Windows 10 技術預覽版帶來了超多驚喜和震撼,其中,Windows Insider 計劃取得了難以置信的進展,最近的總註冊人數突破了 100 萬大關,並獲得了超過 200000 條用戶反饋。感謝您註冊此項計劃,併爲我們提供寶貴的反饋意見!我們希望 Windows 10 真正迎合您的業務需求,我早已迫不及待親眼見證目前發生的一切。我的前一篇博客文章中提到了我已經開始跟進的一些重點領域。今天,我要重點講述 Windows 10 中的安全性,自從我們正式發佈技術預覽版以來,我親身經歷的很多客戶對話都表明這一話題已經成爲了他們共同關注的核心。很多企業絕對有理由關注安全及信息保護,這是他們最重視的一個方面。
在當今世界上,面向企業的網絡***已經呈現出市場化趨勢,而且愈演愈烈,***行爲的手段越來越高明,成功機率也越來越高。我們正在目睹用戶名及密碼盜竊這麼簡單的***手段都能攻破網絡。在最近的一些案例中,***使用盜取的用戶名及密碼侵入財富 500 強企業,並訪問他們的銷售系統網店及其目前掌握的信用卡數據。此類***導致了數百萬信用卡號碼被盜,而這些被盜信息很快在黑市中銷贓。最近,紐約時報發出報道,12 億用戶名及密碼均被同一個網絡犯罪團伙盜取。相比全球約 18 億的上網用戶而言,這一數據令人歎爲觀止。此類頑固的犯罪團隊和某些國家絕不僅僅是您個人所面對的威脅。即使是絲毫沒有惡意的員工也有可能帶來巨大風險,因此,必須採取措施。據 Stroz Friedberg 今天發佈的一份報告稱,87% 的資深經理人承認自己有規律地上載工作文檔至個人電子郵件或雲帳戶,與此同時,58% 的用戶承認自己曾意外地錯發敏感信息至不相關人員。
在 Windows 10 中,我們將會積極應對現代化安全威脅,運用技術進步成果來強化身份保護和訪問控制、信息保護以及威脅抵抗方面的能力。在這一版本中,我們將帶領整個世界脫離密碼等單因素身份驗證選項,爲此,我們已經做好了充分的準備。我們將把數據防丟失技術直接植入這一平臺之中,對於惡意軟件等網絡威脅而言,我們將會綜合運用各種選項來幫助企業從根源上避免各種常見的惡意軟件感染 PC 端。
身份保護與訪問控制
首先,我要介紹一個解決方案,它針對身份及用戶憑據給出了一種非常現代化的處理方法,可以說它代表了下一代身份保護技術。我曾在 9 月 30 日發佈的個人博客文章中對此做出了簡要介紹。在這一解決方案中,一旦數據中心遭受***,Windows 10 將會擔當起保護用戶憑據的重任。當設備遭受破解時,它可以保護用戶免遭盜竊,當身份遭遇網絡釣魚***時,它可以致使此類***幾乎完全無效。這套解決方案允許企業機構和普通消費者共同受益,它不僅提供了密碼的全部便利性,同時,還帶來了真正適用於企業的安全性。它代表着我們體驗之旅的目標,即避免使用密碼等單因素身份選項。我們相信,這套解決方案將把身份保護技術擡升到一個嶄新的層次,它將把目前僅適用於智能卡等解決方案的多因素安全特性融入這一操作系統及設備之中,從而不再依賴於附加的硬件級外圍安全設備。
一旦完成設備登記,設備本身將會成爲身份驗證所必需的雙因素之一。第二個因素將是 PIN 或生物識別,例如指紋等。從安全角度來看,這意味着***單單掌握用戶的憑據已經不起作用,還必須取得用戶的物理設備,而物理設備要對用戶的 PIN 或生物識別信息進行驗證。用戶能夠使用此類新型的憑據來登記自己擁有的每一臺設備,或者,他們也可以登記移動電話等單臺設備,而該設備將會有效充當他們的移動憑據。用戶只要隨身攜帶自己的移動電話,就能用它來登錄自己的全部 PC、網絡及 Web 服務。在這種情況下,具備藍牙或 Wi-Fi 通信功能的手機將扮演遠程智能卡的角色,它將負責爲本地登錄和遠程訪問提供雙因素身份驗證。
如果我們更深層次地剖析 Windows 10 中的這一組件,IT 及安團隊將會發現內在的東西並不陌生。憑據本身可以是兩種事物之一。它可以是 Windows 自身加密生成的密鑰對(私鑰和公鑰),或者,它也可以是現有 PKI 基礎架構提供給當前設備的證書。Windows 10 同時提供了這兩種選項,正因如此,它極大吸引了一些現已做出 PKI 投資的組織機構,另外,對於 Web 和消費者而言,原本不可行的 PKI 身份也已變爲可行。Active Directory、Azure Active Directory 及 Microsoft 帳戶都將直接支持我們的全新用戶憑據解決方案,因此,使用 Microsoft 聯機服務的企業機構和消費者都能快速脫離密碼驗證方式。此項技術的主要目標是可爲其他平臺、Web 及其他基礎架構所廣泛採用。
