Введение
Выпуская операционную систему Windows 11, компания Microsoft сделала акцент на ее повышенных функциях безопасности. Эти функции были названы основной причиной более высоких системных требований, которые поначалу удерживали многих пользователей от перехода на новую версию. В этой статье мы рассмотрим аспекты безопасности Windows 11 и узнаем, как можно максимально обезопасить себя как от Microsoft, так и от других потенциальных угроз в цифровом мире. Поскольку мы все больше живем в цифровом мире, защита данных и обеспечение конфиденциальности становятся все более важными.
Открытие скрытых функций безопасности в Windows 11
В Windows 11 появился набор функций безопасности, которые существовали и в Windows 10, но часто оставались незамеченными, особенно за пределами корпоративных ИТ-подразделений. Некоторые из этих функций не включаются по умолчанию при обновлении с Windows 10, но они автоматически активируются на новых компьютерах, продаваемых с Windows 11. Если некоторые функции безопасности оказывают незначительное влияние на производительность, то другие могут потенциально повлиять на скорость работы компьютера. Ниже мы рассмотрим эти функции безопасности и объясним, как ими управлять, чтобы добиться оптимальной производительности и при этом воспользоваться преимуществами повышенной безопасности.
Безопасная загрузка и TPM
Для установки Windows 11 на компьютер требуется современный процессор (Intel 8-го поколения или AMD Ryzen 3000 или новее) и две важнейшие функции безопасности: Secure Boot и модуль Trusted Platform Module (TPM). Функция Secure Boot существует уже много лет, но большинство пользователей ПК не включали ее, поскольку она не была обязательной и часто рассматривалась как ненужная заморочка. Эта функция является частью Unified Extensible Firmware Interface (UEFI), современного преемника BIOS. Secure Boot позволяет микропрограммному обеспечению компьютера обнаружить и предотвратить выполнение модифицированной операционной системы путем проверки ее криптографических подписей.
Включение Secure Boot эффективно препятствует скрытой установке и работе под Windows вредоносных программ, таких как буткиты, и тем самым предотвращает доступ к конфиденциальным данным системы. Хотя активация Secure Boot не является обязательной для установки или работы Windows 11, существует требование, что компьютер должен быть способен использовать Secure Boot.
С другой стороны, TPM является обязательным требованием для установки и работы новой операционной системы. Хотя существуют обходные пути для обхода TPM, Microsoft не рекомендует этого делать, поскольку это может помешать последующим обновлениям. Более того, практически все процессоры Intel и AMD, выпущенные с 2013 года, оснащены встроенным модулем TPM.
TPM служит надежным хранилищем ключей шифрования, сертификатов и других конфиденциальных данных, а также позволяет генерировать и контролировать новые ключи шифрования. Например, ключ шифрования BitLocker, защищающий все данные на жестком диске, или ключ, используемый в Windows Hello для быстрого входа в систему с помощью PIN-кода или распознавания лица, зависят от TPM. Даже приложения сторонних разработчиков, такие как Firefox и Chrome, используют TPM, если он присутствует, даже в Windows 10.
TPM позволяет Windows и другим программам запрашивать генерацию ключей шифрования, которые надежно хранятся внутри TPM и не могут быть извлечены или скопированы в другие места. Эта повышенная мера безопасности гарантирует, что ключи, сгенерированные в TPM, защищены от перехвата троянскими программами или другими вредоносными программами, которые могут поставить под угрозу безопасность системы.
Windows Hello - отличный пример того, как TPM повышает уровень безопасности. Microsoft рекомендует пользователям использовать учетную запись Microsoft и отключить вход в систему с помощью пароля, разрешив вход только с помощью Windows Hello (обычно PIN-код или распознавание лица). В случае атаки вредоносного ПО, которое перехватывает все, что набирается на клавиатуре, включая PIN-код, привязка PIN-кода к ключу шифрования, хранящемуся в TPM, не позволит создателям вредоносного ПО войти в учетную запись Microsoft на другом компьютере. Если же вместо этого будет использоваться пароль учетной записи, то защита будет ограничена двухфакторной аутентификацией.
Безопасность на основе виртуализации
Аппаратное требование, которое обусловливает необходимость использования более нового компьютера для Windows 11, - это безопасность на основе виртуализации (VBS). Эта функция использует возможности современных процессоров по выполнению кода в виртуальных машинах с выделенными участками рабочей памяти.
Изначально виртуализация использовалась для запуска других операционных систем внутри Windows или другой системы, что позволяло пользователям тестировать программное обеспечение или запускать программы, несовместимые с их обычной системой. Например, пользователи Mac часто запускают Windows на виртуальной машине, чтобы получить доступ к приложениям, специфичным для Windows.
Защита на основе виртуализации основывается на этих технологиях и позволяет отделить определенные части Windows, чтобы предотвратить доступ к ним других компонентов системы. Эта функция включает в себя несколько компонентов, некоторые из которых доступны только в корпоративных версиях Windows, но не в версии Home.
