現(xiàn)在端點再次成為信息安全戰(zhàn)爭的中心。惡意軟件感染每天都在發(fā)生,安全團隊每天都在努力保護網(wǎng)絡免受惡意代碼影響。對此,Windows 10企業(yè)版引入了各種安全創(chuàng)新技術,例如Windows Hello多因素生物特征身份驗證以及Microsoft Passport—目前完全支持FIDO(快速身份認證)聯(lián)盟標準。其中可阻止惡意代碼永久損害Windows 10設備的關鍵安全控制是Microsoft Device Guard,它可保護核心內(nèi)核抵御惡意軟件。Windows安全專業(yè)人士應該了解這個新的安全技術的工作原理以及企業(yè)應該將它部署在哪里以抵御Windows 10惡意軟件和當今的網(wǎng)絡攻擊。
應用白名單采用信任為中心的模式,只允許明確允許執(zhí)行的應用。對于一次性設備,只需要運行數(shù)量有限的已知程序,白名單是抵御惡意軟件和糟糕用戶行為的有效安全控制,它還可幫助抵御零日攻擊、多態(tài)病毒和未知惡意軟件變體。然而,考慮到企業(yè)內(nèi)需要管理的應用、版本以及補丁的數(shù)量,企業(yè)很難采用應用白名單的做法。微軟試圖通過Device Guard來改變這種局面,讓企業(yè)范圍內(nèi)的白名單更容易管理和執(zhí)行,并可鎖定用戶的設備,讓他們只能運行可信的應用。
Microsoft Device Guard結合硬件和軟件安全功能來限制Windows 10企業(yè)操作系統(tǒng),讓其只能運行受信任方簽名的代碼--企業(yè)的代碼完整性政策中定義了受信任方。對于沒有加密簽名的內(nèi)部以及第三方開發(fā)的應用,可使用鏈到微軟的證書進行認證,而不需要重新打包應用。只有由受信任簽名者簽署的更新策略可以變更設備的應用控制策略,這與AppLocker相比是顯著的改進,AppLocker可被具有管理權限的攻擊者訪問。
Device Guard的工作原理是利用設備處理器和主板芯片組中IOMMU(輸入輸出內(nèi)存管理單元)功能來隔離其本身與Windows的其他部分。這種虛擬化輔助安全技術利用了一種新的Hyper-V組件,稱為虛擬安全模式(VSM),這是受保護的VM,它直接位于管理程序中,并與Windows 10內(nèi)核隔離。當設備啟動時,通用可擴展固件接口(UEFI)安全啟動可確保Windows啟動組件先于其他組件啟動,以防止啟動工具包執(zhí)行。接下來,Hyper-V虛擬安全(VBS)技術開始運行來隔離核心Windows服務,這些服務主要用于確保操作系統(tǒng)安全性和完整性的關鍵。通過阻止惡意軟件在啟動過程運行或啟動后在內(nèi)核運行,這種隔離可保護內(nèi)核、特權驅動程序和系統(tǒng)防御(例如反惡意軟件程序)。同時,可信平臺模塊(TPM)也將啟動,這是獨立的硬件組件,它可保護用戶憑證和證書等敏感數(shù)據(jù)。另外,TPM可存儲系統(tǒng)安全啟動的證明,這可用來在允許設備連接到網(wǎng)絡之前驗證其完整性。
在啟用VBS的同時,Device Guard在與Windows內(nèi)核以及操作系統(tǒng)其余部分隔離的VSM容器中運行自己的Windows準系統(tǒng)實例,這不會被其他軟件篡改。但Device Guard不只是內(nèi)核模式代碼簽名的更新版本;它還提供用戶模式代碼完整性檢查,以確保在用戶模式運行的事物(例如設備、通用Windows平臺應用或典型的Windows應用)得到簽名和受信任。即使惡意軟件感染機器,它也無法訪問Device Guard容器或繞過代碼簽名檢查來執(zhí)行惡意負載。這將讓攻擊者更難運行惡意軟件--即使他擁有完整的系統(tǒng)權限,攻擊者也很難安裝代碼堅持到重新啟動后,再通過高級持續(xù)威脅來永久地感染設備。
雖然Microsoft Device Guard并不意味著Windows 10惡意軟件的終結,但它提高了攻擊者安裝惡意代碼的障礙。我們都知道,數(shù)字簽名的應用已經(jīng)存在很長時間,但這是第一次管理員可輕松地管理它們以確保企業(yè)設備的完整性以及執(zhí)行自己的綜合信任模型。只有企業(yè)授權的應用將被信任,而不是防病毒程序認為受信任的應用,但這里仍然需要部署這兩個解決方案:Device Guard阻止可執(zhí)行文件和基于腳本的惡意軟件,而防病毒程序可涵蓋Device Guard無法涵蓋的攻擊媒介,例如基于JIT的應用以及Office文檔內(nèi)的宏。
Credential Guard
