M
Mr.Dante
Гость
Функционал безопасности Windows 11: Когда подумали про безопасность, но забыли про пользователей
Всем привет, и сегодня у нас начинается вторничная рубрика «Вторничный разбор». На столе препарирования у нас в первом выпуске Windows 11, которая наделала шума еще до релиза. Вообще я скептически отношусь к обновлениям ОС. Как к частичным (модульным), так и к полноценным. Обычно в играх сначала выходит сырой проект, потом его допинывают патчами. У Майкрософт скорее наоборот, сначала все работает нормально, а потом обновление заставляет тебя учиться плясать с бубном. Но в 11 версии, ВОЗМОЖНО, все не так плохо, давайте глянем, что нам товарищ Билл, который Гейтс, принес нового из функций безопасности.
Модуль безопасности TPM 2.0
Вы когда-нибудь хотели выстрелить себе в ногу? Ну, знаете, так прям по серьезному, из крупного калибра? Вот в Майкрософт захотели. И даже выстрелили. Но сначала обозначим, что это за модуль, и для чего нужна эта бородавка.
TPM 2.0 работает напрямую с BitLocker, который шифрует данные внутри вашей операционной системы. Ключи шифрования хранятся как раз в нем. Как вы можете заметить, чип нужен второй ревизии. Видать с первой версией не заладилось. Да, такой подход повышает уровень безопасности, и вредоносному ПО будет тяжело получить доступ к данным. Конечно, он не спасет от того, что вас грабанет какой-нибудь нарк, которому до фени, что там у вас за данные и он просто отнесет ноут в ломбард. Но в плане цифровой безопасности — это весьма солидный шаг.
Теперь про любовь к простреливанию себе же ног. Чип этот нужен для установки ОС. Без него ее поставить нельзя (якобы, мы ведь все знаем, на что способно комьюнити, когда можно сову натянуть на глобус, глобус на линукс, и на все это установить DOOM). Чип может поставляться либо в распаянном виде на самой материнской плате, либо как отдельный модуль. Есть новенькие процессоры, которые могут эмулировать этот чип. Вам не кажется странным? Вроде создавалась ОС СПЕЦИАЛЬНО для безопасности и работы с этим чипом, а оказывается его можно эмулировать?
Но мы отошли от темы. Процессоры, начиная от Интела восьмой серии этот чип могут эмулировать. Но вот вопрос. Сидит небольшой офис и работает над своим продуктом. На ноутах или компах у них стоит 10 Винда. Но хочется ведь новую, супер безопасную. Казалось бы, можно и десятую версию обновить. Да вот беда, процессоры не подходят. И остается два варианта. Первый – сиди себе спокойно и работай под «десяткой. Но ведь Майкрософт убеждали всех, что 11 версия куда безопаснее. А тебе, как клиенту хочется этой безопасности. Второй вариант – переоснащай офис. То есть, сидишь ты работаешь с небольшой компанией над проектом, которому и i5 вполне достаточно, но хочешь безопасности – плати. Конечно, исследование на уязвимости и тут найдет прокол, пока не известно где, но он точно будет. Вполне реально, что напишут универсальный эмулятор этого чипа.
Вывод – смысла переоснащать ПК в компаниях нет, а это большая потеря рынка. Да, многие геймеры смогут себе это позволить. Но небольшая организация, которая хочет хранить данные в безопасности, но бюджет ее равен стоимости пошарпанного Рено, позволить себе такого не сможет. ИМХО – это мнение автора статьи, с вашим оно может не совпадать. Кто как хочет, тот так и «лопочет».
Windows Secured-Core PC
Еще одна новинка от Майкрософта. Причем, как мне кажется, с не самой удачной реализацией. Фактически название нам говорит о защищенном ядре. НО! Всегда есть «но». Защиты, как таковой, самого ядра нет. Фактически, весь функционал этой новинки буквально размазан на несколько сервисов. Знаете, это как чтобы получить одну справку, придется обойти прокуратуру, бухгалтерию, финансовый отдел, съездить в собес, переспать с проводницей поезда и накормить бомжа и угнать трамвай. Так и тут. Причем про «угнать трамвай» запомните, объясню позже почему.
