Обзор новых функций безопасности Windows 10

Перевод Comss.ru. По материалам Windows Secrets, фото @freshlygroundsounds

Выходим за рамки пароля

Представим три новые функции, которые предназначены для упрощения и усиления безопасности процесса авторизации в учетную запись компьютера. Некоторые функции требуют наличия дополнительных аппаратных компонентов или поддержки новых технологий, как например встроенные чипы-криптопроцессоры Trusted Platform Module (TPM).

Windows Hello: А Вы видели рекламу Windows 10 с миленькими малышами по всему миру? В ролике говорится, что эти маленькие детки будут расти в мире без паролей - в мире, где для авторизации на устройствах потребуется только улыбка.

Конец жизненного цикла паролей и обещание биометрической аутентификации уже предвещаются на протяжении нескольких лет. Мы еще не достигли этого, но Windows Hello, определенно, является шагом в правильном направлении.

Windows Hello является компонентом биометрической аутентификации в Windows 10. C помощью соответствующего оборудования, Вы можете использовать распознавание лица, отпечатки пальцев или сканирование радужной оболочки глаза в качестве данных для аутентификации. Как и следовало ожидать, Windows Hello невозможно обмануть с помощью простого изображения лица. На самом деле, тесты TECH2 показали, что распознавание лица является настолько точным, что может отличить лица однояйцевых близнецов.

Основным ограничением для Windows Hello является необходимость наличия дополнительных аппаратных компонентов. Microsoft при описании Hello использует следующую сноску: “Windows Hello требует специализированное оборудование, включая сканер отпечатков пальцев, сканер радужной оболочки глаза или другие биометрические датчики”. К сожалению, Вы не можете использовать простую USB камеру для распознавания лица - система требует наличия специализированных камер, таких как Intel RealSense 3D. Согласно сайту Intel RealSense, отдельные ноутбуки от ASUS, Dell, Lenovo и других производителей уже имеют такую камеру.

Сканеры радужной оболочки встречаются реже на компьютерах, но сканеры опечатков пальцев встроены на многих ноутбуках, и их несложно добавить в стационарный компьютер.

Если у вас есть устройство, поддерживающее Windows Hello, Вы можете активировать технологию по пути Меню Пуск -> Параметры -> Учетные записи -> Параметры входа (Настройки Hello не будут отображаться, если в системе не будет обнаружено совместимое устройство распознавания). Согласно официальной справке Hello, биометрические данные, используемые для входа, хранятся только на локальном устройстве.

Passport: данная функция представляет новый уровень процесса избавления от паролей. Вы начинаете с регистрации устройства c Passport при помощи PIN или Windows Hello. Затем система будет аутентифицироваться с помощью учетной записи Microsoft, аккаунта Active Directory или Azure Active Directory или стороннего сервиса, который поддерживают аутентификацию FIDO (Fast IDentity Online).

После того, как Вы были проверены с помощью Passport, Вы можете подключаться к защищаемым аккаунтам и службам без необходимости ввода индивидуальных паролей.

Microsoft Passport обеспечивает усиленную защиту за счет использования двухфакторной аутентификации с двумя ключами вместо паролей (Регистрация устройства является первым фактором, PIN или Windows Hello - вторым фактором). Все это помогает защищать учетные данные от фишинга, брутфорс-атак и регистрации нажатия клавиш. Кроме того, данные меры позволяют избежать атак повторного воспроизведения, если ключ был перехвачен или скомпрометирован.

На настоящий момент, Passport разработан преимущественно для корпоративных IT-сред и новейших систем, которые поддерживают криптопроцессоры TPM.

Device Guard: несмотря на усилия по улучшению защиты, реальность такова, что многие современные вредоносные программы и эксплойты могут обходить защитные меры. Частично это связано с тем, что безопасность большинства сетей и устройств является обратной мерой.

Перед тем как антивирусные вендоры смогут создать сигнатуры, необходимые для распознавания и блокировки угрозы, каждая угрозы должна быть обнаружена и детально проанализирована. Системы являются наиболее уязвимыми в промежуток времени между выходом нового эксплойта в сеть и созданием сигнатуры, необходимой для блокировки зловреда. Проблема усугубляется интеллектуальными эксплойтами, которые используют умные фишинг-атаки и методы скрытия вредоносного кода.

Device Guard предназначен для того, что в корне изменить существующую модель безопасности за счет запуска заведомо безопасных приложений. Это разновидность метода белых списков, когда разрешается запуск только подписанных приложений из Магазина Windows, доверенных вендоров или корпоративных программных продуктов.

Device Guard работает в изолированной от основной системы Windows виртуализированной среде. Инструмент изолирован от ядра Windows, поэтому оно не может быть скомпрометировано, даже если киберпреступник имеет корневой доступ к системе Windows 10. Device Guard имеет программные и аппаратные компоненты. Совместимое оборудование будет представлено в будущих компьютерах.

