🔒 Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
Я обеспечиваю #безопасность своих аккаунтов с помощью #2FA везде, где она доступна. И при этом я давно вхожу в службы Google без одноразового кода, а в сервисы Microsoft - без пароля 😎
Сегодня в блоге запись о современных способах 2FA.
Постоянная ссылка в блоге: http://www.outsidethebox.ms/18835/
Я обеспечиваю #безопасность своих аккаунтов с помощью #2FA везде, где она доступна. И при этом я давно вхожу в службы Google без одноразового кода, а в сервисы Microsoft - без пароля 😎
Сегодня в блоге запись о современных способах 2FA.
Постоянная ссылка в блоге: http://www.outsidethebox.ms/18835/
Вадим Стеркин
Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
С момента публикации первой статьи о 2FA прошло почти два года, и за это время я несколько раз порывался дополнить ее. Однако в итоге изменений набежало на отдельную запись. Этот материал подразумевает, что вы прочли мою статью А вы защищаете свои аккаунты…
🔒 Защита целостности кода с помощью гипервизора (HVCI)
В #Windows10 1709 для изданий Pro и выше (включая S mode) можно укрепить #безопасность, включив защиту процессов режима ядра от инъекций и выполнения вредоносного или непроверенного кода.
Проверка целостности кода выполняется в защищенной среде, а разрешения страниц для режима ядра задаются и обслуживаются гипервизором Hyper-V. Защита работает на основе политик аудита WDAC (Windows Defender Application Control).
ℹ️ Достаточно скачать файл политик в CAB-архиве, распаковать его в System32\CodeIntegrity и убедиться, что включен гипервизор. После перезагрузки все должно работать, проверяется в msinfo32.
Документация с картинками, файл политики: https://goo.gl/oZ66mi
Статья в тему "Windows 10 Device Guard and Credential Guard Demystified": https://goo.gl/NWFxjZ
⚠️ После включения политики возможны конфликты с драйверами, BSODы, вплоть до невозможности загрузиться в ОС. В случае проблем просто удалите файл политик.
#HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC ✌️
В #Windows10 1709 для изданий Pro и выше (включая S mode) можно укрепить #безопасность, включив защиту процессов режима ядра от инъекций и выполнения вредоносного или непроверенного кода.
Проверка целостности кода выполняется в защищенной среде, а разрешения страниц для режима ядра задаются и обслуживаются гипервизором Hyper-V. Защита работает на основе политик аудита WDAC (Windows Defender Application Control).
ℹ️ Достаточно скачать файл политик в CAB-архиве, распаковать его в System32\CodeIntegrity и убедиться, что включен гипервизор. После перезагрузки все должно работать, проверяется в msinfo32.
Документация с картинками, файл политики: https://goo.gl/oZ66mi
Статья в тему "Windows 10 Device Guard and Credential Guard Demystified": https://goo.gl/NWFxjZ
⚠️ После включения политики возможны конфликты с драйверами, BSODы, вплоть до невозможности загрузиться в ОС. В случае проблем просто удалите файл политик.
#HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC ✌️
🔒 HVCI в #Windows10 1803
Вчера я рассказал, как включить защиту целостности кода с помощью гипервизора в сборке 1709 путем размещения файла политики в системной папке. В 1803 это уже можно сделать в графическом интерфейсе центра безопасности защитника Windows.
Там появился новый раздел
👍 Радует, что Microsoft не только укрепляет #безопасность, но и упрощает настройку защитных параметров Windows.
Вчера я рассказал, как включить защиту целостности кода с помощью гипервизора в сборке 1709 путем размещения файла политики в системной папке. В 1803 это уже можно сделать в графическом интерфейсе центра безопасности защитника Windows.
Там появился новый раздел
Безопасность устройства, где в категории Изоляция ядра в присутствует единственная настройка Целостность памяти. Это и есть #HVCI, в чем опять же помогает убедиться msinfo32 (на сей раз скриншот на русском из инсайдерской сборки). 👍 Радует, что Microsoft не только укрепляет #безопасность, но и упрощает настройку защитных параметров Windows.
