如何高效發(fā)揮企業(yè)級Windows 10中的安全性能

2015-12-07 13:34 作者：admin 瀏覽量：

　　Windows 10企業(yè)版在其消費版本發(fā)布的一天之后即快速面世，其中自然也為企業(yè)客戶這一主要受眾提供了立等可取的多種實用性改進(jìn)。不過在Windows 10企業(yè)版當(dāng)中，各類極為重要的安全功能要么被包含在了未來的主要更新當(dāng)中(大家可以將其理解為服務(wù)包，即我們所熟知的SP)——可能會在今年秋季正式發(fā)布，要么將依托于企業(yè)及在線站點與服務(wù)實現(xiàn)一系列實質(zhì)性安全轉(zhuǎn)變——例如淘汰已然過時的密碼機(jī)制。換句話來說，隨著這些重要升級的推出，我們需要制定對應(yīng)計劃才能最大程度發(fā)揮Windows 10的安全提升優(yōu)勢。

　　不過就目前來講，IT管理人員還是可以享受到大量立即起效的安全改進(jìn)效果，特別是在所管轄的用戶將Windows 10設(shè)備納入日常工作的情況之下。而且其中一部分只需要簡單的策略調(diào)整即可發(fā)揮作用。

　　例如，大部分消費級PC設(shè)備需要利用訂購反惡意軟件來保障安全;而當(dāng)訂購到期時——如果用戶沒有及時進(jìn)行續(xù)費(微軟方面表示，約有10%的消費級PC設(shè)備會出現(xiàn)這種狀況)，那么Windows Defender會在預(yù)設(shè)時間之后自動開啟。目前的預(yù)設(shè)時間為三天，因為殺毒軟件供應(yīng)商不希望Windows Defender在產(chǎn)品過期后立即啟用，但這種機(jī)制的存在確實能夠在員工通過監(jiān)管之外的家用系統(tǒng)接入業(yè)務(wù)環(huán)境時、幫助企業(yè)更好地實現(xiàn)安全保障。雖然找一家專業(yè)并且適合企業(yè)IT運維系統(tǒng)的外包服務(wù)商不是特容易的事，需要企業(yè)進(jìn)行一系列系統(tǒng)的考核和預(yù)算設(shè)定。

　　同樣需要指出的是，Windows Defender現(xiàn)在還在Windows恢復(fù)環(huán)境中內(nèi)置了一套離線版本，其作用是在我們對系統(tǒng)進(jìn)行修復(fù)時繼續(xù)保護(hù)自身免受惡意軟件侵?jǐn)_。

　　微軟公司的全新Edge瀏覽器從多個方面對安全性作出了改進(jìn)，從在應(yīng)用容器沙箱內(nèi)運行到移除ActiveX控件、VCScript、工具欄以及Browser Helper Object等等。這雖然能夠讓瀏覽操作整體上變得更加安全，但同時也要求大家對業(yè)務(wù)應(yīng)用作出一定調(diào)整(或者在多數(shù)情況下，對員工PC設(shè)備進(jìn)行配置以繼續(xù)利用IE訪問對應(yīng)站點)。而且盡管引入了大量現(xiàn)代Web標(biāo)準(zhǔn)并提升了瀏覽速度，Edge目前明顯仍處于發(fā)展階段，并預(yù)計將在今年晚些時候迎來一輪主要功能更新。

　　如果大家是從Windows 7或者其它早期版本直接升級至Windows 10，那么其中一些繼承自Windows 8的安全功能對您來說可能同樣是初次體驗。舉例來說，受信啟動惡意軟件保護(hù)會在啟動時首先加載殺毒軟件、而后再陸續(xù)載入其它軟件，允許我們選擇運行那些經(jīng)數(shù)字化標(biāo)為非惡意代碼的操作系統(tǒng)組件，同時能夠?qū)⒔?jīng)過驗證的系統(tǒng)安全啟動流程保存在受信平臺模塊(簡稱TPM)當(dāng)中——這樣大家就能夠在允許設(shè)備接入關(guān)鍵性系統(tǒng)之前加以檢查，特別是在利用TPM作為虛擬智能卡的情況之下。

