Microsoft до настоящего времени не уделяла большого внимания причинам, по которым пользователям Windows 7 следует переходить на Windows 10. Возвращение меню «Пуск» в более или менее знакомом виде и интеграция Cortana в операционную систему — это, конечно, прекрасно, но все же не то, что заставит пользователей и особенно бизнес-пользователей отказаться от такой проверенной и, слава Богу, хорошо работающей ОС как Windows 7.
Я считаю, что уникальные средства защиты Windows 10 весьма привлекательны для бизнес-пользователей. Microsoft до сего дня и особенно в последнее время не слишком распространялась об этих функциях. Причина, по крайней мере отчасти, может заключаться в том, что ряд обеспечивающих безопасность Windows 10 функций, которые могут и должны быть решающим доводом для бизнес-пользователей, еще не полностью реализованы.
Microsoft открыто расхваливала новую технологию биометрической аутентификации Hello, которая позволит пользователям регистрироваться на своих устройствах с Windows 10 без ввода пароля. Для использования Hello необходимы новые устройства, поскольку эта технология использует отпечатки пальцев и распознавание лиц. Hello доступна пользователям любых редакций Windows 10 — Home, Pro, Enterprise и Education. А есть еще ряд средств защиты, которые будут доступны только части пользователей Windows 10.
На днях Microsoft предала гласности тот факт, что Windows 10 еще не обладает обещанными функциями Enterprise Data Protection и Passport Enterprise, которые она рекламировала ранее в нынешнем году. (Если вы будете внимательно читать между строк, то обнаружите, что Microsoft неоднократно признавала, что эти элементы, как и Windows Store for Business, отсутствуют в Windows 10).
Microsoft планирует включить их в ознакомительные сборки Windows 10 позднее в этом месяце, чтобы выпустить их ближе к концу года (предположительно поздней осенью) в составе релиза Threshold 2.
Но в Windows 10 есть и другие функции безопасности, о которых Microsoft на удивление мало трубит. Одна из них — шифрование диска с помощью BitLocker. Хотя эта функция имелась в Windows 7 и включена в Windows 10, Microsoft расширяет круг пользователей, которым она будет доступна. Только обладатели таких редакций Windows 7 как Ultimate и Enterprise могли применять BitLocker. В случае с Windows 10 это смогут сделать владельцы лицензий Pro, Enterprise и Education.
Есть и другие функции — они представлены в таблице, взятой с сайта Microsoft Download Center. В ней сравниваются функции безопасности Windows 7 и Windows 10.
Как отмечалось выше, некоторые из этих функций еще недоступны пользователям Windows 10, а именно, Enterprise Data Protection (EDP) и корпоративный вариант Passport.
EDP строится на базе механизма предотвращения утечки данных, который сейчас является частью Windows 7. Однако теперь в EDP сделан следующий шаг — потребительские данные и бизнес-данные разделены с помощью контейнеров. EDP будет интегрироваться с Azure Active Directory и Rights Management Services. Microsoft обещает, что EDP будет идентичным образом функционировать и на мобильных устройствах, и на настольных ПК и будет доступна пользователям Windows 10 редакций Pro, Enterprise и Education.
Microsoft Passport позволяет более безопасно подключаться к приложениям, онлайновым и офлайновым ресурсам без пароля. В настоящее время Passport поддерживает Microsoft Accounts и Azure Active Directory. Это ПО уже входит в состав Windows 10 Home и Pro, но не Windows 10 Enterprise, как призналась на днях Microsoft.
Device Guard — еще одно уникальное средство защиты в составе Windows 10, о котором мы сравнительно мало слышали. Device Guard обеспечивает блокировку приложений, которые запускаются только после того, как продемонстрируют, что заслуживают доверия. Microsoft утверждает, что Device Guard «станет самым революционным способом защиты от вредоносного кода, разработанным Microsoft для настольных ПК».
Сходная служба Credential Guard предназначена для «изолирования секретов». Microsoft сообщает о ней следующее: «Credential Guard изолирует секреты, которые прежние версии Windows хранили в подсистеме Local Security Authority (LSA), применяя защиту на базе виртуализации. До появления Windows 10 в LSA хранились секретные данные, используемые операционной системой. Протекающий в операционной системе процесс LSA взаимодействует с изолированной подсистемой LSA посредством удаленного вызова процедур. Данные, которые хранятся с использованием защиты на базе виртуализации, недоступны для остальной операционной системы».
Device Guard и Credential Guard предназначаются только для пользователей Windows 10 редакций Enterprise и Education.
Если копнуть эту тему глубже, то нужно отметить, что Microsoft встроила в ядро Windows 10 новую технологию, позволяющую использовать Device Guard и Credential Guard. Недавно Microsoft разместила на своем сайте Channel 9 видеоролик из трех частей, посвященный этой технологии, известной под названием Isolated User Mode (IUM). Его стоит посмотреть.
IUM — уникальная технология безопасности Windows 10. Идея заключается в защищенном ядре и защищенных приложениях, которые запускаются не в том адресном пространстве, в котором обычно работает ядро. IUM основывается на такой новой особенности Windows 10 как Virtualization Based Security (VBS), известной прежде под названием Virtual Secure Mode. VBS уже встроена в Windows 10 и обеспечивает аппаратное разделение функций Windows, работающих в среде VBS, и остальной части Windows 10.
