Možno ste počuli, že spoločnosť Microsoft urobila systém Windows 10 bezpečnejším ako ktorýkoľvek z jeho predchodcov a zabalila ho do balíkov bezpečnostných dobrôt. Čo by ste možno nevedeli, je, že niektoré z týchto vychvaľovaných bezpečnostných funkcií nie sú k dispozícii po vybalení z krabice alebo vyžadujú ďalší hardvér - možno nedosahujete úroveň zabezpečenia, ktorú ste očakávali.
Funkcie, ako je Credential Guard, sú dostupné iba pre určité vydania systému Windows 10, zatiaľ čo pokročilá biometria sľubovaná programom Windows Hello vyžaduje značné investície do hardvéru tretích strán. Windows 10 môže byť doposiaľ najbezpečnejším operačným systémom Windows, ale organizácia zameraná na zabezpečenie - a individuálny používateľ - musí mať na pamäti nasledujúce požiadavky na hardvér a vydanie systému Windows 10, aby mohla odomknúť funkcie potrebné na dosiahnutie optimálneho zabezpečenia .
Poznámka: V súčasnosti existujú štyri vydania systému Windows 10 pre stolné počítače - Home, Pro, Enterprise a Education - spolu s viacerými verziami každého z nich, ktoré ponúkajú rôzne úrovne verzie beta a ukážkového softvéru. Woody Leonard rozoberá, ktorú verziu systému Windows 10 treba použiť. Nasledujúca príručka zabezpečenia systému Windows 10 sa zameriava na štandardné inštalácie systému Windows 10 - nie na Insider Previews alebo pobočku Long Term Servicing - a v prípade potreby obsahuje aktualizáciu Anniversary Update.
Správny hardvér
Windows 10 vrhá širokú sieť s minimálnymi hardvérovými požiadavkami, ktoré sú nenáročné. Pokiaľ máte k dispozícii nasledujúce možnosti, je dobré upgradovať z Win7 / 8.1 na Win10: procesor 1 GHz alebo rýchlejší, 2 GB pamäte (pre Anniversary Update), 16 GB (pre 32-bitový OS) alebo 20 GB (64-bitový OS) ) miesto na disku, grafická karta DirectX 9 alebo novšia s ovládačom WDDM 1.0 a displej s rozlíšením 800 x 600 (7 palcov alebo väčšie obrazovky). To popisuje skoro každý počítač z posledného desaťročia.
Nečakajte však, že váš základný stroj bude úplne bezpečný, pretože vyššie uvedené minimálne požiadavky nebudú podporovať veľa funkcií založených na kryptografii v systéme Windows 10. Kryptografické funkcie systému Win10 vyžadujú modul Trusted Platform Module 2.0, ktorý poskytuje bezpečnú oblasť pre kryptografiu kľúče a používa sa na šifrovanie hesiel, autentifikáciu čipových kariet, zabezpečené prehrávanie médií, aby sa zabránilo pirátstvu, ochrana virtuálnych počítačov a okrem iných funkcií aj zabezpečenie aktualizácií hardvéru a softvéru proti neoprávnenej manipulácii.
Moderné procesory AMD a Intel (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) už podporujú TPM 2.0, takže väčšina strojov zakúpených v posledných rokoch má potrebný čip. Napríklad služba vzdialenej správy vPro od spoločnosti Intel používa TPM na autorizáciu vzdialených opráv počítačov. Ale stojí za to overiť si, či TPM 2.0 existuje v každom systéme, ktorý inovujete, najmä vzhľadom na to, že Anniversary Update vyžaduje podporu TPM 2.0 vo firmvéri alebo ako samostatný fyzický čip. Nový počítač alebo systémy, ktoré inštalujú Windows 10 úplne od začiatku, musia mať modul TPM 2.0 od začiatku, čo znamená, že dodávateľ hardvéru musí mať pri dodaní vopred zabezpečený certifikát potvrdzovacieho kľúča (EK). Alternatívne môže byť zariadenie nakonfigurované tak, aby získalo certifikát a uložilo ho do TPM pri prvom spustení.
Staršie systémy, ktoré nepodporujú TPM 2.0 - buď preto, že nemajú nainštalovaný čip, alebo sú dostatočne staré na to, aby mali iba TPM 1.2 - si budú musieť nainštalovať čip s povoleným TPM 2.0. V opačnom prípade nebudú môcť inovovať na Anniversary Update vôbec.
