Руководство по безопасности Windows 10 Mobile
Это руководство содержит подробное описание важнейших функций безопасности в операционной системе Windows 10 Mobile — доступа к удостоверениям и управления ими, защиты данных, устойчивости к вредоносным программам и безопасности платформы приложений.
Описание
Windows 10 Mobile предназначена для смартфонов и небольших планшетов. В ней используются те же технологии безопасности, что и в операционной системе Windows 10, помогающие в защите от известных и развивающихся угроз безопасности по целому ряду направлений атак. В Windows 10 Mobile реализованы механизмы безопасности, которые можно разделить на несколько категорий.
Управление удостоверениями и доступом. Корпорация Майкрософт значительно улучшила функции управления удостоверениями и доступом, чтобы упростить проверку подлинности пользователя и повысить ее безопасность. К таким функциям относятся Windows Hello и Microsoft Passport, которые лучше защищают удостоверения пользователей благодаря простой в развертывании и использовании многофакторной проверке подлинности (MFA) (для работы Windows Hello требуется специальная инфракрасная [IR] камера для распознавания лиц и радужной оболочки глаза или сканер отпечатков пальцев, поддерживающий биометрическую платформу Windows).
Защита данных. Защита конфиденциальных данных от взлома стала максимально эффективной. В Windows 10 Mobile используются несколько технологий защиты данных, представленных в удобном для пользователей и ИТ-специалистов виде.
Устойчивость к вредоносным программам. Windows 10 Mobile помогает защитить важнейшие ресурсы и приложения системы, чтобы снизить угрозу вредоносных программ, включая поддержку оборудования с защитой корпоративного уровня и безопасной загрузки.
Безопасность платформы приложений. Платформа приложений Windows 10 Mobile с защитой корпоративного уровня предоставляет несколько уровней безопасности. Например, Магазин Windows проверяет все приложения на наличие вредоносных программ, чтобы помешать таким программам проникнуть на устройства. Кроме того, изоляция приложений с помощью AppContainer не позволяет вредоносным программам взломать другие приложения.
В этом руководстве описывается каждая из этих технологий и то, как они помогают защитить устройства с Windows 10 Mobile.
Управление удостоверениями и доступом
Один из основных компонентов безопасности связан с тем, что у каждого пользователя есть уникальное удостоверение, которому разрешено или запрещено получать доступ к ресурсам. Так сложилось, что это понятие называется управлением доступом и состоит из трех частей:
Идентификация. Пользователь (субъект) указывает свое уникальное удостоверение в компьютерной системе с целью получения доступа к ресурсу (объекту), например файлу или приложению.
Проверка подлинности. Это процедура подтверждения указанного удостоверения и проверка того, что субъект действительно является тем, за кого себя выдает.
Авторизация. Система сравнивает права доступа прошедшего проверку подлинности субъекта и разрешения объекта, чтобы либо предоставить запрошенный доступ, либо отказать в нем.
Способ реализации этих компонентов в операционной системе определяет эффективность предотвращения доступа злоумышленников к корпоративным данным. Получить доступ к данным могут лишь пользователи, подтвердившие свои удостоверения и получившие разрешение на доступ. Однако в системе безопасности существуют разные степени проверки подлинности удостоверений и множество различных требований к лимитам авторизации. Обеспечение гибкости контроля доступа, необходимой в большинстве сред предприятий, является сложной задачей для любой ОС. В таблице 1 перечислены типичные задачи в области контроля доступа в Windows и соответствующие решения, представленные в Windows 10 Mobile.
Таблица 1. Решения для стандартных задач в области управления доступом в Windows 10 Mobile
| Задача управления доступом | Решения Windows 10 Mobile |
|---|---|
В организациях для проверки подлинности пользователей и предоставления доступа к бизнес-приложениям в корпоративной сети часто используются пароли, так как более надежные средства проверки подлинности слишком сложны или дороги в развертывании. |
Windows Hello использует биометрию для идентификации пользователя и разблокировки устройства, тесно интегрированного со службой Microsoft Passport, которая используется для идентификации, проверки подлинности и авторизации пользователей с целью предоставления доступа к корпоративной сети или приложениям с устройства Windows 10 Mobile, оснащенного соответствующим биометрическим оборудованием. |
Если организация использует смарт-карты, ей необходимо приобрести устройство считывания смарт-карт, сами смарт-карты и программное обеспечение для управления ими. Эти решения сложны и дороги в реализации. Кроме того, обычно они снижают производительность мобильных систем. |
Службы Windows Hello и Microsoft Passport обеспечивают простое и недорогое развертывание многофакторной проверки подлинности в организации, укрепляя систему безопасности компании. |
Пользователям мобильных устройств приходится вводить пароль на сенсорной клавиатуре. Ввод сложных паролей таким способом зачастую ведет к ошибкам и не так эффективен, как использование обычной клавиатуры. |
Служба Windows Hello позволяет реализовать проверку подлинности с помощью сканирования радужной оболочки глаза и отпечатков пальцев, а также распознавания лиц на устройствах с биометрическими датчиками. Эти варианты биометрической идентификации удобнее и эффективнее, чем вход при помощи пароля. |
Пользователи не любят вводить длинные сложные пароли для входа в корпоративные службы, особенно часто меняющиеся пароли. Это недовольство часто выливается в многократное использование одного пароля, записывание паролей в блокноты и создание слабых паролей. |
Служба Microsoft Passport позволяет пользователям выполнить однократный вход в систему и получить доступ к корпоративным ресурсам без необходимости вводить сложные пароли. Учетные записи для проверки подлинности привязаны к устройству с помощью встроенного доверенного платформенного модуля (TPM) и не могут быть удалены. |
В следующих разделах эти задачи и их решения описаны более подробно.
Microsoft Passport
Служба Microsoft Passport обеспечивает надежную многофакторную проверку подлинности, которая полностью встроена в устройства с Windows и позволяет заменить пароли. Чтобы пройти проверку подлинности и разблокировать устройство, пользователю потребуется устройство, зарегистрированное в Microsoft Azure Active Directory (Azure AD), а также ПИН-код или биометрический жест Windows Hello. Служба Microsoft Passport по своей сути похожа на смарт-карты, но предоставляет больше возможностей, так как поддерживает биометрическую идентификацию и не требует наличия инфраструктуры открытых ключей или внедрения дополнительного оборудования.
Microsoft Passport имеет три существенных преимущества над проверкой подлинности Windows в ее прежнем виде: это более гибкая технология, она соответствует отраслевым стандартам и более эффективна в снижении рисков.
Эффективность
Microsoft Passport исключает использование паролей для входа в систему. Следовательно, снижается риск хищения и использования учетных данных пользователя злоумышленником. Материал ключа пользователя, включающий закрытый ключ пользователя, доступен только на создавшем его устройстве. Материал ключа защищен доверенным платформенным модулем от злоумышленников, желающих завладеть им для дальнейшего использования. Каждое устройство с Windows 10 Mobile должно быть оснащено доверенным платформенным модулем — это одно из требований программы сертификации оборудования для Windows.
Чтобы взломать учетные данные Microsoft Passport, защищенные доверенным платформенным модулем, злоумышленнику необходимо получить доступ к физическому устройству. Затем ему придется найти способ подделать биометрическое удостоверение пользователя или угадать его ПИН-код. Все это необходимо сделать до того, как функция защиты от атак методом подбора доверенного платформенного модуля заблокирует мобильное устройство, активируется механизм защиты от кражи или пользователь либо корпоративный администратор выполнит удаленную очистку устройства. Эта технология значительно сокращает время, доступное злоумышленнику для взлома учетных данных пользователя.
Гибкость
Служба Microsoft Passport обеспечивает непревзойденную гибкость и безопасность корпоративного уровня.
Важнее всего то, что Microsoft Passport поддерживает биометрию или ПИН-коды, позволяя вам отказаться от длинных и сложных паролей. Вместо того чтобы требовать запоминания и многократного ввода часто меняющихся паролей, Microsoft Passport позволяет выполнять идентификацию по ПИН-коду и биометрическим данным с помощью Windows Hello, еще надежнее устанавливая личность пользователей.
Устройство с Windows 10 Mobile, на котором пользователь выполняет вход, также является одним из факторов проверки подлинности. Используемые учетные данные и закрытый ключ на устройстве уникальны для каждого устройства и привязаны к его доверенному платформенному модулю.
