已公开的Windows 10在安全方面有着三项有份量的技术,这就是不同于传统意义密码的 Microsoft Passport(MP),用于防御PtH(Pass-the-Hash)攻击的Virtual Secure Mode(VSM) 以及设备卫士Device Guard(DG)。
迄今为止,我们常见的密码保护除了字符数字型password外,主要有智能卡和PIN,MP与它们不同,它采用了Windows 10系统生成的惟一型不对称key Pair,其存储在硬件TPM(Trusted Platform Module)内,安全性超过以往的PKI(Public Key Infrastructure)。
在AAD (Azure Active Directory)乃至Windows Server 2016 AD中当然可以存放常规密码的公用秘钥,但它们已经能够接受MP,当然,其条件是要具备TPM。不过,MP方式允许用户将其他设备作为智能卡使用,例如智能手机,这也正是Windows 8中已有的虚拟智能卡技术的延拓。MP设计采用了Alliance标准中的FIDO (Fast IDentity Online)技术,它支持用户在调用不同的系统服务时采用的是不同的密码。
Windows 10中提供的VSM模式,为一些涉及安全的的进程提供了更加可靠的运行环境,例如代码集成服务和LSA(Local Security Authority),都将被迁移到进程Trustlets,后者在OS内的运行是独立的基于硬件方式的Hyper-V 容器,该容器没有GUI,不能通过网络访问,甚至回避了Windows内核,从而让VSM容器内的进程和数据足够安全。另外,在登录环节采用了NTLM加密算法。
VSM本质上就是一个微型的操作系统,它只需要1GB内存就足以运行LSA服务来进行所有的认证工作。这个机制不会影响到用户的PC性能,但用户需要安装Windows 10,并且CPU支持虚拟化技术,这意味着即使受到Windows内核rootkit或者bootkit的威胁,你的令牌仍然是安全的。
为了有效控制应用程序的运行,在Windows 10之前Vista企业版之后的系统提供了策略型SRP (Software Restriction Policies)以 及AppLocker,藉此指定哪些应用可执行,相关策略存放在活动目录AD(Active Directory)内。然而,DG并非只是更加复杂的SRP,它携手MP对设备进行锁定,用于防范一直难以有效防御的APTs (Advanced Persistent Threats)威胁。
DG可以阻止那些有嫌疑的应用,只让可信任应用正常运行(如正版软件产品,企业业务应用系统)。尽管AppLocker也提供了类似功能,但DG与其有明显不同之处在于,它是通过隔离进程的方式判定相关应用是否可靠,甚至采用硬件虚拟化确保系统不会让问题程序混入。