Контроль работоспособности устройств под управлением Windows 10

В этой статье представлен обзор комплексного решения, позволяющего защитить особо ценные активы путем принудительного исполнения, контроля и создания отчетов о работоспособности устройств под управлением Windows 10.

Введение

В сценариях использования собственных устройств на рабочем месте сотрудники приносят имеющиеся в продаже устройства и осуществляют с них доступ как к рабочим ресурсам, так и к личным данным. Пользователи стремятся использовать устройство по своему выбору для доступа к приложениям, данным и ресурсам организации не только из внутренней сети, но также и из любого места. Это явление также называют консьюмеризацией информационных технологий.

Пользователи стремятся получить наиболее высокие показатели производительности при доступе к корпоративным приложениям и во время работы с корпоративными данными при помощи собственных устройств. Это означает, что ввод своих рабочих учетных данных всякий раз при доступе к приложению или файловому серверу будет для них неприемлемым. С точки зрения безопасности это также означает, что пользователи будут использовать корпоративные учетные и другие данные на устройствах, не подконтрольных своей организации.

По мере роста использования собственных устройств в сети будет присутствовать все больше неподконтрольных и потенциально зараженных устройств, обращающихся к корпоративным службам, внутренним ресурсам и облачным приложениям.

Даже подконтрольные устройства могут быть взломаны и принести вред сети. Организациям необходимо обнаруживать случаи нарушения безопасности и реагировать как можно раньше, чтобы защитить особо ценные активы.

По мере прогресса технологий Майкрософт вложения в безопасность все больше сосредотачиваются на превентивных мерах, а также на способностях обнаружения и реакции на атаки.

Windows 10 представляет собой важный компонент комплексного решения по обеспечению безопасности, которое реализует превентивные методы защиты не только путем добавления возможностей аттестации работоспособности системы в состав систем безопасности в целом.

Описание надежного комплексного решения для обеспечения безопасности

Анализ современной обстановки с точки зрения угроз указывает на их рост с ранее невиданной скоростью. Атаки с преступными намерениями становятся все изощреннее, поэтому нет сомнений в том, что вредоносное программное обеспечение сегодня направлено как на потребителей, так и на профессионалов во всех отраслях.

В последние годы стала доминирующей одна конкретная категория угроз: целенаправленные устойчивые угрозы (APT). Сам термин "Целенаправленные устойчивые угрозы" обычно используется для описания любых атак, которые, как представляется, направлены на отдельные организации и происходят постоянно. Фактически, при этом типе атак обычно фигурируют злоумышленники, поставившие себе определенную цель и которые могут использовать любые необходимые методы и технологии.

В среде использования собственных устройств на рабочем месте плохо обслуживаемое устройство представляет собой лакомую цель. Для злоумышленника такие устройства представляют собой легкий способ проникнуть через периметр безопасности сети, получить доступ к интересующим его активам и украсть их.

Злоумышленники делают своей целью конкретных лиц не из-за того, кто они такие, а из-за того, кто их работодатель. Зараженное устройство занесет вредоносное ПО в организацию, даже если в ней имеется укрепленный сетевой периметр или она осуществляла вложения в стратегию защиты. Против таких угроз оборонительной стратегии недостаточно.

Другой подход

В отличие от традиционного подхода, когда во главу угла ставится предотвращение взлома, эффективная стратегия безопасности предполагает, что злоумышленники, поставившие себе цель, успешно проникнут сквозь любые системы защиты. Это означает, что необходимо отвлечься от превентивных элементов управления безопасностью в пользу обнаружения проблем с безопасностью и реакции на них. Поэтому при реализации стратегии управления рисками требуется баланс вложений в предотвращение, обнаружение и реакцию.

Поскольку мобильные устройства все чаще используются для доступа к информации, являющейся корпоративной собственностью, некоторые способы оценки безопасности или работоспособности устройств абсолютно необходимы. В этом разделе описано, как обеспечить оценку работоспособности устройств так, чтобы высокоценные активы оставались защищенными от воздействия зараженных устройств.

Устройства, которые используются для доступа к корпоративным ресурсам, должны быть доверенными. Эффективный комплексный подход к обеспечению безопасности должен давать возможность оценивать работоспособность устройства и использовать текущее состояние безопасности при принятии решения о предоставлении доступа к высокоценному активу.

Чтобы признать архитектуру подобных систем надежной, необходимо установить личность пользователя, усилить способ проверки подлинности, если это необходимо, и учитывать, например, местоположение сети, из которого данный пользователь регулярно устанавливает подключение. Кроме того, современный подход должен обеспечивать возможность предоставления доступа к конфиденциальным материалам, только если определено, что пользовательские устройства являются работоспособными и безопасными.

На следующем рисунке приведено решение, созданное для оценки состояния устройства из облака. Устройство подтверждает подлинность пользователя посредством подключения к поставщику удостоверений в облаке. Если управляемый ресурс содержит высококонфиденциальную информацию, то механизм обеспечения доступа к конфиденциальной информации этого поставщика удостоверений может принять решение о выполнении проверки соответствия мобильного устройства требованиям безопасности перед предоставлением запрашиваемого доступа. Пользовательское устройство может подтвердить свою работоспособность, и эти сведения могут отправляться в любое время или при поступлении запроса от Службы управления мобильными устройствами (MDM).

Устройства Windows можно защитить от низкоуровневых программ rootkit и bootkit при помощи низкоуровневых аппаратных технологий, например, инструментов безопасной загрузки единого расширяемого микропрограммного интерфейса (UEFI).

Безопасная загрузка представляет собой процесс проверки на уровне микропрограммного обеспечения, предназначенный для предотвращения атак с использованием программ rootkit. Эта технология входит в технические характеристики единого расширяемого микропрограммного интерфейса (UEFI). Целью UEFI является определение стандартного способа обмена данными между операционной системой и современным аппаратным обеспечением, которое может обеспечивать более высокую производительность и эффективность при выполнении операций ввода-вывода, в отличие от более старых систем BIOS, использующих прерывания.

Модуль аттестации работоспособности устройства может передавать данные загрузки, защищенные технологией доверенного платформенного модуля (TPM), удаленной службе. После успешной загрузки устройства данные замеров процесса загрузки отправляются в доверенную облачную службу (службу аттестации работоспособности) по более безопасному и защищенному от взлома каналу связи.

Удаленная служба аттестации работоспособности выполняет набор проверок этих измерений. Она проверяет точки данных, связанные с безопасностью, в том числе состояние загрузки (безопасная загрузка, режим отладки и т. п.) и состояние компонентов, призванных управлять безопасностью (BitLocker, Device Guard, и т. п.). Она передает состояние устройства, отправляя зашифрованный большой двоичный объект назад на устройство.

Решение MDM обычно применяет политики конфигурации и выполняет развертывание приложений для устройств. MDM определяет согласованность политик безопасности и получает сведения о соответствии устройства при помощи регулярных проверок с целью определения установленного программного обеспечения и примененной конфигурации, а также определения состояния работоспособности устройства.

Решение MDM просит устройство отправлять сведения о работоспособности устройства, а затем перенаправляет зашифрованный большой двоичный объект с этой информацией удаленной службе аттестации работоспособности. Удаленная служба аттестации работоспособности проверяет данные о работоспособности устройства, проверяет, ведет ли служба MDM обмен данными с одним и тем же устройством, после чего создает отчет о работоспособности устройства для решения MDM.

Решение MDM выполняет оценку данных о работоспособности и в зависимости от правил в отношении работоспособности, действующих в организации, может принять решение о его работоспособности. Если устройство считается работоспособным и соответствующим правилам, MDM передает эти сведения поставщику удостоверений, чтобы можно было вызвать политику управления доступом организации для предоставления доступа.

После этого доступ к содержимому предоставляется до определенного уровня доверия, который связан с данным состоянием работоспособности и другими условными элементами.

В зависимости от требований и конфиденциальности актива, безопасность которого требуется обеспечить, при обработке запроса на доступ состояние работоспособности устройства можно сочетать со сведениями об удостоверении пользователя. Доступ к содержимому после этого разрешается до степени, приемлемой для заданного уровня доверия. Механизм обусловленного доступа можно отрегулировать для выполнения дополнительной проверки с учетом конфиденциальности актива, к которому предоставляется доступ. Например, если запрашивается доступ к данным высокого уровня ценности, возможно, потребуется применить дополнительные политики проверки безопасности путем запроса ответа пользователя на телефонный звонок перед предоставлением доступа.

Вложения, сделанные Майкрософт в технологии безопасности Windows 10

В ОС Windows 10 реализованы три столпа безопасности:

• Безопасные удостоверения. Корпорация Майкрософт участвует в альянсе FIDO, целью которого является предоставление совместимого метода безопасной проверки подлинности с помощью ухода от использования паролей как для проверки подлинности для локальной системы, так и для сетевых и облачных служб.

• Защита информации. Майкрософт инвестирует в то, чтобы организации могли лучше контролировать доступ тех или иных пользователей к важным данным, и то, что они смогут сделать с этими данными. Благодаря Windows 10 организации могут воспользоваться преимуществом политик, в которых указывается, какие приложения считаются корпоративными и могут быть доверенными при доступе к защищаемым данным.

• Сопротивление угрозам. Майкрософт помогает организациям более эффективно защищать корпоративные активы от угроз вредоносного программного обеспечения и атак за счет средств безопасности, опирающихся на аппаратное обеспечение.

Защита, контроль и отчет о состоянии безопасности устройств на базе Windows 10

Настоящий раздел представляет собой обзор, в котором описаны отдельные элементы комплексного решения по обеспечению безопасности, способствующего защите высокоценных активов и данных от злоумышленников и вредоносного ПО.

Номер	Часть решения	Описание
1	Устройство под управлением Windows 10	При первом включении устройства под управлением Windows 10 отображается экран первого запуска. Во время настройки устройство можно автоматически зарегистрировать в службе Azure Active Directory (AD) и в службе MDM. Устройство под управлением Windows 10 с TPM 2.0 может сообщать о состоянии работоспособности в любое время при помощи службы аттестации работоспособности, доступной во всех выпусках Windows 10.
2	Поставщик удостоверений	Azure AD содержит пользователей, зарегистрированные устройства и зарегистрированные приложения клиента организации. Устройство всегда принадлежит пользователю, а у пользователя может быть несколько устройств. Устройство представляется как объект с различными атрибутами, например, состояние соответствия устройства. Доверенное MDM может обновить состояние соответствия. Azure AD представляет собой не просто репозиторий. Azure AD может выполнять проверку подлинности пользователей и устройств, а также разрешить доступ к управляемым ресурсам. В Azure AD встроен механизм управления доступом по условию, использующий удостоверение пользователя, местоположение устройства и состояние соответствия требованиям безопасности устройства при принятии решения о предоставлении доверенного доступа.
3	Управление мобильными устройствами	Windows 10 поддерживает MDM, что позволяет поддерживать управление устройством сразу после установки без развертывания каких-либо приложений-агентов. MDM можно реализовать на базе Microsoft Intune или при помощи любого стороннего решения MDM, совместимого с Windows 10.
4	Удаленная аттестация работоспособности	Служба аттестации работоспособности представляет собой доверенную облачную службу, управляемую Майкрософт, которая выполняет набор проверок работоспособности и сообщает MDM о том, какие функции обеспечения безопасности Windows 10 включены на устройстве. Проверка безопасности включает состояние загрузки (WinPE, безопасный режим, режимы отладки/тестирования и т. д.) и компоненты для управления безопасностью и целостностью операций среды выполнения (т. е. BitLocker, Device Guard).
5	Ресурс, управляемый предприятием	Ресурс, управляемый предприятием, — это ресурс, требующий защиты. Например, ресурсом может быть Office 365, другие облачные приложения, локальные веб-ресурсы, опубликованные Azure AD, или даже доступ через VPN.

