کمیته رکن چهارم – نزدیک به دو ماه از عرضه رسمی Windows ۱۰ می گذرد. در این مقاله به دو قابلیت کلیدی، با نام های Device Guard و Credential Guard که تنها در نسخه های Enterprise و Education سیستم عامل جدید مایکروسافت ارائه شده اند اشاره می شود.
به گزارش کمیته رکن چهارم،قابلیت هایی که هدف آنها حفاظت از هسته سیستم عامل در برابر بدافزارها و حملات از راه دور نفوذگران است.
این مقاله ترجمه از مطلب Why Windows 10 is the most secure Windows ever است.
Device Guard با بهره بردن از امنیت مبتنی بر مجازی سازی، تنها اجازه اجرای برنامه های مورد اعتماد را می دهد. Credential Guard نیز با مجزا نمودن آنها در بستر مجازی سخت افزاری، از اطلاعات اصالت سنجی حفاظت می کند. مایکروسافت سرویس های حساس را در ماشین مجازی قرنطینه می کند تا از دست درازی نفوذگران به هسته و پروسه های حیاتی جلوگیری کند.
Device Guard از بخش های سخت افزاری و نرم افزاری ماشین برای کنترل برنامه ها و دادن مجور اجرا فقط به برنامه های مورد اعتماد، استفاده می کند. برنامه های قرار گرفته در فهرست سفید می بایست یک امضای معتبر داشته باشند.
هر چند که در طی این سال ها، بدافزارهایی نیز بوده اند که از گواهینامه های سرقتی یا جعلی برای امضا کد آلوده خود و جا زدن بدافزار به عنوان برنامه ای مورد اعتماد استفاده کرده اند اما بخش اعظم بدافزارها، کدهایی بدون امضا هستند و می توان امیدوار بود که این قابلیت توان مقابله با آنها را داشته باشد.
هر چند در نگاه اول، قابلیت Device Guard مشابه رویکرد شرکت Apple در قبال App Store به نظر می رسد اما با نگاهی دقیق تر می توان دریافت که مایکروسافت به خوبی متوجه این موضوع شده که سازمان های بزرگ با دامنه گسترده ای از برنامه ها سر و کار دارند.
سازمان ها می توانند برنامه های مورد اعتماد خود را بدون نیاز به تغییر کد به راحتی امضا کرده و آنها را در فهرست سفید قرار دهند.
برای این منظور، مایکروسافت در کنار Device Guard، ابزاری ارائه کرده که امکان امضا کردن برنامه هایی که ممکن است توسط سازنده امضا نشده باشد را فراهم می کند. واضح است که مایکروسافت، میان مسدود سازی کامل و باز نگه داشتن تمامی برنامه ها، حد وسط را انتخاب کرده است.
عملکرد Device Guard بسیار فراتر از یک ابزار فهرست سفید است. Device Guard، فهرست سفید را تحت حفاظت یک ماشین مجازی مدیریت می کند. بدین ترتیب بدافزارها و نفوذگران حتی با دسترسی در سطح Administrator نیز نمی توانند تنظیمات را تغییر دهند.
Device Guard سرویس های Windows را که وظیفه بررسی مجاز بودن راه انداز یا کدهای در سطح هسته مرکزی (Kernel) را بر عهده دارند، در یک ماشین مجازی نگهداری می کند. حتی اگر بدافزار دستگاه را آلوده کند، نمی تواند از سد این ماشین بگذرد و سرریزهای (Overflow) مخرب را فراخوانی کند. حال آنکه در AppLocker بدافزار یا نفوذگر با دسترسی در سطح Administrator قادر به دور زدن آن می شود.
Credential Guard نیز اطلاعات اصالت سنجی دامنه را در یک فضای مجازی و جدا از هسته مرکزی و سیستم عامل کاربر نگهداری می کند. در این وضعیت، حتی در صورت نفوذ به دستگاه، اطلاعات اصالت سنجی در اختیار نفوذگر قرار نمی گیرد.
در حملات پیشرفته، بدست آوردن اطلاعات اصالت سنجی برای دسترسی به منابع شبکه اهمیت بسزایی برای نفوذگران دارد.
به طور معمول زمانی که کابران وارد سیستم می شوند، درهم ساز (Hash) اطلاعات اصالت سنجی در حافظه سیستم عامل ذخیره می شود. در نسخه های پیشین Windows، اطلاعات اصالت سنجی، در Local Security Authority ذخیره می شوند. سیستم عامل این اطلاعات را از طریق Remote Procedure Call فراخوانی می کند. در این حالت، بدافزارها یا نفوذگران با ورود به یکی از دستگاه های شبکه می توانند به این اطلاعات دست یافته و با اجرای حملات Pass-the-Hash از آنها استفاده کنند.
با قرنطینه کردن این اطلاعات در یک فضای مجازی، Credential Guard از سرقت درهم ساز توسط نفوذگران جلوگیری خواهد کرد.
برخی کارشناسان با توجه به پیش نیازهای نرم افزاری و سخت افزاری برای بکارگیری این دو قابلیت امنیتی، پیش بینی می کنند که استفاده از این قابلیت ها در سازمان ها سال ها به درازا بکشد. قابلیت Secure Boot، پشتیبانی از مجازی سازی ۶۴ بیتی، Unified Extensible Firmware Interface و Trusted Platform Module که از نیازمندی های سخت افزاری استفاده از این دو قابلیت است، به طور معمول فقط در سیستم های سازمان های بزرگ یافت می شود.
اما می توان امیدوار بود در سال های آینده با تلفیق Device Guard و Credential Guard با سیستم اصالت سنجی دومرحله ای تحت نام Windows Hello و ابزار BitLocker راه بر نفوذگران و خرابکاران سایبری دشوارتر شود.
منبع:رسانه خبری امنیت اطلاعات
