文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆
Windows 10 是微軟最新一代的作業系統,因可將合法授權的Windows 7 至Windows 8.1 免費升級,創造出驚人的下載率及使用率。在媒體推波報導下Windows 10 被稱是新一代優質作業系統,許多在此免費誘因下,開始逐步升級更換新作業系統。
但是Windows 10 仍有許多相容性以及安全性問題,需要時間來解決。尤其是需要高度管控企業或組織單位,並不願貿然升級。舉凡創造利潤的繪圖或3D 工具軟體,並與自動控制整合的環境;或事涉資訊機敏資料及需要高度管制的公司,會更為謹慎看待這個新興的作業系統。
在2015 年9 月的台灣微軟Tech Days 小型會議,在與會議學員所互動的主題,就是「微軟Windows 10 對企業組織的安全管制新衝擊」。從9 月份會議迄今,又陸續發現許多新功能或舊設計變更後待驗證的事項。雖無法一一列舉,但在本文中,會挑幾個關鍵性的風險來分析討論,進而提醒企業去思考如何面臨Windows10 新應用及工具環境。最後也會在本文中揭露微軟Windows 10 鮮少對外說明的資料收集議題或技術,來強化對Windows 10 更深入的了解。
將針對Windows10 對企業IT 管控的衝擊將挑選幾個關鍵核心問題來分析討論,這些衝擊來自:
1. Windows 10 作業系統新應用;
2. 結合新興硬體環境所造成,例如:既是電腦又是平板裝置的Surface Book;
3. 結合了微軟或其他等外部服務,例如雲端服務;
相關需要關注Windows 10 項目很多,筆者選擇部分項目進行解析說明:
項目 |
衝擊 |
VPN 應用管控 |
VPN功能本是微軟各版本OS中常態應用,可是Windows 10把相關設定變簡單,進而搭配新興硬體環境所搭建外部VPN服務,造成資訊外溢的風險。 傳統公司員工從外部透過VPN連接公司內部系統進行公務,這是一個外到內的應用。 可是透過搭建在外部VPN 裝置,透過L2TP、PPTP、SSTP、IKEv2模式,改從公司內翻牆外部私人VPN環境,脫離企業組織管控模式,輕易將公司資料轉移到外部。(請參見圖1) 企業該如何面對?在現有機制是否具備管控能力以及記錄?替企業把關。 |
工作檢視管控 |
這是一個「多螢」概念,這樣的應用並不是微軟所獨創的,如果熟悉Unix 或Unix-Like系統的人都熟悉這樣的應用。是否在Windows 10環境下,與企業DLP管控產生干擾,以致無法取得相關記錄。造成證據據力問題。 |
Windows 10 App管控 |
這是一個十分棘手的問題。尤其重視機敏性資料安全的企業與組織,都會憂心這一種應用方式。 Windows 10 App 早在Windows 8就已經存在,可是當時屬於一個獨立區塊。在Windows 10 則與「啟動Menu」整合在一起。所以施行管控作業,必須維持「啟動Menu」正常運作。 在Windows 10 App 所載入的位置,是一個經過微軟隱藏保護的目錄,MIS要處理起來更為棘手。許多新穎App可以透通外部儲存空間或雲端服務。企業內部資料遷移,將在App應用產生出新的「缺口」。 而一般企業所介意社交軟體與遊戲也存在於微軟App市集,免費下載安裝,讓原有企業IT更難管控。 |
強化X-FORT滿足Windows Edge雲端管控處理程序。 |
IE 瀏覽器被微軟收藏在Windows 10 某個角落。改以Windows Edge所以取代。 原先搭配瀏覽器所設計X-FORT的雲端及SSL管控機制,也必須能夠滿足原有功能運作,讓雲端管控更為妥善。 |
OneDrive 管控 |
OneDrive並非新興的應用服務,差別在Windows 10 已經是作業系統預設應用程式,不需要額外安裝處理,搭配微軟雲端帳號,立刻將公司IT疆界拉到雲端。 令人擔心還是在OneDrive有兩個服務:(1) 擷取電腦上的所有檔案,變相將企業所有磁碟檔案同步到雲端,或再同步到另一部指定的外部裝置;(2) 附加在Office 的不落地儲存到OneDrive,企業能不預作防護準備嗎? |
Windows 10 App – 手機小幫手 |
可以整合微軟、Android、iPhone或iPad 裝置,並搭配雲端以及Office進行檔案同步。其方式並不是透過有線連結,而是利用雲端進行交換。(參見圖) |
其他需要關注項目:開發者模式安裝私人App、平板電腦模式的處理、透過PowerShell 處理檔案問題⋯等。X-FORT 將會依據Windows 10 獨特環境,確保企業重要資訊資產持續獲得保護。
【VPN內外翻牆】
【Windows 10 App 預設手機小幫手】