🔒 ПИН-код в Windows 10
Сегодня в блоге нюансы чистой установки #Windows10 1803 с учетной записью Microsoft и различные аспекты использования ПИН-кода, которые уже знакомы постоянным читателям канала из более ранних публикаций.
➡️ https://www.outsidethebox.ms/19045/
#безопасность
Сегодня в блоге нюансы чистой установки #Windows10 1803 с учетной записью Microsoft и различные аспекты использования ПИН-кода, которые уже знакомы постоянным читателям канала из более ранних публикаций.
➡️ https://www.outsidethebox.ms/19045/
#безопасность
🔒 В продолжение темы PKI и руководства по развертыванию ЦС в организации https://t.iss.one/sterkin_ru/614
У Вадимса Поданса есть модуль #PowerShell, упрощающий различные задачи управления PKI и службами сертификации Active Directory https://github.com/Crypt32/PSPKI Все командлеты снабжены подробной справкой и примерами.
Кстати, Вадимс недавно выпустил новую версию модуля - рассказ в его блоге https://goo.gl/9564qQ
#безопасность
У Вадимса Поданса есть модуль #PowerShell, упрощающий различные задачи управления PKI и службами сертификации Active Directory https://github.com/Crypt32/PSPKI Все командлеты снабжены подробной справкой и примерами.
Кстати, Вадимс недавно выпустил новую версию модуля - рассказ в его блоге https://goo.gl/9564qQ
#безопасность
Telegram
Windows 10, etc - Вадим Стеркин
⚙️ Установка центра сертификации на предприятии
PKI - большая и сложная тема, а материалы на русском по ней - большая редкость. Особенно такие развернутые, как цикл статей за авторством Вадимса Поданса. Он, пожалуй, единственный человек в публичном пространстве…
PKI - большая и сложная тема, а материалы на русском по ней - большая редкость. Особенно такие развернутые, как цикл статей за авторством Вадимса Поданса. Он, пожалуй, единственный человек в публичном пространстве…
👍 Сегодня у меня для вас #рекомендация - канал Microsoft Blogs https://t.iss.one/msftblogs
В канале автоматически публикуются анонсы записей в технических блогах команд и отдельных специалистов Microsoft на английском языке. Тематика в целом совпадает с моим каналом, но с более сильным уклоном в IT Pro и #безопасность.
Полный список блогов вы найдете в описании канала. Ленты RSS пропущены через Feedburner, чтобы не было простыней. Публикация из RSS в Telegram реализована через IFTTT, в точности как я рассказывал в блоге https://www.outsidethebox.ms/18880/
Подписывайтесь на @msftblogs!
В канале автоматически публикуются анонсы записей в технических блогах команд и отдельных специалистов Microsoft на английском языке. Тематика в целом совпадает с моим каналом, но с более сильным уклоном в IT Pro и #безопасность.
Полный список блогов вы найдете в описании канала. Ленты RSS пропущены через Feedburner, чтобы не было простыней. Публикация из RSS в Telegram реализована через IFTTT, в точности как я рассказывал в блоге https://www.outsidethebox.ms/18880/
Подписывайтесь на @msftblogs!
Telegram
Microsoft Blogs
New posts in Microsoft technical blogs: IT Pro, Security, Office, Insiders.
List of blogs / RSS feeds: https://goo.gl/NEMCJV
Feedback / suggestions: @msftblogs_bot
List of blogs / RSS feeds: https://goo.gl/NEMCJV
Feedback / suggestions: @msftblogs_bot
🔒 Стали известны подробности защиты от скрытого изменения важных настроек безопасности в #Windows10 1903.
Настройка находится в приложении "#Безопасность Windows" и называется "Защита от подделки" / "Tamper Protection".
👉 Она препятствует отключению защитника Windows, в т.ч. групповой политикой или эквивалентными ей параметрами в реестре. Другими словами, сначала нужно отключить Tamper Protection вручную, через Intune или посредством Configuration Manager 2006+.
