Windows 10 Maj 2019 - nowe opcje bezpieczeństwa

Aktualizacja Maj 2019, zmieniająca Windows 10 w wersję 1903, wprowadziła kilka nowych rozwiązań bezpieczeństwa oraz dodała parę praktycznych możliwości do istniejących. Zobacz, co nowego.


Windows Update

Zmiany w mechanizmie aktualizacji Windows 10, czyli Windows Update, to przede wszystkim wprowadzenie wstrzymania wprowadzenia nowości. W edycji Windows 10 Home jest to możliwe na maksymalnie siedem dni. W edycji Windows 10 Pro bez zmian - nadal można odroczyć aplikację zmian nawet na 365 dni. Microsoft wprowadził nowe wizualizacje związane z aktualizacjami - jeśli widzisz kropkę przy symbolu zasilania, oznacza to, że poprawka została pobrana i zostanie wprowadzona przy kolejnym starcie systemu. Godziny aktywności są teraz monitorowane przez SI, co eliminuje ryzyko automatycznego restartu w momencie, gdy robi się coś na komputerze.

W edycji systemu dla biznesu zostały usunięte kanały okresowe - zamiast tego każdy może wybrać czas sprawdzania i wprowadzania nowości. I patrząc na kłopoty, jakie przynosi każda większa aktualizacja, doradzamy wstrzymanie ich na co najmniej 3 miesiące.

Ochrona przed zagrożeniami

Microsoft zadbał o nowe mechanizmy ochronne w tej wersji Windows 10 - z czego największa nowość to Sandbox, pozwalający na uruchamianie aplikacji i otwieranie stron internetowych w wyizolowanym środowisku. Po zamknięciu "piaskownicy" wszystko zostaje dokładnie wyczyszczone. Aby można było użyć tej funkcji - dostępnej w edycjach Pro i Enterprise - maszyna musi spełniać następujące warunki:

  • Windows 10 Pro lub Enterprise Insider, build 18305 lub dalsze (1903)
  • architektura AMD64
  • włączona funkcja wirtualizacji w BIOS-ie
  • co najmniej 4GB RAM (8GB zalecane)
  • co najmniej 1GB przestrzeni na dysku (zalecany dysk SSD)
  • procesor dwurdzeniowy (rekomendowany czterordzeniowy)

Windows Sandbox nie jest funkcją domyślną. Należy ją włączyć ręcznie w funkcjach systemu. Jeśli Twoja maszyna nie ma wsparcia dla wirtualizacji, funkcja ta będzie widoczna, ale bez możliwości włączenia. Jeśli możesz ją zaznaczyć, zrób to, zapisz wprowadzenie zmian i zrestartuj komputer.

Zaawansowana ochrona przed zagrożeniami w usłudze Windows Defender (ATP)

Zmiany dotknęły funkcji "Zaawansowana ochrona przed zagrożeniami w usłudze Windows Defender (ATP)". Dotyczą użytkowników edycji Windows Enterprise z licencją E5 lub E5 Microsoft 365. Otrzymują oni następujące usprawnienia:

  • zmniejszona powierzchnia ataków: można stworzyć listę blokowanych adresów URL i IP
  • blokada ustawień - gdy ustawień zostaną zapisane, nie będzie można wyłączyć Defendera. Dotyczy to zarówno potencjalnego włamywacza, jak i samych użytkowników
  • gdy zdarzy się incydent typu zero-day, mechanizmy uczenia maszynowego oraz zaawansowana diagnostyka zaktualizują urządzenie łatką zapewniająca ochronę przed takim atakiem

Zarządzanie tożsamością

Microsoft mocno zmienił techniki identyfikacji użytkowników, co obejmuje zarówno hasła, jak i uwierzytelnianie biometryczne. Te zmiany to:

  • dostęp do zdalnego pulpitu za pomocą uwierzytelniania biometrycznego: jeśli użytkownicy Azure Active Directory korzystają na swoich maszynach z Windows Hello for Business, mogą logować się za jego pomocą do pulpitów zdalnych. Ma to pomóc w zabezpieczeniu danych logowania do maszyn zdalnych przed wykradzeniem przez włamywacza.
  • Windows Hello używa uwierzytelniania certyfikowanego przez FIDO2. Umożliwia to logowanie do wspierających FIDO2 stron i usług bez konieczności wpisywania hasła (np. do Azure Active Directory).

Zmiany stricte technologiczne

Microsoft wprowadził szereg nowości stricte technologicznych, które nie są widoczne gołym okiem dla użytkownika, a robią swoje "w tle". Wśród nich znajduje się nowa polityka dla svchost.exe, przewidująca, że wszystkie usługi muszą mieć pliki binarne podpisane przez Microsoft, uniemożliwia taką stosowanie dynamicznie generowanego kodu.

Uwaga - może to prowadzić do problemów z kompatybilnością kodu stron trzecich, który próbuje użyć svchost.exe.