Olet ehkä kuullut, että Microsoft on tehnyt Windows 10: stä turvallisemman kuin mikä tahansa edeltäjistään, pakattuna siihen tietoturvaominaisuuksia. Et ehkä tiedä, että jotkut näistä haavoittuvista turvaominaisuuksista eivät ole saatavana suoraan pakkauksesta tai ne edellyttävät lisälaitteistoa - et välttämättä saavuta vaadittua suojaustasoa.
Ominaisuudet, kuten Credential Guard, ovat käytettävissä vain tietyissä Windows 10 -versioissa, kun taas Windows Hellon lupaama edistyksellinen biometriikka vaatii mittavia investointeja kolmansien osapuolten laitteistoihin. Windows 10 voi olla tähän mennessä turvallisin Windows-käyttöjärjestelmä, mutta tietoturvaa tuntevan organisaation - ja yksittäisen käyttäjän - on pidettävä mielessä seuraavat laitteisto- ja Windows 10 -versiovaatimukset, jotta tarvittavat ominaisuudet voidaan avata optimaalisen turvallisuuden saavuttamiseksi. .
Huomaa: Tällä hetkellä Windows 10: ssä on neljä työpöytäversiota - Home, Pro, Enterprise ja Education - sekä useita versioita, jotka tarjoavat vaihtelevia beeta- ja esikatseluohjelmistoja. Woody Leonard erittelee käyttämänsä Windows 10 -version. Seuraava Windows 10 -tietoturvaopas keskittyy tavallisiin Windows 10 -asennuksiin - ei Insider-esikatseluihin tai pitkäaikaisiin palveluihin - ja sisältää tarvittaessa vuosipäivän päivityksen.
Oikea laitteisto
Windows 10 heittää laajan verkon, ja laitteiston vähimmäisvaatimukset ovat vaatimattomat. Niin kauan kuin sinulla on seuraavat, voit päivittää Win7 / 8.1: stä Win10: ksi: 1 GHz tai nopeampi prosessori, 2 Gt muistia (vuosipäivän päivitystä varten), 16 Gt (32-bittiselle käyttöjärjestelmälle) tai 20 Gt (64-bittinen käyttöjärjestelmä) ) levytilaa, DirectX 9 -näytönohjain tai uudempi, WDDM 1.0 -ohjain ja 800 x 600 -resoluution (7 tuuman tai suuremmat näytöt) näyttö. Se kuvaa melkein mitä tahansa viime vuosikymmenen tietokonetta.
Mutta älä odota, että peruskoneesi on täysin turvallinen, koska yllä olevat vähimmäisvaatimukset eivät tue monia Windows 10: n salauspohjaisia ominaisuuksia. Win10: n salausominaisuudet vaativat Trusted Platform Module 2.0: n, joka tarjoaa suojatun säilytysalueen salaukselle avaimet ja sitä käytetään salaamaan salasanoja, todentamaan älykortit, suojaamaan mediatoisto estämään piratismi, suojaamaan virtuaalikoneita ja suojaamaan laitteisto- ja ohjelmistopäivityksiä väärentämiseltä muun muassa.
Nykyaikaiset AMD- ja Intel-prosessorit (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) tukevat jo TPM 2.0: ta, joten useimmilla viime vuosina ostetuilla koneilla on tarvittava siru. Esimerkiksi Intelin vPro-etähallintapalvelu käyttää TPM: ää valtuuttamaan tietokoneiden etäkorjaukset. Mutta kannattaa tarkistaa, onko TPM 2.0 olemassa päivitettävässä järjestelmässä, varsinkin kun Anniversary Update vaatii TPM 2.0 -tukea laiteohjelmistossa tai erillisenä fyysisenä siruna. Uudella tietokoneella tai järjestelmillä, jotka asentavat Windows 10: n alusta alkaen, on oltava TPM 2.0 alusta alkaen, mikä tarkoittaa, että laitteistotoimittaja on ennakkovarauksen hyväksymisavaimen (EK) varmenteen toimituksen yhteydessä. Vaihtoehtoisesti laite voidaan määrittää hakemaan varmenne ja tallentamaan se TPM: ään ensimmäisen kerran, kun se käynnistetään.
Vanhempien järjestelmien, jotka eivät tue TPM 2.0: ta - joko siksi, että sirua ei ole asennettu tai ne ovat riittävän vanhoja, että niillä on vain TPM 1.2 -, heidän on asennettava TPM 2.0 -yhteensopiva siru. Muuten he eivät voi päivittää vuosipäivän päivitykseen ollenkaan.
