微軟宣布推出超猛計劃 加強Windows 10安全性

責任編輯:editor004

2014-10-24 13:49:51

摘自:ZDNet至頂網(wǎng)

Windows 10技術預覽版的早期報道大 都將重點放在新的開始菜單、虛擬桌面和高度吸引眼球的用戶體驗上。至于設備本身所需要的公共密鑰和私人密鑰,企業(yè)可以利用現(xiàn)有的PKI基礎設施簽發(fā)這些密鑰,消費電子設備所需要的密鑰則可以由Windows 10產(chǎn)生和安全地存儲。

Windows 10技術預覽版的早期報道大 都將重點放在新的開始菜單、虛擬桌面和高度吸引眼球的用戶體驗上。另一方面,即使從這些早期預覽版也可以看到許多巨大變化的蛛絲馬跡,特別是在重要安全領域的變化。

到目前為止最讓人浮想聯(lián)翩的當屬名為“下一代身份驗證”(Next Generation Credentials)的新服務。多數(shù)新發(fā)布的預覽版本已經(jīng)安裝了此服務,但服務未啟動。

日前,微軟透露了有關計劃的更多細節(jié),計劃“推動世界遠離諸如密碼的單因素認證”。目前,Windows 10的技術預覽版本尚未啟用該功能。該功能啟用后,Windows 10設備(個人電腦、平板電腦或手機)的用戶即可以將設備設為可信任,繼而用于身份驗證的目的。該功能與PIN或生物證據(jù)(如指紋)結合,用戶即能夠登錄任何支持此類功能的移動服務。

微軟稱,PIN碼可以是字母數(shù)字的任意組合,并不是僅僅限于很短的數(shù)字代碼。如果密碼在數(shù)據(jù)庫泄漏或釣魚攻擊中被竊,偷竊者仍然無法訪問任何服務,原因是偷竊者手里沒有雙因素身份驗證所要求的硬件部分。同樣,如果設備被盜,但由于沒有密碼,偷竊者手里的設備也是沒有用處的。

此認證方式不是專有的,而是基于FIDO聯(lián)盟標準。FIDO聯(lián)盟成員包括一堆的計算巨頭(谷歌、微軟、聯(lián)想等等)、銀行和支付公司(美國銀行、支付寶、Visa和萬事達卡)以及諸如RSA和IdentityX等著名安全公司。

至于設備本身所需要的公共密鑰和私人密鑰,企業(yè)可以利用現(xiàn)有的PKI基礎設施簽發(fā)這些密鑰,消費電子設備所需要的密鑰則可以由Windows 10產(chǎn)生和安全地存儲。

據(jù)微軟介紹,Windows 10用戶可以在自己的任何設備或所有的設備上啟動這些身份驗證功能。其中的一個做法是,用戶選一個設備啟動該身份驗證功能,然后將其作為虛擬智能卡使用。例如,智能手機可以提供雙因素認證,做法是通過藍牙或WiFi登陸到本地設備或訪問遠程資源。

用戶訪問令牌本身則可以存儲在一個虛擬化的安全容器(基于Hyper-V技術)上,從而可以降低諸如Pass The Hash(送上哈希)一類的攻擊的有效性。

微軟在今天公告的還提出了兩項新的Windows 10功能,可望為企業(yè)客戶加強安全性。

第一個新功能是一組信息保護功能,使得企業(yè)即使在員工擁有的設備上也可以保護數(shù)據(jù)。微軟稱,Windows 10此項功能允許網(wǎng)絡管理員設定策略,確保能自動加密敏感信息,包括企業(yè)應用程序、數(shù)據(jù)、電子郵件和公司內(nèi)部專用網(wǎng)站內(nèi)容。

由于常見的Windows控件(如打開和保存對話框)的API加入了對這些加密的支持,所有使用這些控制的Windows應用程序也具備該新功能。如果有必要采用更嚴格的安全措施,管理員還可以創(chuàng)建應用程序表,指定哪些應用程序可以訪問加密數(shù)據(jù),哪些應用程序不容許訪問加密數(shù)據(jù),譬如,網(wǎng)絡管理員可以選擇禁止訪問諸如Dropbox的云服務。

一勞久逸的安全措施對很多部門(如銀行和其他受管制的行業(yè)、國防承包商和處理網(wǎng)絡間諜的政府機構等部門)來說都是件不可或得的大好事。利用Windows 10企業(yè)版和具有特別配置的OEM硬件,管理員可以完全鎖定設備,使得不受信任的代碼無法運行。

在完全鎖定的配置下,唯一可以運行的應用程序只限于那些由微軟簽發(fā)的證書簽過名的程序,包括來自Windows應用商店的應用程序,以及那些已提交給微軟認證過的桌面應用程序。有些企業(yè)有自己的業(yè)務應用程序內(nèi)部產(chǎn)品,這些企業(yè)可以獲取自己的密鑰生成器,這樣做以后這些應用程序就可以在企業(yè)網(wǎng)絡上運行,但在外面的網(wǎng)絡上則運行不了。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號