Цього літа інцидент з CrowdStrike завдав збитків на мільярди доларів і виявив деякі фундаментальні архітектурні недоліки платформи Windows. Одного недосконалого оновлення від одного постачальника було достатньо, щоб вивести з ладу мільйони комп’ютерів і серверів по всьому світу, а повернення цих машин в онлайн вимагало безпосереднього втручання людини на багатьох з цих кінцевих точок, поки не було розгорнуто автоматизоване виправлення.
У своєму блозі, з якого розпочалася конференція Ignite цього тижня, віце-президент Microsoft з корпоративної та операційної безпеки Девід Вестон (David Weston) оголосив про зміни, які повинні значно зменшити ймовірність повторення подібних збоїв.
Сьогоднішні оголошення є першими відчутними результатами спільних зусиль Microsoft та спільноти постачальників рішень для захисту кінцевих точок, які разом приносять мільярди доларів доходу щороку, захищаючи бізнес-мережі. Розробники продуктів безпеки будуть зобов’язані дотримуватися нового набору практик безпечного розгортання (Safe Deployment Practices), які вимагають від них проведення додаткового тестування і поступового випуску оновлень; замість того, щоб випускати оновлення для всієї встановленої бази одночасно, постачальники безпеки повинні будуть використовувати кільця розгортання і інструменти моніторингу, щоб виявити несправне оновлення і призупинити або відкотити розгортання до того, як воно може завдати значної шкоди.
Нова функція під назвою «Quick Machine Recovery» полегшить ІТ-фахівцям віддалене відновлення комп’ютера, який застряг у циклі перезавантаження через погане оновлення або драйвер. За словами Microsoft, «Ця функція дозволить ІТ-адміністраторам виконувати цільові виправлення з Windows Update на ПК, навіть коли машини не можуть завантажитися, без необхідності фізичного доступу до ПК». Функція використовує середовище відновлення Windows і може бути використана для встановлення виправлень від Microsoft або від третіх сторін. Вона буде доступна для тестування в рамках програми Windows Insider на початку 2025 року.
Найбільша зміна дозволить розробникам створювати продукти безпеки, які можуть працювати в режимі користувача, а не в режимі ядра. Компанія заявляє, що поділиться приватною попередньою версією зі своїми партнерами зі спільноти розробників кінцевих точок безпеки в липні 2025 року. З огляду на фундаментальний характер цих змін, швидше за все, пройдуть місяці або роки, перш ніж продукти безпеки, що використовують ці зміни, стануть широко доступними.
Нові засоби захисту для Windows 11
З моменту запуску Windows 11 у 2021 році корпорація Майкрософт заявляла про покращений рівень безпеки нової операційної системи, значною мірою завдяки новим налаштуванням за замовчуванням, які вмикають функції, що були необов’язковими в Windows 10.
Новий пакет функцій безпеки, який має з’явитися в Windows 11 протягом наступного року, буде спрямований на вирішення більш фундаментальних проблем безпеки.
Найбільша проблема безпеки полягає в тому, що переважна більшість користувачів Windows працює з обліковим записом з правами адміністратора. Якщо їх обманом змусити запустити шкідливий код, він отримає такі ж права адміністратора, а це означає, що він може встановити додаткове програмне забезпечення і взагалі завдати шкоди системі.
Вирішенням проблеми є функція під назвою «Administrator Protection», яка за замовчуванням надає користувачеві стандартні дозволи. Якщо користувачеві потрібно виконати дію, яка вимагає прав адміністратора, наприклад, встановити програму або змінити системні налаштування, йому потрібно буде пройти автентифікацію за допомогою біометричних даних Windows Hello або PIN-коду для конкретного пристрою. Ця авторизація створює тимчасовий токен, який дійсний лише для поточної дії і знищується, як тільки завдання буде виконано. Microsoft стверджує, що ця зміна буде «руйнівною для зловмисників, оскільки вони більше не матимуть автоматичного, прямого доступу до ядра або інших критично важливих систем безпеки без спеціальної авторизації Windows Hello».
Додавання Windows Hello змінює правила гри в цій сфері. Можливість автентифікації за допомогою біометричних даних замість введення пароля повинна значно зменшити кількість проблем.
Зараз ця функція перебуває в попередньому перегляді і має бути випущена для широкої публіки у 2025 році.
Друга функція, Smart App Control, призначена для блокування шкідливого програмного забезпечення, запобігаючи запуску невідомих програм на комп’ютері з Windows 11. Добре відомі програми працюватимуть без проблем, але непідписані та незнайомі програми будуть заблоковані; функція також блокуватиме всі сценарії з Інтернету, в тому числі ті, які намагаються використовувати PowerShell як вектор для встановлення шкідливого програмного забезпечення.
Smart App Control буде ввімкнено за замовчуванням для споживчих ПК. У корпоративному середовищі ІТ-адміністраторам потрібно буде увімкнути політики App Control for Business і вибрати шаблон «signed and reputable policy»; після цього вони зможуть додавати внутрішні програми за допомогою інструментів управління.
Нарешті, режим Windows Protected Print усуває потребу в сторонніх драйверах, які стали агресивною та ефективною точкою входу для зловмисників.
Корпоративна версія отримала нове шифрування та виправлення
Цього тижня компанії, які використовують Windows Enterprise, отримали кілька нових функцій, які мають зробити клієнтські ПК безпечнішими та простішими в управлінні.
Personal Data Encryption у стандартних папках забезпечує подвійний рівень шифрування особистих файлів на комп’ютері користувача – «Робочий стіл», «Документи» та «Зображення». Доступ до цих файлів вимагає біометричної автентифікації користувача, що унеможливлює підглядання особистих файлів адміністратором пристрою. Ця функція використовує таке ж посилене шифрування, яке захищає дані, зібрані Windows Recall, а API шифрування персональних даних дозволить стороннім розробникам розширити захист даних у своїх додатках.
Ще одна доступна функція, «Configuration Refresh», дозволить адміністраторам застосовувати політику безпеки на пристроях, коли користувачі або програми вносять зміни до реєстру Windows. Ця функція працює локально і може скинути конфігурацію безпеки, не вимагаючи доступу до серверів управління мобільними пристроями.
І нарешті, Hotpatch дозволяє адміністраторам застосовувати критичні оновлення безпеки без необхідності перезавантаження. Microsoft стверджує, що використання гарячих виправлень з налаштуваннями Windows Autopatch в Microsoft Intune може зменшити кількість перезавантажень системи для оновлення Windows з одного разу на місяць до чотирьох разів на рік. Наразі ця функція знаходиться в стадії попереднього перегляду і буде доступна в Windows 11 Enterprise версії 24H2.
