirom na to da je migracija SHA-1 u SHA-2 već u tijeku, pridržavanje TPM 1.2 je problematično. TPM 2.0 je puno fleksibilniji jer podržava SHA-256 i kriptografiju eliptične krivulje.

Objedinjeno proširivo sučelje firmware-a (UEFI) BIOS sljedeći je dio hardvera za postizanje najsigurnijeg Windows 10 iskustva. Uređaj treba isporučiti s omogućenim UEFI BIOS-om kako bi se omogućilo sigurno pokretanje, što osigurava da se samo operativni sustav, jezgre i moduli jezgre potpisani poznatim ključem mogu izvršavati tijekom pokretanja. Sigurno pokretanje blokira rootkite i BIOS-malware da izvršavaju zlonamjerni kôd. Sigurno pokretanje zahtijeva firmware koji podržava UEFI v2.3.1 Errata B i ima Microsoft Windows certifikacijsko tijelo u bazi podataka UEFI potpisa. Iako je blagodat iz sigurnosne perspektive, Microsoft koji je Secure Boot odredio kao obavezan za Windows 10 naišao je na kontroverzu, jer otežava pokretanje nepotpisanih Linux distribucija (poput Linux Mint) na hardveru koji podržava Windows 10.

Ažuriranje obljetnice neće se instalirati ako vaš uređaj nije u skladu s UEFI 2.31 ili novijim.

Kratki popis značajki i hardverskih zahtjeva za sustav Windows 10
Značajka sustava Windows 10 TPM Jedinica za upravljanje ulazno / izlaznom memorijom Proširenja za virtualizaciju LETVICA UEFI 2.3.1 Samo za x64 arhitekturu
Vjerodajnica Preporučeno Ne koristi se Potreban Potreban Potreban Potreban
Zaštita uređaja Ne koristi se Potreban Potreban Potreban Potreban Potreban
BitLocker Preporučeno Nije obavezno Nije obavezno Nije obavezno Nije obavezno Nije obavezno
Integritet koda koji se može konfigurirati Nije obavezno Nije obavezno Nije obavezno Nije obavezno Preporučeno Preporučeno
Microsoft Hello Preporučeno Nije obavezno Nije obavezno Nije obavezno Nije obavezno Nije obavezno
VBS Nije obavezno Potreban Potreban Potreban Nije obavezno Potreban
UEFI sigurno podizanje sustava Preporučeno Nije obavezno Nije obavezno Nije obavezno Potreban Nije obavezno
Potvrda ispravnosti uređaja putem mjerenog pokretanja Zahtijeva TPM 2.0 Nije obavezno Nije obavezno Nije obavezno Potreban Potreban

Pojačava autentičnost, identitet

Sigurnost lozinke važan je problem u posljednjih nekoliko godina, a Windows Hello približava nas svijetu bez lozinki jer integrira i proširuje biometrijske prijave i dvofaktorsku autentifikaciju kako bi "prepoznao" korisnike bez lozinki. Windows Hello također uspijeva biti istovremeno najpristupačnija i najnepristupačnija sigurnosna značajka sustava Windows 10. Da, dostupan je u svim izdanjima Win10, ali zahtijeva značajna hardverska ulaganja kako bi se iskoristilo najviše što nudi.

Da bi zaštitio vjerodajnice i ključeve, Hello zahtijeva TPM 1.2 ili noviji. Ali za uređaje na kojima TPM nije instaliran ili konfiguriran, Hello umjesto toga može koristiti zaštitu zasnovanu na softveru kako bi osigurao vjerodajnice i ključeve, tako da je Windows Hello dostupan gotovo svim Windows 10 uređajima.

