Programování

Izolování! Zpevněte Windows 10 pro maximální zabezpečení

Možná jste slyšeli, že společnost Microsoft učinila systém Windows 10 bezpečnějším než kterýkoli z jeho předchůdců a zabalila jej do bezpečnostních dobrot. Možná nevíte, že některé z těchto vychvalovaných bezpečnostních funkcí nejsou k dispozici ihned po vybalení z krabice nebo vyžadují další hardware - možná nedosahujete úrovně zabezpečení, pro kterou jste vyjednávali.

Funkce, jako je Credential Guard, jsou k dispozici pouze pro některá vydání systému Windows 10, zatímco pokročilé biometrické prvky, které slibuje Windows Hello, vyžadují důkladnou investici do hardwaru třetích stran. Windows 10 může být doposud nejbezpečnějším operačním systémem Windows, ale organizace důvtipná na zabezpečení - a individuální uživatel - musí mít na paměti následující požadavky na hardware a vydání Windows 10, aby odemkla nezbytné funkce k dosažení optimálního zabezpečení .

Poznámka: V současné době existují čtyři edice desktopu Windows 10 - Home, Pro, Enterprise a Education - spolu s několika verzemi každé z nich, které nabízejí různé úrovně beta a náhledového softwaru. Woody Leonard rozebírá, jakou verzi Windows 10 použít. Následující průvodce zabezpečením systému Windows 10 se zaměřuje na standardní instalace systému Windows 10 - nikoli na Insider Previews nebo pobočku Long Term Servicing - a v případě potřeby obsahuje aktualizaci Anniversary Update.

Správný hardware

Windows 10 vrhá širokou síť s minimálními hardwarovými požadavky, které jsou nenáročné. Pokud máte následující, je dobré upgradovat z Win7 / 8.1 na Win10: procesor 1 GHz nebo rychlejší, 2 GB paměti (pro Anniversary Update), 16 GB (pro 32bitový OS) nebo 20 GB (64bitový OS ) místo na disku, grafická karta DirectX 9 nebo novější s ovladačem WDDM 1.0 a displej s rozlišením 800 x 600 (7 palců nebo větší obrazovky). To popisuje téměř jakýkoli počítač z minulého desetiletí.

Neočekávejte však, že váš základní počítač bude plně zabezpečený, protože výše uvedené minimální požadavky nebudou podporovat mnoho funkcí založených na kryptografii v systému Windows 10. Funkce kryptografie Win10 vyžadují modul Trusted Platform Module 2.0, který poskytuje bezpečnou oblast pro kryptografii klíče a používá se k šifrování hesel, autentizaci čipových karet, zabezpečenému přehrávání médií, aby se zabránilo pirátství, ochraně virtuálních počítačů a zabezpečením aktualizací hardwaru a softwaru před neoprávněnou manipulací.

Moderní procesory AMD a Intel (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) již podporují TPM 2.0, takže většina strojů zakoupených v posledních letech má potřebný čip. Služba vzdálené správy Intel vPro například používá TPM k autorizaci oprav vzdálených počítačů. Ale stojí za to ověřit, zda TPM 2.0 existuje na každém systému, který upgradujete, zejména vzhledem k tomu, že Anniversary Update vyžaduje podporu TPM 2.0 ve firmwaru nebo jako samostatný fyzický čip. Nový počítač nebo systémy, které instalují Windows 10 úplně od začátku, musí mít TPM 2.0 hned od začátku, což znamená, že dodavatel hardwaru má při dodání předem osvědčení o schválení klíče (EK). Alternativně lze zařízení nakonfigurovat tak, aby načetlo certifikát a uložilo jej do TPM při prvním spuštění.

Starší systémy, které nepodporují TPM 2.0 - ať už proto, že nemají nainstalovaný čip, nebo jsou dostatečně staré, že mají pouze TPM 1.2 - budou muset mít nainstalován čip s podporou TPM 2.0. Jinak nebudou moci upgradovat na Anniversary Update vůbec.

