現今的社會,儼然已轉變為雲端至上、行動優先的世界。在這樣浪潮中,企業開始鼓勵員工利用各類型裝置連網工作,無論是筆記型電腦、自攜裝置 (BYOD)、物聯網裝置等設備,皆已能實現行動工作室的新樣貌,雖可提高員工工作效率與專業價值;但同時卻也增加企業內部資訊安全及員工個人資訊暴露的風險。
然而,今年微軟所發佈的Windows 10是以資安防護作為主打,勢必引起更多的討論。接下來,就來看看新一代的作業系統 - Windows 10在資安層面做了哪些的加強。
身分保護 - 身分驗證防護與存取控制
根據紐約時報於2014年8月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。
有鑑於此,Windows 10在身分認證方面,以多重驗證的方式取代單一認證(如:密碼),帶領身分驗證進入新的層級。在這項新的認證方式中,使用者必須實際握有手邊的移動裝置(如:智慧型手機),然後再提供一個 PIN 碼或指紋之類的生物認證。這項功能是專為防止使用者在裝置遭到入侵之後發生資料竊盜而設計。從資訊安全的角度來看,這意味著攻擊者需要擁有使用者實際使用的裝置,同時,還需要使用者的認證資訊,像是使用者的 PIN 碼或生物特徵資訊。無形之中降低攻擊者的竊取率。
然而,在使用者通過驗證後,其所取得的憑證(user access tokens)安全也是個必須值得注意的課題。攻擊者不僅常以Pass the Hash與Pass the ticket等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步的竊取個資。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。
資訊防護 - BitLocker
BitLocker最早於Windows 7就已發佈,BitLocker是一項資料保護功能,可與作業系統整合,以及解決資料竊取或因遺失、遭竊或不當解除委任電腦而導致資料公開的威脅。而在Windows 10中,也加強了BitLocker的功能。
首先,BitLocker現在支援XTS-AES加密演算法。XTS-AES可額外保護針對加密檔案所做的攻擊。該類型加密是依賴操縱加密文字來造成可預期的純文字變更。該演算法與FIPS相容且易於管理。您可以使用BitLocker精靈、manage-bde、群組原則、MDM原則、Windows PowerShell 或 WMI 在您組織中的裝置上管理它。
第二,若企業有使用Windows 10所新提出的Azure Active Directory的話,自動裝置加密現在可以加密已加入Azure Active Directory網域的裝置。當裝置加密時,BitLocker修復金鑰會自動附帶到Azure Active Directory。這會讓線上復原您的BitLocker金鑰更容易。
最後,針對磁碟機加密金鑰的攻擊類型,像是Bootkit和Rootkit攻擊、暴力密碼破解登入攻擊、直接記憶體存取攻擊、Hyberfil.sys 攻擊、記憶體殘餘攻擊等。在新版的BitLocker中,都能透過所提供的功能,達到有效的防範。
威脅抵禦 - 防護惡意程式Device Guard
在這網路發達的時代,每天都有成千上萬的新惡意程式產生,以竊取機密的資訊。使用傳統的方法 (例如偵測簽章) 來對抗惡意程式碼已經不足以對抗新的攻擊方式。而Windows 10企業版的Device Guard改變了模式,從 App遭到防毒或其他安全性解決方案封鎖前皆信任App的模式,變成作業系統只信任獲得您企業授權的App的模式。Device Guard是與企業相關之硬體與軟體安全性功能的整合,設定時將會鎖定裝置,使裝置只能執行信任的應用程式。若 App 未受信任,就無法執行。
裝置安全 – 裝置與平台的完整性
對於一些設備層級的惡意程式,是能在一般的安全防護下隱身,進而獲取完整的系統控制權,又或是攻擊者竄改系統、裝置韌體及磁碟架構,讓惡意程式在Windows啟動前就已執行。為了有效防範此類的風險,Windows 10 的UEFI提供了韌體竄改校驗及保護韌體ROMs的選項。更可以確保Windows啟動前,不會有任何的軟體啟動(如:RootKit)。
另外,對於核心層級的惡意程式碼,Windows信任式開機會驗證 Windows開機元件、Microsoft驅動程式。開機初期也會啟動的反惡意程式碼(ELAM)驅動程式,其會驗證非Microsoft驅動程式。如此一來,即可防止惡意軟體在系統的啟動過程中先行載入。若是同時搭配Windows 10的測量開機,更可提供資訊給驗證裝置開機狀態的遠端伺服器,以確保信任式開機和其他開機元件成功檢查系統。
總結而言,雖然Windows 10針對資安防護做了相當大程度的加強,但是新的威脅、攻擊與技術層出不窮,企業須立即採取行動以解決安全疑慮。