現(xiàn)在端點(diǎn)再次成為信息安全戰(zhàn)爭(zhēng)的中心。惡意軟件感染每天都在發(fā)生,安全團(tuán)隊(duì)每天都在努力保護(hù)網(wǎng)絡(luò)免受惡意代碼影響。對(duì)此,Windows 10企業(yè)版引入了各種安全創(chuàng)新技術(shù),例如Windows Hello多因素生物特征身份驗(yàn)證以及Microsoft Passport—目前完全支持FIDO(快速身份認(rèn)證)聯(lián)盟標(biāo)準(zhǔn)。其中可阻止惡意代碼永久損害Windows 10設(shè)備的關(guān)鍵安全控制是Microsoft Device Guard,它可保護(hù)核心內(nèi)核抵御惡意軟件。Windows安全專業(yè)人士應(yīng)該了解這個(gè)新的安全技術(shù)的工作原理以及企業(yè)應(yīng)該將它部署在哪里以抵御Windows 10惡意軟件和當(dāng)今的網(wǎng)絡(luò)攻擊。
應(yīng)用白名單采用信任為中心的模式,只允許明確允許執(zhí)行的應(yīng)用。對(duì)于一次性設(shè)備,只需要運(yùn)行數(shù)量有限的已知程序,白名單是抵御惡意軟件和糟糕用戶行為的有效安全控制,它還可幫助抵御零日攻擊、多態(tài)病毒和未知惡意軟件變體。然而,考慮到企業(yè)內(nèi)需要管理的應(yīng)用、版本以及補(bǔ)丁的數(shù)量,企業(yè)很難采用應(yīng)用白名單的做法。微軟試圖通過Device Guard來改變這種局面,讓企業(yè)范圍內(nèi)的白名單更容易管理和執(zhí)行,并可鎖定用戶的設(shè)備,讓他們只能運(yùn)行可信的應(yīng)用。
Microsoft Device Guard結(jié)合硬件和軟件安全功能來限制Windows 10企業(yè)操作系統(tǒng),讓其只能運(yùn)行受信任方簽名的代碼--企業(yè)的代碼完整性政策中定義了受信任方。對(duì)于沒有加密簽名的內(nèi)部以及第三方開發(fā)的應(yīng)用,可使用鏈到微軟的證書進(jìn)行認(rèn)證,而不需要重新打包應(yīng)用。只有由受信任簽名者簽署的更新策略可以變更設(shè)備的應(yīng)用控制策略,這與AppLocker相比是顯著的改進(jìn),AppLocker可被具有管理權(quán)限的攻擊者訪問。
Device Guard的工作原理是利用設(shè)備處理器和主板芯片組中IOMMU(輸入輸出內(nèi)存管理單元)功能來隔離其本身與Windows的其他部分。這種虛擬化輔助安全技術(shù)利用了一種新的Hyper-V組件,稱為虛擬安全模式(VSM),這是受保護(hù)的VM,它直接位于管理程序中,并與Windows 10內(nèi)核隔離。當(dāng)設(shè)備啟動(dòng)時(shí),通用可擴(kuò)展固件接口(UEFI)安全啟動(dòng)可確保Windows啟動(dòng)組件先于其他組件啟動(dòng),以防止啟動(dòng)工具包執(zhí)行。接下來,Hyper-V虛擬安全(VBS)技術(shù)開始運(yùn)行來隔離核心Windows服務(wù),這些服務(wù)主要用于確保操作系統(tǒng)安全性和完整性的關(guān)鍵。通過阻止惡意軟件在啟動(dòng)過程運(yùn)行或啟動(dòng)后在內(nèi)核運(yùn)行,這種隔離可保護(hù)內(nèi)核、特權(quán)驅(qū)動(dòng)程序和系統(tǒng)防御(例如反惡意軟件程序)。同時(shí),可信平臺(tái)模塊(TPM)也將啟動(dòng),這是獨(dú)立的硬件組件,它可保護(hù)用戶憑證和證書等敏感數(shù)據(jù)。另外,TPM可存儲(chǔ)系統(tǒng)安全啟動(dòng)的證明,這可用來在允許設(shè)備連接到網(wǎng)絡(luò)之前驗(yàn)證其完整性。
在啟用VBS的同時(shí),Device Guard在與Windows內(nèi)核以及操作系統(tǒng)其余部分隔離的VSM容器中運(yùn)行自己的Windows準(zhǔn)系統(tǒng)實(shí)例,這不會(huì)被其他軟件篡改。但Device Guard不只是內(nèi)核模式代碼簽名的更新版本;它還提供用戶模式代碼完整性檢查,以確保在用戶模式運(yùn)行的事物(例如設(shè)備、通用Windows平臺(tái)應(yīng)用或典型的Windows應(yīng)用)得到簽名和受信任。即使惡意軟件感染機(jī)器,它也無法訪問Device Guard容器或繞過代碼簽名檢查來執(zhí)行惡意負(fù)載。這將讓攻擊者更難運(yùn)行惡意軟件--即使他擁有完整的系統(tǒng)權(quán)限,攻擊者也很難安裝代碼堅(jiān)持到重新啟動(dòng)后,再通過高級(jí)持續(xù)威脅來永久地感染設(shè)備。
雖然Microsoft Device Guard并不意味著Windows 10惡意軟件的終結(jié),但它提高了攻擊者安裝惡意代碼的障礙。我們都知道,數(shù)字簽名的應(yīng)用已經(jīng)存在很長時(shí)間,但這是第一次管理員可輕松地管理它們以確保企業(yè)設(shè)備的完整性以及執(zhí)行自己的綜合信任模型。只有企業(yè)授權(quán)的應(yīng)用將被信任,而不是防病毒程序認(rèn)為受信任的應(yīng)用,但這里仍然需要部署這兩個(gè)解決方案:Device Guard阻止可執(zhí)行文件和基于腳本的惡意軟件,而防病毒程序可涵蓋Device Guard無法涵蓋的攻擊媒介,例如基于JIT的應(yīng)用以及Office文檔內(nèi)的宏。
Credential Guard
據(jù)微軟稱,約80%到90%數(shù)據(jù)泄露事故是源自憑證被盜,攻擊者使用偷來的域和用戶登錄憑證來訪問網(wǎng)絡(luò)和其他計(jì)算機(jī)。Window NT局域網(wǎng)管理器(NTLM)身份驗(yàn)證是微軟使用的挑戰(zhàn)-響應(yīng)身份驗(yàn)證協(xié)議,它存在大多數(shù)Windows環(huán)境中,這種協(xié)議的最大問題是,攻擊者并不一定需要獲取用戶的明文密碼,就可以進(jìn)行身份驗(yàn)證來訪問遠(yuǎn)程服務(wù)器或服務(wù);而是使用他們密碼的哈希值。當(dāng)用戶登錄到Windows時(shí),系統(tǒng)中安裝的惡意軟件可收集哈希值,并可使用它們來模擬用戶。這種攻擊被稱為“哈希傳遞”和“票據(jù)傳遞”攻擊,名稱取決于攻擊者以哪種登錄憑證為目標(biāo)。盡管微軟的Kerberos安全包改進(jìn)了NTLM的安全性,但通過使用這些攻擊技術(shù)來繞過身份驗(yàn)證系統(tǒng),NTLM仍可能受到攻擊。
這種攻擊被用在很多高知名度的數(shù)據(jù)攻擊事故中,其中包括美國人事管理局攻擊事件。為了防止這種攻擊,Windows 10企業(yè)版使用了被稱為Credential Guard的新功能來保護(hù)VSM內(nèi)的登錄憑證,VSM只有足夠的功能運(yùn)行登錄服務(wù)用于身份驗(yàn)證代理。訪問令牌和票據(jù)以完全隨機(jī)且全長度哈希值存儲(chǔ),可避免暴力攻擊。通過使用與Device Guard相同的基于硬件和虛擬化的安全技術(shù),即使惡意代碼獲得完整的系統(tǒng)權(quán)限,攻擊者都無法訪問Credential Guard存儲(chǔ)的任何數(shù)據(jù)。
企業(yè)將需要投資于硬件和軟件來利用Windows 10企業(yè)版的很多新安全功能,其中Microsoft Device Guard和Credential Guard需要滿足以下要求:
·UEFI 2.3.1或更高版本
·虛擬化擴(kuò)展,例如Intel VT-d或AMD-Vi
·64位版本的Windows Enterprise 10
·IOMMU
·TPM芯片2.0版
·Secure Boot
硬件供應(yīng)商已經(jīng)開始生產(chǎn)Device Guard-capable或Device Guard-ready設(shè)備,包括惠普、宏碁、聯(lián)想和東芝等,但這些設(shè)備并不是輕量級(jí)、低成本、消費(fèi)類設(shè)備。Device Guard-ready意味著設(shè)備具有所需的IOMMU硬件、為Device Guard優(yōu)化的內(nèi)核驅(qū)動(dòng)程序,并啟用了安全功能,而Device Guard-capable設(shè)備只有IOMMU硬件,驅(qū)動(dòng)程序安裝和配置主要取決于系統(tǒng)管理員。另一個(gè)要求是域控制器運(yùn)行Windows Server 2016。
部署Microsoft Device Guard
如果企業(yè)想要利用Windows 10企業(yè)版新安全功能,最好的方法是創(chuàng)建一個(gè)新域,其中為設(shè)備符合硬件要求的用戶啟用Device Guard、Credential Guard和其他功能。微軟提供了多種選項(xiàng)來創(chuàng)建代碼完整性政策,包括掃描系統(tǒng)來對(duì)所有安裝應(yīng)用創(chuàng)建清單。在默認(rèn)情況下,政策創(chuàng)建時(shí)啟用了審核模式,這意味著政策不會(huì)被執(zhí)行,而是會(huì)記錄所有被阻止在事件日志的文件,這讓管理員可在完全實(shí)施該政策之前評(píng)估所有問題。而那些無法升級(jí)的機(jī)器或遺留系統(tǒng)會(huì)保留在現(xiàn)有域中,讓安全團(tuán)隊(duì)可專注于保護(hù)特權(quán)賬戶以及部署惡意軟件檢測(cè)和解決方案。
Device Guard和Credential Guard相結(jié)合,再加上Microsoft Passport和Windows Hello,這肯定會(huì)減少很多常見攻擊技術(shù)的成功率,并可幫助保護(hù)Windows環(huán)境,但有效地使用這些功能不僅需要正確的硬件,還需要人員培訓(xùn)。SANS一致認(rèn)為計(jì)算機(jī)安全漏洞的主要原因之一是“指派未經(jīng)培訓(xùn)的人員來維護(hù)安全,既不提供培訓(xùn)也不提供時(shí)間來讓人員學(xué)習(xí)和完成工作”。Windows 10安全功能很不同,企業(yè)應(yīng)該安排時(shí)間讓IT團(tuán)隊(duì)來學(xué)習(xí)如何更好地使用和部署這些安全功能。
Device Guard能否成功阻止惡意軟件感染取決于基于管理程序的安全的堅(jiān)固性,這仍然有些不明確。Device Guard可能在自己嚴(yán)格控制的安全執(zhí)行環(huán)境中運(yùn)行,但此前“安全執(zhí)行環(huán)境”已經(jīng)被擊敗,同時(shí),盡管可阻止哈希傳遞攻擊,Credential Guard無法抵御按鍵記錄程序。此外,對(duì)于提交到Windows Store的應(yīng)用,企業(yè)完全需依靠審批過程的質(zhì)量,而企業(yè)和軟件供應(yīng)商將需要保護(hù)簽名證書,否則整個(gè)信任模式都會(huì)受影響。
Windows 10提供的這種安全水平需要企業(yè)升級(jí)原有的硬件,較舊的操作系統(tǒng)可能會(huì)減慢廣泛部署。然而,隨著新歐洲數(shù)據(jù)保護(hù)法增加高達(dá)4%全球年?duì)I業(yè)額的罰款金額,企業(yè)可以做出決定是否應(yīng)該全面投資來確保其系統(tǒng)的完整性。