Windows 10 — это не только меню «Пуск», новые универсальные приложения и новый внешний вид привычных элементов. Множество изменений находится внутри системы, и большинство нововведений для обычного пользователя просто не видны. По сравнению с Windows 8 и тем более Windows 7 новая операционная система стала безопаснее как для обычных домашних пользователей, так и для корпоративного сегмента.
Многие привыкли к тому, что антивирус и брандмауэр — это надёжные средства защиты от большинства атак. Но киберпреступники и просто весельчаки-хакеры не стоят на месте, они придумывают всё новые и новые способы для того, чтобы украсть ваши персональные данные и деньги. С развитием сферы интернет-банкинга как для физических, так и для юридических лиц безопасность ПК стала жизненно важной. Если десять-пятнадцать лет назад хакеры могли просто угнать ваш аккаунт в каком-то сервисе или просто стащить документы, то теперь они могут запросто украсть деньги компании до последней копейки, обналичить их и исчезнуть в неизвестном направлении. А из-за того, что почти все сферы деятельности человека в наше время внедрили информационные технологии, то это может развязать руки террористам. Поэтому в наше время крайне важно осознавать безопасность своего ПК серьёзной проблемой. И это касается не только компаний, но и частных пользователей.
Почему важны новые технологии загрузки операционной системы
Ещё 5-6 лет назад масса производителей выпускала компьютеры с простым BIOS. Такие компьютеры подвержены самым неочевидным, но при этом крайне опасным атакам. Злоумышленник может внедрить зловредный код в загрузчик операционной системы, что позволит ему получить полный контроль на ПК жертвы ещё до загрузки самой операционной системы. Новые компьютеры и новые операционные системы полноценно поддерживают спецификацию UEFI версии 2.3.1, частью которого является технология безопасной загрузки SecureBoot. К слову, Windows 7 не поддерживает эту технологию, из-за чего она подвержена атакам на уровне загрузчика. Windows 8.x разработана с учётом требований UEFI 2.3.1, что позволяет избежать такой уязвимости. В современных устройствах с Windows 8.x сначала запускается прошивка UEFI, которая после себя запускает загрузчик операционной системы только в том случае, если загрузчик имеет доверенные сертификаты (разработчик ОС (а-ля Linux) может получить сертификат SecureBoot на свой загрузчик только если его компания имеет сертификат не ниже EV). Уже после этого запускается сама операционная система. Такой механизм препятствует внедрению зловредного кода, который запускается ещё до загрузки ОС.
При разработке Windows 10 компания Microsoft пошла дальше. Если ваше устройство поддерживает UEFI 2.3.1, а в нём включена безопасная загрузка, то запуск операционной системы состоит из большего количества этапов. Сначала запускается прошивка, которая проверяет сертификаты загрузчика ОС. Он в свою очередь проверяет сертификаты на этапе загрузки ядра Windows. После ядра ОС стартует антивирусное ПО, которое также должно быть быть подписано сертификатом. Далее загружаются драйверы для устройств от сторонних производителей, а уже после этого осуществляется вход в Windows.
Благодаря такому подходу злоумышленнику очень сложно внедрить зловредный код, который будет запускаться до входа в Windows. Даже если хакеру удалось модифицировать для своих целей драйвер какого-то устройства, то такую угрозу должно определить и устранить антивирусное ПО. Если посмотреть на механизмы загрузки Windows 7 и Windows 10, то старушка «семёрка» оказывается крайне уязвимой перед современными атаками.
Новые технологии авторизации пользователя и компьютера
По статистике самое уязвимое место в плане безопасности — это пароли для доступа к компьютеру, почте и различным сервисам. Большинство людей не хочет усложнять себе жизнь и используют один пароль во всех сервисах и вообще везде, где только можно. Более того, зачастую пароль настолько простой, что злоумышленник может без особых проблем путём перебора узнать подходящий вариант из словаря. Мы крайне рекомендуем использовать сложные и разные пароли в разных местах. И никогда не храните их в простом текстовом виде в любом из мест.
