在微软周三举行的Windows 10活动中,安全性处于倒退状态,但这并不意味着Redmond尚未进行任何安全性调整。
卡巴斯基实验室高级研究员Kurt Baumgartner在一篇博客文章中写道,Windows 10具有“在此新代码库中开发的增强安全功能的非常长的清单,以及随该新平台引入的大量新攻击面”。
Spartan项目-新的浏览器头痛?
最大的变化之一是Web浏览器,因为大多数用户在Windows 10上看不到Internet Explorer。当前由Spartan项目开发的新浏览器与Internet Explorer有所不同,因为它带有全新的渲染引擎。 。 但是,微软了解向后兼容性,并说如果用户试图访问专为Internet Explorer设计的现有企业网站,Project Spartan将能够加载IE11引擎。
微软表示,Project Spartan的引擎应该具有HTTP严格传输安全性(HSTS)。 HSTS是一个HTTP标头,它通知浏览器始终通过SSL请求给定的域。 这将有助于减少中间人攻击面。 Microsoft尚未公开Project Spartan的其他安全功能,开发实践或沙箱。
即使这样,考虑到仅在2014年,各种版本的IE中就修补了200多个漏洞,放弃代码库并使用Project Spartan进行极简更新似乎是一个好主意。 鲍姆加特纳说:“简单地说,IE Web浏览器在2014年在所有Windows平台(包括最新版本)上都受到了冲击。”
但是,更不用说拥有大量用于通信和数据共享的新代码的Spartan项目了,不只是追随Microsoft每年必须修补数百个漏洞的历史吗? 他说:“希望他们的团队不会随身携带行李,但是新功能的负担似乎很大。”
与IE引擎的向后兼容性也可能会带来一些问题。 Spikes Security市场营销副总裁Franklyn Jones表示:“更多功能+跨平台支持+向后兼容性=更大的代码库(数百万行代码)。更大的代码库意味着可能存在更多的漏洞”他说,网络罪犯可以利用更大的攻击面。
认证与信任
Microsoft将阻止不受信任的应用程序在系统上安装。 可信度将通过应用程序的数字签名进行验证。 尽管这种受信任的签名模型是一种改进,但鲍姆加特纳表示Windows 10的处理方式“并不完美”。 过去的网络间谍攻击表明,数字证书很容易被窃取并重新用于攻击。 他说,参与者在各个组之间共享证书,并破坏了信任模型。
Windows 10将内置身份保护和访问控制以抵抗网络钓鱼攻击,要求用户使用PIN或生物识别的两因素身份验证以及数据丢失防护工具来自动加密保存在预定位置的公司数据,Microsoft之前说过。
新的操作系统拥有跨计算资源的数据共享服务的无缝集成,这意味着身份验证及其底层凭证和令牌不会在服务,应用程序和设备之间泄漏。 但目前尚不清楚Windows 10是否具有保护措施,以防止散列传递技术,使用“骨架键”对Active Directory的攻击,或针对Hyper-V和容器模型的访问和滥用令牌的攻击。 他说,安全研究人员应专注于微软如何实施凭据置备和访问令牌处理。
“用于安全共享公司数据的DLP实施也令人鼓舞,但是在能源受限的移动硬件中,DLP的强度有多大?” 鲍姆加特纳问。
