Поделиться через

Сетевая безопасность

  • Статья
  • Применяется к:
    Windows 11

Схема, содержащая список функций безопасности.

Windows 11 поднимает планку сетевой безопасности, предлагая комплексную защиту, чтобы помочь людям работать с уверенностью практически из любого места. Чтобы уменьшить область атак организации, защита сети в Windows предотвращает доступ пользователей к опасным IP-адресам и доменам, в которых могут размещаться фишинговые аферы, эксплойты и другое вредоносное содержимое. Используя службы на основе репутации, защита сети блокирует доступ к потенциально опасным доменам и IP-адресам с низким уровнем репутации.

Новые версии протоколов DNS и TLS укрепляют сквозную защиту, необходимую для приложений, веб-служб и сети "Никому не доверяй". Доступ к файлам добавляет ненадежный сетевой сценарий с блоком сообщений сервера через QUIC и новыми возможностями шифрования и подписывания. усовершенствования Wi-Fi и Bluetooth также обеспечивают больше доверия при подключении к другим устройствам. Кроме того, платформы VPN и брандмауэра Windows предлагают новые способы легкой настройки и отладки программного обеспечения.

В корпоративных средах защита сети лучше всего работает с Microsoft Defender для конечной точки, которая предоставляет подробные отчеты о событиях защиты в рамках более крупных сценариев исследования.

Подробнее

Transport Layer Security (TLS)

Tls — это популярный протокол безопасности, который шифрует передаваемые данные, чтобы обеспечить более безопасный канал связи между двумя конечными точками. Windows включает последние версии протокола и надежные наборы шифров по умолчанию и предлагает полный набор расширений, таких как проверка подлинности клиента для повышения безопасности сервера или возобновление сеанса для повышения производительности приложения. TLS 1.3 — это последняя версия протокола, включенная по умолчанию в Windows. Эта версия помогает устранить устаревшие алгоритмы шифрования, повысить безопасность по сравнению с более старыми версиями и зашифровать как можно больше подтверждения TLS. Подтверждение является более производительным с одним меньшим кругом на соединение в среднем и поддерживает только надежные комплекты шифров, которые обеспечивают идеальную прямую секретность и меньше операционного риска. Использование TLS 1.3 обеспечивает большую конфиденциальность и меньшую задержку для зашифрованных сетевых подключений. Если клиентское или серверное приложение по обе стороны подключения не поддерживает TLS 1.3, подключение возвращается к TLS 1.2. Windows использует последнюю версию DTLS 1.2 для обмена данными по протоколу UDP.

Подробнее

Безопасность системы доменных имен (DNS)

В Windows 11 dns-клиент Windows поддерживает dns по протоколу HTTPS и DNS через TLS— два зашифрованных протокола DNS. Они позволяют администраторам защищать свои устройства от злоумышленников по пути, будь то пассивные наблюдатели, регистрирующих поведение браузера, или активные злоумышленники, пытающиеся перенаправить клиенты на вредоносные сайты. В модели "Никому не доверяй", когда доверие не размещается на границе сети, требуется безопасное подключение к сопоставителям доверенных имен.

Windows 11 предоставляет групповую политику и программные элементы управления для настройки поведения DNS через HTTPS. В результате ИТ-администраторы могут расширить существующую безопасность для внедрения новых моделей, таких как "Никому не доверяй". ИТ-администраторы могут наказать dns по протоколу HTTPS, гарантируя, что устройства, использующие небезопасную службу DNS, не смогут подключиться к сетевым ресурсам. ИТ-администраторы также могут не использовать DNS по протоколу HTTPS или DNS через TLS для устаревших развертываний, в которых сетевые пограничные устройства являются доверенными для проверки трафика DNS в виде обычного текста. По умолчанию Windows 11 будет отложено локальному администратору, для которого сопоставители должны использовать зашифрованные DNS.

Поддержка шифрования DNS интегрируется с существующими конфигурациями Windows DNS, такими как таблица политики разрешения имен (NRPT), системный файл Hosts и сопоставители, указанные для каждого сетевого адаптера или сетевого профиля. Интеграция помогает Windows 11 гарантировать, что преимущества большей безопасности DNS не будут регрессивными существующими механизмами управления DNS.

