Безопасность с Microsoft

Security, Identity and Access Management

Windows 8.1 - что нового в части безопасности

Windows 8.1 - что нового в части безопасности

  • Comments 2
  • Likes

 

Как нам известно релиз Windows 8.1 не за горами и версия Preview доступна уже сейчас. В соответствии с тематикой блога мы рассмотрим нововведения в части технологий, относящихся к ИБ.

 

При знакомстве с нововведениями стоит иметь в виду, что большинство из них относится не только к традиционным ПК, но и к планшетам на базе Windows RT.

 

Workplace join - централизованное управление устройствами, не включенными в домен

  • При совместном использовании Windows Server 2012R2 и Windows 8.1 появляется возможность применять политики к устройствам, не включенным в домен
  • Для получения доступа к корпоративным ресурсам с собственного ПК или планшета пользователь должен согласиться что к его устройству будут применены корпоративные политики
  • С аналогичным сценарием многие из нас сталкиваются при подключении мобильного телефона к корпоративному серверу Exchange. Перед тем, как получить доступ к почтовому ящику мы соглашаемся с тем, что на устройстве нужно настроить ПИН-код, соответствующий требованиям политики, и полученные данные будут удалены с устройства по команде администратора

Выборочное удаление служебных данных с устройства

  • Удаление данных и настройка политик может осуществляться как с помощью MDM-решений, так и с помощью Exchange
  • Данную функциональность должно поддерживать и ПО на стороне клиента, например Mail
  • Существует возможность сделать данные недоступными, не удаляя их безвозвратно

Шифрование данных, включенное по умолчанию

  • По умолчанию осуществляется шифрование системного раздела при первом входе администратора под учётной записью Microsoft (Microsoft account)
  • Ключ шифрования сохраняется на SkyDrive пользователя
  • При необходимости осуществляется “апгрейд” шифрования до BitLocker

Улучшенная подержка биометрии

  • Поддержка биометрических устройств на уровне ОС
  • Поддержка биометрической аутентификации на уровне входа в ОС, приложений и отдельных действий (покупка в контента в магазинах, подтверждение UAC, доступ к цифровым сертификатам и т.д.)

Наиболее интригующие возможности (к сожалению без достаточного количества подробностей)

  • “SmartScreen для сертификатов” – возможность обнаруживать скомпрометированные публичные цифровые сертификаты в режиме онлайн
  • Provable PC Health – облачный сервис, позволяющий с помощью Defender определять уровень защищённости ПК, хранить информацию о нём в TPM и уведомлять пользователя при наличии проблем
  • Поведенческий анализ сетевого трафика (NBAD) в Windows Defender

Прочие возможности

  • Улучшенная поддержка виртуальных смарт-карт, в том числе возможность запроса и получения смарт-карт для устройств, не включенных в домен
  • Поддержка интерфейса управления мобильными устройствами OMA-DM API для лучшей интеграции с производителями MDM-решений
  • Возможность передачи в IE11 компонентов ActiveX для сканирования антивирусом перед их исполнением

Более подробно с нововведениями в части ИБ можно ознакомиться по следующим ссылкам

Keep tuned ;)

Comments
  • Не смешите данная система не безопасна. (Skydrive, хранение документов в облаке по умолчанию) То что хранится на сторонних серверах уже не комерческая тайна. Кому это надо корпоративному пользователю? Какой идиот будет хранить свои документы на чюжих серверах??? :-) Единственный выход в данном случае вивисекция мозгов, тоесть разбор системы по строчкам кода, для отключения потенциально не безопасных функций. :-) Так что делаем выводы....

  • Единственное упоминание о SkyDrive в этом посте - хранение резервного ключа шифрования жёсткого диска. При этом речь идёт только о домашних пользователях, которые гораздо беспечнее корпоративных. Предлагается упростить процесс шифрования диска на случай потери или кражи устройства, одновременно сохраняя копию ключа на SkyDrive, чтобы не потерять её.

    Даже идя по самому худшему варианту сценария, когда SkyDrive пользователя скомпрометирован, например подбором пароля, то ключ не принесёт особой пользы. Для того чтобы получить доступ к локальным данным нужно ещё и украсть жёсткий диск :)

    Опять же, никто не мешает после завершения процесса шифрования распечатать ключ на листе А4, положить его на антресоль и удалить файл из SkyDrive.

    P.S. Зачем облачные сервисы корпоративным пользователям? Например я через SkyDrive и OneNote выкладываю неконфиденциальные материалы для заказчиков и партнёров. Это один из десятков сценариев

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment