סגר! הקש את Windows 10 לאבטחה מרבית

ייתכן ששמעת שמיקרוסופט הפכה את Windows 10 לבטוחה יותר מכל קודמותיה, וארזה אותו במוצרי אבטחה. מה שאולי לא ידעתם הוא שחלק מתכונות האבטחה המהוללות הללו אינן זמינות מהקופסה או שהן דורשות חומרה נוספת - יתכן שלא תקבלו את רמת האבטחה שהתכוונתם לה.

תכונות כמו Credential Guard זמינות רק למהדורות מסוימות של Windows 10, בעוד שהביומטריה המתקדמת שהבטיחה Windows Hello דורשת השקעה נכבדת בחומרה של צד שלישי. Windows 10 עשויה להיות מערכת ההפעלה Windows המאובטחת ביותר עד כה, אך הארגון המתמצא באבטחה - והמשתמש הפרטי - צריך לזכור את הדרישות הבאות של החומרה ומהדורות Windows 10 כדי לפתוח את התכונות הדרושות כדי להשיג אבטחה מיטבית. .

הערה: נכון לעכשיו, ישנן ארבע מהדורות שולחן עבודה של Windows 10 - Home, Pro, Enterprise ו- Education - יחד עם מספר גרסאות של כל אחת מהן, המציעות רמות שונות של תוכנות בטא ותצוגה מקדימה. וודי לאונרד מפרק באיזו גרסה של Windows 10 להשתמש. מדריך האבטחה הבא של Windows 10 מתמקד בהתקנות סטנדרטיות של Windows 10 - לא בתצוגה מקדימה של Insider או בענף שירות לטווח ארוך - וכולל עדכון יום נישואין במידת הרלוונטיות.

החומרה הנכונה

Windows 10 משדר רשת רחבה, עם מינימום דרישות חומרה שאינן תובעניות. כל עוד יש לך את הדברים הבאים, אתה טוב לשדרג מ- Win7 / 8.1 ל- Win10: מעבד 1GHz או מהיר יותר, זיכרון 2GB (לעדכון יום השנה), 16GB (עבור מערכת הפעלה של 32 סיביות) או 20GB (מערכת הפעלה של 64 סיביות ) שטח דיסק, כרטיס גרפי DirectX 9 ואילך עם מנהל התקן WDDM 1.0 ותצוגה ברזולוציה של 800 על 600 (מסכים בגודל 7 אינץ 'ומעלה). זה מתאר כמעט כל מחשב מהעשור האחרון.

אך אל תצפה שמכונת הבסיס שלך תהיה מאובטחת לחלוטין, מכיוון שדרישות המינימום שלעיל לא יתמכו ברבות מהיכולות המבוססות על הצפנה ב- Windows 10. תכונות ההצפנה של Win10 דורשות Trusted Platform Module 2.0, המספק אזור אחסון מאובטח לקריפטוגרפיה. מקשים ומשמש להצפנת סיסמאות, אימות כרטיסים חכמים, השמעת מדיה מאובטחת כדי למנוע פיראטיות, הגנה על מחשבי וירטואלי ועדכוני חומרה ותוכנה מאובטחים מפני התעסקות, בין היתר.

מעבדי AMD ואינטל מודרניים (Intel Management Engine, Intel Converged Security Engine, AMD מעבד אבטחה) תומכים כבר ב- TPM 2.0, כך שלרוב המכונות שנקנו בשנים האחרונות יש את השבב הדרוש. שירות הניהול מרחוק vPro של אינטל, למשל, משתמש ב- TPM כדי לאשר תיקוני מחשב מרוחקים. אך כדאי לוודא האם קיימת מערכת TPM 2.0 בכל מערכת שאתה משדרג, במיוחד בהתחשב בעובדה כי עדכון יום השנה דורש תמיכה ב- TPM 2.0 בקושחה או כשבב פיזי נפרד. מחשב מחשב חדש, או מערכות המתקינות את Windows 10 מאפס, חייבות להכיל TPM 2.0 מההתחלה, מה שאומר שיש אישור מפתח אישור (EK) שנקבע מראש על ידי ספק החומרה בעת משלוחו. לחלופין, ניתן להגדיר את המכשיר לאחזר את האישור ולאחסן אותו ב- TPM בפעם הראשונה שהוא מאתחל.

מערכות ישנות יותר שאינן תומכות ב- TPM 2.0 - משום שהשבב לא מותקן בהן או שהן מבוגרות מספיק שיש להן רק TPM 1.2 - יצטרכו להתקין שבב תומך TPM 2.0. אחרת, הם כלל לא יוכלו לשדרג לעדכון יום השנה.

