Table of contents
TOC
摺疊目錄
展開目錄

Windows 10 行動裝置版安全性指南

Alan Meeus|上次更新日期: 2016/12/2
|
1 投稿人

適用於 Windows 10 行動裝置版 (版本 1511) 和 Windows 10 行動裝置版 (版本 1607)

本指南提供「Windows 10 行動裝置版」作業系統中最重要安全性功能的詳細說明:身分識別存取和控制、資料保護、惡意程式碼防護,以及應用程式平台安全性。

智慧型手機就像桌上型電腦或膝上型電腦一樣,現在已成為商務工作者的主要生產力工具,必須受到保護以防止惡意程式碼和資料竊取。 保護這些裝置非常具挑戰性,因為裝置的作業系統與設定相當廣泛,而且許多員工都使用自己的個人裝置。 IT 必須保護每個裝置上的公司資產,但也必須確保使用者個人應用程式和資料的隱私性。 不論工作者使用的是個人裝置還是公司擁有的裝置,「Windows 10 行動裝置版」都可直接因應這些安全性考量。 它使用與 Windows 10 作業系統相同的安全性技術,來協助防範不同攻擊媒介範圍的已知與新的安全性威脅。 這些技術包括:

  • Windows Hello 企業版 - 增強型身分識別與存取控制功能可確保只有已獲授權的使用者能夠存取公司資料和資源。 Windows Hello 簡化了多重要素驗證 (MFA) 的部署和使用,其中提供 PIN、隨附裝置及生物識別驗證方法。
  • Windows 資訊保護 - 自動資料區隔可防止將公司資訊分享給個人資料和應用程式。
  • 惡意程式碼防護 - 裝置硬體、啟動程序及應用程式平台中內建的多層保護可協助降低可能危害員工裝置的惡意程式碼威脅。

本指南可協助 IT 系統管理員更深入了解「Windows 10 行動裝置版」中的安全性功能,這些功能可用來提升抵禦未經授權之存取、資料外洩及惡意程式碼的防護。

本文內容:

  • Windows Hello 企業版
  • Windows 資訊保護
  • 惡意程式碼防護

Windows Hello

「Windows 10 行動裝置版」包含 Windows Hello 這個簡單但功能強大的多重要素驗證方案,可在確認使用者的身分識別之後,才允許其存取公司的機密資訊和資源。 多重要素驗證是以密碼為基礎的裝置安全性的更安全替代項目。 使用者不喜歡輸入公司政策要求他們經常變更的冗長複雜密碼,特別是在行動裝置的觸控式螢幕上。 這會導致不嚴謹的安全性做法,例如重複使用密碼、將密碼寫下來或建立弱式密碼。

Windows Hello 提供一個可跨組織部署多重要素驗證的簡單、符合成本效益方式。 與智慧卡不同,它不需要有公開金鑰基礎結構或實作其他硬體。 工作者是使用 PIN、隨附裝置 (例如 Microsoft Band) 或生物識別技術來驗證其身分識別,以存取已在 Azure Active Directory (Azure AD) 註冊之「Windows 10 行動裝置版」裝置上的公司資源。

由於所有 Windows 10 裝置皆支援 Windows Hello,因此組織可以在其環境中一致地實作多重要素驗證。 在「Windows 10 行動裝置版」裝置上部署 Windows Hello 並不需要 Azure AD (另外販售),但您可以使用 Azure AD Connect 來與您的內部部署 Active Directory 服務進行同步。

針對具備生物特徵辨識感應器的裝置,Windows Hello 支援虹膜掃描、指紋及臉部辨識型驗證。

注意: Windows 10 首次推出時,其中包含 Microsoft PassportWindows Hello,兩者互相搭配可提供多重要素驗證。 為了簡化部署及改善支援性,Microsoft 已經將這兩種技術整合到名為 Windows Hello 的單一解決方案中。 已經部署這些技術的客戶不會發現功能有任何變更。 尚未評估 Windows Hello 的客戶將會發覺部署變得更容易,因為原則、文件和語意都已經簡化。

受保護的認證

Windows Hello 可讓使用者不需使用密碼即可登入,因此可降低攻擊者竊取和重複使用使用者認證的風險。 「Windows 10 行動裝置版」裝置必須具備「信賴平台模組」(TPM),這是一種可啟用進階安全性功能的微晶片。 TPM 會建立以 TPM 自己的儲存根金鑰「包裝」的加密金鑰,該根金鑰本身是儲存在 TPM 內以防止認證外洩。 TPM 所建立的加密金鑰只能由相同的 TPM 解密,這可保護金鑰資料免於遭到攻擊者擷取和重複使用。

若要盜用 Windows Hello 認證,攻擊者將需要存取實體裝置,然後找出騙取使用者生物特徵辨識身分識別的方法或猜到使用者的 PIN。 所有這些行動,都必須在 TPM 防暴力密碼破解功能鎖住行動裝置、防竊機制開始運作,或是使用者或公司系統管理員從遠端抹除裝置之前完成。 有了以 TPM 為基礎的防護,便可大幅縮短攻擊者危害使用者認證的空檔機會。

支援生物識別技術

生物識別技術既可協助防止認證遭竊,又可讓使用者更容易登入其裝置。 使用者會隨身攜帶其生物特徵辨識身分識別 – 沒有可遺忘、遺失或留下的東西。 攻擊者將需要既能夠存取使用者的裝置,又能夠模擬使用者的生物特徵辨識身分識別,才能存取公司資源,這比竊取密碼難度高出許多。

Windows Hello 支援三種生物特徵辨識感應器案例:

