Cybercalm писав про те, чому варто обирати Windows 10 як базову операційну систему для ведення бізнесу. Продовжуємо розповідати про те, як правильно захистити системи на основі Windows 10 на роботі та вдома.

Захист даних

Фізичний захист даних настільки ж важливий, як і програмний або мережевий. Вкрадений або залишений десь в ресторані або таксі ноутбук може спричинити серйозний витік даних. Для бізнесу або державної структури це може бути катастрофою, і наслідки можуть бути ще більш катастрофічними, якщо це галузі із своїми секретами або там, де публікація даних не можлива без розкриття джерела інформації, пише ZDNet.

На комп’ютері з Windows 10 Ви можете активувати опцію BitLocker (фірмова технологія шифрування даних від Microsoft в бізнес-версіях Windows). Коли ця опція активна, всі дані на комп’ютері шифруються за стандартом XTS-AES. Використовуючи налаштування групових політик або через налаштування самого комп’ютера, ви можете змінити розрядність шифрування з 128 до 256 біт. BitLocker буде працювати на пристроях, де є чіп Trusted Platform Module (TPM), більшість брендових корпоративних моделей комп’ютерів його мають.
Також ця технологія вимагає наявності бізнес-версій Windows 10. На домашній же версії зашифрованими дані можуть бути лише через підключення екаунта Microsoft із обмеженою функціональністю щодо управління конкретним комп’ютером.

Для повномасштабного управління технологією BitLocker Вам потрібно буде заходити під екаунтом Активного каталогу (Active Directory) чи Azure AD. Резервні ключі для відновлення доступу зберігатимуться у місці, яке доступне адміністраторам відповідного домена.

На інших пристроях з бізнес-версіями Windows 10 можна використовувати локальні облікові записи, але шифрування засобами операційної системи можливе лише за технологією BitLocker.

Не забувайте також шифрувати флешки, картки пам’яті та переносні вінчестери — ці носії інформації часто втрачаються, але дані там можна зашифрувати за допомогою BitLocker To Go, де розшифровка здійснюється за допомогою пароля.

У великих компаніях, які користуються Azure AD, також є можливість захисту файлів та повідомлень на електронній пошті за допомогою Azure Information Protection та Azure Rights Management service. Така комбінація дозволяє адміністраторам вручну надавати різні права доступу до документів незалежно від того, чи захищений якийсь файл локально.

Блокування шкідливих програм

Коли світ став більш об’єднаним завдяки Інтернету, а онлайн-атаки стали значно більш просунутими, роль традиційних антивірусів також змінилася. Замість того, щоб бути основним інструментом для блокування шкідливого коду, тепер антивіруси — лише один з елементів багатошарової захисної стратегії.

Кожна версія Windows 10 тепер має вбудований антивірус Windows Defender (або Захисник Windows), який оновлюється так само, як ОС. Windows Defender спроектовано так, щоб можна було “встановити і забути” і не вимагає ручних налаштувань. Якщо Ви встановили антивірус стороннього виробника, конфліктів з Windows Defender не буде.
Великі організації, які використовують масово Windows 10 версії Enterprise, можуть встановити розширену версію Windows Defender — Windows Defender Advanced Threat Protection.

Ця платформа відстежує атаки на кінцевих точках, наприклад, через комп’ютери на Windows 10, які мають поведінкові сенсори. Використовуючи хмарний аналіз, Windows Defender Advanced Threat Protection може визначати підозрілу поведінку та попереджати адміністраторів про небезпеку.

Для менших фірм актуальнішим буде не допускати віруси та шкідники до проникнення на комп’ютери. Тут у Microsoft є технологія SmartScreen, також вбудована в операційну систему — вона сканує всі завантажені файли та блокує підозрілі щодо вірусів. Вона також може блокувати всі чужорідні програми, але користувач може їх розблокувати вручну.
SmartScreen, як і Windows Defender, не вимагає особливо складних ручних налаштувань, але управляти виключеннями можна через меню налаштувань Windows Security (Безпека Windows) у пункті “Управління програмами та браузерами”.