В дальнейшем служба Microsoft Passport также позволит использовать устройства с Windows 10 Mobile в качестве элемента удаленных учетных данных при выполнении входа на компьютерах под управлением Windows 10. Пользователи смогут использовать ПИН-коды или биометрические данные для разблокировки телефонов, а телефоны — для разблокировки компьютеров. Вход с помощью телефона через Microsoft Passport сделает внедрение многофакторной проверки подлинности в случаях, когда учетные данные пользователя не должны физически находиться на компьютере, на котором пользователь выполняет вход, дешевле и проще по сравнению с другими решениями. Вход с помощью телефона также упростит работу пользователям и ИТ-специалистам, так как пользователи смогут использовать телефоны для входа на любое корпоративное устройство, вместо того чтобы регистрировать свои учетные данные на каждом из них.
Благодаря Microsoft Passport также обеспечивается гибкость с точки зрения центров обработки данных. Чтобы развернуть эту службу для устройств с Windows 10 Mobile, вам потребуется настроить Azure AD, но заменять или удалять существующую среду Active Directory не требуется. С помощью Azure AD Connect организации могут синхронизировать эти две службы каталогов. Microsoft Passport основывается на существующей инфраструктуре и расширяет ее, предоставляя возможность интеграции с Azure AD.
Microsoft Passport также поддерживается на ПК, предоставляя организациям единый способ реализации надежной системы проверки подлинности на всех устройствах. Такая гибкость позволяет Microsoft Passport эффективно дополнять существующие развертывания со смарт-картами или токенами при использовании локальных компьютеров с Windows, добавляя многофакторную проверку подлинности на мобильные устройства, а также для пользователей, еще не использующих ее, чтобы обеспечить дополнительную защиту конфиденциальных ресурсов или систем, к которым получают доступ эти мобильные устройства.
Унификация
Поставщики программного обеспечения и коммерческие клиенты поняли, что доморощенные системы удостоверений и проверки подлинности — это путь в никуда. Будущее — за открытыми, совместимыми системами, обеспечивающими безопасную проверку подлинности на разных устройствах и веб-сайтах, в разных бизнес-приложениях и внешних приложениях. Поэтому группа лиц с активной жизненной позицией в отрасли сформировала альянс FIDO (Fast Identity Online). Альянс FIDO — это некоммерческая организация, призванная решить проблему несовместимости устройств со строгой проверкой подлинности друг с другом, а также проблемы, с которыми сталкиваются пользователи при создании и запоминании многочисленных имен пользователя и паролей. Альянс FIDO планирует изменить принципы проверки подлинности путем разработки спецификаций, определяющих открытый, масштабируемый и совместимый набор механизмов, которые придут на смену паролям в сфере проверки подлинности пользователей в веб-службах. Этот новый стандарт может позволит любой корпоративной сети, приложению, веб-сайту или облачному приложению взаимодействовать с целым рядом уже существующих и будущих устройств и платформ операционных систем с поддержкой FIDO при помощи унифицированного набора интерфейсов и протоколов.
В 2014 году корпорация Майкрософт вошла в совет директоров альянса FIDO. Стандарты FIDO предусматривают универсальную платформу, предоставляемую глобальной экосистемой для обеспечения унифицированной и значительно улучшенной и упрощенной работы со строгой проверкой подлинности без использования паролей для пользователей. Спецификации FIDO 1.0, опубликованные в декабре 2014 года, предусматривают два типа проверки подлинности: без паролей (UAF) и проверку подлинности по второму фактору (U2F). Альянс FIDO в настоящее время разрабатывает набор предложений 2.0, в котором будут реализованы лучшие идеи стандартов U2F и UAF FIDO 1.0 и, конечно, новые идеи. Корпорация Майкрософт отправила технологию Microsoft Passport на рассмотрение и оценку в рабочую группу по спецификации FIDO 2.0. Корпорация продолжает работать с альянсом FIDO по мере развития спецификации FIDO 2.0. Совместимость продуктов FIDO является отличительной чертой проверки подлинности FIDO. В корпорации Майкрософт считают, что вывод решения FIDO на рынок поможет решить проблему с огромной потребностью, которую испытывают как компании, так и отдельные пользователи.
Windows Hello
Windows Hello — это новая биометрическая платформа для Windows 10. Благодаря тому, что система биометрической идентификации встроена напрямую в операционную систему, вы можете разблокировать мобильное устройство с помощью радужной оболочки глаза, лица или отпечатка пальца. Windows Hello позволяет разблокировать учетные данные Microsoft Passport, которые обеспечивают проверку подлинности для ресурсов или проверяющих сторон, например приложений SaaS наподобие Microsoft Office 365.
Windows Hello поддерживает три типа биометрических датчиков, которые можно использовать на предприятиях.
Распознавание лиц использует специальные инфракрасные камеры, чтобы отличить фотографию или отсканированное изображение от живого человека. Некоторые поставщики предоставляют внешние камеры с этой функциональной возможностью, а крупные производители изготавливают ноутбуки с интегрированной технологией распознавания лица. Устройства Surface Pro 4 и Surface Book поддерживают эту технологию.
Распознавание отпечатков пальцев использует датчик для сканирования отпечатков пальцев пользователя. Несмотря на то, что сканеры отпечатков пальцев устанавливаются на компьютеры под управлением операционной системы Windows уже давно, алгоритмы обнаружения, распознавания и защиты от спуфинга в Windows 10 существенно усовершенствованы по сравнению с предыдущими версиями Windows. Большинство существующих сканеров отпечатков пальцев (как внешних, так и встроенных в ноутбуки или USB-клавиатуры), поддерживающих биометрическую платформу Windows, будут совместимы с Windows Hello.
Для сканирования радужной оболочки глаза используются камеры, предназначенные для сканирования радужной оболочки глаза — цветной части глаза со сложным рисунком. Так как данные должны быть точными, при сканировании радужной оболочки глаза используется сочетание источника инфракрасных лучей и камеры с высоким разрешением. Устройства Microsoft Lumia 950 и 950 XL поддерживают эту технологию.
Примечание
Перед регистрацией биометрического жеста пользователям необходимо создать ПИН-код для разблокировки. Устройство использует этот ПИН-код в качестве резервного механизма, если не удается распознать биометрический жест.
Все три указанных биометрических фактора (черты лица, отпечатки пальцев и радужная оболочка глаза) уникальны для каждого человека. Чтобы получить достаточное количество данных для уникальной идентификации личности, биометрическому сканеру может изначально потребоваться получить изображения в различных условиях или с дополнительными деталями. Например, сканер радужной оболочки глаза получит изображения обоих глаз или с солнечными очками и контактными линзами и без них.
Подделывание биометрических данных зачастую вызывает значительные опасения в корпоративных средах. В Windows 10 Mobile Майкрософт использует несколько методов защиты от подделывания, позволяющих убедиться в надежности данных, поступающих с биометрического устройства, а также исключить преднамеренный конфликт с сохраненными биометрическими измерениями. Эти методы помогают сократить частоту ошибочных срабатываний (частота принятия поддельных биометрических данных за настоящие), а также поддерживают общее удобство использования и контроля многофакторной проверки подлинности.
Полученное при регистрации биометрическое изображение преобразуется в алгоритмическую форму, которую нельзя преобразовать обратно в исходное изображение. Сохраняется только алгоритмическая форма. Само биометрическое изображение удаляется с устройства после преобразования. Устройства с Windows 10 Mobile зашифровывают биометрические данные в алгоритмической форме и привязывают их к устройству. Это помогает защитить данные от удаления с устройства. В результате биометрические сведения, используемые Windows Hello, представляют собой локальный жест и не переходят с одного устройства на другое.
Windows Hello обеспечивает ряд крупных преимуществ. Во-первых, решены проблемы хищения и распространения учетных данных, потому что злоумышленнику нужно не только получить доступ к мобильному телефону, но и подделать биометрические данные пользователя, что гораздо сложнее, чем похитить пароль для разблокировки устройства. Во-вторых, использование биометрии дает пользователям механизм проверки подлинности, который всегда при них: его невозможно забыть, потерять или оставить дома. Теперь вместо того чтобы запоминать длинные сложные пароли пользователь может применять удобный метод входа в систему с защитой корпоративного уровня на устройстве с Windows 10 Mobile. И, наконец, поскольку поддержка Windows Hello интегрирована непосредственно в операционную систему, дополнительного развертывания не требуется. Нужно лишь устройство, оснащенное поддерживаемым биометрическим датчиком.
