Z dobrą ochroną na rdzeniu, Windows 10 jest zdecydowanie najbezpieczniejszym systemem Windows. Począwszy od zabezpieczeń opartych na wirtualizacji, a skończywszy na Windows Hello i Enterprise Data Protection, ten system operacyjny koncentruje się na bezpieczeństwie i innych nowoczesnych funkcjach. Większość problemów, o których słyszysz innych właścicieli komputerów wyrażających zaniepokojenie, jest domyślnie objęta systemem Windows 10. Ten system operacyjny ma wiele nowych funkcji mając Twoje bezpieczeństwo na uwadze.
Bezpieczeństwo oparte na wirtualizacji
Nie można mówić o bezpieczeństwie tego systemu operacyjnego bez omawiania dużej, podstawowej architektury zabezpieczeń, która została dodana jako bezpieczeństwo oparte na wirtualizacji, znane również jako VBS. VBS wykorzystuje pewne mechanizmy wymuszone przez oprogramowanie i sprzęt w celu utworzenia izolowanego, zabezpieczonego, wyspecjalizowanego podsystemu z nadzorem hiperwizora do przechowywania, przesyłania i obsługi innych bardzo wrażliwych podsystemów i danych. VBS bardzo utrudnia atakującemu podstawowe komponenty systemu operacyjnego. VBS to nie tylko ulepszona obrona, ale cała zmiana architektoniczna, która w znacznym stopniu zmniejsza powierzchnię ataku i próbuje wyeliminować wektor ataku. Wszystkie złośliwe oprogramowanie i hacking nie znikną w magiczny sposób, ale VBS stworzy bezpieczne środowisko, w którym części systemu operacyjnego będą znacznie mniej narażone na manipulacje, a krytyczne dane znacznie rzadziej będą ponownie wykorzystywane lub kradzione.
Bezpieczne ładowanie
Jeśli martwisz się o rootkity i inne złośliwe oprogramowanie na niskim poziomie; nie W tym systemie operacyjnym Windows 10 oferuje hakerom niemożliwe włamanie dzięki bezpiecznemu uruchamianiu. Windows Vista zainaugurował bezpieczne uruchamianie. Użył BitLocker i układu TPM w celu ochrony procesu uruchamiania. Następnie Windows 7 zadebiutował Unified Extensible Firmware Interface, który zastąpił bardzo podatny na ataki tradycyjny BIOS, a następnie Windows 8 wprowadził zabezpieczenia bezpiecznego rozruchu, dodając nowszą wersję UEFI. Windows i UEFI współpracują ze sobą, aby upewnić się, że sprzęt i najniższe poziomy systemu operacyjnego nie zostały naruszone. Jeśli powinno dojść do ingerencji, otrzymasz ostrzeżenie lub uniemożliwi nieautoryzowaną modyfikację. Debiutując w Windows 8, funkcja o nazwie Windows Trusted Boot oferuje walidację integralności kodu, która zapewnia ochronę dla wszystkich funkcji rozruchu systemu Windows przed wszelkimi manipulacjami i automatycznie naprawia, jeśli sabotaż zostanie znaleziony. Ponadto uwzględniono także możliwość wczesnego uruchomienia oprogramowania antywirusowego, które zapewniło, że oprogramowanie antymalware zaczęło działać przed uruchomieniem szkodliwego oprogramowania. W poprzednich wersjach systemu Microsoft Windows złośliwe oprogramowanie mogło zacząć się przed AV i było w stanie manipulować funkcjami. Jednak nadal musisz upewnić się, że preferowane oprogramowanie antywirusowe wspiera ELAM.
Windows Hello
Windows Hello to próba pozbycia się haseł, które często są kradzione i ponownie wykorzystywane. Hello obsługuje trzy różne metody uwierzytelniania biometrycznego, czyli odcisk palca, twarz i tęczówkę; w porozumieniu z kodem PIN. Wiele zakupionych dziś urządzeń i komputerów obsługuje system Windows Hello, a urządzenia wykrywające identyfikatory biometryczne zostały przetestowane, aby upewnić się, że nie mogą być łatwo zhakowane. Microsoft ciężko pracował z członkami Chaos Computing Club, który doświadczył hakowania urządzeń biometrycznych. Witam jest tylko do logowania. Zapisane informacje nigdy nie opuszczą urządzenia, a nawet jeśli atakujący je pobierze, byłoby to bezużyteczne na jakimkolwiek innym urządzeniu. Po pomyślnym uwierzytelnieniu przy użyciu tego oprogramowania można użyć nowszego mechanizmu uwierzytelniania Paszport.