  • 臉部辨識使用特殊 IR 相機,能夠可靠地分辨相片或掃描影像與真人之間的差異。 一些廠商提供結合這項技術的外部相機,主要製造商則已提供具有整合臉部辨識技術的膝上型電腦。 Surface Pro 4 和 Surface Book 都支援這項技術。
  • 指紋辨識 使用感應器來掃描使用者的指紋。 雖然執行 Windows 作業系統的電腦提供指紋辨識器已行之有年,但是 Windows 10 中的偵測、反詐騙和辨識演算法比 Windows 舊版本更先進。 支援 Windows 生物特徵辨識架構的 大部分現有指紋辨識器 (無論是外部或整合到膝上型電腦或 USB 鍵盤) 都可以與 Windows Hello 搭配運作。
  • 虹膜掃描會使用針對掃描使用者虹膜 (眼睛的顏色和極細部分) 所設計的相機。 因為資料必須非常準確,所以虹膜掃描會使用 IR 光源與高品質相機的組合。 Microsoft Lumia 950 和 950 XL 裝置均支援這項技術。

使用者在註冊生物特徵辨識手勢時,必須建立解除鎖定 PIN。 裝置在無法擷取生物特徵辨識手勢的情況下,會使用這個 PIN 作為後援機制。

這三個生物特徵辨識因素 (臉、手指和虹膜) 全都是個人所獨有的。 為了擷取足夠的資料來唯一識別個人,生物特徵辨識掃描器一開始可能會擷取多種不同條件下或帶有其他詳細資料的影像。 例如,虹膜掃描器會擷取雙眼的影像,或是有無配戴眼鏡或隱形眼鏡的影像。

在企業環境中,詐騙生物特徵辨識資料通常是一大關注焦點。 Microsoft 在「Windows 10 行動裝置版」中採用了數種反詐騙技術,不僅能夠防止與已儲存之生物特徵辨識度量的刻意衝突,還能夠驗證生物特徵辨識裝置是否值得信任。 這些技術有助於改善錯誤接受率 (將詐騙的生物特徵辨識資料接受為可靠的比率),同時又能維持 MFA 的整體可用性和管理性。

註冊時所收集的生物特徵辨識影像會轉換成演算法格式,其無法轉換回原始影像。 僅會保留演算法格式;轉換之後會從裝置移除實際生物特徵辨識影像。 Windows 10 行動裝置版裝置會加密生物特徵辨識資料的演算法格式,並將加密的資料繫結到裝置,這兩者都有助於防止人員從手機移除資料。 因此,Windows Hello 所使用的生物特徵辨識資訊是本機手勢,並不會在使用者的裝置之間漫遊。

隨附裝置

Windows Hello 隨附裝置可讓實體裝置 (例如穿戴式裝置) 做為授與使用者認證存取權之前,驗證使用者身分識別的要素。 例如,當使用者實際持有隨附裝置時,他們可以輕鬆地 (甚至可能自動地) 將其電腦解除鎖定,並向應用程式及網站進行驗證。 對於沒有整合式生物特徵辨識感應器的智慧型手機或平板電腦,或對於使用者需要更快、更便利之登入體驗的產業 (例如零售業) 來說,這類型的裝置會相當有用。

在某些情況下,Windows Hello 的隨附裝置可讓實體裝置 (例如手機、穿戴式裝置或其他類型的裝置) 儲存使用者的所有認證。 將認證儲存在行動裝置上即可在任何支援裝置 (例如 Kiosk 或家用電腦) 上使用這些認證,而不需在每個裝置上註冊 Windows Hello。 隨附裝置也可協助讓組織符合法規需求,例如聯邦資訊處理標準 (FIPS) 公告 140-2 (FIPS 140-2)。

標準方法

「線上快速身分驗證 (FIDO) 聯盟」是一個非營利組織,目標是解決增強式驗證裝置之間缺乏互通性,以及使用者在建立和記住多組使用者名稱和密碼時所面臨的問題。 FIDO 標準有助於降低使用密碼來安全地驗證線上服務使用者的依賴性,能夠讓任何企業網路、應用程式、網站或雲端應用程式與各種現有和未來支援 FIDO 的裝置和作業系統平台介接。

Microsoft 已在 2014 年加入 FIDO 聯盟的董事會。 2014 年 12 月發行的 FIDO 1.0 規格提供兩種類型的驗證:無密碼 (稱為 UAF) 和第二個要素 (U2F)。 「FIDO 聯盟」正在研發一組 2.0 計劃,其中結合了來自其 U2F 和 UAF FIDO 1.0 標準的精華。 Microsoft 已將 Windows Hello 技術提供給 FIDO 2.0 規格工作小組以供批評指教,並且會隨著 FIDO 2.0 規格的進展持續與「FIDO 聯盟」合作。 FIDO 產品的互通性是 FIDO 驗證的品質保證。 Microsoft 相信在市場上推出 FIDO 解決方案將有助於同時解決企業與消費者的重要需求。

Windows 資訊保護

企業已經看到個人和公司資料儲存匯聚起來的龐大成長。 個人資料經常儲存在公司裝置上,而公司資料也經常儲存在個人裝置上。 這種流動性增加了敏感性公司資料不小心外洩的可能性。

隨著組織允許個人裝置存取公司資源,意外洩漏正迅速成為機密資料外洩的最大來源。 很容易就能想像,在其個人手機上使用公司電子郵件的員工可能會不小心將含有敏感性公司資訊的附件儲存到個人雲端儲存空間,因而可能與未經授權的人員共用。 這個不小心共用公司資料的行為,只是在工作場所中使用行動裝置所常見挑戰的其中一例。 為了避免這類型的資料外洩,大多數解決方案會要求使用者使用個別的使用者名稱與密碼來登入儲存所有公司應用程式和資料的容器,這種體驗會導致使用者生產力降低。

