Du har kanskje hørt at Microsoft har gjort Windows 10 sikrere enn noen av sine forgjengere, og pakker den med sikkerhetsgodbiter. Det du kanskje ikke vet er at noen av disse hevdede sikkerhetsfunksjonene ikke er tilgjengelige ut av esken, eller at de krever ekstra maskinvare - du får kanskje ikke sikkerhetsnivået du forutsa.
Funksjoner som Credential Guard er bare tilgjengelig for visse utgaver av Windows 10, mens den avanserte biometri som er lovet av Windows Hello krever en heftig investering i tredjeparts maskinvare. Windows 10 kan være det sikreste Windows-operativsystemet til dags dato, men den sikkerhetsvitende organisasjonen - og den enkelte brukeren - må ha følgende maskinvare og Windows 10-utgavekrav i tankene for å låse opp de nødvendige funksjonene for å oppnå optimal sikkerhet .
Merk: For tiden er det fire stasjonære utgaver av Windows 10 - Home, Pro, Enterprise og Education - sammen med flere versjoner av hver, og tilbyr varierende nivåer av beta- og forhåndsvisningsprogramvare. Woody Leonard bryter ned hvilken versjon av Windows 10 som skal brukes. Følgende sikkerhetsguide for Windows 10 fokuserer på standard Windows 10-installasjoner - ikke Insider Previews eller Long Term Servicing Branch - og inkluderer jubileumsoppdatering der det er relevant.
Riktig maskinvare
Windows 10 kaster et bredt nett med minimale maskinvarekrav som er lite krevende. Så lenge du har følgende, er det greit å oppgradere fra Win7 / 8.1 til Win10: 1 GHz eller raskere prosessor, 2 GB minne (for jubileumsoppdatering), 16 GB (for 32-bit OS) eller 20 GB (64-bit OS ) diskplass, et DirectX 9-grafikkort eller nyere med WDDM 1.0-driver, og en skjerm på 800 x 600 oppløsninger (7-tommers eller større skjermer). Det beskriver stort sett alle datamaskiner fra det siste tiåret.
Men ikke forvent at baseline-maskinen din skal være helt sikker, da minimumskravene ovenfor ikke støtter mange av de kryptografibaserte funksjonene i Windows 10. Win10s kryptografifunksjoner krever Trusted Platform Module 2.0, som gir et sikkert lagringsområde for kryptografisk nøkler og brukes til å kryptere passord, autentisere smartkort, sikker medieavspilling for å forhindre piratkopiering, beskytte virtuelle maskiner og sikre maskinvare- og programvareoppdateringer mot manipulering, blant andre funksjoner.
Moderne AMD- og Intel-prosessorer (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) støtter allerede TPM 2.0, så de fleste maskiner kjøpt de siste årene har den nødvendige brikken. Intels vPro fjernadministrasjonstjeneste, for eksempel, bruker TPM til å autorisere eksterne PC-reparasjoner. Men det er verdt å verifisere om TPM 2.0 eksisterer på et hvilket som helst system du oppgraderer, spesielt med tanke på at jubileumsoppdatering krever TPM 2.0-støtte i fastvaren eller som en separat fysisk chip. En ny PC, eller systemer som installerer Windows 10 fra bunnen av, må ha TPM 2.0 fra begynnelsen, noe som betyr at du har et godkjenningssertifikat (EK) som er forhåndsbestemt av maskinvareleverandøren når den sendes. Alternativt kan enheten konfigureres til å hente sertifikatet og lagre det i TPM første gang det starter opp.
Eldre systemer som ikke støtter TPM 2.0 - enten fordi de ikke har brikken installert eller er gamle nok til at de bare har TPM 1.2 - må installere en TPM 2.0-aktivert brikke. Ellers vil de ikke kunne oppgradere til jubileumsoppdatering i det hele tatt.
Mens noen av sikkerhetsfunksjonene fungerer med TPM 1.2, er det bedre å få TPM 2.0 når det er mulig. TPM 1.2 tillater bare RSA- og SHA-1-hashingalgoritme, og med tanke på at SHA-1 til SHA-2-migrering er godt i gang, er det problematisk å holde fast ved TPM 1.2. TPM 2.0 er mye mer fleksibel, siden den støtter SHA-256 og kryptografi med elliptisk kurve.
Unified Extensible Firmware Interface (UEFI) BIOS er neste maskinvare du må ha for å oppnå den mest sikre Windows 10-opplevelsen. Enheten må sendes med UEFI BIOS aktivert for å tillate Secure Boot, som sikrer at bare operativsystemprogramvare, kjerner og kjernemoduler signert med en kjent nøkkel kan kjøres i løpet av oppstartstiden. Secure Boot blokkerer rootkits og BIOS-malware fra å utføre skadelig kode. Secure Boot krever fastvare som støtter UEFI v2.3.1 Errata B og har Microsoft Windows Certification Authority i UEFI-signaturdatabasen. Mens det er en velsignelse fra et sikkerhetsperspektiv, har Microsoft som betegner Secure Boot obligatorisk for Windows 10 kjørt inn i kontrovers, da det gjør det vanskeligere å kjøre usignerte Linux-distribusjoner (for eksempel Linux Mint) på Windows 10-kompatibel maskinvare.
