Morda ste že slišali, da je Microsoft naredil Windows 10 varnejši od katerega koli predhodnika in ga opremil z varnostnimi dobrotami. Morda ne veste, da nekatere od teh pohvalnih varnostnih funkcij niso na voljo ali zahtevajo dodatno strojno opremo - morda ne boste dosegli stopnje varnosti, za katero ste se dogovorili.
Funkcije, kot je Credential Guard, so na voljo samo za nekatere izdaje sistema Windows 10, medtem ko napredna biometrija, ki jo obljublja Windows Hello, zahteva zajetno naložbo v strojno opremo tretjih oseb. Windows 10 je morda doslej najbolj varen operacijski sistem Windows, vendar mora varnostno podkovana organizacija - in posamezni uporabnik - upoštevati naslednje zahteve glede strojne opreme in izdaje Windows 10, da lahko odklene potrebne funkcije za doseganje optimalne varnosti .
Opomba: Trenutno obstajajo štiri namizne različice sistema Windows 10 - Home, Pro, Enterprise in Education - skupaj z več različicami vsake, ki ponujajo različne stopnje beta in programske opreme za predogled. Woody Leonard razčleni, katero različico sistema Windows 10 naj uporabi. Naslednji varnostni vodnik za sistem Windows 10 se osredotoča na običajne namestitve sistema Windows 10 - ne na predogled Insider ali področje dolgoročnega servisiranja - in po potrebi vključuje posodobitev obletnice.
Prava strojna oprema
Windows 10 oddaja široko mrežo z minimalnimi zahtevami glede strojne opreme, ki so nezahtevne. Če imate naslednje, lahko nadgradite z Win7 / 8.1 na Win10: 1 GHz ali hitrejši procesor, 2 GB pomnilnika (za posodobitev obletnice), 16 GB (za 32-bitni OS) ali 20 GB (64-bitni OS) ) prostora na disku, grafična kartica DirectX 9 ali novejša z gonilnikom WDDM 1.0 in zaslon z ločljivostjo 800 x 600 (7-palčni ali večji zasloni). To opisuje skoraj vsak računalnik v zadnjem desetletju.
Toda ne pričakujte, da bo vaš osnovni računalnik popolnoma varen, saj zgornje minimalne zahteve ne bodo podpirale številnih funkcij, ki temeljijo na kriptografiji v operacijskem sistemu Windows 10. Za funkcije kriptografije Win10 je potreben Trusted Platform Module 2.0, ki zagotavlja varen prostor za shranjevanje kriptografskih podatkov. tipk in se uporablja za šifriranje gesel, preverjanje pristnosti pametnih kartic, zaščito predvajanja predstavnosti za preprečevanje piratstva, zaščito VM-jev in zaščito posodobitev strojne in programske opreme pred nedovoljenimi posegi.
Sodobni procesorji AMD in Intel (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) že podpirajo TPM 2.0, zato ima večina naprav, kupljenih v zadnjih nekaj letih, potreben čip. Intelova storitev daljinskega upravljanja vPro na primer uporablja TPM za odobritev popravil na daljavo. Vendar je vredno preveriti, ali TPM 2.0 obstaja v katerem koli sistemu, ki ga nadgradite, še posebej glede na to, da Anniversary Update zahteva podporo TPM 2.0 v vdelani programski opremi ali kot ločen fizični čip. Nov računalnik ali sistemi, ki nameščajo sistem Windows 10 iz nič, morajo imeti od začetka namestitev TPM 2.0, kar pomeni, da mora imeti dobavitelj strojne opreme, ki ga je pred pošiljanjem prednaročil potrdilo o potrditvi (EK). Napravo lahko nastavite tudi tako, da pridobi certifikat in ga shrani v TPM ob prvem zagonu.
Starejši sistemi, ki ne podpirajo TPM 2.0 - bodisi zato, ker nimajo nameščenega čipa ali so dovolj stari, da imajo samo TPM 1.2 - bodo morali namestiti čip, ki podpira TPM 2.0. V nasprotnem primeru sploh ne bodo mogli nadgraditi na Anniversary Update.