Ali najbolji način korištenja Hello je pohranjivanje biometrijskih podataka i ostalih podataka za provjeru autentičnosti u ugrađeni TPM čip, jer hardverska zaštita otežava napadačima da ih ukradu. Nadalje, da bi se u potpunosti iskoristila biometrijska provjera autentičnosti, potreban je dodatni hardver - poput specijalizirane osvijetljene infracrvene kamere ili namjenskog čitača šarenice ili otiska prsta. Većina prijenosnih računala poslovne klase i nekoliko linija potrošačkih prijenosnih računala isporučuju se sa skenerima otiska prsta, što omogućava tvrtkama da započnu s upotrebom programa Hello u bilo kojem izdanju sustava Windows 10. No tržište je i dalje ograničeno kada je riječ o 3D kamerama s prepoznavanjem dubine za prepoznavanje lica i mrežnicu skeneri za skeniranje šarenice, tako da je naprednija biometrija sustava Windows Hello za većinu buduća mogućnost, a ne svakodnevna stvarnost.

Dostupan za sva izdanja sustava Windows 10, Windows Hello Companion Devices okvir je koji omogućava korisnicima da koriste vanjski uređaj - poput telefona, pristupne kartice ili nosive opreme - kao jedan ili više čimbenika provjere autentičnosti za Hello. Korisnici zainteresirani za rad s Windows Hello Companion Device kako bi se kretali sa svojim vjerodajnicama Windows Hello između više Windows 10 sustava moraju na svakom instalirati Pro ili Enterprise.

Windows 10 ranije je imao Microsoft Passport, koji je omogućavao korisnicima prijavu u pouzdane programe putem vjerodajnica Hello. Uz Anniversary Update, Passport više ne postoji kao zasebna značajka, već je ugrađen u Hello. Aplikacije trećih strana koje koriste specifikaciju Fast Identity Online (FIDO) moći će podržati jedinstvenu prijavu putem Hello. Na primjer, aplikacija Dropbox može se provjeriti autentičnost izravno putem Hello, a Microsoftov preglednik Edge omogućuje integraciju s Hello kako bi se proširio na web. Značajku je moguće uključiti i u platformi za upravljanje mobilnim uređajima treće strane. Budućnost bez lozinke dolazi, ali još ne sasvim.

Uklanjanje zlonamjernog softvera

Windows 10 također uvodi Device Guard, tehnologiju koja na glavu prevrće tradicionalni antivirus. Device Guard zaključava uređaje sa sustavom Windows 10, oslanjajući se na dopuštene popise koji omogućavaju instaliranje samo pouzdanih aplikacija. Programi se ne smiju izvoditi ako nisu utvrđeni kao sigurni provjerom kriptografskog potpisa datoteke, što osigurava da se sve nepotpisane aplikacije i zlonamjerni softver ne mogu izvršiti. Device Guard oslanja se na Microsoftovu vlastitu tehnologiju virtualizacije Hyper-V kako bi pohranio svoje dopuštene liste u zaštićeni virtualni stroj kojem administratori sustava ne mogu pristupiti niti se u njega miješati. Da bi iskoristili prednost Device Guard, strojevi moraju pokretati Windows 10 Enterprise ili Education i podržavati TPM, hardversku virtualizaciju CPU-a i I / O virtualizaciju. Device Guard oslanja se na otvrdnjavanje sustava Windows, poput sigurnog pokretanja.

AppLocker, dostupan samo za poduzeća i obrazovanje, može se koristiti s Device Guardom za postavljanje pravila integriteta koda. Na primjer, administratori mogu odlučiti ograničiti koji univerzalni programi iz Windows trgovine mogu biti instalirani na uređaj. 

Integritet koda koji se može konfigurirati je još jedna komponenta sustava Windows koja provjerava je li kôd koji se izvodi pouzdan i mudar. Integritet koda načina jezgre (KMCI) sprječava kernel da izvršava nepotpisane upravljačke programe. Administratori mogu upravljati pravilima na razini tijela za izdavanje certifikata ili izdavača, kao i pojedinačnim hash vrijednostima za svaku binarnu izvršnu datoteku. Budući da velik dio robnog zlonamjernog softvera ima tendenciju da bude nepotpisan, postavljanje pravila o integritetu koda omogućuje organizacijama da se odmah zaštite od nepotpisanih zlonamjernih programa.

