20 сентября 2022 года Microsoft выпустила обновление Windows 11 2022 Update, которое включает в том числе улучшения безопасности.
Поскольку в последнее время количество атак с использованием программ-вымогателей, фишинговых угроз или сложных техник атаки совсем не сокращается, то Microsoft переосмыслила систему безопасности в Windows 11, чтобы по умолчанию блокировать еще больше угроз.
В Windows 10 было множество встроенных функций безопасности, но в Microsoft предоставила пользователю возможность включать и настраивать их на основе собственных взглядов на производительность и совместимость.
Дэвид Уэстон (David Weston), директор по корпоративной безопасности и безопасности ОС в Microsoft заявил:
Мы действительно серьезно скорректировали эту философию. Мы обнаружили, что очень низкий процент людей понимает, на какие компромиссы они идут, а остальные обращаются в Microsoft за разъяснениями. Мы отреагировали на эти отзывы и внесли изменения в Windows. 11, уделив большое внимание предотвращению атак.
В Windows 11 мы сосредоточились на ландшафте угроз и основных векторах атак — фишинге, вредоносном ПО, распространяемым через вложения или загрузки, а также атаках на системы защиты данных. Мы сосредоточены на противодействии этим широко распространенным атакам на уровне предотвращения.
Windows 11, версия 22H2 или Windows 11 2022 Update включает множество улучшений защиты от атак на ядро Windows через уязвимые драйверы, а также дополнительную защиту учетных данных, улучшенную защиту от злонамеренных атак и более простую аутентификацию без паролей.
Интеллектуальное управление приложениями
По словам Уэстона, главной функцией безопасности в Windows 11, версия 22H2 является Smart App Control (SAC) (Интеллектуальное управление приложениями), которая по умолчанию включает управление приложениями.
Уэстон сообщает, что Microsoft попробовала использовать подход с использованием разрешенных списков в Windows 10 S на «десятках миллионов устройств» и благодаря этому не обнаружила на них «вредоносного ПО». Проблема заключалась в использовании довольно грубого инструмента политики: установка приложений была ограничена Microsoft Store.
На этот раз Управление приложениями опирается на искусственный интеллект для определения списка разрешений. В этом году Microsoft протестировала новые возможности с инсайдерами Windows 11 с помощью функции Smart App Control.
Белый список разрешает запуск только набора надежных приложений в Windows 11. Интеллектуальное управление приложениями основано на тех же функциях Windows, что и управление приложениями Защитника Windows, что позволяет определять политики вручную.
Уэстон заявил:
Управление приложениями — одна из самых эффективных вещей, и ее также трудно выполнять традиционными методами.
Таким образом, когда пользователи получают приложение, которым пользуются миллионы других пользователей, независимо от того, получено оно из Microsoft Store или с веб-сайта, то оно «будет работать как обычно». Но если кто-то отправит приложение в виде вложения, которое было создано недавно для обхода антивирусной защиты, то оно не запуститься, потому что его нет в белом списке.
Уэстон сообщил:
Большинство приложений, которые мы используем сегодня, используются миллионами других людей. Большинство вредоносных программ обнаруживаются только на нескольких машинах. До выхода Windows 11, версия 22H2 существовала политика, которую вы должны были записать сами в файле XML. Вы можете себе представить, что это довольно сложно на предприятии, зная, какие приложения нужно запускать всем работникам.
Windows 11, версия 22H2 также блокирует «большинство векторов сценариев из Интернета». Частично это связано с решением команды Office по умолчанию блокировать ненадежные макросы из Интернета.
Уэстон рассказал о развитии этой идеи:
Windows 11, версия 22H2 развила эту идею дальше. Мы отказались от PowerShell, файлов LNK и Visual Basic из Интернета. Любой, кто следит за ландшафтом угроз, знает, что это одни из самых частых форматов угроз. Windows 11 в режиме Smart App Control блокирует эти угрозы.
Microsoft будет постепенно внедрять новую функцию безопасности для пользователей. У пользователей будет возможность в один клик выйти из Smart App Control,но для этого потребуется перезагрузка. Со временем Microsoft выпустит более детализированные политики, например, чтобы разрешить запуск назначенного приложения с включенной функцией.
Уэстон считает, что SAC будет главной функцией безопасности для простых пользователей:
Для людей, которые могут оставаться в этом режиме, основываясь на наших данных это будет одна из самых важных функций безопасности, и она будет блокировать сценарии и большинство вредоносных векторов.
Функция Smart App Control в Windows 11 предназначена для потребителей и малого бизнеса. Она будет включена по умолчанию в Windows 11 в организациях, но Microsoft предполагает, что многие предприятия не будут ее развертывать, потому что используют собственные линейки бизнес-приложений. По словам Уэстона, Microsoft ожидает, что вместо этого они будут использовать Windows Defender Application Control.
Улучшения защиты учетных данных
В начальном выпуске Windows 11 Microsoft включила безопасность на основе виртуализации (VBS) только для новейших процессоров AMD, Intel и Qualcomm. Уэстон сказал, что, по его мнению, в будущем Windows расширит применение VBS.
Кроме того, для корпоративных выпусков Windows 11, версия 22H2 Microsoft по умолчанию включает функцию безопасности Credential Guard. В Windows 10 Credential Guard переместил учетные данные NTLM за пределы Windows в VBS, чтобы обойти инструменты дампа учетных данных, такие как Mimikatz.
Теперь Microsoft включила защищенные процессы для службы подсистемы локального органа безопасности (LSASS) для новых корпоративных устройств Windows 11. LSA хранит учетные данные Microsoft и третьих лиц. Благодаря этой защите Windows будет загружать только проверенный и подписанный код, что затрудняет кражу учетных данных злоумышленниками.
Уэстон рассказал подробности данного изменения:
Мы сказали: «Ни один процесс, включая администраторов, не может читать или писать из LSA». Эта мера позволит защититься от многих распространенных инструментов кражи учетных данных и инструментов, использующих технику Lateral Movement. Это не так эффективно, как VBS, и мы хотим в конечном итоге перенести все в VBS, но это отличная связующая технология, которая окажет реальное влияние. Внедрение в LSA и сброс учетных данных один из самых распространенных векторов атак, который больше не сработает.
Для ПК и ноутбуков с защищенным ядром (Secured-core) Microsoft также представила новую технологию шифрования в качестве второго уровня для BitLocker — Personal Data Encryption (PDE).
Если вы потеряете ноутбук и злоумышленник откроет его на экране входа в систему, данные на диске все равно будут расшифрованы. Если злоумышленник подключит специальное устройство или обойдет экран блокировки, то сможет получить доступ к данным.
В то время как ПК SecuredCore устраняют эту угрозу, блокируя порты, PDE предлагает способ включить дополнительное шифрование конкретных файлов не в рамках BitLocker, поэтому даже если злоумышленник сможет обойти BitLocker, то все равно столкнется с зашифрованным файлом.
Последние статьи #Windows
• Обновление KB5043186 (Build 22635.4225) для Windows 11, версия 23H2 (Beta)
• Обновление KB5043185 (Build 26120.1843) для Windows 11, версия 24H2 (Dev)
• Релиз Microsoft Edge 129: Обновлены системные требования и завершена поддержка кошелька криптовалют
• Microsoft Edge будет обнаруживать расширения с проблемами производительности
• Microsoft запускает «Windows App» для iPhone, Mac и устройств на Android
• Microsoft может задержать выпуск Windows 11, версия 24H2