Лучшие новые функции безопасности Windows 10: Windows Sandbox, больше возможностей обновления

  1. Windows 10 1903
  2. Изменения в обновлении Windows
  3. Защита от угроз
  4. Изменения Microsoft Defender ATP
  5. Управление идентификацией
  6. Базовые показатели безопасности
  7. развертывание
  8. Windows 10 1809

С новой эрой Windows как службы Microsoft выпускает изменения в операционной системе два раза в год. Многие из этих изменений позволят вам улучшить ваше состояние безопасности и предложить больше вариантов безопасности. Вам больше не нужно ждать новой операционной системы для развертывания новых функций безопасности.

Ниже приводится сводка всех новых функций и параметров безопасности в Windows 10 версии 1903, которая включает в себя усовершенствования Защитника расширенных угроз (ATP) Защитника Windows, дополнительные возможности для предприятий по отложению обновлений и Песочницу Windows, которая обеспечивает безопасную область для работы ненадежных программного обеспечения. Добавьте эту статью в закладки, потому что мы будем добавлять новые функции безопасности, поскольку Microsoft выпускает будущие обновления Windows.

Windows 10 1903

Теперь, когда Microsoft официально выпустила Windows 10 1903 Есть ключевые улучшения безопасности, которые нужно искать, и которые я считаю интересными. Вот мои главные выборы для выпуска 1903 года.

Изменения в обновлении Windows

Изменения в обновлении Windows и обновлении Windows для бизнеса включают ключевые возможности управления обновлениями. Вы можете приостановить обновления для всех версий Windows, включая Home. Пользователи домашней версии могут приостановить любые обновления на семь дней. Пользователи Pro версии по-прежнему имеют возможность отложить выпуск функций до 365 дней. Windows предоставляет больше визуальных подсказок, ожидающих обновления при перезагрузке.

Небольшая точка рядом со значком питания - это новая визуальная подсказка, которая указывает, что обновление будет установлено после перезагрузки компьютера. Активные часы будут в большей степени соответствовать вашим фактическим рабочим часам и не будут перезагружать компьютер во время его использования.

Есть изменения в Обновление Windows для бизнеса , Термины «Полугодовой канал» и «Полугодовой таргетинг» были удалены. Больше не будет обозначения, что Windows 10 1903 готова для бизнеса. Вместо этого вы определяете период отсрочки с момента выхода релиза.

В результате вам потребуется пересмотреть обновление Windows для бизнес-политик и установить отсрочку на момент времени, который, по вашему мнению, будет готов к Windows 10 1903. Моя рекомендация - установить крайнюю точку отсрочки в Будущее: выберите 365 дней для отсрочки. Затем, когда вы будете готовы к развертыванию 1903, вы можете сбросить это значение до 0, чтобы инициировать установку. Вам нужно будет просмотреть настройки Windows Update для бизнеса на предмет новых изменений в 1903 году.

Также новым в 1903 году стало то, что вам больше не нужно использовать уровень диагностических данных Basic или выше для принудительного применения настроенных политик в обновлении Windows для бизнеса. Если ваша организация учитывает конфиденциальность, вам больше не нужно участвовать в диагностике.

Защита от угроз

Microsoft добавляет больше защиты в эту версию Windows 10, в частности, долгожданную Песочница для Windows особенность. Это позволяет запускать ненадежные исполняемые файлы в изолированной среде на настольном ПК. Когда вы закрываете «песочницу» Windows, все в ней стирается, поэтому в следующий раз она будет чистой.

И Pro, и Enterprise SKU могут воспользоваться этой новой функцией. Чтобы использовать его, вы должны иметь следующее:

  • Windows 10 Pro или Enterprise Insider, сборка 18305 или более поздняя версия (1903 г.)
  • Архитектура AMD64
  • Возможности виртуализации включены в BIOS
  • Не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ)
  • Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD)
  • Как минимум два ядра процессора (рекомендуется четыре ядра с гиперпоточностью)

Вам необходимо включить Windows Sandbox в Windows Features. Если ваша машина не поддерживает виртуализацию, эта функция будет недоступна. После того, как вы включили Windows Sandbox, вам нужно будет перезагрузить компьютер.

Теперь у вас есть встроенная виртуальная машина, которая позволит вам тестировать вредоносные ссылки, не затрагивая ваш компьютер или, что еще лучше, вашу сеть.

С новой эрой Windows как службы Microsoft выпускает изменения в операционной системе два раза в год

Сьюзен Брэдли

Песочница для Windows

Он похож на виртуальную Windows XP, которую многие из нас использовали для перехода с XP на Windows 7, с одним существенным отличием: он не сохраняется после выключения виртуальной машины.