🔄 Как избежать нежелательной перезагрузки после установки обновлений в Windows 10
Сегодня в блоге разбор причин нежелательной перезагрузки и настроек по ее предотвращению - от Параметров до групповых политик и соответствующих им значений реестра. В #Windows10 несколько политик зависят друг от друга, и контроль перезагрузки работает только при правильном их сочетании.
Прямая ссылка на запись блога: http://www.outsidethebox.ms/18895/
#безопасность #реестр #электропитание
Сегодня в блоге разбор причин нежелательной перезагрузки и настроек по ее предотвращению - от Параметров до групповых политик и соответствующих им значений реестра. В #Windows10 несколько политик зависят друг от друга, и контроль перезагрузки работает только при правильном их сочетании.
Прямая ссылка на запись блога: http://www.outsidethebox.ms/18895/
#безопасность #реестр #электропитание
Вадим Стеркин
Как избежать нежелательной перезагрузки после установки обновлений в Windows 10
На прошлой неделе Рунет облетела картинка с Pikabu. У какого-то мальчика Windows 10 запустила установку обновлений и ушла в перезагрузку за минуту до начала выступления. Он ловко заснял свой средний палец на фоне ноутбука, не осознавая, что показывал его…
🔒 Засветился ли ваш пароль в скомпрометированных списках
Есть замечательный сайт https://haveibeenpwned.com/ Троя Ханта, где по email можно проверить, были ли украдены ваши учетные данные при взломе сайтов. Один из моих адресов еще в 2013 году слили вместе с паролем при взломе Adobe, но с тех пор в список добавились Bitly и Discqus. Если ваш аккаунт скомпрометирован, логично сменить пароль.
🔓 Еще на сайте есть база слитых паролей https://goo.gl/N154WF Имеющиеся в ней пароли лучше нигде не использовать.
ℹ️ В конце февраля Трой объявил о запуске второй версии базы паролей. Главная фишка - API для сторонних анонимных запросов. В основе лежит k-Anonymity - математическое свойство, которое здесь применяется к хэшам паролей в форме диапазонных запросов. На эту тему есть двойной #longread в блогах Троя https://goo.gl/1FQUYD и CloudFlare https://goo.gl/qJzNgc
Именно этот API сразу задействовал популярный менеджер паролей 1Password https://goo.gl/HUyeX5 А на GitHub есть скрипт под Linux, при использовании которого пароль тоже не покидает ПК https://goo.gl/51q9Ux
#безопасность ✌️
Есть замечательный сайт https://haveibeenpwned.com/ Троя Ханта, где по email можно проверить, были ли украдены ваши учетные данные при взломе сайтов. Один из моих адресов еще в 2013 году слили вместе с паролем при взломе Adobe, но с тех пор в список добавились Bitly и Discqus. Если ваш аккаунт скомпрометирован, логично сменить пароль.
🔓 Еще на сайте есть база слитых паролей https://goo.gl/N154WF Имеющиеся в ней пароли лучше нигде не использовать.
12345 встречается там 2 млн раз :) Я хоть и доверяю сайту, но вводить свои пароли как-то не хотелось.ℹ️ В конце февраля Трой объявил о запуске второй версии базы паролей. Главная фишка - API для сторонних анонимных запросов. В основе лежит k-Anonymity - математическое свойство, которое здесь применяется к хэшам паролей в форме диапазонных запросов. На эту тему есть двойной #longread в блогах Троя https://goo.gl/1FQUYD и CloudFlare https://goo.gl/qJzNgc
Именно этот API сразу задействовал популярный менеджер паролей 1Password https://goo.gl/HUyeX5 А на GitHub есть скрипт под Linux, при использовании которого пароль тоже не покидает ПК https://goo.gl/51q9Ux
#безопасность ✌️
🔒 Принцип работы S Mode в Windows 10 и настройка Device Guard своими руками
Сегодня в блоге я срываю завесу таинственности с S Mode в #Windows10. Вы сможете легко протестировать этот режим с помощью готового файла политики контроля приложений (WDAC) или настроить свою политику, следуя инструкциям статьи.
