Windows 10 krijgt tegengif tegen phishing en datalekken

De Windows 10-gebruiker kan er daarbij voor kiezen de authenticatie te laten uitvoeren door een ander apparaat dan waarop hij werkt. Meest voor de hand ligt het scenario waarbij een mobiele telefoon via Bluetooth of wifi gebruikt wordt als authenticatiemiddel.
De authenticatiemethode waarvoor Microsoft heeft gekozen, is gebaseerd op de standaard van de FIDO Alliance, waar behalve IT-bedrijven als Microsoft, Google en Lenovo ook verschillende banken en creditcardmaatschappijen en beveiligingsspecialisten als RSA en IdentityX in participeren. De publieke en private sleutels die nodig zijn voor de werking, kunnen door Windows 10 zelf gegenereerd worden, maar kunnen ook vanuit de Public Key Infrastructure van organisaties naar de apparaten gedistribueerd worden.
Veilige container
De toegangstokens die in deze authenticatieprocedure worden gegenereerd, krijgen bovendien speciale bescherming door ze op te slaan in een aparte container. Microsoft gebruikt zijn virtualisatie-oplossing Hyper-V om deze te creëren. Daardoor zijn ze ontoegankelijk voor kwaadwillenden, ook wanneer die erin slagen zich toegang te verschaffen tot de Windows-kernel van het apparaat van hun doelwit. Populaire aanvallen als Pass the Hash en Pass the Ticket, waarbij de tokens worden buitgemaakt om daarmee de identiteit van het doelwit te stelen, wordt daarmee de wind uit de zeilen genomen.
Automatische versleuteling
Voor bedrijfstoepassingen maakt Windows 10 het beheerders mogelijk om het besturingssysteem zo in te stellen dat gevoelige informatie automatisch versleuteld wordt - ook op privé-apparaten. Dat is beschikbaar voor alle Windows-toepassingen die de standaard Bewaar- en Open-functie gebruiken. Beheerders kunnen daarbij overigens specificeren welke applicaties toegang mogen hebben tot versleutelde gegevens. Een dienst als Dropbox is daarmee bijvoorbeeld desgewenst uit te sluiten.
In de Enterprise-editie zullen organisaties bovendien kunnen afdwingen dat code die niet expliciet een vertrouwensstempel heeft gekregen, niet werkt. Alleen applicaties die een door Microsoft getekend certificaat hebben, zullen geaccepteerd worden. Bedrijven zullen met een eigen certificatengenerator desgewenst ook kunnen afdwingen dat bepaalde software alleen binnen het eigen netwerk draait. Deze functie werkt alleen als de fabrikant van het apparaat die ingesteld heeft.
Meer details zijn te vinden op Microsofts Windows-blog.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee