Компания Microsoft сообщила дополнительные подробности о новой функции защиты администратора в Windows 11, которая доступна в предварительной версии и использует подсказки аутентификации Windows Hello для блокировки доступа к критическим системным ресурсам.
Впервые представленная в прошлом месяце в предварительной сборке для инсайдеров Windows 11 в канале Canary, функция защиты администратора предназначена для «защиты свободных плавающих прав администратора для пользователей-администраторов, позволяя им выполнять все функции администратора с привилегиями администратора только на время».
Более того, после включения на устройстве эта функция гарантирует, что вошедшие в систему пользователи будут иметь только стандартные пользовательские права, а при попытке изменить реестр или установить новые приложения им будет предложено пройти аутентификацию через Windows Hello с помощью PIN-кода или биометрического метода.
Эти дополнительные запросы на аутентификацию будет сложнее обойти, чем функцию безопасности Window User Account Control (UAC), так что они смогут предотвратить доступ вредоносных программ и злоумышленников к таким важным ресурсам и компрометацию системы.
Windows создает временный изолированный маркер администратора для выполнения работы. Этот временный маркер немедленно уничтожается по завершении задачи, что гарантирует, что привилегии администратора не сохранятся. Защита администратора помогает гарантировать, что пользователи, а не вредоносное ПО, сохранят контроль над системными ресурсами. Кроме того, это будет мешать злоумышленникам, поскольку они больше не смогут получить автоматический прямой доступ к ядру или другим важным системным ресурсам без специальной авторизации Windows Hello.
- сказал Дэвид Уэстон, вице-президент компании по безопасности предприятий и ОС, на конференции Microsoft Ignite
Как сообщила команда Windows Insider Team в октябре, когда эта функция была впервые представлена, защита администратора по умолчанию отключена и должна быть включена с помощью групповой политики.
Windows Hello также используется для аутентификации, чтобы заблокировать доступ к файлам, хранящимся в папках «Рабочий стол», «Документы» и «Изображения», с помощью функции Personal Data Encryption, представленной в Windows 11 22H2, которая шифрует данные, чтобы администратор устройства не мог получить к ним доступ до аутентификации.
Администраторы также могут включить политики Smart App Control и App Control for Business, чтобы предотвратить загрузку, установку и запуск вредоносных приложений и драйверов.
«Многие атаки происходят из-за того, что пользователи загружают небезопасные или неподписанные приложения и драйверы. Это позволяет исключить такие атаки, как вредоносные вложения или социально ориентированные вредоносные программы»
- добавил Уэстон
ИТ-администраторы могут просто выбрать шаблон «Политика подписанных и надежных приложений» в мастере управления приложениями. Это позволит запускать миллионы проверенных приложений независимо от места развертывания».
Комментарии (0)