Windows Defender, prvi put izdan kao samostalni softver za Windows XP, postao je Microsoftov zadani paket zaštite od zlonamjernog softvera, s antispyware-om i antivirusom, u sustavu Windows 8. Defender se automatski onemogućava kada se instalira neovisni antimalware paket. Ako nije instaliran konkurentski antivirusni ili sigurnosni proizvod, provjerite je li uključen Windows Defender, dostupan u svim izdanjima i bez specifičnih hardverskih zahtjeva. Za korisnike Windows 10 Enterprisea postoji napredni sustav zaštite od prijetnji Windows Defender koji nudi analizu prijetnji u ponašanju u stvarnom vremenu za otkrivanje mrežnih napada.

Osiguravanje podataka

BitLocker, koji osigurava datoteke u šifriranom spremniku, postoji od sustava Windows Vista, a bolji je nego ikad do danas u sustavu Windows 10. Uz Anniversary Update, alat za šifriranje dostupan je za izdanja Pro, Enterprise i Education. Slično kao i Windows Hello, BitLocker najbolje radi ako se TPM koristi za zaštitu ključeva šifriranja, ali također može koristiti zaštitu ključeva zasnovanu na softveru ako TPM ne postoji ili nije konfiguriran. Zaštita BitLockera lozinkom pruža najosnovniju obranu, ali bolja metoda je upotreba pametne kartice ili datotečnog sustava za šifriranje za stvaranje certifikata o šifriranju datoteka za zaštitu pridruženih datoteka i mapa.

Kad je BitLocker omogućen na sistemskom pogonu i omogućena je gruba zaštita, Windows 10 može ponovno pokrenuti računalo i zaključati pristup tvrdom disku nakon određenog broja pogrešnih pokušaja lozinke. Korisnici bi morali upisati ključ za oporavak BitLockera od 48 znakova da bi pokrenuli uređaj i pristupili disku. Da bi omogućio ovu značajku, sustav bi trebao imati UEFI firmware verzije 2.3.1 ili noviju.

Windows zaštita podataka, ranije Enterprise Data Protection (EDP), dostupna je samo za izdanja Windows 10 Pro, Enterprise ili Education. Pruža trajno šifriranje na razini datoteke i upravljanje osnovnim pravima, istovremeno integrirajući se s uslugama Azure Active Directory i Upravljanje pravima. Zaštita podataka zahtijeva neku vrstu upravljanja mobilnim uređajima - Microsoft Intune ili platformu treće strane, poput VMware-ovog AirWatch - ili System Center Configuration Manager (SCCM) za upravljanje postavkama. Administrator može definirati popis Windows Store ili desktop aplikacija koje mogu pristupiti radnim podacima ili ih u potpunosti blokirati. Windows zaštita podataka pomaže kontrolirati tko može pristupiti podacima kako bi se spriječilo slučajno curenje podataka. Active Directory olakšava upravljanje, ali nije obvezan koristiti zaštitu podataka,prema Microsoftu.

Virtualizacija sigurnosnih obrana

Credential Guard, dostupan samo za Windows 10 Enterprise i Education, može izolirati „tajne“ pomoću sigurnosti zasnovane na virtualizaciji (VBS) i ograničiti pristup privilegiranom softveru sustava. Pomaže u blokiranju pass-the-hash napada, iako su istraživači sigurnosti nedavno pronašli načine da zaobiđu zaštitu. Unatoč tome, posjedovanje Credential Guard-a ipak je bolje nego što ga nemate uopće. Izvodi se samo na x64 sustavima i zahtijeva UEFI 2.3.1 ili noviji. Moraju biti omogućena proširenja za virtualizaciju poput Intel VT-x, AMD-V i SLAT, kao i IOMMU poput Intel VT-d, AMD-Vi i BIOS Lockdown. Preporučuje se TPM 2.0 kako bi se omogućilo potvrđivanje stanja uređaja za zaštitu vjerodajnica, ali ako TPM nije dostupan, umjesto njega se mogu koristiti softverske zaštite.

Još jedna značajka sustava Windows 10 za poduzeće i obrazovanje je Virtual Secure Mode, koji je Hyper-V spremnik koji štiti vjerodajnice domene spremljene u sustavu Windows.