為什麼Windows 10是最安全的Windows

在首次亮相三年後，Windows 10有望超越Windows 7，成為最受歡迎的Windows作業系統版本。微軟在Windows 10中引入了基於虛擬化的安全功能，即Device Guard和Credential Guard，並在隨後的更新中，為作業系統添加了其他基於虛擬化的保護。

微軟解決了使用Windows 10、密碼管理和保護作業系統免受攻擊者攻擊的企業面臨的兩大挑戰。Windows Defender於2017年更名為Windows Security，現在包括反惡意軟體和威脅檢測、防火牆和網絡安全、應用程式和瀏覽器控制、設備和帳戶安全以及設備運行狀況。Windows安全性在Microsoft 365服務之間共享狀態信息，並與Windows Defender Advanced Threat Protection（Microsoft的基於雲的取證分析工具）進行互操作。

Device Guard和Credential Guard仍然是Windows 10的兩個突出的安全功能，它們保護核心內核免受惡意軟體的侵害，並防止攻擊者遠程控制機器。微軟還在Windows安全保護傘下對其他基於虛擬化的保護措施進行了分組，例如Windows Defender Application Guard。Windows Defender高級威脅防護系統完善了Windows 10企業客戶可用的分析。微軟已經考慮了很多針對企業客戶的攻擊，並且正在推動安全性突飛猛進。

Device Guard依賴於Windows 10的基於虛擬化的安全性，僅允許受信任的應用程式在設備上運行。Credential Guard通過在基於硬體的虛擬環境中隔離它們來保護企業身份。Microsoft隔離了虛擬機中的關鍵Windows服務，以阻止攻擊者篡改內核和其他敏感進程。藉助Application Guard，Microsoft Edge可在隔離的Hyper-V啟用容器中打開不受信任的網站，從而保護主機作業系統免受潛在惡意站點的侵害。這些功能依賴於Hyper-V已經使用的相同管理程序技術。

反病毒公司Sophos Canada的高級安全策略師Chester Wisniewski表示，使用基於硬體的虛擬化來擴展白名單和保護憑據是微軟的「明智之舉」。

一、鎖定的應用程式

Device Guard依靠硬體和軟體來鎖定計算機，以便它只能運行受信任的應用程式。應用程式必須具有來自特定軟體供應商的有效加密籤名。Device Guard假定所有軟體都是可疑的，並依賴於企業來決定哪些軟體是可信任的。

雖然有報導稱惡意軟體代碼編寫者竊取證書以籤署惡意軟體，但絕大多數惡意軟體都是未籤名的代碼。Device Guard對籤名策略的依賴將阻止大多數惡意軟體攻擊。

通過反惡意軟體防禦，這是一種防禦零日攻擊的好方法。

雖然這種方法與蘋果公司的App Store類似，但微軟認識到企業需要各種各樣的應用程式。企業可以籤署自己的軟體，而無需更改代碼，以及他們知道和信任的應用程式，他們也可以籤署這些應用程式。通過這種方式，組織可以創建受信任應用程式列表，而與開發人員是否從Microsoft獲得有效籤名無關。

這使組織能夠控制Device Guard認為值得信賴的源。Device Guard附帶的工具可以輕鬆籤署可能最初未由軟體供應商籤名的Universal甚至Win32應用程式。微軟正在尋求在完全鎖定和保持一切開放之間的中間立場，使組織能夠「擁有自己的蛋糕並吃掉它們」。

Device Guard不僅僅是另一種白名單機制，它以實際有效的方式處理白名單，因為信息受虛擬機保護。也就是說，惡意軟體或具有管理員權限的攻擊者無法篡改策略檢查。

Device Guard隔離Windows服務，以驗證驅動程序和內核級代碼在虛擬容器中是否合法。即使惡意軟體感染了計算機，它也無法訪問該容器以繞過檢查並執行惡意負載。Device Guard超越了舊的AppLocker功能，具有管理權限的攻擊者可以訪問該功能。只有受信任籤名者籤署的更新策略才能更改已在設備上設置的應用程式控制策略。

Windows Defender ATP是一款基於雲的控制臺，用於對威脅和攻擊進行取證分析，可讓企業將遙測數據從工作站上傳到雲服務，並監控橫向移動，勒索軟體和其他常見攻擊。管理員可以使用威脅情報API來組合遙測信息，防病毒檢測和Device Guard事件，以構建自定義警報。

對於Windows來說，把它放在盒子裡是令人興奮的。它可能成為企業標準。

二、隔離秘密

Credential Guard可能不像Device Guard那樣令人興奮，但它解決了企業安全的一個重要方面，它將域憑據存儲在虛擬容器中，遠離內核和用戶模式作業系統。這樣，即使計算機受到攻擊，攻擊者也無法使用憑據。

高級持久性攻擊依賴於竊取域和用戶憑據以在網絡中移動和訪問其他計算機的能力。通常，當用戶登錄計算機時，其散列憑據存儲在作業系統的內存中。以前版本的Windows在本地安全機構中存儲憑據，作業系統使用遠程過程調用訪問信息。潛伏在網絡上的惡意軟體或攻擊者能夠竊取這些散列的憑據並將其用於傳遞哈希攻擊。

通過在虛擬容器中隔離這些憑據，Credential Guard可以防止攻擊者竊取哈希，限制他們在網絡中移動的能力。Credential Guard保護NTLM密碼哈希值，Kerberos票證授予票證以及應用程式存儲的憑據作為來自攻擊者的域憑據。

三、在容器中運行

Windows Defender Application Guard使企業管理員能夠控制Microsoft Edge瀏覽器識別和阻止危險網站的方式。Edge在隔離的啟用Hyper-V的容器中打開不受信任的站點，從而保護主機作業系統免受潛在惡意站點的攻擊。隔離容器沒有用戶數據，因此該虛擬環境中的攻擊者無法獲取用戶的憑據。啟用後，Application Guard將允許企業阻止外部網站，限制列印、限制剪貼板的使用並隔離瀏覽器以僅使用本地網絡資源。

Application Guard最初適用於Windows 10 Enterprise，現在還支持Internet Explorer for Windows 10 Pro版本，前提是滿足硬體要求。

微軟的實施可能不像某些供應商那麼容易，而且微軟可能沒有花哨的儀錶板，但是要包含這些安全功能（Credential Guard、Device Guard、Microsoft Hello雙因素身份驗證和BitLocker）。這是一個作業系統值得稱之為「企業」的標題和非常難以攻擊的目標。

四、Windows 10尚不適合所有人

令人興奮的功能不足以刺激採用。許多企業都沒有停止升級到Windows 10。這種不情願源於預先需要的大量投資，包括更好的硬體和新的組策略設置。然而，最新轉向Windows 10反映了Windows 7將於2020年1月進入生命周期的現實，即使支持窗口被擴展，組織也必須計劃硬體刷新以支持Windows 10。

Device Guard和Credential Guard的組合可以大大有助於鎖定環境並阻止APT攻擊，但硬體要求非常高。要啟用Device Guard和Credential Guard，這些計算機需要安全啟動、支持64位虛擬化、統一可擴展固件接口（UEFI）固件和可信平臺模塊（TPM）2.0晶片。還建議使用UEFI鎖定來防止攻擊者通過修改註冊表來禁用UEFI。在虛擬機上啟用Credential Guard還有其他要求，包括64位CPU、CPU虛擬化擴展和擴展頁表以及Windows Hypervisor。Application Guard需要在64位計算機上使用擴展頁表（也稱為二級地址轉換，SLAT）、以及Intel VT-x擴展或AMD-V。

只有企業硬體，而不是消費者PC，才包含此類功能。例如，聯想ThinkPad和戴爾Latitude等商用筆記本電腦通常都有這些規格，但聯想Yoga 3 Pro這樣的消費者型號卻沒有。僅當計算機具有帶虛擬化擴展的處理器（例如Intel VT-x和AMD-V）時，才能使用虛擬機管理程序級別的保護。

其他Windows 10安全功能具有不同的硬體要求。支持面部和指紋識別的Windows Hello通常需要額外的硬體。Windows Hello現在支持由Azure Active Directory管理的Windows 10設備的FIDO 2.0身份驗證，現在可以選擇在主登錄屏幕中使用Windows Hello Face、指紋或PIN選項。

經常在現場工作或全年旅行的員工更有可能選擇更輕便的筆記本電腦，大多數超極本都沒有內置TPM。

硬體並不是入門的唯一障礙，大多數組織還需要對基礎架構和流程進行更改。許多IT團隊目前不使用UEFI或安全啟動，因為它們影響現有的工作流程，並且有一些單點登錄平臺與UEFI不能很好地兼容。IT可能會擔心使用安全啟動來鎖定計算機，在設置時更容易擦除機器並加載庫存企業圖像。同樣，某些計算機可能會運行具有無法升級的特定要求的關鍵應用程式。

幸運的是，Device Guard和Credential Guard不需要做出全有或全無的決定。IT可以構建一個新的域，並啟用Device Guard和Credential Guard保護，並移動滿足硬體要求的用戶。無法升級的計算機可以保留在現有域中。

Microsoft還認識到許多組織都具有不同Windows版本的混合環境。很少有人可以聲稱已將其整個基礎架構移至Windows 10。Windows Defender ATP最初僅適用於Windows E5或Microsoft Office 365 E5訂閱，但現在對Windows 7 SP1和Windows 8.1提供了低級支持。

很少有企業認為目前的企業Windows安全狀態是可以接受的。Device Guard和Credential Guard實際上提供了一條前進的道路，儘管需要大量投資。在Windows 10中，微軟正在告訴企業，「如果你想要好的技術，你需要做好安全」。