➡️ Прямая ссылка на запись блога: http://www.outsidethebox.ms/18937/
#безопасность #PowerShell
Сегодня в блоге я срываю завесу таинственности с S Mode в #Windows10. Вы сможете легко протестировать этот режим с помощью готового файла политики контроля приложений (WDAC) или настроить свою политику, следуя инструкциям статьи.
➡️ Прямая ссылка на запись блога: http://www.outsidethebox.ms/18937/
#безопасность #PowerShell
Вадим Стеркин
Принцип работы S Mode в Windows 10 и настройка Device Guard своими руками
Сегодня я расскажу о том, как работает S Mode в Windows 10, а вы сможете попробовать его на практике, воспользовавшись готовыми политиками WDAC или настроив их самостоятельно.
🔒 ПИН-код в Windows 10
Сегодня в блоге нюансы чистой установки #Windows10 1803 с учетной записью Microsoft и различные аспекты использования ПИН-кода, которые уже знакомы постоянным читателям канала из более ранних публикаций.
➡️ http://www.outsidethebox.ms/19045/
#безопасность
Сегодня в блоге нюансы чистой установки #Windows10 1803 с учетной записью Microsoft и различные аспекты использования ПИН-кода, которые уже знакомы постоянным читателям канала из более ранних публикаций.
➡️ http://www.outsidethebox.ms/19045/
#безопасность
🔒 В продолжение темы PKI и руководства по развертыванию ЦС в организации https://t.me/sterkin_ru/614
У Вадимса Поданса есть модуль #PowerShell, упрощающий различные задачи управления PKI и службами сертификации Active Directory https://github.com/Crypt32/PSPKI Все командлеты снабжены подробной справкой и примерами.
Кстати, Вадимс недавно выпустил новую версию модуля - рассказ в его блоге https://goo.gl/9564qQ
#безопасность
У Вадимса Поданса есть модуль #PowerShell, упрощающий различные задачи управления PKI и службами сертификации Active Directory https://github.com/Crypt32/PSPKI Все командлеты снабжены подробной справкой и примерами.
Кстати, Вадимс недавно выпустил новую версию модуля - рассказ в его блоге https://goo.gl/9564qQ
#безопасность
Telegram
Windows 10, etc - Вадим Стеркин
⚙️ Установка центра сертификации на предприятии
PKI - большая и сложная тема, а материалы на русском по ней - большая редкость. Особенно такие развернутые, как цикл статей за авторством Вадимса Поданса. Он, пожалуй, единственный человек в публичном пространстве…
PKI - большая и сложная тема, а материалы на русском по ней - большая редкость. Особенно такие развернутые, как цикл статей за авторством Вадимса Поданса. Он, пожалуй, единственный человек в публичном пространстве…
👍 Сегодня у меня для вас #рекомендация - канал Microsoft Blogs https://t.me/msftblogs
В канале автоматически публикуются анонсы записей в технических блогах команд и отдельных специалистов Microsoft на английском языке. Тематика в целом совпадает с моим каналом, но с более сильным уклоном в IT Pro и #безопасность.
Полный список блогов вы найдете в описании канала. Ленты RSS пропущены через Feedburner, чтобы не было простыней. Публикация из RSS в Telegram реализована через IFTTT, в точности как я рассказывал в блоге http://www.outsidethebox.ms/18880/
Подписывайтесь на @msftblogs!
В канале автоматически публикуются анонсы записей в технических блогах команд и отдельных специалистов Microsoft на английском языке. Тематика в целом совпадает с моим каналом, но с более сильным уклоном в IT Pro и #безопасность.
Полный список блогов вы найдете в описании канала. Ленты RSS пропущены через Feedburner, чтобы не было простыней. Публикация из RSS в Telegram реализована через IFTTT, в точности как я рассказывал в блоге http://www.outsidethebox.ms/18880/
Подписывайтесь на @msftblogs!
Telegram
Microsoft Blogs
New posts in Microsoft technical blogs: IT Pro, Security, Office, Insiders.