Устройство, распознающее биометрические факторы, должно передавать данные Windows Hello быстро и точно. Поэтому Майкрософт определяет, какие факторы и устройства достаточно надежны и точны для добавления в Windows Hello. Дополнительные сведения см. в статье Спецификации Windows 10.
Защита данных
В Windows 10 Mobile продолжают использоваться решения для защиты информации от несанкционированного доступа и раскрытия.
Шифрование устройства
В Windows 10 Mobile используется система шифрования устройства на основе технологии BitLocker для шифрования всей внутренней памяти, включая разделы для операционной системы и хранения данных. Пользователь может активировать шифрование устройства. Также ИТ-отдел может активировать и применить шифрование для корпоративных устройств с помощью средств MDM. При включенном шифровании устройства все данные, хранящиеся на телефоне, автоматически шифруются. Устройство с Windows 10 Mobile, на котором включено шифрование, помогает защитить конфиденциальность хранящихся на нем данных в случае утери или кражи устройства. Сочетание блокировки Windows Hello и шифрования данных делает задачу получения неавторизованным лицом конфиденциальных данных с устройства невероятно сложной.
Вы можете настраивать работу шифрования устройства в соответствии с определенными требованиями к безопасности. Функция шифрования устройства также позволяет определять собственный комплект шифров. Например, вы можете указать алгоритм и размер ключа, используемый Windows 10 Mobile для шифрования, обозначить разрешенные комплекты шифров TLS, а также включить или отключить политику FIPS. В таблице 2 указаны политики, которые вы можете изменять для настройки шифрования на устройствах с Windows 10 Mobile.
Таблица 2. Политики шифрования Windows 10
| Название области | Имя политики | Описание |
|---|---|---|
Шифрование |
Разрешить политику алгоритма FIPS |
Включение или отключение политики FIPS. Для применения этой политики требуется перезагрузка. По умолчанию эта политика отключена. |
BitLocker |
Метод шифрования |
Настройка метода шифрования диска BitLocker и надежности шифра. Значение по умолчанию: "AES-CBC 128-bit". Если устройство не может использовать указанное значение, оно будет использовать другое. |
Шифрование |
Комплект шифров TLS |
Эта политика содержит список алгоритмов шифрования, разрешенных для подключений по протоколу SSL. |
Полный список доступных политик можно найти в разделе Поставщик служб настройки политик.
Защита корпоративных данных
Степень объединения хранилищ персональных и корпоративных данных на предприятиях значительно возросла. Персональные данные зачастую хранятся на корпоративных устройствах и наоборот. Такая ситуация повышает риск взлома конфиденциальных корпоративных данных.
Среди прочего, растет вероятность случайного раскрытия конфиденциальных данных авторизованным пользователем. Этот фактор все чаще становится основной причиной утечки конфиденциальных данных, по мере того как организации разрешают персональным устройствам получать доступ к корпоративным ресурсам. Есть пример, общий для множества организаций: сотрудник подключает свой личный телефон к экземпляру Microsoft Exchange Server для с электронной почты. Сотрудник использует телефон для работы с электронной почтой, включающей вложения с конфиденциальными данными. При отправке письма пользователь может случайно отправить копию поставщику. Система защиты содержимого не надежнее своего слабейшего звена. В приведенном примере непреднамеренное предоставление неавторизованным лицам доступа к конфиденциальным данным могло быть упущено стандартными средствами шифрования данных.
В Windows 10 Mobile используется система защиты корпоративных данных (EDP), помогающая разделить персональные и корпоративные данные и предотвратить утечку информации. Вот основные возможности этой системы:
автоматическая расстановка меток на персональных и корпоративных данных;
защита неактивных данных в локальном или переносном хранилище;
управление доступом приложений к корпоративным данным;
управление доступом приложений к виртуальной частной сети (VPN);
предотвращение копирования пользователями корпоративных данных в общедоступные расположения;
Примечание
На текущий момент функция EDP тестируется в определенных программах оценки пользователями. Подробнее о функции защиты корпоративных данных можно узнать в разделе Обзор защиты корпоративных данных.
Расширение возможностей приложений
Сторонние решения для защиты корпоративных данных обычно требуют от разработчиков создавать программы-оболочки для своих приложений. Но аналитика EDP размещается в самой Windows 10 Mobile, поэтому программы-оболочки не требуются. В результате для работы большинства приложений с EDP не требуется дополнительных компонентов.
EDP может применить политику без изменений в приложении. Это значит, что приложение, обрабатывающее только корпоративные данные (например, бизнес-приложение), можно добавить в список разрешенных приложений, и оно будет шифровать все обрабатываемые в нем данные. Однако если в приложении не используются стандартные элементы управления, операции вырезания из этого приложения и вставки в некорпоративное приложение будут завершаться с ошибкой без отправки уведомлений. Кроме того, если приложению требуется обрабатывать персональные данные, они также будут шифроваться.
Поэтому для повышения удобства работы пользователей в некоторых случаях разработчикам следует расширять возможности приложений путем добавления в них кода и его компиляции для использования API EDP. Такие случаи связаны с приложениями, которые:
не используют стандартные элементы управления для сохранения файлов;
не используют стандартные средства управления для текстовых полей;
одновременно обрабатывают персональные и корпоративные данные (например, приложения для связи, отображающие персональные и корпоративные данные водном представлении, или браузер, отображающий персональные и корпоративные веб-страницы в пределах одного интерфейса).
На рисунке 1 кратко указано, когда приложению может потребоваться расширение возможностей для использования EDP. Хороший пример такого приложения — Microsoft Word. С помощью Word можно не только получать доступ к персональным и корпоративным данным одновременно, но и передавать корпоративные данные (например, в виде вложений электронной почты, содержащих корпоративные данные).
В любом случае, большинству приложений для использования защиты EDP расширение возможностей не требуется. Нужно лишь добавить их в список разрешенных приложений EDP. Так как приложения, не прошедшие расширение возможностей, не могут автоматически помечать данные как корпоративные или персональные, то при включении таких приложений в политику EDP они считают корпоративными все данные. Наглядный пример — бизнес-приложения. Добавление бизнес-приложения в политику EDP позволяет защитить все обрабатываемые им данные. Другой пример — устаревшее приложение, которое нельзя обновить. Его можно добавить в политику EDP и использовать, даже не зная о существовании EDP.
.png "Рисунок 1")
Рис. 1. В каких случаях требуется расширение возможностей?
Контроль утечки данных
Чтобы настроить функцию EDP в поддерживающем ее решении MDM, добавьте авторизованные приложения в список разрешенных приложений EDP. При регистрации устройства с Windows 10 Mobile в решении MDM приложения, не авторизованные этой политикой, не смогут получать доступ к корпоративным данным.
Работа EDP незаметна до тех пор, пока пользователи не попытаются получить доступ к корпоративным данным с помощью неавторизованных приложений или расположений в Интернете либо скопировать эти данные в такие приложения или расположения. Например, копирование корпоративных данных из одного авторизованного приложения в другое выполняется без проблем, но функция EDP не позволяет пользователям копировать корпоративные данные из авторизованного приложения в неавторизованное. Также EDP не позволяет пользователям открывать файлы, содержащие корпоративные данные, с помощью неавторизованных приложений.
Кроме того, пользователи не могут скопировать данные из авторизованных приложений в неавторизованные приложения или расположения в Интернете, не активировав один из уровней защиты EDP:
Блокировка. EDP не позволяет пользователю завершить операцию.
Переопределение. EDP уведомляет пользователя о недопустимости операции, но позволяет переопределить политику, при этом занося операцию в журнал аудита.
Аудит. EDP не блокирует и не уведомляет пользователей, но заносит операцию в журнал аудита.
Отключено. EDP не блокирует и не уведомляет пользователей, а также не заносит операции в журнал аудита.
Разделение данных
Как ясно из названия, функция разделения данных отделяет персональные данные от корпоративных. Для большинства сторонних приложений требуется программа-оболочка, откуда корпоративные данные попадают в контейнер, а персональные данные остаются за его пределами. Нередко пользователям приходится использовать два разных приложения для одной цели: одно для персональных данных, а другое — для корпоративных.
