Новые функции безопасности в Windows 10

Корпорация Майкрософт выполнила несколько основных улучшений функций безопасности клиента в Windows 10. Эти улучшения касаются трех ключевых областей: сопротивление угрозам, защита информации, а также защита удостоверений и управление доступом. Помимо общих сведений о самих функциях, эта статья содержит описание требований к оборудованию для каждой новой функции, а также рекомендации по конфигурации и ссылки на ресурсы с более подробной информацией.

Корпорация Майкрософт сделала Windows 10 самой защищенной из всех существующих версий операционной системы Windows. Для этого в Windows 10 используются самые современные, а теперь и общедоступные аппаратные компоненты, обеспечивающие защиту пользователей и устройств от современных киберугроз. Ежедневно появляются тысячи новых разновидностей вредоносных программ, а злоумышленники стремительно совершенствуют методы взлома. В таких условиях безопасность клиента Windows обретает исключительную важность. В Windows 10 организации могут развернуть новые устойчивые к угрозам функции безопасности, чтобы обеспечить защиту операционной системы и повысить эффективность политики "принеси свое устройство" (BYOD) и сценариев использования корпоративных устройств, а также специализированных устройств, таких как киоски, банкоматы и POS-терминалы. Эти новые устойчивые к угрозам функции отличаются модульной структурой: они предназначены для совместного развертывания, но их также можно внедрить по отдельности. При совместном использовании всех новых функций организации могут оперативно защититься от большинства самых изощренных современных угроз и вредоносных программ.

Кроме новых действенных средств защиты от угроз, Windows 10 включает несколько улучшений встроенной системы защиты информации, включая компонент защиты от потери данных (DLP). С помощью этих улучшений организации могут без труда разделять корпоративные и персональные данные, ограничивать доступ приложений к корпоративным данным и определять параметры предоставления общего доступа к данным (например, путем копирования и вставки). В отличие от других решений для защиты от потери данных, корпорация Майкрософт тесно интегрировала эти возможности с платформой Windows, обеспечивая те же функции безопасности, что и в контейнерных решениях, но не требуя от пользователей таких действий, как изменение режимов или переключение между приложениями.

Наконец, новые функции защиты удостоверений и управления доступом упрощают внедрение двухфакторной проверки подлинности (2FA) в масштабах всего предприятия, которая позволяет организациям отказаться от использования паролей. В Windows 10 реализована служба Microsoft Passport, новый тип учетных данных пользователей для двухфакторной проверки подлинности, напрямую встроенный в операционную систему. Пользователи могу получать к ней доступ с помощью ПИН-кода или новой биометрической функции под названием Windows Hello. Совместно эти технологии обеспечивают пользователям удобство входа, а также надежную защиту благодаря многофакторной проверке подлинности (MFA). В отличие от сторонних решений многофакторной проверки подлинности, служба Microsoft Passport изначально предназначена для интеграции с Microsoft Azure Active Directory (Azure AD) и гибридными средами Active Directory, а также требует от администраторов минимум конфигурирования и обслуживания.

Сопротивление угрозам

Современные угрозы безопасности крайне серьезны и опасны. До некоторых пор большинство злоумышленников совершали атаки, стремясь получить всеобщее признание, и временно нарушали работу систем лишь ради удовольствия. Затем атаки стали проводиться с целью извлечения финансовой выгоды, включая получение контроля над оборудованием и данными, чтобы затем требовать выкуп, и использование ценных сведений, полученных в результате атаки, для извлечения прибыли. В отличие от приведенных примеров, современные атаки все чаще направлены на крупномасштабное хищение интеллектуальной собственности и снижение производительности целевых систем, ведущее к убыткам. В последнее время также начал развиваться кибертерроризм, представляющий угрозу безопасности отдельных людей, компаний и национальных интересов по всему миру. Как правило, такие злоумышленники — высококвалифицированные специалисты и эксперты по вопросам безопасности. Некоторые из них работают на государства с внушительным бюджетом, практически неограниченными людскими ресурсами и неизвестными мотивами. Подобные угрозы требуют иного подхода и систем безопасности надлежащего уровня.

В Windows 10 реализовано несколько новых функций безопасности, позволяющих нейтрализовать современные угрозы и защитить организации от киберпреступников независимо от их целей. Корпорация Майкрософт сделала все возможное, чтобы Windows 10 стала самой защищенной от вредоносных программ операционной системой Windows. Вместо простого добавления в операционную систему защитных функций, как происходило в предыдущих выпусках Windows, в Windows 10 корпорация Майкрософт ввела архитектурные изменения, направленные на целые классы угроз. За счет кардинальных изменений в самом принципе работы операционной системы корпорация Майкрософт стремится значительно усложнить современным злоумышленникам задачу взлома Windows 10. Нововведения в Windows 10 включают, среди прочего, Device Guard, настраиваемую целостность кода, обеспечение безопасности на основе виртуализации (VBS) и улучшения в Защитнике Windows. При совместном использовании всех новых функций организации могут оперативно защититься от типов вредоносных программ, используемых примерно в 95 процентах всех современных атак.

Обеспечение безопасности на основе виртуализации

При повсеместном использовании серверов технологии виртуализации, такие как Microsoft Hyper-V, оказались крайне эффективны для изоляции и защиты виртуальных машин в центрах обработки данных. По мере распространения технологий виртуализации в современных клиентских устройствах появляются отличные возможности для использования новых функций безопасности клиента Windows. В Windows 10 технологию виртуализации можно использовать для изоляции основных служб операционной системы в обособленной виртуализированной среде, аналогичной виртуальной машине. Этот дополнительный уровень защиты, известный как обеспечение безопасности на основе виртуализации, исключает несанкционированное использование указанных служб даже в случае взлома режима ядра операционной системы сервера виртуальных машин.