　　BitLocker全盤加密仍然只適用于Windows專業(yè)版與企業(yè)版，不過最為基礎(chǔ)的Windows 10家庭版系統(tǒng)也已經(jīng)具備了Windows 8.1發(fā)布時所提供的設(shè)備加密選項(只要配備有合適的硬件)。

　　Windows 10當(dāng)中的其它安全功能則更為基礎(chǔ)，但它們?nèi)匀灰蟾魑挥脩糇兏幚砩矸菪畔?、驗證與訪問的方式，從而最大程度發(fā)揮其預(yù)設(shè)功能。

　　超越傳統(tǒng)密碼

　　生物識別技術(shù)對于PC設(shè)備而言早已算不上什么新生事物，但新型PC上的硬件使這項功能速度更快也更加靈活，而新的Windows Hello登錄功能也非常易于使用。新的指紋掃描器采用電容技術(shù)，與iPhone觸控屏幕一樣，因此用戶能夠直接將手指放上——而不必再像過去那樣在窄小的傳感器上反復(fù)滑動——即可讓系統(tǒng)同時完成指紋3D結(jié)構(gòu)驗證與手指“活性”檢查?，F(xiàn)在，英特爾公司已經(jīng)在自家推出的主板產(chǎn)品當(dāng)中引入了附加生物識別傳感器，相信未來它們將在更多設(shè)備之上為安全保障貢獻(xiàn)自己的一份力量。

　　Windows 10同時能夠與手掌靜脈打印、虹膜識別與3D人臉識別等技術(shù)方案順暢協(xié)作，利用目前眾多筆記本電腦上配備的英特爾RealSense攝像頭實現(xiàn)相關(guān)功能。這項功能同時能夠利用紅外線傳感裝置檢測用戶體溫，因此不會被照片或者面具等小伎倆所愚弄。

　　隨著生物識別技術(shù)對標(biāo)準(zhǔn)Windows用戶密碼的逐步取代，現(xiàn)在我們能夠更為有效地防止員工受到網(wǎng)絡(luò)釣魚活動的愚弄，同時避免了員工在云服務(wù)當(dāng)中重復(fù)使用工作密碼所引發(fā)的用戶名及密碼內(nèi)容泄露風(fēng)險。但它并不足以應(yīng)對日益增多的常見攻擊活動，因為目前攻擊者們已經(jīng)能夠?qū)我籔C設(shè)備上的惡意軟件進(jìn)行控制，從而在用戶登錄Windows時收集其訪問令牌以及Kerberos證書。有了這些信息，攻擊者將得以訪問企業(yè)內(nèi)部的電子郵件、共享文件、SharePoint站點、業(yè)務(wù)應(yīng)用、企業(yè)數(shù)據(jù)庫以及其它數(shù)據(jù)存儲內(nèi)容。

　　這些攻擊活動往往被稱為“hash回避”與“ticket回避”攻擊，具體取決于攻擊者所指向的證書類別，微軟公司的Chris Hallum解釋稱。“一旦攻擊者獲取到該令牌，也就相當(dāng)于在企業(yè)環(huán)境內(nèi)擁有了自己的身份;其實際效果跟獲取到員工的用戶名及密碼是一樣的。如果他們能夠得到管理員權(quán)限，則能夠運行工具以提取到令牌信息，而后游走于網(wǎng)絡(luò)當(dāng)中并在無需輸入密碼的情況下隨意訪問任何服務(wù)器?！?/p>

