Как достичь безопасности уровня Windows 11 в Windows 10

Через несколько недель появится Windows 11. Стоит ли вам перейти на него? Позвольте задать вопрос: «А смысл? Зачем?».

В июне 2021 года была представлена Windows 11, многие были в восторге от ее обновленного пользовательского интерфейса, и бесчисленные энтузиасты ПК поспешили загрузить сборки новой ОС Windows Insider Developer Channel.

Но, как оказывается, не все так просто. Новая ОС предъявляет повышенные требования к ПК для поддержки нового оборудования и функций безопасности на основе виртуализации. Эти функции критически важны для защиты как потребительских, так и бизнес-задач от более сложных вредоносных программ и реализации новых угроз, которые в настоящее время постоянно появляются.

Но ведь все эти функции уже встроены в Windows 10, если вы используете версию 20H2 (Windows 10 October 2020 Update). Как потребитель, малый бизнес или предприятие, вы можете воспользоваться этими преимуществами, развернув групповую политику или просто щелкнув меню безопасности устройства Windows 10, чтобы включить их. Вам не нужно ждать выхода Windows 11 или покупать новый компьютер.

Функция 1: TPM 2.0 и безопасная загрузка

Trusted Platform Module (TPM) — это технология, предназначенная для обеспечения аппаратных криптографических функций, связанных с безопасностью. Если у вас есть ПК, выпущенный в течение последних пяти лет, скорее всего, на вашей материнской плате есть микросхема TPM, поддерживающая версию 2.0. Вы можете определить это, открыв Диспетчер устройств и развернув «Устройства безопасности». Если написано «Trusted Platform Module 2.0», все в порядке.

Так что же на самом деле делает TPM? Он используется для создания и хранения криптографических ключей, уникальных для вашей системы, включая ключ шифрования RSA, уникальный для самого TPM вашей системы. Помимо того, что они традиционно используются со смарт-картами и VPN , TPM могут применяться для поддержки процесса безопасной загрузки. Он позволяет реализовать контроль целостности загрузочного кода ОС, включая микропрограммное обеспечение и отдельные компоненты операционной системы, чтобы убедиться, что они не были скомпрометированы.

Вам ничего не нужно делать, чтобы это работало; он просто работает, если он не отключен в вашем UEFI. Ваша организация может выбрать развертывание безопасной загрузки в Windows 10 с помощью групповой политики или корпоративного решения на основе MDM, такого как Microsoft Endpoint Manager.

Хотя большинство производителей поставляют свои ПК с включенным TPM, у некоторых он может быть отключен, поэтому, если он не отображается в диспетчере устройств или отображается как отключенный, загрузитесь в настройках прошивки UEFI и посмотрите.

Если TPM никогда не был подготовлен для использования в вашей системе, просто активируйте его, запустив tpm.msc из командной строки.

Функция 2: безопасность на основе виртуализации (VBS) и HVCI

В то время как TPM 2.0 был распространен на многих ПК уже шесть лет, функция, которая действительно заставляет правильно обеспечить режим безопасности в Windows 10 и Windows 11, — это HVCI или целостность кода, защищенная гипервизором , также называемая целостностью памяти или изоляцией ядра. Изоляция, как она отображается в меню безопасности устройства Windows.

Хотя это требуется для Windows 11, вам необходимо включить его вручную в Windows 10. Просто нажмите «Core Isolation Details», а затем включите целостность памяти с помощью тумблера. Для включения вашей системы может потребоваться около минуты, так как ей необходимо проверить каждую страницу памяти в Windows, прежде чем включать ее.

Включение или отключение изоляции ядра и целостности памяти с помощью реестра

Вы можете для включения использовать реестр с помощью следующих шагов:

1. Нажмите Win+R для открытия диалога «Run».

2. В строке наберитеregedit и нажмите клавишу Enter.

3. Нажмите Да.

4. Выберите путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios.

5. Нажмите правую клавишу Scenarios key > New > Key, и назовите его HypervisorEnforcedCodeIntegrity.

6. Нажмите правую клавишу мыши > New > DWORD (32-bit) Value.

7. Выберите Enabled.

8. Выберите значение 1 для Включить and 0 для Выключить.

9. Нажмите OK.

10. Перезагрузите компьютер.

