У понеділок, разом з новими ПК на базі Copilot, корпорація Microsoft представила нові функції безпеки Windows 11. “Ми не тільки вбудували нові функції безпеки в Windows 11, але й подвоїли кількість функцій безпеки, які будуть увімкнені за замовчуванням”, – пояснила компанія в своєму блозі.
Зараз дуже важливо залишатися на передовій у сфері кібербезпеки. Згідно з власним дослідженням Microsoft, з 2015 року кількість атак на паролі зросла на 3,378% і перевищила 4,000 на секунду. Оновлюючи апаратне та програмне забезпечення, а також орієнтуючись на розробників, компанія прагне зробити Windows безпечнішою на корпоративному та індивідуальному рівнях.
Апаратні вдосконалення
Для початку Microsoft посилює апаратну безпеку “з коробки”, переконуючись, що всі ПК Copilot+ будуть пристроями з захищеним ядром, згідно з прес-релізом.
“Комп’ютери з захищеним ядром забезпечують розширені засоби захисту мікропрограми та динамічне вимірювання рівня довіри, щоб допомогти захистити дані від чіпа до хмари”, – йдеться в блозі.
Нові ПК також поставлятимуться з Pluton – процесором безпеки компанії на основі моделі нульової довіри – увімкненим за замовчуванням, що забезпечує більшу вбудовану безпеку для користувачів з першого дня роботи. Pluton захищає все – від облікових даних і персональних даних до ключів шифрування, що, за словами Microsoft, робить його “значно складнішим для видалення, навіть якщо кіберзловмисник встановив шкідливе програмне забезпечення або фізично заволодів комп’ютером”.
Крім того, нові комп’ютери Copilot+ поставлятимуться з Windows Hello Enhanced Sign-in Security (ESS), яка замінює звичайні паролі на більш безпечні біометричні варіанти входу. Використовуючи спеціалізоване апаратне та програмне забезпечення, таке як безпека на основі віртуалізації (VBS) – ізольоване віртуальне середовище, яке захищає рішення безпеки від вразливостей операційної системи – та модуль Trusted Platform Module 2.0, ESS краще захищає біометричні дані завдяки посиленим каналам зв’язку.
Якщо ви не плануєте купувати комп’ютер Copilot+, ESS також доступна на інших пристроях під управлінням Windows 11.
Оновлення програмного забезпечення
Корпорація Microsoft увімкне кілька нових функцій Windows 11 за замовчуванням – замість того, щоб покладатися на те, що користувачі самі відповідатимуть за власні ініціативи з безпеки. До них відносяться захист від шкідливого програмного забезпечення, захист облікових даних і захист додатків, які, за даними звіту за 2022 рік, призвели до скорочення кількості інцидентів на 58%.
Згідно з повідомленням, багатофакторної автентифікації вже недостатньо для боротьби з кібератаками, які пристосувалися до неї. Корпорація Microsoft націлена на вирішення цієї проблеми за допомогою декількох оновлень, включаючи захист Local Security Authority (LSA). LSA автентифікує користувачів і обробляє облікові дані для єдиного входу (SSO); захист LSA “запобігає завантаженню ненадійного коду і запобігає доступу ненадійних процесів до пам’яті LSA”, – йдеться в блозі.
Раніше захист LSA був увімкнений за замовчуванням лише для комерційних пристроїв, тепер компанія вмикає захист LSA за замовчуванням і для споживчих пристроїв.
Наприкінці цього року Microsoft також виводить з експлуатації NT LAN Manager (NTLNM), застарілий пакет безпеки, відомий своїми вразливостями, щоб покращити автентифікацію користувачів.
Крім того, компанія використовує VBS для покращення захисту ключів та посилення безпеки Windows Hello. Перша функція, що працює на центральному процесорі пристрою, забезпечує кращий захист, ніж апаратна безпека; що стосується другої, то Windows Hello тепер може захищати ключі та ізолювати облікові дані від “атак на рівні адміністратора” для пристроїв, які не мають вбудованої біометрії, повідомляється в блозі. Розширений захист ключів тепер доступний у публічній попередній версії для Windows Insiders.
Посилена перевірка додатків
Microsoft також оголосила про нові можливості, спрямовані на підвищення безпеки додатків для розробників Windows, зокрема Smart App Control, яка використовує модель штучного інтелекту, навчену на 78 трильйонах сигналів безпеки, щоб передбачити, чи є додаток безпечним. Ця функція, яка доступна і ввімкнена за замовчуванням у деяких системах, дозволяє запускати відомі програми, блокуючи ті, що пов’язані зі шкідливим програмним забезпеченням.
Інша функція, “Trusted Signing“, допомагає додатку підтримувати хорошу репутацію в Smart App Control за допомогою оновлень, “керуючи кожним аспектом життєвого циклу сертифіката”, – пояснюється в релізі. Нещодавно ця функція перейшла в публічну попередню версію, а також інтегрується з Azure DevOps і Github для безперешкодного використання.
Також у попередній версії доступна функція ізоляції додатків Win32, яка полегшує розробникам додатків завдання шкоди і захист конфіденційності користувачів у разі порушення. Тепер цю функцію можна використовувати з інтеграцією Visual Studio.
Крім того, Microsoft посилює безпеку адміністрування, звужуючи сферу застосування прав адміністратора на пристроях. Наприклад, якщо програма потребує певних дозволів, ця функція запитує у користувача відповідний дозвіл, а Windows Hello дозволяє легко схвалювати або відхиляти запити.
“Windows оновлюється, щоб вимагати своєчасного адміністративного доступу до ядра та інших критично важливих служб за необхідності, а не постійно, і, звичайно, не за замовчуванням”, – йдеться в повідомленні компанії.
Ця функція знаходиться в приватній попередній версії, але Microsoft заявляє, що незабаром вона стане загальнодоступною.
Компанія також оголосила, що анклави VBS, які допомагають захистити чутливі робочі навантаження, тепер доступні для сторонніх розробників додатків. Користувачі можуть спробувати API анклавів.
Посилений код
Microsoft також оголосила про посилення коду Windows у зв’язку зі збільшенням кількості атак. Режим захищеного друку Windows (WPP), який запобігає завантаженню драйверів третіми сторонами, стане режимом друку за замовчуванням на пристроях, що рухаються вперед.
Компанія також удосконалює підказки до інструментів, щоб забезпечити кращу безпеку та меншу експлуатацію.
“Відповідальність за управління життєвим циклом підказок була передана відповідному додатку, який використовується”, – йдеться в релізі. “Тепер ядро відстежує активність курсору та ініціює зворотний відлік часу для відображення та приховування вікон підказок. Коли ці відліки завершуються, ядро повідомляє середовище на рівні користувача, щоб воно згенерувало або прибрало вікно підказки”.
Корпорація Microsoft також оголосила, що автентифікація сервера на транспортному рівні (TLS), яка підтверджує ідентичність сервера клієнту, отримує поштовх до розвитку: Тепер Windows буде довіряти тільки сертифікатам TLS з ключами RSA довжиною 2048 біт або більше, на відміну від слабших ключів шифрування довжиною 1024 біт, які підтримувалися програмним забезпеченням за замовчуванням.
Покращення для комерційних клієнтів
Компанія також випустила оновлення спеціально для комерційних користувачів, які допоможуть зробити Windows безпечнішою в їхніх середовищах, зокрема оновлення конфігурації, брандмауер і шифрування особистих даних (PDE).
Config Refresh дозволяє адміністраторам “встановлювати розклад для пристроїв для повторного застосування налаштувань політики без необхідності входу в Microsoft Intune або інших постачальників управління мобільними пристроями, допомагаючи гарантувати, що налаштування залишаються такими, як налаштовані ІТ-адміністратором”, – йдеться в блозі. За замовчуванням оновлення відбувається кожні 90 хвилин, але може відбуватися з 30-хвилинним інтервалом, а також може бути призупинено на час технічного обслуговування або усунення несправностей.
Постачальник послуг конфігурації брандмауера Windows (CSP) застосовує правила за принципом “все або нічого”. “Раніше, якщо CSP стикався з проблемою застосування будь-якого правила з блоку, CSP не тільки зупиняв це правило, але і припиняв обробку наступних правил, залишаючи потенційну прогалину в безпеці з частково розгорнутими блоками правил”, – пояснюється в блозі. “Тепер, якщо будь-яке правило в блоці не може бути успішно застосовано до пристрою, CSP припинить обробку наступних правил, і всі правила з цього ж атомарного блоку будуть відкочені, усуваючи неоднозначність частково розгорнутих блоків правил”.
PDE розшифровує дані лише тоді, коли комп’ютер розблоковано за допомогою Windows Hello для бізнесу. Ця функція, яка зараз знаходиться в попередній версії, забезпечує дворівневий захист даних і працює в парі з BitLocker для додаткової безпеки.
Функція Zero Trust DNS, яка наразі перебуває в приватній попередній версії, гарантує, що пристрої Windows підключаються лише до затверджених мережевих пунктів призначення, і блокує вихідний трафік IPv4 і IPv6.