Функция EDP обеспечивает ту же степень разделения данных, но не использует контейнеры, а также не требует особой версии приложения для доступа к корпоративным данным и второго экземпляра этого же приложения для доступа к персональным данным. Физически персональные и корпоративные данные не разделяются ни контейнерами, ни разделами, ни специальными папками. Вместо этого Windows 10 Mobile выполняет роль брокера управления доступом, определяя корпоративные данные по тому, что они зашифрованы предприятием. Поэтому EDP обеспечивает разделение данных путем шифрования корпоративных данных.
Визуальные подсказки
В Windows 10 Mobile визуальные подсказки указывают пользователям на состояние EDP (см. рис. 2):
Начальный экран. На начальном экране для управляемых политикой EDP приложений отображается визуальная подсказка.
Файлы. В проводнике индивидуальная подсказка указывает, содержит ли файл или папка зашифрованные корпоративные данные.
Например, Дмитрий — сотрудник Fabrikam. Он открывает Microsoft Edge с начального экрана и по плитке видит, что браузером управляет политика EDP. Дмитрий открывает веб-сайт продаж Fabrikam и скачивает электронную таблицу. В проводнике он видит, что скачанный файл отмечен визуальной подсказкой. Она указывает на то, что файл зашифрован и содержит корпоративные данные. Если Дмитрий попытает скопировать данные из этой электронной таблицы в приложение, не управляемое политикой EDP (например, Twitter), он может получить сообщение, которое позволит ему переопределить защиту, занося действие в журнал. Это зависит от уровня защиты, настроенного в политике EDP.
.png "Рисунок 2")
Рис. 2. Визуальные подсказки в EDP
Устойчивость к вредоносным программам
Программное обеспечение автоматизировало многие аспекты нашей жизни, а вредоносные программы автоматизировали атаки на наши устройства. Эти атаки беспощадны. Вредоносные программы непрерывно меняются. Распознать их и удалить с зараженного устройства может быть очень сложно.
Лучший способ борьбы с вредоносными программами — предотвращение заражения. Windows 10 Mobile обеспечивает надежную защиту от вредоносных программ, потому что использует надежное аппаратное обеспечение, гарантирующее безопасный запуск и защищающее базовую архитектуру операционной системы.
В таблице 3 перечислены конкретные угрозы, связанные с вредоносными программами, и средства защиты, реализованные в Windows 10 Mobile.
Таблица 3. Угрозы и решения, реализованные в Windows 10 Mobile
| Угроза | Средство противодействия в Windows 10 Mobile |
|---|---|
Комплекты загрузки встроенного ПО (буткиты) заменяют его вредоносными программами. |
Все сертифицированные устройства оснащены единым интерфейсом EFI (UEFI) с технологией безопасной загрузки, которая требует использования подписанного встроенного ПО для обновления UEFI и Option ROM (дополнительное ПЗУ). |
Буткиты запускают вредоносные программы до запуска Windows. |
UEFI с безопасной загрузкой проверяет целостность загрузчика Windows, чтобы убедиться, что никакая вредоносная операционная система не запущена до запуска Windows. |
Пакеты программ rootkit для системы или драйверов (как правило, вредоносные программы, скрывающиеся от операционной системы) запускают вредоносные программы на уровне ядра во время запуска Windows и до запуска антивредоносного ПО. |
Надежная загрузка Windows проверяет компоненты загрузки Windows, включая драйверы Майкрософт. Параллельно надежной загрузке выполняется измеряемая загрузка, которая предоставляет удаленному серверу информацию о состоянии загрузки устройства и гарантирует успешную проверку системы модулем надежной загрузки и другими загрузочными компонентами. |
Приложение заражает вредоносной программой другие приложения или операционную систему. |
Все приложения Windows 10 Mobile выполняются в контейнере AppContainer, изолирующем их от всех других процессов и конфиденциальных компонентов операционной системы. У приложений нет доступа к ресурсам за пределами их контейнеров AppContainer. |
Неавторизованное приложение или вредоносная программа пытается запуститься на устройстве. |
Источником приложений Windows 10 Mobile может быть только Магазин Windows или Магазин Windows для бизнеса. Device Guard применяет административные политики, чтобы определять приложения, запуск которых разрешен. |
Вредоносные программы уровня пользователя используют уязвимость в системе или приложении и вступают во владение устройством. |
Усовершенствования в области технологий ASLR, DEP, архитектуры куч и алгоритмов управления памятью снижают вероятность успешного захвата системы с использованием уязвимостей. Технология защищенных процессов изолирует недоверенные процессы друг от друга и от важных компонентов операционной системы. |
Пользователи переходят на опасный веб-сайт, не подозревая о риске. |
Функция оценки репутации URL-адресов SmartScreen не позволяет пользователям заходить на вредоносные веб-сайты, которые могут воспользоваться браузером и получить контроль над устройством. |
Вредоносные программы используют уязвимость в надстройке браузера. |
Microsoft Edge — это приложение, созданное на основе универсальной платформы Windows (UWP), которое не запускает устаревшие двоичные расширения, в том числе Microsoft ActiveX и вспомогательные объекты браузера, часто используемые на панелях инструментов. Тем самым указанные риски исключаются. |
Веб-сайт с вредоносным кодом использует уязвимость в веб-браузере для запуска вредоносной программы на клиентском устройстве. |
В Microsoft Edge реализован расширенный защищенный режим, использующий песочницы AppContainer для защиты системы от уязвимостей, которые злоумышленник может обнаружить в запускаемых в браузере расширениях (например, Adobe Flash, Java) или самом браузере. |
Примечание
В устройствах с Windows 10 Mobile используется архитектура системы на кристалле (SoC), предоставляемая поставщиками SoC, такими как Qualcomm. В составе этой архитектуры поставщик SoC и производители устройств предоставляют предварительные загрузчики UEFI и среду UEFI. В среде UEFI реализован стандарт безопасной загрузки UEFI, описанный в разделе 27 спецификации UEFI, доступной по адресу http://www.uefi.org/specsandtesttools. Этот стандарт описывает процесс сравнения всех драйверов и приложений UEFI с ключами на устройстве на основе UEFI перед их выполнением.
В приведенных ниже разделах эти усовершенствования описываются более подробно.
Оборудование с защитой корпоративного уровня
Для полноценного использования функций безопасности Windows 10 Mobile требуется усовершенствование аппаратных средств обеспечения безопасности. Эти усовершенствования включают UEFI с функцией безопасной загрузки, доверенный платформенный модуль и биометрические датчики (в зависимости от оборудования).
UEFI с безопасной загрузкой
При запуске устройство с Windows 10 Mobile начинает процесс загрузки операционной системы путем обнаружения загрузчика в системе хранения данных устройства. При отсутствии механизмов обеспечения безопасности телефон может просто передать контроль загрузчику, даже не определяя, используется ли доверенная операционная система или вредоносная программа.
UEFI — это стандартизированное решение, являющееся современной заменой для BIOS. Эта технология обеспечивает те же функции, что и BIOS, и добавляет некоторые функции безопасности и другие расширенные возможности. Как и BIOS, UEFI инициализирует устройства, а компоненты UEFI с функцией безопасной загрузки (версии 2.3.1 или более поздней) также проверяют наличие только доверенного встроенного ПО, запускаемого на мобильном телефоне в дополнительном ПЗУ, приложениях UEFI и загрузчиках операционной системы.
UEFI может выполнить внутренние проверки целостности, что позволяет проверить цифровую подпись встроенного ПО до запуска. Так как доступ к цифровому сертификату, необходимому для создания действительной подписи встроенного ПО, есть только у производителя мобильного телефона, в UEFI присутствует защита от вредоносных программ на основе встроенного ПО, которые загружаются до запуска Windows 10 Mobile и могут успешно скрывать свои вредоносные действия от операционной системы. Как правило, вредоносные программы на основе встроенного ПО такого рода называются буткитами.
При запуске мобильного устройства с UEFI и безопасной загрузкой встроенное ПО UEFI проверяет цифровую подпись загрузчика, чтобы убедиться, что после добавления цифровой подписи никто не внес никаких изменений. Встроенное ПО также проверяет, создана ли цифровая подпись загрузчика доверенным центром сертификации. Эта проверка помогает гарантировать, что система будет запущена только после проверки целостности загрузчика и отсутствия в нем изменений после добавления подписи.
На всех устройствах с Windows 10 Mobile постоянно включена функция безопасной загрузки. Кроме того, они доверяют только подписи операционной системы Windows.
