Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Надежная загрузка (безопасная загрузка + измеряемая загрузка)
Windows 11 требуется, чтобы все компьютеры использовали функцию безопасной загрузки интерфейса UEFI. При запуске устройства Windows 11 безопасная загрузка и надежная загрузка работают вместе, чтобы предотвратить загрузку вредоносных программ и поврежденных компонентов. Безопасная загрузка обеспечивает начальную защиту, после чего доверенная загрузка продолжает процесс.
Безопасная загрузка создает безопасный и надежный путь из единого расширяемого интерфейса встроенного ПО (UEFI) через последовательность доверенной загрузки ядра Windows. Подтверждение принудительного применения подписей на протяжении всей последовательности загрузки между средами UEFI, загрузчика, ядра и приложений блокирует атаки вредоносных программ в загрузочной последовательности Windows.
Чтобы снизить риск использования коркитов встроенного ПО, компьютер проверяет цифровую подпись встроенного ПО в начале процесса загрузки. Затем безопасная загрузка проверяет цифровую подпись загрузчика ОС и весь код, который выполняется до запуска операционной системы, гарантируя, что сигнатура и код являются некомпрометизированными и доверенными в соответствии с политикой безопасной загрузки.
Trusted Boot продолжает процесс, который запускает безопасная загрузка. Загрузчик Windows проверяет цифровую подпись ядра Windows перед загрузкой. Ядро Windows проверяет все остальные компоненты процесса запуска Windows, включая драйверы загрузки, файлы запуска и драйвер защиты от вредоносных программ (ELAM) любого антивредоносного продукта. Если какой-либо из этих файлов был изменен, загрузчик обнаруживает проблему и отказывается загружать поврежденный компонент. Часто Windows может автоматически восстановить поврежденный компонент, восстанавливая целостность Windows и позволяя компьютеру нормально запускаться.
Подробнее
Cryptography
Шифрование использует код для преобразования данных, чтобы только определенный получатель смог прочитать их с помощью ключа. Шифрование обеспечивает конфиденциальность, чтобы никто, кроме предполагаемого получателя, не мог считывать данные, целостность данных, чтобы гарантировать, что данные не подделываются, и проверка подлинности, которая проверяет удостоверение для обеспечения безопасности обмена данными. Стек шифрования в Windows распространяется от микросхемы до облака, позволяя Windows, приложениям и службам защищать системные и пользовательские секреты.
Шифрование в Windows сертифицировано по федеральным стандартам обработки информации (FIPS) 140 . Сертификация FIPS 140 гарантирует, что используются только утвержденные правительством США алгоритмы (RSA для подписывания, ECDH с кривыми NIST для согласования ключей, AES для симметричного шифрования и SHA2 для хэширования), проверяет целостность модуля, чтобы доказать, что не произошло никаких изменений, и подтверждает случайность для источников энтропии.
Модули шифрования Windows предоставляют низкоуровневые примитивы, такие как:
- Генераторы случайных чисел (RNG)
- Симметричное и асимметричное шифрование (поддержка AES 128/256 и RSA 512–16384 с 64-разрядными приращениями и ECDSA по сравнению со стандартными NIST кривыми P-256, P-384, P-521)
- Алгоритмы после квантовых вычислений (ML-KEM, ML-DSA)
- Хэширование (поддержка SHA-256, SHA-384, SHA-512 и SHA-3*)
- Подписывание и проверка (поддержка OAEP, PSS, PKCS1)
- Соглашение ключа и наследование ключа (поддержка ECDH по сравнению со стандартными NIST простых кривых P-256, P-384, P-521 и HKDF)
Windows изначально предоставляет криптографические модули через API шифрования (CAPI) и API шифрования следующего поколения (CNG), который работает на базе криптографической библиотеки Майкрософт С открытым кодом SymCrypt. SymCrypt является частью обязательств корпорации Майкрософт по обеспечению прозрачности, которая включает в себя глобальную программу безопасности для государственных организаций Майкрософт , которая направлена на предоставление конфиденциальной информации и ресурсов безопасности, необходимых людям, чтобы доверять продуктам и службам Майкрософт. Программа предоставляет контролируемый доступ к исходному коду, обмену информацией об угрозах и уязвимостях, возможности для взаимодействия с техническим контентом о продуктах и службах Майкрософт, а также доступ к пяти глобально распределенным Центрам прозрачности. Разработчики приложений могут использовать API для выполнения низкоуровневых криптографических операций (BCrypt), операций хранения ключей (NCrypt), защиты статических данных (DPAPI) и безопасного совместного использования секретов (DPAPI-NG).
