到目前為止,微軟并沒有太多地去解釋為什么Windows 7用戶應(yīng)該遷移到Windows 10。
熟悉的開始菜單的回歸,操作系統(tǒng)集成Cortana,這些都不錯,然而這并不是讓用戶、尤其是企業(yè)用戶離開他們已經(jīng)嘗試過、測試過并且還不錯的操作系統(tǒng)——也就是Windows 7——的那種功能。
我認(rèn)為Windows 10獨有的安全功能對于企業(yè)客戶是有吸引力的。到目前為止,尤其是最近,微軟方面并沒有過多地談及這些功能。部分原因可能是有很多Windows 10安全功能可能并且應(yīng)該對于那些還沒有完全部署的企業(yè)用戶來說是一個賣點。
微軟肯定已經(jīng)在談到Windows Hello了,這項新的生物認(rèn)證技術(shù)讓用戶不用輸入密碼就可以登錄到他們的Windows 10設(shè)備上。使用Hello技術(shù)需要使用新硬件,因為它是用指紋和面部識別技術(shù)認(rèn)證的。Hello提供給所有不同Windows 10版本的用戶——包括家庭版、專業(yè)版、企業(yè)版和教育版。有很多其他安全功能將僅限于提供給Windows 10用戶。
昨天,微軟公開表示W(wǎng)indows 10還沒有之前在年初承諾的Enterprise Data Protection以及Passport Enterprise功能。(如果你仔細(xì)閱讀,微軟在所有場合都承認(rèn)Windows 10缺失了這些功能,還有之前成功的Windows Store for Business。)
微軟計劃在本月把這些功能帶入Windows 10預(yù)覽版中,這樣就可以在年底推出,作為最后秋季Threshold 2發(fā)布的一部分。
但是有其他一些Windows 10安全功能是微軟做得極其少的。
其中之一就是BitLocker驅(qū)動器加密。盡管這項功能是Windows 7的一部分,并且仍然存在于Windows 10中,但是微軟正在擴大可以獲得這項功能的用戶范圍。在Windows 7方面,只有旗艦版和企業(yè)版用戶可以獲得BitLocker。在Windows 10方面,專業(yè)版、企業(yè)版和教育版用戶都可以得到。
還有更多。我在微軟下載中心發(fā)現(xiàn)的這個列表中,把Windows 7和Windows 10的安全功能做了一個對比:
正如本文上面提到的,一些功能還沒有提供給Windows 10用戶,例如Enterprise Data Protection以及企業(yè)版的Passport。
Enterprise Data Protection(EDP)是構(gòu)建在防數(shù)據(jù)丟失功能上的,目前是Windows 7的功能之一。不過現(xiàn)在它更近了一步,通過容器把消費者和企業(yè)數(shù)據(jù)分離開。EDP將與Azure Active Directory以及Rights Management Services集成。微軟承諾EDP將提供“跨移動設(shè)備和桌面的無縫的用戶體驗”。EDP將提供給Windows 10專業(yè)版、企業(yè)版和教育版用戶。
微軟Passport則是讓用戶更安全地登錄到應(yīng)用、在線和本地內(nèi)容中而無需密碼。Passport目前支持微軟Accounts以及Azure Active Directory。雖然這已經(jīng)是Windows 10家庭版和專業(yè)版的一部分,但還沒有進入Windows 10企業(yè)版,微軟方面昨天證實。
Device Guard是另外一項Windows 10獨有的安全功能,到目前為止關(guān)于這項功能我們知之甚少。Device Guard提供了應(yīng)用鎖定;一個應(yīng)用在運行之前必須證明它是可信的。微軟宣稱Device Guard“將是微軟出貨臺式機以來最具突破性的防惡意軟件功能”。
另一項服務(wù)Credential Guard則是關(guān)于“機密隔離”。來自微軟關(guān)于Credential Guard功能的描述:
“Credential Guard會對之前保存在Local Security Authority(LSA)中保存的Windows版本的機密進行隔離,使用基于虛擬化的安全技術(shù)。在Windows 10之前,LSA保存的機密是被操作系統(tǒng)使用的。操作系統(tǒng)中的LSA進程與隔離的LSA進行通信,使用遠程進程調(diào)用。利用基于虛擬化的安全功能保存的數(shù)據(jù)是不能被操作系統(tǒng)的其他部分所訪問的。”
Device Guard和Credential Guard將僅限于Windows 10企業(yè)版和教育版用戶。
不斷深入,微軟把一項新技術(shù)帶入到Windows 10內(nèi)核中,該技術(shù)實現(xiàn)了Device Guard和Credential Guard。微軟最近在其Channel 9網(wǎng)站上發(fā)布了三段系列視頻,談及這項名為Isolated User Mode(IUM)的技術(shù),值得一看。
IUM是Windows 10獨有的安全技術(shù),引入了安全內(nèi)核和安全應(yīng)用的理念,運行在一個不同于普通內(nèi)核的地址空間中。
IUM落地在Windows 10新的Virtualization Based Security(VBS)功能中,也就是之前的Virtual Secure Mode中。VBS已經(jīng)被集成到Windows 10中。VNS提供了基于硬件的隔離,把運行在VBS環(huán)境中的Windows功能與Windows 10操作系統(tǒng)中的其他功能隔離開。
“這種隔離有助于確保VBS環(huán)境中的流程和數(shù)據(jù)不會被訪問或者篡改。在Windows 10之前的Windows版本中從來沒有提供過這種隔離。”當(dāng)被問及IUM時微軟新聞發(fā)言人這樣表示。
Device Guard利用VBS環(huán)境其功能被篡改。Device Guard是為了組織對內(nèi)核模式的基于硬件的零日功能。而且這項功能也超越了被帶入AppLocker的安全功能——可能會被那些獲得管理權(quán)限的攻擊者篡改,該新聞發(fā)言人稱。
“Device Guards要求‘簽名’策略,這意味著只有被可信簽署人簽署的更新策略才能更改已經(jīng)在設(shè)備上設(shè)置好的應(yīng)用控制策略。簽名策略對于我們防止獲得管理控制權(quán)的攻擊者形成撤銷應(yīng)用控制策略來說至關(guān)重要,這可能會讓攻擊者運行不受信任的惡意應(yīng)用。”該新聞發(fā)言人稱。
與此同時,Credential Guard則利用VBS環(huán)境方式盜竊和濫用用戶“設(shè)備證書”,這可能被用于Pass the Hash(PtH)攻擊中。
隨著下一個Windows 10(Threshold 2)重大更新即將在年底前推出,我期待著從微軟那里聽到更多關(guān)于Windows 7和Windows 10在安全方面的消息。在此期間,將會是Windows Insiders會談到Windows 10怎么樣吧。