Windows 10：為現今世界提供資訊安全與身份驗證防護

Windows 10 Technical Preview 的發佈受到許多熱烈的迴響與討論，同時 Windows Insider Program 的反應也很熱烈，近期全球已達到 1百萬人註冊，並且獲得了超過 20 萬筆使用者寄來的意見回饋，感謝各位的註冊與所提供的意見！我們務必會讓 Windows 10 滿足你們在商務上的需求，並非常期待後續的發展。在我上一篇的部落格文章中，提及了我會專注在分享一些較關鍵的部分，今天我想先談談 Windows 10 的資訊安全，這也是自從 Technical Preview 發佈以來許多使用者談論的焦點，道理可想而知，資訊安全與資料保護原就是企業最關心的議題。

現今的世界，鎖定企業的網路攻擊越來越廣泛，且攻擊成功的目標越來越知名。我們看到網路漏洞導致使用者名稱和密碼遭受竊取，即可造成網路入侵在近期的幾個案例中，駭客透過竊取的使用者名稱與密碼滲透了財富 500 大企業，取得業務系統上的信用卡資料，這樣的攻擊導致了成千上萬被盗的信用卡號碼快速流向黑市，最近 New York Times 的一篇報導指出，某一個網路犯罪組織已竊取了 12 億筆使用者名稱與密碼，這數字相當驚人，推估全球也只有 18 億人上網，這些頑強的犯罪組織和種族主義國家並非是我們面臨的唯一威脅。

即使善良的員工也含有潛在的風險，今年有一篇從資安公司 Stroz Friedberg 所發表的報告指出，87% 的資深經理人承認會定期將工作上的檔案資料，傳送至個人的電子郵件信箱或雲端空間，同樣的，58% 的使用者也承認曾經不小心將機敏資訊寄給錯誤的收件人。

在 Windows 10 中，我們正積極以進階功能應對現在的資安威脅，例如加強身份驗證防護機制，以及存取控制、資料保護與威脅阻絕等。在這次發佈的版本中，我們已大致做到讓使用者不再依賴單一的認證方式，如密碼。我們的平台本身就提供強大的資料遺失預防機制，當涉及像惡意軟體這類的網路威脅時，我們擁有各種方式，可以幫助企業防止個人電腦（PC）遭惡意軟體入侵的常用途徑。

身份驗證防護與存取控制

首先，我想先談談一個解決方案，它提供非常現代化的方式進行身份驗證與使用者認證，可稱做下一世代身份驗證防護的典範。我在 9 月 30 日的部落格文章中有提及一些，透過這個解決方案，當資料中心受到侵害時 Windows 10 能夠保護使用者的認證資料。當使用裝置已被驗證，它即能保護使用者免受盜竊所害，也使得像釣魚這類的身份資料攻擊幾乎完全失效。

這是個企業與消費者雙贏的解決方案，並同時提供了密碼所能帶來的企業級便利性與安全性，這也代表了過去使用單一認證方式（如密碼）來進行的身份驗證已到了終點，我們相信此方案將會帶領身份驗證進入新的層級，因為他採用了多重驗證的方式，以往此種方法僅被限制在擁有智慧卡的裝置或系統中，而我們的方案將無需額外的硬體安全週邊設備。

一旦機制啟用，裝置本身會成為雙重認證中必須要被認證的一環，第二重認證將會是 PIN 碼或像指紋之類的生物特徵。從資訊安全的角度來看，這意味著攻擊者需要擁有使用者實際使用的裝置，同時，還需要使用者的認證資訊，像是使用者的 PIN 碼或生物特徵資訊，使用者將以新的認證方式來啟用他們擁有的每一個裝置，或是他們也可以只啟用單一裝置，比如說手機，即可立刻成為他們的隨身行動認證，只要手機在身邊，就能能登入所有他們的電腦、網域以及網路服務，這個情況下，手機透過藍牙或無線網路（Wi-Fi）的連結，就會像遠端的智慧卡般提供雙重認證來進行本機登入或遠端存取。

假如我們更進一步了解 Windows 10 元件運作並進行深入探討，IT 與資訊安全團隊應該會發現這個機制似乎令人相當熟悉，認證本身可以被視為二個部分的其中之一，它可以是由 Windows 本身所產生的加密金鑰組(私有和公有金鑰)，或是從既有 PKI 架構中配置驗証給裝置，也因為提供了兩種選項給已投資 PKI 架構的組織選擇，讓 Windows 10 顯得更棒。

同時，在那些 PKI 身份驗證並不可行的網路與消費者情境下也可運作。Active Directory、Azure Active Directory 以及 Microsoft 帳戶將可支援嶄新的使用者認證解決方案，因此，已使用 Microsoft 網路服務的企業與消費者將可以提早不再使用密碼，這個技術本身在設計時即有考慮到跨平台、網路與不同基礎架構時的適用性。

