Команда Microsoft разрабатывает Windows 10, стараясь принять во внимание, насколько это возможно, потребности всех категорий пользователей. Компания пытается угодить как домашним пользователям, которые, понятное дело, хотят больше возможностей и усовершенствований в пользовательском интерфейсе, так и корпоративным работникам, которые по столь же понятным причинам хотят, чтобы Microsoft усилила меры по обеспечению безопасности использования операционной системы на предприятиях.
На этой неделе Microsoft принимала участие в конференции RSA в Сан-Франциско, где подробно объяснила, что конкретно было предпринято для обеспечения безопасности в новой версии Windows. Софтверный гигант выделил три особенности, которые должны отвечать потребностям бизнеса: Device Guard, Windows Hello и Microsoft Passport.
Device Guard обеспечит улучшенную защиту от угроз вредоносных программ, блокируя любые приложения кроме тех, которые прибыли из надежных источников. Сюда относятся программы, которые были подписаны конкретным поставщиком программного обеспечения, приложения в Windows Store, а также ПО, проверенное в рамках организации.
Пользователь сможет управлять тем, какие источники можно считать надежными и использовать инструменты для подписи Win32 и универсальных программ, которые не были подписаны их разработчиками. Некоторые производители уже согласились поддерживать Device Guard на своих устройствах, в том числе Acer, Fujitsu, HP, Lenovo и Toshiba.
– это два других нововведения в системе безопасности Windows 10, которые принесут пользу как обычным пользователям, так и в бизнесе. Обе функции были представлены еще в прошлом месяце на конференции WinHEC, но теперь они вступили в заключительную фазу развития, характеризующуюся сотрудничеством Microsoft с производителями, которые объединят их в своих продуктах.
Windows Hello и Microsoft Passport повысят безопасность Windows 10 и персональных данных пользователей за счет использования биометрических данных и двухэтапной аутентификации на уровне предприятий. Обе технологии способны обеспечить гораздо более высокий уровень безопасности по сравнению с традиционным паролем.
Помимо распознавания отпечатков пальцев, что уже поддерживается в Windows, новая версия платформы позволит входить в систему с помощью распознавания лица. Последнее будет доступно на всех компьютерах, оснащенных Intel RealSense 3D-камерой (F200), которая использует инфракрасный лазер, несколько объективов и чип, предназначенный для анализа изображений.
Сочетание этих трех технологий обещает значительное улучшение в системе безопасности, причем как для домашних пользователей, так и для компаний, которые традиционно гораздо более внимательны к этому вопросу.
Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.
Credential Guard предоставляет следующие возможности:
- Безопасность оборудования . Повышает безопасность учётных записей производного домена, используя для этого преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию.
- Безопасность на основе виртуализации . Службы Windows, которые управляют учётными данными производного домена и другими секретами, выполняются в защищённой среде, изолированной от операционной системы.
- Улучшенная защита от самых современных постоянных угроз . Обеспечивает учётные данные производных доменов с помощью безопасности на основе виртуализации. Блокирует атаки на учётные данные и инструменты, используемые в многих других атаках. Вредоносные программы, выполняющимися в ОС с административными привилегиями не могут извлечь секреты, которые находятся под защитой безопасности на основе виртуализации.
- Управляемость . Управление с помощью групповой политики, WMI, из командной строки и Windows PowerShell.
Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS.
Основанный на виртуализации процесс LSA
Если включён Credential Guard, более старые варианты NTLM или Kerberos (то есть NTLM v1, MS-CHAPv2 и т. д.) больше не поддерживаются.
Поскольку Credential Guard основан на виртуализации, для него требуется определённая аппаратная поддержка. В следующей таблице приведены некоторые из этих требований:
| Требования | Описание |
| Windows Server 2016 S | Защита учётных данных доступна на всех Windows Server 2016 SKU, за исключением Nano Server (поскольку Nano Server поддерживает только удалённое управление). |
| Версия прошивки UEFI 2.3.1 или выше и безопасная загрузка | Чтобы убедиться, что прошивка использует UEFI версии 2.3.1 или выше и безопасную загрузку, вы можете проверить её на соответствие требованиям приложением System.Fundamentals.Firmware.CS.UEFISecureBoot. ConnectedStandby Program. |
| Расширения виртуализации | Для поддержки безопасности на основе виртуализации необходимы следующие расширения виртуализации:
|
| x64 архитектура | Функции, которые использует защита на основе виртуализации в гипервизоре Windows, могут работать только на 64-битном ПК. |
| VT-d или AMD-Vi IOMMU | IOMMU повышает устойчивость системы к атакам на память. |
| TPM версии 1.2 или 2.0 | Внимание : Если у вас нет установленного TPM, Credential Guard по-прежнему будет включён, но ключи, используемые для его шифрования, не будут защищены TPM. |
| Прошивка обновлена для реализации Secure MOR | Credential Guard требует, чтобы защищённый бит MOR помог предотвратить определённые атаки на память. |
| Физический ПК или ВМ | Credential Guard поддерживается как на физических машинах, так и на виртуальных. Для виртуальной машины Hypervisor должен поддерживать вложенную виртуализацию. |
Самый простой способ получить Credential Guard для вашей организации - включить её с помощью групповой политики и выбрать машины на своём предприятии, для которых вы хотите её применить.
