微軟的下一代操作系統(tǒng)Windows 10即將于今年7月29日向現(xiàn)有Windows 7及Windows 8.1用戶免費(fèi)開(kāi)放。不過(guò)Windows企業(yè)版的客戶們還需要等到今年晚些時(shí)候才能迎來(lái)屬于自己的解決方案。

在微軟新一代Windows 10操作系統(tǒng)的全新主要安全特性當(dāng)中，我們赫然看到了應(yīng)用程序?qū)彶榕c生物認(rèn)證兩項(xiàng)標(biāo)題。軟件巨人在今天的公告中指出，這一切都將隨著Windows 新版本于今年7月29日的免費(fèi)發(fā)布被交付至現(xiàn)有Windows 7及Windows 8用戶手中。

Windows 10的來(lái)臨使得一切關(guān)于Windows即將消亡——特別是考慮到微軟在Windows 8版本中武斷地直接推出磁貼界面并移除開(kāi)始菜單的情況——的傳聞消弭于無(wú)形，或者說(shuō)至少暫時(shí)平息了下來(lái)。除了我們所喜愛(ài)的開(kāi)始菜單將會(huì)強(qiáng)勢(shì)回歸、昵稱“小娜”的Cortana個(gè)人助手上線以及名為Edge的更新、更快、更具個(gè)性的瀏覽器方案的亮相，微軟還會(huì)在Windows 10當(dāng)中引入一系列全新安全功能——而且其中大部分將直接登陸Windows 10的首發(fā)版本。

Windows安全專家Marc Maiffret指出，隨著Windows 10安全功能與全新Windows Store中應(yīng)用程序認(rèn)證與審查機(jī)制的結(jié)合，微軟公司正著手將桌面生態(tài)系統(tǒng)推向與智能手機(jī)類似的新方向——這對(duì)于安全工作而言無(wú)疑算是一個(gè)好消息。“其中包含不少有趣的安全機(jī)制，我們可以利用其在安全保障工作中更好地控制環(huán)境內(nèi)的應(yīng)用程序與代碼，”他解釋稱。

1. Device Guard

微軟公司的全新Device Guard旨在對(duì)全部嘗試訪問(wèn)Windows 10設(shè)備及其網(wǎng)絡(luò)體系的應(yīng)用程序進(jìn)行審查，從而徹底阻斷零日攻擊的出現(xiàn)。它基本上會(huì)默認(rèn)將全部應(yīng)用程序阻斷在外，除了那些擁有特定軟件供應(yīng)商、Windows應(yīng)用程序商店以及企業(yè)自身確認(rèn)許可的應(yīng)用。

宏基、富士通、惠普、NCR、聯(lián)想、PAR以及東芝等廠商已經(jīng)與微軟方面達(dá)成協(xié)議，共同將Device Guard引入自己的Windows設(shè)備當(dāng)中。其能夠支持銷售系統(tǒng)、ATM機(jī)以及其它運(yùn)行有Windows系統(tǒng)的各類物聯(lián)網(wǎng)型設(shè)備。

“為了幫助用戶免受惡意軟件的侵?jǐn)_，當(dāng)某款應(yīng)用程序開(kāi)始執(zhí)行時(shí)，Windows會(huì)首先檢測(cè)該應(yīng)用是否可信，并在發(fā)現(xiàn)其不可信時(shí)向用戶發(fā)出通知。Device Guard能夠利用硬件技術(shù)與虛擬化機(jī)制將這一額外許可功能與Windows操作系統(tǒng)中的其它組件隔離開(kāi)來(lái)，而這有助于保護(hù)用戶免受已經(jīng)獲得了系統(tǒng)整體權(quán)限的攻擊者或者惡意軟件的騷擾，”微軟公司的Chris Hallum在最近發(fā)布的一篇相關(guān)功能介紹博文當(dāng)中寫(xiě)道。

微軟的Hallum同時(shí)指出，與其它殺毒及白名單軟件不同，那些能夠進(jìn)行系統(tǒng)證書(shū)篡改或者未知類型的惡意軟件同樣很難脫離Device Guard的法眼，而且其可以同殺毒、白名單乃至其它應(yīng)用程序控制產(chǎn)品協(xié)同工作。

“傳統(tǒng)殺毒解決方案與應(yīng)用程序控制技術(shù)都能夠立足于Device Guard機(jī)制，從而阻斷基于可執(zhí)行文件及腳本的惡意軟件，而殺毒工具也將繼續(xù)涵蓋Device Guard力有不逮的JIT應(yīng)用(例如Java)與文件內(nèi)的宏等領(lǐng)域，”Hallum補(bǔ)充道。

有趣的是，Device Guard同樣能夠以虛擬化方式運(yùn)行，這意味著如果Windows內(nèi)核遭到突破，Device Guard仍然不會(huì)受到影響，微軟方面指出。它仍然會(huì)審查所運(yùn)行的軟件是否符合管理策略提出的配置要求。

