Windows 10 — краткий обзор функций конфиденциальности и безопасности (часть 2)

Введение

В предыдущей статье (первая часть) мы рассмотрели некоторые функции безопасности, которые должны были быть выпущены в новой версии Windows 10 позже в 2015 году, в этой статье (часть вторая) мы рассмотрим более подробно объяснения эти функции и то, что мы исследовали, а также некоторые темы, упомянутые в предварительных версиях Microsoft. Хотя эта информация не высечена на камне, это функции, которые, вероятно, будут в Windows 10.

Что мы знаем о Windows 10 на данный момент

Хотя предварительные версии Windows 10 идут полным ходом, мы должны помнить, что это именно то, чем они являются — предварительными версиями. Наши исследователи собрали информацию из многих надежных источников, из предварительных версий, от сотрудников и пользователей Microsoft, но все может измениться до официальной даты выпуска, ожидаемой в 2015 году. Каждые две недели Microsoft выпускает набор пересмотренных функций по мере появления различных дополнения и изменения признаны необходимыми.

Ниже приведены некоторые технические функции, которые, как подчеркнула Microsoft, будут присутствовать в Windows 10 в качестве продолжения предыдущей статьи. Функции окажутся полезными как для потребителей, так и для организаций.

Объяснение некоторых функций безопасности

Многофакторная аутентификация будет встроена в ОС с использованием самого устройства в виде хешированной подписи в качестве первого фактора и ПИН-кода или биометрического считывателя в качестве второго фактора аутентификации. Доступ возможен только через физический доступ к устройству в сочетании с доступом через персональный идентификационный номер (PIN) или биометрические данные, например отпечаток пальца. Дополнительные аппаратные периферийные устройства безопасности не потребуются для защиты личности. Возможность использовать двухфакторную аутентификацию таким образом должна оказаться более удобной и удобной для пользователя.

Встроенная двухфакторная аутентификация поможет предотвратить текущие угрозы безопасности, улучшить защиту личных данных и усилить контроль доступа. Эта функция доступна уже сегодня, но со значительным количеством настроек, надеюсь, ее будет проще реализовать в Windows 10.

Это шаг в правильном направлении, к началу нормализации двухфакторной аутентификации и, возможно, путь к упадку менее безопасных вариантов однофакторной аутентификации, таких как пароли. Пришло время увидеть конец паролей, и это похоже на начало.

Контроль доступа усиливается за счет использования устройства в качестве учетных данных. Пользователь может зарегистрировать одно или все свои устройства со своими учетными данными. При выборе одного устройства, например планшета, планшет неизменно будет действовать как первый фактор аутентификации, как мобильное удостоверение для других устройств, сервисов и сетей. Пока планшет находится в непосредственной близости от других используемых пользователем устройств, например ноутбука, его можно использовать для получения доступа к этим устройствам через Bluetooth или беспроводное соединение.

Учетные данные — это либо пара ключей, созданная криптографически Windows, либо сертификат, предоставленный устройству для существующей инфраструктуры открытых ключей (PKI). Active Directory будет поддерживать управление учетными данными.

Это обеспечивает некоторую гибкость предприятия, если организация использует существующую PKI. Параметры, изложенные таким образом для учетных данных, позволяют использовать их на нескольких платформах и инфраструктурах, что важно для организаций и охватывает большинство требований пользователей.

При использовании Hyper-V Secure Execution Environment маркеры доступа, сгенерированные после входа в систему, которые могут создать элемент риска для безопасности при злонамеренном использовании для имитации удостоверений, изолируются (работают над Hyper-V) и становятся недоступными, даже если Ядро Windows скомпрометировано, что значительно повышает безопасность и снижает риск кражи учетных данных.

Мобильные устройства становятся более безопасными. Риски, связанные с виртуальной частной сетью (VPN), устраняются. Администратору предоставляются лучшие возможности управления VPN, для приложений могут быть установлены ограничения, таким образом регулируя доступ приложений к VPN. Доступ к VPN через порты и IP-адреса также можно контролировать и ограничивать по своему усмотрению.