Как и при использовании клиента Hyper-V, сама ОС Windows теперь может использовать процессоры, оснащенные технологией преобразования адресов второго уровня (SLAT) и расширениями виртуализации, такими как технология Intel Virtualization (VT) x и AMD V, с целью создания безопасной среды выполнения для конфиденциальных функций и данных Windows. Эта среда VBS защищает следующие службы:

  • Hypervisor Code Integrity (HVCI). Служба HVCI в Windows 10 определяет, заслуживает ли доверия код, выполняемый в режиме ядра, и безопасна ли его структура. Она предоставляет функции защиты от эксплойтов и атак с использованием уязвимостей нулевого дня, обеспечивая безопасное выделение памяти для всего программного обеспечения (включая драйверы), выполняемого в режиме ядра, и его должное функционирование. Windows 10 позволяет настраивать целостность кода в режиме ядра, благодаря чему организации могут определять выполнение кода в предзагрузочной среде согласно требуемой конфигурации. Подробнее о настраиваемой целостности кода можно узнать в разделе Настраиваемая целостность кода.

  • Локальная система безопасности (LSA). Служба LSA в Windows управляет операциями проверки подлинности, включая механизмы NT LAN Manager (NTLM) и Kerberos. Функция Credential Guard в Windows 10 частично изолирует эту службу и помогает нейтрализовать атаки типа "pass-the-hash" и "pass-the-ticket", защищая учетные данные домена. Защита распространяется не только на учетные данные для входа, но и на учетные данные, хранящиеся в диспетчере учетных данных. Подробнее о функции Credential Guard можно узнать в разделе Credential Guard.

Примечание  

Чтобы определить, поддерживает ли определенная модель клиентского компьютера виртуализацию, просто выполните команду systeminfo из окна командной строки.

 

Функция VBS предоставляет основную среду для некоторых из наиболее эффективных средств защиты в Windows 10. Использование в организации клиентских компьютеров с поддержкой этой функции крайне важно для обеспечения защиты от современных угроз. Подробнее о конкретных аппаратных компонентах, необходимых для каждой функции Windows 10, включая VBS, можно узнать в разделе Рекомендации по оборудованию для Windows 10.

Device Guard

Компонент Microsoft Device Guard совмещает функции укрепления целостности системы, значительно повышающих безопасность Windows с помощью новых параметров VBS для защиты ядра системы, и модель нулевого доверия, которая часто используется в мобильных операционных системах. Этот компонент использует лучшие существующие функции аппаратной защиты Windows (например, безопасную загрузку на базе единого интерфейса EFI (UEFI), надежную загрузку Windows) в сочетании с новыми мощными функциями контроля приложений, такими как служба HVCI на базе VBS и настраиваемая целостность кода. Совместно они помогают предотвратить использование уязвимостей и запуск неавторизованных приложений на устройстве как в пользовательском режиме, так и в режиме ядра. Подробнее о компоненте VBS в Windows 10 и дополнительных функциях, использующих его, можно узнать в разделе Обеспечение безопасности на основе виртуализации. Подробнее о настраиваемой целостности кода можно узнать в разделе Настраиваемая целостность кода.

Хотя по замыслу корпорации Майкрософт компонент Device Guard следует использовать в сочетании с новыми функциями безопасности Windows, такими как Credential Guard, он может работать отдельно. В зависимости от ресурсов клиента организации вы можете выбрать функции, актуальные для вашей среды и особенностей совместимости устройств. Сведения о требованиях к оборудованию для Device Guard и других функций безопасности Windows 10 можно найти в разделе Рекомендации по оборудованию для Windows 10. Подробнее о функции Credential Guard можно узнать в разделе Credential Guard.

Для большинства организаций внедрение тех или иных функций Device Guard будет зависеть от роли устройства и его основного пользователя: на устройствах с одной рабочей нагрузкой, таких как киоски, следует использовать больше функций, чем на компьютерах администраторов, к которым у пользователей есть неограниченный доступ. С помощью этой модели ИТ-организации могут распределять пользователей по группам в соответствии с политиками безопасности Device Guard, связанными с ограничениями для безопасности устройств и целостности кода. Подробнее о настраиваемой целостности кода можно узнать в разделе Настраиваемая целостность кода.

Будут доступны новые настольные компьютеры и ноутбуки, которые помогут ускорить процесс внедрения Device Guard. При подготовке к использованию устройств, поддерживающих Device Guard, требуется минимум взаимодействия с фактическим устройством. В дальнейшем все устройства можно будет разделить на три категории.

  • Устройства, поддерживающие Device Guard. Эти устройства соответствуют всем требованиям к оборудованию для Device Guard. Вам по-прежнему потребуется должным образом подготовить устройства и компоненты, требующие активации или настройки, к развертыванию Device Guard. Драйверы устройства должны быть совместимы со службой HVCI и могут потребовать установки обновлений от изготовителя оборудования.

  • Устройства, готовые к установке Device Guard. Устройства, готовые к установке Device Guard, поставляются самим изготовителем оборудования со всеми необходимыми аппаратными компонентами и драйверами для запуска Device Guard. Кроме того, все эти компоненты будут заранее настроены и подготовлены, максимально упрощая развертывание Device Guard. Для развертывания этих устройств не требуется взаимодействие с BIOS, а для управления ими вы можете использовать групповую политику, System Center Configuration Manager или Microsoft Intune.

  • Устройства, не поддерживающие Device Guard. На многих современных устройствах невозможно использовать все функции Device Guard, поскольку они не оснащены необходимыми аппаратными компонентами или драйверами, совместимыми с HVCI. Однако большинство из этих устройств все же поддерживает некоторые функции Device Guard, например настраиваемую целостность кода.

Подробнее о том, как подготовить и выполнить развертывание компонента Device Guard, а также управлять им, можно узнать в Руководстве по развертыванию Device Guard.

Настраиваемая целостность кода

Целостность кода — это компонент Windows, проверяющий надежность и безопасность выполняемого кода. Подобно режимам работы в самой Windows целостность кода Windows также содержит два основных компонента: целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI). Корпорация Майкрософт использовала KMCI в последних версиях Windows, чтобы защитить ядро Windows от запуска неподписанных драйверов. Несмотря на эффективность этого подхода, драйверы — не единственный способ проникновения вредоносных программ в пространство режима ядра операционной системы. Поэтому в Windows 10 корпорация Майкрософт подняла изначальный уровень требований к коду в режима ядра: стало обязательным использование рекомендаций по безопасности при управлении памятью, а предприятия получили способ устанавливать собственные стандарты UMCI и KMCI.

Раньше компонент UMCI был доступен только в Windows RT и на устройствах Windows Phone, что усложняло заражение этих устройств вирусами и вредоносными программами. Сокращение числа заражений обусловлено тем, как операционная система определяет, какой код выполнять. По умолчанию операционная система проверяет надежность двоичных файлов, прежде чем разрешить их выполнение. Цель этой процедуры — ограничить выполнение произвольного кода и тем самым снизить риск заражения вредоносными программами. Эта эффективная модель операционной системы с нулевым доверием теперь доступна и в Windows 10 благодаря функции настраиваемой целостности кода.

С помощью настраиваемой целостности кода ИТ-организации могут создавать и развертывать политики целостности кода, точно определяющие, какие двоичные файлы могут выполняться в конкретной среде. Администраторы могут управлять параметрами доверия на уровне центра сертификации или издателя вплоть до отдельных хэш-значений для каждого исполняемого двоичного файла. Такая свобода настройки позволяет организациям создавать политики с любым уровнем ограничений. Кроме того, организации могут устанавливать разные уровни ограничений для определенных типов компьютеров. Например, к устройствам с фиксированными рабочими нагрузками, таким как киоски и POS-терминалы, вероятно, будет применяться более строгая политика, поскольку они предназначены для ежедневного предоставления одних и тех же услуг. Администраторы могут управлять устройствами с большим разнообразием рабочих нагрузок, такими как компьютеры пользователей, на более высоком уровне, разрешая установку приложений определенных издателей программного обеспечения или приводя эти устройства в соответствие с каталогом ПО организации.

Примечание  

Функция настраиваемой целостности кода не предназначена для замены технологий управления доступом программ, например AppLocker, или антивирусного ПО организации. Вместо этого она дополняет такие технологии, устанавливая базовый уровень безопасности, а затем используя дополнительные технологии для точной настройки параметров безопасности клиента.

 

Функцию настраиваемой целостности кода можно использовать не только в приложениях Магазина Windows. Фактически, она не ограничивается даже существующими подписанными приложениями. Windows 10 позволяет подписывать бизнес-приложения или сторонние приложения, не перепаковывая их: вы можете контролировать процесс установки и начального запуска приложения, чтобы создать список двоичных файлов, называемый файлом каталога. Вы подписываете файлы каталогов после их создания и добавляете сертификат подписи в политику целостности кода, чтобы разрешить выполнение двоичных файлов, указанных в файлах каталогов. Затем вы можете использовать групповую политику, диспетчер конфигурации или любое другое известное вам средство управления, чтобы распространить файлы каталогов по клиентским компьютерам. Как правило, большинство вредоносных программ лишены подписи. С помощью простого развертывания политик целостности кода ваша организация может оперативно защититься от неподписанных вредоносных программ, используемых в большинстве современных атак.

Примечание  

Подробные сведения о развертывании и планировании функции настраиваемой целостности кода можно найти в Руководстве по развертыванию Device Guard.

 

Процесс создания, тестирования и развертывания политики целостности кода выглядит следующим образом:

  1. Создание политики целостности кода. Создайте новую политику целостности кода с помощью командлета Windows PowerShell New-CIPolicy, доступного в Windows 10. Этот командлет проверяет компьютер на наличие листингов определенного уровня политики. Например, если установлен уровень правил Хэш, командлет добавит хэш-значения для всех обнаруженных двоичных файлов в политику по результатам проверки. При развертывании и применении политики этот список хэш-значений точно определяет, какие двоичные файлы могут выполняться на компьютерах, получивших политику. Политики целостности кода могут содержать политику выполнения как для режима ядра, так и для пользовательского режима, ограничивая выполнение файлов в каждом из них или в обоих режимах. После создания эта политика преобразуется в двоичный формат, чтобы управляемый клиент мог использовать политику после ее копирования в папку целостности кода клиента.

  2. Аудит политики целостности кода на наличие исключений. При первом создании политики целостности кода по умолчанию включен режим аудита, позволяющий имитировать действие этой политики, не ограничивая выполнение каких-либо двоичных файлов. Вместо этого исключения политики заносятся в журнал событий целостности кода, чтобы в дальнейшем вы могли добавить исключения в политику. Обязательно проводите аудит каждой политики на наличие возможных проблем перед ее развертыванием.

