Penutupan dan penyekatan! Kerahkan Windows 10 untuk keselamatan maksimum

Anda mungkin pernah mendengar bahawa Microsoft telah menjadikan Windows 10 lebih selamat daripada pendahulunya, membungkusnya dengan barang keselamatan. Apa yang mungkin anda tidak ketahui adalah bahawa beberapa ciri keselamatan tersembunyi ini tidak tersedia di luar kotak atau mereka memerlukan perkakasan tambahan - anda mungkin tidak mendapat tahap keselamatan yang anda tawar.

Ciri-ciri seperti Credential Guard hanya tersedia untuk edisi Windows 10 tertentu, sementara biometrik lanjutan yang dijanjikan oleh Windows Hello memerlukan pelaburan yang besar dalam perkakasan pihak ketiga. Windows 10 mungkin merupakan sistem operasi Windows yang paling selamat setakat ini, tetapi organisasi yang mempunyai keselamatan - dan pengguna individu - perlu mengingat keperluan perkakasan dan edisi Windows 10 berikut untuk membuka kunci ciri yang diperlukan untuk mencapai keselamatan yang optimum .

Catatan: Pada masa ini, terdapat empat edisi desktop Windows 10 - Home, Pro, Enterprise, dan Education - bersama dengan beberapa versi masing-masing, yang menawarkan pelbagai tahap beta dan perisian pratonton. Woody Leonard memecah versi Windows 10 mana yang akan digunakan. Panduan keselamatan Windows 10 berikut menumpukan pada pemasangan Windows 10 standard - bukan Pratonton Orang Dalam atau Cabang Servis Jangka Panjang - dan termasuk Kemas kini Ulang Tahun jika perlu.

Perkakasan yang betul

Windows 10 memberikan jaring yang luas, dengan keperluan perkakasan minimum yang tidak memerlukan. Selagi anda mempunyai yang berikut, anda boleh meningkatkan dari pemproses Win7 / 8.1 ke Win10: 1GHz atau lebih pantas, memori 2GB (untuk Kemas kini Ulang Tahun), 16 GB (untuk OS 32-bit) atau 20 GB (OS 64-bit ) ruang cakera, kad grafik DirectX 9 atau lebih baru dengan pemacu WDDM 1.0, dan paparan resolusi 800-dengan-600 (skrin 7-inci atau lebih besar). Itu menggambarkan hampir semua komputer dari dekad yang lalu.

Tetapi jangan berharap mesin asas anda selamat sepenuhnya, kerana syarat minimum di atas tidak akan menyokong banyak keupayaan berasaskan kriptografi pada Windows 10. Ciri kriptografi Win10 memerlukan Trusted Platform Module 2.0, yang menyediakan kawasan penyimpanan selamat untuk kriptografi kunci dan digunakan untuk menyulitkan kata laluan, mengesahkan kad pintar, memainkan semula media yang selamat untuk mencegah cetak rompak, melindungi VM, dan mengemas kini perkakasan dan perisian yang selamat daripada gangguan, antara fungsi lain.

Pemproses AMD dan Intel moden (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) sudah menyokong TPM 2.0, jadi kebanyakan mesin yang dibeli dalam beberapa tahun kebelakangan ini mempunyai cip yang diperlukan. Perkhidmatan pengurusan jarak jauh vPro Intel, misalnya, menggunakan TPM untuk membenarkan pembaikan PC jarak jauh. Tetapi perlu disahkan sama ada TPM 2.0 ada pada sistem yang anda tingkatkan, terutamanya memandangkan Anniversary Update memerlukan sokongan TPM 2.0 dalam firmware atau sebagai cip fizikal yang berasingan. PC baru, atau sistem yang memasang Windows 10 dari awal, mesti mempunyai TPM 2.0 dari awal, yang bermaksud mempunyai sijil kunci sokongan (EK) yang telah disediakan oleh vendor perkakasan semasa dihantar. Sebagai alternatif, peranti boleh dikonfigurasikan untuk mengambil sijil dan menyimpannya di TPM pada kali pertama boot.

Sistem lama yang tidak menyokong TPM 2.0 - sama ada kerana mereka tidak memasang cip atau cukup lama sehingga mereka hanya mempunyai TPM 1.2 - perlu memasang cip berkemampuan TPM 2.0. Jika tidak, mereka sama sekali tidak dapat meningkatkan ke Kemas kini Ulang Tahun.

