چرا ویندوز 10 با این دو ویژگی امن‌ترین سیستم‌عامل مایکروسافت شد (بخش اول)

با افزوده شدن ویژگی‌های امنیتی همچون Device Guard و Credential Guard ویندوز 10 حفاظت بی‌سابقه ای را در برابر نرم‌افزارهای مخرب و تهدیدات مداوم پیاده‌سازی کرده است. مایکروسافت این دو ویژگی امنیتی و کلیدی را ویژه کاربران سازمانی در نظر گرفته است. با این‌که این دو ویژگی از مؤلفه‌های اصلی ویندوز 10 به شمار می‌روند، اما تا همین اواخر سخن‌گویان و مهندسان مایکروسافت سعی می‌کردند، صحبت خاصی در مورد این دو مؤلفه به زبان نیاورند و بیشتر در خصوص فناوری‌های امنیتی دیگر ویندوز 10 همچون windows Hello صحبت کنند، به‌طوری که اگر اخبار و مقاله‌های حوزه فناوری اطلاعات  را مشاهده کنید، نگاه‌ها به سمت Windows Hello و پشتیبانی از فناوری‌هایی همچون تشخیص چهره و اثر انگشت معطوف شده بود.

مطلب پیشنهادی: راهنمای گام به گام نصب و پیکربندی آنتی‌ویروس در ویندوز 10

اما Device Guard و Credential Guard دو ویژگی قدرتمند امنیتی ویندوز 10 به شمار می‌روند که وظیفه محافظت از هسته مرکزی را در برابر بدافزارها بر عهده داشته و از دسترسی هکرها به کدها  و کنترل از راه دور ویندوز 10 پیش‌گیری به عمل می‌آورند. البته لازم به توضیح است دو ویژگی امنیتی Device Guard و Credential Guard تمرکزشان بر سیستم‌های تجاری قرار داشته و فقط در نسخه‌های Windows 10 Enterprise و Windows 10 Education آن‌ها را مشاهده می‌کنید. ایان ترامپ رهبر گروه امنیتی LogicNow در این‌باره می‌گوید: «اخبار منتشر شده نشان می‌دهند، مایکروسافت از مدت‌ها قبل تحقیقات مفصل و جامعی را در ارتباط با انواع مختلفی از حملات که مشتریان سازمانی این شرکت را هدف قرار داده بود، انجام داده است. این شرکت اقدام به تجزیه و تحلیل رخدادهای امنیتی کرده است که در طول سال‌های گذشته محصولات این شرکت را مورد حمله قرار داده بودند. تحقیقات انجام شده، فراز و نشیب‌های امنیتی محصولات این شرکت را به خوبی روشن کرده است. ماحصل تحقیقات انجام شده، دو مؤلفه Device Guard و Credential Guard  را به وجود آورند. اکنون Device Guard بر پایه امنیت مجازی‌سازمحور ویندوز 10 متمرکز شده است. این ویژگی به‌گونه‌ای عمل می‌کند که فقط به برنامه‌های قابل اعتماد اجازه اجرا شدن روی دستگاه را می‌دهد. در سوی دیگر Credential Guard از هویت سازمانی با ایزوله کردن آن‌ها در یک محیط مجازی سخت‌افزار محور محافظت به عمل می‌آورد. تصویر زیر نمای کلی فناوری Device Guard را نشان می‌دهد.

مایکروسافت سرویس‌های حیاتی ویندوز 10 را در یک ماشین مجازی قرار داده تا مانع از دسترسی هکرها به کرنل و دیگر فرآیندهای حساس شود. ویژگی‌های جدید بر مبنای همان هایپرویزوری که قبلا توسط hyper-v مورد استفاده قرار می‌گرفت قرار دارند.» چستر وینیوسکی استراتژیست ارشد شرکت کامپیوتری سوفوس در این‌باره می‌گوید: «به کارگیری فناوری مجازی‌ساز سخت‌افزار محور امکان توسعه فهرست سفید، و محافظت از هویت را در اختیار مایکروسافت قرار می‌دهد.