Расширенные возможности приложения BitLocker

Если Вы хотите предотвратить попытки кражи персональной информации, вам нужно зашифровать данные. BitLocker был корпоративной функцией в Windows 7 Enterprise, но сейчас инструмент широко распространен в Windows 10. Рассмотрим основные моменты использования шифрования данных, чтобы расширить ваше представление о данной мере защиты.

Аутентификация Windows 10 позволяет предотвратить попытки несанкционированного доступа к компьютеру, но данные, сохраненные на переносных носителях, таких как SD карты или USB устройства флеш-памяти часто теряются или становятся объектом кражи. При краже компьютера преступник может подключить жесткий диск к другому компьютеру и получить доступ к содержимому. Квалифицированные хакеры смогут найти способ для обхода экрана блокировки Windows.

В Windows 10 компонент BitLocker является легким в настройки и применении для системных дисков, накопителей с данными и переносных носителей, как например USB-флешки. Получить доступ к BitLocker можно набрав в поисковой строке меню Пуск название инструмента. Когда Вы дойдете до ввода “L” Windows уже отобразит приложение “Управление BitLocker” в качестве релевантного результата. Запустите приложение.

При открытии окна “Шифрование диска BitLocker” отображается список дисков, доступных для шифрования. Для старта процесса шифрования просто нажмите ссылку “Включить BitLocker” рядом с диском, который Вы хотите защитить.

Рисунок 1. В Windows 10 Bitlocker позволяет зашифровать системный диск, вторичный и переносные накопители

Затем откроется окно создания пароля. Пользователю нужно выбрать способ для резервного копирования ключа восстановления. Примечание: данный шаг очень важен - после шифрования данных Вы не сможете получить к ним доступ без действительных учетных данных. Если Вы забудете пароль BitLocker, ключ восстановления позволит вернуть доступ к данным.

Для переносных носителей, Вы можете сохранить ключ восстановления BitLocker в аккаунт Microsoft, в файл на локальной системе или распечатать ключ на бумаге. При шифровании фиксированных дисков, Вы можете сохранить ключ на USB устройстве флеш-памяти. Неудивительно, что при выборе способа сохранения ключа в файл, вам будет предложено выбрать местоположение файла на том диске, который не будет зашифрован.

Рисунок 2. Вы можете выбрать несколько способов для безопасного хранения ключа шифрования BitLocker – включая вариант хранения на USB-носителе

Рекомендуется использовать несколько методов для оптимальной безопасности. Сохранение в аккаунт Microsoft является достаточно безопасной мерой, но при выборе сохранения в файл или печати ключа убедитесь, что эти данные хранятся в надежном месте и обязательно запомните это место. Вы будет сильно разочарованы, если не сможете найти ключ шифрования, когда он действительно нужен. (Примечание: Вы можете не использовать учетную запись Microsoft для хранения ключей восстановления для переносных устройств).

Затем, Вы должны решить, нужно ли шифровать весь диск или только используемое пространство (опция по умолчанию). Как правило быстрее зашифровать только используемое дисковое пространство, а новые данные будут зашифровываться автоматически.

Рисунок 3. Выберите какую часть диска требуется зашифровать - весь диск или только занятое место на диске

Если у вас есть старый диск, который интенсивно использовался, лучше рассмотреть полное шифрование всего диска. Даже если на данный момент Вы используете небольшую часть диска, данные, которые предварительно были сохранены и “удалены” могут быть по-прежнему извлечены, если они находятся в незашифрованной области накопителя.

При шифровании основного диска системы, Bitlocker предлагает провести опциональную проверку. Во время анализа проверяется корректность чтения ключей шифрования и восстановления перед непосредственным началом процедуры шифрования системы и данных. Строго рекомендуется пройти эту проверку. По окончанию выполнения анализа, BitLocker перезагрузит систему и начнет шифрование.

Рисунок 4. При шифровании основного системного раздела позвольте BitLocker провести процедуру проверки системы.

Во время процесса шифрования, Вы можете продолжать пользоваться компьютером. В конечном итоге Вы увидите небольшое окно с уведомлением, что процесс шифрования окончен. BitLocker позволяет легко изменить пароль доступа, включить автоматическую блокировку или полностью отключить BitLocker.

Имейте в виду, что если Вы сохраните резервную копию данных в незашифрованное облачное хранилище или незашифрованный внешний носитель, то эти данные не будут защищены. BitLocker расшифровывает файлы перед передачей их в облачное хранилище. Для обеспечения максимальной безопасности используйте облачный сервис с шифрованием данных и используйте BitLocker для шифрования внешних носителей.

Шифрование BitLocker имеет небольшой эффект на производительность. Файлы должны быть зашифрованы для записи на диск и дешифрованы при доступе к ним. Как правило, замедление не ощутимо, и это небольшая цена за спокойствие по поводу безопасность своих данных.