«Такая изоляция помогает добиться того, что нельзя получить доступ к процессам и данным в среде VBS или воздействовать на них. Подобного рода изоляции никогда не было в Windows до появления Windows 10», — сообщил представитель Microsoft, которого я распрашивал о IUM.
Device Guard использует среду VBS, чтобы предотвратить воздействие на свое функционирование. Device Guard создан для срыва предпринимаемых с использованием оборудования атак нулевого дня с целью нарушения работы системы в режиме ядра. Он дополняет встроенные в AppLocker средства защиты, которые уязвимы для тех атакующих, которые получили привилегии администратора, сообщил представитель Microsoft.
«Device Guard требует „подписанной“ политики. Это означает, что только политика с последними обновлениями, подписанная доверенным лицом, может изменить заданную для устройства политику контроля приложений. Заверенная подписью политика имеет важнейшее значение для предотвращения отмены политик контроля приложений атакующим с правами администратора, что позволило бы ему запускать не внушающие доверия вредоносные приложения», — заявил представитель Microsoft.
В свою очередь, Credential Guard использует среду VBS для предотвращения мошенничества и злоупотребления «производными полномочиями» пользователя, которые могут применяться во время атак типа Pass the Hash.
Я ожидаю, что с появлением до конца года Threshold 2, нового крупного обновления Windows 10, мы получим от Microsoft гораздо больше сравнительной информации о средствах безопасности Windows 7 и Windows 10. А до того о том, как обстоят дела с безопасностью в Windows 10, нам будут рассказывать участники программы Windows Insider.
Сравнение функций безопасности Windows 7 и Windows 10
Функции |
Windows 7 |
Windows 10 |
Защита идентификации |
Сегодняшние многофакторные решения зачастую громоздки и дороги в развертывании |
Microsoft Passport представляет собой простое в развертывании и использовании средство многофакторной аутентификации, альтернативное паролям |
Защита идентификации |
Фишинговые атаки с целью получения паролей пользователей все чаще становятся успешными |
Windows Hello с использованием биометрии является более защищенным способом доступа к устройству, к Microsoft Passport, приложениям, данным и онлайновым ресурсам |
Защита идентификации |
Атаки типа Pass the Hash с целью кражи идентификационных данных предпринимаются через сети и избегают обнаружения |
Microsoft Azure Active Directory представляет собой всеобъемлющее решение для управления идентификацией и доступом в облаке |
Защита данных |
BitLocker обеспечивает конфигурируемое (при желании) шифрование диска |
BitLocker значительно усовершенствован, легок в управлении и может автоматически устанавливаться на большинство новых устройств |
Защита данных |
Предотвращение утечки данных требует использования дополнительного ПО и часто привлечения сторонних компаний |
Enterprise Data Protection удовлетворяет потребности в предотвращении утечки данных, содержит глубоко интегрированное решение для разделения данных и заключения их в контейнеры, обеспечивает шифрование на уровне файлов |
Защита данных |
Решения для предотвращения утечки данных часто приносят интересы пользователей в жертву интересам безопасности. Из-за этого они мало популярны и заставляют по-разному работать на настольных ПК и на мобильных устройствах |
Инструмент Enterprise Data Protection обеспечивает плавный переход с мобильных устройств на настольный ПК, интегрировано с Azure Active Directory и службами управления правами Rights Management Services |
Устойчивость к угрозам |
Все приложения заслуживают доверия, пока не выявлена угроза с их стороны или пока они целенаправленно не заблокированы |
Device Guard предоставляет защиту настольных ПК, сходную с блокированием мобильной платформы (полная блокировка приложений) |
Устойчивость к угрозам |
При том, что ежедневно появляется свыше 300 тыс. новых угроз, пытаться блокировать их после распознавания (блокирование известных угроз) значит проиграть сражение |
При наличии Device Guard приложения прежде, чем будут запущены, должны пройти проверку, чтобы считаться заслуживающими доверия |
Устойчивость к угрозам |
Windows предоставляет ряд решений в области защиты. Но слишком многие угрозы успевают навредить пользователям прежде, чем сработают основанные на их выявлении антивирусные решения |
Device Guard станет самым революционным способом защиты от вредоносного кода, разработанным Microsoft для настольных ПК |
Безопасность устройств |
Безопасность платформы целиком зависит от того, что может сделать ПО само по себе. Если оно инфицировано, нет гарантии, что защита системы выполнит свои функции и останется незатронутой |
Аппаратные средства защиты и обеспечиваемый ими уровень доверия помогают поддерживать и проверять целостность оборудования и систем |
Безопасность устройств |
Вредоносный код может скрываться в оборудовании или в самой операционной системе. Если они заражены, то нет способа проверить их целостность |
UEFI Secure Boot помогает предотвратить встраивание вредоносного кода в оборудование или запуск его до загрузки операционной системы. Заслуживающая доверия загрузка (Trusted Boot) помогает поддерживать целостность остальной ОС |