Windows 11 นำเสนอการอัปเดตจำนวนมาก รวมถึงการเพิ่มประสิทธิภาพและการเปลี่ยนแปลงอินเทอร์เฟซ แต่บ่อยครั้งที่เกิดขึ้นในการพัฒนาซอฟต์แวร์ การเปลี่ยนแปลงส่วนใหญ่ยังคงไม่ได้พูดและมองไม่เห็น ครั้งนี้เกิดขึ้นกับการอัปเดตความปลอดภัยใน Windows 11
คุณลักษณะด้านความปลอดภัยใน Windows 11
ในการตรวจสอบโดยรวมของฉันเกี่ยวกับ Windows 11 ฉันได้กล่าวถึง Microsoft Defender ที่อัปเดตแล้ว 1 . ดังที่กล่าวไว้ในบทความนั้น มันมีความเสี่ยงน้อยลงและประหยัดพลังงานมากขึ้น อย่างไรก็ตาม การเปลี่ยนแปลงเหล่านั้นไม่ได้เกิดขึ้นแม้แต่หนึ่งในสี่ของสิ่งที่เกิดขึ้นกับ Defender ในการอัปเดตนี้
รูปลักษณ์ใหม่ของ Microsoft Defender
Microsoft ได้เปลี่ยนกระบวนทัศน์ความปลอดภัยของระบบเป็น “Zero Trust” ก่อนหน้านี้ กลไกการรักษาความปลอดภัยของระบบพยายามปกป้องระบบจากมัลแวร์ภายนอก โดยถือว่าโปรแกรมที่ติดตั้งโดยผู้ใช้ไม่เป็นอันตราย ใน Windows 11 (และใน Windows 10 21H2 ด้วยเช่นกัน) Defender นำการวิเคราะห์พฤติกรรมและการวิเคราะห์พฤติกรรมที่ยากขึ้นกว่าที่เคยใช้มาก่อน 2
ลดพื้นผิวการโจมตี
กลไกใหม่ใน Microsoft Defender โดยทั่วไปมุ่งเป้าไปที่เครือข่ายองค์กร แต่สามารถนำไปใช้กับแต่ละระบบได้ องค์ประกอบที่โดดเด่นประการแรกคือ การลดพื้นผิวการโจมตี 3 . คุณลักษณะดังกล่าวช่วยให้สามารถควบคุมองค์ประกอบที่อาจเป็นอันตรายได้รุนแรงยิ่งขึ้น ในกรณีนั้น Defender จะให้ความสนใจเพิ่มเติมกับโปรแกรมที่พยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่ได้กำหนดและดาวน์โหลดบางอย่าง การตรวจสอบโปรแกรมป้องกันไวรัสของ Microsoft ด้วยความแม่นยำสูงสุดคือโปรแกรมที่ไม่เคยใช้ในเครือข่ายองค์กรบางแห่งมาก่อน และสคริปต์ที่สับสน
การปรับปรุงเหล่านี้เป็นขั้นตอนการตอบโต้จาก Microsoft ซึ่งทำขึ้นเพื่อให้ภัยคุกคามไม่มีโอกาสเกิดขึ้นเลย แทนที่จะไล่ตามช่องโหว่ต่างๆ 4 พวกเขาตัดสินใจที่จะป้องกันการเรียกใช้โค้ดที่เป็นอันตรายตั้งแต่เริ่มต้น จะมีผลแต่ไม่ได้ยกเลิกความสำคัญของการแพตช์จุดอ่อน
ความปลอดภัยของเครือข่าย
การโจมตีสมัยใหม่บางอย่างดำเนินการผ่านหน้า Landing Page ที่เป็นอันตรายซึ่งใช้ช่องโหว่เพื่อฉีดมัลแวร์ ก่อนหน้านี้ โซลูชันป้องกันมัลแวร์ของ Microsoft ใช้วิธีการตรวจสอบเครือข่ายมาตรฐาน มีผลกับไซต์ที่เป็นอันตรายหรือฟิชชิงที่รู้จัก แต่ไม่มีประโยชน์สำหรับการป้องกันการโจมตี 0 วัน
