ビデオ: TOP 6: EXTERNAL GRAPHICS CARDS 2020 (九月 2024)
セキュリティは、Microsoftの水曜日のWindows 10イベントで後部座席を取りましたが、それはRedmondがセキュリティの調整を行っていないことを意味しません。
Kaspersky Labの上級研究員であるKurt Baumgartnerはブログ投稿で、「Windows 10には、この新しいプラットフォームで導入された膨大な量の新しい攻撃対象とともに、この新しいコードベースで開発された非常に長いセキュリティ機能のリストがあります」と書いています。
Project Spartan-新しいブラウザの頭痛?
ほとんどのユーザーはWindows 10でInternet Explorerを表示しないため、最大の変更点の1つはWebブラウザーです。ProjectSpartanが現在行っている新しいブラウザーは、最新のレンダリングエンジンを備えているためInternet Explorerからの脱却です。 ただし、Microsoftは下位互換性を理解しており、ユーザーがInternet Explorer用に特別に設計された既存のエンタープライズWebサイトにアクセスしようとする場合、Project SpartanはIE11エンジンをロードできると述べています。
Microsoftによると、Project SpartanのエンジンはHTTP Strict Transport Security(HSTS)を搭載しているはずです。 HSTSは、SSLを介して特定のドメインを常に要求するようにブラウザーに通知するHTTPヘッダーです。 これにより、中間者攻撃の可能性を減らすことができます。 Microsoftは、Project Spartanの他のセキュリティ機能、開発手法、またはサンドボックスを開示していません。
それでも、2014年だけでIEのさまざまなバージョンに200を超える脆弱性がパッチされたことを考えると、コードベースを放棄してProject Spartanで最小限の更新を行うことは良い考えのようです。 「簡単に言えば、IE Webブラウザーは、最新のものを含むすべてのWindowsプラットフォームで2014年に打撃を受けました」とBaumgartner氏は言います。
しかし、通信とデータ共有のための大量の新しいコードを備えたProject Spartanは、毎年何百もの脆弱性にパッチを適用しなければならないというマイクロソフトの歴史に従うだけではありません。 「うまくいけば、彼らのチームはその荷物を持ってこないだろうが、新しい機能ではかなり重いようだ」と彼は言った。
IEエンジンとの後方互換性もいくつかの問題を引き起こす可能性があります。 「より多くの機能+クロスプラットフォームサポート+下位互換性=はるかに大きなコードベース(数百万行のコード)」とSpikes Securityのマーケティング担当副社長、フランクリンジョーンズは述べています。そして、サイバー犯罪者が悪用するはるかに大きな攻撃対象領域であると彼は言いました。
認証と信頼
マイクロソフトは、信頼できないアプリケーションがシステムにインストールされるのをブロックします。 信頼性は、アプリケーションのデジタル署名で検証されます。 この信頼できる署名モデルは改善されていますが、Baumgartnerは、Windows 10がそれを処理する方法は「完全ではない」と述べました。 過去のサイバースパイ攻撃は、デジタル証明書が簡単に盗まれ、攻撃に再利用されることを示しています。 実行者はグループ間で証明書を共有し、信頼モデルを破ります、と彼は言いました。
Windows 10には、フィッシング攻撃に耐えるためのID保護とアクセス制御が組み込まれ、ユーザーにPINまたはバイオメトリックの使用を要求する2要素認証、および所定の場所に保存された企業データを自動的に暗号化するデータ損失防止ツール、Microsoft前に言った。
新しいオペレーティングシステムは、コンピューティングリソース全体でのデータ共有サービスのシームレスな統合を誇っています。つまり、認証、およびその基礎となる資格情報とトークンは、サービス、アプリケーション、デバイス間で漏洩することはありません。 しかし、Windows 10が、パスザハッシュテクニック、「スケルトンキー」を使用したActive Directoryに対する攻撃、またはトークンにアクセスして悪用するHyper-Vおよびコンテナモデルに対する攻撃に対する防御策を持っていることは明らかではありません。 セキュリティ研究者は、Microsoftがどのように資格情報のプロビジョニングとアクセストークンの処理を実装するかに焦点を当てるべきだと彼は言った。
「企業データを安全に共有するためのDLP実装も励みになりますが、エネルギーに制約のあるモバイルハードウェア全体でどれほど強力なのでしょうか?」 バウムガルトナーは尋ねた。
