Windows 11 מקבל שיפורי אבטחה חדשים לעידן העבודה ההיברידית

מיקרוסופט מבצעת כמה שיפורים גדולים באבטחת Windows 11 עם תכונות וחומרה חדשות, כולל בקרת אפליקציות חכמה.

מיקרוסופט הכריזה על מערך של שיפורי אבטחה שמגיעים ל-Windows 11 כדי להסיר את הדאגות מהעבודה ההיברידית. התכונות נועדו לעזור לעסקים ולמשתמשים להיות בטוחים יותר בתוכנה שהם מריצים, בין אם זו מערכת ההפעלה עצמה או האפליקציות שלה, וזה חשוב במיוחד בתקופה שבה משתמשים רבים עובדים רחוק מ- מִשׂרָד. רבים מהדברים האלה אינם חדשים לגמרי, אבל הם או שיבואו בקרוב או זמינים לאחרונה.

מיקרוסופט פלוטון

מעבד האבטחה פלוטון של מיקרוסופט הוא חומרה חדשה שמצורפת למכשירים חדשים, והיא משתלבת ישירות עם המעבד כמו גם עם Windows 11. למעשה, זהו מעבד האבטחה היחיד שיש לו קושחה הניתנת לעדכון ישירות דרך Windows Update, מה שהופך אותו קל יותר להוסיף תכונות ויכולות חדשות ללא עדכונים ידניים מסובכים בארגון סביבה. ניתן לנהל עדכונים בדיוק כמו כל עדכון אחר עבור Windows 11. השילוב ההדוק הזה גם אומר ש- Microsoft Pluton תוכנן לעבוד היטב עם תכונות כמו BitLocker ו- Windows Hello ב-Windows 11. הקושחה עבור Pluton פותחה על ידי אותם אנשים בצוות Windows, כך שהכל עובד במקביל.

האינטגרציה עם ה-CPU מגינה גם על מכשירים מפני התקפות פיזיות, כך שמדובר בפתרון אבטחה רחב היקף לעסקים והוא מפשט את התצורה.

שלמות קוד מוגן Hypervisor

החל מהגרסה הבאה של Windows 11, מיקרוסופט מאפשרת Hypervisor-Protected Code Integrity (HVCI) במכשירי Windows 11 נוספים. תכונה זו נועדה להגן על משתמשים מפני פגיעויות של נהגים, שהיו מקור עיקרי להתקפות תוכנות זדוניות. HVCI מונע טעינת תוכנות זדוניות על חבילות מנהלי התקנים ומוודא שמנהלי התקנים המותקנים אמינים. הוא משתמש בנתונים ממרכז הדיווח של מנהלי התקנים פגיעים וזדוניים של Microsoft כדי לחסום אוטומטית מנהלי התקנים כאלה ידוע כפגיע, וזה מונע מנהלי התקנים פגיעים מליבת Windows, כך שלעולם אין להם את ההזדמנות להיות מְנוּצָל.

בקרת אפליקציה חכמה

בקרת אפליקציות חכמה, שזוהתה לראשונה ב-Windows 11 build 22567, מאפשרת ל-Windows לחסום אוטומטית הפעלת אפליקציות שעלולות להיות מסוכנות. כמובן שבמידה מסוימת זה כבר קיים, אבל הפעם יש בזה יותר. SAC משתמש בחתימת קוד ובינה מלאכותית כדי לחזות התנהגות זדונית פוטנציאלית מאפליקציות לפני שמחליטים אם אפליקציות אלו יכולות לפעול. הוא משתמש במודל מסקנות המתעדכן כל הזמן כדי לקבוע את האבטחה של אפליקציות המשתמשות במודיעין האיומים העדכני ביותר, יחד עם אישורי קוד, כדי להבטיח שהאפליקציות בטוחות לפני הפעלתן. בדרך זו, המשתמשים לא צריכים לדאוג להפעיל אפליקציות שעלולות להיות מסוכנות ללא ידיעתם.

