Afhverju er Windows 10 öruggasta Windows sögunar

In Fréttir by admin

Microsoft bætti við tveimur nýjum öryggis eiginleikum fyrir Windows10 Enterprise notendur , en þar til nýlega, hefur fyrirtækið verið tiltölulega þögult um þessa nýjungar.

Hingað til hefur megin umræðan verið um Windows Hello, sem styður andlits- og fingrafara auðkenningu. En Device Guard og Credential Guard eru tveir öryggis eiginleikar sem standa uppúr á Windows10 – Þessir eiginleikar vernda kjarnann(Core kernel) frá spilliforritum og vernda gegn þráðlausum árásum sem taka yfir tölvuna þína. Device Guard og Credential Guard eru ætlaðir á fyrirtækja kerfi og eru aðeins í Windows 10 Enterprise og Windows 10 Education

Microsoft hefur klárlega hugsað mikið um árásir sem fyrirtæki eru að berjast við á hverjum degi. Og eru greinilega að þróa öryggið í stýrikerfi sínu.

Device Guard er einskonar dyravörður á forrit og notar Windows10 sýndarkubb til að keyra forrit á tækinu. Credential Guard verndar auðkenni með því að einangra þá í sýndarkubbi í vélbúnaðinum. Hann einangrar mikilvægar windows þjónustur(services) í sýndarkubbinum til að stöðva árásir á kjarnann og aðra viðkvæmar keyrslur. Þessi nýji eiginleiki notar sömu hypervisor tækni sem er nú þegar verið að nota í Hyper-V

Með því að nota vélbúnaðar sýndarkubba til að vernda auðkenni og leyfa forritum að keyra, var klárlega snjallræði hjá Microsoft og gáfu þeir í síðustu viku leiðbeiningar um Device Guard og Credential Guard á TechNet.

Forrit undir eftirliti

Device Guard notar bæði vélbúnað og hugbúnað til að læsa tækinu svo það geti einungis keyrt forrit sem eru treyst. Forrit verða að vera með gildar dulkóðunar undirskriftir frá sérstökum söluaðilum hugbúnaðar-eða frá Microsoft ef forritið kemur frá Windows Store.

Þó það hafa verið umræður um að forritarar spilliforrita hafa verið að nota virtar auðkenningar til plata stýrikerfin, þá er meirihluti spilliforrita með kóða sem er ekki auðkenndur. Device Guard mun stoppa flest allar árásir spilliforrita með því að kanna hvort forritin séu með auðkenndann kóða.

Þetta er frábær leið til að verndast gegn árásum sem enginn hefur séð áður, svokallaðar „Zero-Day“ árásir.

Þó þessi aðferð sé mjög svipuð og það sem Apple er að gera með App Store fyrir iOS og OS X með sínum auðkenndum forritum og snjallforritum.
Þá hefur Microsoft tekið eftir því að fyrirtæki hafa þörf á að keyra forrit og hugbúnað sem er ekki með auðkenndri og rafrænni undirskrift, og munu fyrirtæki geta skráð sinn eiginn hugbúnað án þess að gera breytingar á kóða og forrit sem þeir þekkja og treysta.
Fyrirtæki munu þá setja sína rafræna undirskrift á forritin sem þeir treysta, og ef það verða einhverjar breytingar á þeim kóða, mun windows10 sjá að spilliforrit sé að reyna einhvað óæskilegt.

Þetta mun gefa fyrirtækjum stjórn á því hvað Device Guard telur traustsins verðugt. Device Guard kemur með auðveldum tólum og aðferðum til að setja rafræna undirskrift á forrit og jafnvel Win32 forrit sem hafa upprunalega ekki verið vottuð af söluaðilum.
Microsoft er greinilega að skoða millivegin , svo fyrirtæki geta haft stjórnina hjá sér.

Device Guard er ekki bara einhver dyravörður… Hann geymir undirskriftina í sýndarkubbi sem er svo trygg að þó svo að spilliforritið eða árásamaðurinn sé með administrator aðgang þá getur hann ekki átt við öryggisreglur fyrirtækjana.

Device Guard einangrar og geymir windows þjónustur(services) í sýndarkubbi sem og staðfestir hvort drivers og kjarnakóðar séu vottaðir. Þó svo að spilliforrit komist inná tölvuna , þá er ekki möguleiki að það komist inní þennann sýndarkubb.
Aðeins uppfærðar öryggisreglur vottaðar af traustum vott getur breytt kóðanum.

Og finnst mér þetta spennandi að Microsoft setur þetta fyrir okkur í stýrikerfið. Þetta gæti hrint af stað nýjum , breyttum og bættum tímum þar sem við sem notendur og viðskiptavinir ættum að einsetja okkur að lifa eftir.
Við þurfum öll að stökkva um borð svo þetta geti orðið að sameiginlegum öryggisstaðli.

Einangrar leyndarmál

Credential Guard er kannski ekki eins spennandi og Device Guard, þá er hann jafn mikilvægur fyrir öryggi fyrirtækja.
Hann geymir domain auðkenni inní sýndarkubbinum, í burtu frá kjarnanum og notendaviðmóti stýrikerfisins. Þannig munu þau ekki vera aðgengileg fyrir árásum eða stuldum.