Конфигурацию UEFI не могут изменить ни Windows 10 Mobile, ни приложения, ни даже вредоносные программы. Дополнительные сведения об UEFI с безопасной загрузкой см. в статье Защита среды, выполняемой до ОС, с помощью UEFI.
Доверенный платформенный модуль
Доверенный платформенный модуль — это устойчивый к внешним воздействиям криптографический модуль, повышающий безопасность и конфиденциальность вычислительных платформ. Модуль TPM интегрирован в доверенную вычислительную платформу (компьютер, планшет или мобильный телефон) в качестве одного из ее компонентов. Доверенная вычислительная платформа предназначена для работы с модулем TPM, что обеспечивает безопасность и конфиденциальность, достичь которых с использованием одного лишь программного обеспечения невозможно. Каждое устройство с Windows 10 Mobile оснащается модулем TPM — это требование сертификации оборудования для Windows 10 Mobile.
Правильная реализация TPM в составе доверенной вычислительной платформы формирует аппаратное ядро доверия, что означает, что поведение оборудования является доверенным. Например, если вы создаете ключ в модуле TPM со свойством, запрещающим экспорт ключа из модуля, ключ ни при каких обстоятельствах не сможет покинуть модуль TPM. Тесная интеграция TPM с платформой повышает прозрачность процесса загрузки и поддерживает сценарии проверки состояния устройства за счет составления достоверного отчета о программном обеспечении, используемом для запуска платформы.
В следующем списке описаны основные функции модулей TPM в Windows 10 Mobile.
Управление криптографическими ключами. Модуль TPM может создавать и сохранять ключи, а также разрешать их использование определенными способами. В Windows 10 Mobile модуль TPM используется для защиты ключей шифрования для томов BitLocker, виртуальных смарт-карт, сертификатов и различных других ключей.
Меры безопасности и отчетность о показателях целостности. В Windows 10 Mobile модуль TPM используется для регистрации и дополнительной защиты показателей целостности определенного оборудования и компонентов загрузки Windows для функции измеряемой загрузки. В этом сценарии измеряемая загрузка измеряет каждый компонент (от встроенного ПО до дисков), а затем сохраняет эти показатели в модуле TPM на устройстве. Отсюда можно удаленно тестировать журнал показателей, то есть проверять состояние загрузки устройства под управлением Windows 10 Mobile с использованием отдельной системы.
Доказательство того, что TPM действительно является TPM. Управление криптографическими ключами и оценка целостности настолько важны для защиты конфиденциальности и обеспечения безопасности, что модуль TPM должен отличать самого себя от вредоносных программ, маскирующихся под модуль TPM.
Windows 10 Mobile поддерживает реализации TPM, соответствующие стандарту 2.0. Стандарт TPM 2.0 включает несколько улучшений, которые обеспечивают ему преимущество над стандартом 1.2. Важнейшее из этих улучшений — криптографическая гибкость. TPM 1.2 ограничен фиксированным набором алгоритмов шифрования и хеширования. Во время создания стандарта TPM 1.2 в начале 2000-х специалисты по безопасности считали эти алгоритмы сильными с точки зрения надежности шифрования. С тех пор ожидания в отношении строгости шифрования выросли благодаря усовершенствованию криптографических алгоритмов и из-за распространения криптоаналитических атак. TPM 2.0 поддерживает дополнительные алгоритмы, обеспечивающие более сильную криптографическую защиту и возможность подключения предпочтительных алгоритмов в определенных отраслях или географических регионах. Кроме того, этот стандарт позволяет включать алгоритмы, которые появятся в будущем, не меняя сам компонент TPM.
Многие считают, что изготовители оборудования (OEM) должны встраивать модуль TPM в материнскую плату оборудования как отдельный модуль. Однако модуль TPM также эффективно работает при его реализации во встроенном ПО. Windows 10 Mobile поддерживает только модули TPM на основе встроенного ПО, соответствующие стандарту 2.0. Windows не делает различия между отдельными модулями и модулями во встроенном ПО, потому что они должны соответствовать одним и тем же требованиям к реализации и безопасности; следовательно, любой компонент Windows 10 с поддержкой TPM можно использовать в Windows 10 Mobile.
Примечание
Майкрософт требует использовать модуль TPM 2.0 на устройствах под управлением любой версии Windows 10 Mobile. Дополнительные сведения см. в разделе Минимальные требования к оборудованию.
Несколько функций безопасности Windows 10 Mobile требуют использования TPM.
Виртуальные смарт-карты
Измеряемая загрузка
Аттестация работоспособности (требует TPM 2.0 или более поздней версии).
Другие функции также будут использовать модуль TPM при его наличии. Например, службе Microsoft Passport не требуется модуль TPM, но она будет использовать его при наличии. Организации могут настроить политику таким образом, чтобы сделать использование модуля TPM для Microsoft Passport обязательным.
Биометрия
В Windows 10 Mobile биометрия стала ключевым компонентом системы безопасности. Корпорация Майкрософт полностью интегрировала биометрию с компонентами безопасности Windows 10 Mobile, а не просто установила ее поверх платформы (так было в прежних версиях Windows). Это большое изменение. Более ранние реализации биометрии представляли, в большинстве своем, методы клиентского уровня, упрощающие проверку подлинности. На системном уровне биометрия использовалась для доступа к паролю, который затем использовался для проверки подлинности. Биометрия была достаточно удобной, но не обеспечивала проверку подлинности корпоративного уровня.
Майкрософт всеми способами акцентирует внимание изготовителей оборудования, которые производят устройства под управлением Windows 10 Mobile, на важности биометрических датчиков корпоративного уровня. Эти датчики распознавания лиц и сканеры радужной оболочки глаза полностью поддерживаются функциями многофакторной проверки подлинности, такими как Microsoft Passport и Windows Hello.
В будущем Майкрософт ожидает, что изготовители оборудования будут выпускать биометрические датчики еще более высокого уровня и продолжат их интеграцию в мобильные устройства. В результате биометрия станет распространенным методом проверки подлинности в составе системы многофакторной проверки подлинности.
Запуск Windows с защитой корпоративного уровня
UEFI с безопасной загрузкой использует аппаратные технологии для защиты пользователей от буткитов. Безопасная загрузка может проверить целостность устройств, встроенного ПО и загрузчиков. После запуска загрузчика пользователи доверяют защиту целостности остальной части системы операционной системе.
Надежная загрузка
Когда UEFI с безопасной загрузкой проверит, что загрузчик является доверенным, и запустит Windows 10 Mobile, функция надежной загрузки Windows обеспечит защиту остального процесса загрузки, проверив, что все загрузочные компоненты Windows являются надежными (например, подписаны доверенным источником) и целостными. Загрузчик проверяет цифровую подпись ядра Windows перед его загрузкой. Ядро Windows, в свою очередь, проверяет все прочие компоненты процесса запуска Windows, включая драйверы загрузки и файлы запуска.
Если кто-то изменил файл (например, если его изменила вредоносная программа или он поврежден), функция надежной загрузки обнаружит проблему и попытается автоматически исправить поврежденный компонент. После исправления Windows нормально запустится с лишь небольшой задержкой.
Измеряемая загрузка
Самой большой сложностью, связанной с пакетами программ rootkit и буткитами в предыдущих версиях Windows, являлся тот факт, что очень часто клиенту их было невозможно обнаружить. Поскольку они часто запускаются до защитных механизмов Windows и решения для защиты от вредоносного ПО и часто обладают привилегиями системного уровня, пакеты программ rootkit и буткиты могут полностью замаскироваться и продолжать осуществлять доступ к системным ресурсам. Несмотря на то что UEFI с безопасной загрузкой и надежная загрузка могут предотвращать запуск большинства пакетов программ rootkit и буткитов, злоумышленники могут воспользоваться несколькими векторами атаки (например, если кто-то повредил подпись, используемую для подписания компонента загрузки, например стороннего драйвера, и использовал ее для подписания вредоносного компонента).
В Windows 10 Mobile реализована функция измеряемой загрузки, использующая аппаратный компонент TPM, который записывает ряд показателей критически важных компонентов запуска, включая встроенное ПО, компоненты загрузки Windows и драйверы. Так как измеряемая загрузка использует аппаратные функции безопасности TPM, изолирующие и защищающие данные измерений от атак вредоносных программ, данные журнала хорошо защищены от самых изощренных атак.