Целостность памяти
Чтобы проверить, активна ли VBS на компьютере, откройте раздел "Безопасность Windows" и выберите "Безопасность устройства". Если VBS включен, то рядом с надписью Изоляция ядра появится зеленая галочка с сообщением " Безопасность на основе виртуализации защищает основные части вашего устройства". Щелкнув на информации об изоляции ядра, вы попадете в подменю, где можно включить или отключить функцию целостности памяти (Memory Integrity), которая работает на основе технологии "усиленной гипервизором целостности кода" (hypervisor-enforced code integrity, HVCI).
Целостность памяти - это одна из функций, поддерживаемых VBS. Она предполагает размещение конфиденциального кода в виртуальной машине, к которому остальная часть системы не может получить доступ даже с правами администратора. Это повышает безопасность и обеспечивает лучшую защиту от некоторых видов вредоносного ПО. Однако это может привести к снижению производительности, причем на некоторых машинах замедление может достигать 25%. В связи с этим пользователи, выполняющие ресурсоемкие задачи, такие как игры или интенсивная работа, могут отключить данную функцию, несмотря на ее преимущества с точки зрения безопасности.
По умолчанию функция Memory Integrity не включается при обновлении с Windows 10, но она активна на новых компьютерах с предустановленной Windows 11. Если возникают проблемы с производительностью, рекомендуется проверить, активна ли эта функция, и подумать о ее отключении. Однако если производительность не вызывает проблем, рекомендуется оставить функцию Memory Integrity включенной, чтобы обеспечить максимальную защиту компьютера.
Защита конфиденциальности - усовершенствования Microsoft
После выхода Windows 10 компания Microsoft подверглась критике за то, что операционная система отправляет компании аналитические данные, а также за сложности с отключением такого обмена данными. Кроме того, пользователи жаловались на рекламу в меню "Пуск".
В Windows 11 эти проблемы устранены, а настройки защиты конфиденциальности и обмена пользовательскими данными значительно улучшены. Теперь пользователи могут найти эти настройки в разделе Настройки -> Конфиденциальность и безопасность. Давайте рассмотрим эти параметры и то, как их можно настроить, чтобы ограничить доступ к данным в соответствии с вашими предпочтениями.
Разрешения Windows
Раздел "Общие" содержит важную настройку "Идентификатор рекламы" - уникальный код, который, если он разрешен, может использоваться для отслеживания ваших действий в целях целевой рекламы. Если вы хотите избежать персонализированной рекламы, отключите эту функцию.
Настройка "Персонализация чернил и набора текста" позволяет пользователям, использующим перо для письма непосредственно на экране, решить, должна ли Windows создавать для них персонализированный словарь.
Параметр "Речь" позволяет определить, будут ли пользователи использовать расширенное распознавание речи Microsoft в режиме онлайн, которое предполагает отправку произносимых слов на серверы Microsoft. Если эта опция выключена, то используется менее совершенная система распознавания речи, установленная на компьютере.
Настройки "Диагностика и обратная связь" позволяют пользователям определить, как данные об использовании компьютера могут быть использованы в аналитических целях. Эти данные анонимизированы и предназначены для помощи Microsoft в совершенствовании Windows и других продуктов. Система всегда отправляет "необходимые данные", но пользователи могут выбрать отправку дополнительных данных. Отправка дополнительных данных является обязательным условием участия в программе Windows Insider. Важной опцией этого раздела является "Удалить диагностические данные", которая позволяет пользователям, у которых ранее был включен обмен диагностическими данными, удалить все собранные данные.
"История действий" - это функция, связанная с учетной записью Microsoft, позволяющая продолжить выполнение задач, начатых на одном устройстве, при использовании другого устройства, подключенного к той же учетной записи. Если у вас только один компьютер, включать эту функцию нет необходимости.
"Разрешения поиска" содержат два важных параметра: нужна ли пользователям фильтрация контента для взрослых в функции поиска Windows и нужно ли сохранять историю поиска для быстрого доступа к ранее найденным элементам.
Windows Search имеет дополнительные настройки для функции поиска, например, определяет, в каких папках не следует выполнять поиск. Хотя эти параметры не имеют прямого отношения к конфиденциальности, их можно найти в разделе Параметры конфиденциальности.
Разрешения приложений
Раздел "Разрешения приложений" включает в себя различные подразделы, которые касаются аспектов конфиденциальности приложений на компьютере. Наиболее важные из них удобно расположены в верхней части раздела App Permissions, включая Location, Camera, Microphone, а также такие функции, как голосовая активация, сообщения (уведомления) и информация об учетной записи.
Пользователи могут легко включить или выключить доступ для отдельных приложений в разделах "Камера" и "Микрофон". Рекомендуется предоставлять доступ редко и отключать его для приложений, которые больше не используются. Ограничение доступа как можно меньшим числом программ повышает уровень конфиденциальности и безопасности.
