微軟的下一代操作系統(tǒng)Windows 10即將于今年7月29日向現(xiàn)有Windows 7及Windows 8.1用戶免費開放。不過Windows企業(yè)版的客戶們還需要等到今年晚些時候才能迎來屬于自己的解決方案���。
在微軟新一代Windows 10操作系統(tǒng)的全新主要安全特性當中��,我們赫然看到了應用程序?qū)彶榕c生物認證兩項標題����。軟件巨人在今天的公告中指出�,這一切都將隨著Windows 新版本于今年7月29日的免費發(fā)布被交付至現(xiàn)有Windows 7及Windows 8用戶手中�。
Windows 10的來臨使得一切關(guān)于Windows即將消亡——特別是考慮到微軟在Windows 8版本中武斷地直接推出磁貼界面并移除開始菜單的情況——的傳聞消弭于無形���,或者說至少暫時平息了下來����。除了我們所喜愛的開始菜單將會強勢回歸、昵稱“小娜”的Cortana個人助手上線以及名為Edge的更新�、更快、更具個性的瀏覽器方案的亮相���,微軟還會在Windows 10當中引入一系列全新安全功能——而且其中大部分將直接登陸Windows 10的首發(fā)版本��。
Windows安全專家Marc Maiffret指出�,隨著Windows 10安全功能與全新Windows Store中應用程序認證與審查機制的結(jié)合���,微軟公司正著手將桌面生態(tài)系統(tǒng)推向與智能手機類似的新方向——這對于安全工作而言無疑算是一個好消息���。“其中包含不少有趣的安全機制,我們可以利用其在安全保障工作中更好地控制環(huán)境內(nèi)的應用程序與代碼�����,”他解釋稱�����。
1. Device Guard
微軟公司的全新Device Guard旨在對全部嘗試訪問Windows 10設備及其網(wǎng)絡體系的應用程序進行審查,從而徹底阻斷零日攻擊的出現(xiàn)���。它基本上會默認將全部應用程序阻斷在外�����,除了那些擁有特定軟件供應商�����、Windows應用程序商店以及企業(yè)自身確認許可的應用。
宏基�����、富士通�����、惠普����、NCR、聯(lián)想�、PAR以及東芝等廠商已經(jīng)與微軟方面達成協(xié)議�����,共同將Device Guard引入自己的Windows設備當中����。其能夠支持銷售系統(tǒng)�����、ATM機以及其它運行有Windows系統(tǒng)的各類物聯(lián)網(wǎng)型設備���。
“為了幫助用戶免受惡意軟件的侵擾���,當某款應用程序開始執(zhí)行時,Windows會首先檢測該應用是否可信��,并在發(fā)現(xiàn)其不可信時向用戶發(fā)出通知�����。Device Guard能夠利用硬件技術(shù)與虛擬化機制將這一額外許可功能與Windows操作系統(tǒng)中的其它組件隔離開來����,而這有助于保護用戶免受已經(jīng)獲得了系統(tǒng)整體權(quán)限的攻擊者或者惡意軟件的騷擾���,”微軟公司的Chris Hallum在最近發(fā)布的一篇相關(guān)功能介紹博文當中寫道。
微軟的Hallum同時指出���,與其它殺毒及白名單軟件不同��,那些能夠進行系統(tǒng)證書篡改或者未知類型的惡意軟件同樣很難脫離Device Guard的法眼���,而且其可以同殺毒、白名單乃至其它應用程序控制產(chǎn)品協(xié)同工作���。
“傳統(tǒng)殺毒解決方案與應用程序控制技術(shù)都能夠立足于Device Guard機制�,從而阻斷基于可執(zhí)行文件及腳本的惡意軟件��,而殺毒工具也將繼續(xù)涵蓋Device Guard力有不逮的JIT應用(例如Java)與文件內(nèi)的宏等領域���,”Hallum補充道。
有趣的是�����,Device Guard同樣能夠以虛擬化方式運行��,這意味著如果Windows內(nèi)核遭到突破,Device Guard仍然不會受到影響�,微軟方面指出。它仍然會審查所運行的軟件是否符合管理策略提出的配置要求�����。
2. Windows Hello
Windows Hello已經(jīng)被微軟方面宣傳為一項密碼殺手型功能����,其利用生物識別機制——包括用戶的面孔、虹膜或者指紋——來啟動Windows 10設備�,而不再像過去那樣只能使用討厭且安全性低下的密碼內(nèi)容。
微軟公司操作系統(tǒng)部門運營副總裁Joe Belfiore指出�����,Hello之所以安全性更高��,是因為它允許用戶對應用程序���、企業(yè)內(nèi)容以及在線體驗進行驗證���,而無需在用戶設備或者網(wǎng)絡服務器端存儲任何密碼內(nèi)容。
不過問題在于�����,我們需要一臺具備指紋識別器及掃描軟硬件裝置的設備,因為只有這樣才能順利通過面孔或者虹膜進行生物特征驗證��。此外����,該設備還需要支持Windows Biometric框架。
“我們與硬件合作伙伴密切配合�,旨在為Windows Hello提供具備支持能力且搭載有Windows 10系統(tǒng)的硬件設備。我們也興奮地宣布�����,所有搭載有英特爾RealSense 3D攝像頭(F200)的OEM系統(tǒng)都將支持Windows Hello的面部解鎖功能���,其中包括自動登錄Windows��,同時支持在無需輸入PIN碼的前提下解鎖‘Passport’,”Belfiore在今天發(fā)布的一篇Windows 10博文中介紹稱�。
Maiffret表示,微軟公司目前正在根據(jù)企業(yè)客戶的需求進一步開發(fā)Hello的驗證機制���。“這套方案從加密角度講能夠顯著提升安全性水平��,因此其完全可以……被引入到企業(yè)環(huán)境下作為正式驗證機制使用���,”他指出���。
3. Passport
配合前面提到的密切機制清退舉措,Windows 10還為我們帶來了一項名為Passport的新功能�����,允許用戶在無需密碼的前提下登錄應用程序����、網(wǎng)站以及網(wǎng)絡。
“Windows 10會要求用戶確認對當前設備的所有權(quán)�,而后提供根據(jù)通過PIN碼或者配備有生物識別傳感裝置的設備通過Windows Hello驗證身份。在通過‘Passport’認證之后�����,大家將能夠立即訪問更多網(wǎng)站及服務……包括您最喜愛的電子商務網(wǎng)站�����、電子郵件與社交網(wǎng)絡服務、金融機構(gòu)以及商業(yè)網(wǎng)絡”等等����,微軟公司指出。
根據(jù)微軟方面的證實�,Passport還能夠與微軟的Azure Active Directory服務相協(xié)作,而用戶的生物認證“簽名”會以安全方式被保存在本地用戶設備當中�����,且只用于解鎖設備及Passport; 換言之���,這部分信息不會通過網(wǎng)絡傳輸���。
不過雖然目前已經(jīng)成為FIDO聯(lián)盟當中的一員并著力在未來徹底將密碼機制扔進歷史的垃圾堆,但微軟公司并不打算在Windows 10中就宣布密碼的消亡����。因此用戶或者企業(yè)客戶即使不愿或者無力承擔部署Windows Hello及Passport相關(guān)裝置的費用,也完全可以在Windows 10中繼續(xù)使用傳統(tǒng)密碼與密碼管理方案�。
與此同時,微軟公司還在Windows 10內(nèi)部推出了一些初步但卻非常關(guān)鍵的變更��,包括利用容器技術(shù)與虛擬沙箱機制提高桌面系統(tǒng)的安全水平�����,Maiffret表示��。“不過我敢肯定���,在明年的黑帽大會或者其它類似活動上����,就會有人宣稱成功破解了Windows 10的沙箱方案����,這是不可避免的結(jié)果。”
盡管如此�����,微軟公司仍然將其引入了Windows系統(tǒng)��,并作為一大足以改變游戲規(guī)則的重要改進�����,他表示�����。