  3. Объединение результатов аудита с существующей политикой. После проведения аудита политики вы можете использовать события аудита для создания дополнительной политики целостности кода. Так как каждый компьютер обрабатывает лишь одну политику целостности кода, правила файлов в новой политике необходимо объединить с исходной политикой. Для этого выполните командлет Merge-CIPolicy, доступный в Windows 10 Корпоративная.

  4. Применение и подписание политики. После создания, проведения аудита и объединения полученных политик целостности кода можно применять готовую политику. Для этого выполните командлет Set-RuleOption, чтобы удалить правило Неподписанная политика. После применения политики двоичные файлы, являющиеся исключениями из нее, не будут выполняться. Помимо применения политики, вы можете подписать ее, чтобы обеспечить дополнительную защиту. Подписанные политики целостности кода обладают внутренней самозащитой от изменения и удаления — даже администраторами.

  5. Развертывание политики целостности кода. После применения и, возможно, подписания политика целостности кода готова к развертыванию. Это можно сделать при помощи технологий управления клиентами Майкрософт, решений для управления мобильными устройствами или групповой политики. Вы также можете просто скопировать файл в нужную папку на клиентских компьютерах. Чтобы упростить процесс развертывания с помощью групповой политики, воспользуйтесь новым административным шаблоном, доступным в операционных системах Windows 10 и Windows Server 2016.

Примечание  

Функция настраиваемой целостности кода доступна в Windows 10 Корпоративная и Windows 10 для образовательных учреждений.

 

Вы можете включить эту функцию при развертывании Device Guard или как автономный компонент. Вы также можете запустить функцию настраиваемой целостности кода на оборудовании, совместимом с операционной системой Windows 7, даже если оно не готово к установке Device Guard. Политики целостности кода могут согласовываться с существующим каталогом приложений, текущей корпоративной стратегией работы с образами дисков или любым другим методом, обеспечивающим требуемые уровни ограничений в организации. Подробнее об использовании функции настраиваемой целостности кода с Device Guard можно узнать в Руководстве по развертыванию Device Guard.

Измеряемая загрузка и удаленная аттестация

Несмотря на эффективность антивредоносного ПО и антивирусных программ, они неспособны обнаруживать изменения ресурсов или заражения в предзагрузочной среде с использованием таких вредоносных программ, как буткиты и пакеты программ rootkit, которые могут управлять клиентом до запуска операционной системы и антивредоносного ПО. Буткиты, пакеты программ rootkit и прочее аналогичное программное обеспечение практически невозможно обнаружить с помощью одних лишь программных решений, поэтому в Windows 10 используется доверенный платформенный модуль (TPM) клиента и функция измеряемой загрузки Windows для анализа общей целостности загрузки. При поступлении запроса Windows 10 предоставляет сведения о целостности облачной службе аттестации работоспособности устройств Windows. Эту службу можно использовать в сочетании с решениями для управления, такими как Intune, для анализа полученных данных и предоставления условного доступа к ресурсам в зависимости от состояния работоспособности устройства.

Измеряемая загрузка использует одну из основных функций доверенного платформенного модуля и предоставляет уникальные преимущества для защиты организаций. Эта функция может точно и безопасно сообщить о состоянии доверенной вычислительной базы (TCB) компьютера. Оценивая доверенную вычислительную базу системы, включающую важнейшие компоненты безопасности при запуске, такие как встроенное ПО, загрузчик операционной системы, а также драйверы и программное обеспечение, доверенный платформенный модуль может сохранять текущее состояние устройства в регистрах конфигурации платформы (PCR). После завершения процесса оценки доверенный платформенный модуль криптографически подписывает данные PCR, чтобы сведения измеряемой загрузки можно было отправить в облачную службу аттестации работоспособности устройств Windows или аналогичную стороннюю службу для подписания или проверки. Например, если компании требуется лишь проверить информацию о BIOS компьютера перед разрешением доступа к сети, регистр PCR[0], содержащий сведения о BIOS, добавляется в политику для проверки на сервере аттестации. Таким образом, при получении манифеста от доверенного платформенного модуля серверу аттестации будет известно, какие значения должен содержать регистр конфигурации платформы.

Сама по себе функция измеряемой загрузки не предотвращает загрузку вредоносных программ при запуске системы, но она предоставляет защищенный доверенным платформенным модулем журнал аудита, который позволяет доверенному серверу удаленной аттестации оценивать компоненты запуска компьютера и определять его надежность. Если сервер удаленной аттестации указывает, что на компьютере загружен ненадежный компонент, и, следовательно, компьютер не соответствует требованиям, система управления может использовать эти сведения в сценариях условного доступа для блокировки доступа компьютера к сетевым ресурсам или выполнения других карантинных действий.

Улучшения в Защитнике Windows

Корпорация Майкрософт модернизировала Защитник Windows в Windows 10 и объединила его с Microsoft System Center Endpoint Protection. В отличие от Microsoft System Center 2012 R2, на компьютерах под управлением Windows 10 не требуется развертывать клиент System Center Endpoint Protection, так как Защитник Windows встроен в операционную систему и включен по умолчанию.

