Най-добрите части на Windows 11 вече са в Windows 10. Просто трябва да ги активирате

Когато Windows 11 беше представен в края на юни 2021 г., мнозина бяха развълнувани от преработения му потребителски интерфейс – и безброй компютърни ентусиасти побързаха да изтеглят компилациите на Windows Insider Developer Channel на новата операционна система.

Но както бързо откриха, новата операционна система има няколко нови изисквания към персоналните компютри, за да поддържа новия си хардуер и базирани на виртуализация функции за сигурност. Тези функции са критични за осигуряване както на потребителски, така и на бизнес натоварвания, както от по-сложен злонамерен софтуер, така и за експлоатация на заплахи, които в момента се развиват в дивата природа.

Също: Windows 11: Всичко, което трябва да знаете

Както се оказва, всички тези функции вече са вградени в Windows 10, ако използвате версията 20H2 (Windows 10 October 2020 Update). Като потребител, малък бизнес или предприятие можете да се възползвате от тях, ако внедрите групови правила или просто кликнете в менюто за защита на устройството на Windows 10, за да ги включите. Не е нужно да чакате до издаването на Windows 11 или да купувате нов компютър.

Менюто Device Security в Windows 10 20H2

Джейсън Перлов / ZDNet

Функция 1: TPM 2.0 и защитено стартиране

Модулът за доверена платформа (TPM) е технология, предназначена да осигури базирани на хардуер, свързани със сигурността криптографски функции. Ако имате компютър, произведен през последните пет години, има вероятност на дънната ви платка да има TPM чип, който поддържа версия 2.0. Можете да определите това, като отворите диспечера на устройствата и разширите „Устройства за сигурност“. Ако там пише „Trusted Platform Module 2.0“, вие сте готови.

96116a12-86c2-413b-9379-d425e4f834fe.jpg

Microsoft Windows Device Manager с TPM 2.0 изброен

Джейсън Перлов / ZDNet

Това се показва като „Процесор за защита“ в менюто Настройки за защита на устройството в Windows 10 (и Windows 11).

И така, какво всъщност прави TPM? Той се използва за генериране и съхраняване на криптографски ключове, уникални за вашата система, включително RSA ключ за криптиране, уникален за самия TPM на вашата система. Освен че се използват традиционно със смарт карти и VPN, TPM се използват за поддържане на процеса на защитено стартиране. Той измерва целостта на кода за зареждане на операционната система, включително фърмуера и отделните компоненти на операционната система, за да се увери, че те не са компрометирани.

Няма нищо, което трябва да направите, за да работи; просто го прави, при условие че не е деактивиран във вашия UEFI. Вашата организация може да избере внедрете Secure Boot на Windows 10 чрез групови правила или корпоративно решение, базирано на MDM, като Microsoft Endpoint Manager.

Докато повечето производители доставят своите компютри с включен TPM, някои може да го деактивират, така че ако не се показва в диспечера на устройствата или го показва като деактивиран, заредете в настройките на фърмуера на UEFI и виж.

Ако TPM никога не е бил подготвен за използване във вашата система, просто извикайте помощната програма, като стартирате tpm.msc от командния ред.

сигурност-процесор-отново.jpg

Подробности за процесора за защита (TPM 2.0) в Windows Device Security.

Функция 2: Базирана на виртуализация защита (VBS) и HVCI

Въпреки че TPM 2.0 е често срещано в много компютри от шест години, функцията, която наистина кара каучукът за сигурност да излезе на път в Windows 10 и Windows 11, е HVCI или Целостта на защитения код на хипервайзор, наричан още интегритет на паметта или изолиране на ядрото, както се появява в менюто за защита на устройството на Windows.

Въпреки че се изисква от Windows 11, трябва да го включите ръчно в Windows 10. Просто щракнете върху „Подробности за изолацията на ядрото“ и след това включете целостта на паметта с превключвателя. Включването на системата ви може да отнеме около минута, тъй като трябва да провери всяка страница с памет в Windows, преди да я активирате.

Тази функция е използваема само на 64-битови процесори с хардуерно базирани разширения за виртуализация, като VT-X на Intel и AMD-V. Макар първоначално да са внедрени в чипове от сървърния клас още през 2005 г., те присъстват в почти всички настолни системи поне от 2015 г. или Intel Generation 6 (Skylake). Това обаче също изисква Превод на адреси от второ ниво (SLAT), който присъства в VT-X2 на Intel с разширени таблици на страници (EPT) и индексиране на бързо виртуализиране на AMD (RVI).

Има допълнително изискване за HVCI всички I / O устройства, способни да имат директен достъп до паметта (DMA), да седят зад IOMMU (Input-Output Memory Management Unit). Те са внедрени в процесори, които поддържат инструкции Intel VT-D или AMD-Vi.

Звучи като дълъг списък с изисквания, но дъното е, че сте готови, ако устройството за сигурност казва, че тези функции присъстват във вашата система.

562012b9-92fe-465b-bb6e-7d8a85265cec.jpg

Функция за изолиране на ядрото на защитата на устройството с Windows 10 (целостта на паметта)

Джейсън Перлов / ZDNet

Виртуализацията не се ли използва главно за подобряване на плътността на натоварването в сървърите на центрове за данни или от разработчиците на софтуер, за да изолират настройките си за тестване на своите настолни компютри или да стартират чужди операционни системи като Linux? Да, но виртуализацията и контейнеризацията / пясъчникът все повече се използват за осигуряване на допълнителни слоеве за сигурност в съвременните операционни системи, включително Windows.

В Windows 10 и Windows 11, VBS или Сигурност, базирана на виртуализация, използва Hyper-V на Microsoft, за да създаде и изолира защитен регион на паметта от операционната система. Този защитен регион се използва за изпълнение на няколко решения за сигурност, които могат да защитят старите уязвимости в операционната система (например от немодернизиран код на приложението) и да спрат експлоатите, които се опитват да победят тези защити.

HVCI използва VBS, за да засили прилагането на правилата за целостта на кода, като проверява всички драйвери и двоични файлове в режим на ядро, преди да стартира и предотвратява зареждането на неподписани драйвери и системни файлове в системната памет. Тези ограничения защитават жизненоважни операционни ресурси и активи за сигурност, като потребителски идентификационни данни – така че дори ако зловредният софтуер получи достъп до ядрото, степента на експлойт може да бъде ограничена и ограничена, тъй като хипервизорът може да попречи на зловредния софтуер да изпълнява код или да осъществява достъп до тайни.

VBS изпълнява подобни функции и за кода на приложението – проверява приложенията, преди да бъдат заредени, и ги стартира само ако са от одобрени подписващи кодове, като прави това, като присвоява разрешения за всяка страница в системната памет. Всичко това се извършва в защитена област на паметта, която осигурява по-стабилна защита срещу вируси на ядрото и злонамерен софтуер.

Помислете за VBS като за нов служител за прилагане на кодове на Windows, за вашето ядро ​​и приложение Robocop, което живее в защитена кутия с памет, която е активирана от вашия CPU с активирана виртуализация.

Функция 3: Microsoft Defender Application Guard (MDAG)

Една особена функция, с която много потребители на Windows не са запознати, е Microsoft Defender Application Guard или (MDAG).

Това е друга технология, базирана на виртуализация (известна още като “Криптон” Hyper-V контейнери), че в комбинация с най-новия Microsoft Edge (и текущите версии на Chrome и Firefox с помощта на разширение), създава изолиран екземпляр памет на вашия браузър, предотвратявайки компрометирането на вашата система и вашите корпоративни данни от ненадеждни уебсайтове.

297df0a2-2293-4dc0-8715-17a2b44a65b3.jpg

Windows Defender Application Guard, използван в Microsoft Edge

Джейсън Перлов / ZDNet

Ако браузърът се зарази чрез скриптове или атаки на злонамерен софтуер, контейнерът Hyper-V, който се изпълнява отделно от хост операционната система, се държи изолиран от критичните ви системни процеси и вашите корпоративни данни.

MDAG се комбинира с Изолация на мрежата настройки, конфигурирани за вашата среда, за да дефинирате границите на вашата частна мрежа, както е определено от груповите правила на вашето предприятие

wdag-edge.png

Как работи MDAG на хост компютъра и изолирания контейнер за браузър Hyper-V. (Източник: Microsoft)

Microsoft

В допълнение към защитата на вашите сесии в браузъра, MDAG може да се използва и с Microsoft 365 и Office за да се предотврати достъпът до файлове на Word, PowerPoint и Excel до надеждни ресурси като корпоративни идентификационни данни и данни. Тази функция беше пусната като част от публичен преглед през август 2020 г. за клиенти на Microsoft 365 E5.

MDAG, който е част от Windows 10 Professional, Enterprise и Education SKU, се активира с менюто с функции на Windows или с проста команда PowerShell; не изисква Hyper-V да бъде включен.

96116a12-86c2-413b-9379-d425e4f834fe.jpg

Microsoft Defender Access Guard в менюто за включване или изключване на Windows.

Джейсън Перлов / ZDNet

Докато MDAG е насочена предимно към предприятия, крайните потребители и малкия бизнес могат да го включат с прост скрипт, който задава обектите на груповите правила. Това отлично видео и придружаваща статия публикувано в URTech.Ca обхваща процеса по-подробно.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com