　　在Windows 10企業(yè)版(以及Windows Server 2016)當(dāng)中，登錄進(jìn)程運行在微軟所謂虛擬安全模式之下——這是一套安全的虛擬化容器，其中不提供任何管理員權(quán)限且訪問活動嚴(yán)格受限，用戶只能夠獲取到通過登陸服務(wù)驗證時所提供的對應(yīng)功能。訪問令牌與ticket皆被保存于此并以全面隨機(jī)化與受管形式以全長度散列形式存在，這就消除了暴力破解攻擊的可能性。“即使Windows內(nèi)核被攻擊者突破，其也無法在容器之外訪問到令牌信息，”Hallum表示。“這樣，我們就能將最重要的Windows組件之一進(jìn)行隔離?！?/p>

　　不過要利用這一Credential Guard機(jī)制保護(hù)企業(yè)證書，大家不僅需要將Windows企業(yè)版運行在具備硬件虛擬化與TPM技術(shù)的PC設(shè)備之上，同時還需要將域控制器遷移到Windows Server 2016當(dāng)中。

　　取代密碼

　　大家還需要提前制定計劃以使用Windows Passport，也就是Windows 10當(dāng)中剛剛出現(xiàn)的、兼容快速識別網(wǎng)絡(luò)(簡稱FIDO)技術(shù)的下一代證書。用戶可以利用這些分布式證書對現(xiàn)有公共密鑰基礎(chǔ)設(shè)施或者由Windows本身生成的密鑰對進(jìn)行驗證，而且它們會以安全方式被存儲在TPM當(dāng)中，并通過生物識別或者PIN(或者圖片密碼)進(jìn)行解鎖。每一臺設(shè)備都能夠利用智能卡或者一次性密碼進(jìn)行注冊，因此PC本身就成為驗證當(dāng)中的輔助因素。當(dāng)然，大家也可以利用藍(lán)牙裝置或者Wi-Fi聯(lián)網(wǎng)手機(jī)為用戶驗證多臺其它設(shè)備，及網(wǎng)絡(luò)設(shè)備維護(hù)。

　　大家可以在管理政策當(dāng)中設(shè)定PIN碼長度及復(fù)雜性(最多為20個字符，包括大寫與小寫字母、符號、空格以及數(shù)字)，并為不同企業(yè)證書設(shè)置各自的獨立PIN碼。如此一來，我們就能夠在不影響其他用戶的前提下對這部分信息進(jìn)行清除。

　　從長遠(yuǎn)角度看，許多網(wǎng)站及在線服務(wù)也將采用FIDO兼容型證書，但我們可以先從將Passport引入自有業(yè)務(wù)線應(yīng)用及服務(wù)作為初步嘗試。它能夠與各類經(jīng)過良好設(shè)計的應(yīng)用程序順暢協(xié)作，Hallum表示“每一款應(yīng)用程序都應(yīng)該能夠發(fā)揮這項優(yōu)勢，除非大家不打算遵循最佳實踐，例如應(yīng)用強(qiáng)迫用戶輸入自己的用戶名及密碼、而非使用Windows提供的密碼提示?！辈贿^需要再次強(qiáng)調(diào)，大家需要具備Windows 2016以及Azure Active Directory——或者對自有Active Directory基礎(chǔ)設(shè)施進(jìn)行某些更新——才能實現(xiàn)這項保護(hù)功能。

　　如果大家選擇使用Azure Active Directory，則可以利用它在Windows 10當(dāng)中對內(nèi)置移動設(shè)備管理(簡稱MDM)客戶端進(jìn)行配置，從而在員工使用PC設(shè)備的同時為其提供域資源與各類云服務(wù)的單點登錄功能。微軟Intune是第一項能夠管理Windows 10設(shè)備的MDM服務(wù)，但微軟公司目前正積極推動其它MDM供應(yīng)商對Windows 10的支持——這將允許大家以多種因素為基礎(chǔ)設(shè)置訪問控制政策，包括用戶從哪里進(jìn)行登錄、其設(shè)備運行狀況是否良好及是否合規(guī)、應(yīng)用程序的敏感性如何并對常見用戶角色及組設(shè)置進(jìn)行訪問限制設(shè)定。

　　如果大家希望對設(shè)備上所能運行的應(yīng)用或服務(wù)進(jìn)行進(jìn)一步控制，則需要使用配備有新型Device Guard選項的的PC產(chǎn)品;這要求其BIOS與UEFI由OEM廠商鎖定。在這種情況下，我們需要購買符合相關(guān)要求的硬件，但卻同時獲得了限定其能夠運行哪些軟件的能力。其中包括來自Windows Store的應(yīng)用程序——無論是桌面還是通用型應(yīng)用、來自特定軟件供應(yīng)商的應(yīng)用以及我們自己上傳至Windows Store的自主開發(fā)應(yīng)用——當(dāng)然，大家也可以與微軟對接以設(shè)置本地證書。只要這些簽名證書受到企業(yè)及軟件供應(yīng)商的嚴(yán)格保護(hù)，那么整套體系就足以將惡意軟件徹底屏蔽在大家的關(guān)鍵性設(shè)備之外。

　　每個文件都擁有自己的容器環(huán)境

　　今年晚些時候，微軟公司還將為Windows 10帶來另一項關(guān)鍵性安全選項：企業(yè)數(shù)據(jù)保護(hù)(簡稱EDP)。這項功能將利用目前常見于智能手機(jī)之上的容器方案實現(xiàn)企業(yè)文件保護(hù)，利用管理政策將業(yè)務(wù)內(nèi)容自動保存在加密位置，且無需以手動方式對每個文件進(jìn)行加密。不過與大部分智能手機(jī)容器系統(tǒng)不同，在Windows 10中每個文件都擁有自己的一套容器環(huán)境，而Windows則扮演著訪問代理的角色。

　　“Windows 10能夠根據(jù)數(shù)據(jù)的具體來源對業(yè)務(wù)及個人數(shù)據(jù)加以區(qū)分，”Hallum指出?！按蠹夷軌蛟诰W(wǎng)絡(luò)上設(shè)置位置，并將對應(yīng)數(shù)據(jù)指定為業(yè)務(wù)類型;例如這一臺為業(yè)務(wù)郵件服務(wù)器、這些屬于業(yè)務(wù)文件服務(wù)器，一切都利用DNS地址提供的IP地址范圍實現(xiàn)。當(dāng)接收到來自這些位置的內(nèi)容時，網(wǎng)絡(luò)就會識別出它的來源，我們就能夠提前從文件層級出發(fā)對其進(jìn)行加密。”對于由設(shè)備生成的文件，大家可以利用管理政策指定哪些應(yīng)用屬于個人而哪些屬于業(yè)務(wù)類別，并自動對來自業(yè)務(wù)應(yīng)用的文件進(jìn)行加密。

　　這將是一套跨平臺解決方案，因此文件也可以在OS X、iOS以及Android系統(tǒng)平臺上打開。Office文件的使用也很簡單，我們可以利用Office 2016版本進(jìn)行打開——其中包括Windows 10所提供的免費Office Mobile應(yīng)用，不過大家需要訂購商業(yè)服務(wù)以實現(xiàn)商務(wù)用途。目前只有Mac版本的Office 2016提供預(yù)覽版本，因此Windows 10容器方案很可能會隨著Windows版本Office 2016的推出而一并面世。微軟Intune是目前惟一一項能夠管理Office應(yīng)用程序的MDM服務(wù)，但大家也可以利用各類MDM服務(wù)或者System Center配置管理器進(jìn)行密鑰與管理政策配置，從而實現(xiàn)企業(yè)數(shù)據(jù)保護(hù)容器的管理。

　　隨著更多后續(xù)安全技術(shù)在Windows 10中的出現(xiàn)，我們需要制定一系列政策及投入以發(fā)揮其最大價值。不過Windows 10與Windows Server 2016所提供的安全保障水平確實能夠有效保護(hù)證書、應(yīng)用程序文件，而這一切都是在以往Windows生態(tài)系統(tǒng)當(dāng)中未曾出現(xiàn)過的。

(原文標(biāo)題：How to get the most out of Windows 10 enterprise security features)