Приємною є думка, що для безпеки Windows 10 є певний універсальний рецепт. Інсталювати кілька програм, змінити кілька налаштувань, пройти кілька тренінгів. Насправді все дещо складніше — немає “чарівної кулі” для всіх факторів небезпеки. Початкові установки лише вибудовують фундамент безпеки. Як тільки стартова конфігурація буде завершена, подальші дії вимагатимуть постійної пильності та вдосконалення. І багато в чому безпека не обмежиться безпекою конкретного пристрою, пише ZDNet.

Добре спланована політика безпеки вимагає уваги до мережевого трафіку, облікових записів електронної пошти, механізмів аутентифікації, управління серверами і багато іншого, що лежить десь “ззовні”.

Ця стаття покриває достатньо широкий спектр кейсів з бізнесу, кожен з яких починався з обговорення того, чим керуватися при виборі Windows 10 як базової ОС. Але це не універсальний рецепт. У великій компанії Ваш ІТ-відділ має містити спеціалістів з кібербезпеки, які будуть цим займатися.

У маленькій компанії без спеціалізованого відділу найкращим підходом буде запросити консультанта з кібербезпеки на аутсорсинговій основі. Якщо модель дозволяє наймати нових людей, Ви захочете найняти саме ту людину, яка розбирається у Вашій галузі та може підтвердити, що всі Ваші комп’ютери відповідають всім вимогам безпеки.

Управління оновленнями

Перша і найважливіша річ, яку треба перевіряти на комп’ютерах з Windows 10 —впевнитися, що оновлення приходять регулярно та передбачувано. Це актуально для кожного сучасного комп’ютера, але модель “Windows як сервіс”, яку запровадила Microsoft з Windows 10, дає можливість ще й робити оновлення за розкладом. Перед цим необхідно зрозуміти, що є кілька видів оновлень Windows 10, які працюють по-різному.

Оновлення якості (Quality updates) звичайно приходять щомісяця, направлені на покращення безпеки та надійності роботи системи. Не містять новинок в інтерфейсі тощо. Всі вони є “кумулятивними” — Вам не потрібно встановлювати всі минулі оновлення при перевстановленні системи, а встановити лише останні з них.

Функціональні оновлення (Feature updates) — це аналог того, що називають новими версіями програм. Вони містять нові функції, потребують багато місця для встановлення, режим повної установки. У Windows 10 функціональні оновлення випускаються двічі на рік — у квітні та жовтні і також розповсюджуються через Windows Update.

За умовчанням, пристрої на Windows 10 завантажують і встановлюють оновлення, як тільки ті з’являються на серверах Microsoft. У версії Windows 10 Home нема можливості налаштувати оновлення за розкладом, тоді як у вищих, бізнес-версіях Windows 10 адміністратори мають можливість встановлення оновлень за розкладом.

Коли йдеться про безпеку, вибір часу встановлення оновлень породжує дилему. З одного боку, оновлення мають встановлюватися настільки швидко, наскільки це можливо. З іншого, відтермінування оновлень дає можливість уникнути певних затримок у роботі компанії (особливо, якщо йдеться про великі компанії).

Версії Windows 10 Pro, Enterprise та Education дозволяють відтерміновувати інсталяцію оновлень якості до 30 днів, а функціональних оновлень — і до 2 років, в залежності від версії Windows 10. Відтермінування оновлення якості на термін від 7 до 15 днів — найбільш безпечна тактика (оскільки вже були випадки оновлень з помилками, що призводили до втрати даних або були несумісними з певними апаратними конфігураціями). Ви можете налаштувати оновлення на власному комп’ютері через засоби налаштування (Setting  > Update & Security > Advanced Options або Налаштування > Оновлення та безпека > Розширені опції).

У великих компаніях адміністратори можуть налаштувати оновлення за розкладом через групові політики або управління мобільними пристроями. Ви можете також це зробити централізовано через такі засоби керування Windows 10, як System Center Configuration Manager або Windows Server Update Services. Оновлювати слід не лише Windows, але й інші програми — наприклад, оновлення під офісні програми від Microsoft та Adobe мають також завантажуватися автоматично.