「Windows 10 行動裝置版」包含「Windows 資訊保護」,能夠以通透的方式保護公司資料安全性和個人資料隱私性。 由於公司資料一律會受到保護,因此使用者無法不小心地複製它,或將它與未經授權的使用者或應用程式共用。 主要功能包括:

  • 自動標記個人和公司資料。
  • 在資料位於本機或抽取式存放裝置時保護資料。
  • 控制哪些應用程式可以存取公司資料。
  • 控制哪些應用程式可以存取虛擬私人網路 (VPN) 連線。
  • 防止使用者將公司資料複製到公用位置。
  • 協助確保當裝置處於鎖定狀態時無法存取企業資料。

已啟蒙的應用程式

協力廠商資料遺失保護解決方案通常會要求開發人員將他們的應用程式包裝起來。 不過,「Windows 資訊保護」則是將這項智慧功能直接建置到「Windows 10 行動裝置版」中,因此大多數應用程式不需要任何額外的動作,即可避免不當的公司資料共用。

「Windows 資訊保護」將應用程式分成兩類︰已啟蒙和未啟蒙。 已啟蒙的應用程式可以區分公司和個人資料,根據內部原則正確地判斷出要保護的對象。 公司資料將會在受管理的裝置上受到加密,嘗試複製/貼上此資訊或將此資訊與非公司應用程式或使用者共用將會失敗。 未啟蒙的應用程式如果已被標示為受公司管理,就會將所有資料都視為公司資料並預設全部加密。

當您不想要預設加密所有資料時 (因為這會導致不良的使用者體驗),開發人員應該考慮新增程式碼並使用「Windows 資訊保護」應用程式開發介面來編譯應用程式,以啟蒙應用程式。 最適於啟蒙的應用程式包括符合下列情況的應用程式︰

  • 不使用通用控制項來儲存檔案。
  • 不使用通用控制項做為文字方塊。
  • 同時處理個人和企業資料 (例如,以單一檢視顯示個人和企業資料的連絡人應用程式,或在單一執行個體的索引標籤上顯示個人和企業網頁的瀏覽器)。

在許多情況下,大多數應用程式都不需要經過啟蒙,即可使用「Windows 資訊保護」。 您唯一需要採取的步驟就是將它們新增到允許清單中。 企業營運 (LOB) 應用程式即是證明此一方式運作良好的範例,因為它們只處理公司資料。

何時需要執行應用程式啟蒙?

  • 必要
    • 應用程式需要同時處理個人和企業資料。
  • 建議執行
    • 應用程式只處理公司資料,但是需要修改檔案 (例如設定檔) 以啟動、自我解除安裝、更新等。在未經啟蒙的情況下,您將無法正確地撤銷這些應用程式。
    • 在已啟用於鎖定狀態下提供防護功能的情況下,應用程式需要存取企業資料。
  • 不需要
    • 應用程式只處理公司資料
    • 應用程式只處理個人資料

資料外洩控制

若要在支援「Windows 資訊保護」的「行動裝置管理」(MDM) 解決方案中設定這項保護,只要將已獲授權的應用程式新增到允許清單中即可。 當執行「Windows 10 行動裝置版」的裝置在 MDM 解決方案中註冊時,未經授權的應用程式將無法存取企業資料。

除非使用者嘗試使用未經授權的應用程式或 Web 位置來存取企業資料,或嘗試將企業資料貼到這類應用程式或位置,否則「Windows 資訊保護」都會順暢如常地運作。 例如,將企業資料從某個已獲授權的應用程式複製到另一個已獲授權的應用程式會如常運作,但是「Windows 資訊保護」可以阻止使用者將企業資料從已獲授權的應用程式複製到未獲授權的應用程式。 同樣地,它也會阻止使用者使用未經授權的應用程式來開啟包含企業資料的檔案。

針對使用者將資料從已獲授權的應用程式複製並貼到未經授權的應用程式或 Web 位置,會有多大程度的防範,取決所設定的保護層級︰

  • 封鎖。 「Windows 資訊保護」會阻止使用者完成作業。
  • 覆寫。 「Windows 資訊保護」會通知使用者該作業不適當,雖然它會在稽核記錄檔中記錄該作業,但是會允許使用者覆寫原則。
  • 稽核。 「Windows 資訊保護」不會封鎖或通知使用者,但會在稽核記錄檔中記錄該作業。
  • 關閉。 「Windows 資訊保護」不會封鎖或通知使用者,也不會在稽核記錄檔中記錄作業。

資料區隔

大多數協力廠商解決方案都需要應用程式包裝函式來將企業資料導向受密碼保護的容器中,而將個人資料保留在容器外。 視實作情況而定,這可能需要在裝置上執行相同應用程式的兩個不同版本︰一個用於個人資料,另一個用於企業資料。

「Windows 資訊保護」提供資料區隔,不需要容器或特殊應用程式版本,即可存取企業或個人資料。 不需要任何個別的登入,就可以查看您的公司資料或開啟您公司的應用程式。 「Windows 資訊保護」會識別企業資料,並將它加密成僅限企業使用。 資料區隔是自動且無縫接軌的。

加密

「Windows 10 行動裝置版」會使用以 BitLocker 技術為基礎的裝置加密,來加密所有內部儲存空間 (包括作業系統和資料儲存空間磁碟分割)。 使用者可以啟用裝置加密,或是 IT 部門可以透過 MDM 工具針對受公司管理的裝置啟用和強制執行加密。 開啟裝置加密時,會自動加密手機上儲存的所有資料。 已開啟加密功能的「Windows 10 行動裝置版」裝置即使在裝置遺失或遭竊時,也可協助保護所儲存資料的機密性。 合併使用 Windows Hello 鎖定和資料加密,可讓未經授權的群體極難從裝置擷取到敏感資訊。

