Windows 8 – разработана с заботой о безопасности
Как вы уже, возможно, слышали, основная цель разработки Windows 8 — создание интерфейса, который нравился бы людям и соответствовал решениям корпоративного класса, необходимым бизнесу. Windows 8 — это готовое корпоративное решение по своему замыслу, в нем воплощены все достоинства Windows 7 наряду с современной платформой, предназначенной для нового поколения компьютеров.
Статья первоначально была опубликована Крисом Холламом (Chris Hallum) на английском языке здесь.
Привет, меня зовут Крис Холлам, я — старший менеджер по продукции из группы Windows. На этой неделе мы участвовали в конференции RSA в Сан-Франциско и докладывали о некоторых преимуществах Windows 8 в сфере безопасности. Как вы уже, возможно, слышали, основная цель разработки Windows 8 — создание интерфейса, который нравился бы людям и соответствовал решениям корпоративного класса, необходимым бизнесу. Windows 8 — это готовое корпоративное решение по своему замыслу, в нем воплощены все достоинства Windows 7 наряду с современной платформой, предназначенной для нового поколения компьютеров.
Что касается безопасности — все мы знаем, что атаки на организации, пользователей и данные всё учащаются. Кстати, возможно, вы недавно читали ряд историй на сайте лаборатории Касперского об анализе вируса Red October, который, по данным Касперского, использовался в одной из самых изощренных кибератак в истории. Эта кампания была нацелена на государственные и научно-исследовательские организации (например, занимающиеся ядерными исследованиями), нефтегазовые компании, аэрокосмические и военные организации во всем мире. В результате удалось получить доступ ко многим документам и секретной информации. Это настоящая катастрофа для пострадавших, и вряд ли эти организации когда-нибудь смогут узнать, к какой информации был получен доступ.
Именно угрозы, подобные Red October, помогли нам сформулировать приоритеты безопасности для Windows 8. Мы поставили цель: обеспечить совершенно новый уровень устойчивости к вредоносным программам, сделать шифрование данных достаточно простым для того, чтобы каждый мог воспользоваться им, и наконец, модернизировать контроль доступа.
Мы понимаем, что достичь этих целей одними только программными средствами невозможно, нам необходимо заложить основы безопасности в неизменяемой аппаратной части. Поэтому в начале цикла разработки Windows 8 мы тесно сотрудничали с нашими партнерами в отрасли аппаратного обеспечения, чтобы убедиться, что оборудование, необходимое для достижения наших целей, будет доступно в качестве опций или даже будет соответствовать основным требованиям к сертификации аппаратуры для Windows 8.
Сегодня существует несколько аппаратных компонентов, играющих важную роль в обеспечении безопасности Windows 8, и я хочу коротко рассказать вам о них.
Универсальный расширяемый интерфейс Universal Extensible Firmware Interface (UEFI)
UEFI — это стандартизированное, независимое от архитектуры решение, созданное рабочей группой Unified EFI Forum, которое может использоваться вместо BIOS. Оно обеспечивает оборудованию ряд преимуществ, но с точки зрения безопасности наиболее интересна его функция безопасной загрузки (Secure Boot). Безопасная загрузка рассчитана на сценарий, при котором вредоносное ПО встраивается между оборудованием и операционной системой, что позволяет ему существовать скрытно от Windows и антивирусного ПО. Решение UEFI может обнаруживать код без доверия на пути начальной загрузки и предотвращать его запуск. Многие из наиболее сложных и эффективных вредоносных программ, с которыми мы сталкивались, используют такую тактику. Однако на системах с интерфейсом UEFI это теперь невозможно.
UEFI позволяет выполнить безопасную загрузку системы; однако атаке могут подвергаться и другие элементы процесса загрузки. Для противодействия этим видам угроз в Windows 8 включена доверенная загрузка (Trusted Boot), повышающая защищенность всего процесса начальной загрузки от начала до конца, до появления окна входа в учетную запись Windows. Кроме того, элементы антивирусного ПО, которые ранее могли запускаться после окончания процесса загрузки и, возможно, после запуска вредоносных программ, перемещены в процесс доверенной загрузки, где они могут запускаться первыми и быть защищены. Сочетание безопасной и доверенной нагрузки радикально меняет ситуацию с сопротивлением вредоносному ПО в операционной системе Windows. По сути, эти две функции на архитектурном уровне устраняет возможности для заражения устройств с операционной системой Windows вредоносным ПО низкого уровня, таким как буткиты и руткиты.
Доверенный платформенный модуль Trusted Platform Module (TPM) 2.0
UEFI обеспечивает Windows защищенный корень доверия и безопасный запуск, а какова ситуация с защитой зашифрованных данных? Если помните, в Windows Vista и Windows 7 шифрование диска BitLocker получило преимущество перед чипом доверенного платформенного модуля TPM. Мы использовали его для защиты ключей, применяемых для шифрования дисков с защитой BitLocker. TPM — прекрасное решение для этих целей, однако оно оказалось сложным для отрасли в силу стоимости устройств и региональных ограничений на применение.
Для решения этих проблем корпорация «Майкрософт» совместно с Trusted Computing Group (TCG) внесла ряд улучшений в спецификацию TPM 2.0. В спецификацию 2.0 добавлена функция, позволяющая использовать ТРМ в глобальных сценариях, а также снизить стоимость решений на основе ТРМ, базирующихся на встроенном ПО. Эти решения, основанные на встроенном ПО, работают на устройствах ARM и процессорах Intel с технологией Platform Trust Technology (PTT). Поскольку решение на базе встроенного ПО позволяет эффективно свести стоимость ТРМ к нулю, наблюдается тенденция добавления ТРМ в гораздо более широкий ассортимент устройств, включая устройства потребительского класса, которые могут использоваться в сценариях BYOD. По этой причине новые функции, использующие преимущества TPM, такие как Virtual Smartcards, Measured Boot, Hardware secured Certificates и ASLR стали приоритетными для Windows 8. TPM больше не предназначается только для BitLocker!
Зашифрованные жесткие диски
Теперь я хотел бы немного поговорить о новом оборудовании, которое позволит вам поднять уровень шифрования данных на максимально высокий уровень. Windows 8 поддерживает новый тип жестких дисков, называемых «зашифрованными жесткими дисками» (Encrypted Hard Drive). Диски Opal, разработанные на базе этих стандартов, содержат встроенные аппаратные средства для шифрования, переносящие процесс обработки с центрального процессора устройства непосредственно на жесткий диск. Шифрование данных на зашифрованном жестком диске включено постоянно, поэтому незашифрованных данных на вашем жестком диске не будет. Обеспечение безопасности жестких дисков с использованием технологий TPM и BitLocker занимает около секунды, что гораздо лучше по сравнению с традиционными дисками, где для тех же целей необходимы часы работы. Зашифрованные жесткие диски, защищенные BitLocker, являются лучшим решением как для ИТ-служб, так и для пользователей. Это самый простой способ обеспечить максимальный уровень соответствия требованиям безопасности в вашей организации.
Чтобы узнать больше о безопасности Windows 8, следите за моими сообщениями и посещайте страницу Windows 8 security.