Windows 10: najbezpieczniejszy system Windows w historii?

Nowe mechanizmy i funkcje wprowadzone do Windows 10 wskazują, że teza zawarta w tytule jest prawdziwa.

Od razu uprzedzamy – w przypadku tego tekstu prawo nagłówków Betteridge'a nie ma zastosowania (reguła, zgodnie z którą na każdy nagłówek kończący się znakiem zapytania można odpowiedzieć „nie”). Choć z ostateczną oceną zabezpieczeń najnowszej wersji Windows wypada poczekać przynajmniej jeszcze kilka miesięcy, to na razie wiele wskazuje na to, że teza zawarta w tytule jest prawdziwa.

Oczywiście, można by powiedzieć, że nie jest wielką sztuką bycie najbezpieczniejszym Windowsem w historii – ale ta opinia nie byłaby uzasadniona. Owszem, Microsoft przez lata (dekady?) miał problemy, ale od Windows XP (a dokładniej: od momentu udostępnienia drugiego Service Packa dla tego systemu) sytuacja zdecydowanie się poprawiła. Każda kolejna wersja Windows miała coraz skuteczniejsze, bardziej szczelne i rozbudowane zabezpieczenia i właściwie każda odpowiednio użytkowana i skonfigurowana zapewniała zadowalający dla większości użytkowników poziom zabezpieczeń. Wiele wskazuje, że Windows 10 z powodzeniem kontynuuje ten trend.

Zobacz również:

  • Reinstalacja systemu Windows - z chmury czy lokalnie?
  • OpenBSD już ze wsparciem dla Qualcomm Snapdragon X Elite
  • Kaspersky Lab z zakazem sprzedaży swoich produktów w USA

Pierwszą nowością związaną z bezpieczeństwem, która rzuca się w oczy użytkownikom, jest bez wątpienia Windows Hello, czyli funkcja pozwalająca użytkownikom logować się do systemu z wykorzystaniem skanowania linii papilarnych lub rozpoznawania twarzy (na urządzeniach wyposażonych w odpowiedni sprzęt – kamerę lub skaner biometryczny).

Nowi strażnicy systemu

Ale nie mniej istotnymi nowinkami są Device Guard oraz Credential Guard, których zadania polegają na zabezpieczeniu jądra systemu przed złośliwym oprogramowaniem oraz blokowaniu możliwości zdalnego przejęcia kontroli nad maszyną. Oba te narzędzia przeznaczone są dla użytkowników biznesowych – znalazły się w wydaniach Windows 10 Enterprise oraz Windows 10 Education.

„Microsoft najwyraźniej przyjrzał się sytuacji w firmach oraz typowym atakom skierowanym przeciwko organizacjom – i skokowo zwiększył bezpieczeństwo swojego systemu” – komentuje Ian Trump, lider działu bezpieczeństwa firmy LogicNow.

Device Guard wykorzystuje wbudowany do Windows 10 system zabezpieczający oparty na wirtualizacji – pozwalając na uruchamianie wyłącznie zaufanych aplikacji. Działanie Credential Guard polega z kolei na chronieniu kont i tożsamości użytkownika poprzez izolowanie w oddzielnych wirtualnych środowiskach (Microsoft już wcześniej wykorzystywał podobne rozwiązanie – przechowując w niezależnych środowiskach wirtualnych krytyczne usługi systemowe i blokując tym samym możliwość ich nieuprawnionego modyfikowania). Dodajmy, że obie nowe funkcje wykorzystują tę samą technologię hypervisora używaną już przez Hyper-V.

Device Guard to rozwiązanie zarówno sprzętowe, jak i programowe – dzięki niemu w systemie uruchamiane są tyle te aplikacje, które są w stanie przedstawić się odpowiednim podpisem cyfrowym (wystawionym przez zaufanego dewelopera lub sam Microsoft – np. w przypadku oprogramowania ze Sklepu Windows). Oczywiście słyszeliśmy już doniesienia o aplikacjach, które potrafią wykorzystywać skradzione certyfikaty – ale praktyka pokazuje, że zdecydowana większość malware’u nie jest w żaden sposób podpisana. A to oznacza, że Device Guard będzie skutecznie chronił Windows 10 przed absolutną większością potencjalnie niebezpiecznych aplikacji - Ian Trump zwraca tu uwagę, że to może byś skuteczny sposób blokowania wyjątkowo groźnych ataków typu ‘zero day’.

Warto dodać, że te system działa nieco podobnie do modelu przyjętego przez Apple w App Store dla iOS i OS X – jednak wydaje się, że Microsoft lepiej dopasował swoje rozwiązanie do potrzeb użytkowników biznesowych, dając firmom do dyspozycji narzędzia umożliwiające łatwe podpisywanie własnych aplikacji i tworzenie białych list zaufanego oprogramowania.

Wszystko to na pierwszy rzut oka może wydawać się stosunkowo prostym mechanizmem – jednak Device Guard jest naprawdę wysublimowanym rozwiązania. Usługi Windows są tu izolowane w środowiskach wirtualnych i nawet jeśli jakieś złośliwe oprogramowanie zdoła dostać się do systemu, to nie będzie w stanie sforsować zabezpieczeń takiego „pojemnika” i uruchomić swojego szkodliwego modułu. Mechanizmu tego nie da się też w łatwy sposób obejść (np. poprzez skorzystanie z konta o odpowiednio wysokich uprawnieniach) – uruchomić można tylko kod, który podpisany jest ważnym certyfikatem wystawionym przez zaufanego dostawcę.

Zabezpieczone tożsamości

Nie mniej istotną nowością jest Credential Guard, który ma do spełnienia co najmniej równie ważne zadanie: ochronę danych użytkownika wykorzystywanych do logowania, uwierzytelniania itp. Są one przechowywane w wirtualnym izolowanym środowisku, zupełnie oddzielone od kernela i aplikacji użytkownika. Oznacza to, że nawet jeśli ktoś zdoła zainfekować komputer i przejąć nad nim kontrolę, to i tak nie przejmie tożsamości użytkownika.

Microsoft może w ten sposób skutecznie zabezpieczyć firmy przed jednym z najbardziej rozpowszechnionych typów ataków – infekowaniem (np. za pomocą spear-phishingu) komputera jednego z pracowników, a następnie infiltrowaniem sieci z wykorzystaniem jego loginu i haseł. Do tej pory dane używane do uwierzytelniania były przechowane w pamięci operacyjnej lub Local Security Authority – problem w tym, że przestępcy dysponowali narzędziami umożliwiającymi ich przejmowanie. W Windows 10 ma to być zdecydowanie trudniejsze – własnie dzięki Credential Guard.

Warto jednak dodać, że popularyzowanie się tych nowych funkcji może przebiegać dość opornie – ponieważ obie mają dość wyśrubowane wymagania sprzętowe. Do skorzystania z Device Guard oraz Credential Guard niezbędny jest komputer obsługujący Secure Boot, 64-bitową wirtualizację, Unified Extensible Firmware Interface (UEFI) oraz wyposażony w układ Trusted Platform Module (TPM). Wymagania te spełnia wiele komputerów stacjonarnych i laptopów przeznaczonych dla biznesu – jednak faktem jest, że w wielu firmach korzysta się z modeli projektowanych raczej z myślą o użytkownikach domowych (a te tak zaawansowanych funkcji nie obsługują). Problem mogą mieć również użytkownicy popularnych ostatnio Ultrabooków – TPM zdecydowanie nie jest w nich standardem.

Stopniowe wdrażanie

Wyzwaniem dla firm będzie zresztą nie tylko doposażenie się w odpowiedni sprzęt – nie mniej ważne będzie stopniowe wdrażanie rozwiązań, które już teraz są dostępne w większości firmowych komputerów, ale nie są wykorzystywane (np. UEFI czy Secure Boot). Na szczęście ani Device Guard ani Credential Guard nie wymagają od firmowych administratorów natychmiastowej decyzji dot. wdrożenia i rzucania wszystkiego na jedną szalę – można np. stworzyć w firmie nową domenę, w której aktywne będą nowe zabezpieczenia i stopniowo wprowadzać do niej kolejne komputery (np. po dokonaniu niezbędnej modernizacji).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200