Обзор системы безопасности в Windows 10

В этом руководстве содержится подробное описание самых важных усовершенствований в области безопасности в ОС Windows 10 со ссылками на более подробные статьи обо многих функциях безопасности. По возможности предоставляются конкретные рекомендации, которые помогут во внедрении и настройке функций безопасности Windows 10.

Введение

В Windows 10 обеспечены механизмы защиты от известных и возникающих угроз безопасности по многочисленным векторам атак. В Windows 10 реализованы механизмы безопасности, которые можно разделить на три группы.

• Функции контроля удостоверений и доступа были существенно расширены, чтобы упростить процедуру проверки подлинности пользователей и повысить ее безопасность. К таким функциям относятся Windows Hello и Microsoft Passport, которые лучше защищают удостоверения пользователей благодаря простой в развертывании и использовании многофакторной проверке подлинности (MFA). Еще одной новой функцией является Credential Guard, использующий систему безопасности на основе виртуализации (VBS) для защиты подсистем проверки подлинности Windows и учетных данных пользователей.

• Защита информации, обеспечивающая безопасность информации в месте хранения, при использовании и в ходе передачи. Помимо BitLocker и BitLocker To Go для защиты данных в месте хранения в Windows 10 реализовано шифрование на уровне файлов, используется также и система защиты корпоративных данных, выполняющая разделение и изолирование данных. В сочетании со службой Rights Management эта технология позволяет сохранить данные зашифрованными, когда они покидают сеть предприятия. Windows 10 также обеспечивает безопасность данных с помощью виртуальных частных сетей (VPN) и IPSec.

• Сопротивление вредоносному ПО включает архитектурные изменения, которые могут изолировать ключевые системные компоненты и компоненты безопасности и защитить их от угроз. Несколько новых функций Windows 10 помогают снизить риски, связанные с вредоносным ПО, включая VBS, Device Guard, Microsoft Edge и совершенно новую версию Защитника Windows. Кроме того, многие функции защиты от вредоносного ПО из ОС Windows 8.1, включая контейнеры AppContainer для изоляции приложений и многочисленные функции защиты ОС при запуске (например, надежная загрузка), перенесены в Windows 10 и усовершенствованы в новой системе.

Контроль удостоверений и доступа

Традиционно контроль доступа представляет собой процесс, который состоит из трех компонентов.

• Идентификация — пользователь указывает свое уникальное удостоверение в компьютерной системе с целью получения доступа к ресурсу, например файлу или принтеру. В некоторых определениях пользователь называется "субъект", а ресурс — "объект".

• Проверка подлинности — процедура подтверждения указанного удостоверения и проверка того, что субъект действительно является тем, за кого себя выдает.

• Авторизация — выполняется системой с целью сравнить права доступа прошедшего проверку подлинности субъекта и разрешения объекта и либо предоставить запрошенный доступ, либо отказать в нем.

Реализация этих компонентов существенно укрепляет защиту секретных данных от злоумышленников. Только пользователь, подтвердивший свою личность и получивший право на доступ к данным, сможет осуществить доступ. В системе безопасности существуют разные степени проверки подлинности удостоверений и множество различных требований к лимитам авторизации. Обеспечение гибкости контроля доступа, необходимой в большинстве сред предприятий, является сложной задачей для любой ОС. В таблице 1 перечислены типичные задачи в области контроля доступа в Windows и соответствующие решения, представленные в Windows 10.

Таблица 1. Решения для стандартных задач в области контроля доступа в Windows 10

Задача контроля доступа	Решения Windows 10
Организации часто используют пароли, потому что использовать альтернативные методы слишком сложно и дорого. Организации, выбирающие альтернативы паролю, например смарт-карты, должны приобретать считывающие устройства для смарт-карт, смарт-карты и ПО для управления ими, а также управлять всеми этими ресурсами. При использовании этих решений продуктивность снижается в случае потери или повреждения компонента MFA. Следовательно, решения MFA, например смарт-карты, как правило, используются только для VPN и узкого круга активов.	Windows Hello на устройствах с поддержкой биометрии и Microsoft Passport значительно упрощают MFA.
Пользователи планшетов должны вводить пароль на сенсорном экране, поэтому возможны ошибки. В целом этот метод менее эффективен, чем ввод с клавиатуры. Windows Hello позволяет безопасно проводить проверку подлинности на основе распознавания лица.	Windows Hello позволяет безопасно проводить проверку подлинности на основе распознавания лица.
Отдел ИТ должен приобрести средства сторонних поставщиков и управлять ими, чтобы обеспечить соблюдение нормативных требований к контролю доступа и аудиту.	В сочетании с операционной системой Windows Server 2012, динамический контроль доступа обеспечивает возможность гибкого контроля доступа и аудита с соблюдением многочисленных требований регулирующих органов в области безопасности и не только.
Пользователям не нравится вводить пароли.	Единый вход (SSO) обеспечивает возможность однократного входа по паспорту Microsoft Passport и получения доступа ко всем ресурсам организации без повторной проверки подлинности. Windows Hello позволяет выполнять безопасную проверку подлинности на основе распознавания отпечатков пальцев и лиц. Этот способ можно использовать для повторного подтверждения подлинности пользователя при осуществлении доступа к конфиденциальным ресурсам.
Windows добавляет увеличивающиеся по продолжительности задержки между попытками входа и может заблокировать учетную запись пользователя в случае атаки методом подбора.	Если на системном диске включен BitLocker и активирована защита от атак методом подбора, Windows может перезагрузить ПК после определенного количества неудачных попыток ввести пароль, заблокировать доступ к жесткому диску и потребовать от пользователя ввода 48-значного ключа восстановления BitLocker, чтобы запустить устройство и получить доступ к диску.

 

В следующих разделах эти задачи и их решения описаны более подробно.

Microsoft Passport

Microsoft Passport позволяет выполнять строгую двухфакторную проверку подлинности (2FA), эта технология полностью интегрирована в Windows, она заменяет пароли комбинацией из зарегистрированного устройства и ПИН-кода или Windows Hello. Технология Microsoft Passport по сути схожа с технологией смарт-карт, однако является более гибкой. Проверка подлинности выполняется с использованием пары асимметричных ключей, а не сравнения строк (например, пароля), и материал ключа пользователя можно обеспечить аппаратной защитой.

В отличие от смарт-карт Microsoft Passport не требует дополнительных инфраструктурных компонентов для развертывания. В частности, вам не потребуется инфраструктура открытых ключей (PKI). Если PKI уже используется (например, для защиты электронной почты или проверки подлинности для VPN), можно воспользоваться существующей инфраструктурой для работы с Microsoft Passport. Microsoft Passport сочетает в себе основные достоинства технологии смарт-карт — гибкость в развертывании виртуальных смарт-карт и высокую безопасность физических, однако без их недостатков.

Microsoft Passport имеет три существенных преимущества над проверкой подлинности Windows в ее нынешнем виде: это более гибкая технология, она соответствует отраслевым стандартам и эффективна в снижении рисков. В последующих разделах эти преимущества рассматриваются более подробно.

Гибкость

Microsoft Passport отличается беспрецедентной гибкостью. Несмотря на то что формат и применение паролей и смарт-карт являются фиксированными, Microsoft Passport дает как администраторам, так и пользователям возможности управлять проверкой подлинности. Во-первых, Microsoft Passport работает с биометрическими датчиками и ПИН-кодами, это очень важно. Во-вторых, можно использовать ПК или даже телефон в качестве одного из факторов проверки подлинности на ПК. Наконец, учетные данные пользователя могут поступать из вашей инфраструктуры PKI. Кроме того, Windows сама может создать учетные данные.

Microsoft Passport позволяет забыть о длинных и сложных паролях. Вместо того чтобы требовать запоминания и многократного ввода часто меняющихся паролей, Microsoft Passport позволяет выполнять проверку подлинности по ПИН-коду и биометрическим данным с помощью Windows Hello, надежно устанавливая личность пользователей.

С Microsoft Passport также обеспечивается гибкость с точки зрения центров обработки данных. Для развертывания этой технологии необходимо добавить контроллеры домена Windows Server 2016 в среду Active Directory, однако заменять или удалять существующие серверы Active Directory не требуется: Microsoft Passport развертывается на базе существующей инфраструктуры и дополняет ее. Для развертывания Microsoft Passport в вашей сети можно добавить локальные серверы или воспользоваться Microsoft Azure Active Directory. Вы самостоятельно выбираете, каким пользователям предоставить возможность использования Microsoft Passport, какие элементы защитить и какие факторы проверки подлинности использовать. Подобная гибкость позволяет легко использовать Microsoft Passport для дополнения уже развернутых систем проверки подлинности на базе смарт-карт или токенов: достаточно добавить 2FA для пользователей, для которых в данный момент эта технология не используется, или развернуть Microsoft Passport в случаях, где требуется дополнительная защита для конфиденциальных ресурсов или систем.

Унификация

Поставщики программного обеспечения и коммерческие клиенты поняли, что доморощенные системы удостоверений и проверки подлинности — это путь в никуда: будущее — за открытыми, совместимыми системами, обеспечивающими безопасную проверку подлинности на разных устройствах и веб-сайтах, в разных бизнес-приложениях и внешних приложениях. Поэтому группа лиц с активной жизненной позицией в отрасли сформировала альянс FIDO (Fast IDentity Online Alliance). Альянс FIDO — это некоммерческая организация, призванная решить проблему несовместимости устройств со строгой проверкой подлинности друг с другом, а также проблемы, с которыми сталкиваются пользователи, которым нужно создавать и запоминать множество имен пользователя и паролей. Альянс FIDO планирует изменить принципы проверки подлинности путем разработки спецификаций, определяющих открытый, масштабируемый и совместимый набор механизмов, которые придут на смену паролям в сфере проверки подлинности пользователей в веб-службах. Этот новый стандарт для устройств безопасности и браузерных подключаемых модулей обеспечит любому веб-сайту или облачному приложению взаимодействие с широким спектром существующих и будущих устройств с поддержкой FIDO, которые пользователи применяют для защиты себя в Интернете.

В 2014 году корпорация Майкрософт вошла в совет директоров альянса FIDO. Стандарты FIDO предусматривают универсальную платформу, предоставляемую глобальной экосистемой для обеспечения унифицированной и значительно улучшенной и упрощенной работы со строгой проверкой подлинности без использования паролей для пользователей. Спецификации FIDO 1.0, опубликованные в декабре 2014 года, предусматривают два типа проверки подлинности: без паролей (UAF) и проверку подлинности по второму фактору (U2F). Альянс FIDO в настоящее время разрабатывает набор предложений 2.0, в котором будут реализованы лучшие идеи стандартов U2F и UAF FIDO 1.0 и, конечно, новые идеи. Корпорация Майкрософт отправила технологию Microsoft Passport на рассмотрение и оценку в рабочую группу по спецификации FIDO 2.0. Корпорация продолжает работать с альянсом FIDO по мере развития спецификации FIDO 2.0. Совместимость продуктов FIDO является отличительной чертой проверки подлинности FIDO. В корпорации Майкрософт считают, что вывод решения FIDO на рынок поможет решить проблему с огромной потребностью, которую испытывают как компании, так и отдельные пользователи.

Эффективность

Microsoft Passport эффективно снижает две главных угрозы безопасности. Во-первых, исключается использование паролей для входа в систему. Следовательно, снижается риск хищения и использования учетных данных пользователя злоумышленником. Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Во-вторых, поскольку технология Microsoft Passport подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

Для нарушения безопасности учетных данных Microsoft Passport, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать ПИН-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Это ставит перед злоумышленниками задачу на несколько порядков сложнее, нежели обычные фишинговые атаки с целью получения пароля.

Windows Hello

Windows Hello — это название новой биометрической технологии входа для Microsoft Passport. Поскольку биометрическая проверка подлинности встроена непосредственно в операционную систему, Windows Hello позволяет разблокировать устройства с помощью лица или отпечатков пальцев. Следовательно, проверка подлинности на устройствах и для ресурсов обеспечивается комбинацией уникального биометрического идентификатора пользователя и самим устройством.

Биометрические данные пользователя, которые используются для Windows Hello, считаются локальным элементом, они не перемещаются между устройствами пользователя и не хранятся централизованно. Биометрическое изображение пользователя, которое делает датчик, преобразуется в алгоритм, который невозможно преобразовать обратно в исходное изображение (снятое датчиком). Устройства с TPM 2.0 шифруют биометрические данные в недоступной для чтения форме, что защищает конфиденциальную информацию на случай перемещения с устройства. Если несколько пользователей совместно используют устройство, то каждый пользователь сможет зарегистрироваться и использовать Windows Hello для своего профиля Windows.

Windows Hello поддерживает два типа биометрических датчиков, которые можно использовать на предприятиях.

• Распознавание лиц использует специальные инфракрасные камеры, чтобы отличить фотографию или скан от живого человека. Некоторые поставщики поставляют внешние камеры с этой функциональной возможностью, а крупные производители изготавливают устройства с интегрированной технологией распознавания лица.

• Распознавание отпечатков пальцев использует специальный датчик для сканирования отпечатков пальцев. Несмотря на то что сканеры отпечатков пальцев устанавливаются на компьютеры под управлением Windows уже давно, алгоритмы обнаружения, распознавания и защиты от спуфинга в Windows 10 существенно усовершенствованы по сравнению с предыдущими версиями Windows. Большинство существующих сканеров отпечатков пальцев (внешних или интегрированных в ноутбуки или подключаемые через USB-клавиатуры) могут использоваться с Windows Hello.