List of blogs / RSS feeds: https://goo.gl/NEMCJV
Feedback / suggestions: @msftblogs_bot
List of blogs / RSS feeds: https://goo.gl/NEMCJV
Feedback / suggestions: @msftblogs_bot
🔒 Стали известны подробности защиты от скрытого изменения важных настроек безопасности в #Windows10 1903.
Настройка находится в приложении "#Безопасность Windows" и называется "Защита от подделки" / "Tamper Protection".
👉 Она препятствует отключению защитника Windows, в т.ч. групповой политикой или эквивалентными ей параметрами в реестре. Другими словами, сначала нужно отключить Tamper Protection вручную, через Intune или посредством Configuration Manager 2006+.
Кроме того, Tamper Protection предотвращает изменения этих компонентов защитника Windows:
• Защита в реальном времени (монитор)
• Облачная защита (ускоренная доставка сигнатур для новейших угроз)
• IOAV† (загрузка файлов из интернета и почты)
• Поведенческий анализ
• Удаление обновлений сигнатур
Защита включена при чистой установке. При обновлении с предыдущих версий она включается в том случае, если работает компонент облачной защиты.
Источник информации - блог разработчиков.
† Про IOAV в документации я нашел только API 20-летней давности (я пытал ПМа в твиттере, но он кинул ту же ссылку). То есть приложения могут использовать API, а могут и не использовать.
Скорее всего, API годами тянут для обратной совместимости. Но остальные компоненты в списке выше вполне современные.
ℹ️ Upd. Спустя какое-то время после публикации поста разработчики опубликовали документацию.
Настройка находится в приложении "#Безопасность Windows" и называется "Защита от подделки" / "Tamper Protection".
👉 Она препятствует отключению защитника Windows, в т.ч. групповой политикой или эквивалентными ей параметрами в реестре. Другими словами, сначала нужно отключить Tamper Protection вручную, через Intune или посредством Configuration Manager 2006+.
Кроме того, Tamper Protection предотвращает изменения этих компонентов защитника Windows:
• Защита в реальном времени (монитор)
• Облачная защита (ускоренная доставка сигнатур для новейших угроз)
• IOAV† (загрузка файлов из интернета и почты)
• Поведенческий анализ
• Удаление обновлений сигнатур
Защита включена при чистой установке. При обновлении с предыдущих версий она включается в том случае, если работает компонент облачной защиты.
Источник информации - блог разработчиков.
† Про IOAV в документации я нашел только API 20-летней давности (я пытал ПМа в твиттере, но он кинул ту же ссылку). То есть приложения могут использовать API, а могут и не использовать.
Скорее всего, API годами тянут для обратной совместимости. Но остальные компоненты в списке выше вполне современные.
ℹ️ Upd. Спустя какое-то время после публикации поста разработчики опубликовали документацию.
ℹ️ Реальные системные требования Windows 10
Я тут случайно наткнулся на замечательный документ:
➡️ Стандарты Microsoft для устройств на Windows 10 с высокими требованиями к безопасности
❗️ Содержимое страницы по ссылке выше изменилось. На момент публикации оно было таким.
Минимальные системные требования к #Windows10 не раз обсуждались в нашем чате @winsiders в контексте их смехотворности и оторванности от реальных требований к производительности даже в базовых домашних и офисных сценариях.
В такой ситуации затруднительно обосновать покупку устройств, обеспечивающих комфортную работу. Многие организации и потребители покупают что-то вроде Core-i3 + 4GB RAM + HDD, потом пользователи страдают, и все дружно обвиняют Windows 10.
Из этих дискуссий родился хороший совет опираться на рекомендуемую аппаратную конфигурацию изготовителей ПК 👍
Но всем хочется услышать именно Microsoft. И у компании есть не просто рекомендации, а именно стандарты минимальной аппаратной конфигурации. Просто контекст у них - #безопасность, а целевая аудитория - люди, принимающие решение о приобретении ПК.