您可以自訂裝置加密的運作方式,使其符合您的唯一安全性需求。 裝置加密甚至可讓您定義專屬的加密套件。 例如,您可以指定「Windows 10 行動裝置版」用於資料加密的演算法和金鑰大小、允許使用哪些「傳輸層安全性」(TLS) 加密套件,以及是否啟用「聯邦資訊處理標準」(FIPS) 原則。 下表列出您可以變更以自訂「Windows 10 行動裝置版」裝置上之裝置加密的原則。

  • 密碼編譯
    • 允許 FIPS 演算法︰此原則可啟用或停用 FIPS 原則。 需要重新啟動,才能強制執行此原則。 預設值為已停用。
    • TLS 加密套件:此原則包含針對「安全通訊端層」連線允許使用的密碼編譯加密演算法清單。
  • BitLocker
    • 加密方法:會設定「BitLocker 磁碟機加密方法」和加密強度。 預設值是 AES-CBC 128 位元。 如果裝置無法使用指定的值,則會使用另一個值。

為了協助讓裝置更加安全不受外部干擾,「Windows 10 行動裝置」現在也包含於鎖定狀態下提供防護的功能。 這意謂著當裝置被鎖定時,系統會從記憶體中移除加密金鑰。 當裝置處於鎖定狀態時,應用程式無法存取敏感資料,因此駭客和惡意程式碼無法尋找及增選金鑰。 系統會以 TPM 緊緊鎖住所有項目,直到使用者使用 Windows Hello 將裝置解除鎖定為止。

政府認證

「Windows 10 行動裝置版」既支援適用於密碼編譯的 FIPS 140 標準,也支援通用準則。FIPS 140 認證會驗證「Windows 10 行動裝置版」中所使用密碼編譯演算法的有效性。 Microsoft 針對在 Lumia 950、950 XL、550、635 以及 Surface Pro 4 上執行的「Windows 10 行動裝置版」,也獲得了「通用準則」認證,可向客戶保證以正確方式實作安全性功能。

惡意程式碼防護

對抗惡意程式碼的最佳方法就是預防。 「Windows 10 行動裝置版」透過安全防護的硬體、啟動程序防禦、核心作業系統架構及應用程式層級保護,提供強大的惡意程式碼防護功能。 下表概述「Windows 10 行動裝置版」如何降低特定惡意程式碼的威脅。

威脅Windows 10 行動裝置版安全防護功能

韌體 Bootkit 以惡意程式碼取代 韌體。

所有認證的裝置均包含具有安全開機的整合可延伸韌體介面 (UEFI),而有安全開機的 UEFI 需要更新至 UEFI 和 Option ROM 的簽署韌體。

Bootkit 會在 Windows 啟動前 先啟動惡意程式碼。

具有安全開機的 UEFI 會驗證 Windows 開機載入器完整性,協助確保沒有惡意的作業系統會在 Windows 之前啟動。

系統或驅動程式 Rootkit 會在 Windows (一般是對 作業系統隱藏的惡意軟體) 啟動時而在反惡意程式碼 解決方案尚未啟動前啟動 核心層級惡意程式碼。

Windows 信任式開機會驗證 Windows 開機元件 (包括 Microsoft 驅動程式)。 測量開機和信任式開機會同時執行,並可提供資訊給驗證裝置開機狀態的遠端伺服器,以確保信任式開機和其他開機元件成功檢查系統。

應用程式會感染其他應用程式或 具有惡意程式碼的作業系統。

所有 Windows 10 行動裝置版應用程式是在 AppContainer 內執行,而 AppContainer 可隔離它們與所有其他處理程序和敏感作業系統元件。 應用程式無法存取其 AppContainer 外部的任何資源。

未經授權的應用程式或惡意程式碼 會嘗試在裝置上啟動。

所有 Windows 10 行動裝置版應用程式都必須來自 Windows 市集或商務用 Windows 市集。 Device Guard 會強制執行系統管理原則來選取可以執行哪些應用程式。

使用者層級的惡意程式碼會利用 系統或應用程式中的弱點以擁有 裝置。

位址空間配置隨機載入 (ASLR)、資料執行防止 (DEP)、堆積架構及記憶體管理演算法的改良功能,可減少弱點被成功利用的可能性。

受保護的處理程序會隔離不信任的處理程序,並與敏感作業系統元件隔離。

使用者在不知道風險的情況下 存取危險的網站。

「SmartScreen URL 聲譽」功能可防止使用者前往惡意網站,此惡意網站可能會嘗試利用瀏覽器並控制裝置。

惡意程式碼利用瀏覽器附加元件的 弱點。

Microsoft Edge 是根據通用 Windows 平台 (UWP) 建置而且不會執行舊版二進位延伸 (包括經常用於工具列的 Microsoft ActiveX 和瀏覽器協助程式 物件) 的一種應用程式,可降低這些風險。

包含惡意程式碼的網站 會利用網頁瀏覽器中的弱點, 在用戶端裝置上執行 惡意程式碼。

Microsoft Edge 包含「加強的受保護模式」,其中使用以 AppContainer 為基礎的沙箱功能來協助保護系統,可防範攻擊者可能會在瀏覽器中執行的延伸 (例如 Adobe Flash、Java) 或瀏覽器本身發現的弱點。

注意: 「Windows 10 行動裝置版」裝置使用晶片式系統 (SoC) 廠商 (例如 Qualcomm) 所提供的 SoC 設計。 SoC 廠商和裝置製造商使用這個架構來提供預先 UEFI 開機載入器和 UEFI 環境。 UEFI 環境實作 UEFI 規格 (位於 www.uefi.org/specs) 第 27 節中所述的「UEFI 安全開機」標準。 這個標準描述在執行所有 UEFI 驅動程式與應用程式之前,對照佈建到 UEFI 型裝置的金鑰來驗證這些驅動程式與應用程式時,所依據的程序。