Целью измеряемой загрузки является получение данных измерений и защита этих данных от каких-либо вмешательств. Однако эту технологию следует использовать в сочетании со службой, которая может анализировать данные, чтобы определить состояние системы и реализовать более полные меры по обеспечению безопасности. В следующем разделе рассматривается одна из таких служб.
Аттестация работоспособности устройства
Аттестация работоспособности устройства — это новая функция в Windows 10 Mobile, помогающая предотвратить заражение низкоуровневыми вредоносными программами. Функция аттестации работоспособности устройства используется модуль TPM и встроенное ПО устройства для измерения важнейших показателей безопасности BIOS и процессов запуска Windows на устройстве. Эти измерения производятся таким образом, что даже если система заражена вредоносной программной на уровне ядра или пакетом программ rootkit, злоумышленнику едва ли удастся подделать свойства.
Вы можете интегрировать функцию аттестации работоспособности устройства с Microsoft Intune или сторонними решениями MDM и объединить эти свойства безопасности на основе показателей оборудования с другими свойствами устройства, чтобы получить полноценное представление о работоспособности устройства и степени его соответствия требованиям. Затем вы можете использовать такую интеграцию в различных сценариях, включая обнаружение устройств со снятыми ограничениями на доступ к файловой системе, контроль соответствия устройств требованиям, формирование отчетов о соответствии требованиям, предупреждение пользователей или администраторов, выполнение корректирующих действий над устройством и управление условным доступом к таким ресурсам, как Office 365.
Условный доступ
В следующем примере показано, как меры защиты Windows 10 интегрируются и работают с Intune и сторонними решениями MDM. В нем показано, как архитектура безопасности телефона в Windows 10 Mobile позволяет контролировать и проверять соответствие требованиям, а также как средства обеспечения безопасности и доверия, встроенные в аппаратную часть устройства, обеспечивают комплексную защиту корпоративных ресурсов.
Когда пользователь включает телефон:
Функция безопасной загрузки в Windows 10 Mobile обеспечивает защиту процедуры запуска, позволяет устройству загрузиться с определенной и доверенной конфигурацией, а также загружает загрузчик с доверием производителя.
Надежная загрузка Windows 10 Mobile включается после завершения процесса безопасной загрузки. Она проверяет цифровую подпись ядра Windows и компонентов, которые загружаются и выполняются в ходе загрузки.
Параллельно с этапами 1 и 2 модуль TPM телефона работает независимо в безопасной области, защищенной на аппаратном уровне (изолированной от пути выполнения загрузки, который контролирует действия при загрузке). Он создает защищенный журнал аудита с контролем вмешательства, подписанный секретным ключом, доступным только модулю TPM.
Устройства под управление решения MDM c поддержкой аттестации работоспособности устройства отправляют копию этого журнала аудита в службу аттестации работоспособности (HAS) Майкрософт по защищенному каналу связи с контролем вмешательства и защитой от него.
Служба HAS проверяет журналы аудита, создает зашифрованный и подписанный отчет и отправляет его устройству.
С помощью решения MDM c поддержкой аттестации работоспособности устройства вы можете просмотреть этот отчет в защищенном канале связи с контролем вмешательства и защитой от него, чтобы оценить состояние соответствия устройства требованиям (работоспособность), разрешить доступ или активировать корректирующее действие в соответствии с требованиями и политиками безопасности организации.
Так как это решение может обнаружить и предотвратить низкоуровневые вредоносные программы, которые практически невозможно обнаружить другими способами, Майкрософт рекомендует задуматься о внедрении системы MDM c поддержкой аттестации работоспособности устройства, например Intune, использующую облачную функцию сервера аттестации работоспособности Windows 10 Mobile для обнаружения и блокировки устройств, зараженных сложными вредоносными программами.
Безопасность платформы приложений
Приложения для Windows должны быть безопасны и лишены дефектов, но в реальности человеческий фактор может привести к возникновению уязвимостей в коде. Когда злоумышленник или вредоносная программа выявляет такие уязвимости, они могут попытаться изменить данные в памяти, чтобы взломать систему и получить над ней контроль.
Чтобы устранить эти риски, Windows 10 Mobile включает ряд улучшений, усложняющих вредоносным программам задачу взлома устройства. Windows 10 Mobile также позволяет организациям определять список приложений, которые разрешено запускать на мобильных устройствах. Кроме того, в ней есть усовершенствования, существенно снижающие вероятность успешного использования новых уязвимостей. Чтобы в полной мере оценить эти усовершенствования, потребуются глубокие знания архитектуры операционной системы и техник использования вредоносных программ, однако в общих чертах эти нововведения описаны в следующих разделах.
Device Guard
Device Guard — это набор компонентов для защиты целостности аппаратного и программного обеспечения. Эти функции выводят безопасность операционной системы Windows на совершенно новый уровень, перенося всю ОС на модель нулевого доверия.
Все приложения в Windows 10 Mobile должны иметь цифровую подпись, а их источником должен быть Магазин Windows или доверенный корпоративный магазин. В Device Guard реализованы политики, делающие это требование еще строже. По умолчанию Device Guard поддерживает все приложения из Магазина Windows. Вы можете создавать политики, определяющие, какие приложения можно запускать на устройстве с Windows 10 Mobile. Если приложение лишено цифровой подписи, запрещено политикой или скачано не из доверенного магазина, оно не запустится в Windows 10 Mobile.
Эти функции безопасности основаны на современных компонентах оборудования (ранее описанных в разделе Оборудование с защитой корпоративного уровня). Внедряя эти аппаратные компоненты далее в ядро операционной системы, Windows 10 Mobile использует их и другими способами. Для обеспечения дополнительной безопасности Device Guard требуется UEFI с безопасной загрузкой.
AppContainer
Модель безопасности Windows 10 Mobile основана на принципе минимальных привилегий. Для этого используется изоляция. Каждое приложение и даже части самой операционной системы запускаются внутри собственной изолированной "песочницы" под названием AppContainer. Это безопасное ограниченное пространство, в пределах которого может запускаться приложение и его процессы. Каждый контейнер AppContainer определяется и внедряется через политику безопасности.
Политика безопасности каждого AppContainer определяет, к каким функциям операционной системы есть доступ у приложения внутри AppContainer. Функция представляет собой ресурс устройства с Windows 10 Mobile, такой как сведения о географическом расположении, камера, микрофон, сетевые подключения и датчики.
Все контейнеры AppContainer получают набор разрешений по умолчанию, включая доступ к расположению уникального изолированного хранилища. Кроме того, доступ к другим функциям можно объявить в коде самого приложения. Доступ к дополнительным функциям и привилегиям нельзя запросить во время выполнения, как при использовании классических приложений.
Концепция AppContainer отличается следующими преимуществами.
Уменьшение числа возможных направлений атак. Приложения могут получить доступ только к функциям, объявленным в коде приложения и необходимым ему для выполнения своих задач.
Согласие и контроль пользователя Функции, используемые приложениями, автоматически публикуются на странице сведений о приложении в Магазине Windows. При доступе приложений к функциям, которые могут открывать доступ к конфиденциальной информации, пользователь автоматически получает запрос на предоставление согласия.
Изоляция приложений. Обмен данными между приложениями для Windows строго контролируется. Приложения изолированы друг от друга и могут обмениваться данными только с помощью заранее определенных каналов и типов данных.
Приложения получают минимальные привилегии, необходимые им для выполнения допустимых задач. Это означает, что даже если злоумышленник воспользуется уязвимостью в приложении, потенциальный ущерб ограничен, так как приложение содержится в AppContainer и не может повысить уровень своих привилегий. Магазин Windows отображает разрешения, необходимые приложению, а также его возрастную категорию и издателя.
Сочетание Device Guard и AppContainer помогает предотвратить запуск неавторизованных приложений. Если вредоносная программа проникнет в экосистему приложений, AppContainer позволит ограничить приложение и потенциальный ущерб. Модель нулевого доверия в Windows 10 Mobile считает любой компонент уязвимым. Однако потенциальные уязвимости в приложениях, контейнерах AppContainer и самой Windows 10 Mobile могут предоставить злоумышленнику возможность взлома системы. Поэтому необходимы резервные средства устранения уязвимостей. В следующих разделах описаны некоторые резервные средства устранения в Windows 10 Mobile.
