Windows 10安全机制参考翻译(抵御现代安全威胁)
现代安全威胁防护
应对当今威胁需要全新方法而非传统延伸方案。Windows 10通过实施从内核等系统内部到网络与用户界面外部的全面保护机制,实现了仅靠边界防护无法达成的高效结构性变革。
安全威胁的演进令人不安:企业曾对抗个人或小团体的恶作剧或利益驱动攻击,如今却面临资金充足的犯罪组织攻击。这些组织通过明确目标的秘密结社获得前所未有的攻击能力。
当前攻击者占据优势。当组织成为目标时,问题不在于攻击者能否入侵网络,而在于入侵速度。此外,入侵检测常需数月,恢复同样耗时。
Windows 10安全架构
Windows 10进行了平台关键结构性变更,多数针对常见攻击手法。这些变更不仅提高攻击难度,甚至完全阻止特定攻击方式。为实现目标,Windows 10需最大化利用现代硬件技术优势,保护用户身份、信息和设备免受黑客与恶意软件威胁。
安全设备(Secured Devices)
Windows 7虽进行多项技术变革,但仅使攻击稍显困难。应对当前安全难题必须利用现代硬件技术优势。Windows 10通过普及新技术实现平台关键结构性变革。
设备完整性(Device Integrity)
对抗恶意软件和黑客需保护硬件与操作系统启动过程。Windows 8之前系统难以解决此问题。启动工具包(Bootkit)和根工具包(Rootkit)在操作系统启动前活动,可控制整个设备并禁用所有安全系统。但通过Windows 8及以上硬件支持的UEFI安全启动功能,从开机到关机的整个过程中可维持操作系统与固件一致性,有效防御启动工具包和根工具包。
加密处理(Cryptographic Processing)
在用户违规不可避免的现状下,必须利用硬件保护高机密信息(如加密密钥和凭据)。Windows使用标准技术可信平台模块(TPM)生成敏感信息。TPM在独立于OS的硬件环境中运行,不受OS攻击影响。Windows 10通过UEFI可信启动等功能利用TPM验证系统正规性及未篡改性。Windows 10 TPM验证联网设备为未篡改健康系统,并支持基于验证结果的条件访问控制。TPM普及于消费级和企业级设备,作为标准技术可在全球使用(包括此前受规制的中国和俄罗斯)。
阅读:可信平台模块技术概述
阅读:可信平台模块的新功能
虚拟化(Virtualization)
Windows 10平台安全战略核心是利用硬件将敏感信息与功能从操作系统分离。Windows 10引入此前在Windows服务器应用的虚拟化技术,通过在客户端系统使用虚拟化技术提供不同级别的安全性。基于Hypervisor技术的虚拟化安全(VBS)将最关键敏感的Windows进程迁移至独立环境,即使Windows内核受损也能保证安全。Windows 10中VBS用于Device Guard和Credential Guard等技术,阻止恶意软件和黑客工具入侵。
观看:David Hepkin讲解Windows 10虚拟安全模式
生物识别传感器(Biometric Sensors)
Windows平台早前支持生物识别,但仅作为便利功能提升用户名密码认证体验,未提供生物识别本应具备的高级保护。Windows 10通过Microsoft Passport和Windows Hello彻底改变此状况。这些技术类似企业级智能卡部署,但利用指纹、面部识别、虹膜识别等生物识别技术优势提供多因素认证功能。具备指纹或面部识别功能(如Intel Real Sense)的设备可立即使用Microsoft Passport和Hello。消费级和企业级OEM的新设备技术将促进Windows生物识别应用。
身份保护(Identity Protection)
网络入侵尝试中,凭据窃取和恶意软件感染(常同时发生)是主要成功因素。忽视这些攻击手法无异于放任攻击者入侵。
保护凭据需先从密码等单因素认证转向多因素认证,并保护单点登录使用的派生凭据(哈希、票据等)。此前多因素认证需额外硬件,但Windows 10提供无需附加硬件、易于使用部署和管理的认证保护技术。此类决定性安全解决方案罕见,但通过Microsoft Passport、Windows Hello和Credential Guard可轻松实现。
Microsoft Passport
单因素认证已失效,密码保护不可接受,易通过钓鱼、猜测和盗窃滥用。事实上,2014年某犯罪组织宣称窃取12亿用户名密码组合。考虑到全球实际在线用户数,密码保护显然不可靠。
解决此问题需智能卡等多因素认证,但存在成本高、部署难、体验差问题。此外,用户期望使用的现代设备(超移动设备、轻型设备、手机等)无法支持。另一挑战是需公钥基础设施(PKI),其部署极大增加终端管理复杂度。
Windows 10通过Microsoft Passport应对多因素认证关键挑战,具备智能卡所有特性但去除缺点。例如,Microsoft Passport可将现有PC和Windows Phone用作多因素认证要素,无需额外设备(令牌、卡片、读取器)。可在PKI上使用Microsoft Passport,但无需部署PKI。因此,消费者、中小企业和希望简化用户认证基础设施的大企业均可使用。
阅读:Microsoft Passport概述
阅读:使用Microsoft Passport管理身份验证