Вот это вот «защищенное ядро» базируется на софтовой защите и защите «железа». Защита, которая базируется на ПО, основывается на следующих модуля (о каждом из них мы поговорим в статьях, которые будут выходит по средам):
Windows Hello
Вот тут нельзя не вспомнить блогера «Доктора Дью», с его цитатой: «Ой наравится, ой ху*та». И я расскажу почему.
Я просто напомню слова разработчиков сего продукта: «...традиционные пароли небезопасны, так как их трудно запомнить и поэтому люди либо выбирают пароли, которые легко угадать, либо записывают свои пароли». Система Windows Hello направлена на «беспарольную» защиту ПК и аккаунтов.
Мы уже привыкли к разной биометрии. На мобильниках и сканеры лица, и отпечатков, и чего только нет. Мне кажется, вот так как-нибудь застрянешь в какой-нибудь Барселоне, и чтобы туалет оплатить с NFC на улице будешь стоять пританцовывая, прикладывая к смартфону все конечности. Но что-то мы отвлеклись.
«Беспарольная защита» - это и есть все сканеры и датчики. НО «как я уже говорил», всегда есть «но». Мастер пароль все равно нужен. То есть, для беспарольной защиты нужен пароль, парадокс. Далее, если пароль будет введен несколько раз неправильно, надо будет ввести PIN-код. Максимально там можно использовать 10 знаков, и не просто знаков, а ЦИФР, только цифр. Я просто напомню, что новая GeForce 4090 в количестве 8 штук может взломать ПАРОЛЬ (цифры, буквы и знаки) менее чем за час.
Кстати, на предприятиях РФ используются другие технологии защиты, которые регулируются таким органом, как ФСТЭК России. Еще один минус в корзину «Хеллоу», то что она уже применялась на десятке, и достаточно давно в эксплуатации. Новой ее назвать нельзя.
Поддержка Microsoft Azure Attestation
Здесь коротко и ясно, для рядового пользователя не из Европы этот функционал почти бесполезен. Помните сертификаты безопасности, которые ранее служили той же цели? Вот это как раз почти то же самое, но серьезнее. Но ведь когда мы устанавливаем «крякнутый софт» или «репак», мы даже антивири отключаем. А во всем остальном, то есть, в действительно рабочих моментах, новинку придется тестировать. О ней мы поговорим подробнее в отдельной статье.
Телеметрия Windows 11
Для неопытных пользователей, телеметрия в Windows, если кратко, это сбор данных о пользователе. Этот вопрос мы так же разберем подробнее, но позднее.
То, что Майкрософт собирает конфиденциальные данные – это далеко не секрет. Да, это завернуто в оболочку безопасности. Да, замаскированно под упрощенную систему отчетов об ошибках ОС. Да, компания обязуется стирать все данные, которые не касаются ОС и ее надежности. И да, это все полное фуфло и компания точно собирает ваши данные, которых хватит, чтобы узнать кто вы, что вы, и на какой хентай последний раз «расслаблялись.
При настройке этого модуля пользователь может дать ему широкие возможности и настройки, или узкие. Приведу цитату с одно сайта:
При установке Windows даёт право выбрать данные, которые будет передавать в качестве телеметрии.
«При широких настройках — да, Windows собирает достаточно данных, чтобы знать о пользователе практически всё.
При узких настройках телеметрии процесс сбора построен таким образом, что занимающийся этим компонент старается избежать сбора информации, которая может напрямую идентифицировать человека.»
Мне, формулировка «старается избежать» кажется настолько «размазанной по смыслу, что скорее смысл ее будет звучать, как «если надо, то соберем, на сцы бро». В целом, оно так и есть. Ведь Майкрософт предупреждает:
«…когда Windows или приложение даёт сбой или зависает, содержимое памяти процесса, вызвавшего сбой, включается в диагностический отчёт, и этот аварийный дамп может содержать конфиденциальную информацию.»
То есть, мы понимаем, что даже самого сбоя мы, как пользователи, можем визуально и не увидеть, а система за сбой может посчитать все, что ей угодно. А потом сбор этой информации так же посчитать за сбой.
При установке системы нам предлагают отключить:
Post Scriptum
Не знаю, как относится к такой системе. Для меня переход с XP на «семерку» то был болезненным. На «десятку» я пересел легче. С одной стороны, да, ОС собирает данные о пользователе, даже важные, и маскирует это все под оберткой безопасности и заботы о пользователе. И мы все можем встать и сказать «Да вы все там ох…ели!».
