Hirdetés
. Hirdetés

Miért a Windows 10 a legbiztonságosabb Windows?

|

A Device Guard és a Credential Guard páratlan védelmet ad a fejlett fenyegetésekkel szemben.

Hirdetés

A Microsoft két döntő fontosságú biztonsági funkcióval vértezte fel a Windows 10-et, de ezekről mostanáig viszonylag kevés szó esett. A Device Guard és a Credential Guard használatához készült útmutatót szeptember közepén tette közzé a szoftvercég a TechNet weboldalán.

Mostanáig az új operációs rendszer olyan védelmi képességei rabolták el a reflektorfényt, mint a jelszavas bejelentkezést kiváltó, arcfelismerő és ujjlenyomat-azonosító Windows Hello. A Device Guard és a Credential Guard azonban a rosszindulatú szoftverektől és a fejlett, kitartó támadásoktól (APT-ktől) védi az oprendszer magját, megakadályozva, hogy a támadók távolról hatalmukba kerítsék a gépet. Mindkét funkció ugyanarra a hypervisor technológiára épül, mint a Hyper-V, de csak a vállalati felhasználóknak szánt Windows 10 Enterprise és Windows 10 Education kiadásokban érhető el.

A Device Guard csak a megbízható alkalmazások futtatását teszi lehetővé az eszközökön. Az alkalmazásnak ehhez érvényes kriptográfiai aláírással kell rendelkeznie. Ilyen aláírással a szállító láthatja el szoftverét, de erre nem biztos, hogy mindig sor kerül. A vállalatok például sok egyedi fejlesztésű alkalmazást is használnak, ezért a Device Guard megengedi, hogy maguk is aláírhassák az általuk megbízhatónak tartott alkalmazásokat - legyenek azok Univerzális Windows vagy akár régi, Win32 alkalmazások -, anélkül, hogy kódjukba bele kellene nyúlniuk. Nagy előrelépés ez, mert a vállalat így maga állíthatja össze a használatra engedélyezett, megbízható szoftverek listáját.

Más megközelítésű a Credential Guard, amely a felhasználók azonosítóit hardveralapú virtuális környezetbe, konténerbe zárja, így azokhoz a támadók akkor sem férhetnek hozzá, ha egyébként bejutottak a rendszerbe. A Device Guard és a Credential Guard párosával a Windows 10 komoly akadályokat gördít a támadók elé, megakadályozva, hogy rosszindulatú szoftvert futtassanak a gépeken, vagy a kiemelt jogosultságokkal bíró felhasználók azonosítóival visszaélve szabadon mozogjanak a vállalati hálózaton.

Kérdés azonban, hogy a figyelemre méltó képességekkel a vállalatok milyen gyorsan tudják majd megerősíteni kibervédelmüket. A Device Guard és a Credential Guard használata például komoly hardverkövetelményeket támaszt a gépekkel szemben. A PC-knek támogatniuk kell a 64 bites virtualizációt, továbbá rendelkezniük kell Secure Boot funkcióval, UEFI (Unified Extensible Firmware Interface) keretrendszerrel és Trusted Platform Module (TPM) chippel is. A hypervisor szintű védelem is csak olyan PC-kben működik, amelyek processzora rendelkezik a megfelelő - pl. Intel VT-x és AMD-V - virtualizációs bővítményekkel. Mindezek jellemzően megtalálhatók az olyan üzleti laptopokban, mint pl. a Lenovo ThinkPad és a Dell Latitude modelljei, de hiányoznak a lakossági piacra szánt gépekből. A sokat utazó vállalti felhasználók ráadásul gyakran ultrabookot választanak, de ezek többségében jelenleg nincs TPM modul.

Évekkel hátráltathatja a Device Guard és a Credential Guard használatának széles körű elterjedését, hogy a vállalatoknak infrastruktúrájukon és folyamataikon is változtatniuk kell a bevezetéshez. Szerencsére a kérdést nem mindent vagy semmit alapon kell eldönteniük. Az IT-osztály egyszerűen létrehozhat egy új tartományt az új funkciókkal védett gépek számára, ahova áthelyezhetik azokat a felhasználókat, illetve PC-ket, amelyek megfelelnek a követelményeknek.

Hirdetés

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.