Aj keď niektoré z bezpečnostných funkcií pracujú s TPM 1.2, je lepšie si TPM 2.0 zaobstarať, kedykoľvek je to možné. TPM 1.2 umožňuje iba hašovací algoritmus RSA a SHA-1 a vzhľadom na to, že migrácia SHA-1 na SHA-2 je v plnom prúde, je dodržiavanie protokolu TPM 1.2 problematické. TPM 2.0 je oveľa flexibilnejší, pretože podporuje šifrovanie SHA-256 a eliptickú krivku.
Unified Extensible Firmware Interface (UEFI) BIOS je ďalšou súčasťou nevyhnutného hardvéru na dosiahnutie najbezpečnejšieho prostredia Windows 10. Zariadenie musí byť dodávané s povoleným UEFI BIOS, aby bolo možné povoliť zabezpečené spustenie, ktoré zaručuje, že počas zavádzania je možné spustiť iba softvér operačného systému, jadrá a moduly jadra podpísané známym kľúčom. Secure Boot blokuje rootkity a malware v BIOSe pred vykonaním škodlivého kódu. Secure Boot vyžaduje firmvér, ktorý podporuje UEFI v2.3.1 Errata B a v databáze podpisov UEFI má certifikačnú autoritu Microsoft Windows. Aj keď je požehnaním z hľadiska bezpečnosti, spoločnosť Microsoft označujúca ako povinné Secure Boot pre Windows 10 kontroverzie, pretože sťažuje spustenie nepodpísaných distribúcií Linuxu (napríklad Linux Mint) na hardvéri podporovanom systémom Windows 10.
Aktualizácia Anniversary Update sa nenainštaluje, pokiaľ vaše zariadenie nie je kompatibilné so štandardom UEFI 2.31 alebo novším.
| Funkcia Windows 10 | TPM | Jednotka pre správu vstupnej / výstupnej pamäte | Virtualizačné rozšírenia | SLAT | UEFI 2.3.1 | Iba pre architektúru x64 |
|---|---|---|---|---|---|---|
| Poverovací strážca | Odporúčané | Nepoužité | Požadovaný | Požadovaný | Požadovaný | Požadovaný |
| Device Guard | Nepoužité | Požadovaný | Požadovaný | Požadovaný | Požadovaný | Požadovaný |
| BitLocker | Odporúčané | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa |
| Integrita konfigurovateľného kódu | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Odporúčané | Odporúčané |
| Microsoft Dobrý deň | Odporúčané | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa |
| VBS | Nevyžaduje sa | Požadovaný | Požadovaný | Požadovaný | Nevyžaduje sa | Požadovaný |
| UEFI Secure Boot | Odporúčané | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Požadovaný | Nevyžaduje sa |
| Osvedčenie o zdraví zariadenia prostredníctvom meraného zavedenia | Vyžaduje TPM 2.0 | Nevyžaduje sa | Nevyžaduje sa | Nevyžaduje sa | Požadovaný | Požadovaný |
Zvyšovanie autentifikácie, identity
Zabezpečenie heslom bolo v posledných niekoľkých rokoch významným problémom a Windows Hello nás posúva bližšie k svetu bez hesiel, pretože integruje a rozširuje biometrické prihlasovacie údaje a dvojfaktorovú autentizáciu, aby „rozpoznal“ používateľov bez hesiel. Windows Hello tiež dokáže byť súčasne najprístupnejšou a neprístupnejšou bezpečnostnou funkciou systému Windows 10. Áno, je k dispozícii vo všetkých vydaniach Win10, ale aby bolo možné naplno využiť to, čo vyžaduje, vyžaduje si značné investície do hardvéru.
Z dôvodu ochrany poverení a kľúčov vyžaduje Hello protokol TPM 1.2 alebo novší. Ale pre zariadenia, kde nie je nainštalovaný ani nakonfigurovaný TPM, môže Hello namiesto toho pomocou softvérovej ochrany zabezpečiť prihlasovacie údaje a kľúče, takže Windows Hello je prístupný takmer každému zariadeniu so systémom Windows 10.
