Windows 11: новые функции безопасности и конфиденциальности

Windows 11: новые функции безопасности и конфиденциальности

Выход Windows 11 не за горами, поэтому мы проанализировали, что Microsoft изменила в операционной системе по части обеспечения безопасности и конфиденциальности. Насколько Windows 11 лучше защищает данные пользователей в сравнении с Windows 10, как эта версия ОС противостоит кибератакам?

 

 

 

 

 

  1. Введение
  2. Новые функции безопасности Windows 11
  3. Модуль безопасности TPM 2.0
  4. Windows Secured-Core PC
  5. Windows Hello
  6. Поддержка Microsoft Azure Attestation
  7. Телеметрия Windows 11
  8. Выводы

Введение

Windows 11 ещё не вышла (официальная дата релиза назначена на 5 октября 2021 года), а уже наделала много шума своей «версией для тестирования». Даже создан её симулятор. Установить её тоже уже можно, только стабильной работы пока ждать не приходится, всё-таки она предназначена для тестирования.

Хочется отметить, что статья написана до выхода официального релиза новой версии ОС, а это значит, что некоторые описанные функции или дополнения в дальнейшем могут быть улучшены или, наоборот, вычеркнуты из заявленных — как это случилось, например, с минимальными системными требованиями: изначально Windows 11 предназначалась не для всех (были заявлены процессоры не ниже 8-го поколения Intel), но блокировку установки смогли обойти. Microsoft узнала об этом и решила, что не будет предпринимать действий по ограничению установок. В блоге корпорация открестилась от возможных проблем, в том числе и с драйверами на старых ПК.

Новые функции безопасности Windows 11

В новом релизе Windows компания Microsoft делает упор на безопасность и стабильность операционной системы, отсюда и завышенные системные требования, которые предъявляются не только к вычислительному ресурсу, но и к «железу» ПК напрямую. По всей видимости, Microsoft планирует оградить будущее информационного пространства от уязвимостей, которые последние несколько лет позволяют распространяться программам-вымогателям и шифровальщикам.

Модуль безопасности TPM 2.0

TPM, или Trusted Platform Module (доверенный платформенный модуль), — это дополнительный защитный компонент. На нём может храниться информация в защищённом виде (спецификация раскрыта не полностью). В случае с Windows он как минимум помогает в хранении ключей шифрования BitLocker. В одиннадцатой версии ОС делается упор на невозможность установить её на оборудование без этого модуля (хотя в нашем динамичном мире это уже возможно, но в таком случае Microsoft не будет оказывать поддержку). При этом чип должен быть второй ревизии.

Модуль поставляется распаянным на материнской плате либо в виде отдельного физического элемента. Во втором случае необходимо смотреть на совместимость платы с ним. Также в современных процессорах есть программа эмуляции этого устройства. И вот тут наступает самое интересное: для установки Windows 11 требуется этот модуль, но в каком виде — не сказано. И будет ли поддержка программ эмуляции — тоже. Но если подойти к этому вопросу логически, то:

  • Microsoft требует модуль,
  • Microsoft требует более новые процессоры (от 8-го поколения Intel).

Почти во всех новых процессорах есть программа эмуляции TPM. Отсюда следует, что нужен либо модуль, либо процессор. Тогда в заявленных системных требованиях есть доля смысла и в таком случае физический модуль не обязателен.

Если учесть, что в открытом доступе уже имеются программы, которые могут подобрать пароль к BitLocker, Microsoft должна была проработать и усилить защиту пользователя от утечки данных, и тогда в таком требовании есть резон. Но, с другой стороны, компания не дала выбора остальным пользователям, которые размещают свои данные в облачных хранилищах или вообще не заботятся об их сохранности и конфиденциальности. Особенно это касается компаний, которые не шагают в ногу со временем и только недавно закочили переход на «десятку».

Но мы получили то, что получили, и стоит проверить наличие модуля у себя на компьютере. Для этого можно нажать «Win+R» и ввести команду «tpm.msc». Откроется окно «Управление доверенным платформенным модулем (ТРМ) на локальном компьютере». При наличии модуля отобразятся его настройки.