 

Сочетание устройств под управлением Windows 10, поставщика удостоверений, службами MDM и удаленной аттестации работоспособности создает надежное комплексное решение, которое обеспечивает проверку работоспособности и соответствия устройств политикам безопасности при доступе к высокоценным активам.

Защита устройств и корпоративных учетных данных от угроз

В этом разделе описаны функции Windows 10, предназначенные для обеспечения безопасности, а также то, какие данные отслеживаются и передаются.

Средства защиты Windows 10, основанные на использовании аппаратного обеспечения

Самые агрессивные формы вредоносного программного обеспечения пытаются встроиться в процесс загрузки как можно раньше, чтобы они могли перехватить управление операционной системой на ранних стадиях и предотвратить работу механизмов защиты и программного обеспечения для защиты от вредоносного ПО. Такой тип вредоносного кода часто называется программой rootkit или bootkit. Наилучшим способом избежать необходимости устранять низкоуровневое вредоносное программное обеспечение является защита процесса загрузки, организованная таким образом, чтобы безопасность устройства обеспечивалась с самого момента запуска.

Windows 10 поддерживает несколько уровней защиты процесса загрузки. Некоторые из этих функций доступны только при наличии аппаратного обеспечения конкретных типов. Дополнительные сведения см. в разделе Требования к оборудованию.

Windows 10 поддерживает функции, предназначенные для блокирования загрузки сложного низкоуровневого вредоносного ПО, в частности, программ rootkit и bootkit, в процессе запуска.

• Доверенный платформенный модуль. Доверенный платформенный модуль (TPM) — это аппаратный компонент, который обеспечивает уникальные функции безопасности.

  Windows 10 использует характеристики безопасности TPM для измерения последовательности целостности загрузки (и на основе полученных результатов для автоматического разблокирования защищенных дисков BitLocker) с целью защиты учетных данных или аттестации работоспособности.

  TPM реализует элементы управления, соответствующие спецификации, описанной организацией TCG. На момент написания данной статьи существует две версии спецификации TPM, разработанной организацией TCG, которые несовместимы между собой.

  • Первая спецификация TPM версии 1.2 была опубликована в феврале 2005 г. организацией TCG и стандартизирована согласно стандарту ISO/IEC 11889.

  • Последняя спецификация TPM, обозначаемая как TPM 2.0, была выпущена в апреле 2014 г. и утверждена Объединенным техническим комитетом (JTC) ISO/IEC как стандарт ISO/IEC 11889:2015.

  Windows 10 использует доверенный платформенный модуль для криптографических вычислений в рамках аттестации работоспособности, а также для защиты ключей для BitLocker, Microsoft Passport, виртуальных смарт-карт и других сертификатов открытых ключей. Дополнительные сведения см. в разделе Требования к доверенному платформенному модулю в Windows 10.

  Windows 10 распознает спецификации TPM версий 1.2 и 2.0, разработанные организацией TCG. Для большинства последних и современных функций безопасности Windows 10 поддерживает только TPM 2.0. TPM 2.0 требуется для аттестации работоспособности устройства.

  В TPM 2.0 предоставлены существенные изменения по сравнению с TPM 1.2.

  • Обновление надежности шифрования для соответствия современным потребностям безопасности

    • Поддержка SHA-256 для PCR

    • Поддержка команды HMAC

  • Гибкость алгоритмов шифрования для поддержки требований правительств

    • Версия TPM 1.2 строго ограничена в отношении того, какие алгоритмы она может поддерживать

    • Версия TPM 2.0 может поддерживать произвольные алгоритмы с незначительными обновлениями документов спецификаций TCG

  • Согласованность между реализациями

    • Спецификация TPM 1.2 предоставляет поставщикам большую широту во время выбора деталей реализации

    • TPM 2.0 унифицирует большую часть этого поведения

• Безопасная загрузка. Устройства со встроенным ПО UEFI можно настроить на загрузку только надежных загрузчиков операционной системы. Для безопасной загрузки не требуется доверенный платформенный модуль.

  Наиболее простой защитой является функция безопасной загрузки — стандартная часть архитектуры UEFI 2.2+. На компьютере с традиционной системой BIOS любой пользователь, который может управлять процессом загрузки, может выполнять загрузку с помощью альтернативного загрузчика ОС и потенциально получить доступ к системным ресурсам. Когда включена безопасная загрузка, вы можете выполнить загрузку только с помощью загрузчика ОС, подписанного с использованием сертификата, хранящегося в базе данных безопасной загрузки UEFI. Естественно, сертификат Майкрософт, который используется для цифровой подписи загрузчиков ОС Windows 10, имеется в этом хранилище, что позволяет UEFI проверить сертификат в рамках политики безопасности. Безопасная загрузка должна быть включена по умолчанию на всех компьютерах, сертифицированных для Windows 10 в рамках программы совместимости оборудования Windows.

  Безопасная загрузка — это функция на основе встроенного ПО UEFI, которая позволяет подписывать и проверять важнейшие файлы и драйверы загрузки во время загрузки. Безопасная загрузка проверяет значения подписи диспетчера загрузки Windows, хранилище данных конфигурации загрузки, файл загрузчика ОС Windows, а также другие важнейшие библиотеки DLL загрузки во время загрузки перед тем, как системе будет разрешено полностью загрузиться в используемую операционную систему, с помощью политик, определяемых изготовителем оборудования на этапе сборки. Безопасная загрузка предотвращает атаки на платформу Windows многих типов программ rootkit на основе загрузки, вредоносного ПО и других атак, связанных с безопасностью. Безопасная загрузка защищает процесс загрузки операционной системы как при загрузке из локального жесткого диска, USB, PXE или DVD-диска, так и при полной загрузке Windows или среды восстановления Windows (RE).

  Безопасная загрузка защищает среду загрузки программы установки Windows 10 путем проверки подписей важнейших компонентов загрузки, чтобы исключить вредоносное воздействие на них. Защита с помощью безопасной загрузки завершается после загрузки файла ядра Windows (ntoskrnl.exe).

  Примечание  

  Безопасная загрузка защищает платформу, пока загружается ядро Windows. Затем включаются такие функции защиты, как ELAM.

   

• Политика конфигурации безопасной загрузки. Дополняет функциональность безопасной загрузки до критической конфигурации Windows 10.

  Примерами сведений о защищенной конфигурации служит защита бита Disable Execute (параметр NX) или обеспечение невозможности включения тестовой политики подписи (целостность кода). Это обеспечивает доверие к двоичным файлам и конфигурации компьютера после завершения процесса загрузки.

  Политика конфигурации безопасной загрузки достигает этого с помощью политики UEFI. Эти подписи для этих политик подписываются аналогично тому, как подписываются двоичные файлы операционной системы для использования с безопасной загрузкой.

  Политика конфигурации безопасной загрузки должна быть подписана закрытым ключом, который соответствует одному из открытых ключей, хранящихся в списке ключа обмена ключами. Центр сертификации Майкрософт (CA) будет присутствовать в списке KEK всех сертифицированных систем безопасной загрузки Windows. По умолчанию политика, подписанная Microsoft KEK, должна работать во всех системах безопасной загрузки. BootMgr должен проверять подпись по списку KEK до применения подписанной политики. В Windows 10 политика конфигурации безопасной загрузки по умолчанию встроена в bootmgr.

  Загрузчик проверяет цифровую подпись ядра Windows 10 перед его загрузкой. Ядро Windows 10, в свою очередь, проверяет все прочие компоненты процесса запуска Windows, включая драйверы загрузки, файлы запуска и компонент ELAM. Этот шаг важен и защищает остаток процесса загрузки, подтверждая, что все компоненты загрузки Windows целостны и заслуживают доверия.

• Ранний запуск вредоносной программы (ELAM). ELAM проверяет все драйверы перед их загрузкой и блокирует загрузку неутвержденных драйверов.

  Традиционные антивредоносные приложения не запускаются до тех пор, пока не будут загружены драйверы загрузки, что позволяет сработать программе rootkit, замаскированной под драйвер. ELAM — это механизм Windows, добавленный в предыдущую версию Windows, который позволяет антивредоносному ПО запускаться на ранней стадии последовательности загрузки. Таким образом, антивредоносный компонент — это первый компонент стороннего разработчика, который запускается и контролирует инициализацию других драйверов загрузки до тех пор, пока ОС Windows не начнет работу. Когда система запускается с полной средой выполнения (с доступом к сети, хранилищем и т. д.), загружается полнофункциональное антивредоносное ПО.

  ELAM может загрузить драйвер антивредоносного ПО Майкрософт или сторонних разработчиков перед загрузкой всех драйверов и приложений загрузки, отличных от Майкрософт, сохраняя таким образом цепочку доверия, установленную безопасной загрузкой и надежной загрузкой. Поскольку операционная система еще не запущена и ОС Windows необходимо загрузиться максимально быстро, у ELAM простая задача: изучить каждый драйвер загрузки и определить, входит ли он в список надежных драйверов. Если он не считается доверенным, Windows его не загружает.

  Примечание  

  Защитник Windows, антивредоносная программа Microsoft, по умолчанию входящая в Windows 10, поддерживает ELAM. Его можно заменить совместимым решением антивредоносной программы сторонних разработчиков. Имя драйвера ELAM Защитника Windows — WdBoot.sys. Защитник Windows в Windows 10 использует свой драйвер ELAM, чтобы откатить все вредоносные изменения, внесенные в драйвер Защитника Windows, при следующей перезагрузке. Это не позволяет вредоносному ПО в режиме ядра вносить постоянные изменения в драйвер мини-фильтра Защитника Windows перед завершением работы или перезагрузкой.

   

  Подписанный драйвер ELAM загружается перед всеми остальными драйверами или приложениями сторонних разработчиков, что позволяет антивредоносному ПО определить и заблокировать любые попытки вмешательства в процесс загрузки путем загрузки неподписанного или ненадежного кода.

  Драйвер ELAM — это небольшой драйвер с небольшой базой данных политик и узкой сферой действия. Он сфокусирован на драйверах, которые загружаются на ранних этапах запуска системы. База данных политик хранится в кусте реестра, который также соизмеряется с доверенным платформенным модулем, для записи рабочих параметров драйвера ELAM. Драйвер ELAM должен быть подписан корпорацией Майкрософт, и соответствующий сертификат должен содержать дополнительный EKU (1.3.6.1.4.1.311.61.4.1).

• Обеспечение безопасности на основе виртуализации (Hyper-V + ядро системы безопасности). Обеспечение безопасности на основе виртуализации — это полностью новая функция обеспечения безопасности, которая позволяет защитить важнейшие компоненты Windows 10.

  Функция обеспечения безопасности на основе виртуализации изолирует конфиденциальный код, например, целостность кода в режиме ядра или конфиденциальные учетные данные корпоративного домена, от остальной части операционной системы Windows. Дополнительные сведения см. в разделе Обеспечение безопасности на основе виртуализации.

• Целостность кода Hyper-V (HVCI). Целостность кода Hyper-V — это функция Device Guard, которая обеспечивает запуск только драйверов, исполняемых файлов и библиотек DLL, соответствующих политике целостности кода Device Guard.

  После включения и настройки Windows 10 может запускать службы обеспечения безопасности Hyper-V на основе виртуализации, включая службу целостности кода Hyper-V (HVCI). Служба HVCI обеспечивает защиту ядра системы, привилегированных драйверов и средств системной защиты, таких как решения по устранению вредоносных программ, не позволяя вредоносному коду запускаться на ранних этапах загрузки или после запуска.

  Служба HVCI использует систему безопасности на основе виртуализации для изолирования целостности кода. Единственный способ, с помощью которого память ядра может стать исполняемой, — это проверка целостности кода. Это означает, что страницы памяти ядра никогда не могут быть записываемыми и исполняемыми (W+X), и исполняемый код нельзя изменить напрямую.

  Примечание  

  Устройства Device Guard, которые запускают проверку целостности кода в режиме ядра с помощью системы безопасности на основе виртуализации, должны иметь совместимые драйверы. Дополнительные сведения см. в записи блога Совместимость драйвера с Device Guard в Windows 10.

   

  Функция целостности кода Device Guard позволяет организациям контролировать, какой код является надежным для запуска в ядре Windows и какие приложения одобрены для работы в режиме пользователя. Она настраивается с помощью политики.

  Политика целостности кода Device Guard — это двоичный файл, который Майкрософт рекомендует подписать. Подписание политики целостности кода способствует защите от злоумышленников с правами администраторами, которые пытаются изменить или удалить текущую политику целостности кода.

• Credential Guard. Credential Guard защищает корпоративные учетные данные с помощью аппаратной изоляции учетных данных.

  В Windows 10 Credential Guard способствует защите корпоративных учетных данных домена от кражи и повторного использования вредоносным ПО. С помощью Credential Guard Windows 10 внедрила архитектурное изменение, которое в корне предотвращает современные формы атак типа передачи хэша.

  Это достигается с помощью максимального использования возможностей Hyper-V и новой функции обеспечения безопасности на основе виртуализации с целью создания защищенного контейнера, в котором надежный код и секреты изолируются от ядра Windows. Это означает, что, даже если ядро Windows повреждено, у злоумышленника отсутствует способ прочитать и извлечь данные, необходимые для инициирования атаки типа передачи хэша. Credential Guard предотвращает такие атаки, поскольку память, в которой хранятся секреты, больше недоступна из обычной ОС даже в режиме ядра. Низкоуровневая оболочка контролирует, кто может получать доступ к памяти.

• Аттестация работоспособности. Встроенное ПО устройства записывает в журнал процесс загрузки, и Windows 10 может отправлять этот журнал надежному серверу, который может проверять работоспособность устройства и получать доступ к ее данным.

  Windows 10 измеряет показатели встроенного ПО UEFI и каждого компонента Windows и антивредоносной программы по мере их загрузки в процессе загрузки системы. Кроме того, показатели измеряются последовательно, а не все сразу. После получения измерений их значения получают цифровую подпись и надежно сохраняются в доверенном платформенном модуле, после чего их нельзя изменить без сброса системы.

  Дополнительные сведения см. в разделе Безопасная загрузка и измеряемая загрузка: защита ранее загруженных компонентов от вредоносных программ.

  Во время каждой следующей загрузки измеряются те же компоненты, что позволяет сравнивать их показатели на фоне ожидаемого шаблона. Для дополнительной безопасности значения, измеренные доверенным платформенным модулем, можно подписать и передать на удаленный сервер, который затем может выполнить сравнение. Этот процесс, который называется удаленная аттестация работоспособности устройства, позволяет серверу проверять состояние устройства под управлением Windows.

  Аттестация работоспособности требует наличия TPM 2.0. В Windows 10 TPM 2.0 требует наличия встроенного ПО UEFI.

  Хотя безопасная загрузка — это проактивная форма защиты, аттестация работоспособности является реактивной формой защиты загрузки. Во время поставки Windows аттестация работоспособности отключена и включается антивредоносной программой или поставщиком MDM. В отличие от безопасной загрузки, аттестация работоспособности не остановит процесс загрузки, а начнет работу, если измерение не будет работать. Но при использовании условного контроля доступа аттестация работоспособности поможет заблокировать доступ к особо ценным ресурсам.

Обеспечение безопасности на основе виртуализации

Обеспечение безопасности на основе виртуализации создает новую границу доверия для Windows 10. максимально использует возможности технологии низкоуровневой оболочки Hyper-V для повышения безопасности платформы. Обеспечение безопасности на основе виртуализации создает безопасную среду выполнения для запуска определенного надежного кода Windows (трастлета) и защиты конфиденциальных данных.

Обеспечение безопасности на основе виртуализации помогает защититься от поврежденного ядра или злоумышленника с правами администратора. Обратите внимание, что система безопасности на основе виртуализации не пытается защищить от физического злоумышленника.

Ниже перечислены службы Windows 10, безопасность которых обеспечивается с помощью виртуализации.

• Credential Guard (изоляция учетных данных LSA): предотвращает атаки типа передачи хэша и кражу учетных данных предприятия, которые происходят путем считывания и выгрузки содержимого памяти lsass

• Device Guard (целостность кода Hyper-V): В Windows 10 Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для определения надежных объектов. По существу служба целостности кода работает вместе с ядром в контейнере Windows, защищенном низкоуровневой оболочкой.

• Другие изолированные службы: например, в Windows Server Technical Preview 2016 существует функция vTPM, которая позволяет зашифровать виртуальные машины (VM) на серверах.

Примечание  

Система безопасности на основе виртуализации доступна только в Windows 10 Корпоративная. Для обеспечения безопасности на основе виртуализация требуются устройства с UEFI (версии 2.3.1 или выше) с включенной безопасной загрузкой, 64-разрядным процессором с включенными расширениями виртуализации и SLAT. IOMMU, TPM 2.0. и поддержка перезаписанной памяти Secure необязательна, но рекомендуется.

 

Схема ниже — это обобщенное представление Windows 10 с системой безопасности на основе виртуализации.

Credential Guard

В Windows 10 при включенном Credential Guard служба LSASS (lsass.exe) запускает конфиденциальный код в режиме изолированного пользователя, чтобы способствовать защите данных от вредоносных программ, которые могут запускаться в режиме обычного пользователя. Это позволяет защитить данные от кражи и повторного использования на удаленных компьютерах и, таким образом, предотвратить многие атаки типа PtH.

Credential Guard помогает защитить учетные данные с помощью их шифрования с применением ключа на загрузку или постоянного ключа.

• Ключа на загрузку используется для всех учетных данных внутри памяти, которые не требуют устойчивости. Примером таких учетных данных будет ключ сеанса билета на получение билетов (TGT). Этот ключ согласовывается с центром распространения ключей (KDC) при каждой проверке подлинности и защищается с помощью ключа на загрузку.

• Постоянный ключ или некоторые производные используется для защиты элементов, которые хранятся и перезагружаются после перезагрузки системы. Такая защита предназначена для долгосрочного хранения и должна быть защищена единообразным ключом.

Credential Guard активируется разделом реестра, а затем включается с помощью переменного UEFI. Это делается для защиты от удаленных изменений конфигурации. Использование переменного UEFI предусматривает, что для изменения конфигурации нужен физический доступ. Когда служба lsass.exe обнаружит, что включена изоляция учетных данных, она породит LsaIso.exe как изолированный процесс, который обеспечит его запуск в режиме изолированного пользователя. Запуск LsaIso.exe выполняется до инициализации поставщика поддержки безопасности, что обеспечивает готовность подпрограмм поддержки безопасного режима до начала выполнения любой проверки подлинности.

Device Guard

Device Guard — это новая функция ОС Windows 10 Корпоративная, которая позволяет организациям заблокировать устройство, чтобы способствовать его защите от запуска ненадежного ПО. В этой конфигурации разрешается запуск только приложений, которым доверяет организация.

Решение доверия выполнять код выполняется с использованием целостности кода Hyper-V, который запускается в системе безопасности на основе виртуализации, контейнере, защищенном Hyper-V, который запускается одновременно с обычной ОС Windows.

Целостность кода Hyper-V — это функция, которая проверяет целостность драйвера или системного файла при каждой его загрузке в память. Целостность кода определяет, загружается ли неподписанный драйвер или системный файл в ядро, или был ли системный файл изменен вредоносным ПО, которое запускается с учетной записи с правами администратора. В 64-разрядных версиях Windows 10 драйверы режима ядра должны иметь цифровую подпись.

Примечание  

Независимо от активации политики Device Guard, Windows 10 по умолчанию повышает требования ко всем элементам, запускаемым в ядре. Драйверы Windows 10 должны иметь подпись Майкрософт, а точнее портала WHQL. Кроме того, начиная с октября 2015 г. портал WHQL будет принимать только заявки на драйверы, включая заявки на драйверы для ядра и режима пользователя, которые имеют действительный сертификат подписи кода расширенной проверки (EV)..

 

С Device Guard в Windows 10 организации теперь могут определять собственную политику целостности кода для использования в 64-разрядных системах под управлением Windows 10 Корпоративная. Организации имеют возможность настроить политику, определяющую степень надежности запускаемых элементов. К ним относятся драйверы и системные файлы, а также традиционные классические приложения и скрипты. Система затем блокируется для запуска только приложений, которым доверяет организация.

Device Guard — это встроенная функция Windows 10 Корпоративная, которая блокирует выполнение нежелательного кода и приложений. Device Guard можно настроить с помощью двух действий правил — разрешить и запретить.