保護使用者的身份驗證僅是我們身份驗證防護機制的其中一環，接下來則是要保護使用者通過驗證後所取得的憑證（user access tokens），時至今日，這些憑證被 Pass the Hash 與 Pass the Ticket 等類型攻擊的頻率越來越高。一旦發動攻擊者取得了憑證，他們可以有效地仿造使用者的身份而無需實際擁有使用者的認證資訊，且常伴隨進階持續性滲透攻擊（APT）出現，我們急切的想從攻擊者的劇本中刪除這個技術，透過 Windows 10，我們的目標是從整體架構下手來消除此類型的攻擊，我們將使用者的憑證存放在運行 Hyper-V 技術的安全容器（container），這樣的解決方案，即使 Windows 的核心受到損害，也能防止憑證從裝置之中被讀取出來。

資料保護

在 Windows 10 中，我們在身份驗證這部分有了很大的進展，並且你也會發現我們在資料保護做了相同的努力。首先，我們先來看看一些資料，就可以理解我們投資。BitLocker 已經成為業界的領先技術，能在裝置端保護資料安全，然而當資料離開裝置後，就無法再受到保護。

為了保護離開裝置的資料，我們提供了Azure Rights Management 服務及在 Microsoft Office 中的資訊版權管理（IRM），使用者只需使用就能啟動這些防護機制，但這對企業來說是有些盲點的，若使用者沒有主動使用上述防護機制，他們當然就容易意外洩露公司資料；透過 Windows 10，我們以資料洩漏防護（DLP）解決方案來解決這種問題，將公司與個人資料分開存放並使用防堵政策來協助保護資料，我們正在將這個功能建構至平台中，並整合既有的使用者經驗，讓使用者啟用保護時，不必像其他解決方案般不斷打擾使用者的正常作業，使用者將不必為了保護公司資料而在不同模式或 App 之間切換，也就是說，使用者可以不需改變行為就能同時保護資料安全。

在 Windows 10 為了保護公司資料，會針對公司 App、資料、電子郵件、網頁內容或其他進入公司網路的敏感資料開啟自動加密。而當使用者製作了新的內容，這樣的資料保護解決方案能協助使用者自行定義文件是屬於公司或個人，若有必要，甚至可以制定政策限制凡是在該裝置上製作的內容都屬於公司，而額外的政策訂定也協助組織預防資料從公司文件被複製到非公司文件上，或外部網路位置，如社交網站上。

Windows 10 為桌面提供了進階的資料保護解決方案，但行動裝置呢？這個解決方案其實也在 Windows Phone 上提供了一如 Windows 桌面的使用經驗，並且我們將具備跨作業系統能力，讓已受保護的文件能在其他不同的平台上被存取。最後，Windows 10 中的資料保護機制，讓企業組織能夠透過政策去定義哪些 App 擁有公司資料的存取權，也回應了你們分享給我們的建議，我們已將這個功能再加強，將政策延伸應對 VPN 的需求。

就像許多人一樣，當我外出或在家工作時，我需要連結至一些重要的資料與 App 來維持我的生產力。針對遠端使用者，尤其是透過 BYOD 裝置，IT 專家們嘗試許多方法以降低 VPN連結的風險。Windows 10 在這裡也幫得上忙，透過非常多的 VPN 控制選項，從一般的連結到限制特定 App 透過 VPN 存取。 App 白名單與 App 黑名單將提供 IT 專家們定義哪一些 App 被授權存取 VPN，並且能以 MDM 解決方案同時管理桌面與各種 App （Universal App）。對於那些需要更多細微控制的管理者，他們能夠更進一步的限制特定的Port或IP 位置才能存取重要資料，這些增強功能使得企業的 IT 專家能在存取的需求與安全及控制的需求中取得平衡點。

威脅阻絕

Windows 10 也提供組織封鎖裝置的能力，以獲得更多抵禦威脅與惡意軟體的能力。因為惡意軟體往往是因使用者的不慎才安裝到裝置中，Windows 10 為了應對這樣的威脅，透過使用 Microsoft 提供的簽章服務來區別受信任的 App，這些 App 方能安裝在特別設定過的裝置上。

要存取簽章服務的管控檢驗流程，類似管控獨立開發商（ISV）發佈至 Windows 市集一樣，而裝置本身則將被 OEM 所鎖定，這個鎖定的流程中，OEM 廠商所使用的方式將跟我們針對 Windows Phone 所使用的方式是相似的，企業組織將能彈性選擇哪一些 App 是值得信任的──由他們自己發出簽章的 App、由 ISV 發出專屬簽章的 App、由 Windows 市集下載的 App，或以上全部，與 Windows Phone 不同的是，這些 App 還包含了桌面版（Win32）應用程式，也就是說，任何能在 Windows 桌面上運行的 App 也能運作在這些裝置上。總括而言，Windows 10 的鎖定功能提供企業有效的抵抗現代化的威脅，同時具備能在大多數工作環境下運行的彈性。

在資訊安全前線，還有許多非常令人興奮的事情我想分享給大家，當有不同的資安技術或強化功能被導入產品時，我將持續為各位報導，請關注我的文章，了解我們如何讓 Windows 10 更適合商業使用，同時，如果你還沒開始使用，立刻造訪 Windows 10 Technical Preview 並且讓我們知道你的想法。

原文連結