Windows Hello обеспечивает ряд крупных преимуществ. Во-первых, решены проблемы хищения и распространения учетных данных, потому что злоумышленнику нужно не только получить доступ к устройству, но и подделать биометрические данные пользователя, то гораздо сложнее, чем похитить пароль или ПИН-код. Во-вторых, использование биометрии дает пользователям механизм проверки подлинности, который всегда при них: его невозможно забыть, потерять или оставить дома. Теперь вместо того чтобы запоминать длинные сложные пароли пользователь может применять удобный и безопасный метод входа в систему на всех своих устройствах Windows. Наконец, не нужно ничего развертывать и контролировать дополнительно. Поскольку поддержка Windows Hello интегрирована непосредственно в ОС, дополнительные драйверы развертывать не нужно.

Сопротивляемость атакам методом подбора

Атака методом подбора — это процесс, позволяющий получить доступ к устройству простым угадыванием пароля пользователя, его ПИН-кода или даже подбором биометрических данных до тех пор, пока злоумышленнику не удастся взломать устройство. В последних нескольких версиях Windows корпорация Майкрософт добавила ряд функций для существенного снижения вероятности успешной атаки.

В ОС Windows 7 и предыдущих версиях защита от подобных атак была достаточно прямолинейной: после нескольких ошибок работа системы замедлялась либо становилось невозможно предпринять дальнейшие попытки входа. Когда пользователи используют полный пароль для входа в систему, Windows заставляет пользователей ждать несколько секунд, если пароль несколько раз введен неправильно. Можно даже настроить Windows так, чтобы ОС блокировала учетную запись на определенный период времени при обнаружении атаки методом подбора.

Windows 8.1 и Windows 10 поддерживают еще более мощную (использовать которую, однако, необязательно) форму защиты от атак методом подбора, когда учетные данные привязаны к TPM. Если операционная система обнаруживает атаку методом подбора против механизмов входа в систему Windows и BitLocker обеспечивает защиту системного диска, Windows может автоматически перезагрузить устройство и перевести BitLocker в режим восстановления до тех пор, пока кто-нибудь не введет ключ-пароль восстановления. Этот пароль представляет собой практически неподбираемый 48-символьный код восстановления, который необходимо ввести для нормального запуска Windows.

Если вы хотите узнать, как настроить защиту от атак методом подбора, воспользуйтесь тестовым ПК под управлением Windows 10 с включенной защитой BitLocker для системного диска, а затем напечатайте ключ восстановления BitLocker, чтобы он всегда был под рукой. Затем откройте редактор локальной групповой политики, запустив файл gpedit.msc, и перейдите в раздел "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности". Откройте политику Интерактивный вход: порог блокировки учетной записи компьютера и задайте значение 5, как показано на рисунке 1.

Рис. 1. Укажите число неудачных попыток доступа до блокировки

Теперь ваш компьютер настроен для использования защиты от атак методом подбора. Перезагрузите свой ПК. В ответ на запрос входа вводите пароль неправильно до тех пор, пока ПК не перезагрузится. Теперь попытайтесь угадать 48-значный ключ восстановления. Вы будете рады, что распечатали его заблаговременно.

Защита информации

Когда пользователи путешествуют, конфиденциальные данные их организации путешествуют вместе с ними. Где бы ни хранились конфиденциальные данные, их необходимо защитить от несанкционированного доступа. В Windows давно успешно реализуются механизмы защиты данных на хранении, позволяющие оградить информацию от атак злоумышленников, начиная с файловой системы шифрования файлов в ОС Windows 2000. Недавно благодаря BitLocker было обеспечено шифрование полных и переносных дисков; в Windows 10 с помощью BitLocker можно защищать даже отдельные файлы, реализована возможность предотвращения утери данных. В ОС Windows последовательно совершенствуются механизмы защиты данных: улучшаются существующие схемы и появляются новые стратегии.

В таблице 2 перечислены конкретные проблемы в сфере защиты данных и описано их решение в Windows 10 и Windows 7.

Таблица 2. Защита данных в Windows 10 и Windows 7

Windows 7	Windows 10
Если BitLocker используется вместе с ПИН-кодом для обеспечения безопасности в ходе загрузки, перезагрузить ПК (например, киоски) удаленно невозможно.	Защита современных устройств Windows все чаще обеспечивается готовой системой шифрования устройства и поддержкой SSO, что обеспечивает удобную защиту ключей шифрования BitLocker от атак методом холодной перезагрузки. Сетевая разблокировка позволяет выполнять автоматический запуск ПК при наличии подключения к внутренней сети.
Для смены ПИН-кода или пароля BitLocker пользователи должны обратиться в отдел ИТ.	Современные устройства Windows более не требуют ПИН-код в предзагрузочной среде, чтобы защитить ключи шифрования BitLocker от атак посредством холодной перезагрузки. Пользователи со стандартными привилегиями могут изменить свой ПИН-код или пароль BitLocker на устаревших устройствах, где требуется ПИН-код.
Если BitLocker включен, процедура подготовки может занять несколько часов.	Предварительная подготовка BitLocker, шифрование жестких дисков и шифрование только используемого пространства позволяет администраторам быстро включать BitLocker на новых компьютерах.
Отсутствует поддержка использования BitLocker с самошифрующимися дисками (SED).	BitLocker поддерживает разгрузку шифрования на зашифрованные жесткие диски.
Администраторы должны использовать для управления зашифрованными жесткими дисками специальные средства.	BitLocker поддерживает зашифрованные жесткие диски благодаря встроенному оборудованию для шифрования, что позволяет администраторам использовать знакомые инструменты администрирования BitLocker для управления ими.
Шифрование нового флеш-диска может занять более 20 минут.	Шифрование только используемого пространства в BitLocker To Go позволяет шифровать диски за секунды.
BitLocker может потребовать от пользователей ввода ключа восстановления при внесении изменений в конфигурацию системы.	BitLocker требует ввода ключа восстановления только в случае повреждения диска или утери ПИН-кода или пароля пользователем.
Пользователи должны ввести ПИН-код для запуска ПК, а затем пароль для входа в Windows.	Защита современных устройств Windows все чаще обеспечивается готовой системой шифрования устройства и поддержкой SSO, что помогает защитить ключи шифрования BitLocker от атак методом холодной перезагрузки.

 

В приведенных ниже разделах эти усовершенствования описываются более подробно.

Подготовка к шифрованию дисков и файлов

Самые лучшие меры безопасности прозрачны для пользователя на этапах внедрения и использования. Всякий раз при возникновении задержки или сложности, вызванной использованием функции безопасности, велика вероятность того, что пользователи попытаются обойти систему безопасности. Это особенно актуально, если речь идет о защите данных, и организациям нужно всеми способами обезопасить себя от этого.

Windows 10 предлагает надежные и удобные решения для шифрования целых томов, съемных устройств или отдельных файлов. Можно предпринять определенные меры заранее, чтобы подготовиться к шифрованию данных и сделать развертывание максимально простым и быстрым.

Предварительная подготовка TPM

В Windows 7 подготовка TPM к работе была сопряжена с некоторыми сложностями.

• Можно выключить TPM в BIOS, для чего потребуется отправить специалиста в настройки BIOS для включения TPM или установить драйвер для включения TPM из Windows.

• При включении TPM может потребоваться выполнить одну или несколько перезагрузок.

Как правило, все это было сопряжено с большими сложностями. Если ИТ-специалисты занимаются подготовкой новых ПК, они могут выполнить все вышеперечисленное, но если требуется добавить BitLocker на устройства, с которыми уже работают пользователи, последним придется справляться с техническими сложностями и либо обращаться к ИТ-специалистам за поддержкой, либо не включать BitLocker.

Корпорация Майкрософт включила в Windows 10 инструментарий, необходимый для полноценного управления TPM из операционной системы. Не требуется заходить в BIOS, устранены также все ситуации, требующие перезагрузки компьютера.

Шифрование жесткого диска

BitLocker может шифровать жесткие диски полностью, включая системные диски и диски с данными. Предварительная подготовка BitLocker позволяет существенно сократить время, необходимое для включения BitLocker на новых ПК. В Windows 10 администраторы могут включить BitLocker и TPM из предустановочной среды Windows до установки Windows или в рамках последовательности задач автоматизированного развертывания без какого-либо вмешательства со стороны пользователя. В сочетании с шифрованием только используемого места на диске и учитывая, что диск практически пуст (поскольку Windows еще не установлена), для включения BitLocker потребуется всего несколько секунд.

В предыдущих версиях Windows администраторам приходилось включать BitLocker после установки Windows. Несмотря на то что этот процесс можно автоматизировать, BitLocker потребовалось бы шифровать целый диск (на что ушло бы от нескольких часов до более одного дня в зависимости от размера диска и производительности), что существенно бы увеличило время развертывания. Майкрософт улучшила эту процедуру, внедрив в Windows 10 несколько новых функций.

Шифрование устройства

Начиная c Windows 8.1 ОС Windows автоматически включает шифрование устройств с помощью BitLocker на устройствах, поддерживающих InstantGo. В Windows 10 Майкрософт обеспечивает поддержку шифрования гораздо более широкого диапазона устройств, включая устройства с InstantGo. Корпорация Майкрософт исходит из того, что в будущем большинство устройств будут соответствовать требованиям и шифрование устройств будет распространено на всех современных устройствах Windows. Шифрование устройств обеспечивает дополнительную защиту системы благодаря прозрачной реализации шифрования данных в масштабах устройства.

В отличие от стандартной реализации BitLocker шифрование устройства включается автоматически, поэтому устройство защищено всегда. В следующем списке изложено, как это происходит.

• Компьютер готов к первому использованию по окончании чистой установки Windows 10 и предварительной настройки. В рамках вышеописанной подготовки шифрование устройства инициализируется на диске операционной системы и фиксированных дисках с данными на компьютере с незащищенным ключом (что эквивалентно стандартному состоянию приостановки BitLocker).

• Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.

• Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). Необходимо включить параметр групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы и выбрать вариант Не включать BitLocker до сохранения данных восстановления в AD DS для дисков операционной системы. При такой конфигурации пароль восстановления создается автоматически, когда компьютер подключается к домену, а в AD DS создается резервная копия ключа восстановления. Затем создается механизм защиты TPM, незащищенный ключ удаляется.

• Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.

Майкрософт рекомендует включать шифрование устройств в любых системах, где поддерживается эта возможность, однако выключить автоматическое шифрование устройств можно. Для этого нужно изменить следующий параметр реестра.

• Подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

• Значение: PreventDeviceEncryption равно True (1)

• Тип: REG_DWORD

Администраторы могут управлять присоединенными к домену устройствами с включенным шифрованием устройств через систему администрирования и мониторинга Microsoft BitLocker (MBAM). В этом случае система шифрования устройств делает доступными дополнительные параметры BitLocker. Преобразование или шифрование не требуется, и если нужно внести какие-либо изменения в конфигурацию, MBAM может осуществлять управление всем набором политик BitLocker.

Шифрование только занятого места на диске

На шифрование диска с помощью BitLocker в предыдущих версиях Windows могло уходить много времени, потому что шифровался каждый байт тома (включая части, не содержащие данных). Это по-прежнему самый надежный способ шифрования диска, особенно если ранее на диске хранились конфиденциальные данные, которые были перемещены или удалены: в этом случае следы конфиденциальных данных могут оставаться в частях диска, помеченных как неиспользуемые.

Зачем шифровать новый диск, если можно просто шифровать данные по мере записи? Чтобы сократить время шифрования, пользователи BitLocker в Windows 10 предпочитают шифровать только данные. В зависимости от объема данных на диске это позволяет сократить время шифрования более, чем на 99 процентов.

Соблюдайте осторожность, шифруя только используемое пространство в существующем томе, где уже могут храниться конфиденциальные данные в незашифрованном состоянии, потому что пока сюда не будут записаны новые зашифрованные данные, эти секторы можно восстановить с помощью средств восстановления диска. Напротив, шифрование только используемого пространства в совершенно новом томе может существенно сократить продолжительность развертывания без рисков безопасности, потому что все новые данные будут зашифрованы по мере записи на диск.

Поддержка шифрования жесткого диска

SED доступны уже многие годы, однако Майкрософт не удавалось обеспечить поддержку этой технологии в более ранних версиях Windows, потому что на дисках отсутствовали важные функции управления ключами. Корпорация Майкрософт совместно с поставщиками ресурсов хранения сделала многое для совершенствования аппаратных возможностей, и теперь BitLocker поддерживает SED нового поколения, которые называются зашифрованными жесткими дисками.

Зашифрованные жесткие диски имеют встроенные криптографические возможности, что позволяет шифровать данные на дисках, повышает производительность дисков и системы благодаря переносу криптографических вычислений с процессора ПК на сам диск и быстрому шифрованию диска с использованием специального выделенного оборудования. Если планируется использовать в Windows 10 шифрование всего диска, Майкрософт рекомендует изучить производителей и модели жестких дисков, чтобы определить, соответствуют ли их зашифрованные жесткие диски вашим требованиям в области безопасности и финансовым возможностям.

Дополнительные сведения о зашифрованных жестких дисках см. в статье Зашифрованный жесткий диск.