С другой стороны, у пользователей просто нет альтернатив, ну кроме Linux, который рядовому юзверю будет ой как тяжело постичь. Да и, как бы, мы не боимся оставлять свои отпечатки пальцев в телефонах, которые тоже куда-то уходят. Показывать свои красивые лица в Face ID.
То есть, удобность и универсальность в повседневной жизни всегда будут граничить с контролем масс. Увы, это две ипостаси одно плоскости.
Поставил бы я себе Windows 11? Да, но только для ознакомления. Стал бы я на нем работать? Нет, пока все мои потребности удовлетворяет «десятка». Отвечая на вопрос, так ли безопасна Windows 11, как заявлялось? Я отвечу нет, и это будет только мое личное мнение, которое, опять же, с вашим может не совпадать.
Во-первых, когда ты создаешь защиту многосегмератного типа (основанной на многих модулях, которые друг от друга зависеть не должны), нельзя цеплять элементы между собой, как в случае с TPM 2.0 и Windows Secured-Core PC. Ведь обход одного элемента приведет АВТОМАТОМ к обходу другого. А для комьюнити нет непреодолимых задач.
Во-вторых, создавая беспарольные системы доступа, контроль которых основывается на паролях, ну… я даже не знаю, как это назвать. На самогон наклеить наклейку Hennessey, он все равно останется самогоном.
Назвать Windows 11 передовой в плане защиты информации, с таким тупым подходом к менеджменту в плане предполагаемой аудитории клиентов (это я про тех, у кого просто нет возможности купить новую материнку или процессор), никак не могу. Как и в плане самой безопасности. Статья получилась большая, тем кто дочитал – моя благодарочка. Буду рад вашему пальцу вверх, комментам, обсуждениям и прочему. И, конечно же, буду рад, если у вас возникнут идеи по разбору определенного ПО.
На этом у меня сегодня все, для вас писал Mr.Dante и это была рубрика «Вторничный разбор». Всем до связи!
Всем привет, и сегодня у нас начинается вторничная рубрика «Вторничный разбор». На столе препарирования у нас в первом выпуске Windows 11, которая наделала шума еще до релиза. Вообще я скептически отношусь к обновлениям ОС. Как к частичным (модульным), так и к полноценным. Обычно в играх сначала выходит сырой проект, потом его допинывают патчами. У Майкрософт скорее наоборот, сначала все работает нормально, а потом обновление заставляет тебя учиться плясать с бубном. Но в 11 версии, ВОЗМОЖНО, все не так плохо, давайте глянем, что нам товарищ Билл, который Гейтс, принес нового из функций безопасности.
Модуль безопасности TPM 2.0
Вы когда-нибудь хотели выстрелить себе в ногу? Ну, знаете, так прям по серьезному, из крупного калибра? Вот в Майкрософт захотели. И даже выстрелили. Но сначала обозначим, что это за модуль, и для чего нужна эта бородавка.
TPM 2.0 работает напрямую с BitLocker, который шифрует данные внутри вашей операционной системы. Ключи шифрования хранятся как раз в нем. Как вы можете заметить, чип нужен второй ревизии. Видать с первой версией не заладилось. Да, такой подход повышает уровень безопасности, и вредоносному ПО будет тяжело получить доступ к данным. Конечно, он не спасет от того, что вас грабанет какой-нибудь нарк, которому до фени, что там у вас за данные и он просто отнесет ноут в ломбард. Но в плане цифровой безопасности — это весьма солидный шаг.
Теперь про любовь к простреливанию себе же ног. Чип этот нужен для установки ОС. Без него ее поставить нельзя (якобы, мы ведь все знаем, на что способно комьюнити, когда можно сову натянуть на глобус, глобус на линукс, и на все это установить DOOM). Чип может поставляться либо в распаянном виде на самой материнской плате, либо как отдельный модуль. Есть новенькие процессоры, которые могут эмулировать этот чип. Вам не кажется странным? Вроде создавалась ОС СПЕЦИАЛЬНО для безопасности и работы с этим чипом, а оказывается его можно эмулировать?