I když některé bezpečnostní funkce s TPM 1.2 fungují, je lepší pořídit si TPM 2.0, kdykoli je to možné. TPM 1.2 umožňuje pouze hashovací algoritmus RSA a SHA-1 a vzhledem k tomu, že migrace SHA-1 na SHA-2 je v plném proudu, je dodržování TPM 1.2 problematické. TPM 2.0 je mnohem flexibilnější, protože podporuje kryptografii SHA-256 a eliptickou křivku.

Unified Extensible Firmware Interface (UEFI) BIOS je další nezbytný hardware pro dosažení nejbezpečnějšího prostředí Windows 10. Zařízení musí být dodáváno s povoleným systémem UEFI BIOS, aby bylo možné zabezpečené spouštění, což zajišťuje, že během spouštění lze spustit pouze software operačního systému, jádra a moduly jádra podepsané známým klíčem. Secure Boot blokuje rootkity a malware v BIOSu před spuštěním škodlivého kódu. Secure Boot vyžaduje firmware, který podporuje UEFI v2.3.1 Errata B a v databázi podpisů UEFI má certifikační autoritu Microsoft Windows. I když je požehnáním z hlediska zabezpečení, společnost Microsoft, která označuje zabezpečení Secure Boot pro Windows 10, narazila na kontroverze, protože ztěžuje spuštění nepodepsaných distribucí Linuxu (například Linux Mint) na hardwaru podporujícím Windows 10.

Aktualizace Anniversary Update se nenainstaluje, pokud vaše zařízení není kompatibilní se standardem UEFI 2.31 nebo novějším.

Krátký seznam funkcí a hardwarových požadavků systému Windows 10
Funkce Windows 10TPMJednotka pro správu vstupní / výstupní pamětiVirtualizační rozšířeníSLATUEFI 2.3.1Pouze pro architekturu x64
Credential GuardDoporučenoNepoužíváPožadovanéPožadovanéPožadovanéPožadované
Guard zařízeníNepoužíváPožadovanéPožadovanéPožadovanéPožadovanéPožadované
BitLockerDoporučenoNení požadovánoNení požadovánoNení požadovánoNení požadovánoNení požadováno
Integrita konfigurovatelného kóduNení požadovánoNení požadovánoNení požadovánoNení požadovánoDoporučenoDoporučeno
Microsoft Dobrý denDoporučenoNení požadovánoNení požadovánoNení požadovánoNení požadovánoNení požadováno
VBSNení požadovánoPožadovanéPožadovanéPožadovanéNení požadovánoPožadované
UEFI Secure BootDoporučenoNení požadovánoNení požadovánoNení požadovánoPožadovanéNení požadováno
Osvědčení o stavu zařízení prostřednictvím měřeného spuštěníVyžaduje TPM 2.0Není požadovánoNení požadovánoNení požadovánoPožadovanéPožadované

Zvyšování autentizace, identity

Zabezpečení heslem bylo v posledních několika letech významným problémem a Windows Hello nás posune blíže ke světu bez hesel, protože integruje a rozšiřuje biometrické přihlašování a dvoufaktorové ověřování, aby „rozpoznal“ uživatele bez hesel. Windows Hello také dokáže být současně nejpřístupnější a nepřístupnou bezpečnostní funkcí Windows 10. Ano, je k dispozici ve všech edicích Win10, vyžaduje však značné investice do hardwaru, aby bylo možné plně využít toho, co nabízí.

Z důvodu ochrany přihlašovacích údajů a klíčů vyžaduje Hello TPM 1.2 nebo novější. Ale u zařízení, kde není nainstalován nebo nakonfigurován TPM, může Hello místo toho použít softwarovou ochranu k zabezpečení přihlašovacích údajů a klíčů, takže Windows Hello je přístupný téměř každému zařízení s Windows 10.

