Win10值得关注的安全功能
微软的下一代操作系统Windows 10即将于今年7月29日向现有Windows 7及Windows 8.1用户免费开放。不过Windows企业版的客户们还需要等到今年晚些时候才能迎来属于自己的解决方案。
在微软新一代Windows 10操作系统的全新主要安全特性当中,我们赫然看到了应用程序审查与生物认证两项标题。软件巨人在今天的公告中指出,这一切都将随着Windows 新版本于今年7月29日的免费发布被交付至现有Windows 7及Windows 8用户手中。
Windows 10的来临使得一切关于Windows即将消亡——特别是考虑到微软在Windows 8版本中武断地直接推出磁贴界面并移除开始菜单的情况——的传闻消弭于无形,或者说至少暂时平息了下来。除了我们所喜爱的开始菜单将会强势回归、昵称“小娜”的Cortana个人助手上线以及名为Edge的更新、更快、更具个性的浏览器方案的亮相,微软还会在Windows 10当中引入一系列全新安全功能——而且其中大部分将直接登陆Windows 10的首发版本。
Windows安全专家Marc Maiffret指出,随着Windows 10安全功能与全新Windows Store中应用程序认证与审查机制的结合,微软公司正着手将桌面生态系统推向与智能手机类似的新方向——这对于安全工作而言无疑算是一个好消息。“其中包含不少有趣的安全机制,我们可以利用其在安全保障工作中更好地控制环境内的应用程序与代码,”他解释称。
1. Device Guard
微软公司的全新Device Guard旨在对全部尝试访问Windows 10设备及其网络体系的应用程序进行审查,从而彻底阻断零日攻击的出现。它基本上会默认将全部应用程序阻断在外,除了那些拥有特定软件供应商、Windows应用程序商店以及企业自身确认许可的应用。
宏基、富士通、惠普、NCR、联想、PAR以及东芝等厂商已经与微软方面达成协议,共同将Device Guard引入自己的Windows设备当中。其能够支持销售系统、ATM机以及其它运行有Windows系统的各类物联网型设备。
“为了帮助用户免受恶意软件的侵扰,当某款应用程序开始执行时,Windows会首先检测该应用是否可信,并在发现其不可信时向用户发出通知。Device Guard能够利用硬件技术与虚拟化机制将这一额外许可功能与Windows操作系统中的其它组件隔离开来,而这有助于保护用户免受已经获得了系统整体权限的攻击者或者恶意软件的骚扰,”微软公司的Chris Hallum在最近发布的一篇相关功能介绍博文当中写道。
微软的Hallum同时指出,与其它杀毒及白名单软件不同,那些能够进行系统证书篡改或者未知类型的恶意软件同样很难脱离Device Guard的法眼,而且其可以同杀毒、白名单乃至其它应用程序控制产品协同工作。
“传统杀毒解决方案与应用程序控制技术都能够立足于Device Guard机制,从而阻断基于可执行文件及脚本的恶意软件,而杀毒工具也将继续涵盖Device Guard力有不逮的JIT应用(例如Java)与文件内的宏等领域,”Hallum补充道。
有趣的是,Device Guard同样能够以虚拟化方式运行,这意味着如果Windows内核遭到突破,Device Guard仍然不会受到影响,微软方面指出。它仍然会审查所运行的软件是否符合管理策略提出的配置要求。
2. Windows Hello
Windows Hello已经被微软方面宣传为一项密码杀手型功能,其利用生物识别机制——包括用户的面孔、虹膜或者指纹——来启动Windows 10设备,而不再像过去那样只能使用讨厌且安全性低下的密码内容。
微软公司操作系统部门运营副总裁Joe Belfiore指出,Hello之所以安全性更高,是因为它允许用户对应用程序、企业内容以及在线体验进行验证,而无需在用户设备或者网络服务器端存储任何密码内容。
不过问题在于,我们需要一台具备指纹识别器及扫描软硬件装置的设备,因为只有这样才能顺利通过面孔或者虹膜进行生物特征验证。此外,该设备还需要支持Windows Biometric框架。
“我们与硬件合作伙伴密切配合,旨在为Windows Hello提供具备支持能力且搭载有Windows 10系统的硬件设备。我们也兴奋地宣布,所有搭载有英特尔RealSense 3D摄像头(F200)的OEM系统都将支持Windows Hello的面部解锁功能,其中包括自动登录Windows,同时支持在无需输入PIN码的前提下解锁‘Passport’,”Belfiore在今天发布的一篇Windows 10博文中介绍称。
Maiffret表示,微软公司目前正在根据企业客户的需求进一步开发Hello的验证机制。“这套方案从加密角度讲能够显著提升安全性水平,因此其完全可以……被引入到企业环境下作为正式验证机制使用,”他指出。
3. Passport
配合前面提到的密切机制清退举措,Windows 10还为我们带来了一项名为Passport的新功能,允许用户在无需密码的前提下登录应用程序、网站以及网络。
“Windows 10会要求用户确认对当前设备的所有权,而后提供根据通过PIN码或者配备有生物识别传感装置的设备通过Windows Hello验证身份。在通过‘Passport’认证之后,大家将能够立即访问更多网站及服务……包括您最喜爱的电子商务网站、电子邮件与社交网络服务、金融机构以及商业网络”等等,微软公司指出。
根据微软方面的证实,Passport还能够与微软的Azure Active Directory服务相协作,而用户的生物认证“签名”会以安全方式被保存在本地用户设备当中,且只用于解锁设备及Passport; 换言之,这部分信息不会通过网络传输。
不过虽然目前已经成为FIDO联盟当中的一员并着力在未来彻底将密码机制扔进历史的垃圾堆,但微软公司并不打算在Windows 10中就宣布密码的消亡。因此用户或者企业客户即使不愿或者无力承担部署Windows Hello及Passport相关装置的费用,也完全可以在Windows 10中继续使用传统密码与密码管理方案。
与此同时,微软公司还在Windows 10内部推出了一些初步但却非常关键的变更,包括利用容器技术与虚拟沙箱机制提高桌面系统的安全水平,Maiffret表示。“不过我敢肯定,在明年的黑帽大会或者其它类似活动上,就会有人宣称成功破解了Windows 10的沙箱方案,这是不可避免的结果。”
尽管如此,微软公司仍然将其引入了Windows系统,并作为一大足以改变游戏规则的重要改进,他表示。