Защита информации на этапе предварительной загрузки

Эффективная система защиты информации, как и большинство средств контроля безопасности, отличается удобством и безопасностью. Как правило, пользователи предпочитают простые системы безопасности. По сути, чем более прозрачным является решение безопасности, тем охотнее пользователи будут его применять.

Для организаций очень важно защитить информацию на своих ПК независимо от состояния компьютеров и намерений пользователей. Такая защита не должна обременять пользователей. Одним из неудобных (однако очень распространенных ранее) сценариев является ситуация, когда пользователю нужно вводить определенные данные во время предварительной загрузки, а затем снова при входе в Windows. Следует избегать такой ситуации, когда пользователю приходится несколько раз вводить данные, чтобы войти в систему.

В Windows 10 можно обеспечить подлинно единый вход, начиная со среды предварительной загрузки на современных устройствах, а в некоторых случаях — и на более старых устройствах при наличии продуманных конфигураций для защиты информации. TPM в изоляции способен обеспечить надежную защиту ключа шифрования BitLocker в состоянии покоя и безопасно разблокировать диск операционной системы. Если ключ используется и, следовательно, находится в памяти, аппаратные функции в сочетании с возможностями Windows обеспечивают безопасность ключа и защищают от несанкционированного доступа в результате атак методом холодной загрузки. Несмотря на доступность других мер противодействия (разблокировка с использованием ПИН-кода), они неудобны; в зависимости от конфигурации устройства при использовании этих мер может не обеспечиваться дополнительная защита ключа. Дополнительные сведения о настройке BitLocker для работы с SSO см. в статье Меры противодействия BitLocker.

Управление паролями и ПИН-кодами

Если BitLoслук включен на системном диске и ПК оснащен модулем TPM, можно потребовать от пользователей ввода ПИН-кода, прежде чем BitLocker разблокирует диск. Это требование защищает от злоумышленников, получивших физический доступ к ПК, и не позволяет им даже дойти до входа в систему Windows. В результате получить доступ к данным пользователя или системным файлам или изменить их практически невозможно.

Требование ввода ПИН-кода при запуске — полезный механизм обеспечения безопасности, потому что он выступает в качестве второго фактора проверки подлинности ("что-то, что вы знаете"). Тем не менее, есть и другая сторона медали. Во-первых, необходимо регулярно менять ПИН-код. В организациях, где BitLocker использовался с ОС Windows 7 и Windows Vista, пользователям приходилось обращаться к системным администраторам, чтобы обновить ПИН-код или пароль BitLocker. В результате не только росли затраты на управление, но и пользователи не желали менять ПИН-код или пароль BitLocker достаточно часто.

Пользователи Windows 10 могут обновлять свои ПИН-коды и пароли BitLocker самостоятельно, учетные данные администратора для этого не нужны. Это не только позволяет снизить затраты на поддержку, но и повысить безопасность, потому что поощряется регулярная смена ПИН-кодов и паролей пользователями. Кроме того, для запуска устройств с InstantGo не требуется ПИН-код: они не предназначены для регулярного запуска, поэтому реализованы другие меры для уменьшения поверхности для атак в системе.

Дополнительные сведения о работе механизмов обеспечения безопасности при запуске и реализованных в Windows 10 мерах противодействия см. в статье Защита от атак на этапе предварительной загрузки с помощью BitLocker.

Настройка сетевой разблокировки

В некоторых организациях действуют требования к безопасности данных в зависимости от расположения. Это наиболее распространено в средах, где на ПК хранятся очень ценные данные. Сетевая среда может обеспечить важную защиту данных и принудительно реализовать обязательную проверку подлинности; следовательно, согласно политике организации, такие ПК не должны покидать здание или отключаться от сети организации. Меры безопасности, такие как физические блокировки безопасности и использование геозон, позволяют реализовывать эту политику в форме реактивных мер контроля. Помимо этого, необходимо реализовать проактивный контроль безопасности: доступ к данным может быть предоставлен, только когда ПК подключен к сети организации.

Сетевая разблокировка позволяет автоматически запускать ПК под защитой BitLocker, если они подсоединены к проводной сети организации, в которой выполняются службы развертывания Windows. Если ПК не подключен к сети организации, пользователь должен ввести ПИН-код, чтобы разблокировать диск (если включена разблокировка по ПИН-коду).

Для использования сетевой разблокировки требуется следующая инфраструктура.

• Клиентские ПК с встроенным ПО UEFI версии 2.3.1 или более поздней с поддержкой DHCP-протокола.

• Сервер под управлением Windows Server 2012 с ролью служб развертывания Windows.

• Сервер с установленной ролью DHCP-сервера.

Дополнительные сведения о настройке сетевой разблокировки см. в статье BitLocker: включение сетевой разблокировки.

Система администрирования и мониторинга Microsoft BitLocker

MBAM в составе пакета Microsoft Desktop Optimization Pack упрощает поддержку BitLocker и BitLocker To Go и управление этими технологиями. MBAM 2.5 с пакетом обновления 1 (последняя версия) имеет следующие ключевые функции:

• позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;

• позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;

• обеспечивает возможность централизованного составления отчетности и управления оборудованием с использованием Microsoft System Center Configuration Manager;

• снижает нагрузку на службу технической поддержки, обрабатывающую запросы на восстановление BitLocker от конечных пользователей;

• позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;

• позволяет специалистам по безопасности легко контролировать доступ к информации о ключах восстановления;

• позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;

• применяет параметры политики шифрования с помощью BitLocker, настроенные для вашей организации;

• интегрируется с существующими средствами управления, включая System Center Configuration Manager;

• позволяет пользователям выполнять восстановление, пользуясь заданными ИТ-специалистами настройками;

• поддерживает Windows 10.

Дополнительные сведения о MBAM, включая способы ее получения, см. в статье Администрирование и мониторинг Microsoft BitLocker в центре MDOP TechCenter.

Устойчивость к вредоносному ПО

В фильмах угроза безопасности всегда исходит от злоумышленника — хакера, сидящего перед монитором, по которому бегут зеленые строки текста. В реальном мире большинство угроз безопасности вообще не предполагают участия человека. Программное обеспечение автоматизировало многие аспекты нашей жизни, а вредоносное ПО автоматизировало атаки на наши ПК. Эти атаки беспощадны. Вредоносное ПО непрерывно меняется, и распознать его и удалить с зараженного ПК может быть очень сложно.

Профилактика — лучшая защита, и Windows 10 обеспечивает надежную защиту от вредоносного ПО, потому что использует надежное аппаратное обеспечение, гарантирующее безопасный запуск и защищающее базовую архитектуру ОС и рабочий стол.

В таблице 3 перечислены конкретные угрозы, связанные с вредоносным ПО, и средства защиты, реализованные в Windows 10.

Таблица 3. Угрозы и решения, реализованные в Windows 10

Угроза	Решение Windows 10
Комплекты загрузки встроенного ПО (буткиты) заменяют его вредоносным ПО.	Все сертифицированные ПК оснащены UEFI с технологией безопасной загрузки, которая требует использования подписанного встроенного ПО для обновления UEFI и Option ROM (дополнительное ПЗУ).
Буткиты запускают вредоносное ПО до запуска Windows.	Безопасная загрузка UEFI проверяет целостность загрузчика ОС Windows, чтобы убедиться, что никакая вредоносная ОС не запущена до запуска Windows.
Системные руткиты или драйверные руткиты запускают вредоносное ПО на уровне ядра во время запуска Windows, до запуска Защитника Windows и решений, защищающих от вредоносного ПО.	Система надежной загрузки Windows проверяет загрузочные компоненты Windows; драйверы Майкрософт и драйвер защиты от вредоносного ПО ELAM, который проверяет сторонние драйверы. Параллельно надежной загрузке выполняется измеряемая загрузка, которая предоставляет удаленному серверу информацию о состоянии загрузки устройства и гарантирует успешную проверку системы модулем надежной загрузки и другими загрузочными компонентами.
Вредоносное ПО уровня пользователя использует уязвимость в системе или приложении и вступает во владение устройством.	Усовершенствования в области технологий ASLR, DEP, архитектуры куч и алгоритмов управления памятью снижают вероятность успешного захвата системы с использованием уязвимостей. Технология защищенных процессов изолирует недоверенные процессы друг от друга и от важных компонентов ОС. VBS на основе Microsoft Hyper-V защищает секретные процессы Windows от ОС Windows, изолируя их от процессов, выполняемых в пользовательском режиме, и ядра Windows. Настраиваемая целостность кода обеспечивает реализацию политик администрирования, указывающих, какие именно приложения могут выполняться в пользовательском режиме. Запускать остальные приложения запрещено.
Пользователи скачивают опасное ПО (например, приложение, которое кажется нормальным, но содержит встроенный троянский вирус) и запускают его, не осознавая риски.	Функция репутации приложений по данным SmartScreen является частью базовой ОС; Microsoft Edge и Internet Explorer могут использовать эту функцию, чтобы предупредить пользователей или заблокировать скачивание и запуск потенциально вредоносного ПО.
Вредоносное ПО использует уязвимость в надстройке браузера.	Microsoft Edge — это универсальное приложение, которое не запускает старые двоичные расширения, в том числе Microsoft Active X и вспомогательные объекты браузера (BHO), которые часто используются на панелях инструментов. Тем самым указанные риски исключаются.
Веб-сайт с вредоносным кодом использует уязвимость в Microsoft Edge и IE для запуска вредоносного ПО на клиентском ПК.	В Microsoft Edge и IE реализован расширенный защищенный режим, использующий песочницы AppContainer для защиты системы от уязвимостей, которые могут обнаруживаться в запускаемых в браузере расширениях (например, Adobe Flash, Java) или самом браузере.

 

В приведенных ниже разделах эти усовершенствования описываются более подробно.

Защита оборудования

Несмотря на то что Windows 10 предназначена для выполнения практически на любом оборудовании с поддержкой Windows 8, Windows 7 или Windows Vista, полноценное использование механизмов обеспечения безопасности Windows 10 возможно только на оборудовании в встроенными функциями по обеспечению безопасности, включая UEFI с безопасной загрузкой, функции виртуализации ЦП (например, Intel VT-x), функции защиты памяти ЦП (например, Intel VT-d), TPM и биометрические датчики.

UEFI с безопасной загрузкой

Когда ПК загружается, начинается процесс загрузки ОС: система ищет загрузчик на жестком диске ПК. При отсутствии механизмов обеспечения безопасности ПК может просто передать контроль загрузчику, даже не определяя, используется ли доверенная ОС или вредоносное ПО.

UEFI — это стандартизированное решение, являющееся современной заменой для BIOS. Эта технология обеспечивает те же функции, что и BIOS, и добавляет некоторые функции безопасности и другие расширенные возможности. Как и BIOS, UEFI инициализирует устройства, а компоненты UEFI с функцией безопасной загрузки (версии 2.3.1 или более поздней) также проверяют наличие только доверенного встроенного ПО, запускаемого на устройстве в дополнительном ПЗУ, приложениях UEFI и загрузчиках ОС.

UEFI может выполнить внутренние проверки целостности, что позволяет проверить цифровую подпись встроенного ПО до запуска. Поскольку только изготовитель оборудования компьютера имеет доступ к цифровому сертификату, необходимому для создания действительной подписи встроенного ПО, UEFI может предотвратить работу буткитов, основанных на встроенном ПО. Таким образом, UEFI является первым звеном в цепочке доверия.

UEFI с безопасной загрузкой является обязательным аппаратным требованием на устройствах с Windows 8 и более поздними версиями ОС. Если ПК поддерживает UEFI, технология должна быть включена по умолчанию. Можно отключить функцию безопасной загрузки на многих устройствах, но корпорация Майкрософт настоятельно рекомендует не делать этого, потому что в этом случае процесс запуска становится гораздо менее безопасным.

При запуске ПК с UEFI и безопасной загрузкой встроенное ПО UEFI проверяет цифровую подпись загрузчика, чтобы убедиться, что никаких изменений не было внесено после добавления цифровой подписи. Встроенное ПО также проверяет, создана ли цифровая подпись загрузчика доверенным центром сертификации. Эта проверка помогает гарантировать, что система будет запущена только после проверки целостности загрузчика и отсутствия в нем изменений после добавления подписи.

Все ПК, сертифицированные для работы под управлением Windows 8, должны удовлетворять нескольким требованиям, связанным с безопасной загрузкой.

• Безопасная загрузка должна быть включена по умолчанию.

• ПК должны доверять ЦС Майкрософт и, следовательно, любым подписанным Майкрософт загрузчикам.

• ПК должны разрешать пользователю добавлять подписи и хеши в базу данных UEFI.

• ПК должны разрешать пользователю полностью отключить безопасную загрузку (хотя администраторы могут запретить делать это).

Такая конфигурация не ограничивает вас в выборе операционной системы. Как правило, существует три варианта запуска ОС, предоставляемых не Майкрософт:

• Использование ОС с подписанным Майкрософт загрузчиком. Майкрософт предлагает услугу по подписыванию сторонних загрузчиков, чтобы их можно было использовать на устройстве. В данном случае подпись стороннего ЦС UEFI Майкрософт используется для подписи стороннего загрузчика, а сама подпись добавляется в базу данных UEFI. Несколько сторонних ОС, включая разнообразные версии Linux, имеют подписанные Майкрософт загрузчики, чтобы в этих ОС можно было использовать возможность безопасной загрузки. Дополнительные сведения о политике подписывания сторонних UEFI Майкрософт см. в статье Обновления в политике подписывания ЦС UEFI Майкрософт и Тестирование заявок, связанных с UEFI, перед отправкой.

