Windows 11 đã mang đến một gói cập nhật khổng lồ, bao gồm tăng cường hiệu suất và thay đổi giao diện. Nhưng như thường lệ xảy ra trong phát triển phần mềm, phần lớn các thay đổi vẫn chưa được nói ra và không nhìn thấy được. Lần này, điều đó đã xảy ra với các bản cập nhật bảo mật trong Windows 11.
Tính năng bảo mật trong Windows 11
Trong bài đánh giá tổng thể của tôi về Windows 11, tôi đã đề cập đến bản cập nhật Microsoft Defender 1 . Như đã nói trong bài báo đó, nó trở nên ít bị tổn thương hơn và tiết kiệm điện hơn nhiều. Tuy nhiên, những thay đổi đó thậm chí không phải là một phần tư tất cả những điều đã xảy ra với Defender trong bản cập nhật này.
Giao diện mới của Microsoft Defender
Microsoft đã thay đổi mô hình bảo mật hệ thống của họ thành “Zero Trust”. Trước đó, các cơ chế bảo mật hệ thống đã cố gắng bảo vệ hệ thống khỏi phần mềm độc hại bên ngoài, giả định rằng các chương trình do người dùng cài đặt không phải là phần mềm độc hại. Trong Windows 11 (và cả trong Windows 10 21H2), Bộ bảo vệ mang đến phân tích hành vi và kinh nghiệm khó hơn nhiều so với những phân tích hành vi được sử dụng trước đây. 2
Giảm bề mặt tấn công
Các cơ chế mới trong Microsoft Defender thường nhắm đến các mạng công ty nhưng có thể được triển khai trên từng hệ thống. Yếu tố đáng chú ý đầu tiên là Giảm bề mặt tấn công 3 . Tính năng đó cho phép kiểm soát khắc nghiệt hơn nhiều đối với các yếu tố nguy hiểm tiềm ẩn. Trong trường hợp đó, Defender chú ý thêm đến các chương trình cố gắng kết nối với máy chủ không xác định và tải xuống thứ gì đó. Kiểm tra chống vi-rút của Microsoft với độ chính xác cao là các chương trình chưa từng được sử dụng trước đây trong một mạng công ty nhất định và các tập lệnh bị xáo trộn.
Những cải tiến đó là bước trả đũa của Microsoft, được thực hiện để không cho các mối đe dọa có cơ hội. Thay vì theo đuổi các lỗ hổng riêng biệt 4 , họ đã quyết định ngăn chặn việc phát hành mã độc hại ngay từ đầu. Nó sẽ có hiệu quả nhưng không hủy bỏ tầm quan trọng của việc vá lỗ hổng bảo mật.
Bảo mật mạng
Một số cuộc tấn công hiện đại được thực hiện thông qua các trang đích độc hại sử dụng khai thác để đưa phần mềm độc hại vào. Trước đó, giải pháp chống phần mềm độc hại của Microsoft đã sử dụng phương pháp giám sát mạng tiêu chuẩn. Nó có hiệu quả chống lại các trang web lừa đảo hoặc độc hại đã biết, nhưng vô dụng trong việc ngăn chặn các cuộc tấn công trong 0 ngày.
Các tính năng bảo mật được cập nhật cho phép Defender kiểm tra hoạt động của trang web trong hộp cát, trước khi cho phép người dùng tương tác với nó. Tất nhiên, những hành động như vậy sẽ chỉ được thực hiện với các trang không đáng tin cậy - những trang sử dụng miền bị xâm phạm hoặc đáng ngờ, sử dụng kết nối không an toàn hoặc tương tự. Hiện tại, những kẻ gian lận không thể phân biệt hộp cát với hệ thống thực, vì vậy biện pháp bảo vệ như vậy rất hiệu quả.
Bảo vệ thư mục được kiểm soát
Tạo không gian an toàn bên trong hệ thống, chỉ người dùng hoặc các chương trình đã xác định mới có thể truy cập được, đã lưu hành trong thế giới an ninh mạng trong vài năm qua. Một số nhà cung cấp an ninh mạng cung cấp các giải pháp của họ cho một thị trường rộng lớn, nhưng những sản phẩm đó nhắm vào các tập đoàn và có giá rất cao.
Microsoft đã chỉ rõ sự cần thiết của mô-đun TPM 2.0 không chỉ để làm cho danh sách các CPU được hỗ trợ nhỏ hơn. Chính xác, tính năng Thư mục được Kiểm soát là cần thiết để tạo vùng an toàn bên trong hệ thống tệp. Khu vực này chỉ có thể được truy cập và chỉnh sửa bởi người dùng đã tạo ra nó và cả bởi các chương trình được phép. Trong thư mục đó, bạn có thể giữ dữ liệu quan trọng thuộc bất kỳ loại nào và nó sẽ không thể xâm phạm được đối với bất kỳ phần mềm độc hại nào - phần mềm tống tiền, phần mềm gián điệp, kẻ đánh cắp hoặc những thứ khác.