Случайный выбор расположения адресного пространства
Одной из наиболее распространенных технологий, используемых злоумышленниками для получения доступа к системе, является поиск уязвимости в привилегированном процессе, который уже выполняется, угадывание или нахождение расположения в памяти, где размещен важный системный код или данные, и перезаписывание информации вредоносными данными. На начальных этапах развития операционных систем любая вредоносная программа могла осуществлять запись прямо в системную память; вредоносная программа просто перезаписывала системную память в хорошо известных и прогнозируемых местах.
Случайный выбор расположения в адресном пространстве (ASLR) существенно осложняет подобные атаки, потому что важные данные теперь хранятся в памяти произвольно. Благодаря ASLR вредоносные программы не смогут легко найти нужное расположение для атаки. На рис. 3 показано, как работает ASLR, то есть как меняется расположение разных критически важных компонентов Windows в памяти между перезапусками.
.png "Рисунок 3")
Рис. 3. ASLR в действии
В Windows 10 Mobile корпорация Майкрософт серьезно улучшила реализацию ASLR по сравнению с предыдущими версиями, особенно в отношении процессов 64-разрядных систем и приложений, в которых используется значительно возросший объем памяти, что еще больше усложняет вредоносным программам задачу определения расположения важных данных в Windows 10 Mobile. При использовании в системах с TPM уникальность рандомизации памяти ASLR будет увеличиваться на разных устройствах, поэтому использовать технологию атаки, сработавшую на одном устройстве, на другом не удастся. Корпорация Майкрософт также применила ASLR ко всей системе Windows 10 Mobile, а не только к определенным приложениям.
Предотвращение выполнения данных
Эффективность вредоносных программ зависит от возможности размещения вредоносного кода в памяти с вероятностью его последующего выполнения ничего не подозревающим пользователем. ASLR значительно усложняет эту задачу.
В дополнение к такой защите, было бы превосходно, если бы вы могли блокировать выполнение вредоносных программ, даже если злоумышленнику удалось записать их в место, предназначенное исключительно для хранения информации. Для решения этой задачи можно воспользоваться технологией предотвращения выполнения данных (DEP), которая существенно ограничивает диапазон памяти, который может быть использован вредным кодом. В технологии DEP используется бит No execute на современных процессорах, позволяющий помечать блоки памяти только для чтения, чтобы вредоносные программы не могли использовать их для выполнения вредоносного кода. Все устройства с Windows 10 и Windows 10 Mobile поддерживают DEP.
Куча Windows
Куча — это расположение в памяти, которое Windows использует для сохранения динамических данных приложений. Майкрософт продолжает совершенствовать более ранние структуры куч Windows. В частности, предпринимаются меры для снижения риска успешного использования куч злоумышленниками.
В Windows 10 Mobile реализовано несколько важных улучшений безопасности кучи по сравнению с предыдущими версиями Windows.
Внутренние структуры данных, используемые кучей, лучше защищены от ошибок в памяти.
При выделении памяти куч используются произвольные расположения и размеры, что осложняет определение расположения критически важных сегментов памяти для перезаписи злоумышленниками. В частности, в Windows 10 Mobile добавлено случайное смещение адресов только что выделенной кучи, благодаря чему предсказать, как будут распределяться ресурсы, существенно сложнее.
В Windows 10 Mobile используются "охранные страницы" до и после блоков памяти, они выполняют роль "растяжек". Если злоумышленник попытается выполнить запись за пределами блока памяти (это стандартная техника, известная как переполнение буфера), злоумышленнику придется перезаписывать охранную страницу. Любая попытка изменить охранную страницу расценивается как повреждение памяти, и Windows 10 Mobile немедленно завершает приложение.
Резервирование памяти
Майкрософт резервирует нижние 64 КБ памяти процессов для операционной системы. Приложениям больше не разрешается использовать эту часть памяти, что осложняет перезаписывание в памяти критически важных структур системных данных.
Защита потока управления
Когда Windows загружает приложения в память, им выделяется определенное пространство в зависимости от размера кода, запрошенной памяти и других факторов. Когда приложение начинает выполнять код, оно вызывает дополнительный код, расположенный в других адресах памяти. Связи между расположениями кода хорошо известны (поскольку они записываются в сам код), однако до Windows 10 Mobile операционная система не применяла потоки между этими расположениями, из-за чего злоумышленники могли менять потоки, как им было нужно. Другими словами, злоумышленник мог воспользоваться этим поведением, запустив код, который, как правило, не выполняется этим приложением.
Эта угроза устранена в Windows 10 Mobile благодаря функции защиты потока управления (CFG). Если доверенное приложение, скомпилированное разработчиком для использования CFG, вызывает код, CFG проверяет, является ли вызванное расположение кода доверенным с точки зрения выполнения. Если расположение не является доверенным для CFG, приложение немедленно завершается как потенциальная угроза безопасности.
Вы не можете настроить CFG; этим должен заниматься разработчик на этапе компиляции приложения. Попросите разработчиков приложений и поставщиков ПО предоставить надежные приложения Windows, скомпилированные с поддержкой CFG. Конечно, браузеры являются ключевой точкой входа для злоумышленников, следовательно, CFG активно используется в Microsoft Edge и других компонентах Windows.
Защищенные процессы
Как правило, предотвращение инцидента компьютерной безопасности требует меньших затрат, чем исправление возможного ущерба, причиненного инцидентом. В частности, что касается вредоносных программ, большинство элементов управления безопасностью предназначены для предотвращения успешного выполнения атаки. Если вредоносная программа не сможет заразить систему, система сохранит свой иммунитет.
К сожалению, нет устройств, неуязвимых для вредоносных программ. Несмотря на мощные профилактические меры, вредоносные программы рано или поздно найдут способ заразить любую операционную систему или аппаратную платформу. Поэтому несмотря на то что профилактика с использованием фундаментальной стратегии защиты очень важна, справиться с вредоносным ПО в одиночку ей не удастся.
Ключевой сценарий безопасности выглядит так: мы исходим из того, что в систему проникла вредоносная программа, и пытаемся ограничить его действия. В Windows 10 Mobile реализованы механизмы обеспечения безопасности и прочие компоненты, снижающие риск взлома в результате проникновения вредоносного ПО. Защищенные процессы — одна из таких функций.
Благодаря защищенным процессам Windows 10 Mobile не дает недоверенным процессам взаимодействовать или изменять подписанные процессы. Защищенные процессы определяют уровень доверия к процессам, не позволяя недостаточно надежным процессам взаимодействовать с доверенными процессами и атаковать их. В Windows 10 Mobile доверенные процессы используются в операционной системе более широко.
Магазин для бизнеса
ИТ-специалисты могут использовать Магазин для бизнеса, чтобы искать, приобретать и распространять приложения для своей организации, а также управлять ими. Эта модель предоставляет различные способы распространения приложений в зависимости от размера организации, а в некоторых сценариях не требует дополнительной инфраструктуры.
Приложения UWP изначально лучше защищены, чем обычные приложения, так как они размещены в "песочнице", снижающей риск заражения или изменения приложения, что могло бы поставить под угрозу систему, данные и другие приложения. Магазин Windows также способствует снижению вероятности проникновения вредоносных программ на устройства: все приложения, попадающие в экосистему Магазина Windows, тщательно проверяются и только потом становятся доступны. Магазин для бизнеса расширяет эту концепцию, позволяя вам распространять собственные бизнес-приложения, а также некоторые приложения Магазина Windows на устройства с Windows 10 Mobile через ту же инфраструктуру Магазина Windows.
Независимо от способа приобретения приложений UWP пользователи могут использовать их без опасений. Приложения UWP запускаются в "песочнице" AppContainer с ограниченными привилегиями и возможностями. Например, эти приложения лишены доступа системного уровня, их взаимодействие с другими приложениями жестко контролируется, а доступ к данным отсутствует, пока пользователь явно не предоставит приложению соответствующие разрешения.
Кроме того, все приложения UWP следуют принципу наименьших привилегий. Приложения получают только минимальные привилегии, необходимые для выполнения предусмотренных задач, поэтому даже если злоумышленник воспользуется приложением, область нанесения ущерба серьезно ограничена и не выходит за пределы песочницы. В Магазине Windows отображаются точные сведения о необходимых приложению возможностях (например, доступ к камере), а также возрастная категория и издатель приложения.
