В преддверии конференции Build на этой неделе Microsoft объявила о серии улучшений Windows 11, направленных на то, чтобы сделать ее более защищенной на фоне устрашающего ландшафта угроз с поддержкой искусственного интеллекта.
В сообщении блога, подробно описывающем улучшения, Дэвид Уэстон, вице-президент Microsoft по корпоративной безопасности и безопасности ОС, отметил, что в 2015 году компания обнаруживала около 115 парольных атак в секунду. Сегодня их более 4000.
«Эта ситуация требует более сильных и комплексных подходов к обеспечению безопасности, чем когда-либо прежде, для всех устройств и технологий, которые мы используем в нашей жизни, как дома, так и на работе», — написал он.
Вот обзор некоторых новых мер, которыми Microsoft помогает ИТ-организациям бороться с этими угрозами.
Оглавление
Безопасность на ПК Copilot+
В понедельник компания объявила, что ее новые ПК Copilot+ будут защищенными компьютерами, обеспечивающими защиту встроенного программного обеспечения и динамическое измерение корня доверия (root-of-trust). Процессор безопасности Microsoft Pluton, который хранит конфиденциальные данные, такие как ключи шифрования, изолированно от остальной системы, будет включен по умолчанию.
Компьютеры Copilot+ также будут поставляться с улучшенной системой безопасности входа Windows Hello, анонсированной в октябре прошлого года, которая использует специальное аппаратное и программное обеспечение для лучшей защиты аутентификационных данных пользователей.
Марк Таушек, вице-президент по исследовательским стипендиям и выдающийся аналитик Info-Tech Research Group, считает новый класс компьютеров Windows, использующих Copilot, логичным следующим шагом для Microsoft, особенно с учетом роста атак с использованием искусственного интеллекта.
«Единственный способ защититься от атак с использованием ИИ — это защита с использованием ИИ», — сказал он. «Используя OpenAI в Azure, а теперь и в Copilot, вполне логично, что Microsoft масштабирует это по максимому, используя Copilot и модели малых языков для конкретных задач (SLM) в сочетании с множеством невероятно мощных процессоров ARM, x86 и GPU».
Защита программного обеспечения и ОС
Удаление устаревших слабых мест — еще один способ, с помощью которого Microsoft улучшает безопасность в своих последних анонсах. Например, NT LAN Manager (NTLM), протокол сетевой аутентификации и безопасности версии 1993 года, который до сих пор существует в Windows, станет устаревшим позднее в этом году. Кроме того, сертификаты проверки подлинности сервера безопасности транспортного уровня (TLS), которые проверяют подлинность сервера, больше не будут приниматься в программе Microsoft Trusted Root, если их корневые ключи шифрования RSA короче 2048 бит.
Для служб, требующих повышенной безопасности, надежности и производительности, Microsoft добавляет безопасность на основе виртуализации (VBS), чтобы создать изолированную безопасную среду для защиты ключей; эта функция сейчас находится в предварительной версии. VBS также используется для изоляции учетных данных Windows, если устройство не имеет встроенной биометрии. Анклавы VBS теперь доступны сторонним разработчикам.
Вредоносные приложения представляют собой постоянную угрозу для систем Windows, поэтому Microsoft представила дополнительные функции, которые помогут пользователям избежать их. Управление интеллектуальными приложениями было улучшено благодаря обучению искусственного интеллекта прогнозированию безопасности приложения. «Эта политика обеспечивает работу распространенных, заведомо безопасных приложений, в то время как неизвестные приложения, связанные с вредоносным ПО, блокируются», — написал Уэстон в своем блоге.
Поскольку большое количество вредоносных программ попадает в число неподписанных приложений, Microsoft также разработала Trusted Signing, которая сейчас находится в общедоступной предварительной версии. Эта функция управляет всеми аспектами жизненного цикла сертификата приложения и интегрируется с GitHub и Azure DevOps.
Также в предварительной версии представлена изоляция приложений Win32 — новая функция, которая, по словам Уэстона, «облегчает разработчикам приложений Windows сдерживание ущерба и защиту конфиденциальности пользователей в случае компрометации приложения». Изоляция приложений Win32 построена на основе AppContainers, которые обеспечивают границу безопасности, и компонентов, виртуализируют ресурсы и обеспечивают посреднический доступ к другим ресурсам, таким как принтер, реестр и доступ к файлам».
Улучшения корпоративной безопасности
Microsoft также корректирует способ управления пользователями-администраторами. Поскольку большинство пользователей Windows обладают полными правами администратора, имея доступ к ядру ОС и другим критически важным службам, что позволяет вредоносным программам делать все, что угодно. Microsoft обновляет Windows, чтобы предлагать только ситуативный административный доступ к критически важным службам. Если приложению требуются специальные расширенные разрешения, Windows спросит пользователя, разрешены ли ему эти права, а Windows Hello позволит ему утвердить или отклонить запрос. В настоящее время это изменение находится в частной предварительной версии и скоро будет доступно в общедоступной предварительной версии.
Наконец, Microsoft добавляет ряд функций, специально разработанных для корпоративных клиентов:
- Config Refresh автоматически повторно применяет параметры политики каждые 90 минут по умолчанию или может быть настроен на такое частое применение, как каждые 30 минут.
- Firewall Configuration Service Provider (CSP) был изменен, чтобы обеспечить соблюдение правил брандмауэра по принципу «все или ничего». Если проблема с правилом в атомарном блоке препятствует его выполнению, CSP не будет обрабатывать последующие правила в этом блоке и откатит все правила из блока. Раньше невыполнение правила приводило к тому, что CSP просто обходил последующие правила в блоке, потенциально создавая брешь в безопасности.
- Шифрование личных данных (Personal Data Encryption, PDE) дополняет защиту на уровне тома BitLocker, шифруя данные, пока компьютер заблокирован, и расшифровывая их только тогда, когда компьютер разблокирован с помощью Windows Hello for Business. Разработчики могут использовать API для защиты содержимого приложения. В настоящее время он находится в предварительной версии.
- DNS с нулевым доверием позволит устройствам Windows подключаться только к авторизованным сетевым адресам по имени домена. Исходящий трафик IPv4 и IPv6 будет заблокирован, если доверенный защищенный DNS-сервер не разрешит его или ИТ-администратор не создаст исключение. Эта функция теперь находится в частной предварительной версии. Совет Уэстона администраторам: «Планируйте сейчас, чтобы избежать проблем с блокировкой, настроив приложения и службы на использование системного преобразователя DNS (system DNS resolver)».
Таушек из Info-Tech отметил, что все это, скорее всего, только начало.
«В объявлении в блоге Microsoft есть большой раздел под названием «Останьтесь впереди развивающихся угроз с помощью Windows», где обсуждаются эволюционные обновления и достижения в области безопасности», — сказал он. «Как и ожидалось, Microsoft придется опережать революционные угрозы. Я имею в виду, что плохие парни предпримут революционные достижения, поэтому хорошие парни должны быть подготовлены к революционным достижениям по смягчению революционных угроз».
По словам Таушека, во многом это будет зависеть от того, что Copilot и усовершенствованное оборудование ПК смогут сделать вместе, чтобы предвидеть и смягчить эти угрозы.
«Я думаю, что мы увидим самые интересные функции в ближайшие месяцы, так же, как мы это сделали с Copilot через месяцев после его запуска», — сказал он.