• Разрешить ограничивает выполнение приложений до приложений из списка разрешенных кодов или надежных издателей и блокирует все остальные элементы.

• Запретить дополняет подход, состоящий в разрешении надежного издателя, блокируя выполнение конкретного приложения.

На момент написания этой статьи и согласно последнему исследованию Майкрософт более 90% вредоносных программ полностью неподписаны. Таким образом, реализация базовой политики Device Guard может просто и эффективно помочь заблокировать подавляющее большинство вредоносных программ. В действительности, у Device Guard имеется потенциал продвинуться еще дальше и блокировать подписанные вредоносные программы.

Для обеспечения максимальной эффективности Device Guard необходимо запланировать и подписать. Это не просто защита, которую можно включить или выключить. Device Guard — это сочетание аппаратных функций безопасности и аналогичных программных функций, которые после совместной настройки могут заблокировать компьютер для обеспечения максимально возможной защиты и устойчивости системы.

Есть три разных части, которые образовывают решение Device Guard в Windows 10.

• Первая часть — базовый набор аппаратных функций безопасности, добавленных в предыдущую версию Windows. Доверенный платформенный модуль для аппаратных криптографических операций и UEFI с современным встроенным ПО, а также с безопасной загрузкой, позволяют контролировать, какое устройство работает при запуске системы.

• После аппаратной функции безопасности есть модуль целостности кода. В Windows 10 Целостность кода теперь полностью конфигурируема и размещена в режиме изолированного пользователя — части памяти, защищенной системой безопасности на основе виртуализации.

• Последней частью Device Guard является управляемость. Конфигурация целостности кода проявляется через определенные объекты групповой политики, командлеты PowerShell и поставщиков служб конфигурации MDM (CSP).

Дополнительные сведения о том, как развернуть Device Guard на предприятии, см. в Руководстве по развертыванию Device Guard.

Сценарии Device Guard

Как упоминалось ранее, Device Guard — это мощный способ блокирования систем. Device Guard не предназначен для широкого использования и может применяться не всегда, но существуют некоторые особо интересные сценарии.

Device Guard полезен и применим в системах с фиксированной рабочей нагрузкой, например, на контрольно-кассовых машинах, компьютерах демо-стенда, безопасных рабочих станциях администраторов (SAW) или хорошо управляемых настольных компьютерах. Device Guard очень полезен в системах с очень хорошо определенным ПО, которые стабильно работают и не подвергаются частым изменениям. Он также может способствовать защите специалистов по обработке информации (IW) за рамками SAW, при условии, что известны программы, которые им необходимо запускать, и набор приложений не будем изменяться ежедневно.

SAW — это компьютеры, созданные для существенного снижения риска угрозы от вредоносных программ, фишинговых атак, фиктивных веб-сайтов и атак PtH в числе прочих рисков для безопасности. Хотя SAW нельзя считать "идеальным решением" безопасности в случае подобных атак, эти типы клиентов являются полезными в контексте многоуровневого углубленного подхода к фундаментальной защите безопасности.

Для защиты особо ценных ресурсов SAW используются для установления безопасных соединений с этими ресурсами.

Аналогично, на корпоративных полностью управляемых рабочих станциях, на которых приложения устанавливаются с помощью средства распределения, например, System Center Configuration Manager, Intune или любого другого ПО сторонних разработчиков для управления устройствами, Device Guard является очень полезным. При таком типе сценария организация имеет хорошее представление о программном обеспечении, используемом средним пользователем.

Использование Device Guard на корпоративных, частично управляемых рабочих станциях, на которых пользователю обычно разрешается устанавливать ПО по собственному усмотрению, может быть затруднено. Если организация предлагает большую гибкость, довольно сложно запустить Device Guard в режиме применения политик. Однако Device Guard можно запустить в режиме аудита. В таком случае журнал событий будет содержать запись обо всех двоичных файлах, нарушивших политику Device Guard. Когда Device Guard используется в режиме аудита, организации могут получить подробные сведения о драйверах и приложениях, которые пользователи устанавливают и запускают.

Прежде чем можно будет воспользоваться защитой в Device Guard, необходимо создать политику целостности кода с помощью средств, предоставленных корпорацией Microsoft, но политику можно развернуть с помощью имеющихся обычных средств управления, например групповой политики. Политика целостности кода — это XML-документ в двоичной кодировке, который включает параметры конфигурации для пользовательского режима и режима ядра ОС Windows 10 вместе с ограничениями средства обработки сценариев Windows 10. Политика целостности кода Device Guard определяет, какой код может быть выполнен на устройстве.

Примечание  

Политика Device Guard может быть подписана в Windows 10, что обеспечивает дополнительную защиту от изменения или удаления этой политики пользователями с правами администратора.

 

Подписанная политика Device Guard обеспечивает более надежную защиту от локального администратора-злоумышленника, который пытается вывести из строя Device Guard.

Когда политика подписана, GUID политики сохраняется в безопасной переменной предварительной среды ОС UEFI, которая обеспечивает защиту от вмешательства. Единственный способ обновления политики Device Guard в дальнейшем — предоставить новую версию политики, подписанной тем же подписантом или от подписанта, указанного в рамках политики Device Guard в разделе UpdateSigner.

Важность приложений для подписи

На компьютерах с Device Guard корпорация Майкрософт предлагает отойти от ситуации, когда неподписанные приложения могут запускаться без ограничений, и перейти к ситуации, в которой в Windows 10 разрешается запускать только подписанный и надежный код.

В Windows 10 организации предоставят доступ к бизнес-приложениям (LOB) членам организации во всей инфраструктуре Магазина Windows. Точнее сказать, бизнес-приложения будут доступны в частном магазине общедоступного Магазина Windows. Магазин Windows подписывает и распределяет универсальные приложения для Windows и классические приложения для Windows. Все приложения, загруженные из Магазина Windows, подписаны.

В современных организациях подавляющее большинство бизнес-приложений являются неподписанными. Подписывание кода часто считается серьезной проблемой по различным причинам, в том числе из-за нехватки опыта подписывания кода. Хотя подписывание кода является очень правильным подходом, множество внутренних приложений не имеют подписи.

В Windows 10 есть средства, позволяющие ИТ-специалистам пропустить ранее запакованные приложения через процесс создания дополнительных подписей, которые можно распространять вместе с существующими приложениями.

Почему решения антивредоносного ПО и управления устройствами по-прежнему необходимы?

Хотя механизмы списка разрешения являются очень эффективными в обеспечении запуска только надежных приложений, они не способны предотвратить повреждение надежного (но уязвимого) приложения вредоносным содержимым, предназначенным для использования известной уязвимости. Device Guard не защищает от запуска вредоносного кода режима пользователя с помощью использования уязвимостей.

Уязвимости — это слабые места в ПО, которые могут позволить злоумышленнику нарушить целостность, доступность или конфиденциальность устройства. Некоторые наиболее серьезные уязвимости в системе безопасности позволяют злоумышленникам воспользоваться устройством, вызвав выполнение вредоносного кода без ведома пользователя.

Популярный метод злоумышленников — распространять специально созданное содержимое с целью воспользоваться известными уязвимостями системы безопасности в ПО режима пользователя, например, веб-браузерах (и их подключаемых модулях), виртуальных машинах Java, программах для чтения PDF-файлов и редакторах документов. На сегодня, 90% обнаруженных уязвимостей влияют на приложения режима пользователя, по сравнению с операционной системой и драйверами режима ядра, в которых они размещены.

Чтобы уничтожить эти угрозы, исправления являются единственным наиболее эффективным методом с использованием антивредоносного ПО, образующего дополнительные уровни защиты.

В большинстве прикладных программ нет возможности для самостоятельного обновления. Поэтому, даже если поставщик программного обеспечения опубликует обновление, которое решает уязвимость, пользователь может не знать, что доступно обновление, или не иметь возможности его получить. Поэтому он остается уязвимым к атакам. Организациям по-прежнему нужно управлять устройствами и устранять уязвимости.

Решения MDM набирают популярность как облегченная технология управления устройствами. Windows 10 расширяет возможности управления, которые стали доступны для MDM. Одна основная функция, которую корпорация Майкрософт добавила в Windows 10, — это возможность для MDM получать подробный отчет о работоспособности устройства от управляемых и зарегистрированных устройств.

Аттестация работоспособности устройства

Аттестация работоспособности устройства использует возможности TPM 2.0 для предоставления криптографически надежных и проверяемых показателей цепочки ПО, используемой для загрузки устройства.

Для устройств под управлением Windows 10 корпорация Майкрософт представляет новый общедоступный API, который позволит MDM получать доступ к службе удаленной аттестации — службе аттестации работоспособности Windows. Результат аттестации работоспособности, кроме прочих элементов, можно использовать, чтобы разрешить или запретить доступ к сетям, приложениям или службам, исходя из работоспособности устройств.

Дополнительные сведения об аттестации работоспособности устройств см. в разделе Обнаружение неработоспособного устройства под управлением Windows 10.

Требования к оборудованию

В следующей таблице приведены требования к оборудованию для служб обеспечения безопасности на основе виртуализации и функций аттестации работоспособности. Дополнительные сведения см. в разделе Минимальные требования к оборудованию.

Оборудование	Обоснование
Встроенное ПО UEFI 2.3.1 или более поздней версии с включенной безопасной загрузкой	Требуется для поддержки безопасной загрузки UEFI. Безопасная загрузка UEFI обеспечивает загрузку устройством только разрешенного кода. Кроме того, целостность загрузки (безопасная загрузка платформы) должна поддерживаться согласно спецификации требований по аппаратной совместимости для систем для ОС Windows 10 согласно подразделу: "System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby"
Расширения виртуализации, например, Intel VT-x, AMD-V и SLAT, необходимо включить	Требуются для поддержки системы безопасности на основе виртуализации. Примечание   Device Guard можно включить без использования системы безопасности на основе виртуализации.
64-разрядный процессор	Требуется для поддержки системы безопасности на основе виртуализации, которая использует низкоуровневую оболочку Windows. Hyper-V поддерживается только на 64-разрядных процессорах (а не процессорах x86). Защиту DMA можно включить для обеспечения дополнительной защиты памяти, но она требует, чтобы процессоры поддерживали технологии защиты DMA.
IOMMU, например, Intel VT-d, AMD-Vi	Поддержка IOMMU в Windows 10 повышает устойчивость системы к атакам на DMA.
Доверенный платформенный модуль (TPM) 2.0	Требуется для поддержки аттестации работоспособности и необходим для дополнительной защиты ключа для системы безопасности на основе виртуализации.

