码迷,mamicode.com
首页 > Windows程序 > 详细

Windows 10:现代化世界中安全与身份的守卫者

时间:2015-07-14 20:47:30      阅读:202      评论:0      收藏:0      [点我收藏+]

标签:网络攻击   windows 10   用户名   

Windows 10 技术预览版带来了超多惊喜和震撼,其中,Windows Insider 计划取得了难以置信的进展,最近的总注册人数突破了 100 万大关,并获得了超过 200000 条用户反馈。感谢您注册此项计划,并为我们提供宝贵的反馈意见!我们希望 Windows 10 真正迎合您的业务需求,我早已迫不及待亲眼见证目前发生的一切。我的前一篇博客文章中提到了我已经开始跟进的一些重点领域。今天,我要重点讲述 Windows 10 中的安全性,自从我们正式发布技术预览版以来,我亲身经历的很多客户对话都表明这一话题已经成为了他们共同关注的核心。很多企业绝对有理由关注安全及信息保护,这是他们最重视的一个方面。

在当今世界上,面向企业的网络攻击已经呈现出市场化趋势,而且愈演愈烈,攻击行为的手段越来越高明,成功几率也越来越高。我们正在目睹用户名及密码盗窃这么简单的攻击手段都能攻破网络。在最近的一些案例中,黑客使用盗取的用户名及密码侵入财富 500 强企业,并访问他们的销售系统网店及其目前掌握的信用卡数据。此类攻击导致了数百万信用卡号码被盗,而这些被盗信息很快在黑市中销赃。最近,纽约时报发出报道,12 亿用户名及密码均被同一个网络犯罪团伙盗取。相比全球约 18 亿的上网用户而言,这一数据令人叹为观止。此类顽固的犯罪团队和某些国家绝不仅仅是您个人所面对的威胁。即使是丝毫没有恶意的员工也有可能带来巨大风险,因此,必须采取措施。据 Stroz Friedberg 今天发布的一份报告称,87% 的资深经理人承认自己有规律地上载工作文档至个人电子邮件或云帐户,与此同时,58% 的用户承认自己曾意外地错发敏感信息至不相关人员。

在 Windows 10 中,我们将会积极应对现代化安全威胁,运用技术进步成果来强化身份保护和访问控制、信息保护以及威胁抵抗方面的能力。在这一版本中,我们将带领整个世界脱离密码等单因素身份验证选项,为此,我们已经做好了充分的准备。我们将把数据防丢失技术直接植入这一平台之中,对于恶意软件等网络威胁而言,我们将会综合运用各种选项来帮助企业从根源上避免各种常见的恶意软件感染 PC 端。

身份保护与访问控制

首先,我要介绍一个解决方案,它针对身份及用户凭据给出了一种非常现代化的处理方法,可以说它代表了下一代身份保护技术。我曾在 9 月 30 日发布的个人博客文章中对此做出了简要介绍。在这一解决方案中,一旦数据中心遭受入侵,Windows 10 将会担当起保护用户凭据的重任。当设备遭受破解时,它可以保护用户免遭盗窃,当身份遭遇网络钓鱼攻击时,它可以致使此类攻击几乎完全无效。这套解决方案允许企业机构和普通消费者共同受益,它不仅提供了密码的全部便利性,同时,还带来了真正适用于企业的安全性。它代表着我们体验之旅的目标,即避免使用密码等单因素身份选项。我们相信,这套解决方案将把身份保护技术抬升到一个崭新的层次,它将把目前仅适用于智能卡等解决方案的多因素安全特性融入这一操作系统及设备之中,从而不再依赖于附加的硬件级外围安全设备。

一旦完成设备登记,设备本身将会成为身份验证所必需的双因素之一。第二个因素将是 PIN 或生物识别,例如指纹等。从安全角度来看,这意味着黑客单单掌握用户的凭据已经不起作用,还必须取得用户的物理设备,而物理设备要对用户的 PIN 或生物识别信息进行验证。用户能够使用此类新型的凭据来登记自己拥有的每一台设备,或者,他们也可以登记移动电话等单台设备,而该设备将会有效充当他们的移动凭据。用户只要随身携带自己的移动电话,就能用它来登录自己的全部 PC、网络及 Web 服务。在这种情况下,具备蓝牙或 Wi-Fi 通信功能的手机将扮演远程智能卡的角色,它将负责为本地登录和远程访问提供双因素身份验证。

如果我们更深层次地剖析 Windows 10 中的这一组件,IT 及安团队将会发现内在的东西并不陌生。凭据本身可以是两种事物之一。它可以是 Windows 自身加密生成的密钥对(私钥和公钥),或者,它也可以是现有 PKI 基础架构提供给当前设备的证书。Windows 10 同时提供了这两种选项,正因如此,它极大吸引了一些现已做出 PKI 投资的组织机构,另外,对于 Web 和消费者而言,原本不可行的 PKI 身份也已变为可行。Active Directory、Azure Active Directory 及 Microsoft 帐户都将直接支持我们的全新用户凭据解决方案,因此,使用 Microsoft 联机服务的企业机构和消费者都能快速脱离密码验证方式。此项技术的主要目标是可为其他平台、Web 及其他基础架构所广泛采用。

保护用户身份仅仅是我们的身份保护技术中的一部分。另一部分是保护用户访问令牌,也就是说,当您的用户通过身份验证之后,为其生成的访问令牌将被保护起来。目前,此类访问令牌正在越来越多地遭受 Pass the Hash、Pass the Ticket 等攻击手段的攻击。一旦攻击者获得此类令牌,他们就能在不需要用户真实凭据的前提下有效仿冒用户身份,进而访问资源。这种攻击手段经常辅之以一些高级持续性威胁(APT),因此,这是我们要极力避免的一种攻击手段。在 Windows 10 中,我们力争运用一套系统化的解决方案来避免此类攻击,它将把用户访问令牌存入一个运行在 Hyper-V 技术上的安全容器中。这套解决方案可以防止从设备中提取令牌,即使 Windows 内核本身遭受破解,也同样无法做到。

信息保护

在 Windows 10 中,我们将在身份技术上实现长足进步,我相信您必将认识到我们都对信息保护持以同样的重视。我们首先来看一些数据,这些数据有助于解释我们正在哪些领域中做出投资。BitLocker 已经成为一种行业主流技术,它能保护设备上驻留的数据,但是,一旦数据离开设备,就不再会获得保护。为了对脱离设备的数据施加保护,我们已在 Microsoft Office 中加入了 Azure 权限管理服务和信息权限管理(IRM),后者通常要求用户预先激活保护。这会给公司留下一点美中不足,也就是说,如果您的用户缺乏主动性,则他们很容易意外泄露公司数据。在 Windows 10 中,我们运用数据防丢失(DLP)解决方案解决了这个问题,该解决方案不仅可将公司数据与个人数据分别对待,还可以运用抑制手段帮助保护数据。我们将把此项功能植入平台之中,并将其集成到现有的用户体验之中,以此来实现保护,同时,又避免了其他一些解决方案中常见的中断问题。您的用户再也不必为了保护公司数据而执行模式或应用切换,也就是说,用户可在不改变自身行为方式的前提下进一步保持数据安全。Windows 10 中的公司数据保护功能实现了公司应用、数据、电子邮件、网站内容及其他敏感信息的自动加密,每当数据从公司网络位置抵达设备时,自动加密功能就会执行。另外,当用户创建新的原始内容时,这套数据保护解决方案将会帮助用户定义哪些文档属于公司文档而非个人文档。如有需要,公司甚至可通过策略来将设备上的新建内容指定为公司内容。其他一些策略也能帮助组织防止数据从公司内容中复制到非公司文档或社交网络等外部网站位置。

Windows 10 专为桌面提供了一种高级数据保护解决方案,但是,移动端呢?这套解决方案将在 Windows Phone 上提供的用户体验与我们在 Windows 桌面上看到的用户体验完全相同,另外,为了让多种平台都能访问受保护的文档,我们还提供了必要的互操作性。最终,依靠 Windows 中的数据保护功能,组织可通过策略来定义哪些应用有权访问公司数据。根据很多用户的反馈意见,我们又对此项功能做出了进一步开发,并对上述策略进行了扩充,以此来满足 VPN 方面的要求。

请您从自己的角度想一想,如果您出差在外或居家办公,那么,为了保持工作效率,您一定需要连接到关键数据及应用。在为远程用户提供支持时,IT 专业人员需要想方设法限制 VPN 连接风险,尤其是 BYOD 设备。Windows 10 给出了一系列 VPN 控制选项,从常态连接到明确指定哪些具体应用可能通过 VPN 建立访问通道,可谓一应俱全。应用允许列表和应用拒接列表允许 IT 专业人员定义哪些应用应被授权访问 VPN 并可由 MDM 解决方案来管理其桌面版和全局版。如果管理员要求实现更加粒度化的控制,则他们可以按照具体端口或 IP 地址来进一步限制访问权。上述增强特性允许企业 IT 专业人员结合安全控制需求来权衡访问权需求。

威胁抑制

Windows 10 还为组织机构赋予了锁定设备的能力,从而针对威胁和恶意软件提供了更多一层抑制力量。由于恶意软件经常被用户无意中安装在设备上,因此,为了应对此类威胁,Windows 10 仅允许受信任的应用,也就是说,只有使用 Microsoft 官方签名服务签名的应用可被运行在经过特殊配置的设备上。签名服务的访问权将由一个审批流程来进行控制,这种方式类似于我们控制 ISV 在 Windows 商店上的发布访问权,而且,设备本身将由 OEM 锁定。OEM 所采用的锁定流程类似于我们锁定 Windows Phone 设备的方式。组织能够灵活决定哪些应用值得信任,只有自我签名的应用、ISV 专门签名的应用、Windows 商店中的应用或同时满足上述全部条件的应用可被归入受信任的行列。不同于 Windows Phone 的地方是,这些应用还可包含桌面(32 位)应用,也就是说,任何可在 Windows 桌面上运行的应用也同样可在此类设备上运行。总之,Windows 10 中的锁定功能为企业提供了一种战胜流行威胁的有效工具,而且,它所具有的灵活性足以适应绝大多数环境。

关于这一安全先锋,还有很多值得我讲述的精彩内容。随着更多的安全功能及增强特性加入这款产品的开发版本,我期待着就此发表更多文章来对其做出讲解。我们将继续努力为 Windows 10 赋予最大的商用价值,与此同时,我也将不断为您奉上更多精彩内容,敬请期待。另外,如果您尚未理解透彻,请亲身体验 Windows 10 技术预览版,并让我们知道您的想法。

本文出自 “UC.uc 统一沟通” 博客,谢绝转载!

Windows 10:现代化世界中安全与身份的守卫者

标签:网络攻击   windows 10   用户名   

原文地址:http://ribery.blog.51cto.com/469445/1674079

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!