Windows 10预计将在2015年年底发布,这将是微软第一个可在所有类型设备运行的操作系统,包括Windows个人电脑和移动设备。
在整个企业运行单一操作系统可以带来直接的安全优势,包括显著简化设备管理以及减少整体攻击面。
另外,Windows 10还将包括加强身份验证和数据保护的新功能,对于想要杜绝密码使用以及在BYOD时代保护数据的企业来说,这很有吸引力。
在这篇文章中,笔者将讨论Windows 10的三大安全改进,这些改进可能让企业考虑升级Windows。
Windows 10多因素身份验证
Windows 10广受吹捧的功能是其内置多因素身份验证。这个身份验证机制是基于FIDO联盟的开放标准,并将消除对额外安全硬件外围设备(例如智能卡和令牌)的需 要。在登记后,设备成为身份验证所需的两个因素之一。这减少了网络钓鱼攻击的可行性,因为攻击者不仅需要用户的PIN或生物识别信息,还需要物理访问其设 备才能实现攻击。这还可以在密码数据库发生数据泄露事故时保护用户,攻击密码数据库是攻击者用来获取未经授权访问的另一种常见做法。
在Windows 10中,设备的登录凭证可以是Windows生成的密钥对,或者内部PKI基础设施配置给该设备的证书。Active Directory、Azure Active Directory和Microsoft Accounts都将支持这一新的身份验证形式。在用户通过验证后,他或她的访问令牌将存储在运行Hyper-V技术的安全的容器内。这可以防止令牌通过 pass the hash或者pass the ticket等技术被提取,这两种技术让攻击者可以模拟用户,而不需要实际取得他们的登录凭证。
Windows 10数据丢失防护
Windows 10的另一个重要功能增强了对企业数据的保护。BitLocker自首次出现在Windows Vista以来一直提供全磁盘加密,但随着移动设备在工作场所的增加,扩展这种保护到数据离开设备后(数据丢失防护)变得至关重要。微软Office中的 Azure权限管理服务和信息权限管理已经可以提供对数据离开设备后的保护,但它们需要用户选择激活这种保护。在Windows 10中,企业不仅可以定义哪些应用可以访问企业数据,还可以防止在没有正确安全配置文件时对数据的复制或访问–无论数据在传输中还是位于另一台设备中。 Windows 10通过使用容器以及在应用和文件级别分离企业数据和个人数据,并在数据到达设备时自动加密来保护数据。同时不需要用户切换模式或者使用特殊应用来保护企 业数据,这解决了用户漠视安全性的大问题。
应用访问控制
企业需要管理BYOD环境,这意味着对网络资源的安全访问是很多企业的重要任务。Windows 10让管理员可以指定哪些应用允许或者不允许访问企业的VPN。企业还可以基于端口和IP地址来限制访问。此外,管理员可以配置设备为只允许安装可信赖的 应用,包括企业自行签名的应用、来自获批软件供应商的应用或者来自Windows Store的应用。这样做的目的是让企业更容易地锁定关键或敏感设备,以保护它们抵御恶意软件感染,同时向其他组用户提供更大的灵活性。
这三个关键的新功能减少了对某些第三方产品的依赖,例如DLP和双因素身份验证,但企业在他们使用的安全控制方面仍然会有很大的灵活性。Windows 10可以加入到大多数移动设备管理产品和VPN基础设施。Windows Server 10还将包括Windows Defender,尽管大多数企业仍然想在网络网关和关键设备运行专门的防病毒和反恶意软件产品。
Windows 10可以让管理员更容易地部署安全措施以及更便于员工使用,这应该会使其在企业中很受欢迎,并会吸引那些仍在运行Windows 7的企业。
统一部署和管理以及通用应用平台及安全模式将让系统管理员腾出时间,并提供更好的整体安全性。对于大型企业而言,可以让一些IT人员加入Windows Insider Program以获得机会在Windows 10公开发布之前体验Windows 10的新的安全功能,以及评估其适用性和易用性。企业应该确保分析师使用测试设备进行实验,不过,微软已经从运行预览版本的设备收集了大量信息。