 

В этом разделе представлены сведения о нескольких тесно связанных элементов управления в Windows 10. Многоуровневые средства защиты и углубленный подход помогает искоренить низкоуровневое вредоносное ПО во время последовательности загрузки. Система безопасности на основе виртуализации — это основное изменение архитектуры операционной системы, которое добавляет новую границу безопасности. Device Guard и Credential Guard, соответственно, помогают заблокировать запуск ненадежного кода и защитить учетные данные корпоративного домена от кражи и повторного использования. В этом разделе также кратко описано важность управления устройствами и исправления уязвимостей. Все эти технологии можно использовать, чтобы повысить защиту устройств и заблокировать их, ограничив риск их повреждения злоумышленниками.

Определение неработоспособного устройства под управлением Windows 10

На сегодня, многие организации оценивают устройства только с точки зрения совместимости с политикой компании после прохождения ними различных проверок, которые показывают, например, что операционная система находится в правильном состоянии, правильно настроена, и защита системы безопасности включена. К сожалению, с сегодняшними системами эта форма отчетности не полностью надежна, так как вредоносные программы могут подделать отчет ПО о работоспособности системы. Программы rootkit или подобные низкоуровневые эксплойты могут предоставить фальшивый отчет о работоспособности традиционным средствам соответствия требованиям.

Самая сложная проблема с программами rootkit — это то, что они могут быть необнаружаемыми для клиента. Поскольку они запускаются до вредоносного ПО и обладают привилегиями системного уровня, они могут полностью замаскироваться и продолжать осуществлять доступ к системным ресурсам. В результате, традиционные компьютеры, зараженные программами rootkit, кажутся здоровыми даже с запущенным антивредоносным ПО.

Как обсуждалось ранее, функция аттестации работоспособности Windows 10 использует компонент оборудования TPM 2.0 для безопасной записи измерения каждого компонента, связанного с загрузкой, включая встроенное ПО, ядро Windows 10, а также драйверы ранней загрузки. Поскольку аттестация работоспособности использует возможности аппаратной безопасности доверенного платформенного модуля, журнал всех компонентов, измеренных при загрузке, остается недоступным для любых вредоносных программ.

Подтверждая надежное состояние загрузки, устройства могут подтвердить, что на них не запущены низкоуровневые вредоносные программы, которые могут подделать результаты более поздних проверок соответствия требованиям. Аттестация работоспособности на основе доверенного платформенного модуля обеспечивает надежную привязку доверия для ресурсов, которые содержат ценные данные.

Что такое понятие работоспособности устройства?

Чтобы понять понятие работоспособности устройства, важно знать традиционные меры, которые ИТ-специалисты предпринимали для предотвращения вмешательства вредоносных программ. Технологии контроля вредоносных программ сфокусированы главным образом на предотвращении установки и распространения.

Однако использование традиционных технологий защиты от вредоносных программ, например, решений антивредоносных программ или исправлений, создает новый набор проблем для ИТ-специалистов: возможность отслеживать и контролировать соответствие устройств, получающих доступ к ресурсам организации.

Определение соответствия устройства будет зависеть от установленной организацией антивредоносной программы, параметров конфигурации устройства, основы управления исправлениями и других требований безопасности. Но работоспособность устройства является частью общей политики соответствия устройства установленным требованиям.

Работоспособность устройства не является двоичной и зависит от реализации безопасности организацией. Служба аттестации работоспособности предоставляет сведения MDM, на которой функции безопасности включаются во время загрузки устройства с помощью использования надежного доверенного платформенного модуля оборудования.

Но аттестация работоспособности предоставляет только сведения, поэтому для принятия и выполнения решения требуется решение MDM.

Удаленная аттестация работоспособности устройства

В Windows 10 аттестация работоспособности относится к будущему, когда данные измеряемой загрузки, созданные во время загрузки, отправляются в службу удаленной аттестации работоспособности устройства, управляемую корпорацией Майкрософт.

Это наиболее безопасный подход, доступный для устройств под управлением Windows 10, для обнаружения момента сбоя защиты безопасности. Во время загрузки журнал TCG и значения реестров конфигурации платформы отправляются в удаленную облачную службу Майкрософт. Затем журналы проверяются службой аттестации работоспособности, чтобы определить изменения, произошедшие в устройстве.

Проверяющая сторона, например MDM, может проверять отчет, созданный удаленной службой аттестации работоспособности.

Примечание  

Для использования функции аттестации работоспособности в Windows 10 устройство должно иметь отдельный модуль или встроенный модуль TPM 2.0. Не существует ограничений относительно конкретного выпуска Windows 10.

 

Windows 10 поддерживает сценарии аттестации работоспособности, позволяя приложениям получать доступ к базовому поставщику служб (CSP) конфигурации аттестации работоспособности, чтобы приложения могли запросить маркер аттестации работоспособности. Измерение последовательности загрузки может быть проверено в любое время локально антивредоносной программой или агентом MDM.

Аттестация работоспособности удаленного устройства в сочетании с MDM предоставляет аппаратный метод для создания отчета о текущем состоянии безопасности и обнаружения любых изменений без необходимости доверять ПО в системе.

В случае, когда на устройстве запущен вредоносный код, требуется использование удаленного сервера. Если на устройстве имеется пакет программ rootkit, антивредоносная программа больше не является надежной, и ее поведение может быть изменено вредоносным кодом, запускаемом на ранних этапах последовательности загрузки. Поэтому важно использовать безопасную загрузку и Device Guard для контроля за тем, какой код загружается во время последовательности загрузки.

Антивредоносное ПО может выполнять поиск, чтобы указать, содержит ли последовательность загрузки любые признаки вредоносных программ, например пакетов программ rootkit. Оно также может отправлять журнал TCG и реестры конфигурации платформы на удаленный сервер аттестации работоспособности для разделения между компонентом измерения и компонентом проверки.

Служба аттестации работоспособности записывает измерения в различных регистрах конфигурации платформы (PCR) доверенного платформенного модуля и журналы организации TCG во время загрузки.

При запуске устройства с доверенным платформенным модулем выполняется измерение разных компонентов. Сюда входит встроенное ПО, драйверы UEFI, микрокод ЦП, а также все драйверы Windows 10, типом которых является запуск загрузки. Необработанные данные сохраняются в регистрах реестра конфигурации платформы доверенного платформенного модуля, в то время, как данные обо всех событиях (путь к исполняемому файлу, центр сертификации и т. д.) доступны в журнале организации TCG.

Ниже описан принцип работы процесса аттестации работоспособности.

1. Измеряются аппаратные компоненты загрузки.

2. Измеряются компоненты загрузки операционной системы.

3. Если включен Device Guard, измеряется его текущая политика.

4. Измеряется ядро Windows.

5. Антивирусная программа запускается в качестве первого драйвера режима ядра.

6. Измеряются драйверы начала загрузки.

7. Сервер MDM через агента MDM издает команду на проверку работоспособности путем использования CSP аттестации работоспособности.

8. Измерения загрузки проверяются службой аттестации работоспособности

Примечание  

По умолчанию последние 100 журналов загрузки системы и все связанные журналы возобновления архивируются в папке %SystemRoot%\logs\measuredboot.

Количество сохраненных журналов можно настроить с помощью значения реестра REG_DWORDPlatformLogRetention в разделе HKLM\SYSTEM\CurrentControlSet\Services\TPM. Значение 0 отключает архивацию журналов, а значение 0xffffffff приведет к сохранению всех журналов.

 

Следующий процесс описывает, как показатели загрузки отправляются службе аттестации работоспособности:

1. Клиент (устройство под управлением Windows 10 с TPM 2.0) инициирует отправку запроса удаленной службе аттестации работоспособности устройства. Поскольку ожидается, что сервером аттестации работоспособности будет облачная служба Майкрософт, в клиенте уже предварительно подготовлен URI.

2. Затем клиент отправляет журнал организации TCG, подписанные данные AIK (значения реестра конфигурации платформы, счетчик загрузки) и данные сертификата AIK.

3. После этого удаленная служба аттестации работоспособности устройства выполняет перечисленные ниже действия.

   1. Проверяет, что сертификат AIK выдан известным надежным центром сертификации и действителен, а также не отозван.

   2. Позволяет убедиться, что подпись на предложениях регистра конфигурации платформы правильна и соответствует значению журнала организации TCG.

   3. Анализирует свойства в журнале организации TCG.

   4. Издает маркер работоспособности устройства, который содержит данные о работоспособности, данные AIK и данные счетчика загрузки. Маркер работоспособности также содержит действительный момент выпуска. Маркер работоспособности устройства зашифрован и подписан. Это означает, что сведения защищены и доступны только для выдачи службе аттестации работоспособности.

4. Клиент сохраняет большой двоичный объект в зашифрованном виде в своем локальном хранилище. Маркер работоспособности устройства содержит данные о состоянии работоспособности устройства, идентификатор устройства (AIK Windows) и счетчик загрузок.

Компоненты аттестации работоспособности устройства

Решение аттестации работоспособности устройства содержит разные компоненты, среди которых доверенный платформенный модуль, CSP аттестации работоспособности и служба аттестации работоспособности Windows. Эти компоненты описаны в этом разделе.

Доверенный платформенный модуль

Все дело в TPM 2.0 и сертификатах применения политик. В этом разделе описывается, как реестры конфигурации платформы (которые содержат данные конфигурации системы), ключ подтверждения (EK) (действует как идентификационная карта для доверенного платформенного модуля), SRK (защищает ключи) и AIK (может сообщать о состоянии работоспособности платформы) используются для создания отчета об аттестации работоспособности.

Если говорить просто, доверенный платформенный модуль — это пассивный компонент с ограниченными ресурсами. Он может вычислять случайные числа, ключи RSA, расшифровывать короткие данные, сохранять хэши, полученные при загрузке устройства.

Доверенный платформенный модуль содержится в едином компоненте.

• 2048-разрядный генератор ключей RSA

• Генератор случайных чисел

• Энергонезависимая память для хранения ключей EK, корневого ключа хранилища и ключей AIK

• Криптографический модуль для шифрования, расшифровки и подписи

• Временная память для хранения реестров конфигурации платформы и ключей RSA

Ключ подтверждения

Доверенный платформенный модуль имеет встроенный уникальный криптографический ключ, который называется ключом подтверждения. Ключ подтверждения доверенного платформенного модуля — это пара асимметричных ключей (размер RSA — 2048 бит).

Открытый ключ ключа подтверждения обычно используется для надежной отправки конфиденциальных параметров, например при приобретении доверенного платформенного модуля, который содержит хэш определения пароля владельца. Закрытый ключ EK используется для создания дополнительных ключей, например AIK.

Ключ подтверждения действует как идентификатор для доверенного платформенного модуля. Подробнее см. в разделе Понимание ключа подтверждения доверенного платформенного модуля.

Ключ подтверждения часто сопровождается одним или двумя цифровыми сертификатами.

• Один сертификат создается изготовителем доверенного платформенного модуля и называется сертификат подтверждения. Сертификат подтверждения используется, чтобы подтвердить подлинность доверенного платформенного модуля (например, что это настоящий доверенный платформенный модуль, изготовленный определенным изготовителем микросхем) для локальных процессов, приложений или облачных служб. Сертификат подтверждения создается во время изготовления или при первой инициализации доверенного платформенного модуля с помощью веб-службы.