阅读:在组织中实施和管理Microsoft Passport
Windows Hello
Microsoft Passport是新的双因素认证解决方案中的第一因素。第二因素使用PIN码或生物识别传感器(指纹、面部、虹膜)。此生物识别认证方法称为Windows Hello。
Windows Hello是登录Windows 10设备、应用和在线服务的更简单方法。仅需注视摄像头或触摸指纹传感器即可认证用户并授予所需访问权限。与许多既往生物识别技术不同,Windows Hello具备企业级安全性,拥有反欺骗措施保护用户生物识别数据和隐私。现有带指纹传感器设备可使用Windows Hello。支持面部识别(红外摄像头等)和虹膜识别的新设备已上市。Windows Hello和生物识别技术已准备好成为Windows设备主流。
观看:通过Windows Hello使Windows 10更个性化
阅读:向Windows 10的Windows Hello问好
阅读:通过Windows Hello使Windows 10更个性化和安全
阅读:Windows Hello与隐私:常见问题
Credential Guard
将用户迁移至Microsoft Passport等多因素认证解决方案是保护凭据的关键一步。下一步同样重要的是保护单点登录使用的派生凭据(哈希、票据等)。派生凭据虽为敏感信息但易被盗。攻击者滥用此信息可在无需用户名密码情况下冒充用户或访问多因素认证设备。此攻击需夺取设备管理员权限,攻击者通过漏洞或恶意软件获取。此手法称为传递哈希(Pass the Hash)或票据攻击,广泛用于网络攻击。
Windows曾提供对策但非决定性方案。Windows 10通过Credential Guard彻底改变此状况。Credential Guard使用虚拟化安全(VBS)将派生凭据与Windows操作系统分离,即使操作系统完全受损也能保护派生凭据。
信息保护(Information Protection)
归根结底,安全就是保护信息。但即使实施优秀安全措施,若非全面措施仍可被绕过。这意味着信息保护策略需身份保护和对抗恶意软件等威胁的韧性。
Windows 10为信息保护实施新颖高效坚固的技术基础。此前需第三方解决方案,Windows 10将其作为OS组成部分实现。
Windows长期致力于信息保护功能,通过Office 365集成Rights Management Services,可在自有域外广泛使用信息保护技术。此外,Windows 10添加针对BYOD和云等新趋势的全面保护方法。
BitLocker与企业数据保护(EDP)
BitLocker是设备丢失或被盗时保护数据的优秀解决方案,但无法防止用户无意泄露数据。为此新实施企业数据保护(EDP)。EDP通过组织级文件数据分离、封装、应用程序管理和防泄漏保护业务数据。
EDP与多数数据防泄漏技术不同,可无论设备位置在用户无感情况下保护业务数据,在移动设备容器解决方案中高效。EDP集成用户熟悉的Windows操作,无需模式变更或强制数据保护应用,可继续使用偏好应用。
EDP功能多在后台无感工作,界面简洁易懂,预计获积极接受。同时保护用户免于误将业务敏感文档信息存至个人文档位置或复制粘贴至公开可见网站导致的机密信息泄露。
阅读:保护BitLocker免受启动前攻击
阅读:BitLocker:如何启用网络解锁
阅读:企业数据保护概述
Rights Management Services
企业数据保护(EDP)为组织所需信息防泄漏提供易于信息分离的坚固基础。此基础可通过Office 365提供的EDP和RMS扩展。EDP提供应用程序控制,RMS限制文档操作(禁止未授权打印、传输、复制粘贴)。Office 365中即使组织外账户也可同样设置限制。Office 365提供的EDP和RMS为组织提供端到端数据防泄漏保护。此外,结合Windows 10和Office 365可轻松部署使用。
威胁抵抗(Threat Resistance)
本周仍将报道财富50强或政府的新入侵事件。通过这些事件,人们终于认识到对抗恶意软件和黑客威胁的极端困难。大型组织拥有充足安全预算、优秀人才和最新技术,但仍常遭入侵。许多组织采用识别清除坏人的永难获胜方法,此现状背景如此。此模型无法应对每日数十万新恶意软件的现状。当前需应对可自我修改逃避检测的多态恶意软件和攻击前即时创建的实时恶意软件。
Windows 10将恶意软件和黑客对抗战场转变为保护系统的全新领域。
SmartScreen
安全首步是强化边界。通过浏览器、邮件客户端和其他应用连接互联网使边界面临巨大规模考验。Windows 10中不起眼但有益的功能是SmartScreen。SmartScreen非删除或隔离恶意软件等威胁,而设计为防入侵,在威胁接触设备前处理。SmartScreen在Edge和Internet Explorer用户访问网站时使用云智能评估站点安全性。恶意或可疑网站及应用在下载阶段即被阻止。
Microsoft Edge与Internet Explorer
多数端点攻击以浏览器(任何浏览器)为目标,通过漏洞利用或欺骗用户等各种手段引导至恶意网站安装恶意软件。但Microsoft Edge和Internet Explorer通过SmartScreen技术防止大部分此类威胁。