Изменения Microsoft Defender ATP

Лицензиаты Microsoft Defender ATP найдут много изменений в этом выпуске. Вам понадобится лицензия Windows Enterprise и лицензия E5 Windows или E5 Microsoft 365. Новые предложения включают в себя:

  • Уменьшение площади атаки: теперь вы можете указывать разрешающие и запрещающие списки для определенных URL-адресов и IP-адресов.
  • Защита от саботажа. Когда этот параметр включен Вы - и злоумышленники - не сможете отключить антивирус защитника.
  • Защита от чрезвычайных ситуаций. Если происходит событие нулевого дня, машинное обучение и расширенная диагностика автоматически обновляют устройства с новым интеллектом при обнаружении новой вспышки.

Управление идентификацией

Microsoft прилагает большие усилия, чтобы избавиться от паролей и включить многофакторную аутентификацию, биометрическую аутентификацию и другие методы, чтобы защитить учетные записи пользователей от атак. Эти изменения включают в себя:

  • Удаленный рабочий стол с биометрией. Если у вас есть пользователи Azure Active Directory и Active Directory, которые используют Windows Hello для бизнеса, 1903 теперь позволяет использовать биометрические параметры для аутентификации пользователя в сеансе удаленного рабочего стола. Это также будет полезно для защиты серверов удаленных рабочих столов от взлома учетных данных.
  • В Windows Hello теперь есть FIDO2-сертифицированный аутентификатор. Это позволяет входить без пароля для веб-сайтов, поддерживающих FIDO2, таких как учетная запись Microsoft и Azure Active Directory.

Базовые показатели безопасности

Microsoft имеет отправил базовые документы по безопасности на 1903 год, включающие изменения и рекомендации, относящиеся к выпуску 1903 года. В частности, они рекомендуют «Включение новой политики« Включить параметры смягчения svchost.exe », которая обеспечивает более строгую безопасность служб Windows, размещенных в svchost.exe, включая то, что все двоичные файлы, загружаемые svchost.exe, должны быть подписаны Microsoft, и что динамически сгенерированный код запрещен ».

Как отмечается в посте, внимательно изучите этот параметр, так как он может вызвать проблемы совместимости со сторонним кодом, который пытается использовать процесс размещения svchost.exe, включая сторонние плагины смарт-карт. Microsoft также вышел предварительный базовый уровень безопасности на основе Intune.

развертывание

Развертывание Windows 10 1903 можно сделать разными способами. Вы можете получить его из обновления Windows, как только ваша машина будет признана достойной обновления. Microsoft отслеживает проблемы и регулирует обновления обратно на компьютерах, которые не могут выполнить обновление без исправлений поставщика. Вы можете отслеживать эти проблемы блокировки на Сайт панели управления работоспособностью релиза Windows ,

Вы также можете развернуть обновление через WSUS, SCCM и для новых развертываний, используя Автопилот , Возможно, вы захотите пересмотреть свои стратегии развертывания и перепрыгнуть через любые выпуски функций Windows 10, которые вы не развернули, и начать тестирование выпуска 1903 года прямо сейчас. Улучшения безопасности и изменения обновлений Windows делают этот выпуск очень привлекательным для тех, кто оценивает версии Windows 10 для развертывания.

Windows 10 1809

Выпуск Windows 10 в октябре 2018 года, версия 1809, станет тем, что многие предприятия будут рассматривать в качестве предпочтительной версии Windows 10 в течение нескольких лет. Причина? Это знаменует собой большие изменения в частоте обновления Windows 10, а также его обновления.

Изменения в патчении .NET

Начиная с версии 1809 г. NET исправления компонент был удален из накопительного обновления Windows 10 и теперь будет предлагаться как отдельный выпуск, аналогичный тому, как Windows 7 выпускает патчи .NET. Если у вас есть бизнес-приложение, которое неблагоприятно взаимодействует с исправлениями, теперь вы можете применить основное накопительное обновление, обеспечив исправление всех других проблем безопасности и отложить обновление .NET, если вам нужно работать с поставщиками для обеспечения совместимости ,

Патч изменения частоты

Кроме того, начиная с версии 1809, Microsoft меняет частоту обновления для клиентов Enterprise и Education. Как отмечено в его Блог Microsoft 365 компания вносит серьезные изменения в то, как будут поддерживаться выпуски функций для этих двух версий Windows 10. Как отмечалось в блоге, изменение частоты кадров позволяет организации выбрать осенний выпуск обновления функций и пропустить два года выпуска функций. релизы и до сих пор полностью поддерживаются. Как указано в блоге:

Все поддерживаемые в настоящее время обновления функций выпусков Windows 10 Enterprise и Education (версии 1607, 1703, 1709 и 1803) будут поддерживаться в течение 30 месяцев с даты их первоначального выпуска. Это даст пользователям этих версий больше времени для управления изменениями, поскольку они переходят на более быстрый цикл обновления.

Все будущие обновления функций выпусков Windows 10 Enterprise и Education с целевым месяцем выпуска сентября (начиная с 1809) будут поддерживаться в течение 30 месяцев с даты их выпуска. Это предоставит заказчикам более длительные циклы развертывания, необходимые для планирования, тестирования и развертывания.