2. Windows Hello

Windows Hello已經(jīng)被微軟方面宣傳為一項(xiàng)密碼殺手型功能，其利用生物識(shí)別機(jī)制——包括用戶的面孔、虹膜或者指紋——來(lái)啟動(dòng)Windows 10設(shè)備，而不再像過(guò)去那樣只能使用討厭且安全性低下的密碼內(nèi)容。

微軟公司操作系統(tǒng)部門運(yùn)營(yíng)副總裁Joe Belfiore指出，Hello之所以安全性更高，是因?yàn)樗试S用戶對(duì)應(yīng)用程序、企業(yè)內(nèi)容以及在線體驗(yàn)進(jìn)行驗(yàn)證，而無(wú)需在用戶設(shè)備或者網(wǎng)絡(luò)服務(wù)器端存儲(chǔ)任何密碼內(nèi)容。

不過(guò)問(wèn)題在于，我們需要一臺(tái)具備指紋識(shí)別器及掃描軟硬件裝置的設(shè)備，因?yàn)橹挥羞@樣才能順利通過(guò)面孔或者虹膜進(jìn)行生物特征驗(yàn)證。此外，該設(shè)備還需要支持Windows Biometric框架。

“我們與硬件合作伙伴密切配合，旨在為Windows Hello提供具備支持能力且搭載有Windows 10系統(tǒng)的硬件設(shè)備。我們也興奮地宣布，所有搭載有英特爾RealSense 3D攝像頭(F200)的OEM系統(tǒng)都將支持Windows Hello的面部解鎖功能，其中包括自動(dòng)登錄Windows，同時(shí)支持在無(wú)需輸入PIN碼的前提下解鎖‘Passport’，”Belfiore在今天發(fā)布的一篇Windows 10博文中介紹稱。

Maiffret表示，微軟公司目前正在根據(jù)企業(yè)客戶的需求進(jìn)一步開(kāi)發(fā)Hello的驗(yàn)證機(jī)制。“這套方案從加密角度講能夠顯著提升安全性水平，因此其完全可以……被引入到企業(yè)環(huán)境下作為正式驗(yàn)證機(jī)制使用，”他指出。

3. Passport

配合前面提到的密切機(jī)制清退舉措，Windows 10還為我們帶來(lái)了一項(xiàng)名為Passport的新功能，允許用戶在無(wú)需密碼的前提下登錄應(yīng)用程序、網(wǎng)站以及網(wǎng)絡(luò)。

“Windows 10會(huì)要求用戶確認(rèn)對(duì)當(dāng)前設(shè)備的所有權(quán)，而后提供根據(jù)通過(guò)PIN碼或者配備有生物識(shí)別傳感裝置的設(shè)備通過(guò)Windows Hello驗(yàn)證身份。在通過(guò)‘Passport’認(rèn)證之后，大家將能夠立即訪問(wèn)更多網(wǎng)站及服務(wù)……包括您最喜愛(ài)的電子商務(wù)網(wǎng)站、電子郵件與社交網(wǎng)絡(luò)服務(wù)、金融機(jī)構(gòu)以及商業(yè)網(wǎng)絡(luò)”等等，微軟公司指出。

根據(jù)微軟方面的證實(shí)，Passport還能夠與微軟的Azure Active Directory服務(wù)相協(xié)作，而用戶的生物認(rèn)證“簽名”會(huì)以安全方式被保存在本地用戶設(shè)備當(dāng)中，且只用于解鎖設(shè)備及Passport; 換言之，這部分信息不會(huì)通過(guò)網(wǎng)絡(luò)傳輸。

不過(guò)雖然目前已經(jīng)成為FIDO聯(lián)盟當(dāng)中的一員并著力在未來(lái)徹底將密碼機(jī)制扔進(jìn)歷史的垃圾堆，但微軟公司并不打算在Windows 10中就宣布密碼的消亡。因此用戶或者企業(yè)客戶即使不愿或者無(wú)力承擔(dān)部署Windows Hello及Passport相關(guān)裝置的費(fèi)用，也完全可以在Windows 10中繼續(xù)使用傳統(tǒng)密碼與密碼管理方案。

與此同時(shí)，微軟公司還在Windows 10內(nèi)部推出了一些初步但卻非常關(guān)鍵的變更，包括利用容器技術(shù)與虛擬沙箱機(jī)制提高桌面系統(tǒng)的安全水平，Maiffret表示。“不過(guò)我敢肯定，在明年的黑帽大會(huì)或者其它類似活動(dòng)上，就會(huì)有人宣稱成功破解了Windows 10的沙箱方案，這是不可避免的結(jié)果。”

盡管如此，微軟公司仍然將其引入了Windows系統(tǒng)，并作為一大足以改變游戲規(guī)則的重要改進(jìn)，他表示。