Windows 11 задает тренды в пользовательской безопасности

Windows 11 задает тренды в пользовательской безопасности / Дзен.Уловка-32 / Изображение из открытых источников

Для решения современных угроз требуется передовой подход и нетривиальные методы. И похоже, что разработчики из Майкрософта на правильном пути.

Ваш персональный компьютер с Windows выполняет огромное число действий, чтобы защитить вас от множества киберугроз. Работая на windows-машине, пользователь рискует столкнуться с вредоносным ПО, фишингом, потерять данные в незашифрованном трафике и проч.

Какие же передовые инновационные решения безопасности Microsoft интегрировала в ОС WIndows 11, чтобы снизить риски для пользователя? Давайте разбираться...

Интеллектуальное управление приложениями

Интеллектуальное управление приложениями (Smart App Control) / Дзен.Уловка-32

Интеллектуальное управление приложениями (Smart App Control (SAC)) — это функция, которая работает для предотвращения угроз и потенциально нежелательных приложений на уровне процесса задолго до того, как они могут нанести ущерб вашему компьютеру. SAC делает это с помощью сложного облачного сервиса с искином внутри, который пытается определить, считается ли приложение, которое вы пытаетесь запустить, безопасным или нет.

Microsoft утверждает, что искин безошибочно может определить, безопасна утилита или нет и, соответственно, разрешить её запуск или запретить. Если искин не в состоянии распознать суть ПО, он проверит у него документы, имеет ли приложение действительную подпись.

В настоящее время нет ни «белого» ни «чёрного» списков приложений, а из настроек пользователю доступно «вкл», «выкл», и «ищи! (команда искину)». Здесь, же, на страницах настройки SAC, пользователя предупреждают о том, что отключив Интеллектуальный контроль, просто включить его обратно уже не получится — только чистая переустановка Windows 11. Поэтому будьте осторожны!

Кроме того, если вы получили Windows 11 простым обновлением системы, у вас этой супер инновационной технологии защиты не появиться вовсе. Для того чтобы использовать Интеллектуальный контроль приложений пользователь должен выполнить чистую установку Windows 11. Всё это потому, что SAC тесно вплетен в ядро операционной системы.

DNS over HTTPS: (DoH)

DoH в Windows 11 / Дзен.Уловка-32

По умолчанию запросы службы доменных имен (DNS) отправляются через обычное не зашифрованное UDP- или TCP-соединение. Это по своей сути делает трафик уязвимым для подслушивания и спуфинга.

DNS over HTTPS — это расширенный протокол шифрования. Предназначенный для добавления защиты на транспортном уровне, DoH заключает DNS-запрос в стандартный HTTPS-запрос, а затем шифрует его.

Проще говоря, это означает, что ваши DNS-запросы и соответствующие им ответы будут неотличимы от всего остального HTTPS-трафика в сети.

Windows 11 теперь поддерживает конфигурацию DNS over HTTPS на сетевом уровне.

Как настроить DNS через HTTPS в Windows 11

Включение DoH в Windows 11 / Дзен.Уловка-32

Если вы хотите включить эту функцию на своем ПК, вот как это сделать.

1. Нажмите «Пуск» и перейдите в «Параметры» → Сеть и Интернет.
2. Нажмите на соединение Wi-Fi или Ethernet
3. Нажмите на Свойства оборудования.
4. Нажмите кнопку Изменить при назначении DNS-сервера.
5. Переключитесь в положение Вручную во всплывающем окне Изменение настроек DNS.
6. Включите переключатель IPv4 или IPv6.
   Примечание: IPv4 является стандартом и является обязательным для доступа к большинству веб-сайтов. IPv6 является более новым и может быть настроен опционально в сочетании с IPv4.
7. Введите основной IP-адрес DNS-сервера в поле Предпочтительный DNS. (Например, CloudFlare: 1.1.1.1)
8. Введите дополнительный IP-адрес DNS-сервера в поле Альтернативный DNS. (Например, CloudFlare: 1.0.0.1)
9. Выберите Вкл (автоматический шаблон) в обоих раскрывающихся полях DNS через HTTPS и нажмите кнопку Сохранить
10. Рядом со свойствами DNS-сервера IPv4 или IPv6 должен отображаться список (Зашифровано).

Блокировка конфигурации ПК с защищенным ядром

Блокировка конфигурации ПК с защищенным ядром / Дзен.Уловка-32 / Img: mspopweruser .com

Да, я наю, большинству пользователей этот раздел будет не интересен, да и не нужен. Но, поскольку Майкрософт внедрил эту технологию, давайте, хотя бы одним глазком «глянем» на неё.

Включение в сборку Win11 данной защитной функции станет полезным подспорьем администраторам в корпоративной среде, где процесс контроля политик безопасности на нескольких устройствах требует дополнительного внимания.

Блокировка администратором конфигурации ПК с защищенным ядром не позволит локальному пользователю ни на одном компьютере в корпоративной сети отключить синхронизацию с политиками безопасности.

Мониторингу и отслеживанию подвергаются некоторые разделы реестра, связанные с конфигурацией ПК с защищенным ядром. И если в клиентской операционной системе обнаруживается «дрейф конфигурации», изменения отменяются в течение нескольких секунд, а юзер который полез в настройки получает по «шапке».

Блокировка конфигурации ПК с защищенным ядром не включена по умолчанию в Windows 11. Она управляется администратором с помощью Microsoft Intune.

Улучшенная защита от фишинга

Улучшенная защита от фишинга эта новая «фишка» Windows 11 / Дзен.Уловка-32

Улучшенная защита от фишинга эта новая «фишка» Windows 11, которую получили пользовательские системы с обновлением 22H2. Кстати еще один хороший повод обновить свою «древнюю» систему ;)

Улучшенная защита от фишинга — это ответ корпорации Microsoft на постоянно растущую угрозу злоумышленников, пытающихся украсть конфиденциальные пользовательские данные, в том числе явки пароли. Включение этой функции должно защитить пользователя от ввода пароля на потенциально небезопасном веб-сайте или в приложении.

Эта функция защищает целостность пароля пользователя тремя способами.

• Вредоносные приложения и сайты: если вы введете свой пароль на любом веб-сайте или в приложении, которое фильтр Smart Screen сочтет вредоносным, вы получите предупреждение, а также вам поступит запрос на изменение пароля. В настоящее время эта функция ограничена браузерами на основе Chromium, такими как Microsoft Edge, Google Chrome и Opera.
• Повторное использование пароля: вы получите предупреждение, если станете использовать пароль от учётки Майкрософт на всех своих сайтах и в приложениях. При этом Защите от фишинга всё равно, легальный это ресурс или нет
• Хранение паролей: если вам вдруг вздумается записать и сохранить пароль от аккаунnа MS в Блокноте, Word'e или любом приложении Microsoft 365 Office, расширенная защита от фишинга предупредит вас и порекомендует удалить пароль из файла.

Ну и для админов в корпоративном сегменте дополнительные «плюшки» от Расширенной защиты от фишинга, которую они могут настроить и внедрить на клиентские машины опять же с помощью Microsoft Intune.

Безопасность в Windows 11 выходит на новый уровень

Можно сколько угодно критиковать мелкомягких за их чрезмерную требовательность к оборудованию для установки Windows 11. Эта требовательность привела к тому, что пользователи совсем еще не старых, но при этом довольно-таки мощных машин, вынуждены идти на компромисс. Однако факт внедрения инновационных решений в области пользовательской защиты остаётся фактом. И Microsoft мощно расширяет границы безопасности Windows, используя новейшие технологии, в попытке обеспечить пользовательскую безопасность.

Жаль, что для получения всех «плюшек» Windows 11, которые призваны защитить и обезопасить пользователя и его конфиденциальность, ему, этому юзеру, придётся пойти на определённые жертвы. Потому, что даже обновление системы до Windows 11 22H2 лишь частично и не в полном объеме активирует всю эту инновацию-шминовацию...