Walaupun beberapa ciri keselamatan berfungsi dengan TPM 1.2, lebih baik mendapatkan TPM 2.0 bila memungkinkan. TPM 1.2 hanya membenarkan algoritma hash RSA dan SHA-1, dan memandangkan migrasi SHA-1 ke SHA-2 sedang berjalan dengan baik, tetap dengan TPM 1.2 bermasalah. TPM 2.0 jauh lebih fleksibel, kerana ia menyokong kriptografi lengkung SHA-256 dan elips.

Unified Extensible Firmware Interface (UEFI) BIOS adalah bahagian perkakasan yang mesti ada untuk mencapai pengalaman Windows 10 yang paling selamat. Peranti perlu dihantar dengan UEFI BIOS yang diaktifkan untuk membolehkan Secure Boot, yang memastikan bahawa hanya perisian sistem operasi, kernel, dan modul kernel yang ditandatangani dengan kunci yang diketahui yang dapat dijalankan selama waktu boot. Secure Boot menyekat rootkit dan BIOS-malware daripada menjalankan kod jahat. Secure Boot memerlukan firmware yang menyokong UEFI v2.3.1 Errata B dan mempunyai Microsoft Windows Certification Authority dalam pangkalan data tandatangan UEFI. Walaupun keuntungan dari perspektif keselamatan, Microsoft menetapkan Secure Boot wajib untuk Windows 10 mengalami kontroversi, kerana menyukarkan menjalankan distribusi Linux yang tidak ditandatangani (seperti Linux Mint) pada perkakasan berkemampuan Windows 10.

Kemas kini Ulang Tahun tidak akan dipasang melainkan peranti anda mematuhi UEFI 2.31 atau lebih baru.

Senarai pendek keperluan Windows 10 dan keperluan perkakasan
Ciri Windows 10 TPM Unit pengurusan memori input / output Sambungan virtualisasi SLAT UEFI 2.3.1 Untuk seni bina x64 sahaja
Pengawal Kredensial Disyorkan Tidak digunakan Dikehendaki Dikehendaki Dikehendaki Dikehendaki
Pengawal Peranti Tidak digunakan Dikehendaki Dikehendaki Dikehendaki Dikehendaki Dikehendaki
BitLocker Disyorkan Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki
Integriti kod yang boleh dikonfigurasi Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Disyorkan Disyorkan
Microsoft Hello Disyorkan Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki
VBS Tidak dikehendaki Dikehendaki Dikehendaki Dikehendaki Tidak dikehendaki Dikehendaki
UEFI Secure Boot Disyorkan Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Dikehendaki Tidak dikehendaki
Pengesahan kesihatan peranti melalui Measured Boot Memerlukan TPM 2.0 Tidak dikehendaki Tidak dikehendaki Tidak dikehendaki Dikehendaki Dikehendaki

Meningkatkan pengesahan, identiti

Keselamatan kata laluan telah menjadi masalah penting dalam beberapa tahun kebelakangan ini, dan Windows Hello membawa kita lebih dekat ke dunia tanpa kata laluan kerana ia menggabungkan dan memperluas log masuk biometrik dan pengesahan dua faktor untuk "mengenali" pengguna tanpa kata laluan. Windows Hello juga berjaya menjadi ciri keselamatan Windows 10. yang paling mudah diakses dan tidak dapat diakses. Ya, ia tersedia di semua edisi Win10, tetapi memerlukan pelaburan perkakasan yang signifikan untuk memanfaatkan sepenuhnya apa yang ditawarkannya.

Untuk melindungi kelayakan dan kunci, Hello memerlukan TPM 1.2 atau lebih baru. Tetapi untuk peranti di mana TPM tidak dipasang atau dikonfigurasikan, Hello boleh menggunakan perlindungan berasaskan perisian untuk mendapatkan kelayakan dan kunci sebagai gantinya, jadi Windows Hello dapat diakses hampir pada mana-mana peranti Windows 10.

