Ignite: vállalatoknak Windows 10-et

Bejelentések özönével várta a rendszergazdákat és üzemeltetőket a Microsoft idei üzemeltetői rendezvénye, az atlantai Ignite. A bejelentések fókuszában az új Windows Server 2016 állt, de a reflektorfényben osztoznia kellett a Windows 10-zel - a kliens operációs rendszert rengeteg, nagyvállalatoknak szánt extrával ruházta fel a Microsoft. A cél egyértelmű, az elmúlt egy évben a rendszernek a konzumer szegmenst kellett bevennie - a friss adatok szerint 400 millió aktív telepítéssel ez sikerült is - , a következő időszak azonban a nagyvállalati környezet meghódításáról szól majd.

Windows Defender Application Guard

A virtualizáció egyik nagy ígérete mindig a magasabb biztonság volt, változatos okok miatt azonban eddig nem nagyon tört be a mindennapi számítástechnikába ez - annak ellenére, hogy például az Intel chipek 7-8 éve teljes hardveres támogatást nyújtanak hozzá. A Microsoft most végre meglépte ezt, a Windows 10 következő verziójában az Edge böngésző már nem csak szoftveres sandboxot, hanem kőkemény hardveres virtualizációt kap.

Elvárásháború, generalista forradalom, senioruralom Változik a toborzás, az interjúzás és az elvárások is. Az IT munkaerőpiac nagyon keresi az új egyensúlyi állapotát.

A gyakorlatban ez azt jelenti, hogy a vállalati üzemeltető által megbízhatóként nem listázott weboldalakat a böngésző védett módban nyitja majd meg. Ez a mód a felhasználó számára transzparens, csupán minimális vizuális jele van, hogy az ablak védett módú - egyébként ugyanúgy működik, mint a "rendes" Edge. A háttérben azonban a Windows 10 egy teljes (igaz, pehelysúlyú) virtuális gépet indít be, az ezen futó Edge böngészővel együtt. Az oldal bezárásával pedig az ideiglenes virtuális gép teljesen törlődik, a benne tárolt összes adattal, sütivel, bejelentkezési adatokkal együtt.

A megoldás lényege, hogy a VM egy minimalista Windows-verzió, amely kizárólag az Edge futtatásához szükséges komponenseket tartalmazza, a minimális rendszerfunkciókkal együtt. Így ha egy támadás valahogyan ki is tud törni a böngésző több rétegű védelméből, akkor is csak a virtuális gépet tudja megfertőzni, a hermetikusan lezárt gazda operációs rendszerhez akkor sem fér hozzá. Legalábbis amíg a VM és a gazdarendszer közötti korlátot át nem töri - ez azonban hatalmas feladatnak számít.

A WDAP alatt egyébként a Windows 10-zel érkezett Virtualisation Based Security (VBS) technológia dolgozik, (értelemszerűen) a Microsoft saját virtualizációs megoldásával, a Hyper-V-vel kombinálva. A VBS már ismerős lehet, első körben a Microsoft a Credential Guard és a Device Guard esetében használta ki a technológiát, előbbi például a bejelentkezéshez szükséges, helyben tárolt adatokat teszi ki külön virtuális gépbe.

Ahogy a többi VBS-alapú megoldás, az Application Guard is csak az Enterprise-kiadású Windows 10-ben lesz elérhető, így mezei felhasználóknak sajnos teljesen elérhetetlen ez a megoldás. A rendszergazdának, a gép üzemeltetőjének lesz majd lehetősége eldönteni, hogy a védett Edge mihez fér hozzá (pl. tud-e nyomtatni), illetve azt is, hogy mely oldalak számítanak biztonságosnak, ide tipikusan a belső oldalak kerülhetnek majd - ezek a "rendes" Edge-ben nyílnak majd meg.

Az Application Guard a Windows 10 béta kiadásaiban még idén kipróbálható lesz, hivatalos megjelenésre várhatóan a rendszer következő nagy frissítésével együtt kerülhet sor.

ATP+ATP

Szintén hiányzó láncszem az Office 365 Advanced Threat Protection és a Windows Defender Advanced Threat Protection összekötése. Eddig a két megoldás különállóan működött, mától azonban közös felületről használhatóak. Ez azt jelenti, hogy egy támadás visszakövethető például az asztali rendszerek és a hálózat szintjéről az Exchange szerverre beérkezett email üzenetig - ugyanarról a felületről. Eddig ehhez a két szolgáltatás között váltani kellett, a kombinációval erre már nem lesz szükség.

A fentihez lazán kapcsolódik az Office 365 Threat Intelligence, amelyet szintén az Ignite-on jelentett be a Microsoft. Ez a szolgáltatás több forrásból, például a FireEye iSight rendszeréből gyűjt információkat a várható támadásokra vonatkozóan, így a vállalati biztonsági csapat előre fel tudja készíteni a rendszereket a védekezésre. Például egy-egy új támadási vektor ellen az alapértelmezett beállítások módosításával sokszor könnyen lehet proaktívan védekezni.

Az egyesített ATP 2016 végén, a Threat Intelligence várhatóan 2017 első negyedévében lesz elérhető. E kettőt még az Advanced Data Governance egészíti majd ki - a három szolgáltatás ingyenesen benne lesz az Office 365 Enterprise E5 csomagban és a SPE E5 előfizetésben is. Utóbbi csomag október 1-től lesz hivatalosan elérhető.

A bejelentések tucatjai között a cég közölte, hogy elérhetővé vált a Windows Upgrade Analytics és a belső weboldalak feltérképezésére használható Site Discovery. Frissült a mobilos Outlook-kliens is, az Acompli-alapokon épült app backendje Amazonról Azure-ra váltott, így az Exchange Online levelezés immár egészében a Microsoft felhőjében marad.