В Windows 10 вы можете не использовать пароли в некоторых случаях. Например, благодаря системе Windows Hello компьютер сможет узнавать вас по отпечатку пальца, буквально в лицо и по рисунку радужной оболочки. Для работы Windows Hello требуется специальное оборудование, которое будет встраиваться в некоторые модели устройств или же поставляться в виде отдельной периферии. Такой способ авторизации позволяет упростить и ускорить авторизацию пользователя в Windows. Вы можете задать вопрос, сможет ли Windows Hello авторизовать пользователя по фотографии, поэтому мы сразу же ответим — нет. Оборудование, с которым работает Windows Hello куда сложнее, чем кажется. Такие камеры напоминают по своему принципу устройства типа сенсора Kinect и работают не просто с плоским изображением вашего лица, а создают очень сложную трёхмерную карту основных точек вашего лица с определёнными свойствами. То есть, для того, чтобы обмануть Windows Hello потребуется создать очень реалистичную трёхмерную модель вашего лица, которая ещё будет и нагреваться реалистично, будто бы это живой человек. Это крайне сложно и практически нереально, как и создание копии отпечатка пальца или же обман сканера радужной оболочки глаза. Windows Hello можно также использовать для авторизации в приложениях и даже на сайтах с помощью специального набора API.
Также Windows 10 полноценно поддерживает аппаратный модуль TPM. На самом деле, поддержка доверенного платформенного модуля внедрена ещё в эпоху Windows Vista (в основном он используется для хранения ключей BitLocker), но тогда найти компьютер с чипом TPM 1.2 было довольно трудно. Сейчас же такое оборудование встречается гораздо чаще. К слову, с выхода Windows 10 все новые устройства, сертифицированные для Windows, должны поддерживать стандарт TPM 2.0, а со следующего года устройства должны поставляться с TPM в обязательном порядке. Спецификации TPM разрабатываются некоммерческой организацией Trusted Computing Group, в которую входят AMD, Cisco, Hewlett-Packard, IBM, Intel, Microsoft, Wave Systems и другие компании. Доверенный платформенный модуль занимается шифрованием и хранением всей информации, которая необходима для авторизации пользователя и комьютера в Windows и других сервисах, включая доступ к VPN и внутренним ресурсам в случае предприятий. Вместо классической пары логина и пароля в случае TPM используется сгенерированный криптопроцессором токен, с помощью которого и происходит авторизация в сервисах. Отличительной особенностью такого способа является то, что вся информация, связанная с авторизацией, зашифрована и никогда не покидает устройство.
В случае Windows 10 с помощью TPM также осуществляется дополнительная защита самой операционной системы и другого программного обеспечения от модификации. Благодаря сочетанию TPM и BitLocker фактически невозможно получить доступ к пользовательским данным и паролям даже в том случае, если устройство было потеряно или украдено. Даже отдельно взятые чип TPM или диск с шифрованием BitLocker невозможно заставить работать, если их аккуратно извлечь и интегрировать в другую систему.
Помимо этого Windows 10 поддерживает спецификацию Fast Identification Online (FIDO). В правление организации FIDO Alliance, кстати, помимо Microsoft входят VISA, MasterCard, Google, Samsung, Lenovo, Blackberry, PayPal и другие. Благодаря спецификации FIDO у производителей различных устройств появился удобный и лёгкий в применений фреймворк, который позволяет встраивать биометрические системы аутентификации. Также благодаря этому стандарту появляется единая платформа двухфакторной аутентификации с помощью кодов NFC, USB-токенов, TPM и других технологий. Основная цель FIDO Alliance — в ближайшем будущем полностью заменить авторизацию с помощью обычных паролей. Внедрение стандарта FIDO 2.0 в Windows 10 сделало возможным такую авторизацию в Active Directory, Azure Active Directory, Outlook, Office 365, Box, Citrix и других продуктах от разных компаний, применяемых в корпоративной среде.
Безопасность Microsoft Edge
Новый браузер Microsoft Edge приходит на смену старику Internet Explorer в Windows 10. Разумеется, старый добрый Internet Explorer никуда не исчезает, но отходит на второй план и нужен в основном для совместимости со старыми web-приложениями. По сравнению с предшественником у Microsoft Edge есть целый список преимуществ в плане безопасности. Самое важное заключается в том, что Microsoft Edge — универсальное приложение из Windows Store, которое работает изолировано от системы с уровнем целостности AppContainer, как и любое другое Modern-приложение Магазина Windows. Это защищает браузер от множества атак даже в том случае, если сам компьютер уже заражён. Более того, злоумышленникам крайне затруднительно модифицировать код приложения. Кроме того, Edge может обновляться через Windows Store в отрыве от обновления самой операционной системы.
