[資安小常識] 搶先預覽Windows 10為企業帶來的先進資安防護特色
2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。
而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取,而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。
有鑑於此,Windows 10在安全認證方面,以多重驗證的方式帶領身分驗證進入新的層級;使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說,使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦,在手機端輸入PIN碼抑或按壓指紋認證後,即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性,也無須額外的硬體安全週邊設備,可說是作業系統在身分安全認證上革命性的解決方案。
圖一、多重認證方式(一)
(註:此畫面可能不是最終版使用者體驗或登入流程)
圖二、多重認證方式(二)
(註:此畫面可能不是最終版使用者體驗或登入流程)
圖三、多重認證方式(三)
(註:此畫面可能不是最終版使用者體驗或登入流程)
然而,在使用者通過驗證後,其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證,也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此,為因應上述憑證攻擊,Windows 10透過將使用者憑證存放在運行 Hyper-V的安全容器,防範憑證從裝置中被讀取出來,增強了憑證的安全。
圖四、認證方式
另一方面,在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟,微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後,針對使用如BYOD裝置的遠端使用者,Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN,提供使用者安全的遠端資料存取解決方案。
圖五、佈建金鑰及政策
據統計,約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間,其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外,更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外,Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。
淺白而言,Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性,更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案, Windows 10建立的層層機制都進一步加強了使用者在資訊安全方面的保障。雖Windows 10正式版本尚未發佈,但已讓人期待新一代作業系統帶來的嶄新資安保障。
參考資料: