Windows 10 Pro og Enterprise er de sikreste versjonene av Windows noensinne. Det er intelligente, skydrevne operativsystemer med koblinger til Microsoft 365 for sentralisert administrasjon og rapportering. Du får støtte for autentisering med fingeravtrykksavlesning og ansiktsgjenkjenning. Brukerlegitimasjon lagres i en virtuell maskin, utilgjengelig for angripere. Det er mekanismer for å forhindre utilsiktet og tilsiktet datalekkasje.
Nettleseren Edge bruker en isolert container for å skjerme Windows mot potensielle trusler. Du kan låse vertsoperativsystemet, så det bare kjører godkjent programvare. En samling verktøy forebygger forsøk på inntrengning, med fokus på utnyttelsesbeskyttelse, regler som reduserer angrepsflaten, nettverksskjerming og kontrollert adgang til mapper. Microsoft Defender ATP sørger for skytilkoblet integrasjon med de innebygde sikkerhetsfunksjonene i Windows 10.
Windows 10 Pro og Enterprise
Windows 10 Pro er et solid og trygt system, skapt for profesjonelle nettverk, men mangler enkelte av de avanserte sikkerhetsmekanismene ovenfor. Det følger med en begrenset versjon av Application Guard for å beskytte sesjoner med Microsofts nettlesere. Du har ikke Application Control for å kontrollere klarerte apper. Microsoft Defender ATP krever Windows 10 Enterprise E5 eller Microsoft 365 E5. Om du fortsatt er på Windows 7, er det på høy tid å oppgradere. Utvidet support slutter 14. januar 2020.
Identiteter, enheter og data
Sikkerhetsfunksjonene i Windows 10 Pro og Enterprise kan inndeles i tre kategorier. Det svarer til en utbredt modell innen moderne informasjonsteknologi. Bruker logger på med sin identitet på en enhet for å få tilgang til data. Da kan vi gruppere funksjonene på denne måten:
Identitets- og tilgangsstyring omfatter tofaktor-autentisering med biometrisk pålogging (Windows Hello) og virtualiseringsbasert sikkerhet for brukerlegitimasjon (Credential Guard).
- Trusselbeskyttelse inkluderer forbedret sikkerhet for Microsoft Edge (Application Guard); policybasert beskyttelse som hindrer tilgangen til ikke-godkjente applikasjoner (Application Control); samling verktøy for å forebygge vertsinntrenging (Exploit Guard); beskyttelse mot skadelig programvare (Windows Defender Antivirus); omfattende atferdsbasert analyse og varsling ved angrep (Microsoft Defender ATP).
- Informasjonssikring sørger for diskkryptering (BitLocker) og hindring av datatap (Windows Information Protection).
Hvert nivå må beskyttes. Samlet bidrar de til å bygge opp et effektivt lagdelt forsvar. La oss se nærmere på de enkelte komponentene og til slutt relatere dem til sikkerhetsmekanismene i skyen.
Windows Hello for Business
Windows Hello for bedrifter sørger for pålogging uten passord. Den erstattes med sterk tofaktor-autentisering. Den ene faktoren er enheten, den andre biometriske kjennetegn, med støtte for å avlese fingeravtrykk og gjenkjenne ansikter. Microsoft arbeider med å integrere irisskanning, men lite er foreløpig kjent. Sensorer kan svikte, og du har alltid muligheten til å falle tilbake på en PIN-kode som du må sette opp først.
Det kreves spesialisert maskinvare som fingeravtrykksleser, belyst infrarødt kamera med 3D-egenskaper eller andre biometriske sensorer, avhengig av godkjenningen som er aktivert. Moderne bærbare i det øvre prissjiktet kommer med innebygd støtte, så som Microsoft Surface Pro og Surface Book. Du kan ettermontere kameraet, som for eksempel et Intel RealSense 3D. Du kan koble til en ekstern fingeravtrykksavleser, men ikke alle er kompatible.
Velg Innstillinger > Konto > Påloggingsalternativer. Her kan du lære Windows Hello å gjenkjenne ansiktet ditt eller avlese fingeravtrykk ved å gå gjennom veivisere. Windows Hello aktiverer Microsoft Passport for å frigjøre legitimasjon som autentiserer deg til Azure Active Directory (AD), lokalt Windows AD (med Windows Server 2016/2019), Windows Store og nettjenester.
Med Windows Hello har du ingenting å miste (som et smartkort) og ingenting å glemme (som et langt og sammensatt passord). Data som identifiserer deg, blir liggende på lokal Windows 10-maskin og er knyttet til den. Informasjonen sendes aldri over nettverket. Derfor er en PIN-kode alltid tryggere enn et passord. En hacker trenger to ting for å bryte seg inn: din enhet og ditt hallo.
Windows Defender Credential Guard
Credential Guard beskytter mot inntrengere som er ute etter påloggingsinformasjon for privilegerte brukere med administrative rettigheter. Denne type angrep er utbredt og går under betegnelsene Pass the hash og Pass the ticket. I Windows lagres alle pålogginger siden siste oppstart i minnet. Det gir forenklet engangspålogging og er uhyre praktisk for deg som bruker. Du slipper stadig å måtte autentisere deg på nytt. Men det finnes også hacker-verktøy som kan nyttiggjøre seg disse opplysningene. Om for eksempel en domene-administrator har logget på maskinen, kan en angriper benytte seg av denne kontoen, opprette bakdører og kompromittere hele organisasjonen din.
Microsofts løsning er å virtualisere lagringsområdet for passordene, egentlig avtrykkene eller hash-verdiene. Credential Guard beskytter også Kerberos-billetter og alle påloggingsopplysninger som håndteres av Legitimasjonsbehandling (Credential Manager) – nettlegitimasjon og Windows-legitimasjoner.
I Windows håndterer den lokale sikkerhetsautoriteten (LSA) lokal sikkerhetspolicy – inkludert brukerautentisering, generering av tilgangstoken og overvåking. Den lengre betegnelse for tjenesten er Local Security Authority Subsystem Service (LSASS). Med Credential Guard splittes LSA i to. Det opprettes en isolerte autoritet som lagrer opplysningene i en egen minimalistisk virtuell maskin som hackere ikke får tilgang til.
Konsekvensen er at din Windows-instans også blir virtualisert oppå Hyper-V. Kommunikasjonen dem imellom foregår via begrensede og formaliserte fjerne prosedyrekall (RPCs). Credential Guard sikrer ikke lokale brukere og Microsoft-kontoer. Du kan aktivere funksjonen med konfigurasjonsprofiler i Intune, gruppepolicyer i Windows eller PowerShell.
Windows Defender Application Guard
Application Guard beskytter sesjoner med nettleserne Microsoft Edge og Internet Explorer mot kjente og ukjent angrep. Den benytter maskinvare-isolering for å hindre skadelig programkode fra nettsteder som ikke er klarerte. Som administrator er det du som definerer hvilke steder du stoler på, hva som er sky-ressurser og interne nettverk. Alt som ikke er på listen din, anses som upålitelig.
Hvis en bruker går til et ikke-betrodd nettsted, åpner Microsoft Edge det i en isolert Hyper-V-aktivert container som er atskilt fra vertsoperativsystemet. Om stedet viser seg å være skadelig, er verts-PCen beskyttet. Angriperen får ikke tilgang til bedriftsdata. Containeren er anonym. Dermed er det heller ingen fare for identitetslekkasje. Du konfigurerer Application Guard i Microsoft Intune eller System Center Configuration Manager.
Windows Defender Application Control
Application Control lar deg låse Windows til bare å kjøre godtatte programmer. All annen kode avvises. Dette gir en effektiv beskyttelse mot skadevare. Filosofien er basert på å hvitliste, til forskjell fra å svarteliste skadelig programvare, som krever stadig oppdaterte virusdefinisjoner. Dette er Microsofts tredje forsøk på å kontrollere applikasjoner og den mest elegante. Windows XP kom med Software Restriction Policies (SRP), Windows 7 med AppLocker.
Microsofts anbefaling er at du håndhever Application Control på det mest restriktive nivået og finjusterer begrensningene med AppLocker. Application Control er policybasert og benytter seg av kode-integritet som validerer hver fil før den lastes i minnet. Prosessen iverksettes av Windows-kjernen tidlig i oppstartssekvensen. Retningslinjene omfatter også kjernemoduskode, som drivere og Windows-komponenter, i tillegg til brukerprogrammer.
Application Control kan være tungvint å sette opp og vedlikeholde uten egnede verktøy som Microsoft Intune og System Center Configuration Manager. I sin enkleste form etablerer du en virusfri referansemaskin som er installert med alle applikasjoner i virksomheten. Så oppretter du en policy i skriptspråket PowerShell som du først kjører mot enheten i overvåkingsmodus. Etter nøye testing kan du endre modusen til håndhev. Klarerte applikasjoner identifiseres ved et signeringssertifikat. Du kan signere hver og én eller generere en katalogfil for alle. Sertifikater kan opprettes om du har en infrastruktur for offentlige nøkler (PKI) på plass. Andre muligheter er signtool.exe (Windows SDK) og signeringsportalen i Microsoft Store for Business.
Microsoft Intune forenkler oppsettet av Application Control i betydelig grad. Vi begynner med overvåkingsmodus på en referansemaskin og kontrollerer hendelseslisten der. Application Control godtar alle Windows-komponenter, Microsoft Store-apper og programmer med godt omdømme, slik det er definert av Intelligent Security Graph. Den trekker veksler på Microsofts sky-intelligens og enorme informasjon om trussel-analyser.
I Configuration Manager kan du angi den som klarert installasjonskilde. Alle programmer som distribueres med dette verktøyet, godtas automatisk av Application Control. Du kan inkludere Intelligent Security Graph og plusse på med applikasjoner som er installert på andre måter. La oss håpe at funksjonaliteten utvides på samme måte i Intune. Da har du få om ingen unnskyldninger lenger for ikke å ta i bruk applikasjonskontroll.
Windows Defender Exploit Guard
Exploit Guard er ny i Windows 10. Det er samling verktøy for å forebygge vertsinntrenging med fokus på å redusere filløse angrep. Funksjoner inkluderer utnyttelsesbeskyttelse, regler for å redusere angrepsflaten, nettverksskjerming og kontrollert mappeadgang. Utnyttelsesbeskyttelse er avhengig av regler du konfigurerer for å bruke det beskyttelsesnivået du ønsker. Regler for å redusere angrepsoverflaten er mer begrenset enn hva du får med Windows Defender ATP.
Hensikten med nettverksskjerming er å blokkere nettverkstrafikk som stammer fra datamaskinene dine og prøver å koble til destinasjoner med lavt omdømme. Tjenesten forbedres med Microsoft Defender ATP, fordi du får mer detaljert rapportering og ytterligere blokkeringsfunksjoner. Nettverksbeskyttelsen krever at sanntidsskanning er aktivert i Windows Defender Antivirus, og at skylevert beskyttelse er slått på.
Kontrollert mappetilgang beskytter bestemte filer, mapper og minneområder mot skadelig programvare. Den forsøker å blokkere uønskede endringer her. Sånn kan du blant annet gardere deg mot angrep fra løsepengevirus. Mekanismen krever også Windows Defender Antivirus.
Windows Defender Antivirus
Skadevare omfatter alt av uønsket programvare som gjør noe dårlig, som å skade systemer, stjele informasjon, bruke ressurser, drive med pengeutpressing, spionere på deg og poppe opp med reklame. Med skadelig programmer menes datavirus, ormer, trojanere, tastaturloggere, spionvare, løsepengevirus, root-kits og botnet.
Windows Defender Antivirus følger med gratis i Windows 10 og klarer å beskytte deg mot mye av dette. I likhet med tredjepartsløsninger ligger begrensningene i at det benyttes signaturfiler for å gjenkjenne virus. Virusskanningen foregår lynkjapt og med en høy grad av nøyaktighet. I tillegg benyttes såkalt heuristikk, kvalifiserte gjetninger ved virusliknende atferd. Problemet er at det tar tid fra et nytt virus ser dagens lys, blir identifisert og til et fingeravtrykk er på plass.
Du kan administrere virus- og trusselbeskyttelsen i Windows Sikkerhet. Her kan du oppdatere virusdefinisjoner, midlertidig deaktivere sanntidsbeskyttelsen og sette opp ekskluderinger for filer og mapper. I nettverk er det mer naturlig å håndtere Windows Defender Antivirus via gruppepolicyer –som riktig nok ikke har rapporteringsfunksjoner – System Center Configuration Manager eller Microsoft Intune.
Microsoft Defender Advanced Threat Protection (ATP)
Microsoft Defender ATP er en omfattende plattform designet for å hjelpe bedriftsnettverk med å hindre, oppdage, undersøke og respondere på avanserte trusler. Den krever at det opprettes en egen tenant (leietaker). Microsoft Defender ATP er ingen erstatning for Windows Defender, men utfyller den. Primært er det et post-mortem-verktøy (etter døden) for å undersøke et fullbyrdet angrep: Hvordan kom det seg inn? Hva er det? Hvor beveger det seg videre?
Windows Defender ATP er omdøpt til Microsoft ATP etter at de ble annonsert støtte for macOS. Løsningen benytter en kombinasjon av følgende teknologier som er innebygd i Windows 10 og Microsofts skytjeneste:
- Atferdssensorer på endepunkter er integrert i Windows 10. De samler og behandler atferdssignaler fra operativsystemet og sender disse sensordataene til din private, isolerte skyinstans av Microsoft Defender ATP.
- Skysikkerhetsanalysen utnytter store data, maskinlæring og unik Microsoft-optikk på tvers av Windows-økosystemet. Det omfatter skyplattformene Office 365 og Azure. Signaler oversettes til innsikt, oppdagelser og anbefalte svar på avanserte trusler.
- Trussel-intelligensen er generert av Microsoft-jegere og sikkerhetsteam, ytterligere forsterket av trussel-intelligens fra samarbeidspartnere. Med denne informasjonen kan Microsoft Defender ATP identifisere angrepsverktøy, teknikker og prosedyrer for derved å generere varsler når disse blir observert i innsamlede sensor-data.
BitLocker-stasjonskryptering
Kryptering er en prosess for å endre informasjon til en annen form for å skjule dens betydning for uautoriserte brukere. BitLocker sikrer sensitiv informasjon ved å kryptere hele disken. Beskyttelsen er sterkest om den kombineres med en maskinvarebasert TPM-brikke (Trusted Platform Module). Den oppfører seg som et smartkort som alltid står i leseren. Du kan lagre gjenopprettingsnøkler i Windows og Azure AD. BitLocker kan aktiveres i Kontrollpanel, men det gjøres typisk via gruppepolicyer eller – sånn som her – via Microsoft Intune.
Windows Information Protection
Windows Information Protection (WIP) – tidligere kjent som Enterprise Data Protection (EDP) –hjelper deg med å beskytte mot potensielle datalekkasjer på bedriftseide og personlige enheter. Hovedideen bak Windows Information Protection er å holde arbeids- og personopplysninger atskilt og beskytte bedriftsdata. Som et resultat kan WIP bidra til å redusere risikoen for (tilfeldig) datalekkasjer gjennom for eksempel apper og e-posttjenester som G-Mail, som er utenfor virksomhetenes kontroll. Derfor trenger WIP å vite forskjellen mellom personlige og arbeidsrelaterte data. Du kan kombinere WIP med Azure Information Protection i Microsoft 365.
Konklusjon
Microsoft 365 E3 og E5 bringer sammen Office 365, Enterprise Mobility + Security (EMS) og Windows 10. Office 365 gir deg funksjoner for kontorstøtte, samarbeid og kommunikasjon. EMS garanterer for trygg mobil produktivitet. Windows 10 Pro og Enterprise bidrar med de sikreste klientene. I Windows 10 får du beskyttet dine brukeridentiteter med Windows Hello og Credential Guard. Skytjenestene i Microsoft 365 sørger for utvidet identitetsbeskyttelse for vanlige og privilegerte brukere. Du får ytterligere sikret dem med multifaktor-autentisering og betinget tilgang. Microsoft Advanced Threat Analytics og Azure ATP hjelper deg med å oppdage identitetsangrep på nettverket.
Sikringen av klienten tar Windows 10 seg i høy grad selv av. Application Guard kjører Microsofts nettlesere i en virtuell container. Application Control låser maskinen til bare å bruke godtatte applikasjoner. Exploit Guard forebygger forsøk på inntrenging. Windows Defender Antivirus garderer mot skadelig programvare. Microsoft Defender ATP hjelper deg med å rydde opp etter et angrep. I skyen finner du dessuten Microsoft 365 ATP som beskytter mot nulldagstrusler, farlige vedlegg og koblinger. Exchange Online Protection sørger for å hindre skadevare i å komme inn i virksomheten via e-post – som fortsatt utgjør rundt 70 prosent av alle angrep.
BitLocker beskytter dataene dine ved å kryptere disker. Windows Information Protection forhindrer datalekkasje. Microsoft 365 plusser på med informasjons- og rettighetsbeskyttelse for å sikre informasjon. Det er en omfattende skybasert tjeneste for hindring av datatap. I Exchange er det flere måter å kryptere meldingsutveksling på. Kort sagt er det et imponerende festningsverk Microsoft reiser her. Det legges lag på lag i et effektivt dybdeforsvar som kan motstå de mest sofistikerte angrep. Ditt beste valg er Windows 10 Enterprise. Men du kommer langt med Windows Pro og Business – sistnevnte en spesialtilpasset utgave av Pro for Microsoft 365 for forretninger.