Помимо упрощенного развертывания, Защитник Windows содержит еще несколько улучшений. Вот основные улучшения в Защитнике Windows:

  • Совместимость с драйвером раннего запуска антивредоносной программы (ELAM). После того, как функция безопасной загрузки проверила надежность загружаемой операционной системы, драйвер ELAM может запустить зарегистрированное и подписанное антивредоносное приложение перед загрузкой других компонентов операционной системы. Защитник Windows совместим с ELAM.

  • Локальный контекст для обнаружений и централизованные сенсорные данные. В отличие от большинства антивредоносных программ и предыдущих версий Защитника Windows, Защитник Windows в Windows 10 предоставляет дополнительные сведения о контексте обнаруженных угроз. Эти сведения включают источник содержимого с угрозой, а также журнал передвижений вредоносной программы внутри системы. После завершения сбора сведений Защитник Windows сообщает о них (если пользователь включил облачную защиту) и использует полученные данные для ускоренной нейтрализации угроз.

  • Интеграция контроля учетных записей пользователей (UAC). Теперь Защитник Windows тесно интегрирован с механизмом UAC в Windows 10. При поступлении запроса UAC Защитник Windows автоматически проверяет угрозу перед отправкой запроса пользователю. Это помогает защитить пользователей от предоставления вредоносной программе более высокого уровня привилегий.

  • Упрощенное управление. В Windows 10 управление Защитником Windows стало гораздо удобнее. Вы можете управлять параметрами с помощью групповой политики, Intune или диспетчера конфигураций.

Защита информации

Защита целостности данных компании, а также предотвращение несанкционированного раскрытия этих данных и предоставления к ним общего доступа — важнейшие задачи ИТ-организаций. Распространение таких тенденций, как BYOD и мобильность, невероятно усложняет задачу защиты информации. В Windows 10 реализованы несколько улучшений встроенной системы защиты информации, включая новую функцию защиты корпоративных данных (EDP), обеспечивающую защиту от потери данных. Эта функция позволяет пользователям организации самостоятельно классифицировать данные, а также предоставляет возможность автоматически классифицировать данные, поступающие от ресурсов компании. Кроме того, она помогает предотвратить копирование пользователями корпоративного содержимого в неавторизованные расположения, такие как личные документы или веб-сайты.

В отличие от некоторых существующих решений для защиты от потери данных, функция защиты корпоративных данных не требует от пользователей переключения между режимами или приложениями, а также работы в пределах контейнеров. Обеспечение защиты происходит в фоновом режиме и не влияет на привычный ход работы пользователей в Windows. Подробнее о защите корпоративных данных в Windows 10 можно узнать в разделе Защита корпоративных данных.

Помимо внедрения функции защиты корпоративных данных, корпорация Майкрософт существенно улучшила BitLocker, упростив управление с помощью инструмента Microsoft BitLocker Administration and Monitoring (MBAM), а также реализовав шифрование только в пределах используемого пространства, функцию единого входа и прочие улучшения. Подробнее об улучшениях BitLocker в Windows 10 можно узнать в разделе Улучшения в BitLocker.

Защита корпоративных данных

Системы защиты от потери данных предназначены для защиты конфиденциальных корпоративных данных за счет шифрования и управления при использовании, передаче или хранении данных. Традиционное программное обеспечение для защиты от потери данных, как правило, мешает работе пользователей, а также бывает сложным при настройке и развертывании для администраторов. Windows 10 оснащена удобной встроенной функцией защиты корпоративных данных, обеспечивающей защиту от потери данных. Это решение позволяет свободно определять политики, чтобы указывать, какие данные являются корпоративными и требуют особой защиты, а какие — персональными. На основе этих политик вы также можете выбирать автоматические или ручные действия в случае возможной или уже произошедшей компрометации указанных данных. Например, если сотрудник пользуется личным, но управляемым устройством, содержащим корпоративные данные, ИТ-организация может запретить этому пользователю копировать такие данные в некорпоративные документы и расположения, а также в любое время выборочно стереть корпоративные данные с устройства, не затронув содержащиеся на нем персональные данные.

Вы можете настроить политики защиты корпоративных данных для автоматического шифрования и защиты файлов в зависимости от сетевого источника, из которого получено содержимое, такого как почтовый сервер, файловый ресурс или сайт Microsoft SharePoint. Политики могут распространяться как на локальные ресурсы, так и на те, что получены из Интернета. Если задан соответствующий параметр, любые данные, полученные из внутренних сетевых ресурсов, будут постоянно защищены как корпоративные данные. Защита продолжает действовать, даже если данные скопированы на переносное хранилище, такое как устройство флэш-памяти или компакт-диск. Последствия неверной классификации данных можно легко исправить: если пользователь считает, что функция защиты корпоративных данных ошибочно применила защиту к персональным данным, классификацию этих данных можно изменить. При выполнении таких изменений у вас есть доступ к данным аудита на клиентском компьютере. Вы также можете использовать политику, чтобы запретить пользователям изменять классификацию данных. Функция защиты корпоративных данных в Windows 10 также включает элементы управления политиками, позволяющие управлять доступом приложений к корпоративным данным и даже к корпоративной виртуальной частной сети (VPN).

Для управления защитой корпоративных данных используются те же средства управления системой, которые вы, возможно, уже применяете для управления клиентскими компьютерами Windows, например диспетчер конфигураций и Intune. Подробнее о функции защиты корпоративных данных можно узнать в разделе Обзор защиты данных предприятия.