Управління обліковими записами користувачів

На кожному комп’ютері з Windows 10 має бути як мінімум один обліковий запис, який в свою чергу, може бути захищений паролем або іншими додатковими механізмами аутентифікації. Налаштування цього екаунту — ключ до безпеки пристрою. Комп’ютери, що працюють під Windows 10 Pro, Enterprise та Education, можуть бути об’єднані в один домен. У цьому випадку адміністратори домена мають доступ до налаштувань активного каталогу (Active Directory) з локального сервера та можуть встановлювати права доступу користувачів, груп користувачів та комп’ютерів до локальних та мережевих ресурсів.

Якщо комп’ютери з Windows 10 не входять до якогось домена (це часто буває у невеликих компаніях), Ви можете вибрати з трьох варіантів облікових записів:

  1. Локальні акаунти — мають повноваження, які зберігаються виключно на пристрої.
  2. Екаунти Microsoft — вільно надаються для використання і дозволяють синхронізацію даних і налаштувань на різних пристроях, також вони підтримують двохфакторну аутентифікацію та різні варіанти відновлення паролів
  3. Екаунти Azure Active Directory, які пов’язані з налаштуванням доменів і можуть управлятися централізовано. Базові варіанти Azure Active Directory безкоштовні і включаються в пакети програм Office 365 Business та Enterprise, додаткові опції надаються у платних оновленнях.

Перший екаунт на Windows 10 має повноваження адміністратора за умовчанням. Він має права на встановлення програм та зміни конфігурації системи. Всі інші облікові записи повинні мати повноваження стандартного користувача — для того, щоб недосвідчені користувачі не нанесли шкоди системі своїми діями та не встановлювали туди небажане програмне забезпечення.

Всі екаунти, незалежно від їхніх повноважень, мають бути захищені паролями, які важко підібрати. В локальних мережах адміністратори можуть для додаткового захисту застосовувати групові політики або програми для управління мобільними пристроями. Також для покращення безпеки аутентифікації використовують функціонал Hello, що з’явився у Windows 10 та передбачає двохетапну аутентифікацію, якщо потрібно увійти до системи через екаунти Microsoft, Active Directory чи Azure AD (або через інший мережевий обліковий запис, який підтримує FIDO 2.0).

Після того, як екаунт з вищезгаданих було підтверджено, користувач може увійти в ОС за ПІН-кодом або за біометричною ідентифікацією (відбиток пальця тощо). Біометричні дані зберігаються лише на пристроях і тому захищені від різних атак, що крадуть паролі. На пристроях, які асоційовані з робочими екаунтами, адміністратори можуть використовувати Windows Hello for Business для того, щоб вдосконалити вимоги до ПІН-кодів. Нарешті, якщо ви використовуєте на робочих комп’ютерах акаунти Microsoft чи Azure AD, ви маєте встановити мультифакторну авторизацію для захисту екаунтів від атак ззовні.

На екаунтах Microsoft двофакторна авторизація працює за цим посиланням — https://account.live.com/proofs. Для екаунтів Office 365 Business та Enterprise адміністратор має перш за все дозволити використовувати цю опцію через портал Office 365, а потім вже користувачі самі все налаштують за посиланням – https://account.activedirectory.windowsazure.com/r#/profile.

Нагадаємо, Microsoft скоро випустить нову ОС, яка працює в два рази швидше звичайної Windows 10. Досягти цього вдалося за рахунок оптимізації коду, позбавлення від непотрібних функцій, а також відмови від ряду інших можливостей, які, як показує практика, практично ніким не використовуються.

Також розробники додали в програмне забезпечення “Захисник Windows” нову можливість, але спеціально її відключили, щоб у користувачів виникали проблеми. Мова йде про спеціальне налаштування, яке перевірить будь-яке завантаження додатку на комп’ютер.

Окрім цього, у п’яти найпопулярніших менеджерах паролів для Windows 10 – 1Password 7, 1Password 4, Dashlane, KeePass і LastPass – виявили вразливості.

Автор: Максим Побокін