Zakaz wyjścia! Utwardzaj system Windows 10 dla maksymalnego bezpieczeństwa

Być może słyszałeś, że Microsoft uczynił system Windows 10 bezpieczniejszym niż którykolwiek z jego poprzedników, pakując go w zabezpieczenia. Możesz nie wiedzieć, że niektóre z tych osławionych funkcji bezpieczeństwa nie są dostępne po wyjęciu z pudełka lub wymagają dodatkowego sprzętu - możesz nie uzyskać poziomu bezpieczeństwa, o który się toczyłeś.

Funkcje takie jak Credential Guard są dostępne tylko dla niektórych wersji systemu Windows 10, a zaawansowane dane biometryczne obiecane przez Windows Hello wymagają sporej inwestycji w sprzęt innej firmy. Windows 10 może być najbezpieczniejszym systemem operacyjnym Windows do tej pory, ale organizacja znająca się na bezpieczeństwie - i indywidualny użytkownik - musi pamiętać o następujących wymaganiach sprzętowych i wersji systemu Windows 10, aby odblokować funkcje niezbędne do osiągnięcia optymalnego bezpieczeństwa .

Uwaga: obecnie istnieją cztery wersje desktopowe systemu Windows 10 - Home, Pro, Enterprise i Education - wraz z wieloma wersjami każdego z nich, oferujące różne poziomy oprogramowania beta i Preview. Woody Leonard opisuje, której wersji systemu Windows 10 użyć. Poniższy przewodnik dotyczący zabezpieczeń systemu Windows 10 koncentruje się na standardowych instalacjach systemu Windows 10 - a nie na podglądach informacji poufnych ani na gałęzi obsługi długoterminowej - i zawiera rocznicową aktualizację, jeśli jest to konieczne.

Właściwy sprzęt

Windows 10 rzuca szeroką sieć, przy minimalnych wymaganiach sprzętowych, które są mało wymagające. Jeśli masz następujące elementy, możesz uaktualnić system z Win7 / 8.1 do Win10: procesor 1 GHz lub szybszy, 2 GB pamięci (dla aktualizacji rocznicowej), 16 GB (dla 32-bitowego systemu operacyjnego) lub 20 GB (64-bitowy system operacyjny ) miejsce na dysku, kartę graficzną DirectX 9 lub nowszą ze sterownikiem WDDM 1.0 i wyświetlacz o rozdzielczości 800 na 600 (ekrany 7-calowe lub większe). To opisuje prawie każdy komputer z ostatniej dekady.

Ale nie oczekuj, że Twoja maszyna bazowa będzie w pełni bezpieczna, ponieważ powyższe minimalne wymagania nie obsługują wielu funkcji opartych na kryptografii w systemie Windows 10. Funkcje kryptograficzne Win10 wymagają modułu Trusted Platform Module 2.0, który zapewnia bezpieczny obszar przechowywania danych kryptograficznych kluczy i służy do szyfrowania haseł, uwierzytelniania kart chipowych, bezpiecznego odtwarzania multimediów w celu zapobiegania piractwu, ochrony maszyn wirtualnych oraz zabezpieczania aktualizacji sprzętu i oprogramowania przed manipulacją, między innymi.

Nowoczesne procesory AMD i Intel (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) już obsługują TPM 2.0, więc większość komputerów zakupionych w ciągu ostatnich kilku lat ma niezbędny chip. Na przykład usługa zdalnego zarządzania Intel vPro wykorzystuje moduł TPM do autoryzacji zdalnych napraw komputera. Warto jednak sprawdzić, czy w każdym aktualizowanym systemie istnieje TPM 2.0, zwłaszcza biorąc pod uwagę, że Anniversary Update wymaga obsługi TPM 2.0 w oprogramowaniu układowym lub jako oddzielny fizyczny układ. Nowy komputer lub systemy instalujące system Windows 10 od podstaw muszą mieć moduł TPM 2.0 od samego początku, co oznacza posiadanie certyfikatu klucza poręczenia (EK) wstępnie udostępnionego przez dostawcę sprzętu w momencie jego wysyłki. Alternatywnie, urządzenie można skonfigurować tak, aby pobierało certyfikat i zapisywał go w module TPM przy pierwszym uruchomieniu.

Starsze systemy, które nie obsługują TPM 2.0 - albo dlatego, że nie mają zainstalowanego chipa, albo są na tyle stare, że mają tylko moduł TPM 1.2 - będą musiały zainstalować układ obsługujący TPM 2.0. W przeciwnym razie nie będą mogli w ogóle zaktualizować do Rocznicowej Aktualizacji.