Jotkut suojausominaisuudet toimivat TPM 1.2: n kanssa, mutta on parempi hankkia TPM 2.0 aina kun mahdollista. TPM 1.2 sallii vain RSA- ja SHA-1-hajautusalgoritmin, ja kun otetaan huomioon, että SHA-1: n ja SHA-2: n siirtyminen on hyvin meneillään, TPM 1.2: n noudattaminen on ongelmallista. TPM 2.0 on paljon joustavampi, koska se tukee SHA-256- ja elliptistä käyräsalausta.
Unified Extensible Firmware Interface (UEFI) BIOS on seuraava pakollinen laitteisto turvallisimman Windows 10 -kokemuksen saavuttamiseksi. Laite on toimitettava UEFI BIOSin ollessa käytössä, jotta Secure Boot voidaan sallia, mikä varmistaa, että vain tunnetulla avaimella allekirjoitetut käyttöjärjestelmän ohjelmistot, ytimet ja ytimen moduulit voidaan suorittaa käynnistysvaiheen aikana. Suojattu käynnistys estää rootkitit ja BIOS-haittaohjelmat suorittamasta haitallista koodia. Suojattu käynnistys vaatii laiteohjelmiston, joka tukee UEFI v2.3.1 Errata B: tä ja jolla on Microsoft Windows -sertifiointiviranomainen UEFI-allekirjoitustietokannassa. Vaikka turvallisuusnäkökulmasta onkin siistiä, Microsoft määrittelee suojatun käynnistyksen pakolliseksi Windows 10: lle on kiistanalainen, koska se vaikeuttaa allekirjoittamattomien Linux-jakelujen (kuten Linux Mint) suorittamista Windows 10 -yhteensopivalla laitteistolla.
Vuosipäivää ei voi asentaa, ellei laitteesi ole UEFI 2.31 -yhteensopiva tai uudempi.
| Windows 10 -ominaisuus | TPM | Tulo- / lähtömuistin hallintayksikkö | Virtualisointilaajennukset | SLAT | UEFI 2.3.1 | Vain x64-arkkitehtuurille |
|---|---|---|---|---|---|---|
| Valtakirjojen vartija | Suositellaan | Ei käytetty | Edellytetään | Edellytetään | Edellytetään | Edellytetään |
| Device Guard | Ei käytetty | Edellytetään | Edellytetään | Edellytetään | Edellytetään | Edellytetään |
| BitLocker | Suositellaan | Ei vaadittu | Ei vaadittu | Ei vaadittu | Ei vaadittu | Ei vaadittu |
| Konfiguroitava koodin eheys | Ei vaadittu | Ei vaadittu | Ei vaadittu | Ei vaadittu | Suositellaan | Suositellaan |
| Microsoft Hei | Suositellaan | Ei vaadittu | Ei vaadittu | Ei vaadittu | Ei vaadittu | Ei vaadittu |
| VBS | Ei vaadittu | Edellytetään | Edellytetään | Edellytetään | Ei vaadittu | Edellytetään |
| UEFI-suojattu käynnistys | Suositellaan | Ei vaadittu | Ei vaadittu | Ei vaadittu | Edellytetään | Ei vaadittu |
| Laitteen kuntotodistus mitatun käynnistyksen avulla | Vaatii TPM 2.0 | Ei vaadittu | Ei vaadittu | Ei vaadittu | Edellytetään | Edellytetään |
Todennus, henkilöllisyys
Salasanasuojaus on ollut merkittävä ongelma viime vuosina, ja Windows Hello vie meidät lähemmäksi salasanattomaa maailmaa, koska se integroi ja laajentaa biometrisiä kirjautumisia ja kaksivaiheista todennusta käyttäjien "tunnistamiseksi" ilman salasanoja. Windows Hello onnistuu myös olemaan samanaikaisesti Windows 10: n helpoin ja esteettömin turvaominaisuus. Kyllä, se on käytettävissä kaikissa Win10-versioissa, mutta se vaatii huomattavia laitteistoinvestointeja, jotta saat kaiken irti sen tarjoamasta.
Hei tarvitsee tunnistetietojen ja avainten suojaamiseksi TPM 1.2: n tai uudemman. Mutta laitteille, joihin TPM: ää ei ole asennettu tai määritetty, Hello voi käyttää ohjelmistopohjaista suojausta tunnistetietojen ja avainten suojaamiseen, joten Windows Hello on melkein minkä tahansa Windows 10 -laitteen käytettävissä.