Улучшения в BitLocker

С учетом высоких ежегодных показателей краж ноутбуков защита неактивных данных должна быть одной из основных задач любой ИТ-организации. С 2004 года корпорация Майкрософт оснащала операционные системы Windows решением для шифрования под названием BitLocker. Если последний раз вы использовали BitLocker в Windows 7, то обнаружите, что ранее отсутствовавшие функции управляемости и единого входа теперь есть в Windows 10. Эти и другие улучшения сделали BitLocker одним из лучших существующих решений для защиты данных на устройствах с Windows. В Windows 10 за основу взяты улучшения BitLocker из операционных систем Windows 8.1 и Windows 8, позволившие сделать BitLocker еще удобнее в управлении и развертывании.

Корпорация Майкрософт выполнила в BitLocker следующие основные улучшения:

  • Автоматическое шифрование устройств с помощью функции шифрования устройства. По умолчанию компонент BitLocker автоматически включен после чистой установки Windows 10, если устройство прошло проверку на соответствие требованиям к шифрованию устройств в комплекте сертификации оборудования для Windows. Многие совместимые с Windows 10 компьютеры соответствуют этому требованию. Эта версия BitLocker называется шифрованием устройства. При присоединении устройств с включенной функцией шифрования устройства к домену ключи шифрования можно депонировать в Active Directory или MBAM.

  • Улучшения MBAM. Инструмент MBAM предоставляет упрощенную консоль управления для администрирования BitLocker. Он также упрощает запросы на восстановление с помощью портала самообслуживания, на котором пользователи могут восстанавливать диски без помощи службы технической поддержки.

  • Единый вход. В BitLocker для Windows 7 зачастую требовалось использовать предзагрузочный ПИН-код, чтобы получить доступ к ключу шифрования защищенного диска и разрешить запуск Windows. В Windows 10 предзагрузочная проверка подлинности на основе пользовательского ввода (иначе говоря, ПИН-код) не требуется, так как ключами управляет доверенный платформенный модуль. Кроме того, современное оборудование часто нейтрализует атаки методом холодной перезагрузки (например, атаки с прямым доступом к памяти через порт), для защиты от которых раньше требовался ПИН-код. Подробнее о ситуациях и типах устройств, требующих защиты с помощью ПИН-кода, можно узнать в разделе Меры защиты для BitLocker.

  • Шифрование только в пределах используемого пространства. Вместо шифрования всего жесткого диска вы можете настроить BitLocker для шифрования только используемого пространства на диске. Эта функция значительно сокращает общее время шифрования.

Защита удостоверений и управление доступом

Учетные данные пользователей играют ключевую роль в общей системе защиты домена организации. До выхода Windows 10 сочетание имени пользователя и пароля было основным способом подтверждения личности пользователя на компьютере или системе. К сожалению, пароли легко украсть, и злоумышленники могут использовать их в удаленном режиме, чтобы подделать удостоверение пользователя. Некоторые организации развертывают решения на основе инфраструктуры открытых ключей (PKI), такие как смарт-карты, чтобы избавиться от недостатков использования паролей. Однако из-за своей сложности и высокой стоимости эти решения развертываются редко, а если и используются, то зачастую лишь для защиты важнейших активов, таких как корпоративная виртуальная частная сеть. В Windows 10 реализованы новые функции защиты удостоверений и управления доступом, позволяющие избавиться от уязвимостей современных решений и отказаться от использования паролей пользователей в организации.

Windows 10 также оснащена функцией Microsoft Passport. Это новый механизм двухфакторной проверки подлинности, встроенный непосредственно в операционную систему. Два фактора проверки подлинности представляют собой сочетание известной вам информации (например, ПИН-кода) и имеющихся у вас данных или устройства (например, компьютера или телефона), либо персональных данных пользователя (например, биометрии). Если функция Microsoft Passport включена, то при входе в систему она играет роль посредника при передаче сведений о проверке подлинности пользователя по сети, предоставляя уже знакомые возможности единого входа. Подробнее о Microsoft Passport можно узнать в разделе Microsoft Passport.

Фактор биометрии, доступный в Microsoft Passport, основан на еще одной новой функции Windows 10 под названием Windows Hello. В Windows Hello используется целый ряд биометрических датчиков для измерения различных биометрических данных, таких как черты лица, радужная оболочка глаза и отпечатки пальцев. Это позволяет организациям выбирать различные варианты, наиболее подходящие для пользователей и устройств. При совместном использовании Windows Hello и Windows Passport пользователям не нужно запоминать пароль для доступа к корпоративным ресурсам. Подробнее о Windows Hello можно узнать в разделе Windows Hello.

Наконец, в Windows 10 используется функция обеспечения безопасности на основе виртуализации, позволяющая изолировать службу Windows, отвечающую за обслуживание и передачу извлеченных учетных данных пользователя (например, билет Kerberos или хэш NTLM), с помощью функции под названием Credential Guard. Помимо изоляции служб, доверенный платформенный модуль защищает учетные данные как при включенном, так и при выключенном компьютере. Credential Guard предоставляет комплексную стратегию защиты извлеченных учетных данных пользователей как в среде выполнения, так и в неактивном состоянии. Это не позволяет злоумышленникам получить к ним доступ и воспользоваться ими для проведения атак типа "pass-the-hash". Подробнее о функции Credential Guard можно узнать в разделе Credential Guard.

Microsoft Passport

В прошлом компании устраняли риск хищения учетных данных с помощью внедрения двухфакторной проверки подлинности. При использовании этого метода дополнительная защита при входе в систему обеспечивает сочетанием известной вам информации (например, ПИН-кода) и имеющихся у вас данных или устройства (как правило, смарт-карты или токена), либо персональных данных пользователя (например, биометрии). Помимо известной вам информации, дополнительный фактор защиты требует от злоумышленника, пытающегося похитить учетные данные, располагать физическим устройством или в случае биометрии данными самого пользователя.

