Безопасность Windows 11. Microsoft называет ее самой безопасной Windows. Но большинство компьютеров не поддерживают требования безопасности. Как решить проблему
Уже много написано о Windows 11, новейшей операционной системе от Microsoft, которую софтверный гигант называет «самой безопасной Windows». Однако, как быстро заметили многие в мире технологий, большинство компьютеров, работающих в настоящее время под управлением Windows, не поддерживают расширенные системные требования для новой операционной системы (ОС).
Безопасность Windows 11 - системные требования
Чтобы воспользоваться всеми преимуществами улучшений безопасности Windows 11, ПК должны быть оснащены ультрасовременным процессором с расширениями виртуализации, прошивкой UEFI с поддержкой безопасной загрузки и усовершенствованным чипом безопасности, совместимым с TPM 2.0.
Эти и другие ограничения обеспечивают поддержку множества функций кибербезопасности, которые делают Windows 11 гораздо более отказоустойчивой, чем ее предшественники. Однако они также гарантируют, что большинство организаций не торопятся модернизировать свои системы.
Чтобы эффективно проанализировать плюсы и минусы обновления до Windows 11, вам необходимо понять, какие функции безопасности включены и доступны; как эти функции облегчаются новыми требованиями к оборудованию и программному обеспечению; и какое влияние обновление, как ожидается, окажет на вашу общую кибербезопасность.
Требования к ЦП и безопасность на основе виртуализации
Среди наиболее обременительных требований для обновления до Windows 11 — требования к процессору.
Для Windows 11 требуется усовершенствованный 64-разрядный процессор с тактовой частотой 1 ГГц с расширениями виртуализации и двумя или более ядрами (например, процессор Intel 8-го поколения, AMD Zen 2 или Qualcomm серии 7 или 8).
ТОО Лингуа Мадре оказывает в Казахстане полный спектр услуг по поставке и технической поддержке программного обеспечения для резервного копирования, репликации и синхронизации данных. Свяжитесь с нашими экспертами для получения информации о том, чем мы можем вам помочь. | ||
Безопасность Windows. Узнать больше о программном обеспечении Acronis в Казахстане | Связаться с нами |
Эти спецификации позволяют Windows 11 в полной мере использовать функцию, известную как безопасность на основе виртуализации (VBS).
Используя функции аппаратной виртуализации, VBS создает и изолирует безопасную петицию памяти от остальной части ОС для управления конфиденциальными данными или процессами. Эта изоляция ограничивает степень, в которой данный взлом или эксплойт может поставить под угрозу безопасность системы.
Согласно заявлению команды Windows в августе 2021 года:
«Хотя мы не требуем VBS при обновлении до Windows 11, мы считаем, что преимущества безопасности, которые она предлагает, настолько важны, что мы хотели, чтобы минимальные системные требования гарантировали, что каждый компьютер под управлением Windows 11 может соответствовать той же безопасности, что и Министерство обороны США ( DoD) полагается. В партнерстве с нашими OEM-партнерами и партнерами по полупроводниковым компонентам в следующем году мы включим VBS и HVCI на большинстве новых ПК. И мы продолжим искать возможности для расширения VBS на большее количество систем с течением времени»
Несколько различных функций безопасности в Windows 11 зависят от реализации VBS:
- Защита данных ядра (KDP) , например, использует VBS для пометки частей ядра Windows как доступных только для чтения, гарантируя, что драйверы и программное обеспечение, работающие в ядре Windows (то есть сам код ОС), не могут быть изменены.
- Application Guard использует VBS для создания одноразовых виртуальных сред (контейнеров), в которых пользователи могут взаимодействовать с веб-сайтами или файлами Microsoft Office, которые не были явно включены в белый список. Это гарантирует, что ненадежный контент, загруженный через Microsoft Edge, Internet Explorer или Microsoft Office, останется изолированным от основной операционной системы и корпоративных данных, что снизит ущерб, который может нанести любой зараженный контент.
- Credential Guard — это функция безопасности операционной системы, которая изолирует учетные данные Windows NTLM, Kerberos и другие секреты в среде, защищенной VBS, гарантируя, что только привилегированное системное программное обеспечение может получить доступ. Эта функция помогает защитить вашу систему от атак с целью кражи учетных данных, таких как передача билета (PtT) и передача хэша (PtH).
- Аналогичным образом Windows Hello Enhanced Sign-In Security использует VBS для изоляции и защиты данных проверки подлинности (включая биометрические данные), используемых для входа на заданное устройство, гарантируя, что доступ к данным возможен только через безопасные процессы, запущенные в среде VBS. Он также поддерживает создание безопасных путей для данных аутентификации, предоставляемых через внешние компоненты (например, датчик отпечатков пальцев или камеру).
Доверенный платформенный модуль (TPM) 2.0
Помимо требований к процессору, для Windows 11 требуется микросхема TPM для управления криптографическими ключами, а также для защиты микропрограммы и ОС вашего персонального компьютера. Доверенный платформенный модуль (TPM) обеспечивает аппаратную защиту от несанкционированного доступа для важных операций, таких как создание ключей, шифрование и загрузка системы. Версия спецификации TPM 2.0 встроена во все процессоры, поддерживаемые Windows 11, и содержит некоторые важные улучшения.
Объединенный расширяемый интерфейс прошивки (UEFI) и безопасная загрузка
United Extensible Firmware Interface (UEFI) заменяет традиционный устаревший BIOS. Эта программируемая загрузочная среда инициализирует устройства и запускает загрузчик ОС. ПК с UEFI 2.3.1 и чипом TPM также поддерживают безопасную загрузку — функцию, которая проверяет весь код, который выполняется до загрузки операционной системы, а также цифровую подпись загрузчика ОС. Все машины с Windows 11 поставляются с полностью включенной UEFI Secure Boot с самого начала, гарантируя, что авторизованные микропрограммы и программное обеспечение только с надежными цифровыми подписями могут выполняться в процессе загрузки, и защищая систему как от загрузочных наборов, так и от руткитов.
Майкрософт Плутон
Windows 11 — первая ОС, поддерживающая Microsoft Pluton, новый и обновленный процессор безопасности, разработанный Microsoft, который будет встроен в будущие процессоры Intel, AMD и Qualcomm для ПК с Windows. Pluton реализует сквозную безопасность, которая создается, поддерживается и обновляется Microsoft и будет интегрирована со стандартным процессом обновления Windows, обеспечивая более тесную и безопасную интеграцию с ОС на аппаратном уровне. Эта интеграция помогает устранить физическую уязвимость текущих реализаций TPM, когда злоумышленники, владеющие устройством, по-прежнему могут использовать канал связи между ЦП и TPM для кражи или изменения передаваемой информации.
Безопасность Windows по дизайну
Эти требования Windows 11 обеспечивают поддержку ряда передовых технологий безопасности. Некоторые из них, такие как UEFI Secure Boot, включены по умолчанию в любой установке Windows 11, что обеспечивает готовую защиту с нулевым доверием .
Аппаратная защита стека
Аппаратная защита стека (HSP) — это функция, которая помогает выявлять и отключать эксплойты, которые перехватывают поток выполнения кода приложения. HSP позволяет приложениям использовать локальное аппаратное обеспечение ЦП для защиты стека (памяти), где код хранится во время выполнения, от модификации. Это достигается путем сравнения стека вызовов приложения с теневым стеком (защищенная аппаратным обеспечением запись обычного потока выполнения кода приложения). Если целостность стека нарушена, процесс будет остановлен.
Хотя эта функция доступна с марта 2020 года (по крайней мере, в сборках для разработчиков), механизм теневого стека доступен только на некоторых продвинутых чипсетах, таких как те, которые требуются для Windows 11, что обеспечивает более широкое внедрение в новую ОС.
Аттестация Microsoft Azure
Работоспособность устройства обеспечивается Windows 11 благодаря таким функциям, как безопасная загрузка UEFI и защита данных ядра. Таким образом, ОС также обеспечивает готовую поддержку удаленной аттестации устройств; то есть удаленная проверка того, что любые устройства Windows, подключающиеся к вашей сети, действительно заслуживают доверия. Аттестация устанавливает доверие, подтверждая подлинность и целостность основных аппаратных и программных компонентов. Метод удаленной аттестации предоставляет проверяющим сторонам проверяемый, непредвзятый и устойчивый к взлому отчет устройства об удаленном узле.
Аттестация Microsoft Azure (MAA) — это яркий пример службы удаленной аттестации, которую можно использовать для всесторонней проверки работоспособности устройств Windows и использования этой информации для обеспечения условного доступа к облачным приложениям и данным через Azure Active Directory.
Итак, может ли Windows 11 защитить от хакеров?
Microsoft предприняла большие шаги, чтобы обеспечить безопасность своей новой операционной системы. Необходимое оборудование, ориентированное на безопасность, поддерживающее такие функции, как VBS и UEFI Secure Boot, может позволить Windows 11 полностью нейтрализовать целые классы вредоносных атак, таких как руткиты и атаки возвратно-ориентированного программирования (ROP).
Однако большинство пользователей Windows продолжают работать со старыми машинами. Многие из этих пользователей уже хотят опробовать новую операционную систему и могут не до конца понимать, что новые улучшения безопасности Windows 11 идут рука об руку с новыми аппаратными ограничениями. Некоторые могут даже рассмотреть возможность обхода системных требований. Тем не менее, пользователи (или ИТ-администраторы), которые устанавливают Windows 11, игнорируя требования к оборудованию или иным образом отключая важные функции безопасности, в результате теряют многие преимущества безопасности платформы.
Кроме того, имейте в виду, что многие из векторов атак, на которые направлена ваша текущая стратегия кибербезопасности , не учитываются конкретно новыми функциями безопасности в Windows 11. Киберпреступники постоянно ищут новые уязвимости и создают новые вредоносные программы и другие эксплойты, некоторые из которых по-прежнему будут действовать. отлично работают в системах, защищенных TPM, таких как фишинг. Это становится еще более очевидным, если учесть, что, несмотря на приток новых технологий, реализованных в Windows 11, Microsoft по-прежнему обязана продолжать поддерживать многочисленные устаревшие приложения и обеспечивать обратную совместимость. Следовательно, разумно ожидать, что многие ранее незарегистрированные уязвимости, влияющие на Windows 10, могут также относиться к Windows 11 (как было фактически обнаружено в одном недавнем обновлении патча).
Безопасность Windows 11 недостаточна для защиты от хакеров
Acronis предлагает превосходную кибербезопасность для Windows 11
Когда все сказано и сделано, новые функции безопасности в Windows 11 — это шаг в правильном направлении. Более того, Microsoft, похоже, довольно быстро решает недавно обнаруженные проблемы. При этом отдельные лица, организации и поставщики управляемых услуг (MSP) обнаружат, что они могут обеспечить эффективную безопасность и защиту только с помощью решений, разработанных поставщиками кибербезопасности, такими как Acronis.
Ориентированные на интеграцию защиты данных, кибербезопасности и управления рабочими нагрузками, решения Acronis предотвращают современные киберугрозы, включая атаки нулевого дня, и позволяют администраторам безопасности восстанавливать данные, приложения и системы с помощью единой платформы.
Независимо от того, являетесь ли вы домашним пользователем, предприятием или поставщиком услуг, Acronis предлагает лучшую защиту кибербезопасности на рынке сегодня. Его решения включают в себя:
- Для домашних пользователей: Acronis Cyber Protect Home Office (ранее Acronis True Image) предлагает все, что нужно домашнему пользователю для защиты своего ПК или Mac и резервного копирования данных , делая его более устойчивым к современным угрозам — от сбоев диска до атак программ-вымогателей. Благодаря уникальной интеграции резервного копирования и кибербезопасности в одном устройстве это экономит время и снижает затраты, сложность и риски, связанные с управлением несколькими точечными решениями.
- Для предприятий: Acronis Cyber Protect предлагает компаниям решение для киберзащиты, которое изначально объединяет кибербезопасность, резервное копирование бизнес-данных и управление рабочей нагрузкой для защиты конечных точек, систем и данных. Интегрируя защиту данных с кибербезопасностью, ваш бизнес может устранить сложность, обеспечить лучшую защиту от современных угроз и максимально повысить эффективность за счет экономии времени и денег.
- Для поставщиков услуг: Acronis Cyber Protect Cloud объединяет резервное копирование и восстановление в облаке , защиту от вредоносных программ нового поколения и управление рабочими нагрузками в одном решении. Интеграция и автоматизация обеспечивают непревзойденную простоту для MSP, уменьшая сложность, повышая производительность и снижая эксплуатационные расходы.
ТОО Лингуа Мадре оказывает в Казахстане полный спектр услуг по поставке и технической поддержке программного обеспечения для резервного копирования, репликации и синхронизации данных. Свяжитесь с нашими экспертами для получения информации о том, чем мы можем вам помочь. | ||
Безопасность Windows. Узнать больше о программном обеспечении Acronis в Казахстане | Связаться с нами |