בעוד שחלק מתכונות האבטחה עובדות עם TPM 1.2, עדיף לקבל TPM 2.0 במידת האפשר. TPM 1.2 מאפשר רק אלגוריתם כביסה של RSA ו- SHA-1, ובהתחשב בהעברת SHA-1 ל- SHA-2 כבר בעיצומה, ההיצמדות ל- TPM 1.2 היא בעייתית. TPM 2.0 הוא הרבה יותר גמיש, מכיוון שהוא תומך בקריפטוגרפיה של SHA-256 ובקריפטה עקומה אליפטית.

ממשק הקושחה המאוחדת המאוחדת (UEFI) הוא החלק הבא של חומרה חובה להשגת חוויית Windows 10 המאובטחת ביותר. יש לשלוח את המכשיר עם הפעלת UEFI BIOS כדי לאפשר אתחול מאובטח, מה שמבטיח שרק תוכנת מערכת ההפעלה, הליבות ומודולי הליבה החתומים במפתח ידוע יכולים להתבצע בזמן האתחול. אתחול מאובטח חוסם ערכות שורש ותוכנות זדוניות מסוג BIOS מביצוע קוד זדוני. אתחול מאובטח דורש קושחה התומכת ב- UEFI v2.3.1 Errata B ובעלת רשות ההסמכה של Microsoft Windows במאגר החתימות של UEFI. למרות שברכה מנקודת מבט אבטחה, מיקרוסופט שמציינת את חובת האתחול המאובטח עבור Windows 10 נקלעה למחלוקת, מכיוון שהיא מקשה על הפעלת הפצות לינוקס לא חתומות (כגון Linux Mint) בחומרה התומכת ב- Windows 10.

עדכון יום השנה לא יותקן אלא אם המכשיר שלך תואם UEFI 2.31 ואילך.

רשימה קצרה של תכונות Windows 10 ודרישות חומרה
תכונה של Windows 10 TPM יחידת ניהול זיכרון קלט / פלט הרחבות וירטואליזציה פָּסִיס UEFI 2.3.1 לארכיטקטורה של x64 בלבד
משמר אישורים מוּמלָץ לא בשימוש נדרש נדרש נדרש נדרש
מגן מכשירים לא בשימוש נדרש נדרש נדרש נדרש נדרש
BitLocker מוּמלָץ לא דרוש לא דרוש לא דרוש לא דרוש לא דרוש
שלמות קוד הניתנת להגדרה לא דרוש לא דרוש לא דרוש לא דרוש מוּמלָץ מוּמלָץ
מיקרוסופט שלום מוּמלָץ לא דרוש לא דרוש לא דרוש לא דרוש לא דרוש
VBS לא דרוש נדרש נדרש נדרש לא דרוש נדרש
אתחול מאובטח של UEFI מוּמלָץ לא דרוש לא דרוש לא דרוש נדרש לא דרוש
תעודת בריאות המכשיר באמצעות אתחול מדוד דורש TPM 2.0 לא דרוש לא דרוש לא דרוש נדרש נדרש

בקר באימות, זהות

אבטחת סיסמאות הייתה נושא משמעותי בשנים האחרונות, ו- Windows Hello מקרב אותנו לעולם נטול סיסמאות כאשר הוא משלב ומרחיב כניסות ביומטריות ואימות דו-גורמי כדי "לזהות" משתמשים ללא סיסמאות. Windows Hello גם מצליח להיות בו זמנית תכונת האבטחה הנגישה והנגישה ביותר של Windows 10. כן, היא זמינה בכל מהדורות Win10, אך היא דורשת השקעה משמעותית בחומרה כדי להפיק את המרב ממה שיש לה להציע.

כדי להגן על אישורים ומפתחות, Hello דורשת TPM 1.2 ואילך. אך עבור מכשירים שבהם TPM אינו מותקן או מוגדר, Hello יכולה להשתמש בהגנה מבוססת תוכנה כדי לאבטח אישורים ומפתחות במקום זאת, כך ש- Windows Hello נגיש כמעט לכל מכשיר Windows 10.

אך הדרך הטובה ביותר להשתמש ב- Hello היא לאחסן נתונים ביומטריים ומידע אימות אחר בשבב ה- TPM המובנה, מכיוון שההגנה על החומרה מקשה על התוקפים לגנוב אותם. יתר על כן, כדי לנצל את מלוא האימות הביומטרי, יש צורך בחומרה נוספת - כמו מצלמת אינפרא אדום מוארת מיוחדת או אירוס או קורא טביעות אצבע ייעודי. רוב המחשבים הניידים ברמה העסקית ומספר שורות של מחשבים ניידים צרכניים נשלחים עם סורקי טביעות אצבע, מה שמאפשר לעסקים להתחיל לעבוד עם Hello בכל מהדורה של Windows 10. אך השוק עדיין מוגבל בכל הנוגע למצלמות תלת מימד חושיות לעומק לזיהוי פנים ורשתית. סורקים לסריקת קשתית העין, כך שהביומטריה המתקדמת יותר של Windows Hello היא אפשרות עתידית עבור רובם, ולא מציאות יומיומית.

זמין עבור כל מהדורות Windows 10, Windows Hello Companion Devices הוא מסגרת המאפשרת למשתמשים להשתמש בהתקן חיצוני - כגון טלפון, כרטיס גישה או לביש - כגורם מאמת עבור Hello. למשתמשים המעוניינים לעבוד עם מכשיר Windows Hello Companion כדי להסתובב עם אישורי Windows Hello שלהם בין מספר מערכות Windows 10 חייבים להתקין Pro או Enterprise בכל אחת מהן.

בעבר היה ב- Windows 10 Microsoft Passport, שאיפשר למשתמשים להתחבר ליישומים מהימנים באמצעות אישורי שלום. עם עדכון יום השנה, Passport כבר לא קיים כתכונה נפרדת אלא משולב ב- Hello. יישומי צד שלישי המשתמשים במפרט Fast Identity Online (FIDO) יוכלו לתמוך בכניסה יחידה באמצעות שלום. לדוגמא, ניתן לאמת את אפליקציית Dropbox ישירות באמצעות Hello, ודפדפן Edge של מיקרוסופט מאפשר שילוב עם Hello להרחבה לרשת. אפשר להפעיל את התכונה גם בפלטפורמת ניהול מכשירים ניידים של צד שלישי. העתיד חסר הסיסמה מגיע, אך עדיין לא ממש.

שמירה על תוכנות זדוניות

חלונות 10 מציגה גם את Device Guard, טכנולוגיה שמטיחה את האנטי-וירוס המסורתי על הראש. Device Guard נועל מכשירי Windows 10, ומסתמך על רשימות היתרים שיאפשרו להתקין רק יישומים מהימנים. תוכניות אינן מורשות לפעול אלא אם כן הם נקבעים בטוחים על ידי בדיקת חתימת ההצפנה של הקובץ, מה שמבטיח שכל היישומים והתוכנות הזדוניות שאינם חתומות אינם יכולים לבצע. Device Guard מסתמך על טכנולוגיית הוירטואליזציה Hyper-V של מיקרוסופט עצמה כדי לאחסן את רשימות ההיתרים שלה במכונה וירטואלית מוגנת שמנהלי מערכות אינם יכולים לגשת אליה או להתעסק איתה. כדי לנצל את Device Guard, על המכונות להפעיל את Windows 10 Enterprise או Education ולתמוך ב- TPM, וירטואליזציה של מעבד החומרה ווירטואליזציה של קלט / פלט. Device Guard מסתמך על התקשות של Windows כגון Secure Boot.

ניתן להשתמש ב- AppLocker עבור ארגונים וחינוך בלבד, יחד עם Device Guard כדי להגדיר מדיניות שלמות קוד. לדוגמא, מנהלי מערכת יכולים להחליט להגביל אילו יישומים אוניברסליים מחנות Windows ניתן להתקין בהתקן. 

שלמות קוד הניתנת להגדרה היא רכיב נוסף של Windows המאמת שהקוד הפועל מהימן וחכם. תקינות קוד מצב ליבה (KMCI) מונעת מהליבה לבצע מנהלי התקנים שלא חתומים עליהם. מנהלי מערכת יכולים לנהל את המדיניות ברשות האישורים או ברמת המו"ל, כמו גם בערכי ה- hash הבודדים עבור כל הפעלה בינארית. מכיוון שרוב מהתוכנות הזדוניות של סחורות נוטות להיות לא חתומות, פריסת מדיניות שלמות קוד מאפשרת לארגונים להגן מיד מפני תוכנות זדוניות שלא חתומות.

