همانطور که در جریان هستید، در ویندوز 10 اکسپلویتهای امنیتی مختلفی وجود داشت. از آسیب پذیریهای Specter و Meltdown تا مشکلات اخیر مربوط به اسپولر چاپ، فهرست آسیب پذیریها و هکهای ویندوز 10 بسیار وسیع است. در نتیجه ارتقای امنیت ویندوز در نسخه جدید آن حرکت بسیار مطلوبی محسوب میشود.
ویندوز 11 از همان ابتدا نسبت به ویندوز 10 امنیت بسیار بیشتری دارد. مایکروسافت در این نسخه از ویندوز تمرکز بیشتری بر ارتقای امنیت یکسری از امکانات کلیدی داشته. پس با ما همراه باشید تا با امکانات امنیتی مهمی که باعث قوی تر شدن ویندوز 11 شده اند آشنا شوید.
1. ماژول پلتفرم مورد اطمینان (TPM)
از زمانی که مایکروسافت اعلام کرد ویندوز 11 نیاز به ماژول پلتفرم قابل اعتماد (TPM) 2 دارد، این موضوع بحثهای زیادی به وجود آورد. گرچه حدود یک دهه است که تراشههای TPM روانه بازار شده اند اما تولیدکنندگان دستگاهها و کاربران زیاد این مسئله را جدی نمیگرفتند.
تراشه TPM محلی برای ذخیره امن پسوردها، کلیدهای رمزنگاری و اطلاعات لاگین است. تراشه TPM از آیتمهای ذخیره شده برای احرازهویت کاربران، نرمافزارها و دستگاهها استفاده میکند.
مثلاً در ویندوز 11، Windows Hello در کنار تراشه TPM 2.0 به ایمن سازی فرایند لاگین کمک میکند. TPM 2.0 یکسری اطلاعات سری مربوط به Windows Hello را ذخیره کرده و از آن برای احرازهویت کاربر استفاده میکند.
طبق آنچه مایکروسافت در وبلاگ خودش اعلام کرده، دلیل استفاده از TPM 2.0 به جای TPM 1.2 این است که TPM 2.0 از الگوریتمهای رمزنگاری بهتری پشتیبانی میکند.
به عبارتی دیگر استفاده از TPM 2.0 باعث میشود که مایکروسافت از سالم بودن و هک نشدن کامپیوترها در ویندوز 11 مطمئن شود.
2. فناوری امنیتی مبتنی بر مجازی سازی (VBS)
در ویندوز 11 مایکروسافت از فناوری امنیتی مبتنی بر مجازی سازی هم استفاده کرده است. هدف از پیاده سازی این قابلیت حفاظت از راهکارهای امنیتی با قرار دادن آنها در یک بخش تفکیک شده و امن از حافظه سیستم است.
به عبارت دیگر، VBS یک بخش از حافظه سیستم را گرفته، آن را از بقیه بخشهای سیستم عامل تفکیک کرده و از این فضا برای ذخیره کردن راهکارهای امنیتی استفاده میکند. مایکروسافت با این کار از راهکارهای امنیتی که هدف اصلی اکثر حملات سایبری هستند حفاظت میکند.
گرچه VBS در ویندوز 10 وجود دارد اما در حالت پیش فرض از آن استفاده نمیشود. مایکروسافت در ویندوز 11 این شرایط را تغییر داده و اعلام کرده که در سال جدید VBS را در اکثر سیستمهای ویندوز 11 به طور پیش فرض فعال میکند.
3. جامعیت کدهای حفاظت شده ناظر ارشد (HVCI)
Hypervisor-protected Code Integrity یا به اختصار HVCI یکی از امکانات VBS است که از حفاظه تفکیک شده ایجاد شده توسط VBS حفاظت میکند. HVCI باعث میشود که هسته ویندوز یعنی همان مغز سیستم عامل دست نخورده باقی مانده و امکان نفوذ به آن وجود نداشته باشد.
از آنجایی که بسیاری از اکسپلویتها برای دسترسی به سیستم از حالت کرنل استفاده میکنند، HVCI نقش مهمی در حفظ امنیت کرنل و مقابله با سوء استفاده از آن دارد.
به بیان ساده HVCI باعث میشود که مغز ویندوز کارهای نادرستی که میتوانند امنیت سیستم را دچار مخاطره کنند انجام ندهد.
ویندوز 10 با قابلیت HVCI عرضه شده اما این قابلیت باعث افت شدید کارایی پردازندههای قدیمی تر میشود. به همین دلیل مایکروسافت برای این نسخه از سیستم عامل خودش وجود پردازندههای اینتل نسل هشتم به بعد یا AMD با معماری Zen 2 به بعد را الزامی کرده چون این پردازندهها یک سختافزار اختصاصی برای HVCI دارند.
به طور خلاصه قابلیتهای HVCI و VBS باعث میشوند که ویندوز 11 در حالت پیش فرض به طور چشمگیری از ویندوز 10 ایمن تر باشد.
4. بوت امن UEFI
قبل از پرداختن به قابلیت بوت امن UEFI اول باید یک نکته را در نظر داشته باشیم: همه پروتکلها و ابزارهای امنیتی ویندوز در صورتی که سیستم عامل شما قبل از بوت شدن دچار مخاطره شده باشد، بی فایده هستند.
به عبارتی اگر ویندوز با کدهای بد بوت شود، اکسپلویتها میتوانند از همه راهکارهای امنیتی فرار کنند. بوت امن UEFI با اطمینان از اینکه کامپیوتر تنها با کد به دست آمده از یک منبع امن بوت میشود، مانع از رخ دادن این اتفاق میشود. این منبع میتواند تولید کننده کامپیوتر، سازنده تراشه یا خود مایکروسافت باشد.
همه سیستمهایی که با ویندوز 11 کار میکنند این قابلیت را دارند که باعث ارتقای چشمگیر امنیت ویندوز نسبت به قبل میشود.
امنیت ویندوز 11 از همه نظر نسبت به ویندوز 10 بیشتر است
مایکروسافت سعی کرده که سیستم عامل خودش را از همان ابتدا ایمن سازی کند. سختافزارهای متمرکز بر امنیت مثل TPM 2.0 و پردازندههای جدیدتر مجهز به امکاناتی مثل VBS و بوت امن UEFI هستند تا از کاربران در برابر اکسپلویتها حفاظت شود.
با این وجود هنوز هم اکثر کاربران از سیستمهای قدیمی تر استفاده میکنند در نتیجه مایکروسافت باید کاربران را متقاعد به خرید سیستمهای جدید کند که کار سادهای نیست!