Jubileumsoppdatering installeres ikke med mindre enheten din er UEFI 2.31-kompatibel eller senere.
| Windows 10-funksjon | TPM | Inngang / utgang minnehåndteringsenhet | Virtualiseringsutvidelser | SLAT | UEFI 2.3.1 | Bare for x64-arkitektur |
|---|---|---|---|---|---|---|
| Legitimasjonsvakt | Anbefalt | Ikke brukt | Påkrevd | Påkrevd | Påkrevd | Påkrevd |
| Enhetsvakt | Ikke brukt | Påkrevd | Påkrevd | Påkrevd | Påkrevd | Påkrevd |
| BitLocker | Anbefalt | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk |
| Konfigurerbar kodeintegritet | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Anbefalt | Anbefalt |
| Microsoft Hei | Anbefalt | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk |
| VBS | Ikke obligatorisk | Påkrevd | Påkrevd | Påkrevd | Ikke obligatorisk | Påkrevd |
| UEFI Secure Boot | Anbefalt | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Påkrevd | Ikke obligatorisk |
| Attest for enhetens helse gjennom Measured Boot | Krever TPM 2.0 | Ikke obligatorisk | Ikke obligatorisk | Ikke obligatorisk | Påkrevd | Påkrevd |
Beefing up authentication, identity
Passordsikkerhet har vært et betydelig problem de siste årene, og Windows Hello beveger oss nærmere en passordfri verden ettersom den integrerer og utvider biometriske pålogginger og tofaktorautentisering for å "gjenkjenne" brukere uten passord. Windows Hello klarer også å være samtidig den mest tilgjengelige og utilgjengelige sikkerhetsfunksjonen i Windows 10. Ja, den er tilgjengelig i alle Win10-utgaver, men det krever betydelig maskinvareinvestering for å få mest mulig ut av det den har å tilby.
For å beskytte legitimasjon og nøkler krever Hello TPM 1.2 eller nyere. Men for enheter der TPM ikke er installert eller konfigurert, kan Hello bruke programvarebasert beskyttelse for å sikre legitimasjon og nøkler i stedet, så Windows Hello er tilgjengelig for stort sett alle Windows 10-enheter.
Men den beste måten å bruke Hello på er å lagre biometriske data og annen autentiseringsinformasjon i den innebygde TPM-brikken, da maskinvarebeskyttelsen gjør det vanskeligere for angripere å stjele dem. Videre, for å dra full nytte av biometrisk autentisering, er ekstra maskinvare - for eksempel et spesialisert opplyst infrarødt kamera eller en dedikert iris- eller fingeravtrykksleser - nødvendig. De fleste bærbare datamaskiner i forretningsklassen og flere linjer med bærbare datamaskiner til forbruker leveres med fingeravtrykkskannere, slik at bedrifter kan komme i gang med Hello under alle utgaver av Windows 10. Men markedet er fortsatt begrenset når det gjelder dybdefølende 3D-kameraer for ansiktsgjenkjenning og netthinne skannere for iris-skanning, så Windows Hallos mer avanserte biometri er en fremtidig mulighet for de fleste, snarere enn en daglig virkelighet.
Windows Hello Companion Devices er tilgjengelig for alle Windows 10-utgaver, og er et rammeverk for å tillate brukere å bruke en ekstern enhet - for eksempel en telefon, tilgangskort eller bærbar - som en eller flere autentiserende faktorer for Hello. Brukere som er interessert i å jobbe med Windows Hello Companion Device for å streife med Windows Hello-legitimasjonen deres mellom flere Windows 10-systemer, må ha Pro eller Enterprise installert på hver enkelt.
Windows 10 hadde tidligere Microsoft Passport, som gjorde det mulig for brukere å logge på pålitelige applikasjoner via Hello-legitimasjon. Med jubileumsoppdatering eksisterer ikke Passport lenger som en egen funksjon, men er innlemmet i Hello. Tredjepartsapplikasjoner som bruker Fast Identity Online (FIDO) -spesifikasjonen, vil kunne støtte enkel pålogging ved hjelp av Hello. For eksempel kan Dropbox-appen autentiseres direkte via Hello, og Microsofts Edge-nettleser gjør det mulig å integrere med Hello for å utvide til nettet. Det er også mulig å slå på funksjonen i en tredjepartsadministrasjonsplattform for mobilenheter. Den passordløse fremtiden kommer, men ikke helt ennå.
Holder skadelig programvare utenfor
Windows 10 introduserer også Device Guard, teknologi som setter tradisjonelt antivirus på hodet. Device Guard låser ned Windows 10-enheter og stoler på hvitelister for å la bare pålitelige applikasjoner installeres. Programmer kan ikke kjøres med mindre de er trygge ved å sjekke filens kryptografiske signatur, som sikrer at alle usignerte applikasjoner og skadelig programvare ikke kan kjøres. Device Guard er avhengig av Microsofts egen Hyper-V virtualiseringsteknologi for å lagre hvitelistene på en skjermet virtuell maskin som systemadministratorer ikke får tilgang til eller tukler med. For å dra nytte av Device Guard, må maskiner kjøre Windows 10 Enterprise eller Education og støtte TPM, maskinvare-CPU-virtualisering og I / O-virtualisering. Device Guard er avhengig av Windows herding som Secure Boot.