Chociaż niektóre funkcje zabezpieczeń działają z TPM 1.2, lepiej jest uzyskać TPM 2.0, gdy tylko jest to możliwe. TPM 1.2 pozwala tylko na algorytm mieszania RSA i SHA-1, a biorąc pod uwagę, że migracja SHA-1 do SHA-2 jest już w toku, trzymanie się TPM 1.2 jest problematyczne. TPM 2.0 jest znacznie bardziej elastyczny, ponieważ obsługuje algorytm SHA-256 i kryptografię krzywych eliptycznych.

Unified Extensible Firmware Interface (UEFI) BIOS to kolejny element niezbędny do osiągnięcia najbezpieczniejszego działania systemu Windows 10. Urządzenie musi być dostarczane z włączonym systemem UEFI BIOS, aby umożliwić bezpieczne uruchamianie, co gwarantuje, że tylko oprogramowanie systemu operacyjnego, jądra i moduły jądra podpisane znanym kluczem mogą być wykonywane podczas rozruchu. Secure Boot blokuje rootkity i złośliwe oprogramowanie BIOS przed wykonywaniem złośliwego kodu. Bezpieczne uruchamianie wymaga oprogramowania układowego obsługującego UEFI v2.3.1 Errata B i posiadającego urząd certyfikacji systemu Microsoft Windows w bazie danych sygnatur UEFI. Chociaż jest to dobrodziejstwo z punktu widzenia bezpieczeństwa, Microsoft wyznaczający Bezpieczny rozruch jako obowiązkowy dla systemu Windows 10 wywołał kontrowersje, ponieważ utrudnia uruchamianie niepodpisanych dystrybucji Linuksa (takich jak Linux Mint) na sprzęcie obsługującym system Windows 10.

Aktualizacja rocznicowa nie zostanie zainstalowana, chyba że Twoje urządzenie jest zgodne z UEFI 2.31 lub nowszym.

Krótka lista funkcji i wymagań sprzętowych systemu Windows 10
Funkcja Windows 10 TPM Jednostka zarządzająca pamięcią wejścia / wyjścia Rozszerzenia wirtualizacji LISTWA UEFI 2.3.1 Tylko dla architektury x64
Ochrona poświadczeń Zalecana Nieużywany wymagany wymagany wymagany wymagany
Device Guard Nieużywany wymagany wymagany wymagany wymagany wymagany
BitLocker Zalecana Nie wymagane Nie wymagane Nie wymagane Nie wymagane Nie wymagane
Konfigurowalna integralność kodu Nie wymagane Nie wymagane Nie wymagane Nie wymagane Zalecana Zalecana
Microsoft Hello Zalecana Nie wymagane Nie wymagane Nie wymagane Nie wymagane Nie wymagane
VBS Nie wymagane wymagany wymagany wymagany Nie wymagane wymagany
Bezpieczny rozruch UEFI Zalecana Nie wymagane Nie wymagane Nie wymagane wymagany Nie wymagane
Poświadczenie stanu urządzenia poprzez Measured Boot Wymaga modułu TPM 2.0 Nie wymagane Nie wymagane Nie wymagane wymagany wymagany

Udoskonalenie uwierzytelniania, tożsamości

Bezpieczeństwo hasła było poważnym problemem w ciągu ostatnich kilku lat, a Windows Hello przybliża nas do świata wolnego od haseł, ponieważ integruje i rozszerza biometryczne logowanie i uwierzytelnianie dwuskładnikowe w celu „rozpoznawania” użytkowników bez haseł. Windows Hello jest jednocześnie najbardziej dostępną i niedostępną funkcją bezpieczeństwa systemu Windows 10. Tak, jest dostępna we wszystkich edycjach Win10, ale wymaga znacznych inwestycji w sprzęt, aby w pełni wykorzystać to, co ma do zaoferowania.

Aby chronić poświadczenia i klucze, Hello wymaga modułu TPM 1.2 lub nowszego. Ale w przypadku urządzeń, na których moduł TPM nie jest zainstalowany ani skonfigurowany, Hello może używać ochrony programowej do zabezpieczania poświadczeń i kluczy, dzięki czemu Windows Hello jest dostępny dla prawie każdego urządzenia z systemem Windows 10.

