如何高效發(fā)揮企業(yè)級(jí)Windows 10中的安全性能

2015-12-07 13:34 作者：admin 瀏覽量：

　　Windows 10企業(yè)版在其消費(fèi)版本發(fā)布的一天之后即快速面世，其中自然也為企業(yè)客戶(hù)這一主要受眾提供了立等可取的多種實(shí)用性改進(jìn)。不過(guò)在Windows 10企業(yè)版當(dāng)中，各類(lèi)極為重要的安全功能要么被包含在了未來(lái)的主要更新當(dāng)中(大家可以將其理解為服務(wù)包，即我們所熟知的SP)——可能會(huì)在今年秋季正式發(fā)布，要么將依托于企業(yè)及在線(xiàn)站點(diǎn)與服務(wù)實(shí)現(xiàn)一系列實(shí)質(zhì)性安全轉(zhuǎn)變——例如淘汰已然過(guò)時(shí)的密碼機(jī)制。換句話(huà)來(lái)說(shuō)，隨著這些重要升級(jí)的推出，我們需要制定對(duì)應(yīng)計(jì)劃才能最大程度發(fā)揮Windows 10的安全提升優(yōu)勢(shì)。

　　不過(guò)就目前來(lái)講，IT管理人員還是可以享受到大量立即起效的安全改進(jìn)效果，特別是在所管轄的用戶(hù)將Windows 10設(shè)備納入日常工作的情況之下。而且其中一部分只需要簡(jiǎn)單的策略調(diào)整即可發(fā)揮作用。

　　例如，大部分消費(fèi)級(jí)PC設(shè)備需要利用訂購(gòu)反惡意軟件來(lái)保障安全;而當(dāng)訂購(gòu)到期時(shí)——如果用戶(hù)沒(méi)有及時(shí)進(jìn)行續(xù)費(fèi)(微軟方面表示，約有10%的消費(fèi)級(jí)PC設(shè)備會(huì)出現(xiàn)這種狀況)，那么Windows Defender會(huì)在預(yù)設(shè)時(shí)間之后自動(dòng)開(kāi)啟。目前的預(yù)設(shè)時(shí)間為三天，因?yàn)闅⒍拒浖?yīng)商不希望Windows Defender在產(chǎn)品過(guò)期后立即啟用，但這種機(jī)制的存在確實(shí)能夠在員工通過(guò)監(jiān)管之外的家用系統(tǒng)接入業(yè)務(wù)環(huán)境時(shí)、幫助企業(yè)更好地實(shí)現(xiàn)安全保障。雖然找一家專(zhuān)業(yè)并且適合企業(yè)IT運(yùn)維系統(tǒng)的外包服務(wù)商不是特容易的事，需要企業(yè)進(jìn)行一系列系統(tǒng)的考核和預(yù)算設(shè)定。

　　同樣需要指出的是，Windows Defender現(xiàn)在還在Windows恢復(fù)環(huán)境中內(nèi)置了一套離線(xiàn)版本，其作用是在我們對(duì)系統(tǒng)進(jìn)行修復(fù)時(shí)繼續(xù)保護(hù)自身免受惡意軟件侵?jǐn)_。

　　微軟公司的全新Edge瀏覽器從多個(gè)方面對(duì)安全性作出了改進(jìn)，從在應(yīng)用容器沙箱內(nèi)運(yùn)行到移除ActiveX控件、VCScript、工具欄以及Browser Helper Object等等。這雖然能夠讓瀏覽操作整體上變得更加安全，但同時(shí)也要求大家對(duì)業(yè)務(wù)應(yīng)用作出一定調(diào)整(或者在多數(shù)情況下，對(duì)員工PC設(shè)備進(jìn)行配置以繼續(xù)利用IE訪(fǎng)問(wèn)對(duì)應(yīng)站點(diǎn))。而且盡管引入了大量現(xiàn)代Web標(biāo)準(zhǔn)并提升了瀏覽速度，Edge目前明顯仍處于發(fā)展階段，并預(yù)計(jì)將在今年晚些時(shí)候迎來(lái)一輪主要功能更新。

　　如果大家是從Windows 7或者其它早期版本直接升級(jí)至Windows 10，那么其中一些繼承自Windows 8的安全功能對(duì)您來(lái)說(shuō)可能同樣是初次體驗(yàn)。舉例來(lái)說(shuō)，受信啟動(dòng)惡意軟件保護(hù)會(huì)在啟動(dòng)時(shí)首先加載殺毒軟件、而后再陸續(xù)載入其它軟件，允許我們選擇運(yùn)行那些經(jīng)數(shù)字化標(biāo)為非惡意代碼的操作系統(tǒng)組件，同時(shí)能夠?qū)⒔?jīng)過(guò)驗(yàn)證的系統(tǒng)安全啟動(dòng)流程保存在受信平臺(tái)模塊(簡(jiǎn)稱(chēng)TPM)當(dāng)中——這樣大家就能夠在允許設(shè)備接入關(guān)鍵性系統(tǒng)之前加以檢查，特別是在利用TPM作為虛擬智能卡的情況之下。

　　BitLocker全盤(pán)加密仍然只適用于Windows專(zhuān)業(yè)版與企業(yè)版，不過(guò)最為基礎(chǔ)的Windows 10家庭版系統(tǒng)也已經(jīng)具備了Windows 8.1發(fā)布時(shí)所提供的設(shè)備加密選項(xiàng)(只要配備有合適的硬件)。

　　Windows 10當(dāng)中的其它安全功能則更為基礎(chǔ)，但它們?nèi)匀灰蟾魑挥脩?hù)變更處理身份信息、驗(yàn)證與訪(fǎng)問(wèn)的方式，從而最大程度發(fā)揮其預(yù)設(shè)功能。

　　超越傳統(tǒng)密碼

　　生物識(shí)別技術(shù)對(duì)于PC設(shè)備而言早已算不上什么新生事物，但新型PC上的硬件使這項(xiàng)功能速度更快也更加靈活，而新的Windows Hello登錄功能也非常易于使用。新的指紋掃描器采用電容技術(shù)，與iPhone觸控屏幕一樣，因此用戶(hù)能夠直接將手指放上——而不必再像過(guò)去那樣在窄小的傳感器上反復(fù)滑動(dòng)——即可讓系統(tǒng)同時(shí)完成指紋3D結(jié)構(gòu)驗(yàn)證與手指“活性”檢查?，F(xiàn)在，英特爾公司已經(jīng)在自家推出的主板產(chǎn)品當(dāng)中引入了附加生物識(shí)別傳感器，相信未來(lái)它們將在更多設(shè)備之上為安全保障貢獻(xiàn)自己的一份力量。

　　Windows 10同時(shí)能夠與手掌靜脈打印、虹膜識(shí)別與3D人臉識(shí)別等技術(shù)方案順暢協(xié)作，利用目前眾多筆記本電腦上配備的英特爾RealSense攝像頭實(shí)現(xiàn)相關(guān)功能。這項(xiàng)功能同時(shí)能夠利用紅外線(xiàn)傳感裝置檢測(cè)用戶(hù)體溫，因此不會(huì)被照片或者面具等小伎倆所愚弄。

　　隨著生物識(shí)別技術(shù)對(duì)標(biāo)準(zhǔn)Windows用戶(hù)密碼的逐步取代，現(xiàn)在我們能夠更為有效地防止員工受到網(wǎng)絡(luò)釣魚(yú)活動(dòng)的愚弄，同時(shí)避免了員工在云服務(wù)當(dāng)中重復(fù)使用工作密碼所引發(fā)的用戶(hù)名及密碼內(nèi)容泄露風(fēng)險(xiǎn)。但它并不足以應(yīng)對(duì)日益增多的常見(jiàn)攻擊活動(dòng)，因?yàn)槟壳肮粽邆円呀?jīng)能夠?qū)我籔C設(shè)備上的惡意軟件進(jìn)行控制，從而在用戶(hù)登錄Windows時(shí)收集其訪(fǎng)問(wèn)令牌以及Kerberos證書(shū)。有了這些信息，攻擊者將得以訪(fǎng)問(wèn)企業(yè)內(nèi)部的電子郵件、共享文件、SharePoint站點(diǎn)、業(yè)務(wù)應(yīng)用、企業(yè)數(shù)據(jù)庫(kù)以及其它數(shù)據(jù)存儲(chǔ)內(nèi)容。

　　這些攻擊活動(dòng)往往被稱(chēng)為“hash回避”與“ticket回避”攻擊，具體取決于攻擊者所指向的證書(shū)類(lèi)別，微軟公司的Chris Hallum解釋稱(chēng)?！耙坏┕粽攉@取到該令牌，也就相當(dāng)于在企業(yè)環(huán)境內(nèi)擁有了自己的身份;其實(shí)際效果跟獲取到員工的用戶(hù)名及密碼是一樣的。如果他們能夠得到管理員權(quán)限，則能夠運(yùn)行工具以提取到令牌信息，而后游走于網(wǎng)絡(luò)當(dāng)中并在無(wú)需輸入密碼的情況下隨意訪(fǎng)問(wèn)任何服務(wù)器?！?/p>

　　在Windows 10企業(yè)版(以及Windows Server 2016)當(dāng)中，登錄進(jìn)程運(yùn)行在微軟所謂虛擬安全模式之下——這是一套安全的虛擬化容器，其中不提供任何管理員權(quán)限且訪(fǎng)問(wèn)活動(dòng)嚴(yán)格受限，用戶(hù)只能夠獲取到通過(guò)登陸服務(wù)驗(yàn)證時(shí)所提供的對(duì)應(yīng)功能。訪(fǎng)問(wèn)令牌與ticket皆被保存于此并以全面隨機(jī)化與受管形式以全長(zhǎng)度散列形式存在，這就消除了暴力破解攻擊的可能性?！凹词筗indows內(nèi)核被攻擊者突破，其也無(wú)法在容器之外訪(fǎng)問(wèn)到令牌信息，”Hallum表示?！斑@樣，我們就能將最重要的Windows組件之一進(jìn)行隔離?！?/p>

　　不過(guò)要利用這一Credential Guard機(jī)制保護(hù)企業(yè)證書(shū)，大家不僅需要將Windows企業(yè)版運(yùn)行在具備硬件虛擬化與TPM技術(shù)的PC設(shè)備之上，同時(shí)還需要將域控制器遷移到Windows Server 2016當(dāng)中。

　　取代密碼

　　大家還需要提前制定計(jì)劃以使用Windows Passport，也就是Windows 10當(dāng)中剛剛出現(xiàn)的、兼容快速識(shí)別網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)FIDO)技術(shù)的下一代證書(shū)。用戶(hù)可以利用這些分布式證書(shū)對(duì)現(xiàn)有公共密鑰基礎(chǔ)設(shè)施或者由Windows本身生成的密鑰對(duì)進(jìn)行驗(yàn)證，而且它們會(huì)以安全方式被存儲(chǔ)在TPM當(dāng)中，并通過(guò)生物識(shí)別或者PIN(或者圖片密碼)進(jìn)行解鎖。每一臺(tái)設(shè)備都能夠利用智能卡或者一次性密碼進(jìn)行注冊(cè)，因此PC本身就成為驗(yàn)證當(dāng)中的輔助因素。當(dāng)然，大家也可以利用藍(lán)牙裝置或者Wi-Fi聯(lián)網(wǎng)手機(jī)為用戶(hù)驗(yàn)證多臺(tái)其它設(shè)備，及網(wǎng)絡(luò)設(shè)備維護(hù)。

　　大家可以在管理政策當(dāng)中設(shè)定PIN碼長(zhǎng)度及復(fù)雜性(最多為20個(gè)字符，包括大寫(xiě)與小寫(xiě)字母、符號(hào)、空格以及數(shù)字)，并為不同企業(yè)證書(shū)設(shè)置各自的獨(dú)立PIN碼。如此一來(lái)，我們就能夠在不影響其他用戶(hù)的前提下對(duì)這部分信息進(jìn)行清除。

　　從長(zhǎng)遠(yuǎn)角度看，許多網(wǎng)站及在線(xiàn)服務(wù)也將采用FIDO兼容型證書(shū)，但我們可以先從將Passport引入自有業(yè)務(wù)線(xiàn)應(yīng)用及服務(wù)作為初步嘗試。它能夠與各類(lèi)經(jīng)過(guò)良好設(shè)計(jì)的應(yīng)用程序順暢協(xié)作，Hallum表示“每一款應(yīng)用程序都應(yīng)該能夠發(fā)揮這項(xiàng)優(yōu)勢(shì)，除非大家不打算遵循最佳實(shí)踐，例如應(yīng)用強(qiáng)迫用戶(hù)輸入自己的用戶(hù)名及密碼、而非使用Windows提供的密碼提示?！辈贿^(guò)需要再次強(qiáng)調(diào)，大家需要具備Windows 2016以及Azure Active Directory——或者對(duì)自有Active Directory基礎(chǔ)設(shè)施進(jìn)行某些更新——才能實(shí)現(xiàn)這項(xiàng)保護(hù)功能。

　　如果大家選擇使用Azure Active Directory，則可以利用它在Windows 10當(dāng)中對(duì)內(nèi)置移動(dòng)設(shè)備管理(簡(jiǎn)稱(chēng)MDM)客戶(hù)端進(jìn)行配置，從而在員工使用PC設(shè)備的同時(shí)為其提供域資源與各類(lèi)云服務(wù)的單點(diǎn)登錄功能。微軟Intune是第一項(xiàng)能夠管理Windows 10設(shè)備的MDM服務(wù)，但微軟公司目前正積極推動(dòng)其它MDM供應(yīng)商對(duì)Windows 10的支持——這將允許大家以多種因素為基礎(chǔ)設(shè)置訪(fǎng)問(wèn)控制政策，包括用戶(hù)從哪里進(jìn)行登錄、其設(shè)備運(yùn)行狀況是否良好及是否合規(guī)、應(yīng)用程序的敏感性如何并對(duì)常見(jiàn)用戶(hù)角色及組設(shè)置進(jìn)行訪(fǎng)問(wèn)限制設(shè)定。