AppLocker, kun tilgjengelig for Enterprise og Education, kan brukes sammen med Device Guard for å sette opp retningslinjer for kodeintegritet. For eksempel kan administratorer bestemme seg for å begrense hvilke universelle applikasjoner fra Windows Store som kan installeres på en enhet.
Konfigurerbar kodeintegritet er en annen Windows-komponent som verifiserer at koden som kjører er klarert og vismann. Kjernemodus kodeintegritet (KMCI) forhindrer kjernen i å utføre usignerte drivere. Administratorer kan administrere policyene på sertifikatmyndighet eller utgivernivå, samt de individuelle hashverdiene for hver binær kjørbar. Siden mye av skadelig programvare har en tendens til å være usignert, lar distribusjon av kodeintegritetspolicyer organisasjoner umiddelbart beskytte mot usignert skadelig programvare.
Windows Defender, som først ble utgitt som frittstående programvare for Windows XP, ble Microsofts standard beskyttelsespakke for skadelig programvare, med antispionvare og antivirus, i Windows 8. Defender deaktiveres automatisk når en tredjeparts antimalwarepakke er installert. Hvis det ikke er noe konkurrerende antivirus- eller sikkerhetsprodukt installert, må du sørge for at Windows Defender, tilgjengelig i alle utgaver og uten spesifikke maskinvarekrav, er slått på. For brukere av Windows 10 Enterprise er det Windows Defender Advanced Threat Protection, som tilbyr sanntids atferdstruseanalyse for å oppdage angrep på nettet.
Sikring av data
BitLocker, som sikrer filer i en kryptert beholder, har eksistert siden Windows Vista og er bedre enn noensinne i Windows 10. Med jubileumsoppdatering er krypteringsverktøyet tilgjengelig for Pro-, Enterprise- og Education-utgaver. I likhet med Windows Hello fungerer BitLocker best hvis TPM brukes til å beskytte krypteringsnøklene, men det kan også bruke programvarebasert nøkkelbeskyttelse hvis TPM ikke eksisterer eller ikke er konfigurert. Å beskytte BitLocker med et passord gir det mest grunnleggende forsvaret, men en bedre metode er å bruke et smartkort eller Encrypting File System for å opprette et filkrypteringssertifikat for å beskytte tilknyttede filer og mapper.
Når BitLocker er aktivert på systemstasjonen og brute-force-beskyttelse er aktivert, kan Windows 10 starte PCen på nytt og låse tilgangen til harddisken etter et spesifisert antall feil passordforsøk. Brukere må skrive inn BitLocker-gjenopprettingsnøkkelen på 48 tegn for å starte enheten og få tilgang til disken. For å aktivere denne funksjonen, må systemet ha UEFI firmware versjon 2.3.1 eller nyere.
Windows Information Protection, tidligere Enterprise Data Protection (EDP), er bare tilgjengelig for Windows 10 Pro, Enterprise eller Education-utgaver. Det gir vedvarende kryptering på filnivå og grunnleggende rettighetsadministrasjon, samtidig som det integreres med Azure Active Directory og Rights Management-tjenester. Informasjonsbeskyttelse krever en slags administrering av mobilenheter - Microsoft Intune eller en tredjepartsplattform som VMwares AirWatch - eller System Center Configuration Manager (SCCM) for å administrere innstillingene. En administrator kan definere en liste over Windows Store- eller desktop-applikasjoner som har tilgang til arbeidsdata, eller blokkerer dem helt. Windows Information Protection hjelper med å kontrollere hvem som kan få tilgang til data for å forhindre utilsiktet informasjonslekkasje. Active Directory hjelper med å lette administrasjonen, men er ikke pålagt å bruke informasjonsbeskyttelse, ifølge Microsoft.
Virtualisering av sikkerhetsforsvar
Credential Guard, kun tilgjengelig for Windows 10 Enterprise og Education, kan isolere "hemmeligheter" ved hjelp av virtualiseringsbasert sikkerhet (VBS) og begrense tilgangen til privilegert systemprogramvare. Det hjelper med å blokkere angrep, men sikkerhetsforskere har nylig funnet måter å omgå beskyttelsen. Allikevel er det fortsatt bedre å ha Credential Guard enn å ikke ha det i det hele tatt. Den kjører bare på x64-systemer og krever UEFI 2.3.1 eller nyere. Virtualiseringsutvidelser som Intel VT-x, AMD-V og SLAT må være aktivert, samt IOMMU som Intel VT-d, AMD-Vi og BIOS Lockdown. TPM 2.0 anbefales for å aktivere Device Health Attestation for Credential Guard, men hvis TPM ikke er tilgjengelig, kan programvarebasert beskyttelse brukes i stedet.
En annen Windows 10 Enterprise and Education-funksjon er Virtual Secure Mode, som er en Hyper-V-beholder som beskytter domeneregistreringene som er lagret på Windows.