В Microsoft Passport реализован надежный механизм двухфакторной проверки подлинности, напрямую встроенный в Windows. Многие современные организации используют двухфакторную проверку подлинности, но не внедряют эти функции у себя из-за высокой стоимости и трудоемкости этой задачи. Поэтому большинство организаций используют многофакторную проверку подлинности только для безопасных подключений к виртуальной частной сети и самым ценным ресурсам в корпоративной сети, а для входа на устройствах и работы в остальной части сети применяются обычные пароли. Функция Microsoft Passport отличается от других видов двухфакторной проверки подлинности тем, что корпорация Майкрософт разработала ее специально в противовес сложным, дорогостоящим и неудобным традиционным решениям двухфакторной проверки подлинности. Эту функцию удобно развертывать в масштабах всего предприятия с помощью существующей инфраструктуры и устройств.

Microsoft Passport может использовать биометрические данные, полученные от Windows Hello, или уникальный ПИН-код с ключами криптографической подписи, хранящимися в доверенном платформенном модуле устройства. Если в организации нет существующей инфраструктуры открытых ключей, доверенный платформенный модуль (или Windows, если модуль отсутствует) может создать и защитить эти ключи. Если организация уже располагает локальной инфраструктурой открытых ключей или собирается ее развернуть, вы можете использовать сертификаты из этой инфраструктуры для создания ключей и последующего их хранения в доверенном платформенном модуле. Если пользователь зарегистрировал устройство и использует Windows Hello или ПИН-код для входа в систему на этом устройстве, все последующие запросы на проверку подлинности выполняются с помощью закрытого ключа Microsoft Passport. Microsoft Passport совмещает гибкость при развертывании виртуальных смарт-карт и высокую безопасность физических смарт-карт, не требуя при этом дополнительных компонентов инфраструктуры, необходимых при развертывании традиционных решений для использования смарт-карт и оборудования, такого как карты и устройства их чтения.

Роль физического фактора проверки подлинности в Windows 10 играет устройство пользователя — компьютер или мобильный телефон. С помощью новой функции входа на телефоне, предварительная версия которой станет доступна участникам программы предварительной оценки Windows в начале 2016 года, пользователи могут разблокировать компьютер, даже не прикасаясь к нему. Пользователям нужно будет лишь зарегистрировать свой телефон в службе Windows Passport, связав его с компьютером через Wi-Fi или Bluetooth, и установить на телефон простое в использовании приложение, позволяющее выбирать компьютер для разблокировки. Выбрав компьютер, пользователи могут ввести ПИН-код или войти с помощью биометрических данных, чтобы разблокировать компьютер с телефона.

Windows Hello

Использование паролей может привести к потере удостоверений и управления доступом. Если в организации используется проверка подлинности Windows на основе паролей, злоумышленникам нужно лишь определить одну текстовую строку, чтобы получить доступ к любым ресурсам в корпоративной сети, защищенным этими учетными данными. К сожалению, злоумышленники могут получить пароль пользователя несколькими методами, поэтому при должном усердии кража учетных данных — относительно простая задача. При переходе на механизм многофакторной проверки подлинности для контроля удостоверений пользователей организации могут избавиться от уязвимостей однофакторной проверки подлинности, например с помощью паролей.

Windows Hello — это функция интеграции технологий биометрии корпоративного класса в Windows 10. Эта функция позволяет пользователям проходить проверку подлинности с помощью черт лица, радужной оболочки глаз или отпечатков пальцев, а не пароля. Хотя функции входа в систему с помощью биометрических данных используются еще со времен операционной системы Windows XP, лишь в Windows 10 они стали по-настоящему простыми, удобными и безопасными. В прежних биометрических решениях Windows операционная система использовала биометрические данные только для разблокировки устройства, а после входа в систему для получения доступа к ресурсам в сети организации использовался обычный пароль. Кроме того, ИТ-организации приходилось запускать дополнительное программное обеспечение, чтобы настроить биометрические устройства для входа в Windows или приложения. Функция Windows Hello встроена непосредственно в операционную систему, а потому не требует дополнительного программного обеспечения. Однако, как и любые другие технологии входа с помощью биометрических данных, для использования Windows Hello необходимо определенное оборудование:

  • Распознавание лиц. Для распознавания лиц в Windows Hello используются специальные инфракрасные камеры и технология защиты от подделывания, позволяющие системе различать фотографию и настоящего человека. Это условие не позволит злоумышленнику заполучить компьютер пользователя и подделать его личность с помощью высококачественной фотографии. Многие производители уже предлагают модели компьютеров, оснащенные такими камерами и, соответственно, совместимые с Windows Hello. На компьютеры, еще не оснащенные специальными камерами, можно установить различные внешние камеры.

  • Распознавание отпечатков пальцев. Датчики для сканирования отпечатков пальцев уже присутствуют на многих потребительских и корпоративных компьютерах. Большинство из них (в виде внешних устройств или встроенных модулей в ноутбуках или USB-клавиатурах) поддерживают Windows Hello. Технология обнаружения и защиты от подделывания в Windows 10 работает гораздо эффективнее, чем в предыдущих версиях Windows, что усложняет злоумышленникам задачу обмана операционной системы.