בקרת אפליקציות חכמה תהיה זמינה במכשירים חדשים הנשלחים עם הגרסה הבאה של Windows 11. אם תשדרג מהגרסה הנוכחית, תצטרך לאפס את המחשב או התקנה נקייה של Windows 11 באמצעות ISO כדי לראות את זה.

אבטחת אישורים וחשבון

מיקרוסופט גם מבצעת כמה שיפורים באבטחת החשבון הכוללת ב-Windows 11. ראשית, זה אפיית זיהוי דיוג ישירות לתוך Windows 11 עם תכונת SmartScreen של Microsoft Defender. מיקרוסופט אומרת שהיא חסמה יותר מ-25.6 מיליארד התקפות כוח גס על Aure Active Directory ויירטה 35.7 מיליארד דיוג מיילים עם Microsoft Defender עבור Office 365 - וזה רק בשנה האחרונה - ועכשיו ההגנה הזו תהיה זמינה במערכת ההפעלה רָמָה.

Microsoft גם מפעילה את Credential Guard כברירת מחדל ב-Windows 11 Enterprise. תכונה זו עוזרת להגן על מכשירים מפני גניבת אישורים באמצעות טכניקות כמו העברת ה-hash, בנוסף היא יכולה גם למנוע מתוכנות זדוניות לגשת לסודות המערכת גם אם התהליך שלה פועל עם מנהל המערכת הרשאות.

לבסוף, מיקרוסופט מבצעת שיפורים ברשות האבטחה המקומית (LSA) על מנת להילחם בהתקפות הממנפות תכונה זו כדי לגנוב אישורי משתמש. באופן ספציפי, החברה עושה זאת כך ש-LSA יוכל לטעון רק קוד מהימן וחתום, כך שתוכניות זדוניות לא יכולות להתגנב לתהליך ולגנוב אישורים שעוברים דרך LSA. הגנה נוספת זו תופעל כברירת מחדל בעתיד עבור התקני Windows 11 חדשים שהצטרפו לארגון.

הצפנת נתונים אישיים

השם של תכונה זו די מובן מאליו. בעיקרו של דבר, הצפנת נתונים אישיים תבטיח שנתוני המשתמש מוגנים על ידי הצפנה שתוסר רק אם המשתמש בהתאמה מחובר. זוהי יכולת פלטפורמה שבה אפליקציות ומחלקות IT יכולות להשתמש כדי להבטיח שהנתונים מוגנים במקרה של גניבת מכשיר. ההצפנה מקושרת ל-Windows Hello for Business כך שהמשתמשים צריכים להיכנס ללא סיסמה אישורים כדי לגשת לנתונים, מה שמקשה על מישהו עם גישה פיזית למכשיר לגנוב נתונים אמרו.

נעילת תצורה

לבסוף, יש Config Lock, שהיא תכונה שמכוונת יותר למחלקות IT בתוך ארגון, והיא למעשה זמינה כבר. לפי מיקרוסופט, בעיה נפוצה לעסקים היא שיש להם שליטה מוגבלת על מכשיר ברגע שהוא נמצא בשימוש על ידי עובד. עם Config Lock, מנהלי IT יכולים להשתמש במדיניות MDM כדי לנטר את מפתחות הרישום בכל מכשיר, ואם יבוצעו שינויים כלשהם, Config Lock מחזיר אותם אוטומטית "בשניות", ומבטיח כל הזמן שהמכשיר עומד באבטחה הרצויה מדיניות.


רבות מהתכונות הללו מכוונות לעסקים, כפי שהיית מצפה, אבל הן בהחלט חשובות. עם עבודה היברידית שהופכת לסטנדרט עבור חברות רבות, השלבים הללו חיוניים בשמירה על משתמשים ועסקים בטוחים, במיוחד בהתחשב בכך שהתקפות סייבר התגברו גם הן בשנתיים האחרונות שנים.

מיקרוסופט הכריזה גם על תכונות חדשות של Windows 11 כולל סייר קבצים עם כרטיסיות היום. יש גם תכונות חדשות עבור Windows 365, כולל מצב לא מקוון.