Tetapi kaedah terbaik untuk menggunakan Hello adalah dengan menyimpan data biometrik dan maklumat pengesahan lain dalam cip TPM on-board, kerana perlindungan perkakasan menyukarkan penyerang untuk mencurinya. Selanjutnya, untuk memanfaatkan sepenuhnya pengesahan biometrik, perkakasan tambahan - seperti kamera inframerah khas yang disinari atau iris khusus atau pembaca cap jari - diperlukan. Sebilangan besar komputer riba kelas perniagaan dan beberapa barisan komputer riba pengguna dihantar dengan pengimbas cap jari, yang membolehkan perniagaan memulakan dengan Hello di mana-mana edisi Windows 10. Tetapi pasaran masih terhad ketika datang ke kamera 3D penginderaan mendalam untuk pengecaman wajah dan retina pengimbas untuk pengimbasan iris, jadi biometrik Windows Hello yang lebih maju adalah kemungkinan masa depan bagi kebanyakan orang, dan bukannya kenyataan harian.

Tersedia untuk semua edisi Windows 10, Windows Hello Companion Devices adalah rangka untuk membolehkan pengguna menggunakan peranti luaran - seperti telefon, kad akses, atau boleh pakai - sebagai salah satu atau lebih faktor pengesahan untuk Hello. Pengguna yang berminat bekerja dengan Windows Hello Companion Device untuk berkeliaran dengan kelayakan Windows Hello mereka di antara beberapa sistem Windows 10 mesti mempunyai Pro atau Enterprise yang terpasang pada setiap sistem tersebut.

Windows 10 sebelumnya mempunyai Microsoft Passport, yang membolehkan pengguna masuk ke aplikasi yang dipercayai melalui kelayakan Hello. Dengan Kemas Kini Ulang Tahun, Pasport tidak lagi wujud sebagai ciri berasingan tetapi dimasukkan ke dalam Hello. Aplikasi pihak ketiga yang menggunakan spesifikasi Fast Identity Online (FIDO) akan dapat menyokong proses masuk tunggal melalui Hello. Sebagai contoh, aplikasi Dropbox dapat disahkan secara langsung melalui Hello, dan penyemak imbas Microsoft Edge memungkinkan penyatuan dengan Hello untuk meluas ke web. Anda juga boleh menghidupkan ciri ini di platform pengurusan peranti mudah alih pihak ketiga. Masa depan tanpa kata laluan akan datang, tetapi belum lagi.

Menjauhkan perisian hasad

Windows 10 juga memperkenalkan Device Guard, teknologi yang membalik antivirus tradisional di kepalanya. Device Guard mengunci peranti Windows 10, bergantung pada senarai putih untuk membiarkan hanya aplikasi yang dipercayai dipasang. Program tidak dibenarkan dijalankan melainkan ditentukan dengan selamat dengan memeriksa tandatangan kriptografi fail, yang memastikan semua aplikasi dan perisian hasad yang tidak ditandatangani tidak dapat dijalankan. Device Guard bergantung pada teknologi virtualisasi Hyper-V milik Microsoft untuk menyimpan senarai putihnya dalam mesin maya terlindung yang tidak dapat diakses atau diubah oleh pentadbir sistem. Untuk memanfaatkan Device Guard, mesin mesti menjalankan Windows 10 Enterprise atau Education dan menyokong TPM, virtualisasi CPU perkakasan, dan virtualisasi I / O. Device Guard bergantung pada pengerasan Windows seperti Secure Boot.

AppLocker, hanya tersedia untuk Perusahaan dan Pendidikan, dapat digunakan dengan Device Guard untuk menetapkan dasar integriti kod. Sebagai contoh, pentadbir boleh memutuskan untuk membataskan aplikasi universal mana dari Windows Store yang boleh dipasang pada peranti. 

Integriti kod yang boleh dikonfigurasikan adalah komponen Windows lain yang mengesahkan bahawa kod yang dijalankan dipercayai dan bijak. Integriti kod mod Kernel (KMCI) menghalang kernel daripada menjalankan pemacu yang tidak ditandatangani. Pentadbir boleh menguruskan polisi di peringkat sijil atau penerbit serta nilai hash individu untuk setiap binari yang dapat dilaksanakan. Oleh kerana kebanyakan perisian hasad komoditi cenderung tidak ditandatangani, menerapkan dasar integriti kod membolehkan organisasi segera melindungi daripada perisian hasad yang tidak ditandatangani.