Данные о местоположении менее полезны на компьютере по сравнению с мобильным телефоном. Хотя с их помощью интернет-магазины могут отображать близлежащие магазины и предоставлять локализованные результаты поиска магазинов и ресторанов, некоторые пользователи могут предпочесть вообще отключить отслеживание местоположения.
Другие параметры, которые следует рассмотреть
Помимо настроек в разделе Конфиденциальность и безопасность, существует еще несколько аспектов, связанных с тем, что Microsoft знает о вас, которые вы, возможно, захотите настроить.
Отключение данных об использовании устройств:
Microsoft собирает данные об использовании устройств для настройки системы и предоставления целевой рекламы. Если вы предпочитаете не передавать эти данные, вы можете отключить функцию "Использование устройства".
Откройте "Настройки", перейдите в раздел "Персонализация" и выберите "Использование устройства". Затем можно отключить все опции, если вы не хотите передавать эту информацию компании Microsoft.
Управление учетной записью Microsoft:
Чтобы получить полный контроль над настройками конфиденциальности учетной записи Microsoft, можно посетить панель конфиденциальности через браузер.
Перейдите по адресу account.microsoft.com/privacy и войдите в систему под своей учетной записью Microsoft. Там можно нажать кнопку "Начать работу", чтобы открыть мастер, позволяющий управлять настройками. Кроме того, можно выбрать пункт "Управление данными о деятельности", чтобы выполнить настройку вручную.
Управление параметрами конфиденциальности в других продуктах Microsoft:
Аналогичные параметры конфиденциальности можно настроить и в других продуктах Microsoft, например в Xbox или Microsoft Teams. Откройте панель конфиденциальности своей учетной записи Microsoft и выберите "Настройки конфиденциальности в других продуктах", чтобы получить доступ к этим настройкам.
Отказ от синхронизации буфера обмена:
В состав Windows 11 входит мощный облачный менеджер буфера обмена, который синхронизирует буферы обмена на разных устройствах. Несмотря на удобство этой функции, некоторые пользователи могут рассматривать ее как проблему конфиденциальности. Вы можете отключить эту функцию.
Откройте "Настройки", перейдите в раздел "Система" и выберите пункт "Буфер обмена". Здесь можно отключить историю буфера обмена или отказаться от синхронизации клипов на разных устройствах. Кроме того, можно выбрать "Очистить", чтобы удалить историю, хранящуюся в облаке.
Анонимность с помощью VPN:
Для повышения анонимности при просмотре веб-страниц воспользуйтесь службой виртуальной частной сети (VPN). С помощью VPN становится сложнее отследить ваши действия, вы можете подключаться из разных стран и, возможно, разблокировать запрещенные потоковые сервисы.
Услуги VPN обычно предоставляются по подписке, и после оформления подписки можно установить специализированную программу для Windows или мобильное приложение, чтобы включить или отключить услугу VPN и выбрать нужную страну подключения. Изучение и выбор надежного VPN-сервиса может быть полезным для пользователей, заботящихся о конфиденциальности.
Скрытие недавней активности:
Windows может отображать недавно открытые документы и другие элементы. Однако эту информацию можно скрыть, что может быть полезно, если компьютером пользуются несколько человек.
Откройте "Настройки" и перейдите в раздел "Персонализация", затем выберите "Пуск". Здесь можно отключить функцию "Показывать недавно открытые элементы". В этом разделе также содержатся другие параметры уведомлений, которые можно настроить.
Отключение обмена данными между устройствами:
Новая функция Windows 11 позволяет синхронизировать настройки программ и данные между различными компьютерами, входящими в одну учетную запись Microsoft. Хотя это может быть полезно для пользователей с несколькими устройствами, тем, у кого только один компьютер, отправка данных в облако может показаться излишней.
Для управления этим параметром откройте "Настройки", перейдите в раздел "Приложения" и выберите "Дополнительные параметры приложений". В разделе "Обмен данными между устройствами" можно отключить эту функцию или выбрать способ ее использования.
Заключение:
В Windows 11 появился целый ряд важных функций безопасности, которые требуют более высоких системных требований, но повышают общий уровень защиты. Пользователи могут управлять этими функциями, чтобы найти баланс между производительностью и безопасностью. Кроме того, компания Microsoft отреагировала на отзывы пользователей и улучшила настройки конфиденциальности в Windows 11, предоставив пользователям более широкий контроль над обменом данными. Поняв и настроив эти параметры, пользователи смогут пользоваться более безопасными и конфиденциальными цифровыми технологиями в Windows 11. Использование дополнительных настроек конфиденциальности и применение таких инструментов, как VPN, позволяет повысить анонимность в Интернете и защитить персональные данные от различных угроз. Принятие этих мер позволит пользователям максимально использовать преимущества Windows 11 в области безопасности и конфиденциальности, обеспечивая бесперебойную и защищенную работу с компьютером.