Chức năng mới cho Điểm cuối trong Windows 11
Bên cạnh những cải tiến toàn cầu, Microsoft cũng đã xuất bản Microsoft Defender cho Endpoint (MDFE). Tính năng đó bao gồm các cơ sở cụ thể cho phép nhóm bảo mật doanh nghiệp theo dõi, phát hiện và loại bỏ các mối đe dọa. Microsoft cung cấp dịch vụ lưu trữ đám mây để cung cấp bức tranh toàn cảnh về bất kỳ sự cố an ninh mạng nào, nơi các bản ghi được lưu giữ. Trên đám mây đó, dữ liệu được phân tích bằng các cơ chế dựa trên AI được nghiên cứu trên cơ sở cực lớn của các mối đe dọa khác nhau. MDFE hứa hẹn sẽ trở thành một giải pháp hoàn hảo cho bảo mật doanh nghiệp - tất nhiên là nếu nó hoạt động như họ yêu cầu.
Windows Defender cho Endpoint. Đó là cách nó hoạt động.
Kiểm soát ứng dụng trong Windows 11
Khai thác các lỗ hổng trong các ứng dụng hoặc giao thức khác nhau là một trong những cách lây nhiễm phần mềm độc hại phổ biến nhất. Kiểm soát ứng dụng của Bộ bảo vệ Windows (WDAC) - mô-đun con mới của Bộ bảo vệ - được gọi để đặt nó xuống. Như đã đề cập, trước đây, hệ thống bảo mật trong Windows cho rằng mã của các ứng dụng chạy trên PC của người dùng là đáng tin cậy. Bây giờ, WDAC sẽ quét các ứng dụng để tìm mã độc hại có thể lưu hành bên trong. Bước đó thực sự cắt giảm khả năng khai thác - ngay cả khi ai đó thành công trong việc đưa phần mềm độc hại vào thông qua việc khai thác, cuộc tấn công sẽ bị chặn bởi Người bảo vệ.
Thông báo từ Bộ điều khiển ứng dụng của Bộ bảo vệ Windows (WDAC)
Mặc dù các bước này khá khắc nghiệt và có thể làm tăng hiệu suất nhưng chúng khá hiệu quả. Tuy nhiên, Microsoft cũng đã xuất bản một công cụ khác để kiểm soát ứng dụng - AppLocker. Thứ đó có thể được sử dụng cả thay thế và bổ sung cho WDAC. Nó sẽ rất hữu ích trong những trường hợp bất tiện - ví dụ:khi đôi khi bạn cần nâng cấp các đặc quyền cho ứng dụng. WDAC có thể sẽ chặn nỗ lực này, giả định rằng đó có thể là một quá trình thực thi mã độc hại. AppLocker cho phép người dùng chọn các ứng dụng phải có tính năng loại trừ đối với một số hành động.
Trình bảo vệ ứng dụng của Bộ bảo vệ Windows
Phần này của Bộ bảo vệ cập nhật được đặt tên tương tự như WDAC, nhưng các chức năng của chúng có nhiều điểm khác biệt hơn so với chữ viết tắt. WDAG tạo một lớp vỏ bao quanh chương trình, cho phép nó kiểm tra các phần tử độc hại có thể có trong mã. Nó là một loại hộp cát - nhưng với mục đích khác và với khả năng ảo hóa tối đa. Rất nhiều vi-rút có thể phân biệt các hộp cát bình thường (hoặc các môi trường thử nghiệm khác) với một hệ thống thực. WDAG không chỉ tạo ra một lớp vỏ không thể cưỡng lại - nó còn làm cho mọi thứ để ứng dụng nghĩ rằng chúng đang khởi chạy trong một hệ thống bình thường.
Hiện tại, Application Guard bảo vệ:
Microsoft cũng cung cấp AppContainer - một môi trường cụ thể để thực thi chương trình. Nó hoạt động giống như một hộp cát - một khu vực cho phép nó thực thi mã của chương trình mà không cho nó khả năng tương tác với hệ thống và các thành phần khác của PC. Nó khá giống với chức năng được cung cấp bởi Docker - một công cụ chứa đựng được sử dụng rộng rãi. Nó rất hữu ích cho các nhà phát triển ứng dụng vì trước đây họ buộc phải sử dụng Docker thông qua WSL, khởi động kép hoặc thậm chí là máy ảo.