چرا ادعا می‌شود که ویندوز 11 نسبت به ویندوز 10 امنیت بسیار بیشتری دارد؟

همانطور که در جریان هستید، در ویندوز 10 اکسپلویت‌های امنیتی مختلفی وجود داشت. از آسیب پذیری‌های Specter و Meltdown تا مشکلات اخیر مربوط به اسپولر چاپ، فهرست آسیب پذیری‌ها و هک‌های ویندوز 10 بسیار وسیع است. در نتیجه ارتقای امنیت ویندوز در نسخه جدید آن حرکت بسیار مطلوبی محسوب می‌شود.

ویندوز 11 از همان ابتدا نسبت به ویندوز 10 امنیت بسیار بیشتری دارد. مایکروسافت در این نسخه از ویندوز تمرکز بیشتری بر ارتقای امنیت یکسری از امکانات کلیدی داشته. پس با ما همراه باشید تا با امکانات امنیتی مهمی که باعث قوی تر شدن ویندوز 11 شده اند آشنا شوید.

1. ماژول پلتفرم مورد اطمینان (TPM)

از زمانی که مایکروسافت اعلام کرد ویندوز 11 نیاز به ماژول پلتفرم قابل اعتماد (TPM) 2 دارد، این موضوع بحث‌های زیادی به وجود آورد. گرچه حدود یک دهه است که تراشه‌های TPM روانه بازار شده اند اما تولیدکنندگان دستگاه‌ها و کاربران زیاد این مسئله را جدی نمی‌گرفتند.

تراشه TPM محلی برای ذخیره امن پسوردها، کلیدهای رمزنگاری و اطلاعات لاگین است. تراشه TPM از آیتم‌های ذخیره شده برای احرازهویت کاربران، نرم‌افزارها و دستگاه‌ها استفاده می‌کند.

مثلاً در ویندوز 11، Windows Hello در کنار تراشه TPM 2.0 به ایمن سازی فرایند لاگین کمک می‌کند. TPM 2.0 یکسری اطلاعات سری مربوط به Windows Hello را ذخیره کرده و از آن برای احرازهویت کاربر استفاده می‌کند.

طبق آنچه مایکروسافت در وبلاگ خودش اعلام کرده، دلیل استفاده از TPM 2.0 به جای TPM 1.2 این است که TPM 2.0 از الگوریتم‌های رمزنگاری بهتری پشتیبانی می‌کند.

به عبارتی دیگر استفاده از TPM 2.0 باعث می‌شود که مایکروسافت از سالم بودن و هک نشدن کامپیوترها در ویندوز 11 مطمئن شود.

2. فناوری امنیتی مبتنی بر مجازی سازی (VBS)

در ویندوز 11 مایکروسافت از فناوری امنیتی مبتنی بر مجازی سازی هم استفاده کرده است. هدف از پیاده سازی این قابلیت حفاظت از راهکارهای امنیتی با قرار دادن آنها در یک بخش تفکیک شده و امن از حافظه سیستم است.

به عبارت دیگر، VBS یک بخش از حافظه سیستم را گرفته، آن را از بقیه بخش‌های سیستم عامل تفکیک کرده و از این فضا برای ذخیره کردن راهکارهای امنیتی استفاده می‌کند. مایکروسافت با این کار از راهکارهای امنیتی که هدف اصلی اکثر حملات سایبری هستند حفاظت می‌کند.

گرچه VBS در ویندوز 10 وجود دارد اما در حالت پیش فرض از آن استفاده نمی‌شود. مایکروسافت در ویندوز 11 این شرایط را تغییر داده و اعلام کرده که در سال جدید VBS را در اکثر سیستم‌های ویندوز 11 به طور پیش فرض فعال می‌کند.

3. جامعیت کدهای حفاظت شده ناظر ارشد (HVCI)

Hypervisor-protected Code Integrity یا به اختصار HVCI یکی از امکانات VBS است که از حفاظه تفکیک شده ایجاد شده توسط VBS حفاظت می‌کند. HVCI باعث می‌شود که هسته ویندوز یعنی همان مغز سیستم عامل دست نخورده باقی مانده و امکان نفوذ به آن وجود نداشته باشد.

از آنجایی که بسیاری از اکسپلویت‌ها برای دسترسی به سیستم از حالت کرنل استفاده می‌کنند، HVCI نقش مهمی در حفظ امنیت کرنل و مقابله با سوء استفاده از آن دارد.

به بیان ساده HVCI باعث می‌شود که مغز ویندوز کارهای نادرستی که می‌توانند امنیت سیستم را دچار مخاطره کنند انجام ندهد.

ویندوز 10 با قابلیت HVCI عرضه شده اما این قابلیت باعث افت شدید کارایی پردازنده‌های قدیمی تر می‌شود. به همین دلیل مایکروسافت برای این نسخه از سیستم عامل خودش وجود پردازنده‌های اینتل نسل هشتم به بعد یا AMD با معماری Zen 2 به بعد را الزامی کرده چون این پردازنده‌ها یک سخت‌افزار اختصاصی برای HVCI دارند.

به طور خلاصه قابلیت‌های HVCI و VBS باعث می‌شوند که ویندوز 11 در حالت پیش فرض به طور چشمگیری از ویندوز 10 ایمن تر باشد.

4. بوت امن UEFI

قبل از پرداختن به قابلیت بوت امن UEFI اول باید یک نکته را در نظر داشته باشیم: همه پروتکل‌ها و ابزارهای امنیتی ویندوز در صورتی که سیستم عامل شما قبل از بوت شدن دچار مخاطره شده باشد، بی فایده هستند.

به عبارتی اگر ویندوز با کدهای بد بوت شود، اکسپلویت‌ها می‌توانند از همه راهکارهای امنیتی فرار کنند. بوت امن UEFI با اطمینان از اینکه کامپیوتر تنها با کد به دست آمده از یک منبع امن بوت می‌شود، مانع از رخ دادن این اتفاق می‌شود. این منبع می‌تواند تولید کننده کامپیوتر، سازنده تراشه یا خود مایکروسافت باشد.

همه سیستم‌هایی که با ویندوز 11 کار می‌کنند این قابلیت را دارند که باعث ارتقای چشمگیر امنیت ویندوز نسبت به قبل می‌شود.

امنیت ویندوز 11 از همه نظر نسبت به ویندوز 10 بیشتر است

مایکروسافت سعی کرده که سیستم عامل خودش را از همان ابتدا ایمن سازی کند. سخت‌افزارهای متمرکز بر امنیت مثل TPM 2.0 و پردازنده‌های جدیدتر مجهز به امکاناتی مثل VBS و بوت امن UEFI هستند تا از کاربران در برابر اکسپلویت‌ها حفاظت شود.

با این وجود هنوز هم اکثر کاربران از سیستم‌های قدیمی تر استفاده می‌کنند در نتیجه مایکروسافت باید کاربران را متقاعد به خرید سیستم‌های جدید کند که کار ساده‌ای نیست!