Служба подписи приложений направлена на снижение риска от вредоносных программ за счет ограничения установки приложений выбранными доверенными приложениями. Это позволит Microsoft предупреждать пользователей о неподписанном коде, а также отзывать сертификаты у авторов кода, которые содержат вредоносный или потенциально вредоносный код.

Функция блокировки позволяет организациям ограничивать доступ приложений к определенным устройствам, снижая порог риска угроз. Политики могут быть созданы для обеспечения соблюдения необходимых правил.

Функция управления мобильными устройствами (MDM) должна предлагать большую поддержку организациям. MDM предназначен для работы на традиционных настольных компьютерах и ноутбуках. Консолидированный подход Microsoft к управлению мобильными платформами, безусловно, станет победителем, поскольку в прошлом этого не хватало.

Предотвращение потери данных (DLP) для корпораций также является полезной функцией. Данные защищены корпоративной политикой, и данные могут быть классифицированы как личные или корпоративные, а также ограничены в отношении данных, разрешенных для копирования или нет.

Эта функция поможет предотвратить раскрытие данных внутри и за пределами организаций, защитить данные и сохранить их конфиденциальность. Возможность категоризировать данные — отличный инструмент для BYOD в организациях.

Автоматическое шифрование данных с помощью решения DLP включает шифрование приложений, данных, электронной почты и содержимого веб-сайтов. Автоматическое шифрование будет происходить по мере того, как данные поступают на устройство из сетевых расположений внутри организации. Политики могут применяться для автоматического шифрования определенных данных. На данный момент это зависит от платформы Microsoft, но я уверен, что с объявлениями о том, что.net можно использовать на разных платформах, это быстро изменится.

Взаимодействие между устройствами обеспечит защиту данных на нескольких платформах.

Риски, связанные с VPN, были устранены. Ограничения могут быть установлены для приложений с помощью политики, таким образом регулируя доступ приложений к VPN.

Теперь мы также должны начать видеть расширение того, что ранее было известно как прямой доступ, по сути, каждое приложение будет иметь возможность независимо создавать свою собственную VPN типа SSL обратно туда, где хранится централизованный ресурс. Это будет происходить по запросу, и когда приложению будет предоставлен токен аутентификации, предоставленный ОС, само приложение безопасно подключается к удаленной службе.

Windows 10 также будет поддерживать больше биометрических устройств, чем когда-либо прежде. Такой уклон в сторону биометрических устройств логичен, поскольку биометрические устройства теперь намного более зрелые, чем раньше, и их можно найти во множестве планшетов, телефонов и ПК. Устройства теперь быстрые и точные, и этот способ вычислений становится повсеместным.

Azure также теперь начнет интегрироваться в AD, с появлением этой функции возможны и проще внедрение как гибридных облаков, так и полностью размещенных платформ, что ускорит переход на службы Microsoft. Системы аутентификации еще не доработаны, но это большой шаг со стороны Microsoft, который окажет большое влияние на возможность безопасной работы в облаке. Пока не ясно, позволит ли эта модель продвинутую федерацию, но, тем не менее, это захватывающая перспектива.

Вывод

Наконец, похоже, что Windows 10 решит большинство проблем безопасности, которые были связаны с недостатками операционной системы. Хотя эти функции улучшат операционную систему и повысят функциональность ОС, неясно, каким будет взаимодействие с пользователем.

Мы уверены, что в Редмонде ведется множество переговоров, которые гарантируют, что будут выпущены приоритетные функции, а не приятные. На данный момент мы считаем очевидным, что сторонние решения безопасности по-прежнему необходимы, но это большой шаг вперед в правильном направлении.

Мы уверены, что все с нетерпением ждут выхода Windows 10 и всех улучшений, упомянутых в этой серии статей.