• Другой сертификат создается изготовителем платформы и называется сертификатом платформы, чтобы указать, что определенный доверенный платформенный модуль интегрирован в определенную службу.

Для некоторых устройств, использующих доверенный платформенный модуль на основе встроенного ПО, изготовленный Intel или Qualcomm, сертификат подтверждения создается, когда доверенный платформенный модуль инициализируется при первом запуске Windows 10.

Примечание  

Безопасная загрузка защищает платформу, пока загружается ядро Windows. Затем начинают работу такие системы защиты, как надежная загрузка, целостность кода Hyper-V и ELAM. Устройство, использующее доверенный платформенный модуль Intel или Qualcomm, получает подписанный сертификат по сети от изготовителя, создавшего микросхему, а затем сохраняет подписанный сертификат в хранилище доверенного платформенного модуля. Для успешного выполнения операций в случае фильтрации доступа к Интернету из ваших клиентских устройств, вы должны разрешить следующие URL-адреса:

• Для доверенного платформенного модуля встроенного ПО Intel: https://ekop.intel.com/ekcertservice

• Для доверенного платформенного модуля встроенного ПО Qualcomm: https://ekcert.spserv.microsoft.com/

 

Ключи удостоверения аттестации

Поскольку сертификат подтверждения уникален для каждого устройства и не меняется, его использование может стать причиной проблем с конфиденциальностью, поскольку теоретически возможно отслеживать конкретное устройство. Чтобы избежать этой проблемы с конфиденциальностью, Windows 10 издает производную привязку аттестации на основе сертификата подтверждения. Этот промежуточный ключ, который можно проверить на фоне ключа подтверждения, — это ключ удостоверения аттестации (AIK), а соответствующий сертификат вызывается сертификатом AIK. Этот сертификат AIK выдается облачной службой Майкрософт.

Примечание  

До того, как устройство может сообщить о своей работоспособности с помощью функций аттестации TPM 2.0, необходимо подготовить сертификат AIK совместно со сторонней службой, например облачной службой центра сертификации Майкрософт. После его подготовки закрытый ключ AIK можно использовать для создания отчета о конфигурации платформы. Windows 10 создает подпись относительно состояния журнала платформы (и монотонного значения счетчика) при каждой загрузке с помощью AIK.

 

AIK — это ассиметричная пара (открытый/закрытый) ключей, которая используется для замены EK в качестве удостоверения для целей конфиденциальности доверенного платформенного модуля. Закрытая часть AIK никогда не отображается и не используется вне доверенного платформенного модуля и может использоваться только внутри доверенного платформенного модуля для ограниченного набора операций. Более того, ее можно использовать только для подписи и только для ограниченного числа определенных доверенным платформенным модулем операций.

Windows 10 создает ключи AIK, защищенные доверенным платформенным модулем, если он доступен, которые являются ключами подписи RSA на 2048 бит. Майкрософт размещает у себя на сервере облачную службу под названием "Облачная служба центра сертификации Майкрософт", чтобы криптографически установить, что она связывается с настоящим доверенным платформенным модулем и что последний обладает представленным AIK. После того, как облачная служба центра сертификации Майкрософт установит эти факты, она издаст сертификат AIK на устройство под управлением Windows 10.

На многих существующих устройствах, которые будут обновлены до Windows 10, не будет доверенного платформенного модуля или последний не будет содержать сертификат подтверждения. Чтобы можно было использовать эти устройства, Windows 10 разрешает выдачу сертификатов AIK без наличия сертификата подтверждения. Такие сертификаты AIK не издаются облачной службой центра сертификации Майкрософт. Обратите внимание, что это не так надежно, как сертификат подтверждения, который записывается в устройство во время изготовления, но это гарантирует совместимость для сложных сценариев, таких как паспорт Microsoft Passport, без доверенного платформенного модуля.

В выданном сертификате AIK специальный OID добавляется для подтверждения того, что сертификат подтверждения был использован во время процесса аттестации. Эти данные могут использоваться проверяющей стороной, чтобы определить, отклонять ли устройства, аттестованные с помощью сертификатов AIK без сертификата подтверждения, или принимать их. Другой возможный сценарий — не разрешать доступ к особо ценным ресурсам из устройств, аттестованных сертификатом AIK, который не подкреплен сертификатом подтверждения.

Корневой ключ хранилища

Корневой ключ хранилища (SRK) также является асимметричной парой ключей (RSA с минимальной длиной 2048 бит). Корневой ключ хранилища имеет важную роль и используется для защиты ключей доверенного платформенного модуля, чтобы эти ключи нельзя было использовать без доверенного платформенного модуля. Корневой ключ хранилища создается при получении права собственности на доверенный платформенный модуль.

Регистры конфигурации платформы

Доверенный платформенный модуль содержит набор регистров, предназначенных для предоставления криптографического представления программного обеспечения и состояния системы, которая была загружена. Эти регистры называются регистрами конфигурации платформы (PCR).

Измерение последовательности загрузки основывается на PCR и журнале организации TCG. Чтобы установить статический доверенный источник во время запуска устройства, последнее должно иметь возможность измерить код встроенного ПО перед выполнением. В этом случае базовый доверенный источник оценки (CRTM) выполняется из загрузки, вычисляет хэш встроенного ПО, а затем сохраняет его путем развертывания регистра PCR[0] и передает выполнение встроенному ПО.

PCR устанавливаются на ноль во время загрузки платформы. Задача встроенного ПО, которое загружает платформу, оценить компоненты в цепочке загрузки и записать результаты оценки в PCR. Обычно, компоненты загрузки используют хэш следующего компонента, который будет запущен, и записывают результаты оценки в PCR. Начальный компонент, с которого начинается цепочка измерений, неявно является надежным. Это CRTM-файл. Изготовители платформы должны иметь надежный процесс обновления для CRTM или не разрешать обновления для него. PCR записывают кумулятивный хэш компонентов, которые были оценены.

Значение PCR само по себе трудно поддается интерпретации (это просто значение хэша), но платформы обычно сохраняют журнал с подробными данными об оцениваемых элементах, а PCR только обеспечивают невозможность взлома журнала. Журналы называются журналом организации TCG. При каждом расширении регистра PCR в журнал организации TCG добавляется запись. Таким образом, в процессе загрузки трассировка исполняемого кода и данные конфигурации создаются в журнале организации TCG.

Подготовка доверенного платформенного модуля

Чтобы доверенный платформенный модуль устройства под управлением Windows 10 можно было использовать, сначала его необходимо подготовить. Процесс подготовки несколько отличается, в зависимости от версий доверенного платформенного модуля, но в случае успеха это делает доверенный платформенный модуль пригодным для использования, и данные авторизации владельца (ownerAuth) для доверенного платформенного модуля сохраняются локально в регистре.

После завершения подготовки доверенного платформенного модуля Windows 10 сначала попытается определить EK и локально сохраненные значения ownerAuth, проанализировав регистр в следующем расположении: HKLM\SYSTEM\CurrentControlSet\Services\TPM\WMI\Endorsement

В ходе подготовки может потребоваться перезапуск устройства.

Обратите внимание, что командлет Get-TpmEndorsementKeyInfo PowerShell может использоваться с правами администратора для получения сведений о ключе и сертификатах подтверждения доверенного платформенного модуля.

Если владелец доверенного платформенного модуля неизвестен, но EK существует, библиотека клиента подготовит доверенный платформенный модуль и сохранит полученное значение ownerAuth в регистр, а если политика позволяет, то открытая часть SRK будет сохранена в следующем расположении: HKLM\SYSTEM\CurrentControlSet\Services\TPM\WMI\Admin\SRKPub

В рамках подготовки Windows 10 создаст AIK с доверенным платформенным модулем. Во время выполнения этой операции полученная открытая часть AIK сохраняется в регистре в следующем расположении: HKLM\SYSTEM\CurrentControlSet\Services\TPM\WMI\WindowsAIKPub

Примечание  

Для подготовки сертификатов AIK и фильтрации доступа к Интернету необходимо разрешить следующий подстановочный URL-адрес: https://*.microsoftaik.azure.net

 

CSP аттестации работоспособности Windows 10

Windows 10 содержит поставщик служб конфигурации (CSP), который специализируется на взаимодействии с функцией аттестации работоспособности. CSP — это компонент, который вставляется в клиент Windows MDM и предоставляет опубликованный протокол относительно того, как серверы MDM могут настраивать параметры и управлять устройствами под управлением Windows. Протокол управления представлен как древовидная структура, которую можно указать в виде URI с функциями для выполнения над URI, например "get", "set", "delete" и т. д.

Ниже приведен список функций, выполняемых CSP аттестации работоспособности Windows 10.

• Собирает сведения, используемые для проверки состояния работоспособности устройства

• Направляет данные службе аттестации работоспособности

• Готовит сертификат аттестации работоспособности, который поступает от службы аттестации работоспособности

• По требованию, перенаправляет сертификат аттестации работоспособности (полученный от службы аттестации работоспособности) и связанные данные среды выполнения на сервер MDM для проверки

Во время сеанса аттестации работоспособности CSP аттестации работоспособности перенаправляет службе аттестации работоспособности журналы организации TCG и значения PCR, полученные во время загрузки, по надежному каналу связи.

Когда сервер MDM убедится, что устройство прошло аттестацию в службе аттестации работоспособности, ему будет предоставлен набор отчетов и утверждений относительно загрузки устройства с заверением в том, что устройство не перезагружалось между временем аттестации его работоспособности и временем подтверждения этого факта сервером MDM.

Служба аттестации работоспособности Windows

Роль службы аттестации работоспособности Windows главным образом состоит в том, чтобы оценить набор данных о работоспособности (журнал организации TCG и значения PCR), сделать серию обнаружений (на основе доступных данных о работоспособности) и создать зашифрованный двоичный объект работоспособности или создать отчет для серверов MDM.

Примечание  

Устройство и серверы MDM должны иметь доступ к has.spserv.microsoft.com с помощью протокола TCP на порте 443 (HTTPS).

 

Чтобы убедиться в аттестации доверенного платформенного модуля и связанного журнала, необходимо выполнить несколько шагов:

1. Во-первых, сервер должен проверить, что отчеты подписаны надежными AIK. Это можно сделать, убедившись, что открытая часть AIK указана в базе данных ресурсов, или, в том, что сертификат, возможно, был проверен.

2. После проверки ключа необходимо проверить подписанную аттестацию (структуру предложения), чтобы убедиться в том, что это действительная подпись на фоне значений PCR.

3. Затем необходимо проверить журналы, чтобы убедиться в их соответствии указанным значениям PCR.