保護用戶身份僅僅是我們的身份保護技術中的一部分。另一部分是保護用戶訪問令牌,也就是說,當您的用戶通過身份驗證之後,爲其生成的訪問令牌將被保護起來。目前,此類訪問令牌正在越來越多地遭受 Pass the Hash、Pass the Ticket 等***手段的***。一旦***者獲得此類令牌,他們就能在不需要用戶真實憑據的前提下有效仿冒用戶身份,進而訪問資源。這種***手段經常輔之以一些高級持續性威脅(APT),因此,這是我們要極力避免的一種***手段。在 Windows 10 中,我們力爭運用一套系統化的解決方案來避免此類***,它將把用戶訪問令牌存入一個運行在 Hyper-V 技術上的安全容器中。這套解決方案可以防止從設備中提取令牌,即使 Windows 內核本身遭受破解,也同樣無法做到。
信息保護
在 Windows 10 中,我們將在身份技術上實現長足進步,我相信您必將認識到我們都對信息保護持以同樣的重視。我們首先來看一些數據,這些數據有助於解釋我們正在哪些領域中做出投資。BitLocker 已經成爲一種行業主流技術,它能保護設備上駐留的數據,但是,一旦數據離開設備,就不再會獲得保護。爲了對脫離設備的數據施加保護,我們已在 Microsoft Office 中加入了 Azure 權限管理服務和信息權限管理(IRM),後者通常要求用戶預先激活保護。這會給公司留下一點美中不足,也就是說,如果您的用戶缺乏主動性,則他們很容易意外泄露公司數據。在 Windows 10 中,我們運用數據防丟失(DLP)解決方案解決了這個問題,該解決方案不僅可將公司數據與個人數據分別對待,還可以運用抑制手段幫助保護數據。我們將把此項功能植入平臺之中,並將其集成到現有的用戶體驗之中,以此來實現保護,同時,又避免了其他一些解決方案中常見的中斷問題。您的用戶再也不必爲了保護公司數據而執行模式或應用切換,也就是說,用戶可在不改變自身行爲方式的前提下進一步保持數據安全。Windows 10 中的公司數據保護功能實現了公司應用、數據、電子郵件、網站內容及其他敏感信息的自動加密,每當數據從公司網絡位置抵達設備時,自動加密功能就會執行。另外,當用戶創建新的原始內容時,這套數據保護解決方案將會幫助用戶定義哪些文檔屬於公司文檔而非個人文檔。如有需要,公司甚至可通過策略來將設備上的新建內容指定爲公司內容。其他一些策略也能幫助組織防止數據從公司內容中複製到非公司文檔或社交網絡等外部網站位置。
Windows 10 專爲桌面提供了一種高級數據保護解決方案,但是,移動端呢?這套解決方案將在 Windows Phone 上提供的用戶體驗與我們在 Windows 桌面上看到的用戶體驗完全相同,另外,爲了讓多種平臺都能訪問受保護的文檔,我們還提供了必要的互操作性。最終,依靠 Windows 中的數據保護功能,組織可通過策略來定義哪些應用有權訪問公司數據。根據很多用戶的反饋意見,我們又對此項功能做出了進一步開發,並對上述策略進行了擴充,以此來滿足 *** 方面的要求。
請您從自己的角度想一想,如果您出差在外或居家辦公,那麼,爲了保持工作效率,您一定需要連接到關鍵數據及應用。在爲遠程用戶提供支持時,IT 專業人員需要想方設法限制 *** 連接風險,尤其是 BYOD 設備。Windows 10 給出了一系列 *** 控制選項,從常態連接到明確指定哪些具體應用可能通過 *** 建立訪問通道,可謂一應俱全。應用允許列表和應用拒接列表允許 IT 專業人員定義哪些應用應被授權訪問 *** 並可由 MDM 解決方案來管理其桌面版和全局版。如果管理員要求實現更加粒度化的控制,則他們可以按照具體端口或 IP 地址來進一步限制訪問權。上述增強特性允許企業 IT 專業人員結合安全控制需求來權衡訪問權需求。
威脅抑制
Windows 10 還爲組織機構賦予了鎖定設備的能力,從而針對威脅和惡意軟件提供了更多一層抑制力量。由於惡意軟件經常被用戶無意中安裝在設備上,因此,爲了應對此類威脅,Windows 10 僅允許受信任的應用,也就是說,只有使用 Microsoft 官方簽名服務簽名的應用可被運行在經過特殊配置的設備上。簽名服務的訪問權將由一個審批流程來進行控制,這種方式類似於我們控制 ISV 在 Windows 商店上的發佈訪問權,而且,設備本身將由 OEM 鎖定。OEM 所採用的鎖定流程類似於我們鎖定 Windows Phone 設備的方式。組織能夠靈活決定哪些應用值得信任,只有自我簽名的應用、ISV 專門簽名的應用、Windows 商店中的應用或同時滿足上述全部條件的應用可被歸入受信任的行列。不同於 Windows Phone 的地方是,這些應用還可包含桌面(32 位)應用,也就是說,任何可在 Windows 桌面上運行的應用也同樣可在此類設備上運行。總之,Windows 10 中的鎖定功能爲企業提供了一種戰勝流行威脅的有效工具,而且,它所具有的靈活性足以適應絕大多數環境。
關於這一安全先鋒,還有很多值得我講述的精彩內容。隨着更多的安全功能及增強特性加入這款產品的開發版本,我期待着就此發表更多文章來對其做出講解。我們將繼續努力爲 Windows 10 賦予最大的商用價值,與此同時,我也將不斷爲您奉上更多精彩內容,敬請期待。另外,如果您尚未理解透徹,請親身體驗 Windows 10 技術預覽版,並讓我們知道您的想法。