微軟的下一代操作系統(tǒng)Windows 10即將于今年7月29日向現(xiàn)有Windows 7及Windows 8.1用戶免費(fèi)開放�����。不過Windows企業(yè)版的客戶們還需要等到今年晚些時候才能迎來屬于自己的解決方案�����。
在微軟新一代Windows 10操作系統(tǒng)的全新主要安全特性當(dāng)中�����,我們赫然看到了應(yīng)用程序?qū)彶榕c生物認(rèn)證兩項(xiàng)標(biāo)題���。軟件巨人在今天的公告中指出,這一切都將隨著Windows 新版本于今年7月29日的免費(fèi)發(fā)布被交付至現(xiàn)有Windows 7及Windows 8用戶手中����。
Windows 10的來臨使得一切關(guān)于Windows即將消亡——特別是考慮到微軟在Windows 8版本中武斷地直接推出磁貼界面并移除開始菜單的情況——的傳聞消弭于無形����,或者說至少暫時平息了下來�。除了我們所喜愛的開始菜單將會強(qiáng)勢回歸、昵稱“小娜”的Cortana個人助手上線以及名為Edge的更新�����、更快�、更具個性的瀏覽器方案的亮相,微軟還會在Windows 10當(dāng)中引入一系列全新安全功能——而且其中大部分將直接登陸Windows 10的首發(fā)版本����。
Windows安全專家Marc Maiffret指出,隨著Windows 10安全功能與全新Windows Store中應(yīng)用程序認(rèn)證與審查機(jī)制的結(jié)合���,微軟公司正著手將桌面生態(tài)系統(tǒng)推向與智能手機(jī)類似的新方向——這對于安全工作而言無疑算是一個好消息�。“其中包含不少有趣的安全機(jī)制�,我們可以利用其在安全保障工作中更好地控制環(huán)境內(nèi)的應(yīng)用程序與代碼,”他解釋稱�。
1. Device Guard
微軟公司的全新Device Guard旨在對全部嘗試訪問Windows 10設(shè)備及其網(wǎng)絡(luò)體系的應(yīng)用程序進(jìn)行審查,從而徹底阻斷零日攻擊的出現(xiàn)��。它基本上會默認(rèn)將全部應(yīng)用程序阻斷在外�����,除了那些擁有特定軟件供應(yīng)商�、Windows應(yīng)用程序商店以及企業(yè)自身確認(rèn)許可的應(yīng)用。
宏基�、富士通、惠普���、NCR��、聯(lián)想�、PAR以及東芝等廠商已經(jīng)與微軟方面達(dá)成協(xié)議�,共同將Device Guard引入自己的Windows設(shè)備當(dāng)中。其能夠支持銷售系統(tǒng)�����、ATM機(jī)以及其它運(yùn)行有Windows系統(tǒng)的各類物聯(lián)網(wǎng)型設(shè)備����。
“為了幫助用戶免受惡意軟件的侵?jǐn)_,當(dāng)某款應(yīng)用程序開始執(zhí)行時�,Windows會首先檢測該應(yīng)用是否可信,并在發(fā)現(xiàn)其不可信時向用戶發(fā)出通知��。Device Guard能夠利用硬件技術(shù)與虛擬化機(jī)制將這一額外許可功能與Windows操作系統(tǒng)中的其它組件隔離開來,而這有助于保護(hù)用戶免受已經(jīng)獲得了系統(tǒng)整體權(quán)限的攻擊者或者惡意軟件的騷擾�����,”微軟公司的Chris Hallum在最近發(fā)布的一篇相關(guān)功能介紹博文當(dāng)中寫道����。
微軟的Hallum同時指出,與其它殺毒及白名單軟件不同���,那些能夠進(jìn)行系統(tǒng)證書篡改或者未知類型的惡意軟件同樣很難脫離Device Guard的法眼��,而且其可以同殺毒�、白名單乃至其它應(yīng)用程序控制產(chǎn)品協(xié)同工作�。
“傳統(tǒng)殺毒解決方案與應(yīng)用程序控制技術(shù)都能夠立足于Device Guard機(jī)制,從而阻斷基于可執(zhí)行文件及腳本的惡意軟件����,而殺毒工具也將繼續(xù)涵蓋Device Guard力有不逮的JIT應(yīng)用(例如Java)與文件內(nèi)的宏等領(lǐng)域,”Hallum補(bǔ)充道�。
有趣的是,Device Guard同樣能夠以虛擬化方式運(yùn)行���,這意味著如果Windows內(nèi)核遭到突破���,Device Guard仍然不會受到影響��,微軟方面指出。它仍然會審查所運(yùn)行的軟件是否符合管理策略提出的配置要求���。
