Počítače Copilot+ budou po zuby chráněné. Microsoft zabezpečení zlepší i omezením správcovských účtů | Ilustrace: AI Dall-e

Ilustrace: AI Dall-e

Počítače Copilot+ budou po zuby chráněné. Microsoft zabezpečení zlepší i omezením správcovských účtů

  • Počítače Copilot+ splní normu Secured-core PC
  • Bude v nich aktivní bezpečnostní koprocesor Pluton
  • Microsoft pracuje na dalším posílení zabezpečení ve Windows 11

Během konference Build 2024, respektive v její předvečer Microsoft promluvil o bezpečnostních vylepšeních pro počítače s Windows 11. Představil také, jak silně budou zabezpečené počítače s certifikací Copilot+. Nastínil aktuální situaci. V Redmondu detekují čtyři tisíce útoků za sekundu, přičemž v roce 2015 to bylo 115 útoků. Jde o 3 378% nárůst. Jak tedy Microsoft posune zabezpečení ekosystému Windows?

Počítače s certifikací Copilot+ budou mít bez výjimky aktivní bezpečnostní koprocesor Pluton, který podporuje standard TPM 2.0. Může být použitý buď jako TPM, nebo jako doplněk pro dedikované TPM, aby dále posílil zabezpečení. Microsoft koprocesor vyvinul ve spolupráci s partnery a představil před čtyřmi roky.

Současně všechny nové počítače Copilot+ splní normu Secured-core PC, původně představenou před pěti roky. Takový stroj mj. používá Secure boot v přísném režimu, před útoky chrání samotný firmware, používá Windows Hello s rozšířeným zabezpečením, má zapnuté HVCI a BitLocker. Více informací případně hledejte na webu podpory Microsoftu.

fb7d27b6-263c-4837-91fa-62d9bae91991
Bezpečnostní architektura Windows s koprocesorem Pluton

Microsoft tvrdí, že Jedenáctky díky bezpečnostním funkcím snížily počet bezpečnostních incidentů o 58 % a plochu, která se dá zneužít pro útok na firmware, snížily 3,1×. Nejčastěji útoky míří na hesla, proto Microsoft prosazuje bezheslové přihlašování. S tím, jak se odkláníme od hesel, se ovšem útočící subjekty snaží prolomit právě alternativní způsoby přihlašování.

Proto vývojový tým pracuje na samotném operačním systému a dalších aspektech kolem něj:

  • Ve druhé polovině roku ve Windows zruší soubor zastaralých protokolů NTLM. S dnešním hardwarem je snadno prolomíte hrubou silou výpočetního výkonu. Microsoft od roku 2010 nedoporučuje, abyste NTLM používali.
  • LSA (Local Security Authority), které ověřuje uživatele a uživatelky při přihlašování, bylo standardně zapnuté na nových podnikových počítačích. Nově bude aktivní také na nových spotřebitelských strojích.
  • Windows využijí virtualizační řešení VBS na ochranu kryptografických klíčů. Jde o výkonnější a bezpečnější alternativu k hardwarem ošetřeným klíčům, říká Microsoft. Funkci aktuálně testuje v programu Windows Insider.
  • Windows Hello chrání rovněž passkeys. Jestliže váš počítač nedisponuje integrovaným zařízením pro biometrické přihlašování, můžete pomocí VBS zvýšit ochranu přihlašovacích prostředků.
win bezpecnost inovace build 1.png
Windows 11 ve větší míře používají existující zabezpečovací technologie
  • Smart App Control je ve výchozím stavu aktivní na některých nových počítačích. Snaží se odhalit nebezpečné aplikace a zabránit jim ve spuštění, představena byla před dvěma roky.
  • Podepsané aplikace jsou důvěryhodnější a aktuálně Redmondští testují zjednodušení podepisovacího procesu.
  • Funkce VBS Enclaves, která vytváří izolované virtualizované prostředí, je nově dostupná třetím stranám.
  • Vývojový tým testuje izolaci klasických programů pro prostředí Win32. Oznámil ji už před rokem, k dispozici je od sestavení 22621.1928. Technologie se po čase blíží všeobecné dostupnosti, takže už oficiálně nebude betaverzí.
  • Správcovské účty budou bezpečnější díky tomu, že už nebudou mít neustálý přístup k jádru a dalším kritickým službám. Přístup bude přidělován podle potřeby, autorizaci zařídí Windows Hello. Veřejné testování začne brzy.
Google chce vyhladit hesla (10).png
Microsoft podporuje přístupové klíče, protože ví, že hesla jsou pod útoky
  • Chráněný režim tisku, představený loni, se stane výchozím. Časový rámec Microsoft neuvádí.
  • Popisky, které se zobrazují, když přesunete ukazatel myši nad ikonu nebo jiný objekt, byly kvůli technickému řešení zneužívány k přístupu do paměti. Vývojový tým je předělá, aby zneužívání zabránil.
  • Certifikáty šifrované TLS s klíči o délce 2 048 bitů budou novým minimem; 1 024bitové klíče jsou dnes kvůli výkonnému hardwaru nedostatečné.
  • Nová funkce Config Refresh správcům nebo správkyním počítače umožní, aby se periodicky aplikovalo požadované nastavení. Počítač přitom nemusí být součástí Intune nebo jiného řešení pro správu. Pravidla se budou znovu aplikovat každých 90 minut ve výchozím stavu. Nejkratší lhůta bude 30 minut.
  • Pokud se některé pravidlo z bloku pravidel firewallu nepodaří aplikovat, Firewall Configuration Service Provider přestane zpracovávat následující pravidlo a všechna pravidla z téhož bloku se vrátí zpět k předchozímu nastavení, aby se odstranily rozpory částečně fungujících bloků pravidel.
  • Personal Data Encryption slouží k šifrování dat. Dešifruje je pouze v případě, kdy se přihlásíte prostřednictvím Windows Hello for Business. Doplňuje tak Bitlocker. Microsoft ji aktuálně veřejně testuje včetně API pro aplikace.
  • Windows se připojí pouze ke schváleným síťovým cílům podle názvu domény. Funkce Zero Trust DNS je nyní testována poloveřejně.

Zapněte ochranné funkce

Koncept Secured-core PC ukazuje, že často stačí jen brát vážně již existující technologie. Windows 10 měly řadu bezpečnostních technologií, které jen standardně nebyly zapnuté. Jedenáctky se to snaží změnit a teď vidíme další snahu o vynucení používání bezpečnostních technologií, které již máme k dispozici.

Zdroje: Microsoft Security Blog | Official Microsoft Blog

Určitě si přečtěte

Články odjinud