Nejlepší způsob, jak používat Hello, je však ukládat biometrická data a další ověřovací informace do integrovaného čipu TPM, protože hardwarová ochrana je pro útočníky obtížnější ukrást. Abychom mohli plně využít výhody biometrického ověřování, je nezbytný další hardware - například specializovaná osvětlená infračervená kamera nebo vyhrazená čtečka clony nebo otisku prstu. Většina notebooků podnikové třídy a několik řad spotřebitelských notebooků se dodává se skenery otisků prstů, což podnikům umožňuje začít s Hello v jakékoli verzi Windows 10. Ale trh je stále omezen, pokud jde o 3D kamery s detekcí hloubky pro rozpoznávání obličeje a sítnici skenery pro skenování duhovky, takže pokročilejší biometrie systému Windows Hello je pro většinu spíše budoucí možností než každodenní realitou.

K dispozici pro všechna vydání Windows 10, Windows Hello Companion Devices je rámec umožňující uživatelům používat externí zařízení - například telefon, přístupovou kartu nebo nositelná zařízení - jako jeden nebo více ověřovacích faktorů pro Hello. Uživatelé, kteří mají zájem o práci s Windows Hello Companion Device, aby se mohli potulovat se svými přihlašovacími údaji Windows Hello mezi více systémy Windows 10, musí mít v každém nainstalovaný Pro nebo Enterprise.

Windows 10 dříve měl Microsoft Passport, který uživatelům umožňoval přihlásit se k důvěryhodným aplikacím pomocí pověření Hello. S Anniversary Update již Passport neexistuje jako samostatná funkce, ale je začleněn do Hello. Aplikace třetích stran, které používají specifikaci Fast Identity Online (FIDO), budou moci podporovat jednotné přihlášení prostřednictvím Hello. Například aplikaci Dropbox lze ověřit přímo přes Hello a prohlížeč Microsoft Edge umožňuje integraci s Hello, aby se rozšířil na web. Tuto funkci je možné zapnout také na platformě pro správu mobilních zařízení třetích stran. Budoucnost bez hesla přichází, ale zatím ne tak docela.

Udržujte malware mimo

Windows 10 také představuje Device Guard, technologii, která převrací tradiční antivirus na hlavu. Device Guard uzamkne zařízení s Windows 10 a spoléhá se na seznamy povolených, které umožňují instalaci pouze důvěryhodných aplikací. Programy se nesmí spouštět, pokud nebudou určeny jako bezpečné kontrolou kryptografického podpisu souboru, který zajistí, že všechny nepodepsané aplikace a malware nelze spustit. Zařízení Device Guard spoléhá na vlastní virtualizační technologii Hyper-V společnosti Microsoft, která ukládá své seznamy povolených na stíněný virtuální stroj, ke kterému správci systému nemají přístup ani s ním nemohou manipulovat. Chcete-li využívat výhod Device Guard, musí počítače používat Windows 10 Enterprise nebo Education a podporovat TPM, virtualizaci hardwarových procesorů a I / O virtualizaci. Device Guard spoléhá na posílení systému Windows, jako je Secure Boot.

AppLocker, který je k dispozici pouze pro Enterprise a Education, lze použít s Device Guard k nastavení zásad integrity kódu. Správci se například mohou rozhodnout omezit, které univerzální aplikace z Windows Store lze nainstalovat na zařízení.

Konfigurovatelná integrita kódu je další součástí systému Windows, která ověřuje, zda je spuštěný kód důvěryhodný a šalvějový. Integrita kódu režimu jádra (KMCI) brání jádru ve spouštění nepodepsaných ovladačů. Správci mohou spravovat zásady na úrovni certifikační autority nebo vydavatele i jednotlivé hodnoty hash pro každý binární spustitelný soubor. Protože velká část komoditního malwaru má tendenci být nepodepsaná, nasazení zásad integrity kódu umožňuje organizacím okamžitě chránit před nepodepsaným malwarem.

Windows Defender, který byl poprvé vydán jako samostatný software pro Windows XP, se stal výchozí sadou ochrany před malwarem společnosti Microsoft s antispywarem a antivirem v systému Windows 8. Defender se automaticky deaktivuje, když je nainstalována sada antimalware třetích stran. Pokud není nainstalován žádný konkurenční antivirový nebo bezpečnostní produkt, zkontrolujte, zda je zapnutý program Windows Defender, který je k dispozici ve všech edicích a nemá žádné konkrétní hardwarové požadavky. Pro uživatele Windows 10 Enterprise je k dispozici pokročilá ochrana před hrozbami Windows Defender, která nabízí analýzu hrozeb chování v reálném čase k detekci online útoků.

Zabezpečení dat

BitLocker, který zajišťuje soubory v šifrovaném kontejneru, existuje již od Windows Vista a je lepší než kdy jindy v systému Windows 10. S Anniversary Update je šifrovací nástroj k dispozici pro edice Pro, Enterprise a Education. Podobně jako Windows Hello, BitLocker funguje nejlépe, pokud se k ochraně šifrovacích klíčů používá TPM, ale může také použít softwarovou ochranu klíčů, pokud TPM neexistuje nebo není nakonfigurován. Ochrana nástroje BitLocker pomocí hesla poskytuje nejzákladnější obranu, ale lepší metodou je použití čipové karty nebo systému šifrování souborů k vytvoření certifikátu šifrování souborů k ochraně přidružených souborů a složek.

Když je na systémové jednotce povolen nástroj BitLocker a je povolena ochrana hrubou silou, může systém Windows 10 restartovat počítač a uzamknout přístup k pevnému disku po zadaném počtu nesprávných pokusů o heslo. Uživatelé by museli spustit 48místný obnovovací klíč BitLocker, aby mohli zařízení spustit a získat přístup k disku. Aby byla tato funkce povolena, systém by musel mít firmware firmwaru UEFI verze 2.3.1 nebo novější.

Windows Information Protection, dříve Enterprise Data Protection (EDP), je k dispozici pouze pro edice Windows 10 Pro, Enterprise nebo Education. Poskytuje trvalé šifrování na úrovni souborů a správu základních práv a zároveň se integruje se službami Azure Active Directory a Rights Management. Ochrana informací vyžaduje pro správu nastavení nějaký druh správy mobilních zařízení - Microsoft Intune nebo platformu třetí strany, jako je například VMware AirWatch - nebo System Center Configuration Manager (SCCM). Správce může definovat seznam Windows Store nebo desktopových aplikací, které mají přístup k pracovním datům, nebo je úplně zablokovat. Windows Information Protection pomáhá kontrolovat, kdo má přístup k datům, aby zabránil náhodnému úniku informací. Služba Active Directory pomáhá usnadnit správu, ale podle společnosti Microsoft se nevyžaduje ochrana informací.

Virtualizace zabezpečení obrany

Credential Guard, který je k dispozici pouze pro Windows 10 Enterprise a Education, dokáže izolovat „tajemství“ pomocí zabezpečení založeného na virtualizaci (VBS) a omezit přístup k privilegovanému systémovému softwaru. Pomáhá blokovat útoky typu hash, ačkoli vědci v oblasti bezpečnosti nedávno našli způsoby, jak obejít ochranu. I přesto je mít Credential Guard stále lepší než nemít vůbec. Funguje pouze na systémech x64 a vyžaduje UEFI 2.3.1 nebo vyšší. Musí být povolena rozšíření virtualizace, jako jsou Intel VT-x, AMD-V a SLAT, a IOMMU jako Intel VT-d, AMD-Vi a BIOS Lockdown. Doporučuje se TPM 2.0, aby se umožnilo ověření stavu zařízení pro Credential Guard, ale pokud TPM není k dispozici, lze místo toho použít softwarovou ochranu.

Další funkcí Windows 10 Enterprise and Education je Virtual Secure Mode, což je kontejner Hyper-V, který chrání pověření domény uložená ve Windows.