 برنامه‌های کاربردی تحت حفاظت 

Device Guard از هر دو جنبه سخت‌افزار و نرم‌افزار برای قفل کردن یک دستگاه استفاده می‌کند، همین موضوع باعث می‌شود تنها برنامه‌های قابل اعتماد اجازه اجرا داشته باشند. در این روش برنامه‌ها باید یک امضاء رمزنگاری شده معتبر را در در اختیار داشته باشند، در غیر این صورت برنامه‌ها اجازه ندارند به فروشگاه ویندوز استور وارد شوند. اما این امضاء به دو روش به دست می‌آید، اول آن‌که سازندگان نرم‌افزار خود محصولاتشان را امضاء کنند یا اگر نرم‌افزار از فروشگاه ویندوز استور عرضه می‌شود می‌بایست امضاء مایکروسافت را در اختیار داشته باشد. هر چند به تازگی گزارش‌هایی پیرامون بدافزارنویسانی منتشر شده است که اقدم به سرقت گواهی‌نامه برای بدافزارهای خود کرده‌اند و همچنین این توانایی را دارند تا گواهی‌نامه‌های جعلی را برای معتبر نشان دادن برنامه‌های خود استفاده کنند، اما اکثر قریب به اتفاق بدافزارها فاقد چنین گواهی دیجیتالی هستند. سیاستی که مایکروسافت در قبال Device Guard در پیش گرفته است باعث می‌شود، بخش عمده‌ای از حملات هکری در آینده نزدیک برای همیشه محو شود. ترامپ در خصوص این فناوری می‌افزاید: «Device Guard یک محافظت عالی در برابر حملات روز صفر در اختیار نرم‌افزارهای ضد بدافزاری قرار داده است.»

مطلب پیشنهادی: Anti Beacon حریم خصوصی شما در ویندوز 10 را محافظت می‌کند

مکانیزم مورد استفاده توسط مایکروسافت مشابه به الگویی است که اپل در فروشگاه خود و برای iOS و همچنین برنامه‌های OS X همراه با فناوری امضاء Gatekeeper از آن استفاده کرده است. البته به‌کارگیری چنین تکنیکی یک مشکل بزرگ را برای توسعه‌دهندگان پلتفرم اپل به وجود آورده است، به‌‌طوری که باعث می‌شود، طراحانی که خارج از قواعد فروشگاه اپل اقدام به تولید نرم‌افزار می‌کنند با مشکل مواجه شوند. مایکروسافت به خوبی دریافته است که سازمان‌ها برای اجرای وظایف خود نیازمند طیف گسترده‌ای از برنامه‌های کاربردی هستند. کسب و کارها این توانایی را دارند تا امضاء ویژه خود را بدون آن‌که نیازی به تغییر کدها وجود داشته باشد به نرم‌افزارهای خود اضافه کنند. کسب و کارها همچنین اگر برنامه‌های کاربردی دیگری را خریداری کرده و به اصالت نرم‌افزار خریداری شده اعتماد دارند، می‌توانند آن‌را خود امضاء کنند. در این روش سازمان‌ها توانایی ساخت یک فهرست قابل اعتماد از برنامه‌های مستقل را که ممکن است توسط مایکروسافت امضاء شده یا امضاء مایکروسافت را نداشته باشند ایجاد کنند. این ویژگی به سازمان توانایی کنترل کردن منابعی که Device Guard به آن‌ها اعتماد می‌کند را دارد. Device Guard همراه با ابزارهایی می‌آید که به آن اجازه می‌دهند امضاء مربوط به برنامه‌های یونیورسال یا برنامه‌های win 32 را که ممکن است اصالتا توسط سازنده نرم‌افزار امضاء نشده باشد را شناسایی کند. به‌طور واضح و روشن مایکروسافت در تلاش است راهی پیدا کند که در نقطه کانونی این بازی قرار گیرد، به‌طوری که توانایی باز کردن قفل را داشته و به سازمان‌ها اجازه دهد محصول خود را ساخته و از آن استفاده کنند. در پشت پرده Device Guard فراتر از یک مکانیزم فهرست سفید عمل می‌کند. به دلیل این‌که Device Guard، با استفاده از یک ماشین مجازی از اطلاعات محافظت می‌کند، این توانایی را دارد تا به شیوه کاربردی یک فهرست سفید را اداره کند. همین موضوع باعث می‌شود تا اگر هکری یک مجوز مدیریتی را در اختیار داشته باشد باز هم توانایی دستکاری و تغییر سیاست‌های پیاده‌سازی شده را نداشته باشد. Device Guard با ایزوله کردن سرویس‌های ویندوز می‌تواند صحت درایورها و کدهای سطح کرنل را بررسی کند که آیا در یک کانتینر (Container) مجازی به شکل قانونی اجرا می‌شوند یا خیر. حتی اگر بدافزاری کدهای یک ماشین را آلوده کرده باشد باز هم توانایی دسترسی به کانتینر و دور زدن بررسی‌ها و اجرای یک کد مخرب را نخواهد داشت. Device Guard فراتر از ویژگی قدیمی App Locker که به هکرها اجازه دسترسی به مجوزهای مدیریتی را می‌داد عمل می‌کند. تنها یک امضاء کننده معتبر توانایی به‌روزرسانی سیاست‌های مرتبط با  امضاء و تغییر سیاست‌های کنترل یک برنامه کاربردی که روی یک دستگاه تنظیم می‌شود را دارد.