Здесь кратко описаны технологии, применяемые при построении сервиса. Сервис использует возможности построения безопасной рабочей среды, встроенные в корпоративную версию операционной системы Windows 10 Enterprise E3. Подробности о возможностях, технологий безопасности корпоративной версии и их внедрении и настройке можно найти на сайте Microsoft: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/windows-10-security-guide#malware
CREDENTIAL GUARD
Эта функция использует средства безопасности на основе виртуализации для защиты секретных сведений (например, хэшей паролей NTLM, билетов на получение билетов Kerberos), предоставляя к ним доступ только системному ПО, имеющему соответствующие привилегии. Это помогает предотвратить атаки типа Pass-the-Hash или Pass-the-Ticket.
Возможности Credential Guard:
- Защита аппаратного уровня. Credential Guard использует аппаратные возможности безопасности (такие как безопасная загрузка и виртуализация) для защиты учетных данных домена и других секретных сведений.
- Безопасность на основе виртуализации. Службы Windows, которые обращаются к извлеченным учетным данным домена и другим секретным сведениям, выполняются в защищенной и изолированной виртуальной среде.
- Улучшенная защита от постоянных угроз. Credential Guard совместим с другими технологиями (например, Device Guard): вместе они обеспечивают более надежную защиту от любых атак, даже самых изощренных.
- Улучшенная управляемость. Службой Credential Guard можно управлять через групповую политику, инструментарий управления Windows (WMI) или Windows PowerShell.
DEVICE GUARD
Device Guard — это набор аппаратных и программных функций безопасности, который позволяет выполняться на устройстве только доверенным приложениям. Даже если атакующий сумеет захватить контроль над ядром Windows, у него будет гораздо меньше шансов на запуск выполняемого кода после перезапуска компьютера. Device Guard использует возможности безопасности на основе виртуализации в Windows 10 Корпоративная E3 для изоляции службы целостности кода от самого ядра Windows. Это позволяет службе использовать для определения доверенного кода подписи, определенные заданными клиентом политиками.
Device Guard выполняет следующие задачи:
- Помогает уничтожить вредоносное ПО.
- Помогает защитить системное ядро Windows от уязвимостей и эксплойтов нулевого дня.
- Выполняет только приложения, которым доверяет пользователь.
УПРАВЛЕНИЕ APPLOCKER
AppLocker помогает ИТ-специалистам определить, какие приложения и файлы пользователи могут запускать на устройстве (это называется составлением белого списка). Белый список позволяет управлять в том числе исполняемыми файлами, сценариями, файлами установщика Windows, библиотеками DLL, упакованными приложениями и установщиками упакованных приложений.
MICROSOFT APPLICATION VIRTUALIZATION (APP-V)
APP-V позволяет конечным пользователям обращаться к приложениям, не устанавливая их на собственных устройствах. App-V превращает приложения в централизованно управляемые службы: их не нужно устанавливать, поэтому они никогда не вступают в конфликт с другими приложениями. Эта функция также гарантирует своевременную установку обновлений безопасности для всех таких приложений.
УПРАВЛЯЕМОЕ ВЗАИМОДЕЙСТВИЕ С ПОЛЬЗОВАТЕЛЕМ
Благодаря этой возможности вы можете специализировать пользовательский интерфейс устройства Windows, позволив выполнять на нем только одну конкретную задачу и заблокировав все остальные функции. В результате можно получить идеальный инструмент для сценария контролируемого использования — например, терминал продаж или устройство для учебного класса. Блокировка возможностей сбрасывается немедленно после выхода пользователя из системы. Вы также можете ограничить на устройствах доступ к отдельным службам, включая Магазин Windows, и управлять макетом меню «Пуск». Например:
- Удалить команды «Завершение работы», «Перезагрузка», «Спящий режим» и «Гибернация», чтобы ими нельзя было воспользоваться.
- Убрать из меню «Пуск» значок выхода из системы (плитку пользователя).
- Убрать из меню «Пуск» список часто используемых приложений.
- Убрать из меню «Пуск» список всех приложений.
- Запретить пользователям изменять экран «Пуск».
- Зафиксировать размер меню «Пуск» (оно может занимать весь экран либо быть ограничено традиционными размерами меню).
- Запретить изменения настроек панели задач и меню «Пуск».