Заметьте, что документ применим ко всем типам устройств общего назначения. Уверен, что мимо вас не пройдет SSD и минимум 8GB RAM при рекомендуемых 16GB. ✌️
Я тут случайно наткнулся на замечательный документ:
➡️ Стандарты Microsoft для устройств на Windows 10 с высокими требованиями к безопасности
❗️ Содержимое страницы по ссылке выше изменилось. На момент публикации оно было таким.
Минимальные системные требования к #Windows10 не раз обсуждались в нашем чате @winsiders в контексте их смехотворности и оторванности от реальных требований к производительности даже в базовых домашних и офисных сценариях.
В такой ситуации затруднительно обосновать покупку устройств, обеспечивающих комфортную работу. Многие организации и потребители покупают что-то вроде Core-i3 + 4GB RAM + HDD, потом пользователи страдают, и все дружно обвиняют Windows 10.
Из этих дискуссий родился хороший совет опираться на рекомендуемую аппаратную конфигурацию изготовителей ПК 👍
Но всем хочется услышать именно Microsoft. И у компании есть не просто рекомендации, а именно стандарты минимальной аппаратной конфигурации. Просто контекст у них - #безопасность, а целевая аудитория - люди, принимающие решение о приобретении ПК.
Заметьте, что документ применим ко всем типам устройств общего назначения. Уверен, что мимо вас не пройдет SSD и минимум 8GB RAM при рекомендуемых 16GB. ✌️
Docs
Windows 10 Secured-core PCs
This document provides an overview of the Windows 10 Secured-core PCs and Baseline Windows security for device purchase decision makers.
🔒 В Microsoft Authenticator для Android завезли облачный бэкап (в iOS он был относительно давно)
Это - очень ценная фича в случае покупки нового смартфона или полного сброса старого (и чем больше у вас сервисов с двухфакторной аутентификацией, тем она ценнее :)
Сам я давно пользуюсь Яндекс.Ключ, в первую очередь из-за бэкапа, а во вторую - потому что Яндекс изобрел для своей 2FA велосипед, несовместимый с другими приложениями.
Microsoft Auth у меня только для беспарольного входа в MSA. И не факт, что я побегу переезжать на него, ибо это займет время - у меня #2FA включена везде, где она есть.
Кстати, в этом году появились данные от Google и Microsoft, утверждающие фактически 100% эффективность 2FA против автоматизированных атак на аккаунт. Причем в исследовании Google рассматривался вариант с отправкой SMS на телефон нежели генерацией кода на устройстве.
Компания также раскрыла тему эффективности 2FA против целевых атак. В случае с отправкой SMS на телефон она составляет 66%, а при использовании запросов на устройстве (aka Google Prompt) - 90%.
2FA значительно укрепляет #безопасность ваших учетных записей. Если вы еще не используете ее, включите хотя бы на ключевых аккаунтах уже сейчас. #классика блога на тему 2FA и различных способах ее реализации:
• А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
• Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
Это - очень ценная фича в случае покупки нового смартфона или полного сброса старого (и чем больше у вас сервисов с двухфакторной аутентификацией, тем она ценнее :)
Сам я давно пользуюсь Яндекс.Ключ, в первую очередь из-за бэкапа, а во вторую - потому что Яндекс изобрел для своей 2FA велосипед, несовместимый с другими приложениями.
Microsoft Auth у меня только для беспарольного входа в MSA. И не факт, что я побегу переезжать на него, ибо это займет время - у меня #2FA включена везде, где она есть.
Кстати, в этом году появились данные от Google и Microsoft, утверждающие фактически 100% эффективность 2FA против автоматизированных атак на аккаунт. Причем в исследовании Google рассматривался вариант с отправкой SMS на телефон нежели генерацией кода на устройстве.
Компания также раскрыла тему эффективности 2FA против целевых атак. В случае с отправкой SMS на телефон она составляет 66%, а при использовании запросов на устройстве (aka Google Prompt) - 90%.
2FA значительно укрепляет #безопасность ваших учетных записей. Если вы еще не используете ее, включите хотя бы на ключевых аккаунтах уже сейчас. #классика блога на тему 2FA и различных способах ее реализации:
• А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
• Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
🔒 Продолжая тему 2FA, в блоге Azure AD Identity опубликовали хороший пост об уязвимостях процесса аутентификации.
