Microsoft затруднила вредоносам повышение прав в Windows 11 24H2

Яков Шпунт 20 Ноября 2024 - 10:44

Домашние пользователи

Корпорации

Windows

Microsoft

Защита персональных компьютеров

Защита персональных данных

...

Microsoft затруднила вредоносам повышение прав в Windows 11 24H2

Microsoft анонсировала изменения в механизмах безопасности, которые появятся в Windows 11 24H2. Наиболее важным из них являются средства, предотвращающие использование багов повышения прав, которые часто применяют злоумышленники в ходе кибератак.

Задачи, которые требуют более высоких системных привилегий, могут проводиться с помощью одноразовых токенов.

«Если для проведения той или иной операции, например установки приложений, требуются права администратора, пользователю предлагается безопасно авторизовать изменение с помощью Windows Hello. Windows создает временный изолированный токен администратора для выполнения работы. Этот временный токен немедленно уничтожается по завершении задачи, гарантируя, что права администратора не сохранятся», — отметил Дэвид Уэстон, вице-президент Microsoft по корпоративным технологиям и безопасности Windows.

«Защита администратора помогает гарантировать, что пользователи, а не вредоносные программы или злоумышленники сохраняют контроль над системой. У хакеров больше не будет автоматического прямого доступа к ядру или другим критически важным системам безопасности без специальной авторизации Windows Hello».

При этом Windows Hello будет усилена технологиями ключей доступа – системой многофакторной аутентификации в одно касание (FIDO) без паролей. Ее применение практически гарантирует от неавторизованного доступа к ресурсам, которые защищены с помощью этой технологии, причем ее применение создает для пользователя минимум неудобств.

Раньше источником многих проблем с безопасностью была подсистема печати, которая обладает высоким уровнем привилегий. Разработчики драйверов принтеров игнорировали часть требований к безопасности. В итоге ее активно использовали злоумышленники. По оценке специалиста Microsoft Джонатана Нормана, 9% от всех инцидентов связаны с попытками использования подсистемы печати Windows в злонамеренных целях.

Кроме того, в Windows 11 24H2 обещают расширить функциональность шифрования личных данных. При включении соответствующей опции, будут зашифрованы все документы, находящиеся в каталогах Рабочий стол, Документы и Изображения, в результате чего доступ к ним может получить только их владелец.

Microsoft также начинает постепенную замену подсистемы печати в пользу Windows Protected Print Mode (режима защищенной печати Windows). Пока его поддерживают только устройства, сертифицированные Mopria.

Хотпатчинг в Windows 11 24H2 позволяет обновлять процессы, уже загруженные в оперативную память. Это сократит количество перезагрузок в ходе обновлений.

Более того, администраторы получат больше возможностей ограничить запуск ненадёжных приложений с помощью политик Smart App Control и App Control для бизнеса. При этом в перечень доверенных можно добавлять приложения, неизвестные Microsoft, в том числе самописные. Также предусмотрена возможность защиты конфигурации системы от изменений и возможность автоматически вернуть предпочтительную.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 19:17

Корпорации

Printum и РЕД АДМ создают единый контур управления безопасной печатью

Российская система управления печатью Printum и система централизованного управления ИТ-инфраструктурой РЕД АДМ объявили о полной технической совместимости. Интеграция позволяет выстроить единый контур управления доступом, учётными записями и печатью в корпоративных инфраструктурах — от небольших офисов до распределённых сетей с множеством филиалов.

Во многих компаниях печать и сканирование до сих пор существуют как отдельная, «параллельная» инфраструктура: с собственными настройками, администраторами и рисками утечек.

Новая интеграция меняет этот подход. Управление печатью становится частью общей доменной политики — наряду с доступом к системам, сервисам и корпоративным ресурсам.

Теперь политики печати, сканирования и копирования можно напрямую связывать с ролями и группами пользователей, а доступ назначать и отзывать централизованно — через те же механизмы, которые используются для управления доменом и объектами ИТ-инфраструктуры. Это снижает количество «слепых зон» и упрощает администрирование.

Совместная дорожная карта Printum и РЕД АДМ предполагает более глубокую интеграцию. Элементы управления печатью будут доступны непосредственно в интерфейсе РЕД АДМ, а изменения в ролях и группах автоматически будут отражаться в правах на печать, сканирование и копирование. Администратору не потребуется поддерживать отдельные инструменты или политики — всё управление будет встроено в общую доменную структуру.

Для корпоративных заказчиков это означает переход к более унифицированной модели администрирования. Все ключевые операции выполняются через единый веб-интерфейс РЕД АДМ, а печать становится полноценной частью системы контроля доступа. Интеграция также рассчитана на масштабирование: решение подходит как для небольших организаций, так и для инфраструктур федерального уровня, включая среды с несколькими доменами.

Отдельно отмечается поддержка гетерогенных инфраструктур. Printum и РЕД АДМ могут работать в средах со смешанным набором систем на базе Linux и Windows, а также выстраивать доверительные отношения с Microsoft Active Directory, что упрощает поэтапную миграцию с зарубежных решений.

В Printum называют интеграцию логичным шагом в сторону более централизованного и управляемого подхода к печати, а в РЕД СОФТ подчёркивают, что совместимость расширяет возможности РЕД АДМ как универсального инструмента управления ИТ-инфраструктурой.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »