Ίσως έχετε ακούσει ότι η Microsoft έχει κάνει τα Windows 10 πιο ασφαλή από οποιονδήποτε από τους προκατόχους της, συσκευάζοντάς τα με καλούδια ασφαλείας. Αυτό που ίσως να μην γνωρίζετε είναι ότι ορισμένες από αυτές τις θωρακισμένες δυνατότητες ασφαλείας δεν είναι διαθέσιμες εκτός συσκευασίας ή απαιτούν πρόσθετο υλικό - ίσως να μην έχετε το επίπεδο ασφάλειας για το οποίο διαπραγματευτήκατε.
Λειτουργίες όπως το Credential Guard είναι διαθέσιμες μόνο για ορισμένες εκδόσεις των Windows 10, ενώ τα προηγμένα βιομετρικά στοιχεία που υποσχέθηκαν από τα Windows Hello απαιτούν μεγάλη επένδυση σε υλικό τρίτων. Τα Windows 10 μπορεί να είναι το πιο ασφαλές λειτουργικό σύστημα των Windows μέχρι σήμερα, αλλά ο οργανισμός που διαθέτει ασφάλεια - και μεμονωμένος χρήστης - πρέπει να έχει υπόψη τις ακόλουθες απαιτήσεις υλικού και έκδοσης Windows 10 για να ξεκλειδώσει τις απαραίτητες δυνατότητες για να επιτύχει τη βέλτιστη ασφάλεια .
Σημείωση: Επί του παρόντος, υπάρχουν τέσσερις εκδόσεις για επιτραπέζιους υπολογιστές των Windows 10 - Home, Pro, Enterprise και Education - μαζί με πολλές εκδόσεις κάθε μιας, προσφέροντας διαφορετικά επίπεδα λογισμικού beta και προεπισκόπησης. Ο Woody Leonard αναλύει ποια έκδοση των Windows 10 θα χρησιμοποιήσει. Ο ακόλουθος οδηγός ασφαλείας των Windows 10 εστιάζει σε τυπικές εγκαταστάσεις των Windows 10 - όχι στις Προεπισκοπήσεις Insider ή στον Κατάστημα μακροπρόθεσμης εξυπηρέτησης - και περιλαμβάνει Ενημερωμένη Ενημέρωση όπου απαιτείται.
Το σωστό υλικό
Τα Windows 10 προσφέρουν ένα ευρύ δίχτυ, με ελάχιστες απαιτήσεις υλικού που δεν χρειάζονται. Εφόσον έχετε τα ακόλουθα, μπορείτε να κάνετε αναβάθμιση από Win7 / 8.1 σε Win10: 1GHz ή ταχύτερος επεξεργαστής, 2 GB μνήμης (για Ενημέρωση Επέτειος), 16 GB (για λειτουργικό σύστημα 32-bit) ή 20 GB (Λειτουργικό 64-bit ) χώρο στο δίσκο, μια κάρτα γραφικών DirectX 9 ή μεταγενέστερη έκδοση με πρόγραμμα οδήγησης WDDM 1.0 και οθόνη 800 έως 600 ανάλυσης (οθόνες 7 ιντσών ή μεγαλύτερες). Αυτό περιγράφει σχεδόν οποιονδήποτε υπολογιστή από την τελευταία δεκαετία.
Αλλά μην περιμένετε το μηχάνημά σας βάσης να είναι πλήρως ασφαλές, καθώς οι παραπάνω ελάχιστες απαιτήσεις δεν θα υποστηρίξουν πολλές από τις δυνατότητες που βασίζονται σε κρυπτογραφία στα Windows 10. Οι λειτουργίες κρυπτογράφησης του Win10 απαιτούν το Trusted Platform Module 2.0, το οποίο παρέχει μια ασφαλή περιοχή αποθήκευσης για κρυπτογράφηση πλήκτρα και χρησιμοποιείται για την κρυπτογράφηση κωδικών πρόσβασης, τον έλεγχο ταυτότητας έξυπνων καρτών, την ασφαλή αναπαραγωγή πολυμέσων για την αποτροπή πειρατείας, την προστασία VM και την ασφαλή ενημέρωση υλικού και λογισμικού από παραβιάσεις, μεταξύ άλλων λειτουργιών.