Jednak najlepszym sposobem korzystania z Hello jest przechowywanie danych biometrycznych i innych informacji uwierzytelniających we wbudowanym układzie TPM, ponieważ ochrona sprzętowa utrudnia atakującym ich kradzież. Ponadto, aby w pełni wykorzystać uwierzytelnianie biometryczne, konieczny jest dodatkowy sprzęt - taki jak specjalistyczna podświetlana kamera na podczerwień lub dedykowany czytnik tęczówki lub linii papilarnych. Większość laptopów klasy biznesowej i kilka linii laptopów konsumenckich jest dostarczanych ze skanerami linii papilarnych, umożliwiając firmom rozpoczęcie pracy z Hello w dowolnej wersji systemu Windows 10. Jednak rynek jest nadal ograniczony, jeśli chodzi o kamery 3D wykrywające głębię do rozpoznawania twarzy i siatkówki. skanery do skanowania tęczówki, więc bardziej zaawansowana biometria Windows Hello to przyszła możliwość dla większości, a nie codzienna rzeczywistość.

Dostępne dla wszystkich wersji systemu Windows 10, Windows Hello Companion Devices to platforma umożliwiająca użytkownikom korzystanie z urządzenia zewnętrznego - takiego jak telefon, karta dostępu lub urządzenie do noszenia - jako jednego lub więcej czynników uwierzytelniających dla Hello. Użytkownicy zainteresowani pracą z urządzeniem pomocniczym Windows Hello w celu przemieszczania się z poświadczeniami Windows Hello między wieloma systemami Windows 10 muszą mieć zainstalowaną wersję Pro lub Enterprise na każdym z nich.

Wcześniej system Windows 10 miał usługę Microsoft Passport, która umożliwiała użytkownikom logowanie się do zaufanych aplikacji za pomocą poświadczeń Hello. Wraz z aktualizacją rocznicową Passport nie istnieje już jako osobna funkcja, ale jest włączony do Hello. Aplikacje innych firm korzystające ze specyfikacji Fast Identity Online (FIDO) będą mogły obsługiwać logowanie jednokrotne za pomocą funkcji Hello. Na przykład aplikacja Dropbox może być uwierzytelniana bezpośrednio przez Hello, a przeglądarka Microsoft Edge umożliwia integrację z Hello w celu rozszerzenia na sieć. Możliwe jest również włączenie tej funkcji na platformie zarządzania urządzeniami mobilnymi innej firmy. Nadchodzi przyszłość bez hasła, ale jeszcze nie całkiem.

Ochrona przed złośliwym oprogramowaniem

Windows 10 wprowadza również Device Guard, technologię, która stawia na głowie tradycyjny program antywirusowy. Device Guard blokuje urządzenia z systemem Windows 10, polegając na białych listach, aby umożliwić instalowanie tylko zaufanych aplikacji. Programy nie mogą działać, chyba że zostaną określone jako bezpieczne przez sprawdzenie podpisu kryptograficznego pliku, co zapewnia, że ​​nie mogą zostać uruchomione żadne niepodpisane aplikacje i złośliwe oprogramowanie. Device Guard opiera się na własnej technologii wirtualizacji Hyper-V firmy Microsoft, aby przechowywać swoje białe listy na chronionej maszynie wirtualnej, do której administratorzy systemu nie mają dostępu ani nie mogą manipulować. Aby skorzystać z funkcji Device Guard, na komputerach musi być zainstalowany system Windows 10 Enterprise lub Education oraz obsługa modułu TPM, sprzętowej wirtualizacji procesora CPU i wirtualizacji we / wy. Device Guard opiera się na hartowaniu systemu Windows, takim jak Secure Boot.

AppLocker, dostępny tylko dla przedsiębiorstw i edukacji, może być używany z funkcją Device Guard do konfigurowania zasad integralności kodu. Na przykład administratorzy mogą zdecydować o ograniczeniu uniwersalnych aplikacji ze Sklepu Windows, które można zainstalować na urządzeniu. 

Konfigurowalna integralność kodu to kolejny składnik systemu Windows, który sprawdza, czy uruchomiony kod jest zaufany i mądry. Integralność kodu trybu jądra (KMCI) uniemożliwia jądru wykonywanie niepodpisanych sterowników. Administratorzy mogą zarządzać zasadami na poziomie urzędu certyfikacji lub wydawcy, a także indywidualnymi wartościami skrótu dla każdego binarnego pliku wykonywalnego. Ponieważ większość powszechnego szkodliwego oprogramowania jest zwykle niepodpisana, wdrożenie zasad integralności kodu umożliwia organizacjom natychmiastową ochronę przed niepodpisanym złośliwym oprogramowaniem.

