Продолжаю серию статей о прогрессивных технологиях, представленных на TechEd 2013. На этот раз поговорим о новых функциях безопасности в Windows 8.1. Если вы уже поставили крест на Windows 8 (или RT), возможно, эта информация заставит вас пересмотреть свое решение или хотя бы задуматься о будущем.
Желающие могут посмотреть видео с презентации новых функций безопасности Windows 8.1 на сайте Channel 9. В рамках TechEd я на самой презентации не был, но зато участвовал в групповых и индивидуальных обсуждениях новых возможностей Windows 8.1 для бизнеса, где и заинтересовался этой темой.
Для тех, кто не в курсе: Windows 8 – самая на данный момент безопасная версия Windows в истории. В последнем отчете Microsoft Security Intelligence Report утверждается, что компьютеры под управлением Windows 7 в шесть раз больше подвергаются риску заражения, чем ПК с Windows 8. Для Windows XP цифры еще более впечатляющие: Windows 8 в двадцать раз безопаснее.
Будучи логическим продолжением существующего кода, Windows 8.1 использует все возможности безопасности Windows 8 и добавляет к ним кое-какие новые функции, сулящие более полную защиту в будущем. Рассмотрим три примера: шифрование устройств, выборочное уничтожение данных и поддержка биометрических интерфейсов нового поколения.
ОС обеспечивает превосходные возможности шифрования с помощью BitLocker в Windows 8, а Windows RT использует упрощенный вариант неуправляемого шифрования целого диска. Windows 8.1 выводит эти функции на новый уровень. BitLocker гораздо легче настраивается и развертывается практически в двадцать раз быстрее. На жестких дисках следующего поколения полное шифрование занимает менее секунды.
Куда важнее, что полнодисковое шифрование теперь включено автоматически для всех версий Windows (Windows 8 и RT с установленным обновлением Windows 8.1 и выше). Другими словами, каждая новая установка Windows будет выполняться с автоматическим шифрованием системного тома, как сегодня уже делается в Windows RT (и Windows Phone 8). Шифрование автоматически применяется при первом входе в систему с учетной записью администратора.
BitLocker и BitLocker To Go по-прежнему будут доступны в Windows 8 Pro и Enterprise с сохранением всех функций управляемого шифрования. Но идея очевидна: нас ждет будущее, в котором все устройства будут шифроваться по умолчанию.
Кроме того, в Windows 8.1 появятся необходимые усовершенствования в механизме удаленного уничтожения данных, который многим знаком по Exchange ActiveSync (EAS). Новая функция выборочного стирания (Selective Wipe) уничтожает только корпоративные данные на устройстве с Windows, не затрагивая личные файлы пользователя. Это особенно актуально в связи с тем, что люди в последнее время все чаще используют собственные устройства для работы (так называемая тенденция «приноси собственное устройство», BYOD), и подобная функциональность значительно облегчает жизнь обеим сторонам.
Выборочное стирание запускается через EAS, как сегодня удаленное стирание (Remote Wipe), а кроме того поддерживает новый стандарт Open Mobile Alliance Device Management (OMA-DM), который используется в Windows Intune и некоторых сторонних решениях для управления устройствами.
Выборочное стирание, как и другие описанные функции безопасности, – это всего лишь ступенька к более элегантному будущему. На первых порах будет поддерживаться возможность уничтожения корпоративной информации в электронной почте и «Рабочих папках» (Work Folders, еще одна новая функция, требующая использования Windows Server 2012 R2 на сервере). Последующие обновления обещают расширить возможности выборочного стирания.
Кроме того, Microsoft постепенно отказывается от паролей в пользу более современных технологий управления доступом. Это тоже многоступенчатый процесс, который начался с появлением в Windows 8 поддержки смарт-карт – нового программного механизма многофакторной аутентификации. А в Windows 8.1 появится поддержка нового поколения биометрических интерфейсов, способных радикально изменить привычные способы авторизации.
Сканеры отпечатков пальцев поддерживаются на компьютерах уже много лет, но редкие производители массово оснащают ими свои устройства (за исключением Lenovo). Те, кому доводилось пользоваться такой техникой, понимают, насколько она сложна в настройке и ненадежна: порой требуется провести пальцем по сканеру несколько раз, чем он сработает.
В нынешнем году появятся новые считыватели отпечатков пальцев, которым будет вполне достаточно однократного быстрого прикосновения. Надежность, по словам производителей, высочайшая, а любители детективных сериалов, в которых отрубленные руки, пальцы и вырванные глаза используют для обхода компьютеризированной системы безопасности, могут спать спокойно. Новые сканеры не будут работать с мертвыми пальцами. (Да, мы узнавали: через несколько секунд после смерти палец становится абсолютно бесполезным для авторизации.)
То, что Windows 8.1 будет поддерживать новые сканеры отпечатков пальцев, неудивительно. Но в Microsoft пошли еще дальше и обеспечили поддержку этих интерфейсов на более глубоких уровнях системы. Биометрическая аутентификация «в одно касание» будет доступна для покупки приложений в Магазине (Windows Store), музыки в Xbox Music, фильмов и телепередач в Xbox Video, а также для удаленного входа в систему и подтверждения запросов контроля учетных записей пользователей (UAC). На устройстве со сканером отпечатков пальцев достаточно будет одного прикосновения для разблокировки: Windows автоматически выполнит вход в систему с нужной учетной записью, так что пользователю не придется вручную вводить пароль на экране блокировки. И да, для сторонних разработчиков новые API тоже будут доступны.
В Windows 8.1 будет немало других нововведений в области безопасности, включая новый сервис проверки «здоровья» компьютера, новую систему мониторинга сетевого поведения для Защитника Windows (Windows Defender), новые возможности управления элементами ActiveX и прочими исполняемыми расширениями в Internet Explorer 11 для борьбы с эксплойтами. Но общая идея понятна: Windows 8.1 поднимает безопасность на новый уровень, а некоторые из представленных нововведений станут заделом на будущее для последующих релизов ОС.