  Примечание  

  ПК, настроенные для использования Device Guard, загружают только защищенную версию Windows и не позволяют использовать сторонний загрузчик. Дополнительные сведения см. в разделе Device Guard этого документа.

   

• Настройка отношения доверия между UEFI и загрузчиком со сторонней подписью или хешами. Некоторые ПК, сертифицированные для использования Windows 8 и более поздних версий, позволяют добавлять несертифицированные загрузчики с помощью подписи или хешей, отправляемых в базу данных UEFI, что позволяет им запускать любую ОС без подписи Майкрософт.

• Отключение безопасной загрузки. На ПК, сертифицированных для работы под управлением Windows 8, можно отключить безопасную загрузку и обеспечить возможность запуска ОС без подписи. В этом режиме поведение идентично поведению ПК с BIOS: ПК просто запускает загрузчик без всякой проверки. Корпорация Майкрософт настоятельно рекомендует оставлять безопасную загрузку включенной всякий раз при запуске устройства, чтобы защитить систему от заражения буткитами.

  Примечание  

  С появлением Windows 10 у OEM-производителей появилась возможность поставлять созданные на заказ ПК с неотключаемой функцией безопасной загрузки UEFI. В этом случае на компьютере можно будет запустить только указанную клиентом ОС.

   

Windows, приложения и даже вредоносные программы не в состоянии изменить конфигурацию UEFI. Вместо этого необходимо физическое присутствие пользователей для ручного запуска на ПК оболочки UEFI и последующего изменения параметров встроенного ПО UEFI. Дополнительные сведения о безопасной загрузке и UEFI см. в статье Защита среды, выполняемой до ОС, с помощью UEFI.

Обеспечение безопасности на основе виртуализации

Одно из самых существенных изменений, реализованных в Windows 10, — это обеспечение безопасности на основе виртуализации. Обеспечение безопасности на основе виртуализации (VBS) подразумевает использование возможностей системы виртуализации ПК и является передовым способом защиты системных компонентов от угроз. VBS может изолировать наиболее уязвимые и важные компоненты системы безопасности Windows 10. Эти компоненты системы безопасности не просто изолируются с помощью ограничений API или промежуточного уровня: они выполняются в другой виртуальной среде и изолированы от самой ОС Windows 10.

VBS и обеспечиваемая ею изоляция становятся возможны благодаря новым сценариям использования гипервизора Hyper-V. В этом случае вместо выполнения других операционных систем поверх гипервизора в качестве виртуальных гостевых элементов гипервизор поддерживает запуск среды VBS параллельно с Windows и реализует крайне ограниченный набор взаимодействий и операций доступа между средами.

Представьте себе среду VBS в виде миниатюрной ОС со своим ядром и процессами. В отличие от Windows, однако, среда VBS запускает микроядро и всего два процесса, которые называются трастлетами.

• Локальная система безопасности (LSA) реализует политики проверки подлинности и авторизации Windows. LSA — это известный компонент безопасности, который с 1993 года является составляющей Windows. Конфиденциальные части LSA изолированы в среде VBS и защищены с помощью новой функции, Credential Guard.

• Целостность кода, обеспечиваемая гипервизором проверяет целостность кода в режиме ядра до начала исполнения. Эта часть функции Device Guard описана далее в этом документе.

Благодаря VBS реализованы два важных усовершенствования в системе безопасности Windows 10: новая граница доверия между ключевыми системными компонентами Windows и безопасная среда исполнения, в которой они выполняются. Граница доверия между ключевыми системными компонентами Windows реализуется благодаря виртуализации платформы в среде VBS для изоляции среды VBS от ОС Windows. Запуск среды VBS и ОС Windows в качестве гостевых элементов поверх Hyper-V и расширения виртуализации процессора не позволяют гостям взаимодействовать друг с другом за пределами ограниченных и жестко структурированных каналов связи, существующих между трастлетами в среде VBS и ОС Windows.

VBS служит безопасной средой исполнения, потому что архитектура этой среды не позволяет процессам, выполняемым в среде Windows (даже имеющим полные системные привилегии) осуществлять доступ к ядру, трастлетам и выделенной памяти в среде VBS. Кроме того, среда VBS использует доверенный платформенный модуль 2.0, чтобы защитить все данные, которые сохранены на диске. Аналогичным образом пользователь, имеющий доступ к физическому диску, не может получить доступ к данным в незашифрованной форме.

Архитектура VBS проиллюстрирована на рисунке 2.

Рис. 2. Архитектура VBS

Обратите внимание, что VBS требует наличия системы, которая включает следующие компоненты.

• Windows 10 Корпоративная

• 64-разрядный процессор

• UEFI с безопасной загрузкой

• Технологии SLAT (например, EPT и AMD RVI)

• Расширения виртуализации (например, Intel VT-x, AMD RVI)

• Виртуализация набора микросхем модуля управления памяти ввода-вывода (IOMMU) (Intel VT-d или AMD-Vi)

• TPM 2.0.

Доверенный платформенный модуль

TPM — это устойчивый к внешним воздействиям криптографический модуль, повышающий защищенность и конфиденциальность вычислительных платформ. TPM интегрирован в доверенную вычислительную платформу (ПК, планшет или телефон) в качестве одного из ее компонентов. Вычислительная платформа предназначена для работы с TPM, что обеспечивает безопасность и конфиденциальность, достичь которых с использованием одного лишь ПО невозможно. Правильная реализация TPM в составе доверенной вычислительной платформы формирует аппаратное ядро доверия, что означает, что поведение оборудования является доверенным. Например, ключ, созданный в TPM со свойством, запрещающим экспорт этого ключа из TPM, означает, что ключ никогда не сможет покинуть TPM. Тесная интеграция TPM с платформой повышает прозрачность процесса загрузки и поддерживает сценарии проверки состояния устройства за счет составления достоверного отчета о ПО, используемом для запуска платформы.

Функциональные возможности TPM включают следующее.

• Управление криптографическими ключами. Создание, сохранение и разрешение использования ключей определенными способами.

• Защита и отчетность о показателях целостности. Программное обеспечение, используемое для загрузки платформы, можно фиксировать в TPM и использовать для установки отношений доверия в ПО, выполняемом на платформе.

• Доказательство того, что TPM действительно является TPM. Возможности TPM играют ключевую роль в защите конфиденциальности и безопасности, необходимых TPM, чтобы выделиться на фоне вредоносных программ, маскирующихся под TPM.

Майкрософт объединила эти и другие преимущества TPM с Windows 10 и другими аппаратными технологиями безопасности, обеспечив тем самым существенные преимущества в области безопасности и конфиденциальности.

Помимо прочего в Windows 10 TPM используется для защиты ключей шифрования для томов BitLocker, виртуальных смарт-карт, сертификатов и многих других ключей, для создания которых используется TPM. Windows 10 также использует TPM для надежной записи и защиты показателей целостности избранного оборудования и загрузочных компонентов Windows в рамках реализации функции Измеряемая загрузка, описанной далее в этом документе. В этом сценарии измеряемая загрузка измеряет каждый компонент (от встроенного ПО до дисков), а затем сохраняет эти показатели в модуле TPM на ПК. Отсюда можно удаленно тестировать журнал показателей, то есть проверять состояние загрузки ПК под управлением Windows 10 с использованием отдельной системы.

Windows 10 поддерживает реализации TPM, соответствующие стандартам 1.2 или 2.0. Стандарт TPM 2.0 был несколько усовершенствован, и главным нововведением является гибкость шифрования. TPM 1.2 ограничен фиксированным набором алгоритмов шифрования и хеширования. Во время создания стандарта TPM 1.2 в начале 2000-х эти алгоритмы считались сильными с точки зрения надежности шифрования. С тех пор ожидания в отношении строгости шифрования выросли благодаря усовершенствованию криптографических алгоритмов и распространению криптоаналитических атак. TPM 2.0 поддерживает дополнительные алгоритмы, обеспечивающие более сильную криптографическую защиту и возможность подключения предпочтительных алгоритмов в определенных отраслях или географических регионах. Кроме того, этот стандарт позволяет включать алгоритмы, которые появятся в будущем, не меняя сам компонент TPM.

Как правило, TPM устанавливается на оборудование или системную плату в виде отдельного модуля, однако TPM также можно эффективно реализовать на уровне встроенного ПО. Windows 10 поддерживает соответствующие стандарту 2.0 отдельные модули TPM и модули, реализованные во встроенном ПО (модули стандарта 1.2 могут поставляться только отдельно). Windows не делает различия между отдельными модулями и модулями во встроенном ПО, потому что они должны соответствовать одним и тем же требованиям; следовательно, любой компонент Windows, в котором возможно использование TPM, может использовать любую реализацию модуля.

Примечание  

Изначально Майкрософт не требует поддержки TPM на новых ПК под управлением Windows 10. Корпорация Майкрософт потребует включения TPM 2.0 через год после запуска Windows 10, чтобы предоставить производителям достаточно времени для реализации этой критически важной функции (а ИТ-специалистам — для изучения преимуществ, которые будут этим обеспечиваться).

 

Несколько функций системы безопасности Windows 10 требуют использования TPM.

• Виртуальные смарт-карты

• Измеряемая загрузка

• Аттестация работоспособности (требует TPM 2.0 или более поздней версии).

• InstantGo (требует TPM 2.0 или более поздней версии).

Другие функции системы безопасности Windows 10, например BitLocker, могут использовать TPM, если модуль доступен, однако для их работы это необязательно. Хорошим примером является Microsoft Passport.

Все эти функции освещаются в этом документе.

Биометрия

В разделе Windows Hello этого документа указано, что в Windows 10 реализована встроенная поддержка биометрического оборудования. В Windows в той или иной степени обеспечивалась поддержка технологий биометрии, начиная с Windows XP, так чем же отличается от предшественников Windows 10?

В Windows 10 биометрия стала ключевым компонентом системы безопасности. Биометрия полностью интегрирована в компоненты системы безопасности Windows 10, а не просто является одним из внешних компонентов более крупной схемы. Это большое изменение. Более ранние реализации биометрии представляли, в большинстве своем, методы клиентского уровня, упрощающие проверку подлинности. На системном уровне биометрия использовалась для доступа к паролю, который затем использовался для проверки подлинности. Биометрия была достаточно удобной, но не обеспечивала высококлассную проверку подлинности.

Майкрософт всеми способами акцентирует внимание OEM-производителей, которые производят ПК под управлением Windows и периферийные устройства, на важности высококлассных биометрических датчиков. Многие производители уже поставляют системы с интегрированными датчиками для считывания отпечатков пальцев и переходят от датчиков с поддержкой движения пальцем к датчикам касания. Датчики распознавания лица уже были доступны на момент запуска Windows 10 и сейчас набирают популярность в качестве встроенных системных компонентов.

В будущем Майкрософт ожидает, что OEM будут выпускать биометрические датчики еще более высокого уровня и продолжат их интеграцию в существующие системы, а также займутся производством отдельных периферийных устройств. В результате биометрия станет распространенным методом проверки подлинности в составе системы MFA.

Безопасный запуск Windows

Безопасная загрузка UEFI использует аппаратные технологии для защиты пользователей от буткитов. Безопасная загрузка может проверить целостность устройств, встроенного ПО и загрузчиков. После запуска загрузчика пользователи доверяют защиту целостности остальной части системы операционной системе.

Надежная загрузка

Когда безопасная загрузка UEFI проверит, что загрузчик является доверенным, и запустит Windows, функция надежной загрузки Windows обеспечит защиту остального процесса загрузки, проверив, что все загрузочные компоненты Windows являются надежными (например, подписаны доверенным источником) и целостными. Загрузчик проверяет цифровую подпись ядра Windows перед его загрузкой. Ядро Windows, в свою очередь, проверяет все прочие компоненты процесса запуска Windows, включая драйверы загрузки, файлы запуска и компонент ELAM.

Если файл был изменен (например, если его изменила вредоносная программа или он поврежден), функция надежной загрузки обнаружит проблему и автоматически исправит поврежденный компонент. После исправления Windows нормально запустится с лишь небольшой задержкой.

Ранний запуск антивредоносной программы

Вредоносное ПО в предыдущих версиях Windows часто предпринимало попытки запуска до запуска решения, защищающего от вредоносного ПО. Для этого некоторые типы вредоносного ПО обновляют или заменяют сторонний драйвер, запускаемый в процессе запуска Windows. Вредоносный драйвер затем использует свои привилегии доступа к системе для изменения критических частей системы и сокрытия своего присутствия, чтобы его не удалось обнаружить позже, после запуска решения, которое защищает от вредоносного ПО.

Ранний запуск антивредоносной программы (ELAM) входит в набор функций надежной загрузки и обеспечивает запуск решения, защищающего от вредоносного ПО, до запуска всех сторонних драйверов и приложений. ELAM проверяет целостность сторонних драйверов, чтобы установить их надежность. Поскольку Windows нужно загружать как можно скорее, ELAM не может представлять собой сложный процесс проверки файлов драйвера с использованием известных сигнатур вредоносного ПО. В противном случае загрузка займет слишком много времени. Вместо этого ELAM выполняет простую задачу по проверке всех драйверов загрузки, в ходе чего система пытается определить, включен ли драйвер в список надежных. Если вредоносная программа изменяет драйвер загрузки, ELAM обнаруживает изменение, Windows блокирует запуск драйвера и, следовательно, руткиты на основе драйверов. ELAM также позволяет зарегистрированному поставщику решений, защищающих от вредоносных программ, сканировать загружаемые драйверы по окончании процесса загрузки.