Οι σύγχρονοι επεξεργαστές AMD και Intel (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) υποστηρίζουν ήδη το TPM 2.0, οπότε τα περισσότερα μηχανήματα που αγοράστηκαν τα τελευταία χρόνια έχουν το απαραίτητο τσιπ. Η υπηρεσία απομακρυσμένης διαχείρισης vPro της Intel, για παράδειγμα, χρησιμοποιεί το TPM για την εξουσιοδότηση επισκευών απομακρυσμένου υπολογιστή. Ωστόσο, αξίζει να επαληθεύσετε εάν το TPM 2.0 υπάρχει σε οποιοδήποτε σύστημα αναβαθμίζετε, ειδικά δεδομένου ότι η Επέτειος Ενημέρωσης απαιτεί υποστήριξη TPM 2.0 στο υλικολογισμικό ή ως ξεχωριστό φυσικό τσιπ. Ένας νέος υπολογιστής ή συστήματα που εγκαθιστούν τα Windows 10 από το μηδέν, πρέπει να έχουν TPM 2.0 από το get-go, πράγμα που σημαίνει ότι το πιστοποιητικό κλειδιού έγκρισης (EK) έχει προεγκατασταθεί από τον προμηθευτή υλικού καθώς αποστέλλεται. Εναλλακτικά, η συσκευή μπορεί να ρυθμιστεί ώστε να ανακτά το πιστοποιητικό και να το αποθηκεύει στο TPM την πρώτη φορά που θα ξεκινήσει.
Τα παλαιότερα συστήματα που δεν υποστηρίζουν το TPM 2.0 - είτε επειδή δεν έχουν εγκαταστήσει το τσιπ είτε είναι αρκετά παλιά ώστε να έχουν μόνο το TPM 1.2 - θα πρέπει να εγκαταστήσουν ένα τσιπ με δυνατότητα TPM 2.0. Διαφορετικά, δεν θα είναι σε θέση να κάνουν αναβάθμιση σε Επέτειο Ενημέρωσης καθόλου.
Ενώ ορισμένες από τις λειτουργίες ασφαλείας λειτουργούν με το TPM 1.2, είναι καλύτερο να λάβετε το TPM 2.0 όποτε είναι δυνατόν. Το TPM 1.2 επιτρέπει μόνο τον αλγόριθμο κατακερματισμού RSA και SHA-1 και λαμβάνοντας υπόψη ότι η μετεγκατάσταση SHA-1 σε SHA-2 βρίσκεται σε εξέλιξη, το να κολλήσετε με το TPM 1.2 είναι προβληματικό. Το TPM 2.0 είναι πολύ πιο ευέλικτο, καθώς υποστηρίζει κρυπτογραφία SHA-256 και ελλειπτική καμπύλη.
Το Unified Extensible Firmware Interface (UEFI) BIOS είναι το επόμενο κομμάτι υλικού που πρέπει να έχετε για την επίτευξη της πιο ασφαλούς εμπειρίας των Windows 10. Η συσκευή πρέπει να αποσταλεί με UEFI BIOS ενεργοποιημένο για να επιτρέπει την ασφαλή εκκίνηση, η οποία διασφαλίζει ότι μόνο το λογισμικό του λειτουργικού συστήματος, οι πυρήνες και οι μονάδες πυρήνα που έχουν υπογραφεί με ένα γνωστό κλειδί μπορούν να εκτελεστούν κατά τη διάρκεια της εκκίνησης. Το Secure Boot αποκλείει rootkit και BIOS-malware από την εκτέλεση κακόβουλου κώδικα. Η ασφαλής εκκίνηση απαιτεί υλικολογισμικό που υποστηρίζει UEFI v2.3.1 Errata B και διαθέτει την Αρχή πιστοποίησης Microsoft Windows στη βάση δεδομένων υπογραφής UEFI. Ενώ ένα πλεονέκτημα από πλευράς ασφάλειας, η Microsoft που ορίζει την υποχρεωτική ασφαλή εκκίνηση για τα Windows 10 αντιμετώπισε διαμάχες, καθώς δυσκολεύει την εκτέλεση διανομών Linux χωρίς υπογραφή (όπως το Linux Mint) σε υλικό με δυνατότητα Windows 10.
Η Επέτειος Ενημέρωση δεν θα εγκατασταθεί εκτός εάν η συσκευή σας είναι συμβατή με UEFI 2.31 ή μεταγενέστερη.
| Δυνατότητα Windows 10 | TPM | Μονάδα διαχείρισης μνήμης εισόδου / εξόδου | Επεκτάσεις εικονικοποίησης | ΠΗΧΑΚΙ | UEFI 2.3.1 | Μόνο για αρχιτεκτονική x64 |
|---|---|---|---|---|---|---|
| Φύλακας διαπιστευτηρίων | Συνιστάται | Δεν χρησιμοποιείται | Απαιτείται | Απαιτείται | Απαιτείται | Απαιτείται |
| Συσκευή προστασίας | Δεν χρησιμοποιείται | Απαιτείται | Απαιτείται | Απαιτείται | Απαιτείται | Απαιτείται |
| BitLocker | Συνιστάται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται |
| Διαμορφώσιμη ακεραιότητα κώδικα | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Συνιστάται | Συνιστάται |
| Γεια σας Microsoft | Συνιστάται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται |
| VBS | Δεν απαιτείται | Απαιτείται | Απαιτείται | Απαιτείται | Δεν απαιτείται | Απαιτείται |
| Ασφαλής εκκίνηση UEFI | Συνιστάται | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Απαιτείται | Δεν απαιτείται |
| Βεβαίωση υγείας συσκευής μέσω μετρημένης εκκίνησης | Απαιτείται TPM 2.0 | Δεν απαιτείται | Δεν απαιτείται | Δεν απαιτείται | Απαιτείται | Απαιτείται |
Βελτιωμένος έλεγχος ταυτότητας, ταυτότητα
Η ασφάλεια του κωδικού πρόσβασης υπήρξε σημαντικό ζήτημα τα τελευταία χρόνια και το Windows Hello μας φέρνει πιο κοντά σε έναν κόσμο χωρίς κωδικούς πρόσβασης καθώς ενσωματώνει και επεκτείνει βιομετρικές συνδέσεις και έλεγχο ταυτότητας δύο παραγόντων για να "αναγνωρίζει" χρήστες χωρίς κωδικούς πρόσβασης. Το Windows Hello καταφέρνει επίσης να είναι ταυτόχρονα η πιο προσιτή και απρόσιτη δυνατότητα ασφαλείας των Windows 10. Ναι, είναι διαθέσιμο σε όλες τις εκδόσεις Win10, αλλά απαιτεί σημαντική επένδυση υλικού για να αξιοποιήσει στο έπακρο αυτό που έχει να προσφέρει.
Για την προστασία διαπιστευτηρίων και κλειδιών, το Hello απαιτεί TPM 1.2 ή μεταγενέστερη έκδοση. Αλλά για συσκευές όπου το TPM δεν είναι εγκατεστημένο ή διαμορφωμένο, το Hello μπορεί να χρησιμοποιήσει προστασία βάσει λογισμικού για να εξασφαλίσει διαπιστευτήρια και κλειδιά, έτσι ώστε το Windows Hello να είναι προσβάσιμο σχεδόν σε οποιαδήποτε συσκευή Windows 10.