具有安全開機的 UEFI

Windows 10 行動裝置版裝置啟動時,會尋找裝置儲存體系統中的開機載入器以開始載入作業系統的處理程序。 若沒有適當的保護,手機可能只是將控制權交給開機載入器,甚至未判斷它是受信任的作業系統還是惡意程式碼。

UEFI 是取代 BIOS 的現代化標準解決方案。 事實上,它提供與 BIOS 相同的功能,但新增了安全性功能及其他進階功能。 和 BIOS 一樣,UEFI 會將裝置初始化,但具有「安全開機」功能的 UEFI 元件 (2.3.1 版或更新版本) 還可協助確保只有 Option ROM、UEFI 應用程式及作業系統開機載入器中的受信任韌體可以在行動電話上啟動。

UEFI 可以執行會先驗證韌體數位簽章再執行韌體的內部完整性檢查。 由於只有行動電話的製造商才能存取建立有效韌體簽章所需的數位憑證,因此 UEFI 可以防範在「Windows 10 行動裝置版」之前載入並嘗試向作業系統隱藏其惡意行為的韌體型惡意程式碼。 具有這種本質的韌體型惡意程式碼一般稱為 Bootkit。

當具有 UEFI 和安全開機的行動裝置啟動時,UEFI 韌體會驗證開機載入器的數位簽章,確認它在數位簽署之後沒有人對它進行過修改。 韌體也會確認信任的授權單位已發行開機載入器的數位簽章。 這個檢查有助於確保在系統啟動前先確認開機載入器受到信任,且自簽署後未經過修改。

所有 Windows 10 行動裝置版裝置一律都已啟用安全開機。 此外,它們只會信任 Windows 作業系統簽章。 「Windows 10 行動裝置版」、應用程式或甚至是惡意程式碼都無法變更 UEFI 設定。 如需有關「具有安全開機的 UEFI」的詳細資訊,請閱讀使用 UEFI 保護作業系統前的環境

信賴平台模組

「信賴平台模組」(TPM) 是一種防竄改密碼編譯模組,可增強運算平台的安全性和隱私性。 TPM 是以元件的形式併入到信賴運算平台中,就像電腦、平板電腦或智慧型手機一樣。 信賴運算平台是專門針對與 TPM 搭配使用而設計,可支援無法單靠軟體達到的隱私性和安全性狀況。 若要獲得「Windows 10 行動裝置版」裝置硬體認證,必須要有 TPM。

將 TPM 正確實作為信賴運算平台的一部分可提供硬體信任根目錄,這表示硬體會以受信任的方式執行。 例如,如果您在 TPM 中所建立金鑰的屬性指定不允許任何人從 TPM 匯出該金鑰,該金鑰就絕對無法離開 TPM。 TPM 與平台的緊密整合不僅增加開機程序的透明度,還可藉由啟用啟動平台時所用軟體的可靠報告來支援裝置健康情況案例。

下列清單說明 TPM 在「Windows 10 行動裝置版」中所提供的重要功能:

  • 管理密碼編譯金鑰。 TPM 可以依據定義的方式來建立、儲存及允許使用金鑰。 「Windows 10 行動裝置版」會使用 TPM 來保護 BitLocker 磁碟區的加密金鑰、虛擬智慧卡、憑證以及各種其他金鑰。
  • 保護和報告完整性測量。 「Windows 10 行動裝置版」會使用 TPM 來記錄和協助保護針對「測量開機」功能選取之硬體與 Windows 開機元件的完整性相關測量。 在此案例中,「測量開機」會測量每個元件 (從韌體一直到驅動程式),然後將這些測量儲存在裝置的 TPM 中。 在這裡,您可以從遠端測試測量記錄,讓另一個系統驗證「Windows 10 行動裝置版」裝置的開機狀態。
  • 證明 TPM 真的是 TPM。 管理密碼編譯金鑰和測量完整性對於保護隱私性和安全性是如此重要,因此 TPM 必須讓自己與偽裝成 TPM 的惡意程式碼有所區別。

「Windows 10 行動裝置版」支援符合 2.0 標準的 TPM 實作。 TPM 2.0 標準包含數項優於 1.2 標準的改良功能,最值得注意的是密碼編譯的彈性。 TPM 1.2 侷限於一組固定的加密與雜湊演算法。 當 TPM 1.2 標準於 2000 年代初期出現時,安全性社群將這些演算法視為強式密碼編譯。 從那之後,密碼編譯演算法和密碼分析攻擊不斷進展,導致對更強密碼編譯的期望也隨之增加。 TPM 2.0 支援額外的演算法,可提供更強的密碼編譯保護,還能插入特定地理區域或產業可能偏好的演算法。 它也開啟了不用變更 TPM 元件本身就能包含未來演算法的可能性。

大多數人認為原始設備製造商 (OEM) 必須是在主機板上的硬體中將 TPM 植入為個別模組,但其實在韌體中實作 TPM 也同樣有效。 「Windows 10 行動裝置版」僅支援符合 2.0 標準的韌體 TPM。 Windows 不會區別個別與韌體型解決方案,因為兩者都必須符合相同的實作和安全性需求。 因此,任何可利用 TPM 的 Windows 10 功能都可以與「Windows 10 行動裝置版」搭配使用。

Microsoft 要求執行任何版本之「Windows 10 行動裝置版」的裝置上都必須有 TPM 2.0。 如需詳細 資訊,請參閱最低硬體需求

有數個「Windows 10 行動裝置版」安全性功能都需要 TPM:

  • 虛擬智慧卡
  • 測量開機
  • 健康情況證明 (需要 TPM 2.0 或更新版本)

還有其他功能也會使用 TPM (如果有 TPM 的話)。 例如,Windows Hello 不需要 TPM,但是如果有 TPM 就會使用它。 組織可以設定原則來為 Windows Hello 要求使用 TPM。

生物識別技術

Windows 10 行動裝置版讓生物識別技術成為核心安全性功能。 Microsoft 已將生物識別技術完全整合到 Windows 10 行動裝置版安全性元件,而不只是將它加到平台頂端 (與舊版 Windows 中的情況相同)。 這是極大的改變。 早期的生物特徵辨識實作主要是簡化驗證的前端方法。 進一步來說,系統使用了生物識別技術來存取密碼,然後將密碼用於幕後的驗證。 生物識別技術可能提供了便利性,但未必是企業級的驗證。

Microsoft 一直在向製造「Windows 10 行動裝置版」裝置的 OEM 宣導企業級生物特徵辨識感應器的重要性。 Windows Hello 完全支援這些臉部辨識和虹膜掃描感應器。

未來,Microsoft 期望 OEM 生產更進階的企業級生物特徵辨識感應器,並繼續將它們整合到行動裝置中。 因此,生物識別技術將成為 MFA 系統中的一種普遍驗證方法。

信任式開機

「具有安全開機的 UEFI」是使用硬體技術來協助保護使用者不受 Bootkit 攻擊。 「安全開機」可以驗證裝置、韌體和開機載入器的完整性。 開機載入器啟動後,使用者必須仰賴作業系統來保護系統其餘部分的完整性。

當「具有安全開機的 UEFI」確認可以信任開機載入器並啟動「Windows 10 行動裝置版」時,「Windows 信任式開機」功能會透過確認所有 Windows 啟動元件都值得信賴 (例如已由受信任的來源簽署) 並具有完整性,來保護啟動程序的其餘部分。 開機載入器在載入 Windows 核心的數位簽章之前,會先對其進行驗證。 Windows 核心會依次驗證 Windows 啟動程序的每個其他元件 (包括開機驅動程式和啟動檔案)。

測量開機

在舊版 Windows 中,關於 Rootkit 和 Bootkit 的最大挑戰就是用戶端經常無法偵測到它們。 由於它們通常在 Windows 防禦和反惡意程式碼解決方案啟動之前就已啟動,而且具有系統層級權限,因此 Rootkit 和 Bootkit 可以完全隱匿自己,同時又繼續存取系統資源。 雖然「具有安全開機的 UEFI」和「信任式開機」可以防止大多數 Rootkit 和 Bootkit,但是入侵者仍然可能利用一些攻擊媒介 (例如,如果有人盜用用來簽署開機元件 (例如非 Microsoft 驅動程式) 的簽章,並使用它來簽署惡意開機元件)。

「Windows 10 行動裝置版」會實作「測量開機」功能,此功能使用 TPM 硬體元件來記錄重要啟動相關元件 (包括韌體、Windows 開機元件和驅動程式) 的一系列測量。 因為測量開機使用 TPM 的硬體式安全性功能,可隔離和保護度量資料不受惡意程式碼攻擊,所以記錄資料也受到更複雜攻擊的防護。

「測量開機」將焦點放在取得測量資料並防止其遭到竄改。 若要提供更完整的安全性,它必須與可以分析資料以判斷裝置健康情況的服務結合。

裝置健康情況證明

「裝置健康情況證明」(DHA) 是「Windows 10 行動裝置版」中的一個新功能,可協助防止發生低階惡意程式碼感染。 DHA 會使用裝置的 TPM 和韌體來測量裝置之 BIOS 和 Windows 啟動程序的重要安全性屬性。 這些測量的執行方式使得即使在感染核心層級惡意程式碼或 Rootkit 的系統上,攻擊者也不可能詐騙屬性。

您可以使用 DHA 搭配 Microsoft Intune (另外販售) 或協力廠商 MDM 解決方案,以將硬體測量安全性屬性與其他裝置屬性結合在一起,來取得裝置健康情況和相容性狀態的整體檢視。 這個整合在各種情況下都相當有用,包括偵測遭破解的裝置、監視裝置相容性、產生相容性報告、對使用者或系統管理員發出警示、在裝置上起始更正動作,以及管理對資源 (例如 Office 365) 進行的條件式存取。

下列範例顯示 Windows 10 保護措施如何與 Intune 和協力廠商 MDM 解決方案整合及搭配使用。 它示範「Windows 10 行動裝置版」中的手機安全性架構如何協助您監視和驗證相容性,以及根植於裝置硬體中的安全性和信任如何保護端對端公司資源。

當使用者開啟手機時:

  1. 「Windows 10 行動裝置版」中的「安全開機」功能可協助保護啟動順序、允許裝置開機進入到已定義且受信任的設定,以及載入原廠信任的開機載入器。
  2. Windows 10 行動裝置版信任式開機會在安全開機程序完成時取得控制權,並驗證 Windows 核心以及在啟動程序期間載入和執行之元件的數位簽章。
  3. 在步驟 1 和 2 中,手機的 TPM 是在硬體保護安全性區域 (與用來監視開機活動的開機執行路徑隔離) 中獨立執行。 它會建立受保護且防竄改的稽核記錄,此稽核記錄是以只有 TPM 才能存取的祕密金鑰進行簽署。
  4. 啟用 DHA 功能的裝置會透過受保護、防竄改且抗竄改的通訊通道,將一份這個稽核記錄傳送給「Microsoft 健康情況證明服務」(HAS)。
  5. HAS 會檢閱稽核記錄、發出已加密和已簽署的報告,然後將它轉送給裝置。
  6. 從已啟用 DHA 的 MDM 解決方案中,您可以透過受保護、防竄改且抗竄改的通訊通道來檢閱報告,以評定裝置是否以相容 (狀況良好) 狀態執行、允許存取,或觸發符合組織安全性需求和原則的更正動作。 由於這個解決方案可以偵測並防止可能極難以任何其他方式偵測到的低階惡意程式碼,因此 Microsoft 建議您考慮實作已啟用 DHA 的 MDM 系統 (例如 Intune)。 它可以利用「Windows 10 行動裝置版」雲端式健康情況證明伺服器功能,來偵測和封鎖受到進階惡意程式碼感染的裝置。

