Η Microsoft μοιράστηκε περισσότερες λεπτομέρειες σχετικά με τη νέα δυνατότητα ασφαλείας προστασίας διαχειριστή των Windows 11, η οποία είναι διαθέσιμη σε προεπισκόπηση και χρησιμοποιεί μηνύματα ελέγχου ταυτότητας του Windows Hello για να αποκλείσει την πρόσβαση σε σημαντικούς πόρους του συστήματος.
Παρουσιάστηκε για πρώτη φορά τον περασμένο μήνα στο α προεπισκόπηση κατασκευής για τα Windows 11 Insiders στο Canary Channel, η προστασία διαχειριστή έχει σχεδιαστεί για να “προστατεύει τα δωρεάν αιωρούμενα δικαιώματα διαχειριστή για τους χρήστες διαχειριστή, επιτρέποντάς τους να εξακολουθούν να εκτελούν όλες τις λειτουργίες διαχειριστή με δικαιώματα διαχειριστή την ίδια στιγμή”.
Πιο συγκεκριμένα, μόλις ενεργοποιηθεί σε μια συσκευή, αυτή η δυνατότητα θα διασφαλίσει ότι όσοι είναι συνδεδεμένοι στο σύστημα έχουν μόνο τυπικά δικαιώματα χρήστη και θα τους ζητηθεί να γίνει έλεγχος ταυτότητας μέσω Windows Hello χρησιμοποιώντας ένα PIN ή βιομετρική μέθοδο κατά την προσπάθεια αλλαγής του μητρώου ή εγκατάστασης νέου εφαρμογές.
Αυτές οι επιπλέον προτροπές ελέγχου ταυτότητας θα πρέπει να είναι πιο δύσκολο να παρακαμφθούν από τη δυνατότητα ασφαλείας “Έλεγχος λογαριασμού χρήστη παραθύρου” (UAC), έτσι ώστε να μπορούν να εμποδίσουν το κακόβουλο λογισμικό και τους εισβολείς να αποκτήσουν πρόσβαση σε τέτοιους κρίσιμους πόρους και να θέσουν σε κίνδυνο το σύστημα.
“Τα Windows δημιουργούν ένα προσωρινό απομονωμένο διακριτικό διαχειριστή για να ολοκληρώσει τη δουλειά. Αυτό το προσωρινό διακριτικό καταστρέφεται αμέσως μόλις ολοκληρωθεί η εργασία, διασφαλίζοντας ότι τα δικαιώματα διαχειριστή δεν διατηρούνται.” είπε Ο David Weston, Αντιπρόεδρος της εταιρείας για θέματα Enterprise και OS Security, στο Microsoft Ignite.
“Η προστασία του διαχειριστή συμβάλλει στη διασφάλιση ότι οι χρήστες και όχι το κακόβουλο λογισμικό θα διατηρήσουν τον έλεγχο των πόρων του συστήματος. Θα είναι επίσης ενοχλητικό για τους εισβολείς καθώς δεν έχουν πλέον αυτόματη, άμεση πρόσβαση στον πυρήνα ή άλλη κρίσιμη ασφάλεια του συστήματος χωρίς συγκεκριμένη εξουσιοδότηση Windows Hello.”
Όπως κοινοποίησε η ομάδα Windows Insider τον Οκτώβριο, όταν εισήχθη για πρώτη φορά η δυνατότητα, η προστασία διαχειριστή είναι απενεργοποιημένη από προεπιλογή και πρέπει να ενεργοποιηθεί μέσω της πολιτικής ομάδας.
Το Windows Hello χρησιμοποιείται επίσης για έλεγχο ταυτότητας για τον αποκλεισμό της πρόσβασης σε αρχεία που είναι αποθηκευμένα στους φακέλους Desktop, Documents και Pictures με τη βοήθεια του Personal Data Encryption, μια δυνατότητα που εισήχθη με τα Windows 11 22H2 που κρυπτογραφεί τα δεδομένα έτσι ώστε ο διαχειριστής της συσκευής να μην μπορεί καν να έχει πρόσβαση πριν από τον έλεγχο ταυτότητας.
Οι διαχειριστές μπορούν τώρα να ενεργοποιήσουν επίσης τις πολιτικές Έλεγχος εφαρμογών και Έλεγχος εφαρμογών για επιχειρήσεις για να εμποδίσουν τους χρήστες να κάνουν λήψη, εγκατάσταση και εκτέλεση κακόβουλων εφαρμογών και προγραμμάτων οδήγησης.
“Πολλές επιθέσεις συμβαίνουν λόγω της λήψης μη ασφαλών ή ανυπόγραφων εφαρμογών και προγραμμάτων οδήγησης από χρήστες. Αυτό εξαλείφει επιθέσεις όπως κακόβουλα συνημμένα ή κακόβουλο λογισμικό που έχει δημιουργηθεί μέσω κοινωνικής δικτύωσης”, πρόσθεσε ο Weston.
“Οι διαχειριστές IT μπορούν απλώς να επιλέξουν το πρότυπο “υπογεγραμμένη και αξιόπιστη πολιτική” στον οδηγό ελέγχου εφαρμογής. Αυτό επιτρέπει σε εκατομμύρια επαληθευμένες εφαρμογές να εκτελούνται ανεξάρτητα από την τοποθεσία ανάπτυξης.”
VIA: bleepingcomputer.com