Но мы отошли от темы. Процессоры, начиная от Интела восьмой серии этот чип могут эмулировать. Но вот вопрос. Сидит небольшой офис и работает над своим продуктом. На ноутах или компах у них стоит 10 Винда. Но хочется ведь новую, супер безопасную. Казалось бы, можно и десятую версию обновить. Да вот беда, процессоры не подходят. И остается два варианта. Первый – сиди себе спокойно и работай под «десяткой. Но ведь Майкрософт убеждали всех, что 11 версия куда безопаснее. А тебе, как клиенту хочется этой безопасности. Второй вариант – переоснащай офис. То есть, сидишь ты работаешь с небольшой компанией над проектом, которому и i5 вполне достаточно, но хочешь безопасности – плати. Конечно, исследование на уязвимости и тут найдет прокол, пока не известно где, но он точно будет. Вполне реально, что напишут универсальный эмулятор этого чипа.
Вывод – смысла переоснащать ПК в компаниях нет, а это большая потеря рынка. Да, многие геймеры смогут себе это позволить. Но небольшая организация, которая хочет хранить данные в безопасности, но бюджет ее равен стоимости пошарпанного Рено, позволить себе такого не сможет. ИМХО – это мнение автора статьи, с вашим оно может не совпадать. Кто как хочет, тот так и «лопочет».
Windows Secured-Core PC
Еще одна новинка от Майкрософта. Причем, как мне кажется, с не самой удачной реализацией. Фактически название нам говорит о защищенном ядре. НО! Всегда есть «но». Защиты, как таковой, самого ядра нет. Фактически, весь функционал этой новинки буквально размазан на несколько сервисов. Знаете, это как чтобы получить одну справку, придется обойти прокуратуру, бухгалтерию, финансовый отдел, съездить в собес, переспать с проводницей поезда и накормить бомжа и угнать трамвай. Так и тут. Причем про «угнать трамвай» запомните, объясню позже почему.
Вот это вот «защищенное ядро» базируется на софтовой защите и защите «железа». Защита, которая базируется на ПО, основывается на следующих модуля (о каждом из них мы поговорим в статьях, которые будут выходит по средам):
- Служба безопасности на основе виртуализации (VBS);
- Службы целостности кода гипервизора Windows (HVCI);
- Динамический корень доверия (DRTM);
- Windows Hello.
Windows Hello
Вот тут нельзя не вспомнить блогера «Доктора Дью», с его цитатой: «Ой наравится, ой ху*та». И я расскажу почему.
Я просто напомню слова разработчиков сего продукта: «...традиционные пароли небезопасны, так как их трудно запомнить и поэтому люди либо выбирают пароли, которые легко угадать, либо записывают свои пароли». Система Windows Hello направлена на «беспарольную» защиту ПК и аккаунтов.
Мы уже привыкли к разной биометрии. На мобильниках и сканеры лица, и отпечатков, и чего только нет. Мне кажется, вот так как-нибудь застрянешь в какой-нибудь Барселоне, и чтобы туалет оплатить с NFC на улице будешь стоять пританцовывая, прикладывая к смартфону все конечности. Но что-то мы отвлеклись.
«Беспарольная защита» - это и есть все сканеры и датчики. НО «как я уже говорил», всегда есть «но». Мастер пароль все равно нужен. То есть, для беспарольной защиты нужен пароль, парадокс. Далее, если пароль будет введен несколько раз неправильно, надо будет ввести PIN-код. Максимально там можно использовать 10 знаков, и не просто знаков, а ЦИФР, только цифр. Я просто напомню, что новая GeForce 4090 в количестве 8 штук может взломать ПАРОЛЬ (цифры, буквы и знаки) менее чем за час.
Кстати, на предприятиях РФ используются другие технологии защиты, которые регулируются таким органом, как ФСТЭК России. Еще один минус в корзину «Хеллоу», то что она уже применялась на десятке, и достаточно давно в эксплуатации. Новой ее назвать нельзя.
Поддержка Microsoft Azure Attestation
Здесь коротко и ясно, для рядового пользователя не из Европы этот функционал почти бесполезен. Помните сертификаты безопасности, которые ранее служили той же цели? Вот это как раз почти то же самое, но серьезнее. Но ведь когда мы устанавливаем «крякнутый софт» или «репак», мы даже антивири отключаем. А во всем остальном, то есть, в действительно рабочих моментах, новинку придется тестировать. О ней мы поговорим подробнее в отдельной статье.
Телеметрия Windows 11
Для неопытных пользователей, телеметрия в Windows, если кратко, это сбор данных о пользователе. Этот вопрос мы так же разберем подробнее, но позднее.