Device Guard

Device Guard 是同時由硬體和軟體系統完整性強化功能所組成的功能集。 這些功能將整個作業系統移至無信任模型,讓 Windows 作業系統安全性具有突破性變革。

Windows 10 行動裝置版上的所有應用程式都必須進行數位簽署,且來自 Windows 市集或受信任的企業存放區。 Device Guard 可實作進一步限制此作業的原則。 Device Guard 預設會支援來自 Windows 市集的所有應用程式。 您可以建立原則來定義能夠和不能夠在「Windows 10 行動裝置版」裝置上執行的應用程式。 如果應用程式沒有數位簽章、被原則禁止或不是來自受信任的存放區,它就無法在「Windows 10 行動裝置版」上執行。

前述的進階硬體功能皆可驅動這些安全性方案。 透過將這些硬體功能進一步整合到核心作業系統中,「Windows 10 行動裝置版」便能夠以新方式使用這些功能。 為了提供這個額外的安全性,Device Guard 需要「具有安全開機的 UEFI」。

位址空間配置隨機載入

攻擊者用來取得系統存取權最常見的一項技術,就是於已在執行且具有特殊權限的處理程序中找出弱點、猜測或尋找重要系統程式碼與資料所在的記憶體位置,然後使用惡意承載來覆寫該資訊。 在早期的作業系統上,任何可直接寫入系統記憶體的惡意程式碼都可以這樣做;惡意程式碼會直接覆寫在已知及可預測位置中的系統記憶體。

位址空間配置隨機載入 (ASLR) 讓該類型的攻擊較難成功,因為它會隨機分配重要資料在記憶體中儲存的方式和位置。 有了 ASLR,惡意程式碼會較難找到所需攻擊的特定位置。 下圖說明 ASLR 的運作方式,其中顯示在各個重新啟動之間,不同的重要 Windows 元件在記憶體中的位置如何發生變更。

圖 3

Microsoft 已實質改進「Windows 10 行動裝置版」中的 ASLR 實作而使其優於舊版本,其中將 ASLR 套用至整個系統,而不僅限於特定應用程式。 由於使用可利用大幅增加之記憶體空間的 64 位元系統和應用程式處理程序,因此使得惡意程式碼更難以預測「Windows 10 行動裝置版」將重要資料儲存在哪裡。 在具有 TPM 的系統上使用時,ASLR 記憶體隨機載入會跨裝置增加獨特性,使得將已得逞的入侵方式重新用於另一個系統變得更加困難。

資料執行防止

惡意程式碼攻擊模式是將惡意承載插入記憶體中,並期待未起疑心的使用者稍後會執行它。 雖然 ASLR 使得該做法的難度變高,但「Windows 10 行動裝置版」則是延伸該保護,使得當寫入惡意程式碼的區域已配置成只能儲存資訊時,能夠防止惡意程式碼執行。 「資料執行防止」(DEP) 大幅減少了惡意程式碼為達目的所能使用的記憶體範圍。 DEP 使用新式 CPU 上的「禁止執行」(No execute) 位元將記憶體區塊標記為唯讀,讓惡意程式碼無法使用這些區塊來執行惡意程式碼。 所有 Windows 10 和「Windows 10 行動裝置版」裝置都支援 DEP。

Windows 堆積

堆積是 Windows 用來儲存動態應用程式資料的記憶體位置。 Microsoft 藉由進一步降低攻擊者可能使用的堆積入侵風險,持續改善舊版 Windows 的堆積設計。 「Windows 10 行動裝置版」針對堆積安全性已進行了數個優於舊版 Windows 的重要改進:

  • 堆積所使用的內部資料結構更能防止記憶體損毀。
  • 堆積記憶體配置會隨機調整位置與大小,使得攻擊者更難以預測所要覆寫的重要記憶體位置。 更明確地說,「Windows 10 行動裝置版」會為新配置的堆積位址加上隨機位移,讓配置更難以預測。
  • 「Windows 10 行動裝置版」在記憶體區塊前後使用「保護分頁」做為陷阱。 如果攻擊者嘗試寫入過去的記憶體區塊 (稱為緩衝區溢位的常見技術),攻擊者就必須覆寫保護分頁。 嘗試修改保護分頁會被視為記憶體損毀,Windows 10 行動裝置版的回應是立即終止應用程式。

記憶體保留值

Microsoft 會為作業系統保留最低 64 KB 的處理程序記憶體。 應用程式已無法再配置該部分的記憶體,因此惡意程式碼更難以覆寫記憶體中重要的系統資料結構。

控制流程防護

Windows 將應用程式載入記憶體時,會依據程式碼大小、要求的記憶體和其他因素而為這些應用程式配置空間。 應用程式開始執行程式碼時,會呼叫位於其他記憶體位址的其他程式碼。 程式碼位置之間的關係是已知的 – 寫在程式碼本身。 不過,在「Windows 10 行動裝置版」之前,作業系統不會強制執行這些位置之間的流程,使得攻擊者有機會變更流程以達到目的。 換句話說,應用程式入侵會透過執行應用程式通常可能不會執行的程式碼,來利用這個行為。

