Ignite: vállalatoknak Windows 10-et

Bejelentések özönével várta a rendszergazdákat és üzemeltetőket a Microsoft idei üzemeltetői rendezvénye, az atlantai Ignite. A bejelentések fókuszában az új Windows Server 2016 állt, de a reflektorfényben osztoznia kellett a Windows 10-zel - a kliens operációs rendszert rengeteg, nagyvállalatoknak szánt extrával ruházta fel a Microsoft. A cél egyértelmű, az elmúlt egy évben a rendszernek a konzumer szegmenst kellett bevennie - a friss adatok szerint 400 millió aktív telepítéssel ez sikerült is - , a következő időszak azonban a nagyvállalati környezet meghódításáról szól majd.

Windows Defender Application Guard

A virtualizáció egyik nagy ígérete mindig a magasabb biztonság volt, változatos okok miatt azonban eddig nem nagyon tört be a mindennapi számítástechnikába ez - annak ellenére, hogy például az Intel chipek 7-8 éve teljes hardveres támogatást nyújtanak hozzá. A Microsoft most végre meglépte ezt, a Windows 10 következő verziójában az Edge böngésző már nem csak szoftveres sandboxot, hanem kőkemény hardveres virtualizációt kap.

Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.

A gyakorlatban ez azt jelenti, hogy a vállalati üzemeltető által megbízhatóként nem listázott weboldalakat a böngésző védett módban nyitja majd meg. Ez a mód a felhasználó számára transzparens, csupán minimális vizuális jele van, hogy az ablak védett módú - egyébként ugyanúgy működik, mint a "rendes" Edge. A háttérben azonban a Windows 10 egy teljes (igaz, pehelysúlyú) virtuális gépet indít be, az ezen futó Edge böngészővel együtt. Az oldal bezárásával pedig az ideiglenes virtuális gép teljesen törlődik, a benne tárolt összes adattal, sütivel, bejelentkezési adatokkal együtt.

A megoldás lényege, hogy a VM egy minimalista Windows-verzió, amely kizárólag az Edge futtatásához szükséges komponenseket tartalmazza, a minimális rendszerfunkciókkal együtt. Így ha egy támadás valahogyan ki is tud törni a böngésző több rétegű védelméből, akkor is csak a virtuális gépet tudja megfertőzni, a hermetikusan lezárt gazda operációs rendszerhez akkor sem fér hozzá. Legalábbis amíg a VM és a gazdarendszer közötti korlátot át nem töri - ez azonban hatalmas feladatnak számít.

A WDAP alatt egyébként a Windows 10-zel érkezett Virtualisation Based Security (VBS) technológia dolgozik, (értelemszerűen) a Microsoft saját virtualizációs megoldásával, a Hyper-V-vel kombinálva. A VBS már ismerős lehet, első körben a Microsoft a Credential Guard és a Device Guard esetében használta ki a technológiát, előbbi például a bejelentkezéshez szükséges, helyben tárolt adatokat teszi ki külön virtuális gépbe.

Ahogy a többi VBS-alapú megoldás, az Application Guard is csak az Enterprise-kiadású Windows 10-ben lesz elérhető, így mezei felhasználóknak sajnos teljesen elérhetetlen ez a megoldás. A rendszergazdának, a gép üzemeltetőjének lesz majd lehetősége eldönteni, hogy a védett Edge mihez fér hozzá (pl. tud-e nyomtatni), illetve azt is, hogy mely oldalak számítanak biztonságosnak, ide tipikusan a belső oldalak kerülhetnek majd - ezek a "rendes" Edge-ben nyílnak majd meg.

Az Application Guard a Windows 10 béta kiadásaiban még idén kipróbálható lesz, hivatalos megjelenésre várhatóan a rendszer következő nagy frissítésével együtt kerülhet sor.

ATP+ATP

Szintén hiányzó láncszem az Office 365 Advanced Threat Protection és a Windows Defender Advanced Threat Protection összekötése. Eddig a két megoldás különállóan működött, mától azonban közös felületről használhatóak. Ez azt jelenti, hogy egy támadás visszakövethető például az asztali rendszerek és a hálózat szintjéről az Exchange szerverre beérkezett email üzenetig - ugyanarról a felületről. Eddig ehhez a két szolgáltatás között váltani kellett, a kombinációval erre már nem lesz szükség.

A fentihez lazán kapcsolódik az Office 365 Threat Intelligence, amelyet szintén az Ignite-on jelentett be a Microsoft. Ez a szolgáltatás több forrásból, például a FireEye iSight rendszeréből gyűjt információkat a várható támadásokra vonatkozóan, így a vállalati biztonsági csapat előre fel tudja készíteni a rendszereket a védekezésre. Például egy-egy új támadási vektor ellen az alapértelmezett beállítások módosításával sokszor könnyen lehet proaktívan védekezni.

Az egyesített ATP 2016 végén, a Threat Intelligence várhatóan 2017 első negyedévében lesz elérhető. E kettőt még az Advanced Data Governance egészíti majd ki - a három szolgáltatás ingyenesen benne lesz az Office 365 Enterprise E5 csomagban és a SPE E5 előfizetésben is. Utóbbi csomag október 1-től lesz hivatalosan elérhető.

A bejelentések tucatjai között a cég közölte, hogy elérhetővé vált a Windows Upgrade Analytics és a belső weboldalak feltérképezésére használható Site Discovery. Frissült a mobilos Outlook-kliens is, az Acompli-alapokon épült app backendje Amazonról Azure-ra váltott, így az Exchange Online levelezés immár egészében a Microsoft felhőjében marad.