4. Наконец, сами журналы должны быть проверены решением MDM, чтобы убедиться в том, что они представляют известные или действительные конфигурации безопасности. Например, можно выполнить простую проверку, чтобы убедиться в том, что оцененные ранее компоненты ОС являются работоспособными, драйвер ELAM является ожидаемым, а файл политики драйвера ELAM обновлен. В случае успешного выполнения всех этих проверок может быть выдано заявление об аттестации относительно того, что его можно использовать для определения того, следует ли предоставлять клиенту доступ к ресурсу.

Служба аттестации работоспособности предоставляет перечисленные ниже сведения решению MDM о работоспособности устройства.

• Включение безопасной загрузки

• Включение отладки загрузки и ядра

• Включение BitLocker

• VSM включен

• Оценка политики целостности кода подписанного или неподписанного Device Guard

• Загружен ELAM

• Загрузка безопасного режима, включение DEP, включение подписи проверки

• Доверенный платформенный модуль устройства был подготовлен с надежным сертификатом подтверждения

Для полноты оценки см. раздел CSP аттестации работоспособности.

В следующей таблице представлены некоторые ключевые элементы, которые можно добавить в обратный отчет для MDM, в зависимости от типа устройства под управлением Windows 10.

Тип ОС	Ключевые элементы, которые можно добавить в отчет
Windows 10 Mobile	Измерение PCR0 Включена безопасная загрузка Параметр db безопасной загрузки является значением по умолчанию Параметр dbx безопасной загрузки обновлен GUID политики безопасной загрузки является значением по умолчанию Включено шифрование устройства Метка времени и версия списка отзыва целостности кода обновлена
Windows 10 для классических выпусков	Измерение PCR0 Включена безопасная загрузка Параметр db безопасной загрузки соответствует ожидаемому значению Параметр dbx безопасной загрузки не требует обновления GUID политики безопасной загрузки соответствует ожидаемому значению Включен BitLocker Включено средство обеспечения безопасности на основе виртуализации ELAM загружен Версия целостности кода не требует обновления Хэш политики целостности кода соответсвует ожидаемому значению

 

Использование возможностей MDM и служба аттестации работоспособности

Чтобы сделать работоспособность устройства релевантной, решение MDM оценивает отчет о работоспособности устройства и настраивается согласно требованиям к работоспособности устройства, принятым в организации.

Решение, использующее возможности MDM и службу аттестации работоспособности, состоит из трех основных частей.

1. Устройство с включенной аттестацией работоспособности. Обычно это происходит в рамках регистрации у поставщика MDM (аттестация работоспособности будет отключена по умолчанию).

2. После включения этого параметра и при каждой последующей загрузке устройство будет отправлять результаты оценки работоспособности в службу аттестации работоспособности, размещенную на сервере корпорации Майкрософт, и будет в ответ получать большой двоичный объект аттестации работоспособности.

3. В любой момент после этого сервер MDM может запросить большой двоичный объект аттестации работоспособности от устройства и попросить службу аттестации работоспособности расшифровать содержимое и удостовериться в аттестации.

Взаимодействие между устройством под управлением Windows 10, службой аттестации работоспособности и MDM можно осуществлять указанным ниже способом.

1. Клиент начинает сеанс с сервером MDM. URI для сервера MDM будет частью клиентского приложения, которое инициирует запрос. Сервер MDM в настоящее время может запросить данные аттестации работоспособности с помощью соответствующего URI CSP.

2. Сервер MDM определяет элемент nonce вместе с запросом.

3. Клиент затем отправляет элемент nonce, указанный AIK, а также счетчик загрузок и сведения о большом двоичном элементе работоспособности. Этот большой двоичный объект работоспособности шифруется с помощью открытого ключа службы аттестации работоспособности, расшифровать который может служба аттестации работоспособности.

4. Сервер MDM:

   1. Подтверждает, что элемент nonce имеет ожидаемое значение.

   2. Передает указанные данные, элемент nonce и зашифрованный большой двоичный объект на сервер службы аттестации работоспособности.

5. Служба аттестации работоспособности:

   1. Расшифровывает большой двоичный объект работоспособности.

   2. Убеждается в том, что счетчик загрузок в заявлении является правильным, с помощью AIK в большом двоичном объекте работоспособности и подбирает значение в большом двоичном объекте работоспособности.

   3. Убеждается в том, что элемент nonce соответствует заявленному значению и значеню, переданному от сервера MDM.

   4. Поскольку счетчик загрузок и элемент nonce указываются с помощью AIK из большого двоичного объекта работоспособности, он также подтверждает, что устройство аналогично устройству, для которого был создан большой двоичный объект работоспособности.

   5. Отправляет данные обратно на сервер MDM, включая параметры работоспособности, актуальность и т. д.

Примечание  

Сервер MDM (проверяющая сторона) никогда сама не выполняет проверку заявления или счетчика загрузок. Она получает заявленные данные и большой двоичный объект работоспособности (который является зашифрованным) и отправляет данные в службу аттестации работоспособности для проверки. Таким образом, AIK никогда не отображается для MDM, что решает проблемы с конфиденциальностью.

 

Установка требований для соответствия устройства — это первый шаг к обеспечению обнаружения и отслеживания зарегистрированных устройств, которые не соответствуют требованиям для работоспособности и соответствия, а также выполнению действий решением MDM.

Устройства, которые пытаются подключиться к ресурсам, должны пройти оценку своей работоспособности, чтобы неработоспособные и несоответствующие устройства можно было обнаружить и указать в отчете. Для полной эффективности комплексное решение безопасности должно установить последствие для неработоспособных устройств, например, отказать в доступе к особо ценным ресурсам. Это цель управления условным доступом, которая подробно описана в следующем разделе.

Контроль безопасности устройства под управлением Windows 10 перед предоставлением права доступа

Современные технологии управления доступом в большинстве случаев сфокусированы на обеспечении на предоставлении доступа к соответствующим ресурсам соответствующим пользователям. Если пользователи смогут пройти проверку подлинности, они получат доступ к ресурсам с помощью устройства, о котором мало известно ИТ-персоналу и системам организации. Возможно, существует еще какая-то проверка, например, проверка наличия шифрования на устройстве перед предоставлением доступа к электронной почте, но что делать, если устройство заражено вредоносным ПО?

В процессе аттестации работоспособности удаленного устройства используются измеренные данные загрузки для проверки состояния работоспособности устройства. Данные о работоспособности устройства затем стают доступными для решения MDM, например Intune.

Примечание  

Последние сведения об Intune и других функциях, поддерживаемых Windows 10, см. в блоге Microsoft Intune и разделе Новинки в Microsoft Intune.

 

На рисунке ниже показан ожидаемый режим работы службы аттестации работоспособности с облачным решением Intune от Майкрософт в службе MDM.

Решение MDM после этого может максимально использовать данные заявлений о состоянии работоспособности и перевести их на следующий уровень, объединив с политиками клиента, которые предоставят условный доступ на основе возможности устройства подтвердить отсутствие на нем вредоносного ПО, наличие на нем функциональной и обновленной антивредоносной программы, включение брандмауэра, а также соответствие состояния исправления устройств.

Наконец, ресурсы могут быть защищены с помощью отказа в доступе конечным точкам, которые неспособны доказать свою работоспособность. Эта функция является крайне полезной при использовании в рабочих целях личных устройств, которым требуется доступ к ресурсам организации.

Встроенная поддержка MDM в Windows 10

Windows 10 оснащена клиентом MDM, который поставляется как часть операционной системы. Это позволяет серверам MDM управлять устройствами под управлением Windows 10 без необходимости в отдельном агенте.

Поддержка сервера MDM стороннего разработчика

Серверы MDM сторонних разработчиков могут управлять Windows 10 с помощью протокола MDM. Встроенный клиент управления может взаимодействовать с совместимым сервером, который поддерживает протокол OMA-DM для выполнения корпоративных задач по управлению. Дополнительные сведения см. в разделе Интеграция Azure Active Directory с MDM.

Примечание  

Для серверов MDM не требуется создание или загрузка клиента для управления Windows 10. Дополнительные сведения см. в разделе Управление мобильными устройствами.

 

Сервер MDM стороннего разработчика будет иметь такое же согласованное взаимодействие с основными компонентами для регистрации. Этим также обеспечивается простота для пользователей Windows 10.

Управление Защитником Windows сервером MDM стороннего разработчика

Эта инфраструктура управления позволяет ИТ-специалистам использовать продукты с поддержкой MDM, например Intune, для управления аттестацией работоспособности, Device Guard или Защитником Windows на устройствах под управлением Windows 10, включая личные устройства для рабочих целей, которые не подключены к домену. У ИТ-специалистов будет возможность управлять всеми действиями и параметрами, с которыми они знакомы, а также настраивать их с помощью Intune с программой Intune Endpoint Protection в операционных системах нижнего уровня. Администраторы, которые в настоящее время управляют устройствами, подключенными к домену с помощью групповой политики, оценят легкость перехода на управление устройствами под управлением Windows 10 с помощью MDM, поскольку многие параметры и действия являются общими для обеих механизмов.

Подробнее о том, как управлять безопасностью и системными параметрами Windows 10 с помощью решения MDM, см. в разделе Пользовательские параметры URI для устройств под управлением Windows 10.

Управление условным доступом

На большинстве платформ регистрация устройства Azure Active Directory (Azure AD) происходит автоматически во время регистрации. Состояния устройства записываются решением MDM в Azure AD, а затем считываются службой Office 365 (или любым уполномоченным приложением для Windows, которое взаимодействует с Azure AD) при следующей попытке получить доступ к рабочей нагрузки, совместимой с Office 365.

Если устройство не зарегистрировано, то пользователь получит сообщение с инструкциями о том, как зарегистрировать (также называется регистрацией). Если устройство не совместимо, клиент получит другое сообщение, которое перенаправит их на веб-портал MDM, где можно получить подробные сведения о проблеме соответствия и способах ее решения.

Azure AD проверяет подлинность пользователя и устройства, MDM управляет соответствием и политиками условного доступа, а служба аттестации работоспособности сообщает о работоспособности устройства аттестованным способом.

Управление условным доступом в Office 365

Azure AD применяет политики условного доступа для обеспечения безопасности доступа к службам Office 365. Администратор клиента может создать политику условного доступа, которая будет блокировать для пользователя с несоответствующим устройством доступ к службе Office 365. Пользователь должен соответствовать политикам для устройств компании, прежде чем ему будет предоставлен доступ к службе. Администратор также может создать политику, которая требует от пользователей зарегистрировать свои устройства для получения доступа к службе Office 365. Политики могут быть применены ко всем пользователям организации или ограничиваться несколькими целевыми группами и усовершенствоваться с течением времени для включения дополнительных целевых групп.

