Video: Introducing the Windows 10 October 2020 Update (Oktober 2024)
Sikkerhed tog bagud ved Microsofts onsdag Windows 10-begivenhed, men det betyder ikke, at Redmond ikke har lavet nogen sikkerhedsjusteringer.
Windows 10 har en "meget lang liste med forbedrede sikkerhedsfunktioner, der er udviklet til denne nye kodebase sammen med en massiv mængde ny angrebsflade introduceret med denne nye platform, " skrev Kurt Baumgartner, en seniorforsker ved Kaspersky Lab i et blogindlæg.
Projekt Spartansk - Ny browserpine?
En af de største ændringer er i webbrowser, da de fleste brugere ikke vil se Internet Explorer i Windows 10. Den nye browser, der i øjeblikket er gået af Project Spartan, er en pause fra Internet Explorer, da den kommer med en splinterny gengivelsesmotor. Imidlertid forstår Microsoft bagudkompatibilitet, og sagde Project Spartan ville være i stand til at indlæse IE11-motoren, hvis brugeren forsøger at få adgang til eksisterende virksomhedswebsteder, der er specifikt designet til Internet Explorer.
Project Spartans motor er beregnet til at indeholde HTTP Strict Transport Security (HSTS), ifølge Microsoft. HSTS er en HTTP-header, der informerer browseren om altid at anmode om et givet domæne over SSL. Dette vil hjælpe med at reducere angreboverfladen man-i-midten. Microsoft har ikke afsløret andre sikkerhedsfunktioner, udviklingspraksis eller sandkasser til Project Spartan.
Ikke desto mindre, i betragtning af at der var over 200 sårbarheder, der blev lappet i forskellige versioner af IE i 2014 alene, at opgive codebase og gå til en minimalistisk opdatering med Project Spartan virker det som en god idé. ”Kort sagt blev IE-webbrowseren hamret i 2014 på tværs af alle Windows-platforme, inklusive deres seneste, ” sagde Baumgartner.
Hvad er der dog ikke at sige, at Project Spartan, med store mængder ny kode til kommunikation og datadeling, ikke bare følger Microsofts historie om at skulle rette hundreder af sårbarheder årligt? ”Forhåbentlig har deres team ikke med sig den bagage, men belastningen virker temmelig tung med den nye funktionalitet, ” sagde han.
Den bagudkompatibilitet med IE-motoren kan også udgøre nogle problemer. "Flere funktioner + cross-platform support + bagudkompatibilitet = meget større kodebase (millioner af kodelinjer, " sagde Franklyn Jones, vicepræsident for marketing hos Spikes Security. En meget større kodebase betyder, at der potentielt ville være mange flere sårbarheder og en meget større angrebsflade for cyberkriminelle at udnytte, sagde han.
Godkendelse og tillid
Microsoft vil blokere programmer, der ikke er tillid til, fra at installere på systemet. Pålidelighed verificeres med applikationens digitale signatur. Selvom denne betroede signeringsmodel er en forbedring, sagde Baumgartner, hvordan Windows 10 ville håndtere den er "ikke perfekt." Tidligere cyber-spionage-angreb har vist, at digitale certifikater let stjæles og genbruges i angreb. Skuespillere deler certifikater på tværs af grupper og bryder tillidsmodellen, sagde han.
Windows 10 har indbygget identitetsbeskyttelse og adgangskontrol til at modstå phishingangreb, tofaktorautentifikation, der kræver, at brugerne bruger en pinkode eller en biometrisk, og et værktøj til forebyggelse af datatab til automatisk at kryptere virksomhedsdata, der er gemt på forudbestemte placeringer, Microsoft sagde tidligere.
Det nye operativsystem kan prale af problemfri integration af datadelingstjenester på tværs af databehandlingsressourcer, hvilket betyder, at godkendelse og deres underliggende legitimationsoplysninger og tokens ikke kan lækkes på tværs af tjenester, applikationer og enheder, bemærkede Baumgartner. Men det er ikke tydeligt, at Windows 10 har beskyttelse til at forsvare mod pass-the-hash-teknikker, angreb mod Active Directory ved hjælp af "skeletnøgler" eller angreb på Hyper-V og containermodellen for at få adgang til og misbruge symboler. Sikkerhedsforskere bør fokusere på, hvordan Microsoft implementerede legitimationsforsyning og adgang til tokenhåndtering, sagde han.
"DLP-implementeringen til deling af virksomhedsdata sikkert er også opmuntrende, men hvor stærk kan det være på tværs af energibegrænset mobilhardware?" Baumgartner spurgte.