Процедура распространения приложений Магазина Windows и возможности изоляции приложений, реализованные в Windows 10 Mobile, существенно снизят вероятность попадания вредоносных приложений в систему пользователя.
Подробнее о Магазине для бизнеса можно узнать в разделе Обзор Магазина Windows для бизнеса.
Управление приложениями
Как правило, предприятие использует определенные средства настройки и контроля установленных на устройствах приложений. Это позволяет организации достигать некоторых бизнес-целей, таких как управление лицензиями на программное обеспечение, принудительное развертывание приложений на требуемых устройствах и предотвращение установки недопустимых приложений на корпоративных устройствах.
Магазин для бизнеса — важный компонент для достижения этих целей. Он основан на принадлежащей Майкрософт инфраструктуре Магазина Windows, которая позволяет развертывать приложения Магазина Windows на устройствах с Windows 10. Магазин для бизнеса — эффективный и многофункциональный компонент. Он позволяет расширять и настраивать функции без необходимости создания новой локальной инфраструктуры. Он поддерживает существующую службу MDM и может интегрироваться с ней, хотя и не требует ее наличия. Узнайте у вашего поставщика службы MDM об интеграции с Магазином для бизнеса. Вы можете настроить Магазин для бизнеса для целого ряда сценариев, включая лицензирование через Интернет и автономное лицензирование, а также различные варианты распространения приложений. Более подробное описание доступных сценариев Магазина для бизнеса можно найти в разделе Обзор Магазина Windows для бизнеса.
Веб-портал для ИТ-специалистов упрощает развертывание приложений для Windows 10 Mobile. При разработке Магазина для бизнеса использовался уже знакомый интерфейс Магазина Windows. Он представляет приложения для бизнеса, отобранные вручную и распределенные по категориям. Магазин может использовать учетные записи Azure AD для всех пользователей, связывая их с единым уникальным корпоративным удостоверением.
Еще одно важное преимущество — лицензирование. Магазин для бизнеса позволяет отслеживать и контролировать лицензии для всех приложений UWP. Вы можете определять, какие пользователи установили определенные приложения, отслеживать оставшиеся число лицензий и приобретать новые лицензии напрямую через веб-интерфейс. Новые лицензии добавляются в Магазин для бизнеса и не требуют сложных процедур экспорта и импорта. Если ваши клиенты находятся в сети и подключены к Интернету, сценарий лицензирования с помощью Магазина для бизнеса гораздо удобнее выполнения лицензирования вручную.
Магазин для бизнеса позволяет находить нужные приложения для пользователей, приобретать их, управлять лицензиями на приложения и распространять приложения для отдельных пользователей. Чтобы лучше понять принцип работы Магазина для бизнеса, следует рассмотреть этапы стандартного сценария: доставка приложений пользователям Windows 10 Mobile без службы MDM, в частности, развертывание приложений для пользователей Windows 10 Mobile. В этом сценарии вы определяете несколько приложений, которые должны быть на каждом мобильном устройстве и доступны бесплатно в Магазине Windows (например, приложение VPN для решения Dell SonicWALL), а также некоторые бизнес-приложения, разработанные внутри компании.
Процесс для ИТ-специалистов
Процесс развертывания приложения начинается с подготовки частного магазина и приложения, прежде чем пользователи получат новые устройства с Windows 10 Mobile.
Сначала необходимо открыть Магазин Windows для бизнеса и войти с помощью учетной записи Azure AD. Эта учетная запись связана с уникальным корпоративным удостоверением компании и должна иметь клиента Azure AD. Кроме того, если вы используете Магазин для бизнеса впервые, у этой учетной записи должны быть разрешения корпоративного администратора Azure AD. В дальнейшем вы можете делегировать доступ с помощью разрешений в Магазине для бизнеса.
Затем необходимо найти и приобрести приложения, которые требуется развернуть на мобильных устройствах, добавив приложения и лицензии в запасы компании.
Вы можете использовать Магазин для бизнеса не только для существующих приложений Магазина Windows, но и для управления собственными бизнес-приложениями, разработанными внутри вашей организации. Сначала необходимо предоставить доверенному разработчику приложений разрешение на их отправку. Вы с разработчиком отправляете приложения через Центр разработки для Windows. У них должна быть цифровая подпись и доверенный сертификат. Эти приложения не публикуются в каталоге розничного Магазина Windows и не видны пользователям вне организации.
Вы можете доставлять эти приложения через частный магазин в пределах Магазина Windows. После этого необходимо пометить приложение, чтобы сделать его доступным в частном магазине. Это можно сделать на веб-портале Магазина для бизнеса.
Вы также можете выбрать один из двух других вариантов распространения приложений на веб-портале Магазина для бизнеса.
Назначение приложения пользователям в организации с помощью одного или нескольких удостоверений Azure AD.
Добавление приложения в частный магазин организации и предоставление пользователям разрешения на его обнаружение и установку.
Подробнее о распространении приложений можно узнать в разделе Распространение приложений с помощью частного магазина.
ИТ-процесс подготовки Магазина для бизнеса к развертыванию приложений показан на рисунке 4.
.png "Рисунок 4")
Рис. 4. ИТ-процесс подготовки Магазина для бизнеса
Подробнее о процессе распространения приложений через Магазин для бизнеса можно узнать в разделе Поиск и получение приложений.
Процесс для пользователей
После завершения подготовки Магазина для бизнеса к процессу подключаются пользователи. Эта часть процесса проста для пользователей, так как основной метод развертывания приложений (через Магазин для бизнеса) оптимизирован и упрощен. Для этого процесса не требуется система MDM или локальная инфраструктура. Фактически, пользователь даже не увидит метку "для бизнеса" в уже знакомом интерфейсе Магазина Windows.
Пользователь открывает приложение Магазина Windows на своем устройстве с Windows 10 Mobile.
Отображается тот же интерфейс Магазина Windows, включающий созданный вами частный магазин. Частный магазин отображается на новой странице аналогично разделам "Игры" и "Музыка". В этом интерфейсе объединены общедоступный Магазин Windows и частный магазин организации, содержащий контролируемые приложения.
Пользователю нужно лишь выбрать и установить приложение — все как обычно.
Пользователь также может приобретать для себя приложения, музыку, фильмы или телепередачи при помощи своей учетной записи Майкрософт. Пользователь оплачивает свои покупки и владеет приобретенным содержимым независимо от компании. такая гибкость позволяет реализовывать гибридные сценарии для устройств в различных средах на основе политики «принеси свое устройство».
Microsoft Edge
Windows 10 Mobile включает важнейшие улучшения, предназначенные для защиты от атак и вредоносных программ. Среда стала более устойчивой к вредоносным программам благодаря значительным усовершенствованиям в фильтрах SmartScreen. Просматривать страницы в Интернете также стало безопаснее благодаря совершенно новому браузеру Microsoft Edge.
Windows 10 Mobile включает Microsoft Edge — совершенно новый веб-браузер, позволяющий не только просматривать веб-страницы, но и пользоваться такими функциями, как режим чтения. Защита Microsoft Edge эффективнее, чем в предыдущих веб-браузерах Майкрософт, благодаря нескольким улучшениям.
Microsoft Edge не поддерживает сторонние двоичные расширения. Microsoft Edge поддерживает содержимое Flash и просмотр PDF по умолчанию благодаря встроенным расширениям, однако никакие сторонние двоичные расширения (такие как элементы ActiveX и Java) не поддерживаются.
Microsoft Edge разработан как приложение UWP. Он изначально сегментирован и запускается в контейнере AppContainer, изолирующем браузер от системы, данных и других приложений.
Microsoft Edge упрощает задачи настройки безопасности. Так как в Microsoft Edge используется упрощенная инфраструктура приложений и одна конфигурация "песочницы", количество необходимых параметров безопасности сокращено. Кроме того, корпорация Майкрософт определила параметры по умолчанию Microsoft Edge, соответствующие рекомендациям по безопасности, что повышает безопасность самой структуры браузера.
Веб-браузер — это важнейший компонент любой стратегии безопасности и не зря, ведь это интерфейс пользователя в Интернете, который буквально кишит вредоносными сайтами и содержимым. Большинство пользователей не могут работать, не пользуясь браузером, а для многих его использование является обязательным. Вследствие этого браузер стал основным каналом для атак хакеров и злоумышленников.
Связанные разделы
Обзор системы безопасности в Windows 10