Защита Bluetooth

Число устройств Bluetooth, подключенных к Windows 11, продолжает увеличиваться. Пользователи Windows подключают свои гарнитуры Bluetooth, мыши, клавиатуры и другие аксессуары, а также улучшают повседневные возможности пк, наслаждаясь потоковой передачей, производительностью и играми. Windows поддерживает все стандартные протоколы соединения Bluetooth, включая классические соединения и соединения LE Secure, безопасное простое соединение, а также классическое и устаревшее соединение LE. Windows также реализует конфиденциальность LE на основе узла. Обновления Windows помогают пользователям оставаться в курсе проблем с функциями безопасности ОС и драйверов в соответствии с bluetooth Special Interest Group (SIG) и Standard отчеты об уязвимостях, а также проблемы, выходящие за рамки тех, которые требуются основными отраслевыми стандартами Bluetooth. Корпорация Майкрософт настоятельно рекомендует поддерживать обновление встроенного ПО и программного обеспечения аксессуаров Bluetooth.

В управляемых ИТ-средах есть ряд параметров политики, доступных через поставщиков служб конфигурации, групповую политику и PowerShell. Этими параметрами можно управлять с помощью решений для управления устройствами, таких как Microsoft Intune[4]. Вы можете настроить Windows для использования технологии Bluetooth при поддержке потребностей вашей организации в безопасности. Например, можно разрешить ввод и звук при блокировке передачи файлов, принудительном использовании стандартов шифрования, ограничении возможностей обнаружения Windows или даже полностью отключить Bluetooth для наиболее конфиденциальных сред.

Подробнее

Wi-Fi подключения

Windows Wi-Fi поддерживает стандартные отраслевые методы проверки подлинности и шифрования при подключении к Wi-Fi сетям. WPA (Защищенный доступ Через Wi-Fi) — это стандарт безопасности, определенный Wi-Fi Alliance (WFA) для обеспечения сложного шифрования данных и более эффективной проверки подлинности пользователей.

Текущий стандарт безопасности для проверки подлинности Wi-Fi — WPA3, который обеспечивает более безопасный и надежный метод подключения по сравнению с WPA2 и более старыми протоколами безопасности. Windows поддерживает три режима WPA3: WPA3 Personal, WPA3 Enterprise и WPA3 Enterprise 192-bit Suite B.

Windows 11 включает WPA3 Personal с новым протоколом H2E и 192-разрядный пакет B WPA3 Enterprise. Windows 11 также поддерживает WPA3 Enterprise, который включает расширенную проверку сертификатов сервера и TLS 1.3 для проверки подлинности с использованием EAP-TLS.

Оппортунистическое беспроводное шифрование (OWE), технология, которая позволяет беспроводным устройствам устанавливать зашифрованные подключения к общедоступным Wi-Fi горячим точкам, также включается.

5G и eSIM

Сети 5G используют более надежное шифрование и лучшую сегментацию сети по сравнению с предыдущими поколениями протоколов сотовой связи. В отличие от Wi-Fi, доступ 5G всегда проходит взаимную проверку подлинности. Учетные данные для доступа хранятся в сертифицированном EAL4 eSIM, который физически встроен в устройство, что значительно усложняет для злоумышленников незаконное изменение. Вместе 5G и eSIM обеспечивают надежную основу для обеспечения безопасности.

Подробнее

Брандмауэр Windows

Брандмауэр Windows является важной частью многоуровневой модели безопасности. Он обеспечивает двусторонняя фильтрацию сетевого трафика на основе узла, блокируя несанкционированный трафик, поступающий на локальное устройство или из него, в зависимости от типов сетей, к которому подключено устройство.

Брандмауэр Windows предоставляет следующие преимущества:

  • Снижает риск угроз сетевой безопасности. Брандмауэр Windows сокращает область атак устройства с помощью правил, которые ограничивают или разрешают трафик с помощью многих свойств, таких как IP-адреса, порты или пути к программе. Эта функция повышает управляемость и снижает вероятность успешной атаки.
  • Защита конфиденциальных данных и интеллектуальной собственности. Интеграция с протоколом IPSec обеспечивает простой способ обеспечения сквозной сетевой связи с проверкой подлинности. Он предоставляет масштабируемый многоуровневый доступ к доверенным сетевым ресурсам, помогая обеспечить целостность данных и при необходимости помогает защитить конфиденциальность данных.
  • Расширяет ценность существующих инвестиций. Так как брандмауэр Windows — это брандмауэр на основе узла, который входит в состав операционной системы, дополнительное оборудование или программное обеспечение не требуется. Брандмауэр Windows также предназначен для дополнения существующих решений безопасности сети сторонних разработчиков с помощью документированного интерфейса программирования приложений (API).

