Windows 10技术预览版的早期报道大都将重点放在新的开始菜单、虚拟桌面和高度吸引眼球的用户体验上。另一方面,即使从这些早期预览版也可以看到许多巨大变化的蛛丝马迹,特别是在重要安全领域的变化。
到目前为止最让人浮想联翩的当属名为“下一代身份验证”(Next Generation Credentials)的新服务。多数新发布的预览版本已经安装了此服务,但服务未启动。
日前,微软透露了有关计划的更多细节,计划“推动世界远离诸如密码的单因素认证”。目前,Windows 10的技术预览版本尚未启用该功能。该功能启用后,Windows 10设备(个人电脑、平板电脑或手机)的用户即可以将设备设为可信任,继而用于身份验证的目的。该功能与PIN或生物证据(如指纹)结合,用户即能够登录任何支持此类功能的移动服务。
微软称,PIN码可以是字母数字的任意组合,并不是仅仅限于很短的数字代码。如果密码在数据库泄漏或钓鱼攻击中被窃,偷窃者仍然无法访问任何服务,原因是偷窃者手里没有双因素身份验证所要求的硬件部分。同样,如果设备被盗,但由于没有密码,偷窃者手里的设备也是没有用处的。
此认证方式不是专有的,而是基于FIDO联盟标准。FIDO联盟成员包括一堆的计算巨头(谷歌、微软、联想等等)、银行和支付公司(美国银行、支付宝、Visa和万事达卡)以及诸如RSA和IdentityX等著名安全公司。
至于设备本身所需要的公共密钥和私人密钥,企业可以利用现有的PKI基础设施签发这些密钥,消费电子设备所需要的密钥则可以由Windows 10产生和安全地存储。
据微软介绍,Windows 10用户可以在自己的任何设备或所有的设备上启动这些身份验证功能。其中的一个做法是,用户选一个设备启动该身份验证功能,然后将其作为虚拟智能卡使用。例如,智能手机可以提供双因素认证,做法是通过蓝牙或WiFi登陆到本地设备或访问远程资源。
用户访问令牌本身则可以存储在一个虚拟化的安全容器(基于Hyper-V技术)上,从而可以降低诸如Pass The Hash(送上哈希)一类的攻击的有效性。
微软在今天公告的还提出了两项新的Windows 10功能,可望为企业客户加强安全性。
第一个新功能是一组信息保护功能,使得企业即使在员工拥有的设备上也可以保护数据。微软称,Windows 10此项功能允许网络管理员设定策略,确保能自动加密敏感信息,包括企业应用程序、数据、电子邮件和公司内部专用网站内容。
由于常见的Windows控件(如打开和保存对话框)的API加入了对这些加密的支持,所有使用这些控制的Windows应用程序也具备该新功能。如果有必要采用更严格的安全措施,管理员还可以创建应用程序表,指定哪些应用程序可以访问加密数据,哪些应用程序不容许访问加密数据,譬如,网络管理员可以选择禁止访问诸如Dropbox的云服务。
一劳久逸的安全措施对很多部门(如银行和其他受管制的行业、国防承包商和处理网络间谍的政府机构等部门)来说都是件不可或得的大好事。利用Windows 10企业版和具有特别配置的OEM硬件,管理员可以完全锁定设备,使得不受信任的代码无法运行。
在完全锁定的配置下,唯一可以运行的应用程序只限于那些由微软签发的证书签过名的程序,包括来自Windows应用商店的应用程序,以及那些已提交给微软认证过的桌面应用程序。有些企业有自己的业务应用程序内部产品,这些企业可以获取自己的密钥生成器,这样做以后这些应用程序就可以在企业网络上运行,但在外面的网络上则运行不了。
可查阅微软有关的博客文章获取更多有关的详细信息。