Microsoft Edge和Internet Explorer拥有在威胁入侵设备前防御的技术基础。
Edge和Internet Explorer最有效的安全功能是称为应用容器(App Container)的沙箱技术,将浏览器与操作系统和内存管理分离。此技术甚至为刚发现漏洞的攻击提供防护机制。
Microsoft Edge取消攻击者常用攻破安全浏览器的最大攻击途径(VML、VBscript、工具栏、浏览器帮助对象BHO、Active-X等),以HTML 5和现代浏览器替代,使此类攻击无法实现。此外,云智能SmartScreen也作为Office 365高级威胁防护(ATP)实现,防止含可疑链接和二进制文件的邮件送达邮箱。
阅读:Microsoft Edge:构建更安全浏览器
阅读:保护Microsoft Edge免受二进制注入
Device Guard
Windows 7操作系统中,多数威胁由防病毒软件等检测系统处理。但每日数十万新威胁发布的现状下,防病毒社区无法跟上最新威胁。从社区有人确认感染、发出通知到发布对策更新期间,多数用户已受影响。
高级持续性威胁(APT)中,恶意应用为特定任务定制,防病毒社区极难知晓APT。此外,可不使用恶意软件实施攻击。
解决此难题需从当前主要防御方法(基于检测)转向漏洞影响缓解和应用程序控制。Windows 10 Device Guard功能基于此方法设计,提供前所未有的零日攻击防护和应用程序控制水平。为保护系统核心(内核模式),Device Guard通过虚拟化安全(VBS)和硬件使用大幅限制(缓解)系统核心(内核)漏洞被攻击滥用。此外,Device Guard使用基于策略的控制防止未授权软件在设备上运行,保护设备免受恶意软件侵害。
Device Guard是对抗恶意软件等威胁的最重要方法之一,但非完全取代Windows Defender等传统恶意软件防护。Windows Defender通过覆盖Device Guard无法应对的威胁(如内存中攻击)强化保护。这些措施协同工作将黑客和恶意软件防护提升至高水平。
阅读:Device Guard概述
阅读:Device Guard认证与合规性
阅读:Device Guard部署指南
阅读:使用Configuration Manager管理Windows 10 Device Guard
Windows Defender
用户考虑威胁防护时,最先想到的是检测病毒和间谍软件的防恶意软件解决方案。为应对此类威胁,Windows 10包含强大的企业级防恶意软件Windows Defender,针对规模和严重程度持续增长的当前威胁态势改进本质处理。
Windows Defender利用大规模Windows云服务、机器学习和全球研究团队快速响应每日数十万新威胁。Windows Defender通过丰富本地上下文和检测可疑活动(如权限提升)的行为分析技术,可检测漏洞攻击和内存中攻击。企业需考虑的另一威胁是潜在不需要应用程序(PUA)检测。PUA捆绑在系统或应用中,安装会增加网络感染恶意软件风险。Windows Defender在下载和安装时保护用户免受PUA侵害。
阅读:Windows 10中的Windows Defender
阅读:关于Windows 10中Windows Defender的八月威胁情报报告
阅读:Windows Defender:机器(学习)的崛起
阅读:企业中对潜在不需要应用程序的防护提升
可信启动(Trusted Boot)
使用恶意软件的攻击者目标是在系统最底层嵌入根工具包或启动工具包,从而获取更多凭据并逃避检测。因此设备安全中维持系统核心(如启动过程、内核、驱动和平台服务)一致性尤为重要。Windows 10通过UEFI安全启动等硬件技术保护系统免受启动工具包和根工具包侵害。UEFI从Windows 8认证设备起标准配备,为Windows自身验证一致性提供必需信任根。
UEFI安全启动用于确保设备固件组件安全,首先运行原始OS而非恶意软件。Windows安全启动后,Windows可信启动用于确保Windows核心一致性,发现异常时通过自动恢复操作恢复一致性。此功能虽非威胁防护层中最引人注目,但却是信任的最关键要素之一。Windows上运行的所有安全功能均依赖系统核心一致性。UEFI安全启动和可信启动用于保证此一致性。
设备健康证明与条件访问(Device Health Attestation and Conditional Access)
Windows 10是我们发布的最安全操作系统,但现实是只要存在顽固攻击者,系统防御力终将被测试并某日被入侵。此假设意味着需考虑设备受损时其健康声明不可信。
当入侵导致健康性不可信时,需基于设备断言结果不再可信的事实。
换言之,病毒检查无发现且防火墙看似正常运行并不意味无问题,甚至可能完全相反。
当前难以捕捉的恶意软件前提下,无法信任设备自身报告的健康性,需远程评估。Windows 10通过Windows云服务和管理系统组合远程确认设备健康评估。移动设备管理(MDM)系统如Intune自2015年提供此功能,任何管理系统均可执行。通过此功能可实现基于设备条件的访问权限授予,如仅健康设备可访问公司VPN、电子邮件、SharePoint等。