Program Windows Defender, wydany po raz pierwszy jako samodzielne oprogramowanie dla systemu Windows XP, stał się domyślnym pakietem ochrony przed złośliwym oprogramowaniem firmy Microsoft, z oprogramowaniem antyspyware i antywirusem, w systemie Windows 8. Defender jest automatycznie wyłączany po zainstalowaniu pakietu ochrony przed złośliwym oprogramowaniem innej firmy. Jeśli nie ma zainstalowanego konkurencyjnego programu antywirusowego ani produktu zabezpieczającego, upewnij się, że usługa Windows Defender, dostępna we wszystkich wersjach i bez określonych wymagań sprzętowych, jest włączona. Użytkownicy systemu Windows 10 Enterprise mogą skorzystać z zaawansowanej ochrony przed zagrożeniami w usłudze Windows Defender, która oferuje analizę zagrożeń behawioralnych w czasie rzeczywistym w celu wykrywania ataków online.

Zabezpieczanie danych

Funkcja BitLocker, która zabezpiecza pliki w zaszyfrowanym kontenerze, istnieje od czasu systemu Windows Vista i jest lepsza niż kiedykolwiek w systemie Windows 10. Dzięki Anniversary Update narzędzie do szyfrowania jest dostępne w wersjach Pro, Enterprise i Education. Podobnie jak Windows Hello, funkcja BitLocker działa najlepiej, jeśli do ochrony kluczy szyfrowania jest używany moduł TPM, ale może również używać ochrony klucza opartego na oprogramowaniu, jeśli moduł TPM nie istnieje lub nie jest skonfigurowany. Ochrona funkcji BitLocker za pomocą hasła zapewnia najbardziej podstawową ochronę, ale lepszą metodą jest użycie karty inteligentnej lub systemu szyfrowania plików w celu utworzenia certyfikatu szyfrowania plików w celu ochrony powiązanych plików i folderów.

Gdy funkcja BitLocker jest włączona na dysku systemowym i ochrona siłowa jest włączona, system Windows 10 może ponownie uruchomić komputer i zablokować dostęp do dysku twardego po określonej liczbie prób podania nieprawidłowego hasła. Użytkownicy musieliby wpisać 48-znakowy klucz odzyskiwania funkcji BitLocker, aby uruchomić urządzenie i uzyskać dostęp do dysku. Aby włączyć tę funkcję, system musiałby mieć oprogramowanie układowe UEFI w wersji 2.3.1 lub nowszej.

Windows Information Protection, dawniej Enterprise Data Protection (EDP), jest dostępny tylko w wersjach Windows 10 Pro, Enterprise lub Education. Zapewnia trwałe szyfrowanie na poziomie plików i podstawowe zarządzanie prawami, a także integruje się z usługami Azure Active Directory i Rights Management. Ochrona informacji wymaga pewnego rodzaju zarządzania urządzeniami mobilnymi - Microsoft Intune lub platformy innej firmy, takiej jak AirWatch firmy VMware - lub System Center Configuration Manager (SCCM) do zarządzania ustawieniami. Administrator może zdefiniować listę aplikacji Windows Store lub aplikacji komputerowych, które mają dostęp do danych służbowych, lub całkowicie je zablokować. Ochrona informacji systemu Windows pomaga kontrolować, kto może uzyskać dostęp do danych, aby zapobiec przypadkowemu wyciekowi informacji. Usługa Active Directory ułatwia zarządzanie, ale nie jest wymagana do korzystania z usługi Information Protection,według Microsoft.

Wirtualizacja zabezpieczeń

Funkcja Credential Guard, dostępna tylko dla Windows 10 Enterprise i Education, może izolować „sekrety” za pomocą zabezpieczeń opartych na wirtualizacji (VBS) i ograniczać dostęp do uprzywilejowanego oprogramowania systemowego. Pomaga blokować ataki typu pass-the-hash, chociaż badacze bezpieczeństwa znaleźli ostatnio sposoby na obejście zabezpieczeń. Mimo to posiadanie funkcji Credential Guard jest nadal lepsze niż jej brak. Działa tylko w systemach x64 i wymaga UEFI 2.3.1 lub nowszego. Muszą być włączone rozszerzenia wirtualizacji, takie jak Intel VT-x, AMD-V i SLAT, a także IOMMU, takie jak Intel VT-d, AMD-Vi i BIOS Lockdown. Zalecany jest moduł TPM 2.0 w celu włączenia zaświadczania o kondycji urządzenia dla funkcji Credential Guard, ale jeśli moduł TPM nie jest dostępny, można zamiast tego użyć zabezpieczeń programowych.

Inną funkcją systemu Windows 10 Enterprise and Education jest Virtual Secure Mode, czyli kontener Hyper-V, który chroni poświadczenia domeny zapisane w systemie Windows.