Három évvel a megjelenése után rövidesen átveszi a vezetést a Windows 7-től a Windows 10, és a legnépszerűbb Windows operációs rendszer lesz. A Microsoft virtualizáció alapú biztonsági funkciókat - nevezetesen a Device Guardot és a Credential Guardot - fejlesztett ki a Windows 10 védelmére, majd a frissítések során további virtualizáció alapú szolgáltatásokat vezetett be.
A Windows Defendert 2017-ben Windows Securityvé nevezték át, és most már anti-malware és fenyegetésészlelő, tűzfal, hálózatbiztonsági, alkalmazás- és böngészőfelügyeleti, valamint eszköz- és fiókvédelmi szolgáltatásokat nyújt. A Windows Security megosztja az állapotinformációkat a Microsoft 365 szolgáltatások között, és együttműködik a Windows Defender Advanced Threat Protection felhőalapú elemző eszközzel.
A Device Guard és a Credential Guard a Windows 10 két leginkább kiemelkedő, vállalatoknak szánt biztonsági funkciója: megvédik a mag kernelt a rosszindulatú programoktól, és megakadályozzák, hogy a támadók távolról ellenőrzést szerezzenek a számítógépek felett. A Microsoft más virtualizáció alapú védelmi szolgáltatásokat is bevont a Windows Security ernyője alá, többek között a Windows Defender Application Guardot. A Device Guard a Windows 10 virtualizáció alapú védelmét használja, és csak a megbízható alkalmazások futását engedélyezi az eszközökön. A Credential Guard pedig úgy védi meg a vállalati identitásokat, hogy elszigeteli őket egy hardver alapú virtuális környezetben. A Microsoft ugyancsak elszigeteli a kritikus Windows-szolgáltatásokat a virtuális gépen, hogy blokkolja a kernelt és más fontos folyamatokat manipulálni kívánó támadásokat.
Az Applications Guard révén a Microsoft Edge böngésző a nem megbízható weboldalakat egy izolált Hyper-V konténerben nyitja meg, így a gazda operációs rendszer védett lesz a potenciálisan rosszindulatú oldalaktól.
Csak a megbízható appok futhatnak
A Device Guard mind hardver-, mind szoftvereszközöket használ a számítógépek megvédésére, hogy azok csak megbízható alkalmazásokat futtassanak. Az alkalmazásoknak érvényes kriptográfiai aláírással kell rendelkezniük az adott szoftverfejlesztőktől, vagy a Microsofttól, ha az app a Windows Áruházból származik. A Device Guard alapból azt feltételezi, hogy minden szoftver gyanús. Bár érkeznek hírek arról, hogy hackerek tanúsítványokat lopnak, hogy rosszindulatú programokhoz használják őket aláírásként, a rosszindulatú programok túlnyomó része nem aláírt kód. Ezért aztán a Device Guard blokkolni tudja a legtöbb, rosszindulatú programmal elkövetett támadást.
Bár ez a megközelítés hasonló ahhoz, mint amit az Apple végez az App áruházban, van egy nagy különbség: a Microsoft felismerte, hogy a vállalatoknak az alkalmazások széles választékára van szükségük. A vállalkozások aláírhatják saját szoftvereiket anélkül, hogy változtatniuk kéne a kódon, és azon alkalmazások esetében, amelyeket megbízhatónak tartanak (például olyan egyedi fejlesztésű programokat, amelyeket megvásároltak), szintén elvégezhetik az aláírást. Ily módon a szervezetek létrehozhatják a megbízható alkalmazások listáját, függetlenül attól, hogy a fejlesztő kért-e érvényes aláírást a Microsofttól. Így a vállalatok maguk felügyelhetik, hogy a Device Guard mely programokat tartson megbízhatónak. Ráadásul a Device Guardhoz olyan eszközöket kapunk, amelyekkel egyszerűen aláírhatók az univerzális appok, valamint azok a Win32-es programok, amelyeket eredetileg nem írt alá a fejlesztőjük.
De a Device Guard nem pusztán egy újabb fehérlistát készítő mechanizmus, ugyanis hatékony módon, virtuális gép segítségével védi az információkat. Vagyis még egy adminisztrátori jogokat szerzett támadó vagy rosszindulatú program sem lesz képes manipulálni ezeket az adatokat. Még abban az esetben sem tud egy rosszindulatú program hozzáférni a konténerhez, ha megfertőzte a számítógépet. Csak egy megbízható aláíró által aláírt frissített politika tudja megváltoztatni az eszközön érvényben lévő alkalmazásfelügyeleti előírásokat.
A Windows Defender ATP - egy, a támadások és fenyegetések elemzésére hivatott felhőalapú konzol - lehetővé teszi a vállalatok számára, hogy feltöltsék a számítógépek működési adatait a felhőszolgáltatásba, hogy monitorozzák a laterális mozgásokat, a zsarolóprogramok tevékenységét és más elterjedt támadási módokat. Az adminisztrátorok az API segítségével kombinálhatják a telemetrikus adatokat, a vírusészleléseket és a Device Guard eseményeket a riasztások kiadásához.
Titkok védelme
A Credential Guard talán nem olyan izgalmas, mint a Device Guard, de egy nagyon fontos eleme a vállalati IT-biztonságnak: a domain bejelntkezési adatokat egy virtuális konténerben tárolja, távol a kerneltől és az operációs rendszertől. Így akkor sem kerülnek veszélybe, ha a számítógépet ellenőrzésük alá vonják a kiberbűnözők. A fejlett perzisztens támadások az ellopott domén és felhasználói bejelentkezési adatokon alapulnak, amelyek lehetővé teszik a támadók számára, hogy mozogjanak a hálózatban és hozzáférjenek a többi számítógéphez is.
Általában amikor valaki bejelentkezik egy számítógépre, titkosított bejelentkezési adatai a gép memóriájában tárolódnak. A Windows korábbi verziói a bejelentkezési adatokat a Local Security Authority szolgáltatásban tárolták, és az operációs rendszer az információkhoz távoli eljáráshívásokkal fért hozzá. A hálózatba behatoló támadók vagy rosszindulatú programok képesek voltak ellopni ezeket a titkosított azonosítókat, és felhasználni őket úgynevezett pass-the-hash támadásokhoz. A Credential Guard azáltal, hogy izolálja ezeket az azonosítókat egy virtuális konténerben, megakadályozza, hogy a támadók ellopják a titkosított hash adatokat, így nem lesznek képesek hozzáférni a hálózat többi részéhez. A Credential Guard megvédi az NTLM jelszó hasheket, a Kerberos Ticket Granting Ticketeket és az alkalmazások által tárolt azonosítókat.
Futás konténerben
A Windows Defender Application Guard képessé teszi a vállalati adminisztrátorokat, hogy felügyeljék, miképpen azonosítsa és blokkolja a Microsoft Edge a veszélyes weboldalakat. Az Edge böngésző egy izolált Hyper-V konténerben nyitja meg a nem megbízható webhelyeket, így védve meg a gazda operációs rendszert a potenciálisan veszélyes oldalaktól.
Az izolált konténerben nincsenek felhasználói adatok, ezért a támadó a virtuális környezetben nem tud hozzáférni a felhasználó bejelentkezési azonosítóihoz. Engedélyezése után az Application Guard lehetővé teszi a vállalatok számára, hogy blokkolják a külső weboldalakat, korlátozzák a nyomtatást, korlátozzák a vágólap használatát és izolálják a böngészőt, hogy csak a helyi hálózati erőforrásokhoz tudjon hozzáférni.