Najlepším spôsobom použitia Hello je ale ukladanie biometrických údajov a ďalších autentifikačných informácií do palubného čipu TPM, pretože hardvérová ochrana ich útočníkom sťažuje ich krádež. Ďalej, aby ste mohli naplno využiť výhody biometrickej autentifikácie, je potrebný ďalší hardvér - napríklad špecializovaná osvetlená infračervená kamera alebo samostatná čítačka dúhovky alebo odtlačkov prstov. Väčšina notebookov podnikovej triedy a niekoľko radov spotrebiteľských notebookov sa dodáva so snímačmi odtlačkov prstov, čo podnikom umožňuje začať s Hello v ktorejkoľvek edícii systému Windows 10. Trh je však stále obmedzený, pokiaľ ide o 3D kamery s hĺbkovým snímaním na rozpoznávanie tváre a sietnicu skenery na skenovanie dúhovky, takže pokročilejšia biometria systému Windows Hello je pre väčšinu skôr budúcou možnosťou ako každodennou realitou.
Windows Hello Companion Devices, ktorý je k dispozícii pre všetky vydania Windows 10, predstavuje rámec umožňujúci používateľom používať ako jeden alebo viac autentifikačných faktorov Hello externé zariadenie - napríklad telefón, prístupovú kartu alebo nositeľné zariadenie. Používatelia, ktorí majú záujem o prácu s Windows Hello Companion Device, aby sa mohli pohybovať so svojimi prihlasovacími údajmi Windows Hello medzi viacerými systémami Windows 10, musia mať v každom nainštalovaný Pro alebo Enterprise.
Windows 10 predtým mal Microsoft Passport, ktorý používateľom umožňoval prihlásiť sa do dôveryhodných aplikácií pomocou prihlasovacích údajov Hello. Vďaka výročnej aktualizácii už Passport neexistuje ako samostatná funkcia, ale je začlenený do aplikácie Hello. Aplikácie tretích strán, ktoré používajú špecifikáciu Fast Identity Online (FIDO), budú schopné podporovať jednotné prihlásenie prostredníctvom Hello. Napríklad aplikáciu Dropbox je možné overiť priamo cez Hello a prehliadač Microsoft Edge umožňuje integráciu s Hello a rozšíriť ju na web. Túto funkciu je možné zapnúť aj na platforme na správu mobilných zariadení tretích strán. Budúcnosť bez hesiel sa blíži, ale ešte nie celkom.
Udržiavanie škodlivého softvéru
Windows 10 taktiež predstavuje Device Guard, technológiu, ktorá si kladie na hlavu tradičný antivírus. Device Guard uzamkne zariadenia so systémom Windows 10 a spolieha sa na zoznamy povolených aplikácií, ktoré umožňujú inštaláciu iba dôveryhodných aplikácií. Programy nie je možné spúšťať, pokiaľ nie sú určené ako bezpečné kontrolou kryptografického podpisu súboru, ktorý zaisťuje, že všetky nepodpísané aplikácie a malware nemôžu byť spustené. Device Guard sa spolieha na vlastnú virtualizačnú technológiu Microsoft Hyper-V, ktorá ukladá svoje biele zoznamy na chránenom virtuálnom stroji, ku ktorému správcovia systému nemôžu pristupovať ani s nimi manipulovať. Aby mohli zariadenia Device Guard využívať, musia na nich bežať Windows 10 Enterprise alebo Education a musia podporovať TPM, virtualizáciu hardvérových procesorov a I / O virtualizáciu. Device Guard sa spolieha na vytvrdenie systému Windows, ako je napríklad Secure Boot.
Aplikáciu AppLocker, ktorá je k dispozícii iba pre podniky a vzdelávanie, je možné pomocou aplikácie Device Guard použiť na nastavenie politík integrity kódu. Správcovia sa napríklad môžu rozhodnúť obmedziť, ktoré univerzálne aplikácie z obchodu Windows Store je možné do zariadenia nainštalovať.
Integrita konfigurovateľného kódu je ďalším komponentom systému Windows, ktorý overuje, či je spustený kód dôveryhodný a bezpečný. Integrita kódu režimu jadra (KMCI) znemožňuje jadru spustiť nepodpísané ovládače. Správcovia môžu spravovať zásady na úrovni certifikačnej autority alebo vydavateľa, ako aj jednotlivé hodnoty hash pre každý binárny spustiteľný súbor. Pretože veľká časť komoditného malvéru býva nepodpísaná, nasadenie zásad integrity kódu umožňuje organizáciám okamžite sa chrániť pred nepodpísaným malvérom.
Program Windows Defender, ktorý bol prvýkrát uvedený ako samostatný softvér pre systém Windows XP, sa stal predvoleným balíkom ochrany pred škodlivým softvérom spoločnosti Microsoft s antispywarom a antivírusom v systéme Windows 8. Program Defender sa automaticky deaktivuje, keď je nainštalovaný balík antimalware tretích strán. Ak nie je nainštalovaný žiadny konkurenčný antivírus alebo bezpečnostný produkt, uistite sa, že je zapnutý program Windows Defender dostupný vo všetkých vydaniach a bez konkrétnych hardvérových požiadaviek. Pre používateľov systému Windows 10 Enterprise je k dispozícii pokročilá ochrana pred hrozbami Windows Defender, ktorá ponúka analýzu behaviorálnych hrozieb na detekciu online útokov v reálnom čase.
Zabezpečenie údajov
BitLocker, ktorý zaisťuje súbory v šifrovanom kontajneri, existuje už od systému Windows Vista a v systéme Windows 10 je lepší ako kedykoľvek predtým. Vďaka Anniversary Update je šifrovací nástroj k dispozícii pre vydania Pro, Enterprise a Education. Rovnako ako Windows Hello, BitLocker funguje najlepšie, ak sa na ochranu šifrovacích kľúčov používa TPM, ale môže tiež využívať softvérovú ochranu kľúčov, ak TPM neexistuje alebo nie je nakonfigurovaný. Ochrana nástroja BitLocker pomocou hesla poskytuje najzákladnejšiu obranu, ale lepšou metódou je použitie čipovej karty alebo systému šifrovania súborov na vytvorenie certifikátu na šifrovanie súborov na ochranu pridružených súborov a priečinkov.
Keď je na systémovej jednotke povolený nástroj BitLocker a je povolená ochrana hrubou silou, môže systém Windows 10 po zadanom počte nesprávnych pokusov o heslo reštartovať počítač a uzamknúť prístup k pevnému disku. Používatelia by museli na spustenie zariadenia a prístup na disk zadať 48-znakový obnovovací kľúč BitLocker. Aby bola táto funkcia povolená, musí systém potrebovať firmvér UEFI verzie 2.3.1 alebo novšej.
Windows Information Protection, predtým Enterprise Data Protection (EDP), je k dispozícii iba pre vydania Windows 10 Pro, Enterprise alebo Education. Poskytuje trvalé šifrovanie na úrovni súborov a správu základných práv a zároveň sa integruje so službami Azure Active Directory a Rights Management. Ochrana informácií vyžaduje na správu nastavení nejaký druh správy mobilných zariadení - Microsoft Intune alebo platformu tretej strany, napríklad VMware’s AirWatch - alebo System Center Configuration Manager (SCCM). Správca môže definovať zoznam Windows Store alebo desktopových aplikácií, ktoré majú prístup k pracovným údajom, alebo ich úplne zablokovať. Ochrana informácií Windows pomáha kontrolovať, kto má prístup k údajom, aby zabránil náhodnému úniku informácií. Služba Active Directory pomáha uľahčiť správu, ale podľa spoločnosti Microsoft sa od nej nevyžaduje ochrana informácií.
Virtualizácia zabezpečenia obrany
Credential Guard, dostupný iba pre Windows 10 Enterprise a Education, dokáže izolovať „tajomstvá“ pomocou zabezpečenia založeného na virtualizácii (VBS) a obmedziť prístup k privilegovanému systémovému softvéru. Pomáha blokovať útoky typu „hash“, hoci vedci v oblasti bezpečnosti nedávno našli spôsoby, ako obísť ochranu. Aj napriek tomu je mať Credential Guard stále lepšiu ako nemať ju vôbec. Beží iba na systémoch x64 a vyžaduje UEFI 2.3.1 alebo novší. Musia byť povolené virtualizačné rozšírenia ako Intel VT-x, AMD-V a SLAT a tiež IOMMU ako Intel VT-d, AMD-Vi a BIOS Lockdown. Odporúča sa TPM 2.0, aby sa pre Credential Guard povolilo overenie stavu zariadenia, ale ak TPM nie je k dispozícii, môžu sa namiesto toho použiť softvérové ochrany.
Ďalšou funkciou Windows 10 Enterprise and Education je Virtual Secure Mode, čo je kontajner Hyper-V, ktorý chráni poverenia domény uložené v systéme Windows.