Αλλά ο καλύτερος τρόπος για να χρησιμοποιήσετε το Hello είναι να αποθηκεύσετε βιομετρικά δεδομένα και άλλες πληροφορίες ελέγχου ταυτότητας στο ενσωματωμένο τσιπ TPM, καθώς η προστασία υλικού καθιστά πιο δύσκολο για τους εισβολείς να τα κλέψουν. Επιπλέον, για να αξιοποιήσετε πλήρως τον βιομετρικό έλεγχο ταυτότητας, απαιτείται πρόσθετο υλικό - όπως μια εξειδικευμένη κάμερα με υπέρυθρες ακτινοβολίες ή μια ειδική ίριδα ή συσκευή ανάγνωσης δακτυλικών αποτυπωμάτων - είναι απαραίτητη. Οι περισσότεροι φορητοί υπολογιστές επιχειρηματικής κλάσης και πολλές σειρές φορητών υπολογιστών καταναλωτών αποστέλλονται με σαρωτές δακτυλικών αποτυπωμάτων, επιτρέποντας στις επιχειρήσεις να ξεκινήσουν με το Hello σε οποιαδήποτε έκδοση των Windows 10. Ωστόσο, η αγορά εξακολουθεί να είναι περιορισμένη όσον αφορά τις τρισδιάστατες κάμερες ανίχνευσης βάθους για αναγνώριση προσώπου και αμφιβληστροειδή σαρωτές για σάρωση ίριδας, οπότε τα πιο προηγμένα βιομετρικά στοιχεία του Windows Hello είναι μια μελλοντική δυνατότητα για τους περισσότερους, παρά μια καθημερινή πραγματικότητα.
Διαθέσιμο για όλες τις εκδόσεις των Windows 10, το Windows Hello Companion Devices είναι ένα πλαίσιο που επιτρέπει στους χρήστες να χρησιμοποιούν μια εξωτερική συσκευή - όπως τηλέφωνο, κάρτα πρόσβασης ή φορετή - ως έναν ή περισσότερους παράγοντες ελέγχου ταυτότητας για το Hello. Οι χρήστες που ενδιαφέρονται να συνεργαστούν με τη συσκευή Windows Hello Companion για περιήγηση με τα διαπιστευτήριά τους των Windows Hello μεταξύ πολλών συστημάτων Windows 10 πρέπει να έχουν εγκατεστημένο το Pro ή το Enterprise σε κάθε ένα.
Τα Windows 10 είχαν προηγουμένως το Microsoft Passport, το οποίο επέτρεψε στους χρήστες να συνδεθούν σε αξιόπιστες εφαρμογές μέσω διαπιστευτηρίων Hello. Με την Επέτεια Ενημέρωση, το Passport δεν υπάρχει πλέον ως ξεχωριστό χαρακτηριστικό αλλά ενσωματώνεται στο Hello. Εφαρμογές τρίτων που χρησιμοποιούν την προδιαγραφή Fast Identity Online (FIDO) θα μπορούν να υποστηρίξουν τη μοναδική είσοδο μέσω του Hello. Για παράδειγμα, η εφαρμογή Dropbox μπορεί να γίνει έλεγχος ταυτότητας απευθείας μέσω του Hello και το πρόγραμμα περιήγησης Edge της Microsoft επιτρέπει την ενσωμάτωση στο Hello για επέκταση στον ιστό. Είναι επίσης δυνατό να ενεργοποιήσετε τη λειτουργία σε μια πλατφόρμα διαχείρισης κινητής συσκευής τρίτου μέρους. Το μέλλον χωρίς κωδικό πρόσβασης έρχεται, αλλά δεν έχει ακόμη ολοκληρωθεί.
Αποφυγή κακόβουλου λογισμικού
Τα Windows 10 εισάγουν επίσης το Device Guard, τεχνολογία που αναποδογυρίζει το παραδοσιακό λογισμικό προστασίας από ιούς. Το Device Guard κλειδώνει τις συσκευές Windows 10, βασισμένος σε λίστες που επιτρέπουν την εγκατάσταση μόνο αξιόπιστων εφαρμογών. Δεν επιτρέπεται η εκτέλεση προγραμμάτων εκτός εάν προσδιορίζονται ασφαλή ελέγχοντας την κρυπτογραφική υπογραφή του αρχείου, η οποία διασφαλίζει ότι δεν είναι δυνατή η εκτέλεση όλων των υπογραφών εφαρμογών και κακόβουλου λογισμικού. Το Device Guard βασίζεται στην τεχνολογία εικονικοποίησης Hyper-V της Microsoft για να αποθηκεύσει τις λίστες της σε μια θωρακισμένη εικονική μηχανή στην οποία δεν μπορούν να έχουν πρόσβαση ή να αλλοιωθούν οι διαχειριστές συστήματος. Για να επωφεληθούν από το Device Guard, τα μηχανήματα πρέπει να εκτελούν Windows 10 Enterprise ή Education και να υποστηρίζουν TPM, virtualization CPU υλικού και virtualization I / O. Το Device Guard βασίζεται στη σκλήρυνση των Windows, όπως το Secure Boot
Το AppLocker, διαθέσιμο μόνο για επιχειρήσεις και εκπαίδευση, μπορεί να χρησιμοποιηθεί με το Device Guard για τη ρύθμιση πολιτικών ακεραιότητας κώδικα. Για παράδειγμα, οι διαχειριστές μπορούν να αποφασίσουν να περιορίσουν ποιες καθολικές εφαρμογές από το Windows Store μπορούν να εγκατασταθούν σε μια συσκευή.
