Video: Mengenal Apa Saja Fitur Baru di Windows 10 2004! (Desember 2024)
Keamanan mengambil kursi belakang di acara Microsoft Windows 10 hari Rabu, tetapi itu tidak berarti Redmond tidak membuat tweak keamanan.
Windows 10 memiliki "daftar fitur keamanan yang sangat panjang yang dikembangkan ke basis kode baru ini bersama dengan sejumlah besar permukaan serangan baru yang diperkenalkan dengan platform baru ini, " Kurt Baumgartner, seorang peneliti senior di Kaspersky Lab menulis dalam sebuah posting blog.
Project Spartan - Sakit Kepala Peramban Baru?
Salah satu perubahan terbesar adalah di browser Web, karena sebagian besar pengguna tidak akan melihat Internet Explorer pada Windows 10. Browser baru, yang saat ini digunakan oleh Project Spartan, adalah sebuah terobosan dari Internet Explorer karena dilengkapi dengan mesin rendering baru. Namun, Microsoft memahami kompatibilitas ke belakang, dan mengatakan Project Spartan akan dapat memuat mesin IE11 jika pengguna mencoba mengakses situs web perusahaan yang ada yang dirancang khusus untuk Internet Explorer.
Mesin Project Spartan seharusnya menampilkan HTTP Strict Transport Security (HSTS), menurut Microsoft. HSTS adalah header HTTP yang menginformasikan browser untuk selalu meminta domain yang diberikan melalui SSL. Ini akan membantu mengurangi permukaan serangan man-in-the-middle. Microsoft belum mengungkapkan fitur keamanan lainnya, praktik pengembangan, atau kotak pasir untuk Project Spartan.
Meski begitu, mengingat bahwa ada lebih dari 200 kerentanan yang ditambal di berbagai versi IE pada tahun 2014 saja, meninggalkan basis kode dan pergi untuk menyegarkan minimalis dengan Project Spartan sepertinya ide yang bagus. "Sederhananya, browser web IE dipalu pada 2014 di semua platform Windows, termasuk yang terbaru, " kata Baumgartner.
Namun, apa yang tidak dikatakan Project Spartan, dengan sejumlah besar kode baru untuk komunikasi dan berbagi data, tidak akan hanya mengikuti sejarah Microsoft karena harus menambal ratusan kerentanan setiap tahun? "Semoga tim mereka tidak membawa bagasi itu, tetapi bebannya tampaknya cukup berat dengan fungsionalitas baru, " katanya.
Kompatibilitas mundur dengan mesin IE juga dapat menimbulkan beberapa masalah. "Lebih banyak fitur + dukungan lintas platform + kompatibilitas mundur = basis kode yang jauh lebih besar (jutaan baris kode, " kata Franklyn Jones, wakil presiden pemasaran di Spikes Security. Basis kode yang jauh lebih besar berarti kemungkinan akan ada lebih banyak kerentanan. dan permukaan serangan yang jauh lebih besar bagi penjahat cyber untuk dieksploitasi, katanya.
Otentikasi dan Kepercayaan
Microsoft akan memblokir aplikasi yang tidak tepercaya untuk diinstal pada sistem. Kepercayaan akan diverifikasi dengan tanda tangan digital aplikasi. Sementara model penandatanganan tepercaya ini merupakan peningkatan, Baumgartner mengatakan cara Windows 10 akan menanganinya adalah "tidak sempurna." Serangan spionase cyber di masa lalu telah menunjukkan bahwa sertifikat digital siap dicuri dan digunakan kembali dalam serangan. Aktor berbagi sertifikat lintas kelompok dan merusak model kepercayaan, katanya.
Windows 10 akan memiliki perlindungan identitas dan kontrol akses bawaan untuk menahan serangan phishing, otentikasi dua faktor yang mengharuskan pengguna untuk menggunakan PIN atau biometrik, dan alat pencegahan kehilangan data untuk secara otomatis mengenkripsi data perusahaan yang disimpan di lokasi yang telah ditentukan, Microsoft kata sebelumnya.
Sistem operasi baru ini menawarkan integrasi layanan berbagi data tanpa batas di seluruh sumber daya komputasi, yang berarti otentikasi dan kredensial serta token yang mendasarinya tidak dapat bocor di seluruh layanan, aplikasi, dan perangkat, kata Baumgartner. Tetapi tidak jelas Windows 10 memiliki perlindungan untuk bertahan terhadap teknik pass-the-hash, serangan terhadap Active Directory menggunakan "kunci kerangka, " atau serangan terhadap Hyper-V dan model wadah untuk mengakses dan menyalahgunakan token. Peneliti keamanan harus fokus pada bagaimana Microsoft menerapkan penyediaan kredensial dan penanganan token akses, katanya.
"Implementasi DLP untuk berbagi data perusahaan dengan aman juga menggembirakan, tetapi seberapa kuatkah itu bisa melintasi perangkat keras bergerak yang dibatasi energi?" Baumgartner bertanya.