Windows 11 упрощает анализ и отладку брандмауэра Windows. Поведение IPSec интегрировано с монитором пакетов— встроенным кросскомпонентным средством диагностики сети для Windows. Кроме того, журналы событий брандмауэра Windows расширены, чтобы аудит смог определить конкретный фильтр, отвечающий за любое событие. Это позволяет анализировать поведение брандмауэра и сбор расширенных пакетов без использования сторонних средств.

Администраторы могут настроить дополнительные параметры с помощью шаблонов политики брандмауэра и правил брандмауэра в узле Endpoint Security в Microsoft Intune[4], используя поддержку платформы от поставщика службы конфигурации брандмауэра (CSP) и применяя эти параметры к конечным точкам Windows.

Новые возможности в Windows 11 версии 24H2

Поставщик службы конфигурации брандмауэра (CSP) в Windows теперь применяет подход "все или ничего" к применению правил брандмауэра в каждом атомарном блоке. Ранее, если поставщик служб CSP сталкивался с проблемой с любым правилом в блоке, он не только прекращал обработку этого правила, но и прекращал обработку последующих правил, потенциально оставляя пробел в безопасности с частично развернутыми блоками правил. Теперь, если какое-либо правило в блоке не может быть успешно применено, CSP останавливает обработку последующих правил и откат всех правил из этого атомарного блока, устраняя неоднозначность частично развернутых блоков правил.

Подробнее

Виртуальные частные сети (VPN)

Организации уже давно полагаются на Windows для предоставления надежных, защищенных и управляемых виртуальных частных сетей (VPN). Платформа VPN-клиента Windows включает встроенные протоколы VPN, поддержку конфигурации, общий пользовательский интерфейс VPN и поддержку программирования для пользовательских протоколов VPN. VPN-приложения доступны в Microsoft Store для корпоративных и для потребительских VPN, включая приложения для самых популярных корпоративных VPN-шлюзов.

В Windows 11 мы интегрировали наиболее часто используемые элементы управления VPN прямо в область быстрых действий Windows 11. В области Быстрые действия пользователи могут проверить состояние VPN, запустить и остановить подключение, а также легко открыть параметры для дополнительных элементов управления.

Платформа WINDOWS VPN подключается к Microsoft Entra ID[4] и условному доступу для единого входа, включая многофакторную проверку подлинности (MFA) через Microsoft Entra ID. Платформа VPN также поддерживает классическую проверку подлинности, присоединенной к домену. Он поддерживается Microsoft Intune[4] и другими решениями по управлению устройствами. Гибкий профиль VPN поддерживает как встроенные, так и пользовательские протоколы. Он может настроить несколько методов проверки подлинности и может автоматически запускаться по мере необходимости или вручную конечным пользователем. Он также поддерживает VPN с разделением туннеля и эксклюзивный VPN с исключениями для доверенных внешних сайтов.

При использовании vpn-приложений универсальная платформа Windows (UWP) конечные пользователи никогда не зависают в старой версии VPN-клиента. Приложения VPN из магазина будут автоматически обновлены по мере необходимости. Естественно, обновления находятся под контролем ИТ-администраторов.

Платформа WINDOWS VPN настраивается и защищена для облачных поставщиков VPN, таких как VPN Azure. Такие функции, как проверка подлинности Microsoft Entra ID, интеграция пользовательского интерфейса Windows, селекторы сетевого трафика IKE и поддержка серверов, встроены в платформу Windows VPN. Интеграция с платформой WINDOWS VPN позволяет упростить работу ИТ-администратора. Проверка подлинности пользователей является более согласованной, и пользователи могут легко находить VPN и управлять ими.

Подробнее

Серверные службы файлового блока сообщений

Серверный блок сообщений (SMB) и файловые службы являются наиболее распространенными рабочими нагрузками Windows в экосистеме коммерческого и государственного секторов. Пользователи и приложения используют SMB для доступа к файлам, которые управляют организациями любого размера.

Windows 11 введены значительные обновления системы безопасности для решения современных угроз, включая шифрование SMB AES-256, ускоренное подписывание SMB, шифрование сети удаленного доступа к памяти каталога (RDMA) и SMB через QUIC для ненадежных сетей.

Новые возможности в Windows 11 версии 24H2

Новые параметры безопасности включают обязательное подписывание SMB по умолчанию, блокировку NTLM, ограничение скорости проверки подлинности и ряд других улучшений.

Подробнее