Windows 10將支持生物認證和基于硬件的應用白名單來幫助IT人員鎖定設備——兩者都是保護數據安全性的積極措施。

然而，這些Windows 10安全特性需要大多數企業進行硬件升級，并且應用白名單功能還可能涉及到大量的工作。

Windows 10中的Device Guard(設備衛士)功能通過阻斷不受信任的應用程序的方式來保護設備免受變種惡意軟件和Advanced Persistent Threats(APT)。受信任的應用程序有具體的軟件廠商、Windows Store或者IT部門簽字。其附帶的通用應用程序(或Win32應用程序)簽署工具并不是由軟件供應商簽署的。

微軟表示，如果不是由用戶指定，應用白名單可以通過這種方法來確定某個Windows應用是否值得信賴。Device Guard使用硬件技術和虛擬化技術將選中的決策功能與其他OS隔離開來，防止攻擊者或惡意軟件訪問系統。

就職于獨立分析公司Directions on Microsoft的Windows分析師Wes Miller說：“像微軟之前交付Windows Phone和Windows RT以及蘋果交付iOS都采用了加強的、鎖定平臺的方式。這種方式可以防御大多數類型的攻擊。”

鑒于反病毒程序(AV)的和類似基于簽名的防御系統的自身缺點，IT支持者認為Device Guard可以讓下一代Windows版本更加安全。Rhode Island血液中心的系統管理員David Reynolds表示，其也是一名認證的道德黑客。

然而，數字簽名充滿挑戰，因此必須易于部署，并綁定到活動目錄。Reynolds說。

對于惡意軟件和APT Device Guard是最終答案嗎?

微軟聲明，相比傳統AV和應用控制技術如AppLocker和容易被管理員或惡意軟件篡改的Bit9，Device Guard具有卓越優勢。但是微軟拒絕透露由Device Guard帶來的對管理員的控制程度，這讓IT專業人員有些擔心過于防止篡改會降低靈活性。

“我已經遇到到AV錯誤地區分合法程序的情況，例如將VNC遠程控制軟件當做惡意軟件，”來自一家能源公司的IT管理員Matt Kosht說，“由于Device Guard的失誤影響關鍵業務應用將是一個大問題。”

使用工具來進行數字簽名或者使用其他方式信任無簽名的可執行文件可以提供幫助，但這也意味著為企業IT帶來大量的工作，Kosht說。

他說：“如果這種情況下你有100個遺留應用程序，那么可能需要巨大的投資來保證有效實施。”

不過，將安全作為操作系統和硬件的核心來對抗APT的威脅是一個很好的舉動，尤其是AV軟件在處理APT威脅時“嚴重不足”，Kosht說。但他懷疑Device Guard是否能夠有效地阻止APT攻擊。

英特爾在其處理器中加入了XD(Execute Disable)功能，微軟也從Windows XP SP2/Windows Server 2003版本開始加入Data Execution Prevention支持。

他說：“我們都知道這些技術無法有效地阻止APT攻擊。”

Device Guard似乎是這些解決方案的演化版，其將虛擬化技術加入了技術堆棧。然而這并不是新穎的做法，Bromium vSentry也能夠通過硬件隔離的方式提供保護。

微軟很注意沒有與其AV軟件合作伙伴引發沖突，其宣稱Device Guard不會取代傳統的AV和應用控制技術。這些技術可以協同Device Guard工作，以幫助阻止基于可執行文件和腳本的惡意軟件，覆蓋Device Guard無法觸及的領域。例如，傳統AV軟件可以檢測到解釋平臺攻擊，此類攻擊通過有效載荷實現如Java、Flash、Office和Acrobat，Miller說。

到目前為止，支持Device Guard的OEM廠商包括聯想、惠普、宏基、富士通和東芝。

Windows 10生物識別技術需要硬件升級

Device Guard需要由微軟上個月宣布的生物認證工具Windows Hello的支持，這可能需要專門的硬件。

利用Windows Hello，戶可以顯示他們的臉、虹膜或通過手指觸摸來訪問應用程序和企業內容，無需密碼或連接到網絡服務器。

面部識別體現了登錄進程的演變，深受廣大用戶的喜愛，Reynolds便是其中之一，他也非常享受Xbox中的生物功能。但是這一技術仍處于早期階段。

他說：“雖然有時候不得不反復下達指令，但和大多數其他技術一樣，該功能也將逐步成熟。面部識別缺陷一直困撓著有黝黑色皮膚、面部有毛發以及戴眼鏡的用戶。我也見過許多用戶無法通過指紋識別，只得依賴用戶名和密碼的登錄方式。”

Windows Hello需要硬件指紋識別器或其他生物傳感器。基于指紋的傳感器已經出現在一些設備上，并與Hello協同工作。當然，面部識別功能不會局限于英特爾實感3D相機——雖然這是微軟吹捧的技術之一。

到目前為止已有三臺筆記本電腦配置了英特爾RealSense技術：戴爾Inspiron 15 5000觸摸系列(官網起價749.99美元)，惠普ENVY - 15t Touch RealSense筆記本(官網起價649.99美元)和聯想B50觸摸筆記本(官網起價849.99美元)。