现在端点再次成为信息安全战争的中心。恶意软件感染每天都在发生,安全团队每天都在努力保护网络免受恶意代码影响。对此,Windows 10企业版引入了各种安全创新技术,例如Windows Hello多因素生物特征身份验证以及Microsoft Passport—目前完全支持FIDO(快速身份认证)联盟标准。其中可阻止恶意代码永久损害Windows 10设备的关键安全控制是Microsoft Device Guard,它可保护核心内核抵御恶意软件。Windows安全专业人士应该了解这个新的安全技术的工作原理以及企业应该将它部署在哪里以抵御Windows 10恶意软件和当今的网络攻击。
应用白名单采用信任为中心的模式,只允许明确允许执行的应用。对于一次性设备,只需要运行数量有限的已知程序,白名单是抵御恶意软件和糟糕用户行为的有效安全控制,它还可帮助抵御零日攻击、多态病毒和未知恶意软件变体。然而,考虑到企业内需要管理的应用、版本以及补丁的数量,企业很难采用应用白名单的做法。微软试图通过Device Guard来改变这种局面,让企业范围内的白名单更容易管理和执行,并可锁定用户的设备,让他们只能运行可信的应用。
Microsoft Device Guard结合硬件和软件安全功能来限制Windows 10企业操作系统,让其只能运行受信任方签名的代码--企业的代码完整性政策中定义了受信任方。对于没有加密签名的内部以及第三方开发的应用,可使用链到微软的证书进行认证,而不需要重新打包应用。只有由受信任签名者签署的更新策略可以变更设备的应用控制策略,这与AppLocker相比是显著的改进,AppLocker可被具有管理权限的攻击者访问。
Device Guard的工作原理是利用设备处理器和主板芯片组中IOMMU(输入输出内存管理单元)功能来隔离其本身与Windows的其他部分。这种虚拟化辅助安全技术利用了一种新的Hyper-V组件,称为虚拟安全模式(VSM),这是受保护的VM,它直接位于管理程序中,并与Windows 10内核隔离。当设备启动时,通用可扩展固件接口(UEFI)安全启动可确保Windows启动组件先于其他组件启动,以防止启动工具包执行。接下来,Hyper-V虚拟安全(VBS)技术开始运行来隔离核心Windows服务,这些服务主要用于确保操作系统安全性和完整性的关键。通过阻止恶意软件在启动过程运行或启动后在内核运行,这种隔离可保护内核、特权驱动程序和系统防御(例如反恶意软件程序)。同时,可信平台模块(TPM)也将启动,这是独立的硬件组件,它可保护用户凭证和证书等敏感数据。另外,TPM可存储系统安全启动的证明,这可用来在允许设备连接到网络之前验证其完整性。
在启用VBS的同时,Device Guard在与Windows内核以及操作系统其余部分隔离的VSM容器中运行自己的Windows准系统实例,这不会被其他软件篡改。但Device Guard不只是内核模式代码签名的更新版本;它还提供用户模式代码完整性检查,以确保在用户模式运行的事物(例如设备、通用Windows平台应用或典型的Windows应用)得到签名和受信任。即使恶意软件感染机器,它也无法访问Device Guard容器或绕过代码签名检查来执行恶意负载。这将让攻击者更难运行恶意软件--即使他拥有完整的系统权限,攻击者也很难安装代码坚持到重新启动后,再通过高级持续威胁来永久地感染设备。
虽然Microsoft Device Guard并不意味着Windows 10恶意软件的终结,但它提高了攻击者安装恶意代码的障碍。我们都知道,数字签名的应用已经存在很长时间,但这是第一次管理员可轻松地管理它们以确保企业设备的完整性以及执行自己的综合信任模型。只有企业授权的应用将被信任,而不是防病毒程序认为受信任的应用,但这里仍然需要部署这两个解决方案:Device Guard阻止可执行文件和基于脚本的恶意软件,而防病毒程序可涵盖Device Guard无法涵盖的攻击媒介,例如基于JIT的应用以及Office文档内的宏。
Credential Guard