2. Windows Hello
Windows Hello已經(jīng)被微軟方面宣傳為一項(xiàng)密碼殺手型功能���,其利用生物識別機(jī)制——包括用戶的面孔、虹膜或者指紋——來啟動Windows 10設(shè)備�,而不再像過去那樣只能使用討厭且安全性低下的密碼內(nèi)容。
微軟公司操作系統(tǒng)部門運(yùn)營副總裁Joe Belfiore指出����,Hello之所以安全性更高,是因?yàn)樗试S用戶對應(yīng)用程序���、企業(yè)內(nèi)容以及在線體驗(yàn)進(jìn)行驗(yàn)證�����,而無需在用戶設(shè)備或者網(wǎng)絡(luò)服務(wù)器端存儲任何密碼內(nèi)容�����。
不過問題在于����,我們需要一臺具備指紋識別器及掃描軟硬件裝置的設(shè)備,因?yàn)橹挥羞@樣才能順利通過面孔或者虹膜進(jìn)行生物特征驗(yàn)證��。此外���,該設(shè)備還需要支持Windows Biometric框架����。
“我們與硬件合作伙伴密切配合��,旨在為Windows Hello提供具備支持能力且搭載有Windows 10系統(tǒng)的硬件設(shè)備�����。我們也興奮地宣布��,所有搭載有英特爾RealSense 3D攝像頭(F200)的OEM系統(tǒng)都將支持Windows Hello的面部解鎖功能����,其中包括自動登錄Windows�,同時支持在無需輸入PIN碼的前提下解鎖‘Passport’���,”Belfiore在今天發(fā)布的一篇Windows 10博文中介紹稱���。
Maiffret表示,微軟公司目前正在根據(jù)企業(yè)客戶的需求進(jìn)一步開發(fā)Hello的驗(yàn)證機(jī)制���。“這套方案從加密角度講能夠顯著提升安全性水平,因此其完全可以……被引入到企業(yè)環(huán)境下作為正式驗(yàn)證機(jī)制使用�����,”他指出�。
3. Passport
配合前面提到的密切機(jī)制清退舉措,Windows 10還為我們帶來了一項(xiàng)名為Passport的新功能�,允許用戶在無需密碼的前提下登錄應(yīng)用程序、網(wǎng)站以及網(wǎng)絡(luò)�����。
“Windows 10會要求用戶確認(rèn)對當(dāng)前設(shè)備的所有權(quán)���,而后提供根據(jù)通過PIN碼或者配備有生物識別傳感裝置的設(shè)備通過Windows Hello驗(yàn)證身份�。在通過‘Passport’認(rèn)證之后,大家將能夠立即訪問更多網(wǎng)站及服務(wù)……包括您最喜愛的電子商務(wù)網(wǎng)站�、電子郵件與社交網(wǎng)絡(luò)服務(wù)、金融機(jī)構(gòu)以及商業(yè)網(wǎng)絡(luò)”等等�����,微軟公司指出�����。
根據(jù)微軟方面的證實(shí)�,Passport還能夠與微軟的Azure Active Directory服務(wù)相協(xié)作,而用戶的生物認(rèn)證“簽名”會以安全方式被保存在本地用戶設(shè)備當(dāng)中�,且只用于解鎖設(shè)備及Passport; 換言之,這部分信息不會通過網(wǎng)絡(luò)傳輸��。
不過雖然目前已經(jīng)成為FIDO聯(lián)盟當(dāng)中的一員并著力在未來徹底將密碼機(jī)制扔進(jìn)歷史的垃圾堆�,但微軟公司并不打算在Windows 10中就宣布密碼的消亡。因此用戶或者企業(yè)客戶即使不愿或者無力承擔(dān)部署Windows Hello及Passport相關(guān)裝置的費(fèi)用����,也完全可以在Windows 10中繼續(xù)使用傳統(tǒng)密碼與密碼管理方案。
與此同時����,微軟公司還在Windows 10內(nèi)部推出了一些初步但卻非常關(guān)鍵的變更�����,包括利用容器技術(shù)與虛擬沙箱機(jī)制提高桌面系統(tǒng)的安全水平�����,Maiffret表示�。“不過我敢肯定����,在明年的黑帽大會或者其它類似活動上,就會有人宣稱成功破解了Windows 10的沙箱方案�,這是不可避免的結(jié)果�����。”
盡管如此���,微軟公司仍然將其引入了Windows系統(tǒng)��,并作為一大足以改變游戲規(guī)則的重要改進(jìn)��,他表示�。
