Dotychczas najlepiej zabezpieczonym systemem Windows był Windows 10, ale jego następca wedle zapowiedzi poczynił w tej kwestii jeszcze większe postępy. Przez kilka ostatnich lat po premierze Dziesiątki wzrost popularności zaliczyły takie zagrożenia, jak phishing, ransomware, ataki na łańcuch dostaw czy na podatności w urządzeniach IoT. Wzrosło też ich wyrafinowanie, dlatego technologie chroniące zawsze muszą być co najmniej o krok dalej. Właśnie dlatego Microsoft przeprojektował ochronę w Windows i wyposażył Windows 11 w izolację opartą na sprzęcie, szyfrowanie i najmocniejsze zabezpieczenia przeciwko malware.
Security by design to od dawna priorytet dla Microsoftu. Jakie inne firmy inwestują ponad 1 miliard dolarów rocznie w bezpieczeństwo i zatrudniają ponad 3500 dedykowanych profesjonalistów od bezpieczeństwa?
— David Weston, Director w dziale Enterprise and OS Security, Microsoft
Przez ostatnie lata Microsoft rozwijał podejście Zero Trust na drodze chip-to-cloud i tak w 2019 roku ogłosił standard secured-core PC, który definiował najlepsze praktyki bezpieczeństwa w warstwie firmware'u. To połączenie zabezpieczeń sprzętowych, software'owych i systemowych ma na celu ochronę end-to-end przeciwko złożonym atakom. A jest się przed czym bronić, jako że według raportu Security Signals autorstwa Microsoftu aż 83% firm doświadczyło ataku na firmware i tylko 29% z nich przeznaczyło zasoby na ochronę tej krytycznej warstwy. W przypadku Windows 11 ochrona przed wyrafinowanymi atakami ma być dostępna praktycznie od samego początku. Wszystkie certyfikowane systemy z Windows 11 będą dostarczane z chipem TPM 2.0, by pomóc zapewnić, że klienci osiągają korzyści z ochrony opartej na sprzętowym root-of-trust — wyjaśnia Weston.
Nieco kontrowersji wywołało początkowo dodanie TPM 2.0 do wymagań minimalnych Windows 11. Szybko jednak okazało się, że nie jest on absolutnie konieczny, lecz tylko zalecany, dlatego nowy system uruchomimy na urządzeniach, które go nie posiadają, niemniej jednak ta rekomendacja nie bierze się znikąd.
Trusted Platform Module (TPM) to chip, który integruje się z płytą główną Twojego komputera lub jest dodawany osobno do CPU. Jego celem jest ochrona kluczy szyfrowania, danych uwierzytelniania użytkowników i innych wrażliwych danych za warstwą hardware'u, tak aby złośliwe oprogramowanie i atakujący nie mogli zyskać dostępu ani naruszać tych danych. PC-ty przyszłości potrzebują tego nowoczesnego, sprzętowego root-of-trust, aby bronić się przed zarówno typowymi, jak i wyrafinowanymi atakami, takimi jak ransomware czy złożone ataki finansowane przez państwo ["nation states"]. Wymaganie TPM 2.0 podnosi standard bezpieczeństwa sprzętowego, wymagając wbudowanego root-of-trust.
TPM 2.0 to element składowy o znaczeniu krytycznym dla zapewniania bezpieczeństwa w usługach Windows Hello i BitLocker, pomagających klientom lepiej chronić swoje tożsamości i dane. Ponadto wielu klientom biznesowym TPM pomaga realizować ochronę Zero Trust, dostarczając element ochrony do atestowania stanu urządzeń.
Windows 11 ma również dostępne out of the box wsparcie dla Microsoft Azure Attestation (MAA) opartego na Azure, które wprowadza sprzętowy Zero Trust na pierwszy plan ochrony, pozwalając klientom wymuszać zasady Zero Trust podczas uzyskiwania dostępu do wrażliwych zasobów w chmurze ze wsparciem dla usług zarządzania urządzeniami mobilnymi (MDM), takimi jak Intune, lub wdrożeń on-premise.
— David Weston, Director w dziale Enterprise and OS Security, Microsoft
Microsoft wymienia konkretne obszary, w których ochrona Windows 11 zaliczyła postępy:
- Podnoszenie poziomu bezpieczeństwa w celu sprostania zmieniającemu się krajobrazowi zagrożeń. Nowa generacja Windows wymaga nowocześniejszych procesorów z wbudowanymi i domyślnie włączonymi zabezpieczeniami, takimi jak zabezpieczenia oparte na wirtualizacji (VBS), integralność kodu chroniona przez hiperwizor (HVCI) i Secure Boot. Windows 11 będzie też wyposażony w procesor bezpieczeństwa Microsoft Pluton oraz ochronę stosu dla wspieranych modeli Intel i AMD.
- Możliwość pozbycia się haseł tekstowych dzięki funkcji Windows Hello. Jeśli chodzi o firmy, usługa Windows Hello dla firm posiada uproszczone modele wdrażania z możliwością konfiguracji w ciągu kilku minut. Z kolei nowe urządzenia konsumenckie z Windows 11 będą domyślnie pozbawione haseł od pierwszego dnia.
- Bezpieczeństwo i produktywność w jednym. Wszystkie składniki ochrony współpracują ze sobą w tle, aby zapewnić użytkownikom bezpieczeństwo bez poświęcania jakości, wydajności lub doświadczenia. Nowy zestaw wymagań dotyczących bezpieczeństwa sprzętowego ma na celu stworzenie podstaw dla jeszcze silniejszych i bardziej odpornych na ataki urządzeń w przypadku certyfikowanych modeli. Wiemy, że to podejście działa — secured-Core PCs są dwukrotnie bardziej odporne na infekcje złośliwym oprogramowaniem — wyjaśnia Microsoft.
- Kompleksowe bezpieczeństwo i zgodność. Wsparcie dla Microsoft Azure Attestation umożliwia Jedenastce dostarczanie dowodów zaufania za pomocą poświadczeń. Weryfikują one zarówno tożsamość, jak i platformę oraz stanowią podstawę przepływów pracy Zero Trust i dostępu warunkowego dla ochrony firmowych zasobów.
Microsoft tłumaczy, że ten kolejny poziom bezpieczeństwa sprzętowego jest zgodny z nadchodzącymi systemami wyposażonymi w Microsoft Pluton, a także z dowolnymi modelami z układem TPM 2.0, wliczając w to setki urządzeń takich producentów, jak Acer, Asus, Dell, HP, Lenovo, Panasonic i wielu innych.
341f31d.png)