То, что Майкрософт собирает конфиденциальные данные – это далеко не секрет. Да, это завернуто в оболочку безопасности. Да, замаскированно под упрощенную систему отчетов об ошибках ОС. Да, компания обязуется стирать все данные, которые не касаются ОС и ее надежности. И да, это все полное фуфло и компания точно собирает ваши данные, которых хватит, чтобы узнать кто вы, что вы, и на какой хентай последний раз «расслаблялись.
При настройке этого модуля пользователь может дать ему широкие возможности и настройки, или узкие. Приведу цитату с одно сайта:
При установке Windows даёт право выбрать данные, которые будет передавать в качестве телеметрии.
«При широких настройках — да, Windows собирает достаточно данных, чтобы знать о пользователе практически всё.
При узких настройках телеметрии процесс сбора построен таким образом, что занимающийся этим компонент старается избежать сбора информации, которая может напрямую идентифицировать человека.»
Мне, формулировка «старается избежать» кажется настолько «размазанной по смыслу, что скорее смысл ее будет звучать, как «если надо, то соберем, на сцы бро». В целом, оно так и есть. Ведь Майкрософт предупреждает:
«…когда Windows или приложение даёт сбой или зависает, содержимое памяти процесса, вызвавшего сбой, включается в диагностический отчёт, и этот аварийный дамп может содержать конфиденциальную информацию.»
То есть, мы понимаем, что даже самого сбоя мы, как пользователи, можем визуально и не увидеть, а система за сбой может посчитать все, что ей угодно. А потом сбор этой информации так же посчитать за сбой.
При установке системы нам предлагают отключить:
- Местоположение.
- Диагностические данные (в т. ч. о посещении сайтов и об используемых приложениях; здесь присутствует примечание, что это — дополнительная информация, а есть ещё обязательная, которую не отключишь).
- Рукописный ввод и ввод с клавиатуры.
- Индивидуальные возможности (персональные диагностические данные).
- Идентификатор рекламы.
Post Scriptum
Не знаю, как относится к такой системе. Для меня переход с XP на «семерку» то был болезненным. На «десятку» я пересел легче. С одной стороны, да, ОС собирает данные о пользователе, даже важные, и маскирует это все под оберткой безопасности и заботы о пользователе. И мы все можем встать и сказать «Да вы все там ох…ели!».
С другой стороны, у пользователей просто нет альтернатив, ну кроме Linux, который рядовому юзверю будет ой как тяжело постичь. Да и, как бы, мы не боимся оставлять свои отпечатки пальцев в телефонах, которые тоже куда-то уходят. Показывать свои красивые лица в Face ID.
То есть, удобность и универсальность в повседневной жизни всегда будут граничить с контролем масс. Увы, это две ипостаси одно плоскости.
Поставил бы я себе Windows 11? Да, но только для ознакомления. Стал бы я на нем работать? Нет, пока все мои потребности удовлетворяет «десятка». Отвечая на вопрос, так ли безопасна Windows 11, как заявлялось? Я отвечу нет, и это будет только мое личное мнение, которое, опять же, с вашим может не совпадать.
Во-первых, когда ты создаешь защиту многосегмератного типа (основанной на многих модулях, которые друг от друга зависеть не должны), нельзя цеплять элементы между собой, как в случае с TPM 2.0 и Windows Secured-Core PC. Ведь обход одного элемента приведет АВТОМАТОМ к обходу другого. А для комьюнити нет непреодолимых задач.
Во-вторых, создавая беспарольные системы доступа, контроль которых основывается на паролях, ну… я даже не знаю, как это назвать. На самогон наклеить наклейку Hennessey, он все равно останется самогоном.
Назвать Windows 11 передовой в плане защиты информации, с таким тупым подходом к менеджменту в плане предполагаемой аудитории клиентов (это я про тех, у кого просто нет возможности купить новую материнку или процессор), никак не могу. Как и в плане самой безопасности. Статья получилась большая, тем кто дочитал – моя благодарочка. Буду рад вашему пальцу вверх, комментам, обсуждениям и прочему. И, конечно же, буду рад, если у вас возникнут идеи по разбору определенного ПО.
На этом у меня сегодня все, для вас писал Mr.Dante и это была рубрика «Вторничный разбор». Всем до связи!
Последнее редактирование модератором: