Microsoft provádí některá velká vylepšení zabezpečení Windows 11 pomocí nových funkcí a hardwaru, včetně Smart App Control.
Společnost Microsoft oznámila řadu vylepšení zabezpečení, která přicházejí do systému Windows 11, aby odstranila starosti s hybridní prací. Funkce jsou navrženy tak, aby firmám a uživatelům pomohly získat větší důvěru v software, který používají, ať už to je samotný operační systém nebo jeho aplikace, a to je zvláště důležité v době, kdy mnoho uživatelů pracuje mimo kancelář. Mnoho z těchto věcí není úplně nových, ale buď brzy nebo nedávno k dispozici.
Microsoft Pluton
Microsoft Pluton Security Processor je nový kousek hardwaru, který je součástí nových zařízení a integruje se přímo s CPU i Windows 11. Ve skutečnosti je to jediný bezpečnostní procesor, který má aktualizovatelný firmware přímo přes Windows Update v podniku je snadnější přidávat nové funkce a schopnosti bez složitých ručních aktualizací životní prostředí. Aktualizace lze spravovat stejně jako jakoukoli jinou aktualizaci pro Windows 11. Tato těsná integrace také znamená, že Microsoft Pluton je navržen tak, aby dobře fungoval s funkcemi jako BitLocker a Windows Hello ve Windows 11. Firmware pro Pluton vyvíjejí stejní lidé z týmu Windows, takže vše funguje v tandemu.
Integrace s CPU také chrání zařízení před fyzickými útoky, takže se jedná o široké bezpečnostní řešení pro podniky a zjednodušuje konfiguraci.
Integrita kódu chráněná hypervizorem
Počínaje dalším vydáním Windows 11 společnost Microsoft povoluje integritu kódu chráněného hypervizorem (HVCI) na více zařízeních s Windows 11. Tato funkce je navržena tak, aby chránila uživatele před zranitelností ovladačů, která byla hlavním zdrojem malwarových útoků. HVCI zabraňuje načítání malwaru do balíčků ovladačů a ověřuje, že nainstalované ovladače jsou důvěryhodné. Využívá data z Microsoft Vulnerable and Malicious Driver Reporting Center k automatickému blokování ovladačů, které jsou je známo, že je zranitelný, a zabraňuje zranitelným ovladačům z jádra Windows, takže nikdy nemají šanci být vykořisťován.
Inteligentní ovládání aplikací
Smart App Control, poprvé objevený ve Windows 11 sestavení 22567, umožňuje systému Windows automaticky blokovat spuštění potenciálně nebezpečných aplikací. To už samozřejmě do jisté míry existuje, ale tentokrát je toho víc. SAC používá podepisování kódu a umělou inteligenci k předpovídání potenciálně škodlivého chování aplikací, než se rozhodne, zda lze tyto aplikace spustit. Používá neustále aktualizovaný model odvození k určení zabezpečení aplikací pomocí nejnovějších informací o hrozbách spolu s certifikáty kódu, aby bylo zajištěno, že aplikace jsou před spuštěním bezpečné. Uživatelé se tak nemusejí obávat spouštění potenciálně nebezpečných aplikací bez jejich vědomí.
Smart App Control bude k dispozici na nových zařízeních dodávaných s příští verzí Windows 11. Pokud upgradujete z aktuální verze, budete muset resetovat počítač nebo čistá instalace Windows 11 pomocí ISO, abyste to viděli.
Zabezpečení přihlašovacích údajů a účtu
Společnost Microsoft také provádí některá vylepšení celkového zabezpečení účtu ve Windows 11. Za prvé, je to zapečení detekce phishingu přímo do Windows 11 pomocí funkce SmartScreen programu Microsoft Defender. Microsoft tvrdí, že zablokoval více než 25,6 miliardy útoků hrubou silou na Aure Active Directory a zachytil 35,7 miliardy phishingu e-maily s Microsoft Defender pro Office 365 – a to jen za poslední rok – a nyní bude ochrana dostupná v OS úroveň.
Microsoft také ve výchozím nastavení povoluje Credential Guard na Windows 11 Enterprise. Tato funkce pomáhá chránit zařízení před krádeží pověření pomocí technik, jako je pass-the-hash, a navíc může také zabránit malwaru v přístupu k tajným informacím systému, i když jeho proces běží se správcem privilegia.
A konečně, Microsoft vylepšuje místní bezpečnostní úřad (LSA), aby mohl bojovat proti útokům, které využívají tuto funkci k odcizení uživatelských přihlašovacích údajů. Konkrétně to společnost dělá tak, že LSA může načítat pouze důvěryhodný a podepsaný kód, takže se škodlivé programy nemohou propašovat do procesu a ukrást přihlašovací údaje, které procházejí LSA. Tato dodatečná ochrana bude v budoucnu standardně povolena pro nová zařízení s Windows 11 připojená k podniku.
Šifrování osobních údajů
Název této funkce je poměrně samozřejmý. Šifrování osobních údajů v podstatě zajistí, že uživatelská data budou chráněna šifrováním, které se zruší pouze v případě, že je příslušný uživatel přihlášen. Jedná se o funkci platformy, kterou mohou aplikace a IT oddělení využít k zajištění ochrany dat v případě odcizení zařízení. Šifrování je propojeno s Windows Hello pro firmy, takže uživatelé se musí přihlašovat bez hesla přihlašovací údaje pro přístup k datům, takže je pro někoho s fyzickým přístupem k zařízení těžší ukrást uvedená data.
Zámek konfigurace
Konečně je tu Config Lock, což je funkce zaměřená spíše na IT oddělení v rámci organizace, a ve skutečnosti je již k dispozici. Podle Microsoftu je běžným problémem pro podniky, že mají omezenou kontrolu nad zařízením, jakmile je používá zaměstnanec. S Config Lock mohou správci IT používat zásady MDM ke sledování klíčů registru na každém zařízení, a pokud jsou provedeny nějaké změny, Config Lock je automaticky vrátí „v sekundách“, přičemž neustále zajišťuje, že zařízení dodržuje požadované zabezpečení opatření.
Mnoho z těchto funkcí je zaměřeno na podniky, jak byste očekávali, ale rozhodně jsou důležité. Vzhledem k tomu, že se hybridní práce stává standardem pro mnoho společností, jsou tyto kroky nezbytné pro udržení uživatelů a podniky jsou bezpečné, zejména s ohledem na to, že v posledních několika letech také přibylo kybernetických útoků let.
Microsoft také oznámil nové funkce Windows 11 včetně Průzkumníka souborů s kartami dnes. Jsou tu také nové funkce pro Windows 365včetně offline režimu.