Paszport
Microsoft Passport to rozwiązanie jednokrotnego logowania, które jest zaawansowane i ma niewiele wspólnego z opcją sprzed roku. Za kulisami to oprogramowanie obsługuje otwarty FIDO Alliance i działa z kryptografią klucza publicznego, chociaż nie potrzebujesz PKI, aby z niego korzystać. Z perspektywy technicznej, w rzeczywistości działa jak karta inteligentna, ale nie wymaga osobnej karty ani czytnika kart. Jeśli komputer ma układ TPM, klucz prywatny asymetrycznej pary kluczy jest również bezpiecznie tam przechowywany, a nie wewnątrz oprogramowania. Używasz kodu PIN lub Hello, aby uwierzytelnić się lokalnie, a następnie użyjesz Passport, aby bezpiecznie uwierzytelnić się w innej lokalizacji sieciowej. Passport współpracuje również z przedsiębiorstwem Active Directory, kontem Microsoft, Azure Active Directory lub dowolnym innym dostawcą tożsamości FIDO
Strażnik poświadczeń
Jeśli martwisz się o podanie ataków hash, musisz zaimplementować Strażnik poświadczeń. Będzie chronić brokera uwierzytelniania i uzyskane poświadczenia użytkownika w VBS. Odbywa się to poprzez izolowanie usługi uwierzytelniania, a także ochronę danych uwierzytelniających NTLM. Z drugiej strony nie chroni to lokalnych poświadczeń, które znajdują się w rejestrze lub na dysku lokalnym. Obecnie nie działa z logowaniem do protokołu Remote Desktop Protocol. Jeśli jednak upewnisz się, że lokalne hasła administracyjne są unikalne między komputerami, to typowy atakujący hasło zostanie spowolniony lub zatrzymany
Ochrona urządzenia
Device Guard to bardzo bezpieczne narzędzie, które określi, które z nich aplikacje i skrypty powinny być w stanie działać na określonym komputerze. System Windows był bliski funkcji od czasu systemu operacyjnego Windows XP, który od tego czasu poprawił się dzięki funkcji AppLocker. Jednak Device Guard używa mocy sprzętowej w celu ochrony integralności tego, co jest i nie może uruchomić na komputerze. Firmy, a nawet dostawcy, mogą dodawać zatwierdzone oprogramowanie do listy aplikacji, które mogą działać. Przy prawidłowym użyciu może nawet zapobiec występowaniu większości złośliwości. Firma Microsoft zaleca także korzystanie z funkcji Device Guard, a także AppLocker.
Ochrona danych przedsiębiorstwa
BitLocker chroni dane, gdy urządzenie zostanie skradzione lub zgubione, jednak w jaki sposób chronisz je przed użytkownikami, którzy mogą przypadkowo wypuszczć dane? W tym miejscu pojawia się funkcja systemu Windows 10. Nazywa się to Enterprise Data Protection. Zapewnia trwałe szyfrowanie na poziomie plików i podstawowe zarządzanie prawami do zarządzania plikami. Ochrona danych w przedsiębiorstwie nie wpływa w żaden sposób na korzystanie z komputer. Możesz nadal korzystać z aplikacji, które lubisz, a nawet wybierać dostęp do chronionych treści. Użytkownicy, którzy nie są zobowiązani do pracy ze specjalnymi folderami, przechodzą do bezpiecznych partycji lub stref lub zmieniają tryby. System Windows działa jak broker, który udostępnia użytkownikowi i aplikacji dostęp do chronionej polityki, którą zdefiniowałeś. Enterprise Data Protection to niesamowity program, który identyfikuje, chroni i oddziela dane. W wielu przypadkach jest to możliwe bez potrzeby zawijania aplikacji lub reengineeringu. Protokół EDP może być używany w połączeniu z usługami Rights Management i Azure Active Directory w celu zapewnienia bezpiecznego udostępniania B do B.
Różne funkcje
Jest tak wiele drobnych zmian, które sprawiają, że komputer z systemem Windows 10 jest bardziej lub łatwiejszy do zabezpieczenia. Na przykład, DMA Attack Mitigation, zabezpieczenia EMET i możliwość uniemożliwienia lokalnym kontom logowania się przez sieć. Nie należy również zapominać, że opcje zabezpieczeń dostępne w innych wersjach systemu Windows obejmują kontrolę konta, zbieranie Kerberos, atestację klucza TPM, SmartScreen, zaawansowaną kontrolę i wiele innych.