 

Рисунок 1. Окно настройки TPM

Окно настройки TPM

 

В нижней правой части окна отображается версия спецификации, которая по требованиям не должна быть ниже 2. Если этого нет, то либо выключена программа эмуляции в BIOS, либо установить Windows 11 «легально» не получится.

Также можно сказать, что при наличии включённой эмуляции TPM и виртуализации процессора Windows 11 устанавливается на виртуальные машины без проблем.

Windows Secured-Core PC

Попытки создать самое защищённое устройство на рынке Windows — это только попытки. Но именно такими словами оперирует компания Panasonic, когда речь заходит о Windows Secured-Core PC, или «ПК с защищённым ядром».

Что такое это защищённое ядро? На самом деле ядра (или намёка на него) нет, только название. Защита «размазана» по отдельным сервисам. Она состоит из двух частей:

  1. Защита на базе софта Windows.
  2. Защита на базе «железа» и его компонентов.

Программная часть, в свою очередь, включает в себя следующие элементы:

Защита на базе «железа» по большому счёту состоит из TPM 2.0. Каждый производитель дальше самостоятельно решает, какие методы защиты применить, и сотрудничает с Microsoft, чтобы всё это потом работало (биометрия, отпечатки пальцев и т. д.).

Такие ПК «из коробки» поставляются уже со всем предустановленным и настроенным. Теперь в этот конвейер будет включена и Windows 11, хотя не совсем понятно, при чём тут она и почему вышеперечисленное указано в перечне элементов безопасности самой операционной системы, если всё это совсем не ново и уже было в предыдущей, десятой версии.

Windows Hello

В Microsoft считают, что «...традиционные пароли небезопасны, так как их трудно запомнить и поэтому люди либо выбирают пароли, которые легко угадать, либо записывают свои пароли». Система Windows Hello направлена на «беспарольную» защиту ПК и аккаунтов.

По своей сути Windows Hello — это средство работы с биометрическими данными. Многие ноутбуки, ультрабуки и другие мобильные устройства оснащены специальными камерами или считывателями отпечатков пальцев. В таком случае действительно можно уйти от пароля и пользоваться благами этой функции.

Однако на практике у этой технологии есть ряд минусов:

  • Пароль всё равно придётся задать и запомнить. И это должна быть криптостойкая комбинация. Всё же на данный момент это — последний слой защиты.
  • При неудачных попытках считывания биометрии Windows предлагает ввести PIN-код, который состоит из цифр. Брутфорс PIN-кода значительно проще из-за ограниченного количества используемых знаков (их 10). И на практике применяются не самые сложные комбинации.
  • Это решение предназначено больше для использования в домашних условиях, нежели на предприятиях, иначе компании придётся дооснащать настольные ПК устройствами для считывания биометрии. Компании российского сегмента, которые оснащают свои рабочие места устройствами дополнительной безопасности, обычно следуют требованиям регулятора. В таких требованиях будет лицензионное аппаратное обеспечение (по уровням защиты информации ФСТЭК России), но никак не Windows Hello.

Стоит также отметить, что эта система функционирует на «десятке» — и уже слишком давно, чтобы применять к ней слово «новая».

Поддержка Microsoft Azure Attestation

Аттестация Microsoft Azure предназначена для решений, которые используются не локально. Это механизм проверки целостности и надёжности программного обеспечения, которое запускается на информационных системах. Такая проверка происходит при добавлении поставщика. Более подробно о ней можно узнать в блоге Microsoft. Описание этой системы датировано второй половиной 2020 года.

Телеметрия Windows 11

О телеметрии Windows ходят слухи ещё с выхода 10-й версии. Многие считают, что Microsoft собирает конфиденциальные данные, способные идентифицировать человека. Отчасти это правда, но только отчасти.

По словам самой корпорации, Microsoft использует данные телеметрии из Windows для выявления проблем с безопасностью и надёжностью. Это позволяет анализировать и устранять проблемы с программным обеспечением, чтобы повысить качество продукта в будущем. То есть телеметрия — это системные данные, которые загружаются компонентом «Connected User Experience и Telemetry», также известным как Universal Telemetry Client (UTC). Эта функция запущена как служба в Windows DiagTrack.

 

Рисунок 2. Служба Windows

Служба Windows

 

Перед тем как перейти к описанию телеметрии новой Windows, хотелось бы разобраться, на самом ли деле Microsoft может идентифицировать человека.