Эта функция доступна только на 64-разрядных процессорах с аппаратными расширениями виртуализации , такими как Intel VT-X и AMD-V . Первоначально реализованные в микросхемах серверного класса еще в 2005 году, они присутствуют почти во всех настольных системах, по крайней мере, с 2015 года или Intel поколения 6 (Skylake). Однако для этого также требуется преобразование адресов второго уровня (SLAT), которое присутствует в Intel VT-X2 с расширенными таблицами страниц (EPT) и AMD Rapid Virtualization Indexing (RVI).

Существует дополнительное требование HVCI, согласно которому любые устройства ввода-вывода, поддерживающие прямой доступ к памяти (DMA), располагаются за IOMMU (блок управления памятью ввода-вывода). Они реализованы в процессорах, поддерживающих инструкции Intel VT-D или AMD-Vi.

Это звучит как длинный список требований, но суть в том, что все в порядке, если Device Security сообщает, что эти функции присутствуют в вашей системе.

Разве виртуализация не используется в основном для повышения плотности рабочей нагрузки на серверах центров обработки данных или разработчиками программного обеспечения для изоляции своих тестовых настроек на своих настольных компьютерах или для запуска чужих операционных систем, таких как Linux? Да, но виртуализация и контейнеризация/песочница все чаще используются для обеспечения дополнительных уровней безопасности в современных операционных системах, включая Windows.

В Windows 10 и Windows 11 VBS или система безопасности на основе виртуализации использует Microsoft Hyper-V для создания и изоляции защищенной области памяти от ОС. Эта защищенная область используется для запуска нескольких решений безопасности, которые могут блокировать устаревшие уязвимости в операционной системе (например, от немодернизированного кода приложения) и остановить эксплойты, которые пытаются обойти эту защиту.  

HVCI использует VBS для усиления соблюдения политики целостности кода, проверяя все драйверы режима ядра и двоичные файлы перед запуском и предотвращая загрузку неподписанных драйверов и системных файлов в системную память. Эти ограничения защищают жизненно важные ресурсы ОС и активы безопасности, такие как учетные данные пользователя — поэтому, даже если вредоносное ПО получает доступ к ядру, степень опасности эксплойта может быть ограничена и сдерживаться, поскольку гипервизор может предотвратить выполнение вредоносным ПО кода или доступ к секретам.

VBS выполняет аналогичные функции и для кода приложения - он проверяет приложения перед их загрузкой и запускает их только в том случае, если они исходят от утвержденных лиц, подписывающих код, делая это путем назначения разрешений для каждой страницы системной памяти. Все это выполняется в защищенной области памяти, которая обеспечивает более надежную защиту от вирусов ядра и вредоносных программ.

Думайте о VBS как о новом сотруднике по защите кода Windows, о вашем ядре и приложении Robocop, которые находятся в защищенном блоке памяти, который активируется вашим процессором с поддержкой виртуализации.

Функция 3: Microsoft Defender Application Guard (MDAG)

Одна особенность, с которой не знакомы многие пользователи Windows, - это Microsoft Defender Application Guard или (MDAG).

Это еще одна технология, основанная на виртуализации (также известная как контейнеры Hyper-V «Криптон»), которая в сочетании с последней версией Microsoft Edge (и текущими версиями Chrome и Firefox с использованием расширения) создает изолированный экземпляр памяти вашего браузера, обеспечивая тем самым предотвращение взлома вашей системы и корпоративных данных ненадежными веб-сайтами.

В случае заражения браузера в результате атак сценариев или вредоносных программ контейнер Hyper-V, который работает отдельно от операционной системы хоста, остается изолированным от критических системных процессов и корпоративных данных.

MDAG сочетается с настройками сетевой изоляции, настроенными для вашей среды, для определения границ вашей частной сети, как это определено групповой политикой вашего предприятия.

Помимо защиты сеансов браузера, MDAG также можно использовать с Microsoft 365 и Office для предотвращения доступа файлов Word, PowerPoint и Excel к значимым ресурсам, таким как корпоративные учетные записи и важные данные. Эта функция была выпущена в рамках общедоступной предварительной версии в августе 2020 года для клиентов Microsoft 365 E5.

MDAG, который является частью Windows 10 Professional, Enterprise и Education, активируется с помощью меню «Функции Windows» или простой команды PowerShell; для этого не требуется включение Hyper-V.