Windows включает поддержку семейства хэш-функций SHA-3 и функций, производных от SHA-3 (SHAKE, cSHAKE и KMAC). Ниже приведены последние стандартизированные хэш-функции Национального института стандартов и технологий (NIST), и их можно использовать с помощью библиотеки Windows CNG:
- Поддерживаемые хэш-функции SHA-3: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 не поддерживается)
- Поддерживаемые алгоритмы SHA-3 HMAC: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512
- Поддерживаемые алгоритмы, производные от SHA-3: расширяемые выходные функции (XOF) (SHAKE128, SHAKE256), настраиваемые XOFs (cSHAKE128, cSHAKE256) и KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).
Шифрование после квантовых вычислений
Ранее в этом году мы поделились поддержкой постквантовых алгоритмов (ML-KEM, ML-DSA) в нашей основной криптографической библиотеке SymCrypt. Мы следили за этим выпуском с поддержкой в программе предварительной оценки Windows через CNG и функции обмена сообщениями сертификатов и шифрования. Мы рады расширить эту поддержку до последней сборки Windows 11.
Использование ML-KEM в сценариях, в которых требуется инкапсуляция открытого ключа или обмен ключами, может помочь подготовиться к сбору урожая сейчас, расшифровать более поздние угрозы.
Ниже приведены поддерживаемые наборы параметров:
| Алгоритм | Размер открытого ключа | Размер шифрового текста | Общий размер секрета | Уровень безопасности NIST |
|---|---|---|---|---|
| ML-KEM 512 | 800 байт | 768 байт | 32 байта | Уровень 1 |
| ML-KEM 768 | 1184 байта | 1 088 байт | 32 байта | Уровень 3 |
| ML-KEM 1024 | 1 568 байт | 1 568 байт | 32 байта | Уровень 5 |
Добавление ML-DSA в API шифрования следующего поколения (CNG) позволяет разработчикам начать экспериментировать с алгоритмами PQC для сценариев, требующих проверки удостоверения, целостности или подлинности с помощью цифровых подписей.
Ниже приведены поддерживаемые наборы параметров:
| Алгоритм | Размер открытого ключа | Размер закрытого ключа | Размер подписи | Уровень безопасности NIST |
|---|---|---|---|---|
| ML-DSA-44 | 1312 байт | 2 560 байт | 2420 байт | Уровень 2 |
| ML-DSA-65 | 1 952 байта | 4 032 байта | 3 309 байт | Уровень 3 |
| ML-DSA-87 | 2 592 байта | 4 896 байт | 4 627 байт | Уровень 5 |
Посетите страницу разработчика криптографии , чтобы узнать больше о том, как начать работу!
Сертификаты
Для защиты и проверки подлинности информации Windows предоставляет комплексную поддержку сертификатов и управления сертификатами. Используйте встроенную программу командной строки управления сертификатами (certmgr.exe) или оснастку консоли управления Майкрософт (MMC) (certmgr.msc) для просмотра сертификатов, списков доверия сертификатов (CTLs) и списков отзыва сертификатов (CCL) и управления ими. Каждый раз, когда вы используете сертификат в Windows, система проверяет, что конечный сертификат и все сертификаты в цепочке доверия не отозваны или скомпрометированы. Доверенные корневые и промежуточные сертификаты, а также общедоступные отозванные сертификаты на компьютере служат эталоном для доверия к инфраструктуре открытых ключей (PKI) и обновляются ежемесячно программой Microsoft Trusted Root. Если отозван доверенный сертификат или корневой каталог, обновляются все глобальные устройства, чтобы пользователи могли доверять автоматической защите Windows от уязвимостей в инфраструктуре открытых ключей. Для облачных и корпоративных развертываний Windows также предоставляет пользователям возможность автоматической регистрации и продления сертификатов в Active Directory с помощью групповой политики, чтобы снизить риск потенциальных сбоев из-за истечения срока действия сертификата или неправильной настройки.
Подписывание и целостность кода
Чтобы убедиться, что файлы Windows являются надежными и не были изменены, процесс целостности кода Windows проверяет сигнатуру каждого файла, выполняемого в ядре Windows. В системах, применяющих интеллектуальное управление приложениями или политику управления приложениями для бизнеса, Windows расширяет проверку целостности кода на все двоичные файлы пользовательского режима, которые также выполняются. Подписывание кода является основой для обеспечения целостности встроенного ПО, драйверов и программного обеспечения на платформе Windows. Подписывание кода создает цифровую подпись путем шифрования хэша файла с помощью закрытого ключа из сертификата подписи кода и внедрения этой подписи в файл или каталог подписей. Процесс целостности кода Windows проверяет целостность подписанного файла, сравнивая его хэш с хэшем со знаком, и подтверждает, что подписыватель является авторитетным издателем.
Среда Windows оценивает цифровую подпись в коде загрузки Windows, коде ядра Windows и приложениях пользовательского режима Windows. Перед выполнением целостности кода безопасная загрузка проверяет подпись загрузчиков, ПАРАМЕТРОВ ПЗУ и других загрузочных компонентов, чтобы убедиться, что файлы не изменены и поступают от надежного и авторитетного издателя. Для драйверов, которые корпорация Майкрософт не публикует, целостность кода в режиме ядра проверяет подпись драйверов ядра и требует, чтобы драйверы были подписаны Windows или сертифицированы программой совместимости оборудования Windows (WHCP). Эта программа гарантирует, что сторонние драйверы совместимы с различным оборудованием и Windows, а драйверы — от проверяемых разработчиков драйверов.
Аттестация работоспособности устройства
Процесс аттестации работоспособности устройств Windows поддерживает парадигму "Никому не доверяй", которая перемещает фокус со статических периметров на основе сети на пользователей, ресурсы и ресурсы. Процесс аттестации подтверждает, что устройство, встроенное ПО и процесс загрузки находятся в хорошем состоянии и не были изменены, прежде чем они смогут получить доступ к корпоративным ресурсам. Процесс делает эти определения с данными, хранящимися в TPM, который обеспечивает безопасный корень доверия. Эти сведения отправляются в службу аттестации, например Аттестация Azure, чтобы убедиться, что устройство находится в доверенном состоянии. Затем облачное решение для управления устройствами, например Microsoft Intune[3], проверяет работоспособность устройства и подключает эти сведения к Microsoft Entra ID[3] для условного доступа.
Windows включает множество функций безопасности для защиты пользователей от вредоносных программ и атак. Однако компоненты безопасности являются надежными только в том случае, если платформа загружается должным образом и не изменена. Как отмечалось ранее, Windows использует безопасную загрузку UEFI, ELAM, DRTM, надежную загрузку и другие низкоуровневые аппаратные и встроенные функции безопасности для защиты компьютера от атак. С момента включения компьютера до запуска антивредоносного ПО Windows поддерживается соответствующими конфигурациями оборудования, которые помогут обеспечить безопасность. Измеряемая загрузка, реализованная загрузчиками и BIOS, проверяет и криптографически записывает каждый шаг загрузки в цепочке. Эти события привязаны к доверенному платформенный платформенный модуль, который функционирует как аппаратный корень доверия. Удаленная аттестация — это механизм, с помощью которого служба считывает и проверяет эти события для предоставления проверяемого, объективного и устойчивого к незаконному преобразованию отчета. Удаленная аттестация — это доверенный аудитор загрузки системы, позволяющий зависящим сторонам привязать доверие к устройству и его безопасности.
Ниже приведены инструкции по аттестации на устройстве с Windows.
