December 15, 2014 4:04 am

Windows 10: современные инструменты безопасности и защиты учетных данных

Выпуск Windows 10 Technical Preview заинтересовал очень многих: число участников программы предварительной оценки Windows недавно достигло 1 млн, и мы получили более 200 000 отзывов. Мы благодарим всех, кто зарегистрировался для участия в программе и отправил нам свои отзывы. Мы хотим, чтобы Windows 10 полностью отвечала потребностям вашего бизнеса, и я с нетерпением жду ее выхода. В своем предыдущем посте я писал, что продолжу рассказывать о ключевых функциях новой ОС. Сегодня я хочу рассказать о безопасности в Windows 10. Этот вопрос был в центре активных обсуждений с пользователями с того самого момента, как было объявлено о выходе Windows 10 Technical Preview. Совершенно естественно, что вопросы безопасности и защиты информации имеют первостепенную важность для компаний.

Сегодня кибератаки на организации происходят повсеместно, а последствия их становятся все более серьезными. Недавно хакеры провели несколько атак на компании из списка Fortune 500. Они использовали украденные имена пользователей и пароли, с помощью которых смогли получить доступ к системам платежных терминалов и данным кредитных карт, которые обрабатывались этими системами. В результате атак были украдены номера миллионов кредитных карт, которые сразу были проданы на черном рынке. Недавно газета New York Times опубликовала статью о киберпреступной организации, которая украла 1,2 млрд. имен пользователей и паролей. Учитывая тот факт, что в мире всего 1,8 млрд. пользователей Интернета, такие данные выглядят устрашающе. Эти преступные организации и государственные структуры некоторых стран — не единственная угроза. Даже ваши собственные добросовестные сотрудники могут быть источником значительного риска, который следует минимизировать. Согласно опубликованному в этом году отчету компании Stroz Friedberg, предоставляющей услуги в области безопасности, 87 % руководителей высшего звена признали, что регулярно отправляют рабочие файлы на личную электронную почту или загружают их в облачную службу хранения данных, а 58 % пользователей признались, что хотя бы раз случайно отправляли конфиденциальную информацию не тому адресату.

В Windows 10 мы уделяем много внимания инструментам защиты от современных угроз безопасности. Мы совершенствуем функции защиты личных данных и информации, контроля доступа и противодействия угрозам. В этом выпуске операционной системы мы сделаем все возможное, чтобы уйти от однофакторных методов аутентификации, таких как пароли. ОС будет включать встроенную в платформу защиту от потери данных, а также ряд функций, которые помогут организациям защититься от вредоносного ПО, закрывая бреши, которые обычно используются для заражения.

Защита учетных данных и управление доступом

Для начала я хочу рассказать о решении, которое реализует очень современный подход к работе с удостоверениями и учетными данными пользователей и представляет собой новое поколение средств защиты учетных записей. Это решение обеспечивает защиту учетных данных пользователей в случае сбоя в системе безопасности центра обработки данных. В случае взлома устройств пользователи будут защищены от кражи данных, а риск кражи учетных данных во время фишинговых атак будет устранен практически полностью. Это решение эффективно и удобно как организациям, так и отдельным пользователям. Оно не сложнее пароля с точки зрения использования, однако обеспечивает безопасность на корпоративном уровне. Это результат работы, целью которой был уход от использования однофакторной идентификации (паролей). Мы считаем, что это решение выведет защиту учетных данных на новый уровень. Оно использует многофакторную защиту (которая до этого времени была представлена только смарт-картами) и интегрировано в операционную систему и в само устройство, поэтому ему не нужны дополнительные аппаратные устройства безопасности.

После регистрации сами устройства становятся одним из двух факторов, необходимых для аутентификации. Вторым фактором является ПИН-код или биометрическая информация, например, отпечаток пальца. С точки зрения безопасности это означает, что теперь злоумышленнику будет недостаточно получить учетные данные пользователя. Он также будет должен получить доступ к физическому устройству пользователя, а это в свою очередь потребует доступа к ПИН-коду или биометрической информации пользователя. Пользователи могут зарегистрировать каждое свое устройство с помощью новых учетных данных, или же они могут зарегистрировать одно устройство, например, свой мобильный телефон, который станет эффективным фактором аутентификации. В результате, имея мобильный телефон под рукой, они смогут получать доступ ко всем своим компьютерам, сетям и веб-службам. В этом случае телефон, используя Bluetooth или Wi-Fi, играет роль удаленной смарт-карты, и обеспечивает двухфакторную аутентификацию как для локального входа, так и для удаленного доступа.

Если посмотреть, как именно реализован этот компонент Windows 10, то ИТ-специалисты и специалисты по безопасности обнаружат, что лежащие в его основе технологии им хорошо знакомы. Учетные данные могут формироваться одним из двух способов. Это может быть пара ключей шифрования (закрытый и открытый ключи), которая сгенерирована Windows. Или это может быть сертификат, предоставленный устройству одной из имеющихся инфраструктур PKI. Благодаря поддержке обоих вариантов Windows 10 будет удобна для организаций, у которых уже имеется своя инфраструктура PKI. В то же время она подойдет для работы с веб-службами и для отдельных пользователей, когда защита учетных данных с помощью PKI не нужна и нецелесообразна. Active Directory, Azure Active Directory и учетные записи Майкрософт будут поддерживать новый формат работы с учетными данными без какой-либо дополнительной конфигурации, а это значит, что индивидуальные пользователи веб-служб Майкрософт смогут быстро уйти от использования паролей. Эта технология специально проектировалась таким образом, чтобы ее можно было использовать на разных платформах, в разных типах инфраструктур и для разных сценариев работы с веб-службами.

Защита учетных записей — это лишь одна составляющая нашего подхода к защите учетных данных. Другая оставляющая — это защита маркеров доступа, которые генерируются, когда ваши пользователи прошли проверку подлинности. Сегодня такие маркеры доступа все чаще становятся объектами атак с использованием технологий передачи хэша, передачи билета и др. Когда злоумышленник получает эти маркеры, он может получить доступ к ресурсам, выдав себя за нужного пользователя, и для этого даже не понадобятся учетные данные. Этот метод часто применяется в сочетании с продолжительными атаками повышенной сложности (APT) — и это еще одна причина, по которой мы очень хотим исключить этот метод атаки из арсенала хакеров. В Windows 10 это станет возможным благодаря архитектурному решению, которое хранит маркеры доступа пользователей внутри безопасного контейнера, работающего по технологии Hyper-V. Решение предотвращает извлечение маркеров из устройств даже в тех случаях, когда само ядро Windows подвергается атаке.

Защита информации

В Windows 10 мы значительного усовершенствовали защиту учетных данных. Защита информации тоже не осталась без внимания. Для начала я хотел бы представить вам некоторые факты, которые помогут понять, на что мы делаем ставку. Технология BitLocker стала ведущей в отрасли технологией защиты данных, находящихся на устройстве. Однако, как только данные покидают устройство, они уже не защищены. Для защиты данных вне устройства мы предлагаем службы управления правами Azure и службы управления правами на доступ к данным (IRM) в Microsoft Office. Однако, чтобы использовать эти службы, пользователь должен их активировать. Это создает некоторую брешь в защите организаций, так как если ваши пользователи самостоятельно не примут упреждающих мер, то они достаточно легко смогут по неосторожности сделать что-то, что приведет к утечке корпоративных данных. В Windows 10 мы решаем эту проблему с помощью компонента по защите от потери данных (DLP), который позволяет отделить корпоративные данные от личных данных пользователей и помогает защитить корпоративные данные за счет помещения их в контейнеры. Мы интегрировали этот функционал в платформу и пользовательский интерфейс, чтобы защиту можно было активировать без перебоев в работе, которые часто возникают при использовании других решений. Вашим пользователям не потребуется переключаться между режимами или приложениями, чтобы защитить корпоративные данные. То есть пользователи смогут обеспечить безопасность данных, не меняя свое привычное поведение. Защита корпоративных данных в Windows 10 включает автоматическое шифрование корпоративных приложений, данных, сообщений электронной почты, содержимого веб-сайтов и другой конфиденциальной информации при ее поступлении из корпоративной сети на устройство пользователя. А когда пользователи создают новое содержимое, наше решение помогает им разграничить корпоративные и личные документы. При необходимости компания может настроить политику, согласно которой все новое содержимое, созданное на устройстве, будет рассматриваться как корпоративное. Также можно настроить дополнительные политики, которые позволят предотвратить копирование данных из корпоративных документов в некорпоративные или во внешние места хранения, например, в социальные сети.

Итак, Windows 10 включает усовершенствованное решение по защите данных для компьютеров. А что насчет мобильных устройств? На платформе Windows Phone можно использовать тот же самый функционал, что и на платформе Windows для компьютеров. Кроме того, обеспечена полная совместимость, чтобы защищаемые документы были доступны с разных платформ. И в заключение темы о защите данных: Windows 10 позволит компаниям с помощью политик определять, каким приложениям разрешено получать доступ к корпоративным данным. По результатам ваших многочисленных отзывов мы несколько усовершенствовали этот функционал и расширили возможности политик, чтобы они отвечали требованиям работы с VPN.

Всем нам требуется доступ к корпоративным приложениям и документам, когда мы находимся в командировке или работаем дома. Организуя для пользователей удаленный доступ, ИТ-специалисты ищут способы снизить риски, связанные с подключением по VPN, особенно в сценариях работы на личных устройствах (BYOD). Windows 10 помогает ИТ-специалистам в этом деле, предоставляя ряд возможностей для управления VPN, начиная с создания постоянного подключения и заканчивая настройкой списка приложений, доступ к которым может быть разрешен по VPN. Благодаря таким спискам ИТ-специалисты смогут определять возможность доступа для конкретных приложений и управлять ими с помощью решений MDM (как для настольных, так и для универсальных приложений). Для администраторов, которым необходим более детальный контроль, мы предусмотрели возможность ограничения доступа по заданным портам или IP-адресам. Эти дополнительные возможности позволят ИТ-специалистам гибко настроить доступ к корпоративным ресурсам с учетом потребностей пользователей и без ущерба для безопасности и управляемости.

Защита от угроз

Windows 10 также предоставляет организациям возможность ограничивать функциональность устройств, что обеспечивает дополнительную защиту от угроз и вредоносного ПО. Зачастую пользователи сами по неосторожности устанавливают вредоносное ПО на свои устройства. Windows 10 решает эту проблему, позволяя настроить на устройствах запуск только доверенных приложений, то есть приложений, подписанных службой подписи Майкрософт. Доступ к службе подписи будет контролироваться посредством процесса проверки, аналогичного процессу контроля публикации приложений независимых поставщиков ПО в Магазине Windows, а функциональность самих устройств будет ограничена изготовителем оборудования. Процедура ограничения функциональности, которую будут использовать изготовители устройств, аналогична той, которую мы используем для устройств на платформе Windows Phone. Организации смогут выбирать, какие приложения считать доверенными: только приложения, подписанные ими самими; приложения, определенным образом подписанные независимыми поставщиками ПО; приложения из Магазина Windows или все вышеперечисленное. В отличие от платформы Windows Phone, доверенные приложения также могут включать классические приложения (Win32). Это означает, что все приложения, которые можно запустить на компьютере с ОС Windows, также могут быть запущены на таких устройствах. В итоге эта возможность ограничения функциональности устройств, доступная в Windows 10, дает организациям эффективный и гибкий инструмент для борьбы с современными угрозами, который можно использовать в большинстве сред.

По теме безопасности мне бы хотелось рассказать еще о многом. И я буду писать в своем блоге о других функциях безопасности по мере того, как они будут включаться в сборки продукта. Читайте мой блог, и вы узнаете о том, что мы делаем, чтобы Windows 10 стала лучшей ОС для организаций. Приглашаю вас также принять участие в программе предварительной оценки Windows 10 Technical Preview и отправить нам свои отзывы о нашей новой ОС, если вы еще не успели это сделать.

Джим Элков (Jim Alkove)

Join the conversation