Paras tapa käyttää Helloa on kuitenkin tallentaa biometriset tiedot ja muut todennustiedot sisäiseen TPM-siruun, koska laitteistosuoja vaikeuttaa hyökkääjien varastamista. Lisäksi, jotta biometrinen todennus voidaan hyödyntää täysimääräisesti, tarvitaan lisälaitteita - kuten erikoistunut valaistu infrapunakamera tai erillinen iiris- tai sormenjälkilukija. Useimmissa bisnesluokan kannettavissa tietokoneissa ja useissa kuluttajakannettavien kannettavissa tietokoneissa on sormenjälkiskannereita, mikä antaa yrityksille mahdollisuuden aloittaa Hello-sovelluksen käyttäminen missä tahansa Windows 10 -versiossa. skannerit iiris-skannaukseen, joten Windows Hellon kehittyneempi biometriikka on tulevaisuuden mahdollisuus useimmille, eikä päivittäinen todellisuus.
Windows Hello Companion Devices, joka on saatavana kaikkiin Windows 10 -versioihin, on kehys, jonka avulla käyttäjät voivat käyttää ulkoista laitetta - kuten puhelinta, pääsykorttia tai puettavaa - yhtenä tai useampana Hellon todentavana tekijänä. Käyttäjillä, jotka ovat kiinnostuneita työskentelemään Windows Hello Companion Device -laitteen kanssa vaeltamaan Windows Hello -tunnistetietojensa kanssa useiden Windows 10 -järjestelmien välillä, jokaisessa on oltava asennettuna Pro tai Enterprise.
Windows 10: ssä oli aiemmin Microsoft Passport, jonka avulla käyttäjät voivat kirjautua luotettuihin sovelluksiin Hello-tunnistetietojen kautta. Vuosipäivän päivityksen myötä Passportia ei enää ole erillisenä ominaisuutena, mutta se on sisällytetty Helloon. Kolmannen osapuolen sovellukset, jotka käyttävät Fast Identity Online (FIDO) -määritystä, voivat tukea kertakirjautumista Hei-palvelun kautta. Esimerkiksi Dropbox-sovellus voidaan todentaa suoraan Hellon kautta, ja Microsoftin Edge-selain mahdollistaa integroinnin Hellon kanssa verkkoon. Ominaisuus on mahdollista ottaa käyttöön myös kolmannen osapuolen mobiililaitteiden hallinta -alustalla. Salasanaton tulevaisuus on tulossa, mutta ei vielä.
Pidä haittaohjelmat poissa
Windows 10 esittelee myös Device Guard -tekniikan, joka kääntää perinteisen virustentorjunnan päähänsä. Device Guard lukitsee Windows 10 -laitteet ja luottaa sallittujen luetteloiden sallimiseen vain luotettujen sovellusten asentamisen. Ohjelmia ei saa käyttää, elleivät ne ole määritetty turvallisiksi tarkistamalla tiedoston salausallekirjoitus, mikä varmistaa, että kaikkia allekirjoittamattomia sovelluksia ja haittaohjelmia ei voida suorittaa. Device Guard luottaa Microsoftin omaan Hyper-V-virtualisointitekniikkaan tallentaakseen sallitut luettelonsa suojattuun virtuaalikoneeseen, jota järjestelmänvalvojat eivät voi käyttää tai muuttaa. Device Guardin hyödyntämiseksi koneiden on suoritettava Windows 10 Enterprise tai Education ja tuettava TPM: ää, laitteiston suorittimen virtualisointia ja I / O-virtualisointia. Device Guard luottaa Windowsin kovettumiseen, kuten Suojattu käynnistys.
AppLockeria, joka on saatavana vain yrityksille ja oppilaitoksille, voidaan käyttää Device Guardin kanssa koodin eheyskäytäntöjen määrittämiseen. Järjestelmänvalvojat voivat esimerkiksi päättää rajoittaa, mitkä Windows Storen yleissovellukset voidaan asentaa laitteeseen.
Konfiguroitava koodin eheys on toinen Windows-komponentti, joka varmistaa, että käynnissä oleva koodi on luotettu ja salvia. Ytimen moodikoodin eheys (KMCI) estää ydintä suorittamasta allekirjoittamattomia ohjaimia. Järjestelmänvalvojat voivat hallita käytäntöjä varmenteen myöntäjän tai julkaisijan tasolla sekä kunkin binäärisen suoritettavan tiedoston yksittäisiä hash-arvoja. Koska suuri osa hyödykkeiden haittaohjelmista on yleensä allekirjoittamattomia, koodin eheyskäytäntöjen käyttöönotto antaa organisaatioille mahdollisuuden suojata välittömästi allekirjoittamattomilta haittaohjelmilta.