Когда пользователь запрашивает доступ к службе Office 365 из платформы поддерживаемого устройства, служба Azure AD выполняет проверку подлинности пользователя и устройства, из которого пользователь запускает запрос, и предоставляет доступ к службе, только когда пользователь соответствует политике, установленной для службы. Пользователям, устройства которых не зарегистрированы, предоставляются инструкции для регистрации и обеспечения соответствия для получения доступа к корпоративным службам Office 365.

Когда пользователь регистрируется его устройство также регистрируется в службе Azure AD и совместимом решении MDM, например, Intune.

Примечание  

Корпорация Майкрософт работает со сторонними поставщиками ISV MDM для поддержки автоматической регистрации в MDM и проверок доступа на основе политик. Шаги по включению автоматической регистрации в MDM с помощью Azure AD и Intune описаны в записи блога Windows 10, Azure AD и Microsoft Intune: автоматическая регистрация в MDM с помощью облака!.

 

Когда пользователь успешно регистрирует устройство, оно становится надежным. Azure AD предоставляет единый вход для доступа к приложениям компании и применяет политику условного доступа для предоставления права доступа к службе не только тогда, когда пользователь впервые запросит доступ, а и каждый раз, когда пользователь запрашивает возобновление доступа.

Пользователю будет отказано в доступе к службам в случае изменения учетных данных, утраты или кражи устройства или несоблюдения политики соответствия в момент отправки запроса на возобновление права доступа.

В зависимости от типа приложения электронной почты, используемого сотрудниками для получения доступа к службе Exchange Online, путь для установления защищенного доступа к электронной почте может слегка отличаться. Однако основные компоненты, Azure AD, Office 365/Exchange Online и Intune, остаются неизменными. Удобство пользования для ИТ-специалистов и конечных пользователей также является одинаковым.

Клиенты, которые пытаются получить доступ к службе Office 365, будут оцениваться на предмет указанных ниже свойств.

• Управляется ли устройство MDM?

• Зарегистрировано ли устройство в Azure AD?

• Соответствует ли устройство установленным требованиям?

Чтобы добиться состояния соответствия, устройству под управлением Windows 10 необходимо пройти перечисленные ниже этапы.

• Зарегистрироваться с помощью решения MDM.

• Зарегистрироваться в службе Azure AD.

• Соответствовать политикам для устройств, установленным решением MDM.

Примечание  

В настоящее время политики условного доступа выборочно применяются к пользователям устройств с iOS и Android. Дополнительные сведения см. в записи блога Azure AD, Microsoft Intune и Windows 10 — использование облака для модернизации мобильности предприятия!.

 

Управление условным доступом в облачных и локальных приложениях

Управление условным доступом — это мощный модуль оценки политики, встроенный в службу Azure AD. Он предоставляет ИТ-специалистам простой способ создания правил доступа за рамками Office 365, которые оценивают контекст входа пользователя для принятия решений в режиме реального времени относительно приложений, доступ к которым необходимо разрешить.

ИТ-специалисты могут настроить дополнительные политики управления условным доступом для облачных приложений SaaS, безопасность которых обеспечивается службой Azure AD, и даже локальных приложений. Правила доступа в службе Azure AD используют возможности модуля условного доступа для проверки работоспособности устройства и состояния соответствия, указанного совместимым решением MDM, например, Intune, с целью определения возможности разрешения доступа.

Подробнее об условном доступе см. в разделе Знакомство с условным доступом к Azure для приложений SaaS.

Примечание  

Управление условным доступом — это функция службы Azure AD Premium, которая также доступна в EMS. Если у вас нет подписки на службу Azure AD Premium, вы можете получить пробную версию на веб-сайте Microsoft Azure.

 

Для локальных приложений существует два параметра для включения управления условным доступом на основе состояния соответствия устройства.

• Для локальных приложений, которые публикуются через прокси-сервер приложения Azure AD, можно настроить политики управления условным доступом, аналогично тому, как это делается для облачных приложений. Дополнительные сведения см. в записи блога Знакомство с обновленным управлением условным доступом в Azure AD: добавлена поддержка локальных и пользовательских бизнес-приложений.

• Кроме того, служба Azure AD Connect будет синхронизировать данные о соответствии устройства из службы Azure AD в локальную службу AD. ADFS в Windows Server Technical Preview 2016 будет поддерживать управление условным доступом на основе состояния соответствия устройства. ИТ-специалисты настроят политики управления условным доступом в службе ADFS, которая использует состояние соответствия устройства, полученное от совместимого решения MDM, для обеспечения безопасности локальных приложений.

Указанный ниже процесс описывает принцип работы условного доступа к Azure AD.

1. Пользователь уже зарегистрирован в MDM с помощью доступа к рабочему месту или службы Azure AD, которая регистрирует устройство в Azure AD.

2. Когда устройство загружается или возобновляет работу из режима гибернации, инициируется задача "Tpm-HASCertRetr" для отправки фонового запроса на большой двоичный объект аттестации работоспособности. Устройство отправляет результаты измерения загрузки доверенного платформенного модуля в службу аттестации работоспособности.

3. Служба аттестации работоспособности проверяет состояние устройства и выдает зашифрованный большой двоичный объект устройству на основе состояния работоспособности со сведениями о неудачных проверках (при их наличии).

4. Пользователь входит в систему, и агент MDM связывается с сервером Intune/MDM.

5. Сервер MDM выдает новые политики, если они доступны и запрашивает состояние большого двоичного объекта работоспособности и другое состояние инвентаризации.

6. Устройство отправляет ранее полученный большой двоичный объект работоспособности, а также значение другой инвентаризации состояния, запрошенные Intune/сервером MDM.

7. Intune/сервер MDM отправляет большой двоичный объект работоспособности в службу аттестации работоспособности для проверки.

8. Служба аттестации работоспособности убеждается в том, что устройство, которое отправило большой двоичный объект аттестации работоспособности, является работоспособным, и возвращает этот результат Intune/серверу MDM.

9. Intune/сервер MDM оценивает соответствие на основе соответствия и запрошенной инвентаризации/состояния аттестации работоспособности от устройства.

10. Intune/сервер MDM обновляет состояние соответствия путем сопоставления объекта устройства в службе Azure AD.

11. Пользователь открывает приложение, пытается получить доступ к корпоративному управляемому ресурсу.

12. Доступ, заблокированный утверждением соответствия в Azure AD.

13. Если устройство соответствует установленным требованиям, и пользователь уполномочен, создается маркер доступа.

14. Пользователь может получить доступ к корпоративному управляемому ресурсу.

Дополнительные сведения о присоединении к Azure AD см. в техническом документе Azure AD и Windows 10: улучшение сотрудничества для работы и учебы.

Управление условным доступом — это тема, о которой многие организации и ИТ-специалисты могут не знать в достаточной мере. Различные атрибуты, описывающие пользователя, устройство, соответствие требованиям и контекст, являются очень мощными при использовании с модулем условного доступа. Управление условным доступом — это важный шаг, который помогает организациям обеспечить безопасность своей среды.

Выноски и выводы

Следующий список содержит ключевые выноски высокого уровня для улучшения безопасности любой организации. Однако некоторые выноски, представленные в этом разделе, не должны интерпретироваться как исчерпывающий список рекомендаций по безопасности.

• Необходимо понимать, что не существует полностью надежного решения

  Злоумышленники, которые пытаются получить физический доступ к устройству, могут проникнуть через уровни безопасности и контролировать их.

• Использование аттестации работоспособности с помощью решения MDM

  Устройства, которые пытаются подключиться к ценным ресурсам, должны пройти проверку работоспособности, чтобы можно было обнаружить и заблокировать неработоспособные и несоответствующие требованиям устройства, а также сообщить о них.

• Использование Credential Guard

  Credential Guard — это функция, которая существенно помогает защищить корпоративные учетные данные к домену от атак типа передачи хэша.

• Использование Device Guard

  Device Guard — это настоящее достижение в области безопасности и эффективный способ повысить безопасность от вредоносного ПО. Новая функция Device Guard в Windows 10 блокирует ненадежные приложения (приложения, не разрешенные вашей организацией).

• Подпись политики Device Guard

  Подписанная политика Device Guard помогает улучшить защиту от пользователя с правами администратора, который пытается нарушить существующую политику. Если политика подписана, единственный способ изменить Device Guard в дальнейшем, — это предоставить новую версию политики, подписанной тем же подписантом, или подписантом, указанном в политике Device Guard.

• Использование средства обеспечения безопасности на основе виртуализации

  Когда целостность кода режима ядра защищена средством обеспечения защиты с помощью виртуализации, правила целостности кода применяются, даже если уязвимость позволяет несанкционированный доступ к памяти в режиме ядра. Помните, что устройства Device Guard, которые запускают целостность кода ядра с помощью средства обеспечения безопасности на основе виртуализации, должны иметь совместимые драйверы.

• Начало развертывания Device Guard в режиме аудита

  Разверните политику Device Guard на целевые компьютеры и устройства в режиме аудита. Контролируйте журнал событий целостности кода, который указывает программу или драйвер, которые были бы заблокированы, если бы Device Guard был настроен в режиме принудительного применения. Изменяйте правила Device Guard до достижения высокого уровня уверенности. После этапа тестирования политику Device Guard можно переключить на режим принудительного применения.

• Создание изолированного справочного компьютера при развертывании Device Guard

  Поскольку корпоративная сеть может содержать вредоносное ПО, вы должны начать настройку справочной среды, изолированной от основной корпоративной сети. После этого вы сможете создать политику целостности кода с надежными приложениями, которые необходимо запускать на защищенных устройствах.

• Использование AppLocker, когда это целесообразно

  Хотя AppLocker не считается новой функцией Device Guard, он дополняет функциональность Device Guard для некоторых сценариев, например, для возможности отказа от определенных универсальных приложений для Windows для определенного пользователя или группы пользователей.

• Блокирование встроенного ПО и конфигурации

  После установки Windows 10 заблокируйте доступ к параметрам загрузки встроенного ПО. Это не позволит пользователю с физическим доступом вносить изменения в параметры UEFI, отключать безопасную загрузку или загружать другие операционные системы. Кроме того, для защиты от администратора, пытающегося отключить Device Guard, добавьте правило в текущую политику Device Guard, которая заблокирует запуск средства C:\Windows\System32\SecConfig.efi.

Аттестация работоспособности — это ключевая функция Windows 10, которая включает в себя клиента и облачные компоненты для управления доступом к особо ценным ресурсам на основе пользователя и удостоверения устройства, а также соответствия корпоративной политике управления. Организации могут обнаруживать неработоспособные устройства и сообщать о них, или настроить правила принудительного применения проверки работоспособности, исходя из своих потребностей. Аттестация работоспособности предоставляет комплексную модель безопасности и точки интеграции, которые поставщики и разработчики могут использовать для построения и интеграции пользовательского решения.

Связанные разделы

Credential Guard

Руководство по развертыванию Device Guard

Обзор технологии доверенного платформенного модуля