　　如果大家希望對(duì)設(shè)備上所能運(yùn)行的應(yīng)用或服務(wù)進(jìn)行進(jìn)一步控制，則需要使用配備有新型Device Guard選項(xiàng)的的PC產(chǎn)品;這要求其BIOS與UEFI由OEM廠(chǎng)商鎖定。在這種情況下，我們需要購(gòu)買(mǎi)符合相關(guān)要求的硬件，但卻同時(shí)獲得了限定其能夠運(yùn)行哪些軟件的能力。其中包括來(lái)自Windows Store的應(yīng)用程序——無(wú)論是桌面還是通用型應(yīng)用、來(lái)自特定軟件供應(yīng)商的應(yīng)用以及我們自己上傳至Windows Store的自主開(kāi)發(fā)應(yīng)用——當(dāng)然，大家也可以與微軟對(duì)接以設(shè)置本地證書(shū)。只要這些簽名證書(shū)受到企業(yè)及軟件供應(yīng)商的嚴(yán)格保護(hù)，那么整套體系就足以將惡意軟件徹底屏蔽在大家的關(guān)鍵性設(shè)備之外。

　　每個(gè)文件都擁有自己的容器環(huán)境

　　今年晚些時(shí)候，微軟公司還將為Windows 10帶來(lái)另一項(xiàng)關(guān)鍵性安全選項(xiàng)：企業(yè)數(shù)據(jù)保護(hù)(簡(jiǎn)稱(chēng)EDP)。這項(xiàng)功能將利用目前常見(jiàn)于智能手機(jī)之上的容器方案實(shí)現(xiàn)企業(yè)文件保護(hù)，利用管理政策將業(yè)務(wù)內(nèi)容自動(dòng)保存在加密位置，且無(wú)需以手動(dòng)方式對(duì)每個(gè)文件進(jìn)行加密。不過(guò)與大部分智能手機(jī)容器系統(tǒng)不同，在Windows 10中每個(gè)文件都擁有自己的一套容器環(huán)境，而Windows則扮演著訪(fǎng)問(wèn)代理的角色。

　　“Windows 10能夠根據(jù)數(shù)據(jù)的具體來(lái)源對(duì)業(yè)務(wù)及個(gè)人數(shù)據(jù)加以區(qū)分，”Hallum指出?！按蠹夷軌蛟诰W(wǎng)絡(luò)上設(shè)置位置，并將對(duì)應(yīng)數(shù)據(jù)指定為業(yè)務(wù)類(lèi)型;例如這一臺(tái)為業(yè)務(wù)郵件服務(wù)器、這些屬于業(yè)務(wù)文件服務(wù)器，一切都利用DNS地址提供的IP地址范圍實(shí)現(xiàn)。當(dāng)接收到來(lái)自這些位置的內(nèi)容時(shí)，網(wǎng)絡(luò)就會(huì)識(shí)別出它的來(lái)源，我們就能夠提前從文件層級(jí)出發(fā)對(duì)其進(jìn)行加密?！睂?duì)于由設(shè)備生成的文件，大家可以利用管理政策指定哪些應(yīng)用屬于個(gè)人而哪些屬于業(yè)務(wù)類(lèi)別，并自動(dòng)對(duì)來(lái)自業(yè)務(wù)應(yīng)用的文件進(jìn)行加密。

　　這將是一套跨平臺(tái)解決方案，因此文件也可以在OS X、iOS以及Android系統(tǒng)平臺(tái)上打開(kāi)。Office文件的使用也很簡(jiǎn)單，我們可以利用Office 2016版本進(jìn)行打開(kāi)——其中包括Windows 10所提供的免費(fèi)Office Mobile應(yīng)用，不過(guò)大家需要訂購(gòu)商業(yè)服務(wù)以實(shí)現(xiàn)商務(wù)用途。目前只有Mac版本的Office 2016提供預(yù)覽版本，因此Windows 10容器方案很可能會(huì)隨著Windows版本Office 2016的推出而一并面世。微軟Intune是目前惟一一項(xiàng)能夠管理Office應(yīng)用程序的MDM服務(wù)，但大家也可以利用各類(lèi)MDM服務(wù)或者System Center配置管理器進(jìn)行密鑰與管理政策配置，從而實(shí)現(xiàn)企業(yè)數(shù)據(jù)保護(hù)容器的管理。

　　隨著更多后續(xù)安全技術(shù)在Windows 10中的出現(xiàn)，我們需要制定一系列政策及投入以發(fā)揮其最大價(jià)值。不過(guò)Windows 10與Windows Server 2016所提供的安全保障水平確實(shí)能夠有效保護(hù)證書(shū)、應(yīng)用程序文件，而這一切都是在以往Windows生態(tài)系統(tǒng)當(dāng)中未曾出現(xiàn)過(guò)的。

(原文標(biāo)題：How to get the most out of Windows 10 enterprise security features)