「Windows 10 行動裝置版」透過「控制流程防護」(CFG) 降低這類威脅。 受信任的應用程式如果已由其建立者編譯為使用 CFG,當它呼叫程式碼時,CFG 會驗證呼叫的程式碼位置是受信任的可執行位置。 如果 CFG 不信任該位置,則會將應用程式視為潛在的安全性風險而立即終止。

您無法設定 CFG,而是由應用程式開發人員在編譯應用程式時透過設定 CFG 來利用它。 由於瀏覽器是攻擊的主要進入點;因此 Microsoft Edge 會充分利用 CFG。

受保護的處理程序

遺憾的是,沒有裝置能夠對惡意程式碼免疫。 儘管有最佳的預防性控制,惡意程式碼最終仍然能夠找到感染任何作業系統或硬體平台的方式。 因此,雖然具備深度防禦策略的預防很重要,但仍需要有其他的惡意程式碼控制。 如果惡意程式碼是在系統上執行,您就必須限制它能夠執行的動作。「受保護的處理程序」可以防止不受信任的處理程序竄改已經過特別簽署的處理程序。 「受保護的處理程序」可定義處理程序的信任層級:它可防止較不受信任的處理程序與較受信任的處理程序互動,進而防止較受信任的處理程序受到攻擊。 「Windows 10 行動裝置版」將「受保護的處理程序」廣泛地用於整個作業系統。

AppContainer

「Windows 10 行動裝置版」安全性模型是以最低權限的原則為基礎,並使用隔離來達成這個目的。 每個應用程式以及甚至是作業系統本身的各部分,都是在其各自的隔離沙箱 (稱為 AppContainer) 內執行,此沙箱是應用程式及其處理程序可在其內部執行的受保護隔離界限。 每個 AppContainer 都是透過安全性原則進行定義和實作。

特定 AppContainer 的安全性原則會定義應用程式可從 AppContainer 內存取的作業系統功能,例如地理位置資訊、相機、麥克風、網路或感應器。

所有 AppContainer 都會獲得授與一組預設權限 (包括對某個唯一、隔離存放位置的存取權)。 對其他功能的存取權則可以在應用程式程式碼本身內宣告。 與傳統型應用程式不同,無法在執行階段要求存取其他的功能和權限。

AppContainer 是一個相當有益的概念,因為它提供下列優點:

  • 降低攻擊面。 應用程式只能存取應用程式碼中所宣告的功能,以及執行其功能所需的功能。
  • 使用者同意和控制。 應用程式所使用的功能會自動發佈至 Windows 市集的應用程式詳細資料頁面中。 應用程式對可能公開敏感資訊之功能的存取權,會自動提示使用者確認並同意。
  • 應用程式隔離。 Windows 應用程式間的通訊受到緊密控制。 應用程式之間彼此隔離,只能透過使用預先定義的通訊通道和資料類型來進行通訊。

應用程式只會獲得執行其合法工作所需的最低權限。 這表示即使惡意攻擊者利用應用程式,可能的損害也有限,因為應用程式無法提升其權限並且包含在其 AppContainer 內。 Windows 市集會顯示應用程式所需的權限,以及應用程式的年齡分級和發行者。

Device Guard 和 AppContainer 的組合有助於防止執行未經授權的應用程式。 如果惡意程式碼偷偷進入應用程式生態系統,AppContainer 可協助約束應用程式,並限制潛在的損害。 「Windows 10 行動裝置版」無信任模型不會假設有任何元件是完美的。 不過,應用程式、AppContainer 及「Windows 10 行動裝置版」本身中的潛在弱點可能會讓攻擊者有機會危害系統。 因此,需要備援的弱點防護功能。 接下來的幾個主題將說明「Windows 10 行動裝置版」中的一些備援防護功能。

Microsoft Edge

網頁瀏覽器是所有安全性策略的重要元件。 它是使用者的網際網路介面,而網際網路是一個充斥著惡意網站與潛在危險內容的環境。 大多數使用者無法在不使用瀏覽器的情況下執行至少一部分的工作,許多使用者則是完全依賴瀏覽器工作。 這個事實讓瀏覽器成為心存不軌的駭客發動攻擊的首要途徑。

「Windows 10 行動裝置版」包括 Microsoft Edge,這是一個不僅僅只是使用「閱讀檢視」這類功能進行瀏覽的全新網頁瀏覽器。 Microsoft Edge 在多個方面都比舊版 Microsoft 網頁瀏覽器更加安全:

  • 「Windows 10 行動裝置版」上的 Microsoft Edge 不支援延伸。 Microsoft Edge 已內建 PDF 檢視功能。
  • Microsoft Edge 是設計為 UWP 應用程式。 它原本就進行劃分並在從系統、資料和其他應用程式對瀏覽器進行沙箱處理的 AppContainer 中執行。
  • Microsoft Edge 簡化了安全性設定工作。 因為 Microsoft Edge 使用簡化的應用程式結構和單一沙箱設定,所以需要較少的安全性設定。 此外,Microsoft 建立的 Microsoft Edge 預設設定符合安全性最佳做法,在設計上更為安全。

摘要

「Windows 10 行動裝置版」在個人和公司擁有的裝置上均提供安全性,可防止未經授權的存取、資料外洩及惡意程式碼威脅。 本文件中涵蓋的所有功能 (多重要素驗證、資料區隔及惡意程式碼防護) 都可順暢地併入作業系統中。 這表示企業既可獲得保護,又無須犧牲驅使使用者將行動裝置帶到工作場所的生產力和使用便利性。

修訂歷程記錄

2015 年 11 月針對 Windows 10 行動裝置版 (版本 1511) 更新

2016 年 7 月針對 Windows 10 行動裝置版年度更新版 (版本 1607) 更新

© 2017 Microsoft