- На каждом этапе процесса загрузки, например при загрузке файла, обновлении специальных переменных и т. д., такие сведения, как хэши файлов и сигнатуры, измеряются в регистре конфигурации платформы доверенного платформенного модуля (PCR). Спецификация группы доверенных вычислений привязывает измерения и определяет, какие события можно записывать и формат каждого события. Эти данные предоставляют важную информацию о безопасности устройства с момента его включения.
- После загрузки Windows аттестер (или средство проверки) запрашивает TPM для получения измерений, хранящихся в его PCR, вместе с журналом измеряемой загрузки. Вместе эти измерения формируют свидетельство аттестации, отправленное в службу Аттестация Azure.
- Служба сертификатов Azure проверяет TPM с помощью ключей или криптографических материалов, доступных на наборе микросхем.
- Служба Аттестация Azure получает указанные выше сведения, чтобы убедиться, что устройство находится в доверенном состоянии.
Подробнее
Параметры политики безопасности Windows и аудит
Параметры политики безопасности играют решающую роль в общей стратегии безопасности. Windows предлагает полный набор политик параметров безопасности, которые ИТ-администраторы могут использовать для защиты устройств Windows и других ресурсов в вашей организации. Вы можете настроить параметры политики безопасности на одном или нескольких устройствах для управления:
- Проверка подлинности пользователей в сети или на устройстве
- Ресурсы, к которым пользователи могут получить доступ
- Запись действий пользователя или группы в журнал событий
- Членство в группе
Аудит безопасности — это одно из самых эффективных средств, которые можно использовать для поддержания целостности сети и ресурсов. Аудит помогает выявлять атаки, сетевые уязвимости и угрозы, связанные с высокоценными целевыми объектами. Вы можете указать категории событий, связанных с безопасностью, чтобы создать политику аудита, адаптированную к потребностям вашей организации, с помощью поставщиков служб конфигурации (CSP) или групповых политик.
Все категории аудита отключаются при первой установке Windows. Прежде чем включить их, выполните следующие действия, чтобы создать эффективную политику аудита безопасности.
- Определите наиболее важные ресурсы и действия.
- Определите параметры аудита, необходимые для их отслеживания.
- Оцените преимущества и потенциальные затраты, связанные с каждым ресурсом или параметром.
- Протестируйте эти параметры, чтобы проверить выбор.
- Разработайте планы развертывания политики аудита и управления ими.
Подробнее
Печать с защитой Windows
Печать с защитой Windows обеспечивает современную и безопасную систему печати, которая обеспечивает максимальную совместимость и ставит пользователей на первое место. Это упрощает процесс печати, позволяя устройствам печатать исключительно с помощью современного стека печати Windows.
К преимуществам защищенной печати Windows относятся:
- Повышенная безопасность компьютера
- Упрощенная и согласованная печать независимо от архитектуры компьютера
- Устраняет необходимость в управлении драйверами печати
Печать, защищенная Windows, работает только с сертифицированными принтерами Mopria. Многие существующие принтеры уже совместимы.
Подробнее
Rust для Windows
Rust — это современный язык программирования, известный своим акцентом на безопасность, производительность и параллелизм. Он предотвращает распространенные ошибки программирования, такие как разыменовка указателя NULL и переполнение буфера, что может привести к уязвимостям системы безопасности и сбоям. Rust обеспечивает эту защиту благодаря своей уникальной системе владения, которая обеспечивает безопасность памяти без необходимости сборщика мусора. Мы расширяем интеграцию Rust с ядром Windows, чтобы повысить безопасность и надежность базы кода Windows. Этот стратегический шаг подчеркивает нашу приверженность внедрению современных технологий для повышения качества и безопасности Windows.
Подробнее
Функциональные возможности sysmon
Функциональность sysmon скоро появится в Windows. Функциональные возможности Sysmon в Windows предоставляют простые в активации, многофункциональные и настраиваемые сигналы обнаружения угроз, которые ценят корпоративные команды безопасности, сторонние поставщики безопасности и другие партнеры. Предстоящий выпуск функций Sysmon в Windows поможет упростить операции, снизить нагрузку на развертывание и значительно повысить видимость журналов Windows. С помощью этой функции группы безопасности могут быстрее и эффективнее выявлять угрозы.
Подробнее