Microsoft в понедельник подтвердила свои планы отказаться от NT LAN Manager (NTLM) в Windows 11 во второй половине года, поскольку объявила о множестве новых мер безопасности для ужесточения широко используемой настольной операционной системы.
"Наше сообщество по безопасности настоятельно попросило отказаться от NTLM, поскольку это улучшит аутентификацию пользователей, и его отмена запланирована на вторую половину 2024 года", - сказал технический гигант.
Производитель Windows первоначально объявил о своем решении отказаться от NTLM в пользу Kerberos для аутентификации в октябре 2023 года.
Несмотря на отсутствие поддержки NTLM криптографических методов, таких как AES или SHA-256, протокол также стал уязвимым для ретрансляционных атак - метода, который широко использовался связанным с Россией участником APT28 из-за сбоев нулевого дня в Microsoft Outlook.
Другие изменения, грядущие в Windows 11, включают включение защиты локального центра безопасности (LSA) по умолчанию для новых потребительских устройств и использование безопасности на основе виртуализации (VBS) для защиты технологии Windows Hello.
Smart App Control, который защищает пользователей от запуска ненадежных или неподписанных приложений, также был обновлен с использованием модели искусственного интеллекта (ИИ) для определения безопасности приложений и блокирования неизвестных или содержащих вредоносное ПО.
Smart App Control дополняет новое комплексное решение под названием Trusted Signing, которое позволяет разработчикам подписывать свои приложения и упрощает весь процесс подписания сертификатов.
Ниже приведены некоторые другие заслуживающие внимания улучшения безопасности -
При этом идея состоит в том, чтобы запустить диспетчер очереди печати как службу с ограниченным доступом и резко ограничить его привлекательность как способа получения злоумышленниками повышенных разрешений в взломанной системе Windows.
Redmond также заявила, что больше не будет доверять сертификатам аутентификации сервера TLS (transport layer security) с ключами RSA менее 2048 бит из-за "достижений в области вычислительной мощности и криптоанализа".
Список функций безопасности ограничивается системой доменных имен с нулевым доверием (ZTDNS), которая призвана помочь коммерческим заказчикам блокировать Windows в своих сетях, изначально ограничивая подключение устройств Windows только к утвержденным сетевым назначениям по доменному имени.
Эти улучшения также последовали за критикой методов обеспечения безопасности Microsoft, которые позволили субъектам национальных государств из Китая и России взломать онлайн-среду Exchange, при этом в недавнем отчете Совета по обзору кибербезопасности США (CSRB) отмечается, что культура безопасности компании требует пересмотра.
В ответ Microsoft наметила радикальные изменения, которые ставят безопасность превыше всего в рамках своей инициативы "Безопасное будущее" (SFI) и возлагают на высшее руководство прямую ответственность за достижение целей кибербезопасности.
Google, со своей стороны, заявила, что отчет CSRB "подчеркивает давно назревшую настоятельную необходимость внедрения нового подхода к безопасности", призывая правительства приобретать системы и продукты, безопасные по своей конструкции, проводить повторные сертификации безопасности для продуктов, подверженных серьезным инцидентам безопасности, и осознавать риски, связанные с монокультурой.
"Использование одного и того же поставщика для операционных систем, электронной почты, офисного программного обеспечения и инструментов безопасности [...] повышает риск того, что однократное нарушение подорвет всю экосистему", - сказали в компании.
"Правительствам следует принять стратегию взаимодействия с несколькими поставщиками, а также разработать и продвигать открытые стандарты для обеспечения взаимодействия, что упростит организациям замену небезопасных продуктов на те, которые более устойчивы к атакам".
"Наше сообщество по безопасности настоятельно попросило отказаться от NTLM, поскольку это улучшит аутентификацию пользователей, и его отмена запланирована на вторую половину 2024 года", - сказал технический гигант.
Производитель Windows первоначально объявил о своем решении отказаться от NTLM в пользу Kerberos для аутентификации в октябре 2023 года.
Несмотря на отсутствие поддержки NTLM криптографических методов, таких как AES или SHA-256, протокол также стал уязвимым для ретрансляционных атак - метода, который широко использовался связанным с Россией участником APT28 из-за сбоев нулевого дня в Microsoft Outlook.
Другие изменения, грядущие в Windows 11, включают включение защиты локального центра безопасности (LSA) по умолчанию для новых потребительских устройств и использование безопасности на основе виртуализации (VBS) для защиты технологии Windows Hello.
Smart App Control, который защищает пользователей от запуска ненадежных или неподписанных приложений, также был обновлен с использованием модели искусственного интеллекта (ИИ) для определения безопасности приложений и блокирования неизвестных или содержащих вредоносное ПО.
Smart App Control дополняет новое комплексное решение под названием Trusted Signing, которое позволяет разработчикам подписывать свои приложения и упрощает весь процесс подписания сертификатов.
Ниже приведены некоторые другие заслуживающие внимания улучшения безопасности -
- Изоляция приложений Win32, предназначенная для предотвращения повреждений в случае компрометации приложения путем создания границы безопасности между приложением и операционной системой
- Ограничьте злоупотребление правами администратора, запрашивая явное одобрение пользователя
- VBS enclaves для сторонних разработчиков для создания надежных сред выполнения
При этом идея состоит в том, чтобы запустить диспетчер очереди печати как службу с ограниченным доступом и резко ограничить его привлекательность как способа получения злоумышленниками повышенных разрешений в взломанной системе Windows.
Redmond также заявила, что больше не будет доверять сертификатам аутентификации сервера TLS (transport layer security) с ключами RSA менее 2048 бит из-за "достижений в области вычислительной мощности и криптоанализа".
Список функций безопасности ограничивается системой доменных имен с нулевым доверием (ZTDNS), которая призвана помочь коммерческим заказчикам блокировать Windows в своих сетях, изначально ограничивая подключение устройств Windows только к утвержденным сетевым назначениям по доменному имени.
Эти улучшения также последовали за критикой методов обеспечения безопасности Microsoft, которые позволили субъектам национальных государств из Китая и России взломать онлайн-среду Exchange, при этом в недавнем отчете Совета по обзору кибербезопасности США (CSRB) отмечается, что культура безопасности компании требует пересмотра.
В ответ Microsoft наметила радикальные изменения, которые ставят безопасность превыше всего в рамках своей инициативы "Безопасное будущее" (SFI) и возлагают на высшее руководство прямую ответственность за достижение целей кибербезопасности.
Google, со своей стороны, заявила, что отчет CSRB "подчеркивает давно назревшую настоятельную необходимость внедрения нового подхода к безопасности", призывая правительства приобретать системы и продукты, безопасные по своей конструкции, проводить повторные сертификации безопасности для продуктов, подверженных серьезным инцидентам безопасности, и осознавать риски, связанные с монокультурой.
"Использование одного и того же поставщика для операционных систем, электронной почты, офисного программного обеспечения и инструментов безопасности [...] повышает риск того, что однократное нарушение подорвет всю экосистему", - сказали в компании.
"Правительствам следует принять стратегию взаимодействия с несколькими поставщиками, а также разработать и продвигать открытые стандарты для обеспечения взаимодействия, что упростит организациям замену небезопасных продуктов на те, которые более устойчивы к атакам".
