Windows 10 является наиболее безопасной из всех версий Windows

Microsoft добавила две новые функции безопасности для корпоративных пользователей в Windows 10, но до недавнего времени, компания не слишком сильно их рекламировала.
 

Основная шумиха была сосредоточена вокруг Windows Hello, которая поддерживает распознавание лиц и отпечатки пальцев. Device Guard и Credential Guard являются двумя выдающимися функциями безопасности Windows 10 — они защищают ядро от вредоносных программ и предотвращают получение удаленного контроля над машиной. Device Guard и Credential Guard предназначены для бизнес-систем, и доступны только в редакциях Windows 10 Enterprise и Windows 10 Education.
 

«Очевидно, что Microsoft много думала о типах атак, затрагивающих корпоративных клиентов, и повысила уровень безопасности», говорит Ян Трамп, руководитель безопасности из LogicNow.

Device Guard обеспечивает безопасность на основе виртуализации в Windows 10, позволяя запускать на устройствах только доверенные приложения. Credential Guard защищает корпоративные учетные данные путем их изоляции в аппаратной виртуальной среде. Microsoft изолирует критические сервисы Windows в виртуальной машине, чтобы блокировать манипуляции с ядром и другими чувствительными процессами. Новые функции полагаются на ту же технологию гипервизора, которая уже используется в Hyper-V.
 

Использование аппаратной виртуализации для расширения белых списков и защита учетных данных, были «блестящим ходом» Microsoft, заявил старший стратег безопасности из Sophos Честер Вишневски.
 

На прошлой неделе Microsoft опубликовала техническое руководство для Device Guard и Credential Guard на TechNet.
 

Строгая изоляция приложений

Device Guard полагается на аппаратное и программное обеспечение, блокируя машину таким образом, что на ней могут работать только доверенные приложения. Приложения должны иметь действительную криптографическую подпись от конкретных поставщиков программного обеспечения или от Microsoft, если приложение поставляется через Windows Store.
 

Несмотря на то, что вирусописатели крадут сертификаты для подписи вредоносного ПО, большинство вредоносных программ содержат неподписанный код. Использование политики подписанных приложений заблокирует большинство вредоносных атак.
 

«Это отличный способ защиты от атак нулевого дня», говорит Трамп.
 

Несмотря на то, что этот подход аналогичен подходу Apple с App Store, есть и отличие: Microsoft признает, что предприятиям нужен широкий спектр приложений. Компании могут подписать свое собственное программное обеспечение без необходимости вносить изменения в код. Они также могут подписать приложения, которые они знают и которым доверяют (например, написанные для них по заказу). Таким образом, организации могут создавать список доверенных приложений, независимо от получения разработчиком действительной подписи от Microsoft.
 

Это дает организации контроль над источниками, которые Device Guard считает заслуживающими доверия. Device Guard поставляется с инструментами, позволяющими подписать универсальные или Win32 приложения, которые не были изначально подписаны производителем программного обеспечения. Очевидно, что Microsoft ищет золотую середину между полной блокировкой и открытостью, предлагая организациям некоторую свободу.

Внутри Device Guard больше, чем очередной механизм создания белых списков. Он обрабатывает белый список таким образом, при котором информация защищена виртуальной машиной. То есть, вредоносные программы или злоумышленник с правами администратора не смогут подделать проверку политик.
 

Device Guard изолирует сервисы Windows, подтверждающие легитимность драйверов и кода на уровне ядра в виртуальном контейнере. Даже если вредоносная программа заражает машину, она не сможет получить доступ к этому контейнеру в обход проверки и выполнить вредоносные действия. Device Guard выходит за рамки старой функции AppLocker, которую могли обойти злоумышленники с административными привилегиями. Только обновленная политика с доверенной подписью может изменить политику управления приложением, установленным на устройстве.
 

«Это интересно для Windows – разместить права в изолированной среде», сказал Трамп. «Это может стать корпоративным стандартом».
 

Секреты изоляции

Credential Guard может быть не столь интересен, как Device Guard, но он адресован важному аспекту безопасности на предприятии: он хранит учетные данные домена в виртуальном контейнере, вдали от ядра и пользовательского режима операционной системы. Таким образом, даже если машина скомпрометирована, учетные данные не доступны для злоумышленника.
 

Постоянные атаки повышенной сложности основаны на возможости кражи учетных данных домена и пользователя для перемещения по сети и получения доступа к другим компьютерам.

Как правило, когда пользователи логинятся на компьютере, их хэшированные учетные данные хранятся в памяти операционной системы. Предыдущие версии Windows хранили учетные данные в Local Security Authority, а операционная система получала доступ к информации, используя удаленные процедурные вызовы. Вредоносные программы или хакеры, скрывающиеся в сети, могли украсть эти хэшированные учетные данные и использовать их в атаках типа pass-the-hash.
 

Изолируя эти учетные данные в виртуальном контейнере, Credential Guard предотвращает кражу хэша злоумышленниками, ограничивая им возможность перемещения по сети. Сочетание Device Guard и Credential Guard помогает блокировке среды и предотвращению постоянных угроз повышенной сложности.

«Реализация Microsoft не такая простая, как у некоторых вендоров, и у Microsoft отсутствует красивая панель, но включение функций безопасности (Credential Guard, Device Guard, двухфакторной аутентификации Microsoft Hello и BitLocker) делает операционную систему достойной звания «Enterprise» и очень трудной целью для взлома», сказал Трамп.
 

Не для всех

Наличия интересных функций не достаточно, чтобы стимулировать принятие. Несмотря на то, что для Windows 10 они прокладывают дорогу на предприятия, требования к оборудованию и изменению инфраструктуры задержат широкое принятие Device Guard и Credential Guard, по крайней мере на четыре или пять лет, предсказывает Вишневский.

 

Аппаратные требования довольно внушительные. Чтобы включить Device Guard и Credential Guard, машине нужен Secure Boot с поддержкой 64-разрядной виртуализации, прошивка Unified Extensible Firmware Interface (UEFI), и чип Trusted Platform Module (TPM). Только корпоративное оборудование включает в себя такие возможности. Например, бизнес-ноутбуки Lenovo ThinkPad и Dell Latitude обычно имеют эти характеристики, но потребительские модели, такие Lenovo Yoga 3 Pro — нет. Средства защиты уровня  гипервизора доступны только в случае, если компьютеры оснащены процессорами с расширениями для виртуализации, такими как Intel VT-х и AMD-V.
 

Регулярно путешествующие сотрудники, скорее всего, сделают выбор в пользу более легкого ноутбука, а большинство ультрабуков не имеют TPM-модуля. «Наибольшее беспокойство вызывают руководители», говорит Вишневский, так как они подвержены наибольшему риску нападения, при этом вполне могут использовать потребительские модели.
 

Аппаратная часть — не единственное препятствие для начала работы. Большинство организаций также должны внести изменения в инфраструктуру и процессы. Многие ИТ-специалисты не используют в настоящее время UEFI или Secure Boot, потому что они влияют на существующие рабочие процессы. ИТ-отделу могут быть не очень удобны компьютеры с Secure Boot. Легче удалить всю информации с машины, загрузив корпоративный образ, чем настраивать. Кроме того, некоторые машины могут использовать критически важные приложения с конкретными требованиями, которые не могут быть обновлены.
 

К счастью, Device Guard и Credential Guard не требуют решения «все-или-ничего». ИТ-специалисты могут построить новый домен с защитой Device Guard и Credential Guard и и перемещать в него пользователей, которые имеют соответствующее требованиям оборудование.

Машины, которые нельзя апгрейдить, можно оставить в существующем домене. Это позволяет ИТ-персоналу поддерживать «чистую» сеть, с политикой подписей и защищенными учетными данными и сосредоточить свое внимание на старых, «грязных» доменах.
 

Немногие предприятий считают, что текущее состояние корпоративной безопасности Windows является приемлемым. Cпредлагают путь для движения вперед, хотя и требуют значительных инвестиций. Готовы ли предприятия идти по этому пути, покажет время.