Microsoft为Windows 10中的企业用户添加了两个更改的缓释安全功能,但直到最近,该公司对它们相对安静。
到目前为止,热门话题主要是关于Windows Hello,它支持人脸和指纹识别。但是,设备保护和凭证警卫是Windows 10的两个突出安全功能 - 它们保护核心内核免受恶意软件的保护,防止攻击者远程控制机器。设备护罩和凭证护罩适用于业务系统,仅在Windows 10 Enterprise和Windows 10教育中使用。
“显然,微软对企业客户进行了很多关于对企业客户进行的那种攻击,并通过跨越突飞猛进而向前移动,”伊恩特朗普说,LOGICNOW的安全领先。
Device Guard依靠Windows 10基于虚拟化的安全性,只允许受信任的应用程序在设备上运行。Credential Guard通过在基于硬件的虚拟环境中隔离企业身份来保护企业身份。Microsoft在虚拟机中隔离关键Windows服务,以阻止攻击者篡改内核和其他敏感进程。新功能依赖于Hyper-V已经使用的同一虚拟机监控程序技术。
Chester Wisniewski,Sophos Canada,AntiVirus Company Sophos Canada的高级安全战略师Chester Wisniewski表示,使用基于硬件的虚拟化并保护凭证是一个“辉煌的举措”。
微软发表了泰技指南设备防护和凭证警卫上周在TechNet上。
应用程序锁定
设备防护依赖于硬件和软件锁定机器,使其仅运行受信任的应用程序。应用程序必须具有特定软件供应商的有效加密签名 - 如果应用程序来自Windows商店,则来自Microsoft。
尽管有报告称恶意软件代码编写者窃取证书来签署恶意软件,但绝大多数恶意软件都是未签名代码。设备防护对签名策略的依赖将阻止大多数恶意软件攻击。
特朗普说:“这是一种通过反恶意软件防御来抵御零日攻击的好方法。”。
虽然这种方法与苹果应用商店的做法相似,但有一个转折点:微软认识到企业需要广泛的应用程序。企业可以在不必更改代码的情况下签署自己的软件,对于他们了解和信任的应用程序(例如,他们购买的定制软件),他们也可以签署这些应用程序。通过这种方式,组织可以创建受信任的应用程序列表,而与开发人员是否从Microsoft获得有效签名无关。
这使组织能够控制Device Guard认为可靠的来源。Device Guard随附的工具可使其易于签名通用或甚至Win32应用程序这可能不是软件供应商最初签署的。Wisniewski说,很明显,微软正在寻求一个在全面封锁和保持一切开放之间的中间地带,使公司“既有蛋糕,也有蛋糕吃”。
在引擎盖下,设备防护不仅仅是另一种白名单机制。它以一种实际有效的方式处理白名单,因为信息受到虚拟机的保护。也就是说,恶意软件或具有管理员权限的攻击者不能篡改策略检查。
Device Guard隔离Windows服务,可验证驱动程序和内核级别代码是否在虚拟容器中是合法的。即使恶意软件感染机器,它也无法访问该容器绕过检查并执行恶意有效载荷。Device Guard超出了旧的Applocker功能,可以由具有管理权限的攻击者访问。只有受信任签名者签名的更新策略可以更改设备上已设置的应用控制策略。
特朗普说:“Windows将这一点放在盒子里是令人兴奋的。”它可能会成为公司标准。”
隔离秘密
凭证后卫可能不像设备警卫那样令人兴奋,但它解决了企业安全的重要方面:它将虚拟容器内的域凭据存储在远离内核和用户模式操作系统中。这样,即使机器受到损害,凭证不可用凭证。
高级持久性攻击依赖于窃取域和用户凭据以在网络中移动并访问其他计算机的能力。通常,当用户登录到计算机时,他们的哈希凭证存储在操作系统的内存中。以前版本的Windows将凭据存储在本地安全机构中,操作系统使用远程过程调用访问这些信息。潜伏在网络上的恶意软件或攻击者能够窃取这些散列凭据并在散列攻击中使用它们。
通过将这些凭据隔离在虚拟容器中,凭据防护防止攻击者窃取哈希,限制他们在网络周围移动的能力。器件防护和凭证防护的组合可以锁定环境并停止攻击。
“Microsoft’s Implementation may not be as easy as some vendors, and Microsoft may not have a fancy dashboard, but to include security features like these [Credential Guard, Device Guard, Microsoft Hello two-factor authentication, and BitLocker] you have an operating system worthy of the title ‘Enterprise’ and a very hard target to hack," Trump said.
并不适合所有人
令人兴奋的特征是不足以刺激采用。虽然Windows 10将在企业中进入,但硬件要求和基础设施的变化将推迟威尼斯基预测至少四到五年的设备保护和凭据防护队。
硬件要求很高。要启用设备保护和凭据保护,机器需要安全引导、64位虚拟化支持、统一可扩展固件接口(UEFI)固件和可信平台模块(TPM)芯片。只有企业硬件,而不是消费类PC才具有这些功能。例如,联想ThinkPad和戴尔Latitude等商用笔记本电脑通常具有这些规格,而联想瑜伽3 Pro等消费类笔记本电脑则不具备这些规格。只有当机器具有带有虚拟化扩展的处理器(如Intel VT-x和AMD-V)时,虚拟机监控程序级别的保护才可用。
经常在现场工作或广泛旅行全年的员工更有可能选择更轻的笔记本电脑 - 而且大多数Ultrabooks没有内部的TPM。“高管是我担心的,”威尼斯基说,因为他们是最遭受攻击风险的人,更有可能使用消费者模型。
硬件不是入门的唯一障碍;大多数组织还需要对基础架构和流程进行更改。许多IT团队目前不使用UEFI或安全引导,因为它们会影响现有的工作流。它可能会担心被安全引导的计算机锁定;在设置机器时,更容易擦除机器并加载股票公司图像。同样,某些机器可能运行具有无法升级的特定需求的关键应用程序。
幸运的是,设备保护和凭证保护不需要全有或全无的决定。它可以在设备保护和凭证保护打开的情况下构建一个新域,并移动满足硬件要求的用户。无法升级的机器可以留在现有域中。这使它能够维护一个具有签名策略和受保护凭据的“干净”网络,并将他们的注意力集中在较旧的“脏”域上不要因为一件事就阻碍整个网络,”维斯尼夫斯基说。
少数企业认为,目前的企业Windows安全状态是可以接受的。设备保护和凭证防护实际上提供了前进的方式,尽管需要一个需要大量投资的方式。凭借Windows 10,“微软正在告诉企业,”如果您想要良好的技术,您需要做安全[我们的方式],“”Wisniewski说。时间会告诉企业是否愿意遵循这条路。
这个故事“为什么Windows 10是有史以来最安全的Windows”最初由infoworld. 。