Это простая, но эффективная система. ELAM является компонентом полноценного решения для защиты от вредоносного ПО, которое блокирует запуск вредоносных драйверов и приложений до запуска остальных частей решения, обеспечивающего защиту от вредоносного ПО, позже в процессе загрузки. ELAM выполняется в течение нескольких секунд при каждом запуске ПК. Защитник Windows в Windows 10 поддерживает ELAM. Эту технологию также поддерживает Microsoft System Center 2012 Endpoint Protection и несколько сторонних приложений для защиты от вредоносного ПО.

Если вы хотите узнать, как настроить ELAM, воспользуйтесь параметрами групповой политики: с их помощью можно настроить реагирование ELAM на потенциально вредоносные драйверы загрузки. В редакторе управления групповыми политиками щелкните "Конфигурация компьютера\Административные шаблоны\Система\Ранний запуск антивредоносной программы" и включите параметр Политика инициализации драйверов при загрузке ОС. Теперь можно выбрать, какие классификации драйверов будет загружать ELAM. Если выбрать параметр Только хорошие, будет обеспечен наивысший уровень безопасности, однако необходимо тщательно проверить этот сценарий, чтобы убедиться, что ничто не препятствует запуску нормальных ПК.

Измеряемая загрузка

Самой большой сложностью, связанной с руткитами и буткитами в предыдущих версиях Windows, являлся тот факт, что очень часто клиенту их было невозможно обнаружить. Поскольку они часто запускаются до защитных механизмов Windows и решения для защиты от вредоносного ПО и часто обладают привилегиями системного уровня, руткиты и буткиты могут полностью замаскироваться и продолжать осуществлять доступ к системным ресурсам. Несмотря на то что безопасная загрузка UEFI и надежная загрузка могут предотвращать запуск большинства руткитов и буткитов, злоумышленники могут воспользоваться несколькими векторами атаки (например, если UEFI с безопасной загрузкой отключен или если подпись, используемая для подписания загрузочного компонента, например стороннего драйвера, повреждена или используется для подписания вредоносного компонента).

В Windows 10 реализована функция измеряемой загрузки, использующая встроенный в новейшие ПК аппаратный компонент TPM, который записывает ряд показателей критически важных компонентов запуска, включая встроенное ПО, загрузочные компоненты Windows, драйверы и даже драйвер ELAM. Поскольку измеряемая загрузка использует аппаратные функции безопасности TPM, изолирующие и защищающие данные измерений от атак вредоносного ПО, данные журнала хорошо защищены от самых изощренных атак.

Целью измеряемой загрузки является получение данных измерений и защита этих данных от каких-либо вмешательств. Эту технологию нужно использовать совместно со службой, которая может анализировать данные, чтобы определить состояние системы и реализовать более полные меры по обеспечению безопасности. В следующем разделе рассматривается одна из таких служб.

Проверка соответствия устройства требованиям для условного доступа к ресурсам предприятия

Измеряемая загрузка сама по себе не блокирует загрузку вредоносного ПО в процессе запуска (эту задачу решает безопасная загрузка, Device Guard и ELAM). Измеряемая загрузка предоставляет защищенный TPM журнал аудита, благодаря чему доверенная служба удаленной аттестации работоспособности может оценить загрузочные компоненты ПК, их состояние и общую конфигурацию. Если служба аттестации работоспособности обнаруживает, что на ПК загружен недоверенный компонент (и, следовательно, ПК не соответствует требованиям), служба может блокировать доступ ПК к конкретным сетевым ресурсам или всей сети. Эту службу можно использовать в сочетании с системой управления, чтобы обеспечить возможности условного доступа, позволяющие инициировать процедуры помещения на карантин и восстановления для исправления зараженного ПК и возвращения ПК обратно в состояние соответствия.

Рис. 3. Аттестация работоспособности в Windows 10

На рисунке 3 показана процедура проверки соответствия устройства требованиям и реализация условного доступа.

1. ПК использует TPM для записи показателей загрузчика, загрузочных дисков и драйвера ELAM. TPM блокирует любое вмешательство в эти показатели, поэтому даже если вредоносное ПО успешно загружено, изменить показатели не удастся. Эти показатели подписаны с использованием ключа удостоверения подлинности (AIK), который хранится в модуле TPM. Поскольку оборудование TPM добавило подпись к этим измерениям, вредоносное ПО не сможет их изменить, не будучи обнаруженным.

2. Аттестация работоспособности не включается по умолчанию и требует регистрации на сервере управления мобильными устройствами (MDM). Если функция включена, клиент аттестации работоспособности связывается с удаленным сервером (сервером аттестации работоспособности). Майкрософт предоставляет облачную службу аттестации работоспособности Windows, которая оценивает состояние устройства. Клиент аттестации работоспособности отправляет подписанные измерения, журнал загрузки TPM устройства и сертификат AIK (если имеется), что позволяет серверу аттестации работоспособности убедиться, что ключ, используемый для подписи измерений, был выдан доверенным TPM.

3. Сервер аттестации работоспособности анализирует показатели и журнал загрузки и создает отчет о работоспособности устройства. Отчет шифруется, чтобы обеспечить конфиденциальность данных.

4. Система управления, например сервер MDM, может запросить предъявления зарегистрированным устройством отчета о работоспособности. Windows 10 поддерживает запросы о работоспособности устройства от сервера MDM Майкрософт и других поставщиков. Во избежание хищения отчетов о работоспособности устройства и повторного использования этих отчетов на других устройствах сервер MDM отправляет зарегистрированному устройству запрос с номером для однократного использования (nonce) вместе с запросом отчета о работоспособности устройства.

5. Зарегистрированное устройство добавляет цифровую подпись к первому запросу (nonce), используя сохраненный в TPM AIK, и отправляет серверу MDM зашифрованный отчет о работоспособности устройства, запрос nonce с цифровой подписью и подписанный счетчик загрузок, подтверждающий, что устройство не было перезагружено после получения отчета о работоспособности.

6. Сервер MDM может отправить эти данные на сервер аттестации работоспособности. Сервер расшифровывает отчет о работоспособности, подтверждает, что счетчик загрузок в отчете соответствует отправленному на сервер MDM счетчику загрузок и соответствует списку атрибутов работоспособности.

7. Сервер аттестации работоспособности отправляет этот список атрибутов работоспособности обратно на сервер MDM. Сервер MDM приступает к реализации политик доступа и соответствия требованиям при наличии соответствующих настроек.

Список точек данных, проверяемых сервером аттестации работоспособности, а также описание этих данных см. в статье CSP HealthAttestation на MSDN.

Реализация системы управления определяет, какие атрибуты из отчета о работоспособности устройства оцениваются при оценке состояния устройства. Сервер управления получает информацию о загрузке устройства, реализуемых на устройстве политиках и способах защиты данных на устройстве. В зависимости от реализации сервер управления может выполнить дополнительные проверки, например проверку уровня исправлений Windows и других атрибутов устройства.

Используя эти точки данных, сервер управления может определить состояние клиента и предоставить ему ограниченный карантинный или полноценный доступ к сети. Отдельные сетевые ресурсы, такие как серверы, могут также предоставлять или блокировать доступ в зависимости от того, смог ли клиент удаленной аттестации извлечь действительные данные сертификации работоспособности с сервера удаленной аттестации.

Поскольку это решение может обнаружить и предотвратить низкоуровневое вредоносное ПО, которое практически невозможно обнаружить другими способами, Майкрософт рекомендует задуматься о внедрении системы управления, например Microsoft Intune, или решений управления, использующих облачную функцию сервера аттестации работоспособности Windows 10 для обнаружения и блокирования устройств, зараженных сложным вредоносным ПО с сетевых ресурсов.

Защита ядра Windows

Приложения для Windows создавались как безопасные программные продукты без дефектов, однако любой созданный человеком код может содержать уязвимости. Обнаруженные злоумышленники и вредоносные программы могут попытаться воспользоваться уязвимостями, изменяя данные в памяти в надежде, что удастся успешно внедрить эксплойт.

Для снижения этих рисков в Windows 10 реализован ряд усовершенствований, усложняющих переполнение буфера вредоносным ПО, распыление им куч и выполнение им других низкоуровневых атак. Контролируется даже код, который может быть запущен на том или ином ПК. Кроме того, благодаря этим усовершенствованиям существенно снижается вероятность успешного использования новых уязвимостей. Чтобы в полной мере оценить эти усовершенствования, потребуются глубокие знания архитектуры ОС и техник использования вредоносного ПО, однако в общих чертах эти нововведения описаны в следующих разделах.

Device Guard

Современные угрозы безопасности более серьезны чем когда-либо. В наше время вредоносные атаки сосредоточены на получении выгоды, похищении интеллектуальной собственности и повреждении систем, приводящем к убыткам. Многие злоумышленники спонсируются государствами, имеющими скрытые мотивы и способными тратить огромные средства на кибертерроризм. Угрозы могут проникать в компанию через обычное электронное письмо, они способны навсегда разрушить репутацию организации в области защиты данных и интеллектуальной собственности клиентов и сотрудников, не говоря уже о значительном финансовом ущербе. В ОС Windows 10 реализован ряд новых функций безопасности, помогающих защитить систему от большого числа известных на сегодняшний день угроз.

По данным аналитики ежедневно обнаруживается более 300 тыс. новых вредоносных программ. К сожалению, во многих организациях до сих пор используется старый метод обнаружения опасных программ и предотвращения их срабатывания. Фактически, компьютеры доверяют всему, что запускается, до тех пор, пока сигнатуры защиты от вредоносных программ не оповестят компьютер о существовании угрозы; после этого антивирусная программа пытается очистить компьютер и зачастую уже после того, как действие вредоносной программы становится заметным. Эта система на основе сигнатур реактивно реагирует на заражение и обеспечивает в дальнейшем защиту от данного конкретного заражения. В такой модели система, которая управляет обнаружением вредоносных программ, срабатывает только в случае выявления такой программы, и уже после этого клиент получает сигнатуру и может устранить угрозу, а это означает, что компьютер уже заражен. Время между обнаружением вредоносных программ и выдачей клиенту сигнатуры может составлять разницу между потерей данных и безопасностью.

Помимо решений для защиты от вредоносных программ также доступны технологии контроля приложений или составления "белых списков" приложений, в том числе AppLocker. Эти технологии подразумевают использование универсальных или точечных разрешающих и запрещающих правил в отношении запуска приложений. В Windows 10 эти решения являются максимально эффективными при развертывании с функцией Device Guard.

Device Guard кардинально меняет текущую модель "сначала обнаружение, потом блокировка" и позволяет запускать только доверенные приложения. Данная методика согласуется с успешной стратегией предотвращения заражения для мобильных телефонов. С помощью Device Guard был изменен способ обработки операционной системой Windows ненадежных приложений, что усложнило проникновение вредоносных программ в систему. Эта новая модель предотвращения заражения в отличие от модели обнаружения обеспечивает клиентам Windows необходимую защиту от современных угроз и в случае применения гарантирует полную защиту от многих угроз с первого же дня.

Обзор Device Guard

Device Guard — это набор компонентов для защиты целостности аппаратного и программного обеспечения. Эти функции являются революционным средством обеспечения безопасности ОС Windows: новые параметры VBS защищают ядро системы, а также процессы и драйверы, выполняемые в режиме ядра. Система работает по модели "не доверяй ничему", уже знакомой нам по ОС для мобильных устройств. Ключевая функция, используемая вместе с Device Guard, называется настраиваемая целостность кода: организация может выбирать, какое программное обеспечение от доверенных издателей может запускать код на клиентских компьютерах. Такой подход обеспечил громкий успех систем безопасности мобильных телефонов на некоторых платформах (например, Windows Mobile). Доверенные приложения подписываются напрямую (другими словами, двоичные файлы) или опосредованно с использованием подписанного файла, в котором перечислены хеш-значения для двоичных файлов приложения, считающихся надежными. Кроме того, Device Guard дает возможность организациям подписывать существующие бизнес-приложения (LOB), чтобы их системы доверяли собственным кодам без перепаковки или перестроения приложения. Кроме того, этот же метод подписи позволяет организации настроить доверие для сторонних приложений, включая приложения, которые, возможно, не были подписаны напрямую. Device Guard, развернутый вместе с функцией настраиваемой целостности кода, Credential Guard и AppLocker, обеспечивает самую полную защиту безопасности, которую когда-либо мог предложить какой-либо продукт Майкрософт для клиента Windows.

Дополнительные компоненты оборудования, например расширения виртуализации ЦП, IOMMU и SLAT, позволяют реализовать эти новые функции безопасности на клиенте. Внедряя эти аппаратные компоненты далее в ядро операционной системы, Windows 10 использует их и другими способами. Например, такая же технология низкоуровневой оболочки типа 1, используемая для запуска виртуальных машин в Hyper-V, применяется для изоляции основных служб Windows в защищенном контейнере на основе виртуализации. Это лишь один пример того, как Windows 10 внедряет расширенные функции оборудования глубже в операционную систему для обеспечения пользователям всесторонней современной защиты.

Для обеспечения дополнительной безопасности Device Guard предъявляет следующие аппаратные и программные требования.