Háþróaðar ítrekaðar árásir treysta á getu þess að geta stolið notenda upplýsingum til að færa sig til á netinu og komast inná tölvur.
Venjulega, þegar notandi skráir sig inná tæki , þá geymir tækið lykilorðið í minninu. Fyrri útgáfur windows geymdu þessar upplýsingar í Local Security Authority, og stýrikerfið gat komist þar inn með þráðlausum leiðum,, spilliforrit og árásarmenn sem eru á netinu þínu gátu komist þarna inn og stolið öllum upplýsingum og notað þær í svokallaðar „pass-the-hash“ árásir.

Með því að einangra þessar upplýsingar í sýndarkubbi, mun Credential Guard stöðva árásir við að reyna stela þeim. Og þar af leiðandi takmarka getu þeirra við að færa sig til á netinu þínu. Samsetning að Device Guard og Credential Guard getur farið langar leiðir við að læsa tækinu og umhverfi fyrirtækja og einstaklinga.

Leiðirnar sem Microsoft tekur eru kannski ekki eins auðveldar í notkun og aðrir söluaðilar, og microsoft er kannski ekki með fallegt stjórnborð, EN ef við skoðum þessa öryggis eiginleika sem microsoft býður uppá og sameinum Credential Guard, Device Guard, Windows Hello og BitLocker, getum við auðveldlega sagt að stýrikerfið er verðugt þess að vera í fyrirtækinu mínu og hreinlega mjög erfitt að ráðast á.

Ekki fyrir alla

Þó að þetta séu spennandi nýjir eiginleikar, þá er það ekki nóg !!
Á meðan Windows10 mun ryðja sér leið í heimi fyrirtækjana, þá munu vélbúnaðar-framleiðendur tefja fyrir þessari nýju traustu öld.
Það verður ekki fyrr en eftir 4-5 ár sem við getum farið út í tölvubúð og verið viss um að tölvan sem þú kaupir styðji alla þessa eiginleika.

Vélbúnaðar kröfurnar eru frekar kræfar. Til að virkja Device Guard og Credential Guard þarf tækið þitt að styðja Secure Boot, 64bita sýndarkubb, UEFI BIOS og vera með TPM kubb á móðurborðinu. Og þetta er eingöngu komið í nýjustu og dýrustu tölvurnar. Ekki neytendatölvur.
Þó eru sumar Lenovo ThinkPad og Dell Latitute módelin komin með þessa eiginleika.
Hypervisor verndareiginleikinn er aðeins í boði ef vélin er með örgjafa sem styður sýndarveruleika svo sem VT-x og AMD-V

Starfsmenn sem ferðast mikið á árinu munu líklega velja sér létta fartölvu- Og flestar Ultrabook fartölvur eru ekki komnar með TPM kubb á móðurborðinu. Og þetta eru tölvur sem þarf mest að huga að , því þær eru viðkvæmastar fyrir stuldum og árásum.

Og vélbúnaðurinn er ekki það eina sem er að hindra þessa nýju traustu öld sem við erum að stíga í. Flest fyrirtæki og félög munu einnig þurfa aðlagast þessum breytingum á umhverfi og nýjum öryggisstaðli. Margir kerfisstjórar nota ekki UEFI eða Secure Boot einfaldlega vegna þess að þeir eru hræddir um að læsast út úr sínu eigin kerfi; það er auðveldara að hreinsa tölvuna og hlaða inn öllum fyrirtækjahugbúnaði þegar þeir setja tækið upp. OG, sömuleiðis eru sumar tölvur sem þurfa að keyra mikilvæg forrit sem hafa furðulegar kröfur um stýrikerfi og vélbúnað, og svo eru jafnvel forrit sem er ekki hægt að uppfæra útaf hræðslu við að vélar hætti að virka.

Sem betur fer, Device Guard og Credential Guard neyðir okkur ekki í ALL-IN-OR-NOTHING ákvarðanir. Kerfisstjórar geta byggt upp nýtt umhverfi með Device Guard og Credential Guard og haft tölvur undir þeirra verndarvæng, á meðan aðrar, gamlar tölvur, sem ekki er hægt að uppfæra verða áfram í gamla umhverfinu.
Þetta gefur kerfisstjórum kost á að viðhalda hreinu og öruggu netkerfi með vottuðum og vernduðum rafrænum auðkenningum , og einbeitt sér að gamla, skítuga og ótrausta umhverfinu 🙂

Ekki láta neitt stoppa þig við að færa þig yfir í hreint og traust umhverfi !!!!

Mjög fá fyrirtæki trúa að núverandi ástand á windows öryggi sé ekki nægilegt. Device Guard og Credential Guard bjóða uppá leið framávið, að vísu með því að uppfæra í windows 10.
Með Windows10 er Microsoft í raun að segja „Ef þú vilt góða örugga tækni, þá þarftu að hoppa um borð“
Tíminn mun leiða í ljós hvort fyrirtæki eru tilbúin að fylgja þessari leið.

Heimildir :
PcWorld
Microsoft
Apple