据微软称,约80%到90%数据泄露事故是源自凭证被盗,攻击者使用偷来的域和用户登录凭证来访问网络和其他计算机。Window NT局域网管理器(NTLM)身份验证是微软使用的挑战-响应身份验证协议,它存在大多数Windows环境中,这种协议的最大问题是,攻击者并不一定需要获取用户的明文密码,就可以进行身份验证来访问远程服务器或服务;而是使用他们密码的哈希值。当用户登录到Windows时,系统中安装的恶意软件可收集哈希值,并可使用它们来模拟用户。这种攻击被称为“哈希传递”和“票据传递”攻击,名称取决于攻击者以哪种登录凭证为目标。尽管微软的Kerberos安全包改进了NTLM的安全性,但通过使用这些攻击技术来绕过身份验证系统,NTLM仍可能受到攻击。
这种攻击被用在很多高知名度的数据攻击事故中,其中包括美国人事管理局攻击事件。为了防止这种攻击,Windows 10企业版使用了被称为Credential Guard的新功能来保护VSM内的登录凭证,VSM只有足够的功能运行登录服务用于身份验证代理。访问令牌和票据以完全随机且全长度哈希值存储,可避免暴力攻击。通过使用与Device Guard相同的基于硬件和虚拟化的安全技术,即使恶意代码获得完整的系统权限,攻击者都无法访问Credential Guard存储的任何数据。
企业将需要投资于硬件和软件来利用Windows 10企业版的很多新安全功能,其中Microsoft Device Guard和Credential Guard需要满足以下要求:
·UEFI 2.3.1或更高版本
·虚拟化扩展,例如Intel VT-d或AMD-Vi
·64位版本的Windows Enterprise 10
·IOMMU
·TPM芯片2.0版
·Secure Boot
硬件供应商已经开始生产Device Guard-capable或Device Guard-ready设备,包括惠普、宏碁、联想和东芝等,但这些设备并不是轻量级、低成本、消费类设备。Device Guard-ready意味着设备具有所需的IOMMU硬件、为Device Guard优化的内核驱动程序,并启用了安全功能,而Device Guard-capable设备只有IOMMU硬件,驱动程序安装和配置主要取决于系统管理员。另一个要求是域控制器运行Windows Server 2016。
部署Microsoft Device Guard
如果企业想要利用Windows 10企业版新安全功能,最好的方法是创建一个新域,其中为设备符合硬件要求的用户启用Device Guard、Credential Guard和其他功能。微软提供了多种选项来创建代码完整性政策,包括扫描系统来对所有安装应用创建清单。在默认情况下,政策创建时启用了审核模式,这意味着政策不会被执行,而是会记录所有被阻止在事件日志的文件,这让管理员可在完全实施该政策之前评估所有问题。而那些无法升级的机器或遗留系统会保留在现有域中,让安全团队可专注于保护特权账户以及部署恶意软件检测和解决方案。
Device Guard和Credential Guard相结合,再加上Microsoft Passport和Windows Hello,这肯定会减少很多常见攻击技术的成功率,并可帮助保护Windows环境,但有效地使用这些功能不仅需要正确的硬件,还需要人员培训。SANS一致认为计算机安全漏洞的主要原因之一是“指派未经培训的人员来维护安全,既不提供培训也不提供时间来让人员学习和完成工作”。Windows 10安全功能很不同,企业应该安排时间让IT团队来学习如何更好地使用和部署这些安全功能。
Device Guard能否成功阻止恶意软件感染取决于基于管理程序的安全的坚固性,这仍然有些不明确。Device Guard可能在自己严格控制的安全执行环境中运行,但此前“安全执行环境”已经被击败,同时,尽管可阻止哈希传递攻击,Credential Guard无法抵御按键记录程序。此外,对于提交到Windows Store的应用,企业完全需依靠审批过程的质量,而企业和软件供应商将需要保护签名证书,否则整个信任模式都会受影响。
Windows 10提供的这种安全水平需要企业升级原有的硬件,较旧的操作系统可能会减慢广泛部署。然而,随着新欧洲数据保护法增加高达4%全球年营业额的罚款金额,企业可以做出决定是否应该全面投资来确保其系统的完整性。