Windows Defender, שפורסמה לראשונה כתוכנה עצמאית עבור Windows XP, הפכה לחבילת ההגנה מפני תוכנות זדוניות המוגדרות כברירת מחדל של מיקרוסופט, עם תוכנות נגד תוכנות ריגול ואנטי וירוס, ב- Windows 8. Defender מושבת באופן אוטומטי כאשר מותקנת חבילת תוכנה נגד תוכנות זדוניות. אם לא מותקן אנטי-וירוס או מוצר אבטחה מתחרה, ודא כי Windows Defender, הזמין בכל המהדורות וללא דרישות חומרה ספציפיות, מופעל. עבור משתמשי Windows 10 Enterprise, קיימת הגנת האיומים המתקדמת של Windows Defender, המציעה ניתוח איומי התנהגות בזמן אמת לזיהוי התקפות מקוונות.

אבטחת נתונים

BitLocker, המאבטח קבצים במיכל מוצפן, קיים מאז חלונות ויסטה והוא טוב מתמיד ב- Windows 10. עם עדכון יום השנה, כלי ההצפנה זמין למהדורות Pro, Enterprise ו- Education. בדומה ל- Windows Hello, BitLocker פועל בצורה הטובה ביותר אם משתמשים ב- TPM להגנה על מפתחות ההצפנה, אך הוא יכול גם להשתמש בהגנה על מפתח מבוסס תוכנה אם TPM אינו קיים או שאינו מוגדר. הגנה על BitLocker באמצעות סיסמה מספקת את ההגנה הבסיסית ביותר, אך שיטה טובה יותר היא להשתמש בכרטיס חכם או במערכת הקבצים ההצפנה ליצירת תעודת הצפנת קבצים כדי להגן על קבצים ותיקיות משויכים.

כאשר BitLocker מופעל בכונן המערכת והגנה על כוח הברוט מופעלת, Windows 10 יכול להפעיל מחדש את המחשב ולנעול גישה לכונן הקשיח לאחר מספר מוגדר של ניסיונות סיסמה שגויים. משתמשים יצטרכו להקליד את מפתח השחזור של BitLocker בן 48 תווים כדי להפעיל את המכשיר ולגשת לדיסק. כדי לאפשר תכונה זו, המערכת תצטרך לקבל קושחת UEFI בגרסת 2.3.1 ואילך.

הגנת המידע של Windows, בעבר הגנת נתונים ארגונית (EDP), זמינה רק במהדורות Windows 10 Pro, Enterprise או Education. הוא מספק הצפנה מתמשכת ברמת הקבצים וניהול זכויות בסיסיות, תוך שילוב עם Azure Active Directory ושירותי ניהול זכויות. הגנת מידע דורשת ניהול כלשהו של מכשירים ניידים - Microsoft Intune או פלטפורמת צד שלישי כמו AirWatch של VMware - או System Center Configuration Manager (SCCM) כדי לנהל את ההגדרות. מנהל מערכת יכול להגדיר רשימה של יישומי Windows Store או שולחן עבודה שיכולים לגשת לנתוני עבודה, או לחסום אותם לחלוטין. הגנת המידע של Windows מסייעת בבקרה מי יכול לגשת לנתונים כדי למנוע דליפת מידע בשוגג. Active Directory עוזר להקל על הניהול אך אינו נדרש להשתמש בהגנת מידע,על פי מיקרוסופט.

וירטואליזציה של הגנות אבטחה

אישורי המשמר, הזמינים רק עבור Windows 10 Enterprise ו- Education, יכולים לבודד "סודות" באמצעות אבטחה מבוססת וירטואליזציה (VBS) ולהגביל את הגישה לתוכנת מערכת מיוחסת. זה עוזר לחסום התקפות מעבר לגישה, אם כי חוקרי אבטחה מצאו לאחרונה דרכים לעקוף את ההגנות. למרות זאת, קיום משמר תעודה עדיף על זה שלא יהיה בכלל. הוא פועל רק במערכות x64 ודורש UEFI 2.3.1 ומעלה. יש להפעיל הרחבות וירטואליזציה כגון Intel VT-x, AMD-V ו- SLAT, כמו גם IOMMU כגון Intel VT-d, AMD-Vi ו- BIOS Lockdown. מומלץ להשתמש ב- TPM 2.0 על מנת לאפשר תעודת בריאות מכשיר עבור אישורי המשמר, אך אם TPM אינו זמין, במקום זאת ניתן להשתמש בהגנות מבוססות תוכנה.

תכונה נוספת של Windows 10 Enterprise ו- Education היא Virtual Secure Mode, שהוא מיכל Hyper-V המגן על אישורי התחום השמורים ב- Windows.