Специалисты выделяют два глобальных направления атаки:
• Фишинг в реальном времени. Атакующий перенаправляет жертву на сайт с фальшивым процессом аутентификации, перехватывает введенные учетные данные (включая одноразовый пароль) и очень быстро вводит их на легитимном сайте.
• Захват коммуникационного канала аутентификации. Это - перехват SMS / звонка (тот же перевыпуск SIM) или пуш-уведомления.
Из таблицы в посте следует, что от обоих направлений надежно защищают только три метода #2FA:
• Аппаратный токен
• SMART-карта
• Windows Hello
Получается, что применительно к типичной авторизации в веб-сервисах (например, почте), от удаленных атак зашиту гарантирует только токен, хотя Hello тоже работает как минимум на ресурсах Microsoft.
Автор поста, отвечая на мои вопросы в Твиттере, пояснил, что приложение Microsoft Authenticator уязвимо к фишингу, но захват коммуникационного канала ему не страшен (злоумышленник должен получить контроль над устройством). Он написал, что защита от фишинга возможна только при аутентификации типа FIDO (с использованием USB/Bluetooth/NFC) и упомянул, что работа над этим ведется.
😎 Возможно, решение Microsoft позволит превратить телефон с их приложением в аппаратный токен, как это сделала Google на Android для своих аккаунтов. Поживем - увидим!
Поддержка же Яндекса на вопрос о перспективах защиты аккаунта аппаратным токеном ответила "возможно, в будущем". Думаю, для этого им понадобится вынести на помойку свой велосипед 2FA, так что будущее это видится мне отдаленным :)
Так или иначе, любая форма многофакторной аутентификации значительно повышает #безопасность аккаунта, практически сводя на нет автоматизированные (т.е. не целевые) атаки. Делайте выводы ✌️
Специалисты выделяют два глобальных направления атаки:
• Фишинг в реальном времени. Атакующий перенаправляет жертву на сайт с фальшивым процессом аутентификации, перехватывает введенные учетные данные (включая одноразовый пароль) и очень быстро вводит их на легитимном сайте.
• Захват коммуникационного канала аутентификации. Это - перехват SMS / звонка (тот же перевыпуск SIM) или пуш-уведомления.
Из таблицы в посте следует, что от обоих направлений надежно защищают только три метода #2FA:
• Аппаратный токен
• SMART-карта
• Windows Hello
Получается, что применительно к типичной авторизации в веб-сервисах (например, почте), от удаленных атак зашиту гарантирует только токен, хотя Hello тоже работает как минимум на ресурсах Microsoft.
Автор поста, отвечая на мои вопросы в Твиттере, пояснил, что приложение Microsoft Authenticator уязвимо к фишингу, но захват коммуникационного канала ему не страшен (злоумышленник должен получить контроль над устройством). Он написал, что защита от фишинга возможна только при аутентификации типа FIDO (с использованием USB/Bluetooth/NFC) и упомянул, что работа над этим ведется.
😎 Возможно, решение Microsoft позволит превратить телефон с их приложением в аппаратный токен, как это сделала Google на Android для своих аккаунтов. Поживем - увидим!
Поддержка же Яндекса на вопрос о перспективах защиты аккаунта аппаратным токеном ответила "возможно, в будущем". Думаю, для этого им понадобится вынести на помойку свой велосипед 2FA, так что будущее это видится мне отдаленным :)
Так или иначе, любая форма многофакторной аутентификации значительно повышает #безопасность аккаунта, практически сводя на нет автоматизированные (т.е. не целевые) атаки. Делайте выводы ✌️
Telegram
Windows 11, 10, etc - Вадим Стеркин
🔓 Вчера на Хабре был печальный пост про кражу домена путем взлома учетной записи Яндекс, защищенной двухфакторной аутентификацией.