Windows Defender, pertama kali diluncurkan sebagai perisian mandiri untuk Windows XP, menjadi rangkaian perlindungan malware lalai Microsoft, dengan antispyware dan antivirus, di Windows 8. Defender secara automatik dinonaktifkan ketika suite antimalware pihak ketiga dipasang. Sekiranya tidak ada antivirus atau produk keselamatan yang bersaing yang terpasang, pastikan Windows Defender, tersedia di semua edisi dan tanpa keperluan perkakasan tertentu, dihidupkan. Untuk pengguna Windows 10 Enterprise, terdapat Windows Defender Advanced Threat Protection, yang menawarkan analisis ancaman tingkah laku masa nyata untuk mengesan serangan dalam talian.

Melindungi data

BitLocker, yang mengamankan fail dalam bekas yang dienkripsi, telah ada sejak Windows Vista dan lebih baik daripada sebelumnya di Windows 10. Dengan Anniversary Update, alat penyulitan tersedia untuk edisi Pro, Enterprise, dan Education. Sama seperti Windows Hello, BitLocker berfungsi paling baik jika TPM digunakan untuk melindungi kunci penyulitan, tetapi ia juga dapat menggunakan perlindungan kunci berasaskan perisian jika TPM tidak ada atau tidak dikonfigurasi. Melindungi BitLocker dengan kata laluan memberikan pertahanan paling asas, tetapi kaedah yang lebih baik adalah menggunakan kad pintar atau Sistem Fail Penyulitan untuk membuat sijil penyulitan fail untuk melindungi fail dan folder yang berkaitan.

Apabila BitLocker diaktifkan pada pemacu sistem dan perlindungan brute-force diaktifkan, Windows 10 dapat menghidupkan semula PC dan mengunci akses ke cakera keras setelah sejumlah percubaan kata laluan yang tidak betul ditentukan. Pengguna perlu menaip kunci pemulihan BitLocker 48 watak untuk memulakan peranti dan mengakses cakera. Untuk mengaktifkan ciri ini, sistem perlu mempunyai firmware UEFI versi 2.3.1 atau lebih baru.

Windows Information Protection, sebelumnya Enterprise Data Protection (EDP), hanya tersedia untuk edisi Windows 10 Pro, Enterprise, atau Education. Ini menyediakan penyulitan tahap fail yang berterusan dan pengurusan hak asas, sementara juga berintegrasi dengan perkhidmatan Direktori Aktif dan Pengurusan Hak Azure. Perlindungan Maklumat memerlukan beberapa jenis pengurusan peranti mudah alih - Microsoft Intune atau platform pihak ketiga seperti AirMatch VMware - atau Pengurus Konfigurasi Pusat Sistem (SCCM) untuk menguruskan tetapan. Pentadbir dapat menentukan senarai aplikasi Windows Store atau desktop yang dapat mengakses data kerja, atau menyekatnya sepenuhnya. Perlindungan Maklumat Windows membantu mengawal siapa yang dapat mengakses data untuk mengelakkan kebocoran maklumat secara tidak sengaja. Active Directory membantu memudahkan pengurusan tetapi tidak diperlukan untuk menggunakan Perlindungan Maklumat,menurut Microsoft.

Memanfaatkan pertahanan keselamatan

Credential Guard, hanya tersedia untuk Windows 10 Enterprise dan Education, dapat mengasingkan "rahsia" menggunakan keselamatan berasaskan virtualisasi (VBS) dan menyekat akses ke perisian sistem istimewa. Ini membantu menyekat serangan pass-the-hash, walaupun penyelidik keselamatan baru-baru ini menemui cara untuk melewati perlindungan. Walaupun begitu, memiliki Credential Guard masih lebih baik daripada tidak memilikinya sama sekali. Ia hanya berjalan pada sistem x64 dan memerlukan UEFI 2.3.1 atau lebih tinggi. Sambungan virtualisasi seperti Intel VT-x, AMD-V, dan SLAT mesti diaktifkan, begitu juga IOMMU seperti Intel VT-d, AMD-Vi, dan BIOS Lockdown. TPM 2.0 dianjurkan untuk mengaktifkan Pengesahan Kesihatan Perangkat untuk Penjaga Kredensial, tetapi jika TPM tidak tersedia, perlindungan berdasarkan perisian dapat digunakan sebagai gantinya.

Satu lagi ciri Windows 10 Enterprise dan Education adalah Virtual Secure Mode, yang merupakan wadah Hyper-V yang melindungi kelayakan domain yang disimpan pada Windows.