Η διαμορφωμένη ακεραιότητα κώδικα είναι ένα άλλο στοιχείο των Windows που επιβεβαιώνει ότι ο κώδικας που εκτελείται είναι αξιόπιστος και λογικός. Η ακεραιότητα κώδικα λειτουργίας πυρήνα (KMCI) εμποδίζει τον πυρήνα να εκτελεί προγράμματα οδήγησης χωρίς υπογραφή. Οι διαχειριστές μπορούν να διαχειριστούν τις πολιτικές σε επίπεδο αρχής έκδοσης πιστοποιητικών ή εκδότη καθώς και τις μεμονωμένες τιμές κατακερματισμού για κάθε δυαδικό εκτελέσιμο. Δεδομένου ότι μεγάλο μέρος του κακόβουλου λογισμικού εμπορευμάτων τείνει να είναι χωρίς υπογραφή, η εφαρμογή πολιτικών ακεραιότητας κώδικα επιτρέπει στους οργανισμούς να προστατεύουν αμέσως από κακόβουλο λογισμικό που δεν έχει υπογραφεί.
Το Windows Defender, που κυκλοφόρησε για πρώτη φορά ως αυτόνομο λογισμικό για τα Windows XP, έγινε η προεπιλεγμένη σουίτα προστασίας κακόβουλου λογισμικού της Microsoft, με antispyware και antivirus, στα Windows 8. Το Defender απενεργοποιείται αυτόματα όταν είναι εγκατεστημένη μια σουίτα antimalware τρίτου μέρους. Εάν δεν υπάρχει εγκατεστημένο ανταγωνιστικό προϊόν προστασίας από ιούς ή ασφαλείας, βεβαιωθείτε ότι το Windows Defender, διαθέσιμο σε όλες τις εκδόσεις και χωρίς συγκεκριμένες απαιτήσεις υλικού, είναι ενεργοποιημένο. Για τους χρήστες των Windows 10 Enterprise, υπάρχει το Windows Defender Advanced Threat Protection, το οποίο προσφέρει ανάλυση απειλών συμπεριφοράς σε πραγματικό χρόνο για τον εντοπισμό διαδικτυακών επιθέσεων.
Ασφάλεια δεδομένων
Το BitLocker, το οποίο ασφαλίζει αρχεία σε ένα κρυπτογραφημένο κοντέινερ, υπάρχει από τα Windows Vista και είναι καλύτερο από ποτέ στα Windows 10. Με την Επέτειος Ενημέρωσης, το εργαλείο κρυπτογράφησης είναι διαθέσιμο για εκδόσεις Pro, Enterprise και Education. Όπως και το Windows Hello, το BitLocker λειτουργεί καλύτερα εάν το TPM χρησιμοποιείται για την προστασία των κλειδιών κρυπτογράφησης, αλλά μπορεί επίσης να χρησιμοποιήσει την προστασία κλειδιών βάσει λογισμικού εάν το TPM δεν υπάρχει ή δεν έχει ρυθμιστεί. Η προστασία του BitLocker με έναν κωδικό πρόσβασης παρέχει την πιο βασική άμυνα, αλλά μια καλύτερη μέθοδος είναι να χρησιμοποιήσετε μια έξυπνη κάρτα ή το σύστημα αρχείων κρυπτογράφησης για να δημιουργήσετε ένα πιστοποιητικό κρυπτογράφησης αρχείων για την προστασία των σχετικών αρχείων και φακέλων.