據(jù)微軟稱,約80%到90%數(shù)據(jù)泄露事故是源自憑證被盜,攻擊者使用偷來的域和用戶登錄憑證來訪問網(wǎng)絡和其他計算機。Window NT局域網(wǎng)管理器(NTLM)身份驗證是微軟使用的挑戰(zhàn)-響應身份驗證協(xié)議,它存在大多數(shù)Windows環(huán)境中,這種協(xié)議的最大問題是,攻擊者并不一定需要獲取用戶的明文密碼,就可以進行身份驗證來訪問遠程服務器或服務;而是使用他們密碼的哈希值。當用戶登錄到Windows時,系統(tǒng)中安裝的惡意軟件可收集哈希值,并可使用它們來模擬用戶。這種攻擊被稱為“哈希傳遞”和“票據(jù)傳遞”攻擊,名稱取決于攻擊者以哪種登錄憑證為目標。盡管微軟的Kerberos安全包改進了NTLM的安全性,但通過使用這些攻擊技術來繞過身份驗證系統(tǒng),NTLM仍可能受到攻擊。
這種攻擊被用在很多高知名度的數(shù)據(jù)攻擊事故中,其中包括美國人事管理局攻擊事件。為了防止這種攻擊,Windows 10企業(yè)版使用了被稱為Credential Guard的新功能來保護VSM內(nèi)的登錄憑證,VSM只有足夠的功能運行登錄服務用于身份驗證代理。訪問令牌和票據(jù)以完全隨機且全長度哈希值存儲,可避免暴力攻擊。通過使用與Device Guard相同的基于硬件和虛擬化的安全技術,即使惡意代碼獲得完整的系統(tǒng)權限,攻擊者都無法訪問Credential Guard存儲的任何數(shù)據(jù)。
企業(yè)將需要投資于硬件和軟件來利用Windows 10企業(yè)版的很多新安全功能,其中Microsoft Device Guard和Credential Guard需要滿足以下要求:
·UEFI 2.3.1或更高版本
·虛擬化擴展,例如Intel VT-d或AMD-Vi
·64位版本的Windows Enterprise 10
·IOMMU
·TPM芯片2.0版
·Secure Boot
硬件供應商已經(jīng)開始生產(chǎn)Device Guard-capable或Device Guard-ready設備,包括惠普、宏碁、聯(lián)想和東芝等,但這些設備并不是輕量級、低成本、消費類設備。Device Guard-ready意味著設備具有所需的IOMMU硬件、為Device Guard優(yōu)化的內(nèi)核驅動程序,并啟用了安全功能,而Device Guard-capable設備只有IOMMU硬件,驅動程序安裝和配置主要取決于系統(tǒng)管理員。另一個要求是域控制器運行Windows Server 2016。
部署Microsoft Device Guard
如果企業(yè)想要利用Windows 10企業(yè)版新安全功能,最好的方法是創(chuàng)建一個新域,其中為設備符合硬件要求的用戶啟用Device Guard、Credential Guard和其他功能。微軟提供了多種選項來創(chuàng)建代碼完整性政策,包括掃描系統(tǒng)來對所有安裝應用創(chuàng)建清單。在默認情況下,政策創(chuàng)建時啟用了審核模式,這意味著政策不會被執(zhí)行,而是會記錄所有被阻止在事件日志的文件,這讓管理員可在完全實施該政策之前評估所有問題。而那些無法升級的機器或遺留系統(tǒng)會保留在現(xiàn)有域中,讓安全團隊可專注于保護特權賬戶以及部署惡意軟件檢測和解決方案。
Device Guard和Credential Guard相結合,再加上Microsoft Passport和Windows Hello,這肯定會減少很多常見攻擊技術的成功率,并可幫助保護Windows環(huán)境,但有效地使用這些功能不僅需要正確的硬件,還需要人員培訓。SANS一致認為計算機安全漏洞的主要原因之一是“指派未經(jīng)培訓的人員來維護安全,既不提供培訓也不提供時間來讓人員學習和完成工作”。Windows 10安全功能很不同,企業(yè)應該安排時間讓IT團隊來學習如何更好地使用和部署這些安全功能。
Device Guard能否成功阻止惡意軟件感染取決于基于管理程序的安全的堅固性,這仍然有些不明確。Device Guard可能在自己嚴格控制的安全執(zhí)行環(huán)境中運行,但此前“安全執(zhí)行環(huán)境”已經(jīng)被擊敗,同時,盡管可阻止哈希傳遞攻擊,Credential Guard無法抵御按鍵記錄程序。此外,對于提交到Windows Store的應用,企業(yè)完全需依靠審批過程的質(zhì)量,而企業(yè)和軟件供應商將需要保護簽名證書,否則整個信任模式都會受影響。
Windows 10提供的這種安全水平需要企業(yè)升級原有的硬件,較舊的操作系統(tǒng)可能會減慢廣泛部署。然而,隨著新歐洲數(shù)據(jù)保護法增加高達4%全球年營業(yè)額的罰款金額,企業(yè)可以做出決定是否應該全面投資來確保其系統(tǒng)的完整性。
京公網(wǎng)安備 11010502049343號