Кроме того, Tamper Protection предотвращает изменения этих компонентов защитника Windows:
• Защита в реальном времени (монитор)
• Облачная защита (ускоренная доставка сигнатур для новейших угроз)
• IOAV† (загрузка файлов из интернета и почты)
• Поведенческий анализ
• Удаление обновлений сигнатур
Защита включена при чистой установке. При обновлении с предыдущих версий она включается в том случае, если работает компонент облачной защиты.
Источник информации - блог разработчиков.
† Про IOAV в документации я нашел только API 20-летней давности (я пытал ПМа в твиттере, но он кинул ту же ссылку). То есть приложения могут использовать API, а могут и не использовать.
Скорее всего, API годами тянут для обратной совместимости. Но остальные компоненты в списке выше вполне современные.
ℹ️ Upd. Спустя какое-то время после публикации поста разработчики опубликовали документацию.
Настройка находится в приложении "#Безопасность Windows" и называется "Защита от подделки" / "Tamper Protection".
👉 Она препятствует отключению защитника Windows, в т.ч. групповой политикой или эквивалентными ей параметрами в реестре. Другими словами, сначала нужно отключить Tamper Protection вручную, через Intune или посредством Configuration Manager 2006+.
Кроме того, Tamper Protection предотвращает изменения этих компонентов защитника Windows:
• Защита в реальном времени (монитор)
• Облачная защита (ускоренная доставка сигнатур для новейших угроз)
• IOAV† (загрузка файлов из интернета и почты)
• Поведенческий анализ
• Удаление обновлений сигнатур
Защита включена при чистой установке. При обновлении с предыдущих версий она включается в том случае, если работает компонент облачной защиты.
Источник информации - блог разработчиков.
† Про IOAV в документации я нашел только API 20-летней давности (я пытал ПМа в твиттере, но он кинул ту же ссылку). То есть приложения могут использовать API, а могут и не использовать.
Скорее всего, API годами тянут для обратной совместимости. Но остальные компоненты в списке выше вполне современные.
ℹ️ Upd. Спустя какое-то время после публикации поста разработчики опубликовали документацию.
ℹ️ Реальные системные требования Windows 10
Я тут случайно наткнулся на замечательный документ:
➡️ Стандарты Microsoft для устройств на Windows 10 с высокими требованиями к безопасности
❗️ Содержимое страницы по ссылке выше изменилось. На момент публикации оно было таким.
Минимальные системные требования к #Windows10 не раз обсуждались в нашем чате @winsiders в контексте их смехотворности и оторванности от реальных требований к производительности даже в базовых домашних и офисных сценариях.
В такой ситуации затруднительно обосновать покупку устройств, обеспечивающих комфортную работу. Многие организации и потребители покупают что-то вроде Core-i3 + 4GB RAM + HDD, потом пользователи страдают, и все дружно обвиняют Windows 10.
Из этих дискуссий родился хороший совет опираться на рекомендуемую аппаратную конфигурацию изготовителей ПК 👍
Но всем хочется услышать именно Microsoft. И у компании есть не просто рекомендации, а именно стандарты минимальной аппаратной конфигурации. Просто контекст у них - #безопасность, а целевая аудитория - люди, принимающие решение о приобретении ПК.
Заметьте, что документ применим ко всем типам устройств общего назначения. Уверен, что мимо вас не пройдет SSD и минимум 8GB RAM при рекомендуемых 16GB. ✌️
Я тут случайно наткнулся на замечательный документ:
➡️ Стандарты Microsoft для устройств на Windows 10 с высокими требованиями к безопасности
❗️ Содержимое страницы по ссылке выше изменилось. На момент публикации оно было таким.
Минимальные системные требования к #Windows10 не раз обсуждались в нашем чате @winsiders в контексте их смехотворности и оторванности от реальных требований к производительности даже в базовых домашних и офисных сценариях.