• Безопасная загрузка UEFI (при необходимости со сторонним ЦС UEFI, извлеченным из базы данных UEFI)

• Поддержка визуализации во встроенном ПО системы (BIOS) должна быть включена по умолчанию.

  • Расширения виртуализации (например, Intel VT-x, AMD RVI)

  • SLAT (например, Intel EPT, AMD RVI)

  • IOMMU (например, Intel VT-d, AMD-Vi)

• UEFI BIOS, настроенный для блокирования отключения аппаратных функций безопасности, реализуемых с использованием Device Guard, неуполномоченными пользователями (например, безопасной загрузки).

• Драйверы в режиме ядра, подписанные и совместимые с принудительно реализуемой гипервизором целостностью кода.

• Только Windows 10 Корпоративная.

• 64-разрядная версия Windows.

Наряду с описанными новыми функциями Device Guard включает также некоторые существующие средства или технологии, добавленные для того, чтобы обеспечить максимальную защиту для операционной системы Windows. Device Guard представляет собой набор компонентов для защиты клиента, которые необходимо использовать в сочетании с другими функциями операционной системы Windows, позволяющими противостоять угрозам. Некоторые из этих функций упомянуты в данном руководстве.

Настраиваемая целостность кода

Операционная система Windows состоит из 2 рабочих режимов: пользовательского и режима ядра. База операционной системы запускается в режима ядра, и именно в этот момент операционная система Windows непосредственно взаимодействует с аппаратными ресурсами. В пользовательском режиме, в первую очередь, выполняется запуск приложений и передача информации в режим ядра и обратно в ответ на запросы аппаратных ресурсов. Например, если приложение, которое выполняется в пользовательском режиме, требует дополнительного объема памяти, процесс пользовательского режима должен запросить ресурсы из ядра, а не непосредственно из оперативной памяти.

Целостность кода — это компонент ОС Windows, проверяющий, поступает ли выполняемый Windows код из надежного источника и не был ли он изменен. Подобно операционной системе целостность кода Windows также содержит 2 основных компонента: целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI). KMCI используется в последних версиях операционной системы Windows для защиты режима ядра от запуска неподписанных драйверов. Хотя это и эффективно, драйверы не являются единственным способом проникновения вредоносных программ в пространство режима ядра операционной системы. Однако в Windows 10 корпорация Майкрософт повысила требования к встроенному коду режима ядра и предложила предприятиям возможность задавать свои собственные политики UMCI и KMCI. Корпорация Майкрософт сделала Windows 10 более безопасной, чем любая из предыдущих версий Windows, во всех отношениях, начиная с самой службы целостности кода и заканчивая политиками, которые клиент Windows использует для проверки в целях выдачи разрешения на запуск приложения. Раньше компонент UMCI был доступен только в Windows RT и на устройствах Windows Mobile, что усложняло заражение данных устройств вирусами или проникновение вредоносных программ. Эти же эффективные политики UMCI доступны и в Windows 10.

Как правило, большинство вредоносных программ не подписаны. Путем простого развертывания политик целостности кода организации смогут мгновенно защититься от неподписанных вредоносных программ, которые в большинстве случаев применяются в атаках на компьютеры. С помощью политик целостности кода организация может выбрать, какие двоичные файлы могут запускаться в пользовательском режиме и режиме ядра, в зависимости от подписывающего субъекта, двоичного хеша или и того, и другого. В случае всесторонней реализации политик пользовательский режим в Windows функционирует почти как мобильный телефон, позволяя запускать только конкретные приложения или конкретные подписи и доверяя только им. Только одна эта функция фундаментально изменяет уровень безопасности на предприятии. Такая дополнительная защита распространяется не только на приложения Windows и не требует переписывать приложения для обеспечения совместимости с вашими существующими и, возможно, неподписанными приложениями. Можно запустить настраиваемую целостность кода независимо от Device Guard, сделав ее доступной для устройств, не соответствующих аппаратным требованиям Device Guard.

Аппаратные средства безопасности и VBS

Базовая функциональность и механизмы защиты Device Guard реализованы на аппаратном уровне. Устройства с процессорами, оснащенными технологиями SLAT и расширениями виртуализации, такими как Intel VTx и AMD V, смогут воспользоваться возможностями среды VBS, которая существенно повышает защищенность Windows, изолируя критически важные службы Windows от самой операционной системы. Эта изоляция необходима, потому что нужно исходить из того, что в отношении ядра ОС будет предпринята попытка атаки, а вам необходимо обеспечить безопасность определенных процессов.

VBS используется в модуле Device Guard для изоляции службы Hypervisor Code Integrity (HVCI), благодаря которой модуль Device Guard защищает все процессы и драйверы в режиме ядра от атак и уязвимостей нулевого дня. В HVCI функция IOMMU процессора используется для принудительного обеспечения безопасного выделения памяти для всех программ, выполняемых в режиме ядра. Это означает, что после выделения памяти ее состояние необходимо изменить с доступного для записи на доступное только для чтения или выполнения. Принудительно переводя память в эти состояния, вы не позволяете злоумышленникам внедрить вредоносный код в процессы и драйверы в режиме ядра, используя такие техники как переполнение буфера или распыление кучи. В конце концов, среда VBS защищает службу HVCI Device Guard от вмешательств, даже если ядро ОС полностью взломано, а HVCI защищает процессы и драйверы в режиме ядра, чтобы взлом такого масштаба не мог произойти в принципе.

Еще одна функция Windows 10, использующая VBS, — это Credential Guard. Credential Guard защищает учетные данные, запуская службу проверки подлинности Windows (LSA), а затем сохраняет извлеченные учетные данные пользователя (например, хеши NTLM, заявки Kerberos) в той же среде VBS, которую Device Guard использует для защиты службы HVCI. Изолируя службу LSA и извлеченные учетные данные пользователя от режима пользователя и режима ядра, обеспечивается защита, которая не позволит злоумышленнику (даже если он взломал ядро ОС) изменить извлеченные данные, необходимые для проверки подлинности или получения доступа. Credential Guard защищает от атак посредством передачи хеша или атак заявочного типа (а именно они лежат в основе практически всех злоумышленных проникновений в сеть, о которых на данный момент известно), что делает Credential Guard одним из самых важных и ценных компонентов для развертывания в вашей среде. Дополнительные сведения о том, каким образом Credential Guard взаимодействует с Device Guard, см. в разделе Device Guard с Credential Guard.

Device Guard с AppLocker

Хотя AppLocker не считается новой функцией Device Guard, можно воспользоваться им в качестве дополнения к функции настраиваемой целостности кода, если целостность кода невозможно реализовать полностью или функциональность этого компонента не охватывает все желаемые сценарии. Существует много сценариев, в которых политики целостности кода должны использоваться наряду с правилами AppLocker. Рекомендуется выбрать для организации самый строгий уровень политик целостности кода, и тогда вы сможете использовать AppLocker для точной настройки ограничений на еще более низком уровне.

Примечание  

Одним из случаев, когда функциональность Device Guard следует дополнить Applocker, является ситуация, когда организация хочет ограничить круг универсальных приложений из Магазина Windows, которые пользователи могут устанавливать на своем устройстве. Майкрософт уже подтвердила, что универсальные приложения из Магазина Windows являются доверенными и их можно запускать, однако организации может потребоваться запретить запуск определенных универсальных приложений в своей среде. Для этого можно воспользоваться правилом AppLocker.

Или же можно включить политику настраиваемой целостности кода, чтобы позволить пользователям запускать все приложения того или иного издателя. Для этого потребуется добавить подпись издателя к политике. Если организация решит, что нужно разрешить запуск лишь определенных приложений издателя, потребуется добавить подпись для этого издателя в политику настраиваемой целостности кода, а затем воспользоваться AppLocker, чтобы указать разрешенные приложения.

 

AppLocker и Device Guard могут быть запущены параллельно в вашей организации, что обеспечивает самую высокую эффективность обеих функций безопасности и гарантирует наиболее полную защиту для максимального количества устройств. В дополнение к этим функциям Майкрософт рекомендует продолжать использовать антивирусные программы для обеспечения максимальной защиты предприятия.

Device Guard с Credential Guard

Хотя Credential Guard и не является функцией Device Guard, многие организации предпочтут развертывать ее совместно с Device Guard для обеспечения дополнительной защиты от кражи учетных данных. Аналогично защите режима ядра на основе виртуализации с использованием службы HVCI Device Guard в Credential Guard используется технология гипервизора для защиты службы проверки подлинности Windows (LSA) и извлеченных учетных данных пользователей. Такая защита ориентирована на недопущение применения техник атак типа передачи хеша или атак заявочного типа.

Поскольку Credential Guard использует VBS, эта технология играет решающую роль в предотвращении атак путем передачи хеша и атак заявочного типа на устройствах Windows 10. Майкрософт признает, что в большинстве организаций в одной среде используется несколько разных версий Windows. В этом случае доступны средства защиты для устройств, не поддерживающих Credential Guard, как на стороне клиента, так и на стороне сервера. Корпорация Майкрософт в ближайшем будущем выпустит информацию об этих дополнительных средствах защиты на TechNet.

Унифицированная управляемость с помощью Device Guard

Функциями Device Guard можно легко управлять с помощью хорошо знакомых клиентских и корпоративных средств управления, которые ИТ-специалисты используют каждый день. Ниже приведены средства управления, используемые для включения и управления Device Guard.

• Групповая политика. Windows 10 предоставляет шаблон администрирования, который можно использовать для настройки и развертывания политик настраиваемой целостности кода для вашей организации. Этот шаблон также позволяет указывать, какие аппаратные функции безопасности необходимо включить и развернуть. Вы можете управлять этими параметрами с использованием своих существующих объектов групповой политики (GPO) в целях упрощения применения функций Device Guard. Помимо этих функций на основе целостности кода и аппаратных функций безопасности можно использовать групповую политику для управления файлами каталога.

• System Center Configuration Manager. Используйте System Center Configuration Manager, чтобы упростить развертывание файлов каталога, политик целостности кода и аппаратных функций безопасности, а также управление ими и контроль версий.

• Системы MDM. Организации смогут использовать Microsoft Intune и сторонние системы MDM для развертывания файлов каталога и политик целостности кода и управления ими.

• Windows PowerShell. Windows PowerShell используется, в основном, для создания и обслуживания политик целостности кода. Эти политики являются наиболее значимым компонентом Device Guard.

Эти варианты позволяют действовать привычным образом — так же, как и при управлении существующими корпоративными решениями управления.

Случайный выбор расположения в адресном пространстве

Одной из наиболее распространенных технологий, используемых для получения доступа к системе, находится поиск уязвимости в привилегированном процессе, который уже выполняется, угадывание или нахождение расположения в памяти, где размещен важный системный код или данные, и перезаписывание информации вредоносными данными. На начальных этапах развития операционных систем любое вредоносное ПО могло осуществлять запись прямо в системную память; вредоносное ПО просто перезаписывало системную память в хорошо известных и прогнозируемых местах.

Случайный выбор расположения в адресном пространстве (ASLR) существенно осложняет подобные атаки, потому что важные данные теперь хранятся в памяти произвольно. Благодаря ASLR вредоносное ПО не сможет легко найти нужное расположение для атаки. На рис. 4 показано, как работает ASLR, то есть как меняется расположение разных критически важных компонентов Windows в памяти между перезапусками.

Рис. 4. ASLR в действии

Несмотря на то что реализация ASLR в Windows 7 была достаточно эффективной, отсутствовало комплексное применение этой технологии в ОС, а уровень энтропии (криптографической рандомизации) иногда оставлял желать лучшего. Чтобы уменьшить вероятность успешного выполнения сложных атак, таких как распыление кучи, в ОС Windows 8 корпорация Майкрософт применила технологию ASLR в системе комплексно и в разы повысила уровень энтропии.

Реализация ASLR в Windows 8 и Windows 10 была существенно усовершенствована по сравнению с Windows 7, особенно в отношении 64-разрядных систем и процессов приложений, которые могут использовать существенно увеличенный объем памяти. В результате предсказать, где Windows 10 сохранит жизненно важные данные, очень сложно. При использовании в системах с TPM уникальность рандомизации памяти ASLR будет увеличиваться на разных устройствах, поэтому использовать технологию атаки, сработавшую на одном устройстве, на другом не удастся.

Предотвращение выполнения данных

Успех атаки зависит от способности разместить вредоносные данные в памяти в надежде, что в последующем они будут исполнены, а ASLR существенно усложняет выполнение этой задачи. Разве не хотели бы вы блокировать выполнение вредоносного ПО, даже если злоумышленнику удалось записать его в место, предназначенное исключительно для хранения информации?

Для решения этой задачи можно воспользоваться технологией предотвращения выполнения данных (DEP), которая существенно ограничивает диапазон памяти, который может быть использован вредным кодом. DEP использует бит No eXecute на современных ЦП, чтобы пометить блоки памяти как доступные только для чтения, чтобы эти блоки невозможно было использовать для выполнения вредоносного кода, который может быть внедрен в систему из-за уязвимости.

Технология DEP настолько важна, что пользователи не могут устанавливать Windows 10 на компьютере, где не поддерживается функция DEP. К счастью, большинство выпущенных с начала 2000-х процессоров поддерживают DEP.

Если вы хотите увидеть, какие приложения используют DEP, выполните следующие действия.

1. Откройте диспетчер задач. Нажмите CTRL+ALT+ESC или выполните поиск с начального экрана.

2. Щелкните Подробнее (при необходимости) и перейдите на вкладку Сведения.

3. Щелкните правой кнопкой любой заголовок столбца и выберите Выбрать столбцы.

4. В диалоговом окне Выбрать столбцы установите последний флажок, Предотвращение выполнения данных.

5. Нажмите кнопку ОК.

Теперь можно увидеть, в каких процессах включен DEP. На рисунке 5 показаны процессы, выполняемые на ПК с Windows 10. Мы видим, что один процесс не поддерживает DEP.

Рис. 5. Процессы с включенной технологией DEP в Windows 10

Куча Windows

Куча — это расположение в памяти, которое Windows использует для сохранения динамических данных приложений. В Windows 10 продолжается совершенствование более ранних структур куч Windows. В частности, предпринимаются меры для снижения риска успешного использования куч для атак.

В Windows 10 можно заметить ряд важных усовершенствований в области защиты куч по сравнению с Windows 7.

• Внутренние структуры данных, используемые кучей, теперь лучше защищены от ошибок в памяти.

• При выделении памяти куч теперь используются произвольные расположения и размеры, что осложняет определение расположения критически важных сегментов памяти для перезаписи злоумышленниками. В частности, в Windows 10 добавлено случайное смещение адресов только что выделенной кучи, благодаря чему предсказать, как будут распределяться ресурсы, существенно сложнее.

• В Windows 10 используются "охранные страницы" до и после блоков памяти, они выполняют роль "растяжек". Если злоумышленник попытается выполнить запись за пределами блока памяти (это стандартная техника, известная как переполнение буфера), злоумышленнику придется перезаписывать охранную страницу. Любая попытка изменить охранную страницу расценивается как повреждение памяти, и Windows 10 немедленно завершает приложение.

Windows 10 обеспечивает защиту от известных атак с использованием куч, которые могут способствовать взлому ПК под управлением предыдущих версий Windows.

Резервирование памяти

Нижние 64 КБ памяти процессов зарезервированы для системы. Приложениям больше не разрешается использовать эту часть памяти, что осложняет перезаписывание в памяти критически важных структур системных данных.

Защита потока управления

Когда приложения загружаются в память, им выделяется определенное пространство в зависимости от размера кода, запрошенной памяти и других факторов. Когда приложение начинает выполнять код, оно вызывает дополнительный код, расположенный в других адресах памяти. Связи между расположениями кода хорошо известны (поскольку они записываются в сам код), однако до Windows 10 между этими расположениями не существовало настроенных потоков, из-за чего злоумышленники могли менять потоки, как им было нужно. Другими словами, злоумышленник мог воспользоваться этим поведением, запустив код, который, как правило, не выполняется этим приложением.

Эта угроза устранена в Windows 10 благодаря функции защиты потока управления (CFG). Если доверенное приложение, скомпилированное для использования CFG, вызывает код, CFG проверяет, является ли вызванное расположение кода доверенным с точки зрения выполнения. Если расположение не является доверенным, приложение немедленно завершается как потенциальная угроза безопасности.

Администратор не может настроить CFG; этим должен заниматься разработчик на этапе компиляции приложения. Администраторы должны попросить разработчиков приложений и поставщиков ПО предоставить им надежные приложения Windows, скомпилированные с поддержкой CFG. Конечно, браузеры являются ключевой точкой входа для злоумышленников, следовательно, CFG активно используется в Microsoft Edge, IE и других компонентах Windows.

Защищенные процессы

Бенджамин Франклин однажды сказал: "Профилактика болезни — самое разумное лечение". То же самое можно сказать и о безопасности ПК. Большинство мер безопасности призваны предотвратить первоначальное заражение. Если вредоносное ПО не сможет заразить систему, система сможет сохранить свой иммунитет.

Тем не менее, ни один компьютер не обладает иммунитетом против вредоносного ПО. Несмотря на мощные профилактические меры, вредоносное ПО рано или поздно найдет способ заразить любую ОС или аппаратную платформу. Поэтому несмотря на то что профилактика с использованием фундаментальной стратегии защиты очень важна, справиться с вредоносным ПО в одиночку ей не удастся.

Ключевой сценарий безопасности выглядит так: мы исходим из того, что в систему проникло вредоносное ПО, и пытаемся ограничить его действия. В Windows 10 реализованы механизмы обеспечения безопасности и прочие компоненты, снижающие риск взлома в результате проникновения вредоносного ПО. Защищенные процессы — одна из таких функций.

Благодаря защищенным процессам Windows 10 не дает недоверенным процессам взаимодействовать или изменять подписанные процессы. Защищенные процессы определяют уровни доверия к процессам. Менее доверенные процессы не могут взаимодействовать с доверенными (и, следовательно, атаковать их). В Windows 10 защищенные процессы используются довольно широко, и пользователь впервые может поместить решения для защиты от вредоносного ПО в область защищенных процессов. Это позволяет сделать системные решения и решения, защищающие от вредоносного ПО, менее уязвимыми для вредоносного ПО, попадающего в систему.

Защита рабочего стола Windows

В Windows 10 реализованы важные усовершенствования в ядре Windows и настольной среды, где чаще всего случаются атаки и куда чаще всего попадает вредоносное ПО. Настольная среда стала более устойчивой к вредоносному ПО благодаря значительным усовершенствованиям в Защитнике Windows и фильтрах SmartScreen. Просматривать страницы в Интернете также стало безопаснее благодаря совершенно новому браузеру Microsoft Edge. Магазин Windows также способствует снижению вероятности проникновения вредоносного ПО на устройства: все приложения, попадающие в экосистему Магазина Windows, тщательно тестируются и только потом становятся доступны пользователям. Универсальные приложения Windows изначально более безопасны, чем типичные приложения, поскольку они изолированы. Изоляция снижает риск взлома приложения или выполнения с ним каких-либо действий, ставящих под угрозу систему, данные и другие приложения.

В последующих разделах более подробно описаны усовершенствования в области безопасности приложений, реализованные в Windows 10.

Microsoft Edge и Internet Explorer 11

Безопасность браузера является важнейшим компонентом любой стратегии безопасности и не зря: браузер — это интерфейс пользователя в Интернете, а Интернет буквально кишит вредоносными сайтами и содержимым, которое ждет своего часа, чтобы заразить компьютер. Большинство пользователей не могут работать, не пользуясь браузером, а для многих его использование является обязательным. Вследствие этого браузер стал каналом № 1 для атак хакеров и злоумышленников.

Все браузеры обеспечивают определенную расширяемость, что позволяет решать задачи, выходящие за пределы функциональности браузера. Приведем два примера: расширения Flash и Java, позволяющие выполнять приложения в браузере. Обеспечение защиты в Windows 10 при работе с веб-браузерами и приложениями (особенно с двумя вышеуказанными типами содержимого) является приоритетной задачей.

В Windows 10 представлен совершенно новый браузер — Microsoft Edge. Microsoft Edge более безопасен, чем предшественники. Это обусловлено следующим:

• Microsoft Edge не поддерживает сторонние двоичные расширения. Microsoft Edge поддерживает содержимое Flash и просмотр PDF по умолчанию благодаря встроенным расширениям, однако никакие другие двоичные расширения (включая элементы управления ActiveX и Java) не поддерживаются.

• Microsoft Edge выполняет только 64-разрядные процессы. 64-разрядный ПК под управлением предыдущих версий Windows часто работает в 32-разрядном режиме совместимости, чтобы обеспечить поддержку более старых и менее защищенных расширений. Если Microsoft Edge выполняется на 64-разрядном ПК, он выполняет только 64-разрядные процессы, что обеспечивает повышенную безопасность при обнаружении уязвимостей и попытке использовать их.

• Microsoft Edge разработан как универсальное приложение Windows. Оно разделено на части и выполняется в контейнере AppContainer, который изолирует браузер от системы, данных и других приложений. IE11 в Windows 10 также может использовать технологию AppContainer в режиме Enhanced Protect Mode, однако в IE11 могут выполняться ActiveX и BHO, следовательно, браузер и песочница подвержены гораздо более широкому кругу атак, чем Microsoft Edge.

• Microsoft Edge упрощает задачи по настройке системы безопасности. Поскольку в Microsoft Edge используется упрощенная структура приложения и единая конфигурация песочницы, число необходимых настроек безопасности гораздо меньше. Кроме того, настройки Microsoft Edge по умолчанию отражают передовые практики в области безопасности. Это приложение безопасно по умолчанию.

Корпорация Майкрософт включает в Windows 10 помимо Microsoft Edge браузер IE11, в основном для совместимости с предыдущими версиями веб-сайтов и двоичных расширений, которые не работают с Microsoft Edge. Не следует настраивать IE11 в качестве основного браузера — используйте его в качестве дополнительного или браузера для автоматического переключения, как показано на рисунке 6.

Рис. 6. Настройте Windows 10 так, чтобы переключаться с Microsoft Edge на IE11 для обеспечения совместимости с предыдущими версиями.

Корпорация Майкрософт рекомендует использовать Microsoft Edge в качестве основного веб-браузера, потому что он обеспечивает совместимость с современным Интернетом и оптимальную безопасность. Для сайтов, требующих совместимость с IE11, включая сайты, требующие двоичные расширения и подключаемые модули, включите режим предприятия и используйте список сайтов в режиме предприятия, чтобы определить, какие сайты имеют эту зависимость. Когда эта функция настроена, пользователи, работающие с Microsoft Edge, будут автоматически перенаправлены на IE11, если система обнаружит, что для работы сайта требуется IE11.

Фильтр SmartScreen

В последних версиях Windows используется множество эффективных техник, препятствующих установке вредоносного ПО без ведения пользователя. Чтобы обойти эти ограничения, в атаках вредоносного ПО часто используются методы социотехники, чтобы обманным путем заставить пользователей выполнять ПО. Например, вредоносная программа, известная как "троянский конь" маскируется под что-то полезное, например служебную программу, но несет в себе дополнительную вредоносную нагрузку.

Начиная c Windows Internet Explorer 8 фильтр SmartScreen помогает защищать пользователей от вредоносных приложений и веб-сайтов с помощью приложения SmartScreen и служб репутации URL-адресов. Фильтр SmartScreen в Internet Explorer проверяет URL-адреса и недавно скачанные приложения на соответствие параметрам веб-службы репутации, обслуживаемой корпорацией Майкрософт. Если приложение или URL-адрес не является гарантированно безопасным, фильтр SmartScreen предупреждает пользователя или даже блокирует скачивание приложения или переход по URL-адресу в зависимости от того, как системные администраторы настроили параметры групповой политики.

Для Windows 10 корпорация Майкрософт усовершенствовала фильтр SmartScreen, интегрировав возможности оценки репутации приложений в саму операционную систему. Благодаря этому фильтр защищает пользователей независимо от используемого ими веб-браузера или пути, используемого приложением для получения доступа к устройству (например, электронная почта или USB-устройство флеш-памяти). При первом запуске приложения из Интернета пользователем (даже если пользователь скопировал его с другого ПК), фильтр SmartScreen проверяет репутацию приложения с помощью цифровых подписей и других показателей соответствия требованиям, которые учитываются обслуживаемой Майкрософт службой. Если репутация приложения оставляет желать лучшего или известно, что оно вредоносное, фильтр SmartScreen предупреждает пользователя или полностью блокирует исполнение в зависимости от того, как администратор настроил групповую политику (см. Рис. 7).

Рис. 7. Фильтр SmartScreen в работе в Windows 10

По умолчанию пользователи могут обойти защиту с использованием фильтра SmartScreen, чтобы можно было выполнять допустимые приложения. Для отключения фильтра SmartScreen или полной блокировки запуска приложений, не распознаваемых фильтром SmartScreen, пользователями можно воспользоваться параметрами панели управления или групповой политики. Параметры панели управления показаны на рисунке 8.

Рис. 8. Параметры конфигурации Windows SmartScreen в панели управления

Чтобы опробовать фильтр SmartScreen в действии, воспользуйтесь Windows 7 для скачивания смоделированного (но не опасного) файла вредоносного ПО:freevideo.exe. Сохраните его на компьютер и запустите из проводника. Как показано на рисунке 9, Windows запускает приложение без каких-либо особых предупреждений. В Windows 7 вы, возможно, получите предупреждение об отсутствии сертификата у приложения, однако это легко обойти.

Рис. 9. Windows 7 разрешает запуск приложения

Теперь повторите тест на компьютере под управлением Windows 10, скопировав файл на ПК под управлением Windows 10 или скачав файл снова и сохранив его на локальном компьютере. Запустите файл прямо из проводника, и фильтр SmartScreen отобразит предупреждение, прежде чем позволит запустить файл. Данные корпорации Майкрософт показывают, что для подавляющего большинства пользователей подобного дополнительного предупреждения достаточно, чтобы защитить их от заражения вредоносным ПО.

Универсальные приложения для Windows

Хорошие новости в том, что скачивание и использование универсальных приложений Windows или даже классических приложений Windows (Win32) из Магазина Windows существенно снижает вероятность попадания вредоносного ПО на ваш ПК, потому что все приложения проходят тщательный отбор и только потом становятся доступны в Магазине. Приложения, создаваемые организациями и распространяемые через процессы загрузки неопубликованных приложений, должны пройти внутреннюю проверку, которая позволит убедиться, что они соответствуют требованиям безопасности организации.