Medtem ko nekatere varnostne funkcije delujejo s TPM 1.2, je bolje, da TPM 2.0 dobite, kadar koli je to mogoče. TPM 1.2 omogoča samo algoritem zgoščevanja RSA in SHA-1, in glede na to, da je migracija SHA-1 v SHA-2 že v teku, je vztrajanje pri TPM 1.2 problematično. TPM 2.0 je veliko bolj prilagodljiv, saj podpira SHA-256 in kriptografijo z eliptično krivuljo.
Unified Extensible Firmware Interface (UEFI) BIOS je naslednji kos strojne opreme za doseganje najbolj varne izkušnje z operacijskim sistemom Windows 10. Napravo je treba poslati z omogočenim UEFI BIOS-om, da omogoči varno zagon, kar zagotavlja, da se lahko med zagonom izvaja samo programska oprema, jedra in moduli jedra, podpisani z znanim ključem. Secure Boot preprečuje izvajanje rootkit-ov in zlonamerne programske opreme BIOS-a pred izvajanjem zlonamerne kode. Za varen zagon je potrebna vdelana programska oprema, ki podpira UEFI v2.3.1 Errata B in ima v zbirki podatkov UEFI certifikacijski organ Microsoft Windows. Medtem ko je Microsoft z varnostne perspektive razglasil, da je Secure Boot obvezen za Windows 10, je naletel na polemike, saj otežuje zagon nepodpisanih distribucij Linuxa (kot je Linux Mint) na strojni opremi, ki podpira Windows 10.
Posodobitev obletnice se ne bo namestila, razen če je vaša naprava skladna z UEFI 2.31 ali novejšo različico.
| Funkcija sistema Windows 10 | TPM | Enota za upravljanje vhodnega / izhodnega pomnilnika | Razširitve za virtualizacijo | SLAT | UEFI 2.3.1 | Samo za arhitekturo x64 |
|---|---|---|---|---|---|---|
| Credential Guard | Priporočeno | Se ne uporablja | Obvezno | Obvezno | Obvezno | Obvezno |
| Device Guard | Se ne uporablja | Obvezno | Obvezno | Obvezno | Obvezno | Obvezno |
| BitLocker | Priporočeno | Ni zahtevano | Ni zahtevano | Ni zahtevano | Ni zahtevano | Ni zahtevano |
| Nastavljiva integriteta kode | Ni zahtevano | Ni zahtevano | Ni zahtevano | Ni zahtevano | Priporočeno | Priporočeno |
| Microsoft Pozdravljeni | Priporočeno | Ni zahtevano | Ni zahtevano | Ni zahtevano | Ni zahtevano | Ni zahtevano |
| VBS | Ni zahtevano | Obvezno | Obvezno | Obvezno | Ni zahtevano | Obvezno |
| UEFI Secure Boot | Priporočeno | Ni zahtevano | Ni zahtevano | Ni zahtevano | Obvezno | Ni zahtevano |
| Potrdilo o stanju naprave prek merjenega zagona | Zahteva TPM 2.0 | Ni zahtevano | Ni zahtevano | Ni zahtevano | Obvezno | Obvezno |
Povečanje avtentikacije, identitete
Varnost gesla je bila v zadnjih nekaj letih pomembna težava in Windows Hello nas približuje svetu brez gesel, saj vključuje in razširja biometrične prijave in dvofaktorsko preverjanje pristnosti, da "prepozna" uporabnike brez gesel. Windows Hello je hkrati tudi hkrati najdostopnejša in nedostopna varnostna funkcija sistema Windows 10. Da, na voljo je v vseh izdajah Win10, vendar zahteva veliko vlaganja v strojno opremo, da kar najbolje izkoristi vse, kar ponuja.
Za zaščito poverilnic in ključev Hello zahteva TPM 1.2 ali novejšo različico. Toda za naprave, v katerih TPM ni nameščen ali konfiguriran, lahko Hello uporablja zaščito na osnovi programske opreme za zaščito poverilnic in ključev, zato je Windows Hello dostopen skoraj vsem napravam Windows 10.
Toda najboljši način uporabe Hello je shranjevanje biometričnih podatkov in drugih informacij za preverjanje pristnosti v vgrajenem TPM čipu, saj strojna zaščita otežuje napadalcem, da jih ukradejo. Poleg tega je za popolno izkoriščanje biometrične avtentifikacije potrebna dodatna strojna oprema - na primer specializirana osvetljena infrardeča kamera ali namenski bralnik šarenice ali prstnih odtisov. Večina prenosnih računalnikov poslovnega razreda in več linij potrošniških prenosnih računalnikov je opremljenih z optičnimi bralniki prstnih odtisov, kar podjetjem omogoča, da začnejo uporabljati program Hello v kateri koli izdaji sistema Windows 10. Toda trg je še vedno omejen, ko gre za 3D-kamere za zaznavanje globine za prepoznavanje obraza in mrežnico. skenerji za skeniranje šarenice, zato je naprednejša biometrija sistema Windows Hello za večino prihodnja možnost in ne vsakodnevna resničnost.
Naprava Windows Hello Companion Devices, ki je na voljo za vse izdaje sistema Windows 10, je okvir, ki uporabnikom omogoča uporabo zunanje naprave - na primer telefona, dostopne kartice ali nosljive naprave - kot enega ali več dejavnikov preverjanja pristnosti za Hello. Uporabniki, ki jih zanima delo s sistemom Windows Hello Companion Device in se s svojimi poverilnicami Windows Hello potepajo med več sistemi Windows 10, morajo imeti na vsakem nameščen Pro ali Enterprise.
Windows 10 je prej imel Microsoft Passport, ki je uporabnikom omogočal prijavo v zaupanja vredne aplikacije s poverilnicami Hello. Z posodobitvijo obletnice Passport ne obstaja več kot samostojna funkcija, temveč je vključen v Hello. Neodvisne aplikacije, ki uporabljajo specifikacijo Fast Identity Online (FIDO), bodo lahko podpirale enotno prijavo s pomočjo Hello. Na primer, aplikacijo Dropbox lahko overite neposredno prek Hello, Microsoftov brskalnik Edge pa omogoča integracijo s Hello, da se razširi na splet. Funkcijo je mogoče vklopiti tudi v neodvisni platformi za upravljanje mobilnih naprav. Prihaja prihodnost brez gesel, vendar še ne povsem.
Preprečevanje uporabe zlonamerne programske opreme
Windows 10 prav tako uvaja Device Guard, tehnologijo, ki na glavo obrne tradicionalni protivirusni program. Device Guard zaklene naprave s sistemom Windows 10, pri čemer se zanaša na dovoljene sezname, ki omogočajo namestitev samo zaupanja vrednih aplikacij. Programi se ne smejo izvajati, razen če so s preverjanjem kriptografskega podpisa datoteke določeni kot varni, kar zagotavlja, da se vse nepodpisane aplikacije in zlonamerna programska oprema ne morejo izvajati. Device Guard se zanaša na Microsoftovo lastno tehnologijo za virtualizacijo Hyper-V, da shrani svoje bele sezname v zaščiteni navidezni stroj, do katerega sistemski skrbniki ne morejo dostopati ali posegati. Če želite izkoristiti Device Guard, morajo stroji zagnati Windows 10 Enterprise ali Education in podpirati TPM, virtualizacijo strojne opreme CPU in I / O virtualizacijo. Device Guard se zanaša na utrjevanje sistema Windows, kot je Secure Boot.
AppLocker, ki je na voljo samo za podjetja in za izobraževanje, se lahko z Device Guard uporablja za nastavitev pravilnikov o integriteti kode. Skrbniki se lahko na primer odločijo, da omejijo, katere univerzalne programe iz trgovine Windows je mogoče namestiti v napravo.
Nastavljiva integriteta kode je še ena komponenta sistema Windows, ki preverja, ali je zagnana koda zaupna in modra. Celovitost kode načina jedra (KMCI) preprečuje, da bi jedro izvajalo nepodpisane gonilnike. Skrbniki lahko upravljajo pravilnike na ravni overitelja ali izdajatelja ter posamezne vrednosti zgoščevanja za vsako binarno izvedljivo datoteko. Ker je večina blagovne zlonamerne programske opreme ponavadi nepodpisane, uvajanje pravilnikov o integriteti kode omogoča organizacijam takojšnjo zaščito pred nepodpisano zlonamerno programsko opremo.
Windows Defender, ki je bil prvič izdan kot samostojna programska oprema za Windows XP, je v programu Windows 8 postal privzeti Microsoftov paket za zaščito pred zlonamerno programsko opremo in protivirusno programsko opremo. Defender se samodejno onemogoči, ko namestite programsko opremo drugih proizvajalcev. Če ni nameščen noben konkurenčni protivirusni ali varnostni izdelek, preverite, ali je vklopljen program Windows Defender, ki je na voljo v vseh izdajah in nima posebnih zahtev glede strojne opreme. Za uporabnike sistema Windows 10 Enterprise obstaja napredna zaščita pred grožnjami Windows Defender, ki ponuja sprotno analizo vedenjskih groženj za odkrivanje spletnih napadov.
Zaščita podatkov
BitLocker, ki varuje datoteke v šifrirani vsebnik, obstaja že od operacijskega sistema Windows Vista in je boljši kot kdaj koli prej v operacijskem sistemu Windows 10. S programom Anniversary Update je orodje za šifriranje na voljo za izdaje Pro, Enterprise in Education. Podobno kot Windows Hello, BitLocker najbolje deluje, če se TPM uporablja za zaščito šifrirnih ključev, lahko pa uporablja tudi programsko zaščito ključev, če TPM ne obstaja ali ni konfiguriran. Zaščita BitLockerja z geslom zagotavlja najosnovnejšo obrambo, vendar je boljši način uporaba pametne kartice ali šifrirnega datotečnega sistema za ustvarjanje potrdila o šifriranju datotek za zaščito povezanih datotek in map.
Ko je na sistemskem pogonu omogočena funkcija BitLocker in je omogočena zaščita pred brutalno silo, lahko Windows 10 po določenem številu napačnih poskusov gesla znova zažene računalnik in zaklene dostop do trdega diska. Za zagon naprave in dostop do diska bi morali uporabniki vnesti 48-mestni obnovitveni ključ BitLocker. Če želite omogočiti to funkcijo, bi moral imeti sistem vdelano programsko opremo UEFI različice 2.3.1 ali novejšo.
Zaščita informacij sistema Windows, prej Enterprise Data Protection (EDP), je na voljo samo za izdaje Windows 10 Pro, Enterprise ali Education. Zagotavlja trajno šifriranje na ravni datotek in upravljanje osnovnih pravic, hkrati pa se integrira s storitvami Azure Active Directory in Upravljanje pravic. Za zaščito informacij je za upravljanje nastavitev potrebno nekakšno upravljanje mobilnih naprav - Microsoft Intune ali neodvisna platforma, kot je VMware's AirWatch - ali System Center Configuration Manager (SCCM). Skrbnik lahko določi seznam trgovine Windows ali namiznih aplikacij, ki lahko dostopajo do delovnih podatkov, ali jih v celoti blokira. Windows Information Protection pomaga nadzirati, kdo lahko dostopa do podatkov, da prepreči nenamerno uhajanje informacij. Active Directory pomaga poenostaviti upravljanje, vendar po navedbah Microsofta ni potreben za uporabo zaščite informacij.
Virtualizacija varnostnih obramb
Credential Guard, ki je na voljo samo za Windows 10 Enterprise in Education, lahko z uporabo varnosti, ki temelji na virtualizaciji (VBS), izolira »skrivnosti« in omeji dostop do privilegirane sistemske programske opreme. Pomaga pri blokiranju napadov, ki jih prenašajo, čeprav so raziskovalci varnosti pred kratkim našli načine, kako obiti zaščito. Kljub temu je imeti Credential Guard še vedno bolje, kot če je sploh ne. Deluje samo v sistemih x64 in zahteva UEFI 2.3.1 ali novejšo različico. Omogočiti je treba razširitve za virtualizacijo, kot so Intel VT-x, AMD-V in SLAT, pa tudi IOMMU, kot so Intel VT-d, AMD-Vi in zaklepanje BIOS-a. TPM 2.0 je priporočljiv, da omogočite potrdilo o zdravstvenem stanju naprave za zaščito poverilnic, če pa TPM ni na voljo, lahko namesto njega uporabite zaščito, ki temelji na programski opremi.
Druga funkcija Windows 10 za podjetja in izobraževanje je Virtual Secure Mode, ki je vsebnik Hyper-V, ki ščiti poverilnice domene, shranjene v sistemu Windows.