Все будущие обновления функций выпусков Windows 10 Enterprise и Education с запланированным месяцем выпуска март (начиная с 1903 г.) будут поддерживаться в течение 18 месяцев с даты их выпуска. Это сохраняет частоту полугодового обновления в качестве нашей северной звезды и сохраняет возможность для клиентов, которые хотят обновлять два раза в год.

Все выпуски функций Windows 10 Home, Windows 10 Pro и Office 365 ProPlus будут поддерживаться в течение 18 месяцев (это относится к обновлениям функций, предназначенным как для марта, так и для сентября).

Если у вас есть лицензия на версии Enterprise или Education, выбор осеннего выпуска предоставит фирме 30-месячное окно поддержки с момента выпуска. Таким образом, вы можете развернуть версию 1809 и не развертывать другую версию функции до октября 2020 года и получать полную поддержку и получать обновления безопасности / качества все это время. Релизы функций Spring будут получать только 18-месячное окно поддержки, поэтому я прогнозирую, что большинство предприятий и образовательных учреждений перейдут на эту 30-месячную программу каденции и установки.

Версии Windows 10 Professional и Home будут иметь 18-месячное окно поддержки для каждой весенней и осенней версии. С версией Professional, которая позволяет легко откладывать выпуск функции, предприятия могут ждать больше года между каждым выпуском.

Улучшения ATP Защитника Windows

Если ваша фирма имеет подписку на Windows Enterprise E5 или Microsoft 365 E5, теперь у вас есть доступ к панели мониторинга Threat Analytics, на которой перечислены последние атаки и риски.

Если ваша фирма имеет подписку на Windows Enterprise E5 или Microsoft 365 E5, теперь у вас есть доступ к панели мониторинга Threat Analytics, на которой перечислены последние атаки и риски

Microsoft

Панель аналитики угроз Defender Security Center

Эта консоль предоставляет обновленную информацию о последних угрозах и инцидентах безопасности, нацеленных на операционную систему Windows. Панель мониторинга угроз обеспечивает руководство по смягчению и защите от атак.

Microsoft также увеличила число отчетов в своей облачной информационной панели Microsoft Secure Score. Это входит в подписку Windows 10 Enterprise E5 и Microsoft 365 E5 и позволяет отслеживать состояние антивирусного приложения, обновлений безопасности операционной системы, брандмауэра и других элементов управления. В Windows 10 он анализирует настройки безопасности, которые вы не включили, чтобы лучше защитить вашу систему от атак и угроз. В приведенном ниже примере на сканируемой компьютерной системе отсутствуют Application Guard, Credential Guard и BitLocker, так как три защитных механизма, которые могут быть включены, немедленно повышают защиту от угроз на платформе.

Microsoft

Панель мониторинга Microsoft Secure Score

Консоль дает обзор каждой лицензии Windows Enterprise 5 и уровня ее риска. Это недоступно для пользователей Windows Enterprise E3 или Microsoft 365 E3.

Центр безопасности Windows

Центр безопасности Защитника Windows был переименован в Центр безопасности Windows, чтобы лучше определить, что он является основным местом для информации о безопасности. Защита от вымогателей, впервые введенная в 1709 году, была упрощена, чтобы упростить добавление заблокированных приложений в интерфейс. Нажмите «Разрешить приложение» через «Доступ к контролируемой папке». После запроса нажмите кнопку «+» и выберите «Недавно заблокированные приложения», чтобы найти приложение, заблокированное защитой. Затем вы можете встроить исключение и добавить их в список разрешенных.

Поскольку синхронизация времени является ключевым моментом как для аутентификации, так и для получения обновлений, служба Windows Time теперь контролируется на синхронизацию с нужным временем. Если система обнаружит, что служба синхронизации времени отключена, вы получите приглашение снова включить ее.

В новом разделе, посвященном поставщикам безопасности, представлены все антивирусные программы, брандмауэры и программное обеспечение для веб-защиты, работающие в вашей системе. В 1809 году Windows 10 требует, чтобы антивирус запускался как защищенный процесс для регистрации. Любая антивирусная программа, которая еще не внедрила методологию защищенного процесса, не появится в пользовательском интерфейсе Windows Security Center, и Антивирус Защитника Windows останется включенным рядом с этими продуктами.

Брандмауэр Защитника Windows

Брандмауэр в Windows 10 теперь поддерживает подсистему Windows для процессов Linux. Если вы размещаете Linux на виртуальных машинах, вы можете добавить исключения в брандмауэр для процессов Linux, таких как SSH или веб-сервер, такой как Nginx.

Windows Edge

Браузер по умолчанию для Windows 10 теперь включает больше параметров групповой политики. Как отметил новые политики позволяют включать / отключать полноэкранный режим, печать, панель избранного или сохранение истории. Вы также можете предотвратить переопределение ошибок сертификата, настроить страницу «Новая вкладка», кнопку «Домой» и параметры запуска, а также управлять расширениями.

Причина?