В консоли управления групповыми политиками создайте новую групповую политику или отредактируйте существующую. Затем перейдите в раздел «Конфигурация компьютера> Административные шаблоны> Система> Защита устройства».
Дважды нажмите «Включить защиту на основе виртуализации », а затем в открывшемся диалоговом окне выберите параметр «Включено ». В диалоговом окне «Выбор уровня безопасности платформы » выберите «» или «». В списке «Конфигурация учётных данных » выберите «Включено с блокировкой UEFI » и нажмите «ОК ». Если вы хотите удалённо отключить Credential Guard, в списке настроек Credential Guard вместо «Enabled With UEFI Lock », выберите «Enabled Without Lock ».
Параметры групповой политики для Credential Guard
Удалённая защита учётных данных
Удалённая защита учётной записи, обеспечивает защиту от кражи ваших учётных данных при дистанционном подключении к системе через сеанс удалённого рабочего стола.
Когда пользователь пытается получить доступ к удалённому рабочему столу на удалённом хосте, запрос Kerberos перенаправляется для аутентификации обратно на исходный узел. Учётные данные, на удалённом хосте больше не существуют. Если удалённый хост (то есть, компьютер конечного пользователя или сервер) имеет вредоносный код, удалённый credential guard смягчит это злонамеренное воздействие, так как учётные данные на удалённый хост передаваться не будут.
К удалённой защите учётных данных существуют некоторые требования:
- Пользователь должен быть присоединён к домену Active Directory или сервер удалённого рабочего стола должен быть присоединён к домену с доверительными отношениями к клиентскому устройству.
- Пользователь должен использовать аутентификацию Kerberos.
- Пользователь должен работать как минимум на Windows 10, версии 1607 или
- Требуется классическое приложение Windows для удалённого рабочего стола. Приложение Remote Desktop Universal Windows Platform не поддерживает Remote Credential Guard.
Чтобы включить защиту удалённых учётных данных, настройте её с помощью групповой политики и разверните в своих сетях.
Чтобы настроить это с помощью групповой политики, откройте консоль управления групповыми политиками, а затем перейдите к «Конфигурация компьютера > Административные шаблоны > Система > Делигирование учётных данных ». Далее дважды щёлкните «Restrict Delegation To Remote Servers », а затем выберите «Require Remote Credential Guard ». Наконец, нажмите «ОК » и, чтобы вывести групповую политику, запустите gpupdate/force . (также вы можете включить удалённую защиту учётных данных с помощью ключа реестра - посмотрите следующую ссылку «Подробнее».)
Is a combination of enterprise-related hardware and software security features that, when configured together, will lock a device down so that it can only run trusted applications that you define in your code integrity policies. If the app isn’t trusted it can’t run, period. With hardware that meets basic requirements, it also means that even if an attacker manages to get control of the Windows kernel, he or she will be much less likely to be able to run malicious executable code. With appropriate hardware, Device Guard can use the new virtualization-based security in Windows 10 (available in Enterprise and Education desktop SKUs and in all Server SKUs) to isolate the Code Integrity service from the Microsoft Windows kernel itself. In this case, the Code Integrity service runs alongside the kernel in a Windows hypervisor-protected container.
Device Guard references: (recommend to read)
- Device Guard hardware requirements | Microsoft Docs
- Device Guard deployment guide (Windows 10)
- Introduction to Device Guard - virtualization-based security and code integrity policies (Windows 10)
- Requirements and deployment planning guidelines for Device Guard (Windows 10)
- Planning and getting started on the Device Guard deployment process (Windows 10)
- Deploy Device Guard - deploy code integrity policies (Windows 10)
- Deploy Device Guard - enable virtualization-based security (Windows 10)
- Windows 10 Enterprise Security: Credential Guard and Device Guard | Dell US
- ThinkPad support for Device Guard and Credential Guard in Microsoft Windows 10 - ThinkPad
- HP Manageability Integration Kit Supported Platforms | HP Client Management Solutions
- Windows 10 Device Guard and Credential Guard Demystified
You must be signed in as an administrator to enable or disable Device Guard.
Here"s How:
3. Navigate to the key below in the left pane of Local Group Policy Editor. (see screenshot below)
Computer Configuration\Administrative Templates\System\Device Guard
4. In the right pane of Device Guard in Local Group Policy Editor, double click/tap on the Turn On Virtualization Based Security policy to edit it. (see screenshot above)
B) Under Options, select Secure Boot or Secure Boot and DMA Protection in the Select Platform Security Level drop menu for what you want.
The Secure Boot (recommended) option provides secure boot with as much protection as is supported by a given computer’s hardware. A computer with input/output memory management units (IOMMUs) will have secure boot with DMA protection. A computer without IOMMUs will simply have secure boot enabled.
The Secure Boot with DMA will enable secure boot-and VBS itself-only on a computer that supports DMA, that is, a computer with IOMMUs. With this setting, any computer without IOMMUs will not have VBS (hardware-based) protection, although it can have code integrity policies enabled.
C) Under Options, select Enabled with UEFI lock or Enabled without lock in the Virtualization Based Protection of Code Integrity drop menu for what you want.
The Enabled with UEFI lock option ensures that Virtualization Based Protection of Code Integrity cannot be disabled remotely. In order to disable the feature, you must set the Group Policy to "Disabled" as well as remove the security functionality from each computer, with a physically present user, in order to clear configuration persisted in UEFI.
The Enabled without lock option allows Virtualization Based Protection of Code Integrity to be disabled remotely by using Group Policy.
D) If you like, you could also enable
При попытке запустить файлы, загруженные из Сети, на компьютере под управлением Windows 10 (Home, Pro-S, Корпоративная)может появиться следующая ошибка: “Ваша организация заблокировала это приложение с помощью функции”. Далее могут быть указаны различные функции: Управление, Защитник Windows, Device Guard, Application Guard. В отдельных системах эта же ошибка может возникать и при выполнении командной строки или опции PowerShell. Мы расскажем что это такое и с чем связано такая блокировка.
Что это за блокировка?
Конкретной причины появления сбоя нет, в поддержке Microsoft также отмалчиваются. В основном проблема появляется при переустановке ОС, либо обновлении до десятки. Когда вы устанавливаете новую версию Windows, она очищает политику целостности кода (CI) в UEFI, которая была установлена предыдущей сборкой. Кто-то указывает, что блокировка – это новая опция защиты в десятке. Большинство же сходятся во мнении, что это банальный баг и вина эта разработчиков. Я также склоняюсь в сторону бага, так как объяснить ошибку в активированных цифровой лицензией сборках не получается.
Решения по “Ваша организация заблокировала это приложение”
Самым первым вариантом будет банальная перезагрузка, очистка мусора/реестра утилитой типа CCleaner. Далее попробуйте просто отключить указанный в сообщении функцию – информации по каждой в сети достаточно. Если не работает, то решить эту ошибку можно несколькими способами – откат системы, отключение компонентов защитника, отключение опции Secure Boot в BIOS, либо установка более старой версии десятки. Некоторые варианты понятны всем, давайте расскажем о проблемных.
Отключение безопасной загрузки
Многим пользователям помогает отключение безопасной загрузки (Secure Boot) в БИОС-е. Безопасная загрузка – это функция в новых EFI или UEFI-компьютерах, которая помогает компьютеру противостоять атакам и заражению вредоносными программами и не позволяет загружаться ни в чем, кроме Windows 8/10. Работает опция так: когда на компьютер была установлена ОС, UEFI создал для неё список ключей, которые идентифицируют надежное программное обеспечение, прошивку и код загрузчика операционной системы. Он также создал список ключей для идентификации известных вредоносных программ.
Когда включена Безопасная загрузка, компьютер блокирует потенциальные угрозы, прежде чем они смогут атаковать или заражать компьютер. Именно с этим может быть связана блокировка при запуске сторонних приложений. Отключается Secure Boot так:
Кроме того, посетите страницу настроек прошивки UEFI. Для этого вставьте носитель с образом и через Boot Menu войдите в режим восстановления. Далее идете по пути: “Диагностика” – “Дополнительные параметры” – “Параметры встроенного ПО UEFI”.
Другие варианты исправления
Заключение
Как я уже заметил выше, ошибка “Ваша организация заблокировала это приложение” возникает после переустановки и в определенных сборках. Майкрософт знают о проблеме, но вот признавать её пока не спешат. Также хочу напомнить, что пока еще можно получить лицензированную десятку вполне бесплатно и без взлома, загрузив сборку для людей с ограниченными возможностями. На этом все, если есть дополнительная информация по сбою, пишите в комментариях, все читаем и на все реагируем.