Windows Defenderistä, joka julkaistiin ensimmäisen kerran erillisenä Windows XP: n ohjelmistona, tuli Windows 8: n Microsoftin oletussuojausohjelma haittaohjelmien torjuntaohjelmien ja viruksentorjunnan kanssa. Defender poistetaan käytöstä automaattisesti, kun kolmannen osapuolen haittaohjelmien torjuntaohjelmisto asennetaan. Jos kilpailevaa virustentorjunta- tai tietoturvatuotetta ei ole asennettu, varmista, että Windows Defender, joka on saatavana kaikissa versioissa ja ilman erityisiä laitteistovaatimuksia, on päällä. Windows 10 Enterprise -käyttäjille on Windows Defender Advanced Threat Protection, joka tarjoaa reaaliaikaisen käyttäytymisanalyysin online-hyökkäysten havaitsemiseksi.
Tietojen suojaaminen
BitLocker, joka suojaa tiedostoja salatussa säilössä, on ollut käytössä Windows Vistasta lähtien ja on parempi kuin koskaan aikaisemmin Windows 10: ssä. Anniversary Update -päivityksen avulla salaustyökalu on saatavana Pro-, Enterprise- ja Education-versioille. Aivan kuten Windows Hello, BitLocker toimii parhaiten, jos TPM: ää käytetään salausavainten suojaamiseen, mutta se voi myös käyttää ohjelmistopohjaista avainsuojausta, jos TPM: ää ei ole tai sitä ei ole määritetty. BitLockerin suojaaminen salasanalla tarjoaa perustavanlaatuisimman puolustuksen, mutta parempi tapa on käyttää älykorttia tai salaus tiedostojärjestelmää tiedostojen salaustodistuksen luomiseen liittyvien tiedostojen ja kansioiden suojaamiseksi.
Kun BitLocker on käytössä järjestelmäasemassa ja raa'an voiman suojaus on käytössä, Windows 10 voi käynnistää tietokoneen uudelleen ja lukita pääsyn kiintolevylle tietyn määrän virheellisiä salasanayrityksiä. Käyttäjien on kirjoitettava 48-merkkinen BitLocker-palautusavain laitteen käynnistämiseksi ja levyn käyttämiseksi. Tämän ominaisuuden ottamiseksi käyttöön järjestelmällä on oltava UEFI-laiteohjelmistoversio 2.3.1 tai uudempi.
Windows Information Protection, aiemmin Enterprise Data Protection (EDP), on saatavana vain Windows 10 Pro-, Enterprise- tai Education-versioille. Se tarjoaa jatkuvan tiedostotason salauksen ja perusoikeuksien hallinnan samalla, kun se integroituu Azure Active Directory- ja Rights Management -palveluihin. Tietosuoja edellyttää jonkinlaista mobiililaitteiden hallintaa - Microsoft Intune tai kolmannen osapuolen alusta, kuten VMwaren AirWatch - tai System Center Configuration Manager (SCCM) asetusten hallitsemiseksi. Järjestelmänvalvoja voi määrittää luettelon Windows Storesta tai työpöytäsovelluksista, jotka voivat käyttää työtietoja tai estää ne kokonaan. Windowsin tietosuoja auttaa hallitsemaan, kuka voi käyttää tietoja estääkseen tahattoman tietovuodon. Active Directory helpottaa hallintaa, mutta sitä ei vaadita käyttämään tietosuojaa Microsoftin mukaan.
Turvapuolustusten virtualisointi
Credential Guard, saatavana vain Windows 10 Enterprise- ja Education-versioille, voi eristää ”salaisuudet” virtualisointipohjaisen suojauksen (VBS) avulla ja rajoittaa pääsyä etuoikeutettuihin järjestelmäohjelmistoihin. Se auttaa estämään läpikulkuhyökkäykset, vaikka tietoturvatutkijat ovat viime aikoina löytäneet tapoja kiertää suojaukset. Siitä huolimatta Credential Guard on silti parempi kuin ei lainkaan. Se toimii vain x64-järjestelmissä ja vaatii UEFI 2.3.1 tai uudemman. Virtualisointilaajennukset, kuten Intel VT-x, AMD-V ja SLAT, on otettava käyttöön, samoin kuin IOMMU, kuten Intel VT-d, AMD-Vi ja BIOS Lockdown. TPM 2.0: ta suositellaan laitteen terveystodistuksen ottamiseksi käyttöön Credential Guardille, mutta jos TPM ei ole käytettävissä, sen sijaan voidaan käyttää ohjelmistopohjaisia suojauksia.
Toinen Windows 10 Enterprise- ja Education-ominaisuus on Virtuaalinen suojattu tila, joka on Hyper-V-säilö, joka suojaa Windowsiin tallennettuja verkkotunnustietoja.