В такой ситуации затруднительно обосновать покупку устройств, обеспечивающих комфортную работу. Многие организации и потребители покупают что-то вроде Core-i3 + 4GB RAM + HDD, потом пользователи страдают, и все дружно обвиняют Windows 10.
Из этих дискуссий родился хороший совет опираться на рекомендуемую аппаратную конфигурацию изготовителей ПК 👍
Но всем хочется услышать именно Microsoft. И у компании есть не просто рекомендации, а именно стандарты минимальной аппаратной конфигурации. Просто контекст у них - #безопасность, а целевая аудитория - люди, принимающие решение о приобретении ПК.
Заметьте, что документ применим ко всем типам устройств общего назначения. Уверен, что мимо вас не пройдет SSD и минимум 8GB RAM при рекомендуемых 16GB. ✌️
Docs
Windows 10 Secured-core PCs
This document provides an overview of the Windows 10 Secured-core PCs and Baseline Windows security for device purchase decision makers.
🔒 В Microsoft Authenticator для Android завезли облачный бэкап (в iOS он был относительно давно)
Это - очень ценная фича в случае покупки нового смартфона или полного сброса старого (и чем больше у вас сервисов с двухфакторной аутентификацией, тем она ценнее :)
Сам я давно пользуюсь Яндекс.Ключ, в первую очередь из-за бэкапа, а во вторую - потому что Яндекс изобрел для своей 2FA велосипед, несовместимый с другими приложениями.
Microsoft Auth у меня только для беспарольного входа в MSA. И не факт, что я побегу переезжать на него, ибо это займет время - у меня #2FA включена везде, где она есть.
Кстати, в этом году появились данные от Google и Microsoft, утверждающие фактически 100% эффективность 2FA против автоматизированных атак на аккаунт. Причем в исследовании Google рассматривался вариант с отправкой SMS на телефон нежели генерацией кода на устройстве.
Компания также раскрыла тему эффективности 2FA против целевых атак. В случае с отправкой SMS на телефон она составляет 66%, а при использовании запросов на устройстве (aka Google Prompt) - 90%.
2FA значительно укрепляет #безопасность ваших учетных записей. Если вы еще не используете ее, включите хотя бы на ключевых аккаунтах уже сейчас. #классика блога на тему 2FA и различных способах ее реализации:
• А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
• Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
Это - очень ценная фича в случае покупки нового смартфона или полного сброса старого (и чем больше у вас сервисов с двухфакторной аутентификацией, тем она ценнее :)
Сам я давно пользуюсь Яндекс.Ключ, в первую очередь из-за бэкапа, а во вторую - потому что Яндекс изобрел для своей 2FA велосипед, несовместимый с другими приложениями.
Microsoft Auth у меня только для беспарольного входа в MSA. И не факт, что я побегу переезжать на него, ибо это займет время - у меня #2FA включена везде, где она есть.
Кстати, в этом году появились данные от Google и Microsoft, утверждающие фактически 100% эффективность 2FA против автоматизированных атак на аккаунт. Причем в исследовании Google рассматривался вариант с отправкой SMS на телефон нежели генерацией кода на устройстве.
Компания также раскрыла тему эффективности 2FA против целевых атак. В случае с отправкой SMS на телефон она составляет 66%, а при использовании запросов на устройстве (aka Google Prompt) - 90%.
2FA значительно укрепляет #безопасность ваших учетных записей. Если вы еще не используете ее, включите хотя бы на ключевых аккаунтах уже сейчас. #классика блога на тему 2FA и различных способах ее реализации:
• А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
• Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
🔒 Продолжая тему 2FA, в блоге Azure AD Identity опубликовали хороший пост об уязвимостях процесса аутентификации.
Специалисты выделяют два глобальных направления атаки:
• Фишинг в реальном времени. Атакующий перенаправляет жертву на сайт с фальшивым процессом аутентификации, перехватывает введенные учетные данные (включая одноразовый пароль) и очень быстро вводит их на легитимном сайте.