В Microsoft Edge внедрена обновлённая система безопасности SmartScreen. Она автоматически анализирует посещаемые пользователем сайты на наличие сомнительных данных или вредоносного кода и автоматически блокирует такое содержимое. Также SmartScreen интегрирован в менеджер загрузок и проверяет наличие вредоносного кода и программного обеспечения в загружаемых пользователем файлах. Не стоит также забывать и о менеджере паролей в Microsoft Edge, которые соответствует самым высоким стандартам безопасности.
Повышение безопасности с помощью виртуализации
В Windows 10 реализована технология Virtual Secure Mode, основанная на технологии виртуализации Hyper-V. Благодаря этому критические важные с точки зрения безопасности компоненты и процессы системы находятся в отдельном защищённом виртуальном контейнере. Даже если ядро Windows Kernel полностью скомпроментировано, злоумышленнику практически невозможно получить доступ внутрь VSM. Внутри контейнера VSM постоянно проверяется целостность кода, что исключает возможность незаметной его модификации.
Внутри VSM также работает LSASS (Local Security Subsystem Service) — компонент Windows, отвечающий за авторизацию локальных пользователей отдельно взятого компьютера. Служба является критической и без неё фактически невозможен вход в систему локальных пользователей. Таким образом, если LSASS по каким-то причинам не может работать (например, кто-то вмешался в код), то авторизация в ОС локального пользователя в Windows невозможна даже в случае администратора системы. Это не касается пользователей, которые авторизуются с помощью аккаунта Microsoft или Azure AD, так как в их случае работают более современные технологии безопасности, описанные выше.
Технологии Device Guard и EDP для корпоративного сегмента
Благодаря Device Guard организации могут взять под полный контроль запуск программного обеспечения на устройствах сотрудников. Это позволяет надёжнее защитить ПК и мобильные устройства с Windows 10 от внешних атак и уязвимостей нулевого дня. На устройстве сотрудника можно разрешить запуск только доверенных приложений, которые подписаны производителем ПО, Microsoft, Windows Store или же только вашей организацией. С помощью специальных инструментов от Microsoft можно подписывать как универсальные приложения Windows, так и классические приложения Win32. Всё это делает невозможным запуск стороннего ПК на устройстве сотрудника без специального разрешения, так как оно может представлять угрозу. При этом Device Guard защищён от повреждения и внешнего вмешательства с помощью описанного выше VSM.
Технология Enterprise Data Protection (EDP) позволяет защитить приложения и данные, используемые для работы внутри компании. В наше время очень часто сотрудники используют даже для работы в офисе свои устройства, что усложняет защиту секретных данных предприятий от несакционированного использования или даже утечек. EDP позволяет разделять личные данные пользователя и данные предприятия. Например, при переносе файла, зашифрованного с помощью EDP на другое устройство, файл окажется бесполезным, так как для чтения потребуется расшифровка. Также администратор предприятия может назначить каждому типу файлов приложения, с помощью которых можно открыть такие файлы. Например, если внутри предприятия с помощью EDP к файлам .doc привязан исключительно Word из пакета MS Office, то пользователь не сможет открыть его в другом текстовом редакторе. Ещё интереснее выглядит то, как EDP следит за буфером обмена, если пользователь работает с защищённым файлом. Например, если вы скопировали текст из такого документа для переноса его в отчёт, но случайно вставляете его в Skype или Twitter, то EDP предупредит вас об этом. В таком случае можно проигнорировать предупреждение, но тогда все ваши действия будут логироваться, что поможет в расследовании по поиску источника утечки конфиденциальных данных из компании.
Выводы
Windows 10, которую пользователи начнут получать уже 29 июля, поддерживает самые современные технологии безопасности, которые помогают защитить как личные устройства и данные, так и собственность предприятий. Оставаться на устаревающих с каждым днём Windows 7 и Windows 8 попросту небезопасно, так как угрозы развиваются быстрее, чем мы думаем. Не стоит также забывать, что Windows 10 отличается от предыдущих версий подходом к обновлениям: теперь не будет специальных дней для выпуска обновлений безопасности, а сами обновления будут попадать к пользователям тогда, когда они пройдут внутреннее тестирование. Это касается всех устройств с Windows 10.
Но не стоит забывать и о том, что всё описанное не является абсолютной гарантии защиты. Даже самые современные технологии безопасности сильно усложняют жизнь киберпреступникам и просто хулиганам, но злоумышленники всегда совершенствуются и развиваются в свою очередь технологии взлома. Так что помогайте самим себе — будьте внимательны при установке сторонних приложений, при использовании паролей. Не забывайте устанавливать PIN-коды, пароли и биометрическую авторизацию на свои устройства по необходимости. Всем безопасности.