При установке Windows даёт право выбрать данные, которые будет передавать в качестве телеметрии. При широких настройках — да, Windows собирает достаточно данных, чтобы знать о пользователе практически всё.

При узких настройках телеметрии процесс сбора построен таким образом, что занимающийся этим компонент старается избежать сбора информации, которая может напрямую идентифицировать человека. Но когда Windows или приложение даёт сбой или зависает, содержимое памяти процесса, вызвавшего сбой, включается в диагностический отчёт, и этот аварийный дамп может содержать конфиденциальную информацию.

При установке Windows 11 даёт право отключить отправку следующей телеметрии:

  • Местоположение.
  • Диагностические данные (в т. ч. о посещении сайтов и об используемых приложениях; здесь присутствует примечание, что это — дополнительная информация, а есть ещё обязательная, которую не отключишь).
  • Рукописный ввод и ввод с клавиатуры.
  • Индивидуальные возможности (персональные диагностические данные).
  • Идентификатор рекламы.

 

Рисунок 3. Параметры конфиденциальности Windows 11

Параметры конфиденциальности Windows 11

 

Получается, что если не отключить передачу этой телеметрии, то Microsoft будет знать местоположение пользователя, посещаемые сайты, вводимые с клавиатуры данные, предпочтения и т. д. Но к этому нас подготовила ещё Windows 10.

Используя программу TCPView можно отследить список открытых соединений, если совсем не отключить телеметрию.

 

Рисунок 4. Список открытых соединений при максимальной телеметрии

Список открытых соединений при максимальной телеметрии

 

Если перейти в «Параметры» → «Конфиденциальность и безопасность», можно найти огромный список настроек телеметрии, которую можно отключить.

 

Рисунок 5. Настройки конфиденциальности и безопасности Windows 11

Настройки конфиденциальности и безопасности Windows 11

 

Там же находятся разрешения для приложений.

 

Рисунок 6. Разрешения для приложений в Windows 11

Разрешения для приложений в Windows 11

 

При полностью отключённой телеметрии соединений гораздо меньше.

 

Рисунок 7. Сравнение открытых соединений Windows 10 и 11

Сравнение открытых соединений Windows 10 и 11

 

На рисунке 7 представлено сравнение открытых соединений между Windows 11 (справа) и Windows 10 (слева). Отчётливо видно стабильное подключение к адресам 20.190.120.* с разными октетами. Вот что «рассказал» сервис Whois об этих IP-адресах:

NetRange: 20.192.0.0 — 20.255.255.255
CIDR: 20.192.0.0/10
NetName: MSFT
NetHandle: NET-20-192-0-0-1
Parent: NET20 (NET-20-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2017-10-18
Updated: 2017-10-18
Ref: https://rdap.arin.net/registry/ip/20.192.0.0
OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
RegDate: 1998-07-10
Updated: 2021-04-13

После продолжительного наблюдения список IP-адресов, с которыми соединяется ОС, увеличивается, и все они принадлежат Microsoft.

Время от времени возникают множественные соединения, которые быстро закрываются.

Рисунок 8. Множественные соединения

Множественные соединения

 

Конечно, не стоит забывать, что «svchost.exe» отвечает практически за любую передачу данных ОС, например за скачивание обновлений. Однако после долгого наблюдения на обеих версиях Windows можно заметить передачу данных DiagTrack.

Выводы

В статье были проанализированы заявленные функции безопасности Windows 11. Слово «новые» к ним неприменимо. Таких кардинальных новшеств, как Windows Defender в 10-й версии по сравнению с предыдущими, нет.

Возможно, стабильность работы Windows повысится, так как Microsoft ограничила установку фиксированным списком процессоров AMD, Intel и Qualcomm, но это больше походит на гонки с Apple в стабильности и производительности. Теперь в обеих компаниях софт пишется под определённое «железо».

Что касается телеметрии: остаётся всё то же, что было в Windows 10 — её можно частично отключить, но полностью не получится, придётся отлавливать передачу данных и блокировать её сторонним софтом. Да и сама Microsoft негласно заявляет, что существуют обязательные диагностические данные, передача которых не отключается. Передаётся всё это в зашифрованном виде, поэтому только Microsoft известно, что внутри этих пакетов.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru