System operacyjny Windows 11, którego premiera ma się odbyć w grudniu, to według zapowiedzi Microsoftu krok w przód, jeśli chodzi o bezpieczeństwo użytkowników Windows.
Windows 11 jest zasadniczo dużą „aktualizacją” do systemu Windows 10, podobnie jak to było w przypadku Windows’a 8. Tak czy inaczej, będzie zawierał domyślnie włączone funkcje „Zero Trust”, izolację sprzętową, szyfrowanie i zapobieganie przed malware. System operacyjny zostanie również zaprojektowany tak, aby ułatwić użytkownikom przejście na bez-hasłowy dostęp i pracę bez używania haseł.
David Weston, dyrektor ds. bezpieczeństwa systemów operacyjnych w firmie Microsoft, mówi: „Następna generacja systemu Windows podniesie poziom bezpieczeństwa, wymagając bardziej nowoczesnych procesorów z zabezpieczeniami, takimi jak zabezpieczenia oparte na wirtualizacji, integralność kodu chroniona przez hypervisor i wbudowana funkcja bezpiecznego rozruchu. Te funkcje będą domyślnie włączone w celu ochrony zarówno przed powszechnym złośliwym oprogramowaniem, oprogramowaniem ransomware, jak i bardziej wyrafinowanymi atakami”.
W czwartkowym biuletynie dotyczącym nowego systemu firma Microsoft nie przedstawiła szczegółowych informacji na temat nowych zabezpieczeń. Nie pokazała również harmonogramu zakończenia wsparcia dla Windows 10.
Microsoft stawia na bezpieczeństwo
„Ściśle współpracowaliśmy z naszymi producentami i partnerami z Doliny Krzemowej, aby podnieść poziom bezpieczeństwa, sprostać potrzebom zmieniającego się krajobrazu zagrożeń, nowego świata pracy i nauki hybrydowej” — mówi Microsoft w swoim ogłoszeniu dotyczącym systemu Windows 11. „Nowy zestaw wymagań dotyczących zabezpieczeń sprzętowych, który jest dostarczany z Windows 11, ma na celu zbudowanie fundamentu, który jest jeszcze silniejszy i bardziej odporny na ataki”.
Microsoft twierdzi, że nowy system operacyjny będzie miał ulepszone możliwości stosowania ochrony „Zero-Trust” typu chip-to-cloud, wymagając modułu Trusted Platform Module w wersji 2.0. Windows 11 będzie również domyślnie oferować wsparcie dla Microsoft Azure Atestation, który ma na celu umożliwienie użytkownikom egzekwowania zasad polityki bezpieczeństwa podczas uzyskiwania dostępu do wrażliwych zasobów w chmurze za pomocą obsługiwanych systemów zarządzania urządzeniami mobilnymi.
Dodatkowo, menadżer haseł Windows Hello, który umożliwia logowanie się za pomocą rozpoznawania twarzy lub odcisków palców lub kodu PIN, zostanie uaktualniony w systemie Windows 11 do użytku biznesowego.
„Windows Hello for Business obsługuje uproszczone modele wdrażania bez-hasłowego dostępu w organizacji umożliwiające osiągnięcie stanu od wdrożenia do uruchomienia w ciągu kilku minut” — mówi Weston. „Obejmuje to szczegółową kontrolę metod uwierzytelniania przez administratorów IT przy jednoczesnym zabezpieczeniu komunikacji między narzędziami w chmurze w celu lepszej ochrony danych korporacyjnych i tożsamości. A dla konsumentów nowe urządzenia z systemem Windows 11 będą domyślnie pozbawione haseł od pierwszego dnia”.
Wymagania sprzętowe
Jak pewnie słyszeliście, pojawiło się wiele kontrowersji odnośnie wymagań sprzętowych opublikowanych przez Microsoft, które okazały się być bardzo wygórowane, tak jakby Microsoft wymuszał na użytkownikach wyposażenia się w sprzęt nowszej generacji.
Aby w ogóle uruchomić Windows 11, komputery muszą mieć co najmniej procesor Intel Core ósmej generacji lub nowszy albo AMD Ryzen 2000 lub nowy, mieć 4 GB pamięci RAM, co najmniej 64 GB pamięci HDD/SSD i być zgodne z DirectX 12 lub nowszym z WDDM 2.0.
Aby uzyskać dostęp do uaktualnień zabezpieczeń systemu Windows 11, użytkownicy muszą mieć komputer z układem sprzętowym TPM 2.0.
Układ TPM to bezpieczny procesor kryptograficzny, który wykonuje operacje szyfrowania. Chip zawiera fizyczne mechanizmy bezpieczeństwa, dzięki którym jest odporny na manipulacje, a złośliwe oprogramowanie nie jest w stanie manipulować funkcjami bezpieczeństwa modułu TPM, mówi Microsoft.
Podsumowanie
Niektórzy eksperci ds. bezpieczeństwa twierdzą, że decyzja Microsoftu o przeniesieniu większej liczby wymagań bezpieczeństwa na sprzęt jest właściwym posunięciem. Dodają jednak, że wiele firm korzystających ze starszego sprzętu może mieć trudności z wykorzystaniem tego, co ma do zaoferowania nowy Windows.
Zmuszanie użytkowników do logowania się na konto Microsoft zamiast na konto lokalne jest zdecydowanie lepsze pod kątem bezpieczeństwa. Dodatkowo mechanizm rejestruje użytkownika za pomocą TPM/certyfikatu urządzenia, co powoduje, że urządzenie staje się zaufane dla tego konta Microsoft.
Ponieważ Windows 11 wymaga użycia układu TPM 2.0, wiele organizacji będzie musiało uaktualnić lub wymienić sprzęt. Uwierzytelnianie bez hasła i bazowy dla niego standard – FIDO – nie są kompatybilne z wieloma starszymi systemami. Wiele przedsiębiorstw poczyniło ogromne inwestycje w rozwiązania uwierzytelniania wieloskładnikowego/single sign-on innych firm, których nie zastąpią do czasu wygaśnięcia tych umów. Tego Microsoft musi być świadomy.
Poniżej umieszczamy filmik demonstracyjny Microsoft prezentujący nowego Windows’a 11 🙂