微軟的下一代操作系統Windows 10即將於今年7月29日向現有Windows 7及Windows 8.1用戶免費開放。不過Windows企業版的客戶們還需要等到今年晚些時候才能迎來屬於自己的解決方案。
在微軟新一代Windows 10操作系統的全新主要安全特性當中,我們赫然看到了應用程序審查與生物認證兩項標題。軟件巨人在今天的公告中指出,這一切都將隨著Windows 新版本於今年7月29日的免費發布被交付至現有Windows 7及Windows 8用戶手中。
Windows 10的來臨使得一切關於Windows即將消亡——特別是考慮到微軟在Windows 8版本中武斷地直接推出磁貼界面並移除開始菜單的情況——的傳聞消弭於無形,或者說至少暫時平息了下來。除了我們所喜愛的開始菜單將會強勢回歸、昵稱“小娜”的Cortana個人助手上線以及名為Edge的更新、更快、更具個性的浏覽器方案的亮相,微軟還會在Windows 10當中引入一系列全新安全功能——而且其中大部分將直接登陸Windows 10的首發版本。
Windows安全專家Marc Maiffret指出,隨著Windows 10安全功能與全新Windows Store中應用程序認證與審查機制的結合,微軟公司正著手將桌面生態系統推向與智能手機類似的新方向——這對於安全工作而言無疑算是一個好消息。“其中包含不少有趣的安全機制,我們可以利用其在安全保障工作中更好地控制環境內的應用程序與代碼,”他解釋稱。
1. Device Guard
微軟公司的全新Device Guard旨在對全部嘗試訪問Windows 10設備及其網絡體系的應用程序進行審查,從而徹底阻斷零日攻擊的出現。它基本上會默認將全部應用程序阻斷在外,除了那些擁有特定軟件供應商、Windows應用程序商店以及企業自身確認許可的應用。
宏基、富士通、惠普、NCR、聯想、PAR以及東芝等廠商已經與微軟方面達成協議,共同將Device Guard引入自己的Windows設備當中。其能夠支持銷售系統、ATM機以及其它運行有Windows系統的各類物聯網型設備。
“為了幫助用戶免受惡意軟件的侵擾,當某款應用程序開始執行時,Windows會首先檢測該應用是否可信,並在發現其不可信時向用戶發出通知。Device Guard能夠利用硬件技術與虛擬化機制將這一額外許可功能與Windows操作系統中的其它組件隔離開來,而這有助於保護用戶免受已經獲得了系統整體權限的攻擊者或者惡意軟件的騷擾,”微軟公司的Chris Hallum在最近發布的一篇相關功能介紹博文當中寫道。
微軟的Hallum同時指出,與其它殺毒及白名單軟件不同,那些能夠進行系統證書篡改或者未知類型的惡意軟件同樣很難脫離Device Guard的法眼,而且其可以同殺毒、白名單乃至其它應用程序控制產品協同工作。
“傳統殺毒解決方案與應用程序控制技術都能夠立足於Device Guard機制,從而阻斷基於可執行文件及腳本的惡意軟件,而殺毒工具也將繼續涵蓋Device Guard力有不逮的JIT應用(例如Java)與文件內的宏等領域,”Hallum補充道。
有趣的是,Device Guard同樣能夠以虛擬化方式運行,這意味著如果Windows內核遭到突破,Device Guard仍然不會受到影響,微軟方面指出。它仍然會審查所運行的軟件是否符合管理策略提出的配置要求。
2. Windows Hello
Windows Hello已經被微軟方面宣傳為一項密碼殺手型功能,其利用生物識別機制——包括用戶的面孔、虹膜或者指紋——來啟動Windows 10設備,而不再像過去那樣只能使用討厭且安全性低下的密碼內容。
微軟公司操作系統部門運營副總裁Joe Belfiore指出,Hello之所以安全性更高,是因為它允許用戶對應用程序、企業內容以及在線體驗進行驗證,而無需在用戶設備或者網絡服務器端存儲任何密碼內容。
不過問題在於,我們需要一台具備指紋識別器及掃描軟硬件裝置的設備,因為只有這樣才能順利通過面孔或者虹膜進行生物特征驗證。此外,該設備還需要支持Windows Biometric框架。
“我們與硬件合作伙伴密切配合,旨在為Windows Hello提供具備支持能力且搭載有Windows 10系統的硬件設備。我們也興奮地宣布,所有搭載有英特爾RealSense 3D攝像頭(F200)的OEM系統都將支持Windows Hello的面部解鎖功能,其中包括自動登錄Windows,同時支持在無需輸入PIN碼的前提下解鎖‘Passport’,”Belfiore在今天發布的一篇Windows 10博文中介紹稱。
Maiffret表示,微軟公司目前正在根據企業客戶的需求進一步開發Hello的驗證機制。“這套方案從加密角度講能夠顯著提升安全性水平,因此其完全可以……被引入到企業環境下作為正式驗證機制使用,”他指出。
3. Passport
配合前面提到的密切機制清退舉措,Windows 10還為我們帶來了一項名為Passport的新功能,允許用戶在無需密碼的前提下登錄應用程序、網站以及網絡。
“Windows 10會要求用戶確認對當前設備的所有權,而後提供根據通過PIN碼或者配備有生物識別傳感裝置的設備通過Windows Hello驗證身份。在通過‘Passport’認證之後,大家將能夠立即訪問更多網站及服務……包括您最喜愛的電子商務網站、電子郵件與社交網絡服務、金融機構以及商業網絡”等等,微軟公司指出。
根據微軟方面的證實,Passport還能夠與微軟的Azure Active Directory服務相協作,而用戶的生物認證“簽名”會以安全方式被保存在本地用戶設備當中,且只用於解鎖設備及Passport; 換言之,這部分信息不會通過網絡傳輸。
不過雖然目前已經成為FIDO聯盟當中的一員並著力在未來徹底將密碼機制扔進歷史的垃圾堆,但微軟公司並不打算在Windows 10中就宣布密碼的消亡。因此用戶或者企業客戶即使不願或者無力承擔部署Windows Hello及Passport相關裝置的費用,也完全可以在Windows 10中繼續使用傳統密碼與密碼管理方案。
與此同時,微軟公司還在Windows 10內部推出了一些初步但卻非常關鍵的變更,包括利用容器技術與虛擬沙箱機制提高桌面系統的安全水平,Maiffret表示。“不過我敢肯定,在明年的黑帽大會或者其它類似活動上,就會有人宣稱成功破解了Windows 10的沙箱方案,這是不可避免的結果。”
盡管如此,微軟公司仍然將其引入了Windows系統,並作為一大足以改變游戲規則的重要改進,他表示。