• Захват коммуникационного канала аутентификации. Это - перехват SMS / звонка (тот же перевыпуск SIM) или пуш-уведомления.
Из таблицы в посте следует, что от обоих направлений надежно защищают только три метода #2FA:
• Аппаратный токен
• SMART-карта
• Windows Hello
Получается, что применительно к типичной авторизации в веб-сервисах (например, почте), от удаленных атак зашиту гарантирует только токен, хотя Hello тоже работает как минимум на ресурсах Microsoft.
Автор поста, отвечая на мои вопросы в Твиттере, пояснил, что приложение Microsoft Authenticator уязвимо к фишингу, но захват коммуникационного канала ему не страшен (злоумышленник должен получить контроль над устройством). Он написал, что защита от фишинга возможна только при аутентификации типа FIDO (с использованием USB/Bluetooth/NFC) и упомянул, что работа над этим ведется.
😎 Возможно, решение Microsoft позволит превратить телефон с их приложением в аппаратный токен, как это сделала Google на Android для своих аккаунтов. Поживем - увидим!
Поддержка же Яндекса на вопрос о перспективах защиты аккаунта аппаратным токеном ответила "возможно, в будущем". Думаю, для этого им понадобится вынести на помойку свой велосипед 2FA, так что будущее это видится мне отдаленным :)
Так или иначе, любая форма многофакторной аутентификации значительно повышает #безопасность аккаунта, практически сводя на нет автоматизированные (т.е. не целевые) атаки. Делайте выводы ✌️
Специалисты выделяют два глобальных направления атаки:
• Фишинг в реальном времени. Атакующий перенаправляет жертву на сайт с фальшивым процессом аутентификации, перехватывает введенные учетные данные (включая одноразовый пароль) и очень быстро вводит их на легитимном сайте.
• Захват коммуникационного канала аутентификации. Это - перехват SMS / звонка (тот же перевыпуск SIM) или пуш-уведомления.
Из таблицы в посте следует, что от обоих направлений надежно защищают только три метода #2FA:
• Аппаратный токен
• SMART-карта
• Windows Hello
Получается, что применительно к типичной авторизации в веб-сервисах (например, почте), от удаленных атак зашиту гарантирует только токен, хотя Hello тоже работает как минимум на ресурсах Microsoft.
Автор поста, отвечая на мои вопросы в Твиттере, пояснил, что приложение Microsoft Authenticator уязвимо к фишингу, но захват коммуникационного канала ему не страшен (злоумышленник должен получить контроль над устройством). Он написал, что защита от фишинга возможна только при аутентификации типа FIDO (с использованием USB/Bluetooth/NFC) и упомянул, что работа над этим ведется.
😎 Возможно, решение Microsoft позволит превратить телефон с их приложением в аппаратный токен, как это сделала Google на Android для своих аккаунтов. Поживем - увидим!
Поддержка же Яндекса на вопрос о перспективах защиты аккаунта аппаратным токеном ответила "возможно, в будущем". Думаю, для этого им понадобится вынести на помойку свой велосипед 2FA, так что будущее это видится мне отдаленным :)
Так или иначе, любая форма многофакторной аутентификации значительно повышает #безопасность аккаунта, практически сводя на нет автоматизированные (т.е. не целевые) атаки. Делайте выводы ✌️
Telegram
Windows 11, 10, etc - Вадим Стеркин
🔓 Вчера на Хабре был печальный пост про кражу домена путем взлома учетной записи Яндекс, защищенной двухфакторной аутентификацией.
На мой взгляд, эмоциональный пост и особенно заголовок шлют неверный посыл "2FA - зло", поэтому предлагаю посмотреть на ситуацию…
На мой взгляд, эмоциональный пост и особенно заголовок шлют неверный посыл "2FA - зло", поэтому предлагаю посмотреть на ситуацию…
☁️ Новое в блоге: OneDrive: нюансы личного хранилища (Personal Vault)
В #OneDrive появилась нововведение - личное хранилище, обеспечивающее дополнительную #безопасность самым ценным файлам.
Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности Personal Vault в различных сценариях.
➡️ Читать в блоге: https://www.outsidethebox.ms/19696/
В #OneDrive появилась нововведение - личное хранилище, обеспечивающее дополнительную #безопасность самым ценным файлам.
Сегодня я расскажу о некоторых особенностях реализации новинки в Windows, а также поделюсь соображениями о ценности Personal Vault в различных сценариях.
➡️ Читать в блоге: https://www.outsidethebox.ms/19696/
🔒 Блокировка потенциально нежелательных программ (PUA) в Edge Chromium и Windows 10
Microsoft недавно анонсировала новую защитную функцию, и я опишу ключевые моменты своими словами. Потому что в автоматическом переводе документации есть
Microsoft относит к PUA эти виды ПО:
• Программы, демонстрирующие рекламу, в т.ч. внедряющие рекламу в веб-страницы.
• Установщики, в которые упакованы другие программы, не подписанные тем же издателем или попадающие под определение PUA.
• Программы, активно уклоняющиеся от обнаружения защитными продуктами.
Более подробная классификация различной малвари тут.
В Edge Chromium защита кросс-платформенная, и работает она на основе SmartScreen. Переключатель в настройках конфиденциальности, и он легко находится поиском по
Функция присутствует в предварительных версиях браузера уже несколько недель, и на днях появится в стабильной.
В #Windows10 #безопасность обеспечивается в рамках защитника Windows, но в GUI выведена только в версии 20H1. В 1909 включить ее можно в #PowerShell от имени администратора:
Состояние защиты от PUA проверяется родственным командлетом
В документации также есть команды для отключения, режима аудита и добавления приложений в белый список.
✌️
Microsoft недавно анонсировала новую защитную функцию, и я опишу ключевые моменты своими словами. Потому что в автоматическом переводе документации есть
программное обеспечение для создания пучка
и прочие радости :)Microsoft относит к PUA эти виды ПО:
• Программы, демонстрирующие рекламу, в т.ч. внедряющие рекламу в веб-страницы.
• Установщики, в которые упакованы другие программы, не подписанные тем же издателем или попадающие под определение PUA.
• Программы, активно уклоняющиеся от обнаружения защитными продуктами.
Более подробная классификация различной малвари тут.
В Edge Chromium защита кросс-платформенная, и работает она на основе SmartScreen. Переключатель в настройках конфиденциальности, и он легко находится поиском по
smart
, см. картинку. Функция присутствует в предварительных версиях браузера уже несколько недель, и на днях появится в стабильной.
В #Windows10 #безопасность обеспечивается в рамках защитника Windows, но в GUI выведена только в версии 20H1. В 1909 включить ее можно в #PowerShell от имени администратора:
Set-MpPreference -PUAProtection enable
Состояние защиты от PUA проверяется родственным командлетом
Get-MpPreference
. В его выводе значение PUAProtection: 1
означает включенную защиту.В документации также есть команды для отключения, режима аудита и добавления приложений в белый список.
✌️
🔐 Про CPU в системных требованиях #Windows11
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Этот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр
👉 Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра
ℹ️ Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
#HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10 1803+, если процессор поддерживает MBEC (например, изначально заявляли процессоры Intel седьмого поколения). По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
📢 Читайте продолжение на эту тему https://t.iss.one/sterkin_ru/1155
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС ✌️
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard
Этот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр
AvailableSecurityProperties
, например, так:(Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard).AvailableSecurityProperties
👉 Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра
7
, ваш ЦП поддерживается. ℹ️ Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
#HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10 1803+, если процессор поддерживает MBEC (например, изначально заявляли процессоры Intel седьмого поколения). По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
📢 Читайте продолжение на эту тему https://t.iss.one/sterkin_ru/1155
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС ✌️