  • Распознавание радужной оболочки глаза. Как и при распознавании лиц, для сканирования радужной оболочки глаза используются специальные инфракрасные камеры и технология защиты от подделывания, позволяющая безошибочно различать радужную оболочку глаза пользователя и злоумышленника. Технология распознавания радужной оболочки глаза появится на мобильных устройствах в конце 2016 года, но независимые поставщики оборудования и изготовители оборудования уже могут оснащать ей свои компьютеры.

При совместном использовании Windows Hello и Microsoft Passport пользователи получают то же удобство единого входа, что и при использовании учетных данных домена, которые просто заменяются биометрическими данными. Кроме того, благодаря отсутствию паролей пользователям не придется обращаться в службу технической поддержки, чтобы восстановить забытый пароль. Чтобы подделать удостоверение пользователя, злоумышленнику потребуется физическое присутствие как пользователя, так и устройства, на котором пользователь зарегистрирован для использования Windows Hello. С точки зрения конфиденциальности, организации могут быть уверены, что используемые в Windows Hello биометрические данные не хранятся централизованно, не могут быть преобразованы в изображения отпечатков пальцев, черт лица или радужной оболочки глаза пользователя и никогда не покидают устройство. Таким образом, функции Windows Hello и Microsoft Passport могут полностью исключить необходимость использования паролей для Azure AD и гибридных сред Azure AD/Active Directory, а также использующих их службы идентификации приложений и веб-служб. Подробнее о Microsoft Passport можно узнать в разделе Microsoft Passport.

Credential Guard

Атака типа "pass-the-hash" — одна из самых распространенных современных атак с использованием извлеченных учетных данных. Эта атака начинается с того, что злоумышленник извлекает учетные данные учетной записи пользователя (хэш-значение) из памяти. Затем с помощью решения наподобие Mimikatz злоумышленник повторно использует (передает) эти учетные данные на других компьютерах и ресурсах в сети, чтобы получить дополнительный доступ. Корпорация Майкрософт разработала Credential Guard именно для того, чтобы предотвратить хищение извлеченных учетных данных и их использование в атаках типа "pass-the"hash".

Credential Guard — это еще одна новая функция в Windows 10 Корпоративная, в которой используется функция обеспечения безопасности на основе виртуализации для защиты учетных данных домена от хищения даже в случае взлома операционной системы сервера виртуальных машин. Чтобы обеспечить такой уровень защиты, Credential Guard частично изолирует службу локальной системы безопасности, отвечающую за управление проверкой подлинности, внутри виртуализированного контейнера. Этот контейнер аналогичен виртуальной машине на гипервизоре, но отличается чрезвычайно малым размером и содержит лишь те файлы и компоненты, которые требуются для работы локальной системы безопасности и других изолированных служб. Благодаря частичной изоляции службы локальной системы безопасности в пределах виртуализированной среды учетные данные остаются под защитой даже в случае компрометации ядра системы, нейтрализуя атаку типа "pass-the-hash".

Подробнее о требованиях к оборудованию для Credential Guard можно узнать в разделе Рекомендации по оборудованию для Windows 10. Подробнее о функции обеспечения безопасности на основе виртуализации в Windows 10 можно узнать в разделе Обеспечение безопасности на основе виртуализации.

Примечание  

Так как для использования функции Credential Guard требуется изолированный пользовательский режим и гипервизор Hyper-V, ее нельзя настроить на виртуальной машине — только на физическом компьютере.

 

Функция Credential Guard предназначена для нейтрализации атак типа "pass-the-hash" и "pass-the-ticket". Система многофакторной проверки подлинности, такая как Microsoft Passport, в сочетании с Credential Guard обеспечивает организациям дополнительную защиту от подобных угроз. Подробнее о принципах работы и конкретных функциях защиты от атак Credential Guard можно узнать в разделе Защита учетных данных домена с помощью Credential Guard.

Рекомендации по оборудованию для Windows 10

Для полноценного использования большинства описанных в этой статье функций требуется особое оборудование. Если на следующем цикле закупки вы приобретете оборудование, оснащенное этими функциями, вы сможете воспользоваться самым полным набором средств безопасности клиента, доступным в Windows 10. Эффективность систем безопасности клиента организации во многом определяется тщательным подбором поставщика оборудования и конкретных моделей. В таблице 1 содержится список всех новых функций безопасности в Windows 10 и соответствующих требований к оборудованию.

Таблица 1. Требования к оборудованию для Windows 10

Функция Windows 10Доверенный платформенный модульМодуль управления памятью ввода-выводаРасширения виртуализацииSLATUEFI 2.3.1Только архитектура x64
Credential GuardRNYYYY
Device GuardNYYYYY
BitLockerRNNNNN
Настраиваемая целостность кодаNNNNRR
Microsoft PassportRNNNNN
Windows HelloRNNNNN
Обеспечение безопасности на основе виртуализацииNYYYNY
Безопасная загрузка UEFIRNNNYN
Аттестация работоспособности устройств с помощью измеряемой загрузкиY*NNNYY

 

* Требуется доверенный платформенный модуль (TPM) версии 2.0.

Примечание  

В это таблице R означает рекомендуется, Y означает, что аппаратный компонент необходим для указанной функции Windows 10, а N означает, что аппаратный компонент не используется для указанной функции Windows 10.

 

Связанные разделы

Технические характеристики Windows 10
Windows 10 становится более личной и более защищенной благодаря Windows Hello
Защита BitLocker от атак на предзагрузочную среду
Меры защиты для BitLocker
Руководство по развертыванию Device Guard
Защита учетных данных домена с помощью Credential Guard

 

 

Показ: