微軟宣布推出超猛計(jì)劃 加強(qiáng)Windows 10安全性
Windows 10技術(shù)預(yù)覽版的早期報(bào)道大都將重點(diǎn)放在新的開始菜單、虛擬桌面和高度吸引眼球的用戶體驗(yàn)上。另一方面,即使從這些早期預(yù)覽版也可以看到許多巨大變化的蛛絲馬跡,特別是在重要安全領(lǐng)域的變化。
到目前為止最讓人浮想聯(lián)翩的當(dāng)屬名為“下一代身份驗(yàn)證”(Next Generation Credentials)的新服務(wù)。多數(shù)新發(fā)布的預(yù)覽版本已經(jīng)安裝了此服務(wù),但服務(wù)未啟動(dòng)。
日前,微軟透露了有關(guān)計(jì)劃的更多細(xì)節(jié),計(jì)劃“推動(dòng)世界遠(yuǎn)離諸如密碼的單因素認(rèn)證”。目前,Windows 10的技術(shù)預(yù)覽版本尚未啟用該功能。該功能啟用后,Windows 10設(shè)備(個(gè)人電腦、平板電腦或手機(jī))的用戶即可以將設(shè)備設(shè)為可信任,繼而用于身份驗(yàn)證的目的。該功能與PIN或生物證據(jù)(如指紋)結(jié)合,用戶即能夠登錄任何支持此類功能的移動(dòng)服務(wù)。
微軟稱,PIN碼可以是字母數(shù)字的任意組合,并不是僅僅限于很短的數(shù)字代碼。如果密碼在數(shù)據(jù)庫(kù)泄漏或釣魚攻擊中被竊,偷竊者仍然無(wú)法訪問(wèn)任何服務(wù),原因是偷竊者手里沒(méi)有雙因素身份驗(yàn)證所要求的硬件部分。同樣,如果設(shè)備被盜,但由于沒(méi)有密碼,偷竊者手里的設(shè)備也是沒(méi)有用處的。
此認(rèn)證方式不是專有的,而是基于FIDO聯(lián)盟標(biāo)準(zhǔn)。FIDO聯(lián)盟成員包括一堆的計(jì)算巨頭(谷歌、微軟、聯(lián)想等等)、銀行和支付公司(美國(guó)銀行、支付寶、Visa和萬(wàn)事達(dá)卡)以及諸如RSA和IdentityX等著名安全公司。
至于設(shè)備本身所需要的公共密鑰和私人密鑰,企業(yè)可以利用現(xiàn)有的PKI基礎(chǔ)設(shè)施簽發(fā)這些密鑰,消費(fèi)電子設(shè)備所需要的密鑰則可以由Windows 10產(chǎn)生和安全地存儲(chǔ)。
據(jù)微軟介紹,Windows 10用戶可以在自己的任何設(shè)備或所有的設(shè)備上啟動(dòng)這些身份驗(yàn)證功能。其中的一個(gè)做法是,用戶選一個(gè)設(shè)備啟動(dòng)該身份驗(yàn)證功能,然后將其作為虛擬智能卡使用。例如,智能手機(jī)可以提供雙因素認(rèn)證,做法是通過(guò)藍(lán)牙或WiFi登陸到本地設(shè)備或訪問(wèn)遠(yuǎn)程資源。
用戶訪問(wèn)令牌本身則可以存儲(chǔ)在一個(gè)虛擬化的安全容器(基于Hyper-V技術(shù))上,從而可以降低諸如Pass The Hash(送上哈希)一類的攻擊的有效性。
微軟在今天公告的還提出了兩項(xiàng)新的Windows 10功能,可望為企業(yè)客戶加強(qiáng)安全性。
第一個(gè)新功能是一組信息保護(hù)功能,使得企業(yè)即使在員工擁有的設(shè)備上也可以保護(hù)數(shù)據(jù)。微軟稱,Windows 10此項(xiàng)功能允許網(wǎng)絡(luò)管理員設(shè)定策略,確保能自動(dòng)加密敏感信息,包括企業(yè)應(yīng)用程序、數(shù)據(jù)、電子郵件和公司內(nèi)部專用網(wǎng)站內(nèi)容。
由于常見的Windows控件(如打開和保存對(duì)話框)的API加入了對(duì)這些加密的支持,所有使用這些控制的Windows應(yīng)用程序也具備該新功能。如果有必要采用更嚴(yán)格的安全措施,管理員還可以創(chuàng)建應(yīng)用程序表,指定哪些應(yīng)用程序可以訪問(wèn)加密數(shù)據(jù),哪些應(yīng)用程序不容許訪問(wèn)加密數(shù)據(jù),譬如,網(wǎng)絡(luò)管理員可以選擇禁止訪問(wèn)諸如Dropbox的云服務(wù)。
一勞久逸的安全措施對(duì)很多部門(如銀行和其他受管制的行業(yè)、國(guó)防承包商和處理網(wǎng)絡(luò)間諜的政府機(jī)構(gòu)等部門)來(lái)說(shuō)都是件不可或得的大好事。利用Windows 10企業(yè)版和具有特別配置的OEM硬件,管理員可以完全鎖定設(shè)備,使得不受信任的代碼無(wú)法運(yùn)行。
在完全鎖定的配置下,唯一可以運(yùn)行的應(yīng)用程序只限于那些由微軟簽發(fā)的證書簽過(guò)名的程序,包括來(lái)自Windows應(yīng)用商店的應(yīng)用程序,以及那些已提交給微軟認(rèn)證過(guò)的桌面應(yīng)用程序。有些企業(yè)有自己的業(yè)務(wù)應(yīng)用程序內(nèi)部產(chǎn)品,這些企業(yè)可以獲取自己的密鑰生成器,這樣做以后這些應(yīng)用程序就可以在企業(yè)網(wǎng)絡(luò)上運(yùn)行,但在外面的網(wǎng)絡(luò)上則運(yùn)行不了。
可查閱微軟有關(guān)的博客文章獲取更多有關(guān)的詳細(xì)信息。
