Windows 10預(yù)計將在2015年年底發(fā)布,這將是微軟第一個可在所有類型設(shè)備運行的操作系統(tǒng),包括Windows個人電腦和移動設(shè)備。
在整個企業(yè)運行單一操作系統(tǒng)可以帶來直接的安全優(yōu)勢,包括顯著簡化設(shè)備管理以及減少整體攻擊面。
另外,Windows 10還將包括加強身份驗證和數(shù)據(jù)保護(hù)的新功能,對于想要杜絕密碼使用以及在BYOD時代保護(hù)數(shù)據(jù)的企業(yè)來說,這很有吸引力。
在這篇文章中,筆者將討論Windows 10的三大安全改進(jìn),這些改進(jìn)可能讓企業(yè)考慮升級Windows。
Windows 10多因素身份驗證
Windows 10廣受吹捧的功能是其內(nèi)置多因素身份驗證。這個身份驗證機制是基于FIDO聯(lián)盟的開放標(biāo)準(zhǔn),并將消除對額外安全硬件外圍設(shè)備(例如智能卡和令牌)的需要。在登記后,設(shè)備成為身份驗證所需的兩個因素之一。這減少了網(wǎng)絡(luò)釣魚攻擊的可行性,因為攻擊者不僅需要用戶的PIN或生物識別信息,還需要物理訪問其設(shè)備才能實現(xiàn)攻擊。這還可以在密碼數(shù)據(jù)庫發(fā)生數(shù)據(jù)泄露事故時保護(hù)用戶,攻擊密碼數(shù)據(jù)庫是攻擊者用來獲取未經(jīng)授權(quán)訪問的另一種常見做法。
在Windows 10中,設(shè)備的登錄憑證可以是Windows生成的密鑰對,或者內(nèi)部PKI基礎(chǔ)設(shè)施配置給該設(shè)備的證書。Active Directory、Azure Active Directory和Microsoft Accounts都將支持這一新的身份驗證形式。在用戶通過驗證后,他或她的訪問令牌將存儲在運行Hyper-V技術(shù)的安全的容器內(nèi)。這可以防止令牌通過pass the hash或者pass the ticket等技術(shù)被提取,這兩種技術(shù)讓攻擊者可以模擬用戶,而不需要實際取得他們的登錄憑證。
Windows 10數(shù)據(jù)丟失防護(hù)
Windows 10的另一個重要功能增強了對企業(yè)數(shù)據(jù)的保護(hù)。BitLocker自首次出現(xiàn)在Windows Vista以來一直提供全磁盤加密,但隨著移動設(shè)備在工作場所的增加,擴展這種保護(hù)到數(shù)據(jù)離開設(shè)備后(數(shù)據(jù)丟失防護(hù))變得至關(guān)重要。微軟Office中的Azure權(quán)限管理服務(wù)和信息權(quán)限管理已經(jīng)可以提供對數(shù)據(jù)離開設(shè)備后的保護(hù),但它們需要用戶選擇激活這種保護(hù)。在Windows 10中,企業(yè)不僅可以定義哪些應(yīng)用可以訪問企業(yè)數(shù)據(jù),還可以防止在沒有正確安全配置文件時對數(shù)據(jù)的復(fù)制或訪問--無論數(shù)據(jù)在傳輸中還是位于另一臺設(shè)備中。Windows 10通過使用容器以及在應(yīng)用和文件級別分離企業(yè)數(shù)據(jù)和個人數(shù)據(jù),并在數(shù)據(jù)到達(dá)設(shè)備時自動加密來保護(hù)數(shù)據(jù)。同時不需要用戶切換模式或者使用特殊應(yīng)用來保護(hù)企業(yè)數(shù)據(jù),這解決了用戶漠視安全性的大問題。
應(yīng)用訪問控制
企業(yè)需要管理BYOD環(huán)境,這意味著對網(wǎng)絡(luò)資源的安全訪問是很多企業(yè)的重要任務(wù)。Windows 10讓管理員可以指定哪些應(yīng)用允許或者不允許訪問企業(yè)的VPN。企業(yè)還可以基于端口和IP地址來限制訪問。此外,管理員可以配置設(shè)備為只允許安裝可信賴的應(yīng)用,包括企業(yè)自行簽名的應(yīng)用、來自獲批軟件供應(yīng)商的應(yīng)用或者來自Windows Store的應(yīng)用。這樣做的目的是讓企業(yè)更容易地鎖定關(guān)鍵或敏感設(shè)備,以保護(hù)它們抵御惡意軟件感染,同時向其他組用戶提供更大的靈活性。
這三個關(guān)鍵的新功能減少了對某些第三方產(chǎn)品的依賴,例如DLP和雙因素身份驗證,但企業(yè)在他們使用的安全控制方面仍然會有很大的靈活性。Windows 10可以加入到大多數(shù)移動設(shè)備管理產(chǎn)品和VPN基礎(chǔ)設(shè)施。Windows Server 10還將包括Windows Defender,盡管大多數(shù)企業(yè)仍然想在網(wǎng)絡(luò)網(wǎng)關(guān)和關(guān)鍵設(shè)備運行專門的防病毒和反惡意軟件產(chǎn)品。
Windows 10可以讓管理員更容易地部署安全措施以及更便于員工使用,這應(yīng)該會使其在企業(yè)中很受歡迎,并會吸引那些仍在運行Windows 7的企業(yè)。
統(tǒng)一部署和管理以及通用應(yīng)用平臺及安全模式將讓系統(tǒng)管理員騰出時間,并提供更好的整體安全性。對于大型企業(yè)而言,可以讓一些IT人員加入Windows Insider Program以獲得機會在Windows 10公開發(fā)布之前體驗Windows 10的新的安全功能,以及評估其適用性和易用性。企業(yè)應(yīng)該確保分析師使用測試設(shè)備進(jìn)行實驗,不過,微軟已經(jīng)從運行預(yù)覽版本的設(shè)備收集了大量信息。