ฟีเจอร์ความปลอดภัยที่อัปเดตช่วยให้ Defender ตรวจสอบกิจกรรมเว็บไซต์ในแซนด์บ็อกซ์ได้ ก่อนอนุญาตให้ผู้ใช้โต้ตอบกับมัน แน่นอน การกระทำดังกล่าวจะทำได้เฉพาะกับเพจที่ไม่น่าเชื่อถือเท่านั้น – เพจที่ใช้โดเมนที่ถูกบุกรุกหรือน่าสงสัย ใช้การเชื่อมต่อที่ไม่ปลอดภัยหรือเช่นนั้น ปัจจุบันผู้โจมตีไม่สามารถแยกแยะแซนด์บ็อกซ์กับระบบจริงได้ ดังนั้นการป้องกันดังกล่าวจึงมีประสิทธิภาพมาก
การป้องกันโฟลเดอร์ที่ควบคุม
การสร้างพื้นที่ปลอดภัยภายในระบบซึ่งจะเข้าถึงได้โดยผู้ใช้หรือโปรแกรมที่กำหนดไว้เท่านั้น กำลังแพร่ระบาดในโลกของการรักษาความปลอดภัยทางไซเบอร์ในช่วงหลายปีที่ผ่านมา ผู้จำหน่ายความปลอดภัยทางไซเบอร์บางรายเสนอโซลูชันสำหรับตลาดในวงกว้าง แต่ผลิตภัณฑ์เหล่านั้นมุ่งเป้าไปที่องค์กรและมีค่าใช้จ่ายสูง
Microsoft ระบุความต้องการโมดูล TPM 2.0 ไม่ใช่แค่ทำให้รายการ CPU ที่รองรับมีขนาดเล็กลงเท่านั้น จำเป็นต้องมีคุณสมบัติโฟลเดอร์ควบคุมเพื่อสร้างโซนปลอดภัยภายในระบบไฟล์ พื้นที่นี้สามารถเข้าถึงได้และแก้ไขโดยผู้ใช้ที่สร้างพื้นที่เท่านั้นและโดยโปรแกรมที่ได้รับอนุญาต ในโฟลเดอร์นั้น คุณสามารถเก็บข้อมูลสำคัญได้ทุกประเภท และมันจะคงกระพันต่อมัลแวร์ เช่น แรนซัมแวร์ สปายแวร์ ตัวขโมย หรืออื่นๆ
ฟังก์ชันใหม่สำหรับ Endpoints ใน Windows 11
นอกเหนือจากการปรับปรุงระดับโลกแล้ว Microsoft ยังเผยแพร่ Microsoft Defender for Endpoint (MDFE) คุณลักษณะดังกล่าวประกอบด้วยสิ่งอำนวยความสะดวกเฉพาะที่ช่วยให้ทีมรักษาความปลอดภัยขององค์กรสามารถติดตาม ตรวจจับ และกำจัดภัยคุกคามได้ Microsoft เสนอที่เก็บข้อมูลบนคลาวด์เพื่อให้ภาพรวมของเหตุการณ์ความปลอดภัยทางไซเบอร์ที่บันทึกถูกเก็บไว้ บนคลาวด์นั้น ข้อมูลจะถูกวิเคราะห์โดยกลไกที่อิงกับ AI ซึ่งได้รับการศึกษาบนฐานขนาดใหญ่มหาศาลของภัยคุกคามที่แตกต่างกัน MDFE สัญญาว่าจะเป็นโซลูชั่นที่สมบูรณ์แบบสำหรับการรักษาความปลอดภัยขององค์กร – ถ้ามันจะทำงานตามที่พวกเขาเรียกร้องได้แน่นอน
Windows Defender สำหรับปลายทาง นั่นคือวิธีการทำงาน
การควบคุมแอปพลิเคชันใน Windows 11
การใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันหรือโปรโตคอลต่างๆ เป็นวิธีการฉีดมัลแวร์ที่แพร่หลายที่สุดวิธีหนึ่ง Windows Defender Application Control (WDAC) ซึ่งเป็นโมดูลย่อยใหม่ของ Defender ถูกเรียกให้วางลง ดังที่ได้กล่าวไว้ก่อนหน้านี้ ระบบรักษาความปลอดภัยใน Windows สันนิษฐานว่ารหัสของแอปพลิเคชันที่ทำงานบนพีซีของผู้ใช้นั้นน่าเชื่อถือ ตอนนี้ WDAC จะสแกนแอปพลิเคชันเพื่อหาโค้ดที่เป็นอันตรายที่อาจแพร่กระจายอยู่ภายใน ขั้นตอนนั้นลดความสามารถในการแสวงหาผลประโยชน์อย่างแท้จริง แม้ว่าบางคนจะประสบความสำเร็จในการฉีดมัลแวร์ผ่านช่องโหว่ การโจมตีก็จะถูกหยุดโดยผู้พิทักษ์
การแจ้งเตือนจาก Windows Defender Applicaiton Controle (WDAC)
แม้ว่าขั้นตอนเหล่านี้จะค่อนข้างรุนแรงและอาจเพิ่มประสิทธิภาพได้ แต่ก็ค่อนข้างมีประสิทธิภาพ อย่างไรก็ตาม Microsoft ยังเผยแพร่เครื่องมืออื่นสำหรับการควบคุมแอปพลิเคชัน – AppLocker สิ่งนั้นอาจใช้ทั้งแทนและเสริม WDAC จะมีประโยชน์มากในสถานการณ์ที่ไม่สะดวก ตัวอย่างเช่น เมื่อบางครั้งคุณจำเป็นต้องยกระดับสิทธิ์สำหรับแอป WDAC มีแนวโน้มที่จะบล็อกความพยายามนี้ สมมติว่าอาจเป็นการเรียกใช้โค้ดที่เป็นอันตราย AppLocker อนุญาตให้ผู้ใช้เลือกแอปที่ต้องมีการยกเว้นสำหรับการดำเนินการบางอย่าง
Windows Defender Application Guard
ส่วนนี้ของ Defender ที่อัปเดตแล้วมีชื่อคล้ายกับ WDAC แต่หน้าที่ของมันมีความแตกต่างมากกว่าตัวย่อมาก WDAG สร้างเชลล์รอบโปรแกรม ซึ่งช่วยให้สามารถตรวจสอบองค์ประกอบที่อาจเป็นอันตรายในโค้ดได้ มันเป็นแซนด์บ็อกซ์ประเภทหนึ่ง – แต่มีจุดประสงค์อื่นและด้วยการจำลองเสมือนสูงสุด ไวรัสจำนวนมากสามารถแยกแยะระหว่างแซนด์บ็อกซ์ปกติ (หรือสภาพแวดล้อมการทดสอบอื่นๆ) กับระบบจริงได้ WDAG ไม่ได้สร้างเพียงแค่เปลือกที่ต้านทานไม่ได้ แต่ยังทำให้ทุกอย่างสำหรับแอปที่คิดว่ากำลังเปิดตัวในระบบปกติ
ปัจจุบัน Application Guard ปกป้อง:
Microsoft ยังเสนอ AppContainer – สภาพแวดล้อมเฉพาะสำหรับการทำงานของโปรแกรม มันทำหน้าที่เหมือนแซนด์บ็อกซ์ ซึ่งเป็นพื้นที่ที่อนุญาตให้รันโค้ดของโปรแกรมโดยไม่ต้องให้ความสามารถในการโต้ตอบกับระบบและส่วนประกอบอื่นๆ ของพีซี มันค่อนข้างคล้ายกับฟังก์ชั่นที่นำเสนอโดย Docker ซึ่งเป็นเครื่องมือคอนเทนเนอร์ที่ใช้กันอย่างแพร่หลาย มีประโยชน์มากสำหรับนักพัฒนาแอป เนื่องจากก่อนหน้านี้พวกเขาถูกบังคับให้ใช้ Docker ผ่าน WSL ดูอัลบูต หรือแม้แต่เครื่องเสมือน