Захист електронної пошти

Інший критичний напрямок захисту від шкідливих програм — електронна пошта, де відкриття шкідливих вкладень та посилань на шкідливі сайти у листах призводить до зараження системи. Незважаючи на те, що деякі поштові клієнти мають вбудований захист, все ж головною зброєю буде блокування атак на рівні сервера.

Ефективним підходом до захисту користувачів від запуску небажаних програм буде обмеження Windows 10 від запуску будь-яких програм, окрім тих, що ви спеціально дозволите запускати.

Як це зробити на окремому комп’ютері?

Потрібно зайти в меню налаштування програм (Settings > Apps > Apps & Features) і в підменю “встановлення програм” обрати опцію “дозволити лише програми з магазину Microsoft” (Microsoft Store).

Попередньо встановлені програми будуть запускатися, однак програми, які завантажені з інших місць, окрім вищезгаданого магазину, встановлюватися не будуть.

Адміністратори локальної мережі можуть зробити так само через групові політики (Group Policy: Computer Configuration > Administrative Templates > Windows Components > Windows Defender SmartScreen > Explorer > Configure App install Control).

Можна ще більше “заморочитися” питаннями безпеки, не дозволяючи запускати програми, окрім певного списку виключення (через налаштування “призначеного доступу” — Assigned Access) — окрім того, якщо йдеться, наприклад, про браузер Edge, то можна навіть через цю опцію встановити перелік дозволених сайтів. Налаштувати призначений доступ у Windows 10 можна або через меню налаштувань членів сім’ї та інших користувачів (Settings > Family & Other Users), або через меню інших користувачів бізнес-екаунта.

Робота в Інтернеті

За останні 15 років кожна версія Windows мала вбудований фаєрвол. У Windows 10 фаєрвол стоїть за умовчаннями і не вимагає, в принципі, жодних активних дій з боку користувача.
Як і його попередники, фаєрвол з Windows 10 має три профілі для мереж— Домашня, Приватна та Публічна. Всі програми, які потребують доступу до Інтернету, звичайно самі себе конфігурують під час установки відповідно до цих профілів.

Для налаштування базових параметрів у Windows 10 Ви маєте запустити програму Windows Security (Безпека Windows) і обрати там меню “Фаєрвол та захист мереж”. Для більш гнучкої конфігурації цих параметрів відкрийте програму “Фаєрвол та захист Windows”. В мережі також можна їх налаштовувати через групові політики та налаштування сервера.
З точки зору безпеки найбільшу небезпеку для комп’ютерів з Windows 10 становить саме момент підключення до безпровідних мереж. Великі компанії можуть це покращити через надання підтримки 802.1Х стандарту підключення, який застосовує різні права доступу замість введення паролів доступу до Wi-Fi (як у стандарті WPA2). У доменних мережах на основі Windows Ви можете користуватися опцією DirectAccess, щоб дозволити різним пристроям підключатися до мережі.

Нарешті, якщо Ви маєте підключатися до мереж із слабким ступенем захисту та низькою довірою, краще робіть це через VPN. Windows 10 підтримує більшість популярних корпоративних VPN- пакетів від сторонніх виробників. А налаштувати його можна через пункти Мережі та Інтернет > VPN у відповідних налаштуваннях системи.

нагадаємо, компанія Microsoft випустила пакет оновлень, які усувають 64 уразливості в продуктах компанії, у тому числі дві уразливості нульового дня в ОС Windows, які активно експлуатуються зловмисниками.

Як відомо, 10 березня 2019 року в офіційному блозі Google з’явилася інформація про те, що компанії вдалося виявити у Windows 7 одразу дві критичних уразливості, які вже використовуються хакерами для впровадження шкідливого коду в операційній системі.

Окрім цього, Microsoft скоро випустить нову ОС, яка працює в два рази швидше звичайної Windows 10. Досягти цього вдалося за рахунок оптимізації коду, позбавлення від непотрібних функцій, а також відмови від ряду інших можливостей, які, як показує практика, практично ніким не використовуються.

Автор: Максим Побокін