Όταν το BitLocker είναι ενεργοποιημένο στη μονάδα δίσκου συστήματος και είναι ενεργοποιημένη η προστασία brute-force, τα Windows 10 μπορούν να επανεκκινήσουν τον υπολογιστή και να κλειδώσουν την πρόσβαση στον σκληρό δίσκο μετά από καθορισμένο αριθμό εσφαλμένων προσπαθειών κωδικού πρόσβασης. Οι χρήστες θα πρέπει να πληκτρολογήσουν το κλειδί αποκατάστασης BitLocker 48 χαρακτήρων για να ξεκινήσουν τη συσκευή και να αποκτήσουν πρόσβαση στο δίσκο. Για να ενεργοποιηθεί αυτή η δυνατότητα, το σύστημα θα πρέπει να διαθέτει έκδοση υλικολογισμικού UEFI 2.3.1 ή μεταγενέστερη.
Η προστασία πληροφοριών των Windows, πρώην Enterprise Data Protection (EDP), είναι διαθέσιμη μόνο για εκδόσεις Windows 10 Pro, Enterprise ή Education. Παρέχει μόνιμη κρυπτογράφηση σε επίπεδο αρχείου και διαχείριση βασικών δικαιωμάτων, ενώ ταυτόχρονα ενσωματώνεται με τις υπηρεσίες Azure Active Directory και Διαχείριση δικαιωμάτων. Η προστασία πληροφοριών απαιτεί κάποιο είδος διαχείρισης κινητής συσκευής - Microsoft Intune ή πλατφόρμα τρίτου μέρους, όπως το AirWatch του VMware - ή το System Center Configuration Manager (SCCM) για τη διαχείριση των ρυθμίσεων. Ένας διαχειριστής μπορεί να ορίσει μια λίστα εφαρμογών Windows Store ή επιφάνειας εργασίας που μπορούν να έχουν πρόσβαση στα δεδομένα εργασίας ή να τις αποκλείσουν εντελώς. Η προστασία πληροφοριών των Windows βοηθά στον έλεγχο των ατόμων που έχουν πρόσβαση σε δεδομένα για την αποφυγή τυχαίας διαρροής πληροφοριών. Η υπηρεσία καταλόγου Active Directory διευκολύνει τη διαχείριση, αλλά δεν απαιτείται η χρήση της προστασίας πληροφοριών, σύμφωνα με τη Microsoft.
Εικονικοποίηση άμυνας ασφαλείας
Το Credential Guard, διαθέσιμο μόνο για Windows 10 Enterprise and Education, μπορεί να απομονώσει τα "μυστικά" χρησιμοποιώντας την ασφάλεια που βασίζεται σε εικονικοποίηση (VBS) και να περιορίσει την πρόσβαση σε προνομιακό λογισμικό συστήματος. Βοηθά στον αποκλεισμό των επιθέσεων pass-the-hash, παρόλο που οι ερευνητές ασφαλείας βρήκαν πρόσφατα τρόπους για να παρακάμψουν τις προστασίες. Ακόμα κι έτσι, το να έχεις Credential Guard είναι ακόμα καλύτερο από το να μην έχεις καθόλου. Τρέχει μόνο σε συστήματα x64 και απαιτεί UEFI 2.3.1 ή μεταγενέστερη έκδοση. Πρέπει να είναι ενεργοποιημένες οι επεκτάσεις εικονικοποίησης, όπως Intel VT-x, AMD-V και SLAT, καθώς και IOMMU όπως Intel VT-d, AMD-Vi και BIOS Lockdown. Συνιστάται το TPM 2.0 προκειμένου να ενεργοποιηθεί η Υγεία της Συσκευής για το Credential Guard, αλλά εάν το TPM δεν είναι διαθέσιμο, μπορούν να χρησιμοποιηθούν προστατευτικά που βασίζονται σε λογισμικό.
Μια άλλη δυνατότητα Windows 10 Enterprise and Education είναι η Virtual Secure Mode, η οποία είναι ένα κοντέινερ Hyper-V που προστατεύει τα διαπιστευτήρια τομέα που είναι αποθηκευμένα στα Windows.