На мой взгляд, эмоциональный пост и особенно заголовок шлют неверный посыл "2FA - зло", поэтому предлагаю посмотреть на ситуацию…
На мой взгляд, эмоциональный пост и особенно заголовок шлют неверный посыл "2FA - зло", поэтому предлагаю посмотреть на ситуацию…
☁️ Новое в блоге: OneDrive: нюансы личного хранилища (Personal Vault)
В #OneDrive появилась нововведение - личное хранилище, обеспечивающее дополнительную #безопасность самым ценным файлам.
Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности Personal Vault в различных сценариях.
➡️ Читать в блоге: http://www.outsidethebox.ms/19696/
В #OneDrive появилась нововведение - личное хранилище, обеспечивающее дополнительную #безопасность самым ценным файлам.
Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности Personal Vault в различных сценариях.
➡️ Читать в блоге: http://www.outsidethebox.ms/19696/
🔒 Блокировка потенциально нежелательных программ (PUA) в Edge Chromium и Windows 10
Microsoft недавно анонсировала новую защитную функцию, и я опишу ключевые моменты своими словами. Потому что в автоматическом переводе документации есть
Microsoft относит к PUA эти виды ПО:
• Программы, демонстрирующие рекламу, в т.ч. внедряющие рекламу в веб-страницы.
• Установщики, в которые упакованы другие программы, не подписанные тем же издателем или попадающие под определение PUA.
• Программы, активно уклоняющиеся от обнаружения защитными продуктами.
Более подробная классификация различной малвари тут.
В Edge Chromium защита кросс-платформенная, и работает она на основе SmartScreen. Переключатель в настройках конфиденциальности, и он легко находится поиском по
Функция присутствует в предварительных версиях браузера уже несколько недель, и на днях появится в стабильной.
В #Windows10 #безопасность обеспечивается в рамках защитника Windows, но в GUI выведена только в версии 20H1. В 1909 включить ее можно в #PowerShell от имени администратора:
Состояние защиты от PUA проверяется родственным командлетом
В документации также есть команды для отключения, режима аудита и добавления приложений в белый список.
✌️
Microsoft недавно анонсировала новую защитную функцию, и я опишу ключевые моменты своими словами. Потому что в автоматическом переводе документации есть
программное обеспечение для создания пучка и прочие радости :)Microsoft относит к PUA эти виды ПО:
• Программы, демонстрирующие рекламу, в т.ч. внедряющие рекламу в веб-страницы.
• Установщики, в которые упакованы другие программы, не подписанные тем же издателем или попадающие под определение PUA.
• Программы, активно уклоняющиеся от обнаружения защитными продуктами.
Более подробная классификация различной малвари тут.
В Edge Chromium защита кросс-платформенная, и работает она на основе SmartScreen. Переключатель в настройках конфиденциальности, и он легко находится поиском по
smart, см. картинку. Функция присутствует в предварительных версиях браузера уже несколько недель, и на днях появится в стабильной.
В #Windows10 #безопасность обеспечивается в рамках защитника Windows, но в GUI выведена только в версии 20H1. В 1909 включить ее можно в #PowerShell от имени администратора:
Set-MpPreference -PUAProtection enableСостояние защиты от PUA проверяется родственным командлетом
Get-MpPreference. В его выводе значение PUAProtection: 1 означает включенную защиту.В документации также есть команды для отключения, режима аудита и добавления приложений в белый список.
✌️
🔐 Про CPU в системных требованиях #Windows11
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Этот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр
👉 Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра
ℹ️ Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
#HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10 1803+, если процессор поддерживает MBEC (например, изначально заявляли процессоры Intel седьмого поколения). По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
📢 Читайте продолжение на эту тему https://t.me/sterkin_ru/1155
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС ✌️
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuardЭтот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр
AvailableSecurityProperties, например, так:(Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard).AvailableSecurityProperties👉 Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра
7, ваш ЦП поддерживается. ℹ️ Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
#HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10 1803+, если процессор поддерживает MBEC (например, изначально заявляли процессоры Intel седьмого поколения). По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
📢 Читайте продолжение на эту тему https://t.me/sterkin_ru/1155
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС ✌️
