Накануне премьеры Windows 10 представители московского офиса Microsoft рассказали о том, какие усовершенствования предприняты компанией для повышения безопасности новой ОС.
Загрузка. Итак, начальная загрузка Windows с помощью BIOS осталась в прошлом. Как рассказал руководитель программы информационной безопасности в странах Центральной, Восточной Европы и СНГ Андрей Бешков, Windows 10 будет работать только с прошивками UEFI. Объясняется это тем, что подписи прошивок UEFI сертификатами изготовителей соответствующих чипов существенно усложняет заражение компьютеров перед началом загрузки ОС.
Подписанный загрузчик UEFI в свою очередь контролирует сигнатуры других загружаемых компонентов операционной системы (ОС), которые теперь тоже обязательно должны иметь цифровые подписи своих производителей. Загрузка осуществляется в такой последовательности: ядро Windows 10 и основные драйверы; модули ранней загрузки антивирусов; сторонние драйверы. После этого производится вход в ОС. Компонент, в ходе загрузки которого по тем или иным причинам возникает ошибка, восстанавливается загрузчиком. Данные для восстановления берутся из модуля Trusted Platform Module (TPM), который хранит историю всех загрузок вычислительной системы и без которого Windows 10 не работает.
Доступ. Как показывает статистика, с момента загрузки ОС до начала работы пользователя с каким-либо приложением пользовательская система соединяется примерно с двадцатью различными серверами. Правила ИБ требуют, чтобы доступ к каждому такому серверу защищался оригинальным сложным паролем. На практике без соответствующей автоматизации такие требования пользователями просто не выполняются.
Чтобы облегчить пользователям выполнение этих правил ИБ и одновременно повысить надежность и упростить использование механизмов однократной аутентификации (SSO), в Microsoft решено шире применять биометрические данные пользователей и уникальные идентификаторы устройств подключения пользователей к ИКТ-ресурсам. Эти данные используются для формирования пары ассиметричных ключей шифрования паролей доступа. Ключи создаются либо внутри локальной среды, построенной на Windows10, либо внешним провайдером PKI, которому доверяет пользователь (например, Azure AD, Google, Facebook, Microsoft Account и др.), и хранятся в чипе TPM.
Для входа в систему пользователь применяет либо PIN-код, либо пароль, либо программу Windows Hello, которая задействует для той же операции отпечаток пальца, изображение радужной оболочки глаза или скан лица пользователя.
При обращении пользователя впервые к какому-либо ресурсу, требующему аутентификации, например веб-сайту, выбранный пользователем провайдер PKI поднимает систему PKI, просит ввести пользователя свое имя и генерирует ему для доступа к данному веб-сайту случайный пароль, который записывается в TPM, откуда его без разрешения пользователя не может извлечь даже ОС. В результате пользователь получает для доступа на каждый из ресурсов оригинальный пароль.
Построенная на Windows 10 вычислительная среда получает от PKI-провайдера также токен авторизации, который автоматизирует процесс аутентификации на тех ресурсах, для которых пользователь реализовал ранее эту процедуру у PKI-провайдера.
Защита приложений. Отныне при задержке обновления внешнего антивируса (если таковой у пользователя установлен) более, чем на три дня, автоматически запускается поставляемый со всеми современными ОС Microsoft Защитник Windows (Windows Defender), который после соответствующего уведомления пользователя переключает защиту среды на себя.
Как утверждают специалисты, одним из наиболее часто атакуемых программных приложений сегодня является веб-браузер. Учитывая это, Microsoft разработала новый веб-браузер Edge, избавленный от ненадежных и редко используемых плагинов. Microsoft Edge работает в изолированной среде — контейнере приложений (AppContainer), и потому в случае компрометации не имеет возможности причинить вред операционной среде. Обновления браузера, как и всех других приложений, работающих под Windows 10, производятся автоматически через функционал Windows Update из облачного магазина Windows Store.
Заявлено, что для корпоративных пользователей, использующих наследуемое ПО, завязанное на Internet Explorer, продолжена поддержка усовершенствованной (в первую очередь в целях удобства администрирования) версии 11 этого браузера.
Реализуя концепцию эшелонированной обороны в виде режима Virtual Secure Mode (VSM), компания Microsoft разделила ОС Windows 10 на два отдельных контейнера. В момент запуска ОС создается контейнер, содержащий наиболее критичные компоненты — систему хранения паролей, виртуальный TPM, систему контроля целостности кода самой ОС. В другом контейнере размещается ОС как таковая. Первый контейнер взаимодействует со вторым через интерфейсы API и остается изолированным даже в случае компрометации ОС на уровне администратора.
Аппаратный контроль приложений и системных компонентов Device Guard, развивающий технологии инструмента AppLoader, входящего в состав предыдущих версий Windows, является инструментом администрирования ПО. Он позволяет организовать запуск на исполнение только ПО, подписанного с помощью сервиса ключей, предоставляемого Microsoft. Сам Device Guard защищен от попыток повреждений и отключений контейнером VSM.
Данные. Интегрированный в Windows 10 инструмент Enterprise Data Protection развивает уже существующий функционал Rights Management Services. Данный инструмент позволяет администратору организовать и контролировать защиту данных при их хранении, обработке и передаче, защищая систему от ошибочных действий пользователя, предотвращая неавторизованный доступ к ним сторонних приложений, различая при этом личные и корпоративные данные (что важно при одновременном использовании устройств доступа для работы с личными и корпоративными данными). Инструментарий API к операционным системам Android, iOS и Windows позволят интегрировать этот функционал в приложения, работающие под этими ОС.
Локализация. Как пояснил Андрей Бешков, применение на территории России иностранной криптографии, задействованной в Windows 10, является уведомительным, т. е. эксплуатация этой криптографии не будет нелегитимной для большинства пользователей. В то же время те пользователи, которым федеральными и отраслевыми регламентами предписано применять только российскую криптографию, могут заменить предложенную компанией Microsoft криптопродуктами ее российских партнеров. По традиции и сама ОС Windows 10, как и все новые ОС Microsoft, пройдет сертификацию во ФСТЭК и других (при необходимости) сертификационных институтах России.