Независимо от способа приобретения универсальных приложений Windows пользователи они использовать их с уверенностью в их надежности. В отличие от классических приложений Windows, которые могут работать с повышенными привилегиями и иметь потенциально широкий доступ к системе и данным, универсальные приложения Windows выполняются в песочнице AppContainer с ограниченными привилегиями и возможностями. Например, универсальные приложения Windows лишены доступа системного уровня, их взаимодействие с другими приложениями жестко контролируется, а доступ к данным отсутствует, пока пользователь явно не предоставит приложению соответствующие разрешения.

Кроме того, все универсальные приложения Windows следуют принципу наименьших привилегий. Приложения получают только минимальные привилегии, необходимые для выполнения предусмотренных задач, поэтому даже если злоумышленник воспользуется приложением, область нанесения ущерба серьезно ограничена и не выходит за пределы песочницы. В Магазине Windows отображаются точные сведения о необходимых приложению возможностях (например, доступ к камере), а также возрастная категория и издатель приложения.

В конечном счете процедура распространения приложений из Магазина Windows и возможности изоляции приложений, реализованные в Windows 10, существенно снизят вероятность попадания вредоносных приложений в систему пользователя.

Защитник Windows

Антивредоносное ПО, которое также называют сканером вирусов, антивирусом и т. д., присутствует на рынке уже достаточно давно. Корпорация Майкрософт представила свою первую программу этой категории (Microsoft Anti-Virus) в 1993 году. Программа была предназначена для MS DOS 6.0. В то время для нахождения и удаления вирусов было достаточно запустить автономную программу MS DOS.

Время идет, технологии развиваются — равно как и антивредоносное ПО. При защите от современных угроз очень важно обеспечить многоуровневую защиту с возможностью взаимодействия. Защитник Windows активно использует операционную систему для обеспечения взаимодействия между разными уровнями защиты. Важно иметь в наличии эффективное антивредоносное решение, которое могло бы стать непреодолимой преградой на пути вредоносного ПО, пытающегося получить доступ к ресурсам предприятия. Это решение должно дополнять такие функциональные возможности, как Device Guard. Например, антивредоносное решение может помочь в обнаружении вредоносного поведения в памяти или даже в составе доверенных приложений — области, защита которой не обеспечивается Device Guard.

Защитник Windows непрерывно развивался, и сегодня эта система соответствует растущей сложности ИТ и задачам, которые возникают в связи с этой сложностью. В состав Windows входил Защитник Windows — надежное антивредоносное решение для входящей почты, доступное начиная с Windows 8. В Windows 10 Защитник Windows существенно усовершенствован.

Защитник Windows в Windows 10 обеспечивает более надежную защиту от вредоносного ПО благодаря четырем факторам: объемному локальному контексту, всеобъемлющим глобальным датчикам, защите от взлома и предоставлению специалистам по ИТ-безопасности более широких возможностей. В этом разделе каждый из этих факторов рассматривается более подробно.

Объемный локальный контекст повышает эффективность выявления вредоносного ПО. Windows 10 информирует Защитник Windows не только о содержимом (файлах и процессах), но и источнике этого содержимого, месте хранения и т. д. Информация об источнике и истории позволяет Защитнику Windows проверять разное содержимое с разным уровнем тщательности.

Например, приложение, скачанное из Интернета, будет проверяться более тщательно, чем приложение, установленное с доверенного сервера. Windows 10 сохраняет историю приложения из Интернета на уровне ОС, чтобы приложение не могло стереть свои следы. История отслеживается и сохраняется в хранилище Persisted Store — новом компоненте Windows 10, который надежно управляет объемным локальным контекстом и защищает от несанкционированного изменения и удаления данных. Усовершенствования в области объемного локального контекста не позволяют вредоносному ПО использовать такие тактики как обфускация, чтобы скрыться от обнаружения.

Кроме того, локальный контекст расширяет способы предоставления интерфейсов антивредоносным ПО. Защитник Windows реализует интерфейс Antimalware Scan Interface (AMSI) — универсальный стандарт открытых интерфейсов, позволяющий приложениям и службам отправлять Защитнику Windows запросы на сканирование и анализ обфусцированного кода перед исполнением. AMSI доступен для реализации любым приложением и любым антивредоносным решением. В Windows 10 AMSI доступен через Windows PowerShell, сервер сценариев Windows, JavaScript и Microsoft JScript.

В Windows 10 Майкрософт реализовала новую технологию, которая позволяет Защитнику Windows тесно взаимодействовать с запросами службы контроля учетных записей (UAC). Когда система контроля учетных записей активируется, она запрашивает у Защитника Windows выполнить сканирование прежде чем отправить запрос на повышение привилегий. Защитник Windows сканирует файл или процесс и определяет, является ли он вредоносным. Если процесс или файл признан вредоносным, пользователь увидит сообщение о том, что Защитник Windows заблокировал файл или процесс; в противном случае UAC выполнит процесс или файл и отобразит стандартный запрос на повышение привилегий.

Всеобъемлющие глобальные датчики помогают поддерживать Защитник Windows в актуальном состоянии и осведомляют его даже о самых новых вредоносных программах. Это достигается двумя способами: сбором данных об объемном локальном контексте с конечных точек и централизованным анализом этих данных. Цель — выявить новое, передовое вредоносное ПО и заблокировать его в первые (самые важные) часы жизни, чтобы предотвратить распространение по более широкой экосистеме ПК.

Наличие Защитника Windows в Windows 8 позволило Майкрософт впервые представить систему облачной защиты Windows Defender Cloud Protection, которая помогает лучше реагировать на изменения в динамичном ландшафте вредоносного ПО. Цель — блокировать вредоносное ПО при первом появлении, в течение первых нескольких, самых важных, часов атаки.

Чтобы сохранить конфиденциальность данных своих пользователей, Майкрософт позволяет клиентам отказаться от использования этой системы. В противном случае достаточно просто согласиться на участие в программе. Для этого в Windows 10 щелкните Параметры, Обновление и безопасность и Защитник Windows. Варианты согласия показаны на рисунке 10.

Рис. 10. Параметры согласия на использование Защитника Windows в Windows 10

Конечно, системный администратор имеет централизованный контроль над всеми параметрами Защитника Windows через групповую политику. Параметры конфигурации Защитника Windows отображаются в разделе "Конфигурация компьютера/Компоненты Windows/Защитник Windows", как показано на рисунке 11.

Рис. 11. Параметры Защитника Windows в групповой политике: примеры параметров отправки перечислены в разделе MAPS

Защита от взлома обеспечивает защиту самого Защитника Windows от вредоносных атак. Авторы вредоносного ПО исходят из того, что антивредоносное ПО установлено на большинстве ПК. Многие разработчики вредоносных программ предпочитают обходить это препятствие, создавая вредоносное ПО, которое как-либо изменяет антивредоносное ПО, например отключает сканирование в реальном времени или скрывает те или иные процессы. Некоторое вредоносное ПО полностью отключает антивредоносное ПО, в то время как пользователь продолжает думать, что оно исправно.

В Защитнике Windows реализована защита от взлома; он использует несколько технологий безопасности, доступных в Windows 10, основной из которых являются защищенные процессы, предотвращающие изменение компонентов Защитника Windows, разделов реестра и т. д. недоверенными процессами. Защита от взлома в Защитнике Windows также является косвенным результатом работы общесистемных компонентов безопасности, включая UEFI с безопасной загрузкой и ELAM. Эти компоненты позволяют создать более защищенную среду, в которой можно безопасно запустить Защитник Windows, прежде чем он начнет себя защищать.

Расширение возможностей для ИТ-специалистов по безопасности подразумевает, что Защитник Windows предоставляет ИТ-специалистам инструменты и параметры конфигурации, необходимые для создания высококлассного антивредоносного решения. Он обладает множеством высококлассных функций, что позволяет поставить его в один ряд с ведущими продуктами этой категории:

• Интеграция с централизованным программным обеспечением управления, включая Microsoft Intune, System Center Configuration Manager и Microsoft System Center Operations Manager. В отличие от Windows 8.1, не требуется использовать дополнительный клиент, потому что Защитник Windows интегрирован в операционную систему, достаточно добавить только уровень управления.

• Защитник Windows поддерживает стандарт управления устройствами Open Mobile Alliance, что позволяет осуществлять централизованное управление многими сторонними решениями для управления устройствами.

• Реализована поддержка классической командной строки и командлетов Windows PowerShell.

• Встроенная поддержка отчетности по инструментарию управления Windows и управлению приложениями.

• Полная интеграция с групповой политикой обеспечивает полноценное управление ИТ-конфигурацией.

Кроме того, Защитник Windows теперь интегрируется с инструментом Windows Defender Offline Tool, что раньше требовало создания загружаемой автономной версии Защитника Windows в среде восстановления Windows. Это упрощает процесс устранения низкоуровневых заражений, которые иногда сложно обнаружить и удалить с помощью антивредоносного решения, выполняемого в настольной системе Windows. Можно автоматически обновлять сигнатуры для этой среды из Windows Defender Offline.

Помимо Защитника Windows в Windows 10 обеспечен глубокий доступ в операционную систему для антивредоносных продуктов. Сторонние поставщики антивредоносных решений могут воспользоваться новыми API и интерфейсами Майкрософт для получения беспрецедентного доступа к ресурсам Windows 10 для обнаружения и удаления вредоносного ПО. Сторонние антивредоносные решения могут устанавливать драйверы ELAM, сканирующие Windows 10 на этапе первоначального запуска. Широкий набор новых низкоуровневых интерфейсов позволяет сторонним антивредоносным решениям боле эффективно обнаруживать вредоносное ПО, сохраняя совместимость приложений, даже если Майкрософт вносит существенные изменения во внутренние компоненты Windows (например, при выпуске новой главной версии ОС).

Тем не менее, подобная доступность создает проблемы в сфере безопасности: как предоставить антивредоносному ПО в Windows 10 широкий доступ с многочисленными привилегиями и убедиться, что этим доступом не воспользуется вредоносное ПО? Майкрософт активно работает над решением этой задачи в сотрудничестве с несколькими сторонними поставщиками ПО. Если третье лицо хочет получить доступ подобного уровня, оно должно соответствовать определенным критериям и требованиям благонадежности. Кроме того, Майкрософт должна подписать такое ПО с помощью своих цифровых подписей. Это позволяет Майкрософт проверять подлинность поставщиков ПО и блокировать создание злоумышленниками фальшивых самоподписанных сканеров вредоносного ПО.

Естественно, Майкрософт никоим образом не ограничивает поставщиков антивредоносного ПО и их инновации. Более того, Майкрософт не стремится изменить каналы распространения ПО. Как только корпорация Майкрософт подписывает антивредоносное приложение, его можно развертывать и устанавливать любыми способами. Прежде чем подписывать антивредоносное ПО сторонних поставщиков, Майкрософт пытается убедиться, что разработчиком является аутентичная, признанная в отрасли компания. В этом случае корпорация готова предоставить ей расширенные привилегии.

Еще одна угроза безопасности, с которой сталкиваются клиенты в потребительских системах и сценариях BYOD (принеси свое устройство), связана с отключением антивредоносного решения или использованием устаревшего продукта. Компьютер BYOD, на котором установлен и используется неэффективный антивредоносный продукт (либо он вообще отключен), может быть опаснее, чем компьютер без антивирусного решения, потому что первый создает у пользователя иллюзию защищенности. Защитник Windows в Windows 10 устраняет эту угрозу, гарантируя, что либо Защитник Windows, либо выбранное клиентом стороннее решение выполняется и находится в работоспособном состоянии.

Всякий раз когда стороннее решение для защиты в реальном времени находится в нерабочем состоянии (например, отключено либо истек срок его действия) на протяжении 24 часов, Защитник Windows включается автоматически, чтобы обеспечить безопасность устройства. Windows пытается помочь пользователю устранить проблему со сторонним антивредоносным решением, уведомляя его или ее за пять дней до истечения срока действия ПО. Если срок действия решения истекает, Windows включает Защитник Windows и продолжает напоминать пользователю о необходимости продлить срок действия стороннего решения. Когда пользователь обновляет или возобновляет активацию решения, Защитник Windows автоматически отключается. Конечная цель этого сценария — убедиться, что работоспособное антивредоносное решение постоянно функционирует.

Заключение

Windows 10 — это результат многолетних усилий корпорации Майкрософт. Эта операционная система стала важным достижением корпорации с точки зрения безопасности. Многие из нас до сих пор помнят годы Windows XP, когда атаки на ОС Windows, приложения и данные множились, как снежный ком, и превращались в серьезные угрозы. Благодаря существующим платформам и решениями по обеспечению безопасности, которые вы, скорее всего, развернули, вы как никогда надежно защищены. По мере того как злоумышленники будут совершенствовать свои технологии, они, несомненно, превзойдут ваши возможности по защите своей организации и пользователей. Каждый день мы слышим подтверждение этому в новостях: крупные организации регулярно становятся жертвами злоумышленников. Майкрософт создала Windows 10, чтобы устранить современные угрозы и обезвредить тактику самых изощренных злоумышленников. Эта операционная система станет важным преимуществом вашей организации и позволит укрепить свои позиции перед теми, кто может захотеть сделать вас своей новой жертвой.

Связанные разделы

Спецификации Windows 10

HealthAttestation CSP

Windows 10 становится более личной и более защищенной благодаря Windows Hello

Защита BitLocker от атак на предзагрузочную среду