Microsoft radi neka velika poboljšanja sigurnosti sustava Windows 11 s novim značajkama i hardverom, uključujući Smart App Control.
Microsoft je najavio niz sigurnosnih poboljšanja koja dolaze u Windows 11 kako bi riješili brige oko hibridnog rada. Značajke su osmišljene kako bi pomogle tvrtkama i korisnicima da budu sigurniji u softver koji pokreću to je sam OS ili njegove aplikacije, a to je posebno važno u vrijeme kada mnogi korisnici rade daleko od ured. Mnoge od ovih stvari nisu potpuno nove, ali ili dolaze uskoro ili su nedavno dostupne.
Microsoft Pluton
Microsoft Pluton Security Processor novi je dio hardvera koji je u paketu s novim uređajima i izravno se integrira s CPU-om, kao i sa sustavom Windows 11. Zapravo, to je jedini sigurnosni procesor koji ima firmware koji se može ažurirati izravno putem Windows Updatea, što znači lakše je dodati nove značajke i mogućnosti bez kompliciranih ručnih ažuriranja u poduzeću okoliš. Ažuriranjima se može upravljati kao i svim drugim ažuriranjima za Windows 11. Ova uska integracija također znači da je Microsoft Pluton dizajniran za dobar rad sa značajkama kao što su BitLocker i Windows Hello u sustavu Windows 11. Firmware za Pluton razvili su isti ljudi iz Windows tima, tako da sve radi u tandemu.
Integracija s CPU-om također štiti uređaje od fizičkih napada, tako da je ovo sigurnosno rješenje širokog raspona za tvrtke i pojednostavljuje konfiguraciju.
Integritet koda zaštićen hipervizorom
Počevši od sljedećeg izdanja sustava Windows 11, Microsoft omogućuje integritet koda zaštićen hipervizorom (HVCI) na više uređaja sa sustavom Windows 11. Ova je značajka osmišljena kako bi zaštitila korisnike od ranjivosti upravljačkih programa, koji su glavni izvor napada zlonamjernog softvera. HVCI sprječava učitavanje zlonamjernog softvera u pakete upravljačkih programa i provjerava jesu li instalirani upravljački programi pouzdani. Koristi podatke iz Microsoftovog centra za prijavu ranjivih i zlonamjernih vozača za automatsko blokiranje upravljačkih programa koji su za koje se zna da su ranjivi i sprječava ranjive upravljačke programe iz jezgre Windowsa, tako da nikada nemaju priliku biti iskorištavali.
Pametna kontrola aplikacije
Smart App Control, prvi put uočen u Windows 11 build 22567, omogućuje Windowsu da automatski blokira pokretanje potencijalno opasnih aplikacija. Naravno, to donekle već postoji, ali ovoga puta ima još toga. SAC koristi potpisivanje koda i umjetnu inteligenciju za predviđanje potencijalno zlonamjernog ponašanja aplikacija prije nego što odluči mogu li se te aplikacije pokrenuti. Koristi se stalno ažuriranim modelom zaključivanja za određivanje sigurnosti aplikacija pomoću najnovijih podataka o prijetnjama, zajedno s certifikatima koda, kako bi se osiguralo da su aplikacije sigurne prije pokretanja. Na ovaj način korisnici se ne moraju brinuti o pokretanju potencijalno opasnih aplikacija bez njihova znanja.
Smart App Control bit će dostupan na novim uređajima koji se isporučuju sa sljedećom verzijom sustava Windows 11. Ako nadogradite s trenutne verzije, morat ćete ili resetirati računalo ili čista instalacija Windows 11 pomoću ISO-a da biste ga vidjeli.
Sigurnost vjerodajnica i računa
Microsoft također donosi neka poboljšanja ukupne sigurnosti računa u sustavu Windows 11. Kao prvo, otkrivanje krađe identiteta stavlja izravno u Windows 11 sa značajkom SmartScreen programa Microsoft Defender. Microsoft kaže da je blokirao preko 25,6 milijardi brute force napada na Aure Active Directory i presreo 35,7 milijardi phishinga e-pošte s Microsoft Defenderom za Office 365 - i to samo u prošloj godini - a sada će ta zaštita biti dostupna na OS-u razini.
Microsoft također omogućuje Credential Guard prema zadanim postavkama u sustavu Windows 11 Enterprise. Ova značajka pomaže u zaštiti uređaja od krađe vjerodajnica korištenjem tehnika kao što je pass-the-hash, a osim toga može također sprječava zlonamjerni softver da pristupi sistemskim tajnama čak i ako se njegov proces izvodi s administratorom privilegije.
Konačno, Microsoft uvodi poboljšanja u Local Security Authority (LSA) kako bi se borio protiv napada koji iskorištavaju ovu značajku za krađu korisničkih vjerodajnica. Konkretno, tvrtka to čini tako da LSA može učitavati samo provjereni i potpisani kod, tako da se zlonamjerni programi ne mogu ušuljati u proces i ukrasti vjerodajnice koje prolaze kroz LSA. Ova će dodatna zaštita ubuduće biti omogućena prema zadanim postavkama za nove Windows 11 uređaje koji se pridružuju tvrtki.
Enkripcija osobnih podataka
Naziv ove značajke prilično je jasan sam po sebi. U osnovi, enkripcija osobnih podataka osigurat će da su korisnički podaci zaštićeni enkripcijom koja se poništava samo ako je dotični korisnik prijavljen. Ovo je mogućnost platforme koju aplikacije i IT odjeli mogu koristiti kako bi osigurali zaštitu podataka u slučaju krađe uređaja. Enkripcija je povezana s Windows Hello for Business tako da se korisnici moraju prijaviti bez lozinke vjerodajnice za pristup podacima, što otežava krađu nekome s fizičkim pristupom uređaju navedeni podaci.
Zaključavanje konfiguracije
Konačno, tu je Config Lock, značajka koja je više usmjerena prema IT odjelima unutar organizacije, a zapravo je već dostupna. Prema Microsoftu, čest problem za tvrtke je da imaju ograničenu kontrolu nad uređajem nakon što ga koristi zaposlenik. Uz Config Lock, IT administratori mogu koristiti MDM pravila za nadzor ključeva registra na svakom uređaju, a ako se naprave bilo kakve promjene, Config Lock automatski ih vraća "za nekoliko sekundi", neprestano osiguravajući da se uređaj pridržava željene sigurnosti politike.
Mnoge od ovih značajki namijenjene su tvrtkama, kao što biste i očekivali, ali su svakako važne. Budući da hibridni rad postaje standard za mnoge tvrtke, ovi su koraci ključni za zadržavanje korisnika i tvrtke sigurne, posebno imajući u vidu da su se cyber napadi također povećali u posljednjih nekoliko godina godine.
Microsoft je također najavio nove Windows 11 značajke uključujući File Explorer s karticama danas. Postoje također nove značajke za Windows 365, uključujući izvanmrežni način rada.