Сказки о безопасности: Страшная надпись

22/03/2017

http://www.pcweek.ru/themes/detail.php?ID=193468

— Потапыч, родимый, ты б в гости заглянул. Чайку попили бы. С медком, липовым!

— Так, Хрюша, короче. Что сломалось?

— Да ну тебя, я ж со всей душой!

— Ага, раз с душой, значит компьютер. Кто чинил? Снова Заяц? Я ему, длинноухому, все уши в трубочку сверну. Что он сделал? Ладно, долго рассказывать. Ставь самовар. Да меду приготовь. Побольше! А то я знаю, как этот криворукий работает!

Прошло полчаса.

— Ну, Хрюшенька, благодарствую за чаек. Согрелся я. Жалуйся! Что случилось?

— Да я ж себе новый ноутбук купила, Потапыч. Позвала Зайца, вроде ж специалист, хоть и похуже тебя, а все же. Он сразу полез, мол, операционная система на ноутбуке плохая, он другую поставит, чтоб быстрее работала. Ну и поставил. Вроде сначала все хорошо было. Все летало. А сейчас какое-то непонятное вылезает. Вроде не пойму, не по-нашему написано, а вроде и ругается.

— Давно?

— Да уж неделю почти. Но мне не мешает, я и без внимания. А сегодня все ж решила тебя позвать.

— Включай. Посмотрим, что там.

Хрюша включила компьютер и тут же загорелась надпись: «Unsupported Hardware. Your PC uses a processor that is not supported on this version of Windows, and you will not receive updates».

— И что это, Потапыч?

— Что-что. Криворукий Заяц! Поймаю, таки убью! Он тебе не ту операционную систему поставил. У тебя новая была, 10-ка, а он тебе 7-ю версию поставил. Старую. А обновления под нее не идет на твой компьютер. Новый он чересчур. Сейчас восстанавливать будем.

— Ой, а что ж делать?

— Что-что… Чаю ставь самовар. Да меду неси. Лечить будем. Ох, Заяц, когда ж ты учиться-то будешь! Ну нельзя на новое железо старую операционную систему ставить!

Вот такой или подобный разговор состоится скоро у многих пользователей ПК как персональных, так и корпоративных. Ведь если вы работаете на ПК, на которых установлены новые процессоры, включая интеловские 7-го поколения Core i3, i5 и i7 («Kaby Lake»), AMD Ryzen («Bristol Ridge») и Qualcomm 8996, обновления Windows 7/8.1 устанавливаться просто не будут.


Данные геолокации в Windows 10

05/03/2017

В статье уже рассказывалось о технологиях безопасности. Но пользователей беспокоят вопросы соблюдения тайны их личной жизни. Все чаще звучат вопрос об отсылке геолокационных данных. Именно об этом мы и поговорим.

Каждое устройство, работающее под управлением Windows, может определить свое точное географическое положение. Местоположение определяется с помощью GPS, а также координат вышек сотовой связи и/или точек доступа Wi-Fi. Кроме того, Microsoft собирает информацию о вышках и точках доступа (включая их координаты), чтобы поддерживать свою глобальную базу данных о геолокации в актуальном состоянии.

Когда службы геолокации включены на устройстве, Windows загружает текущее местоположение на сервера Microsoft, как утверждается, для более эффективной работы сервисов Microsoft, причем сохраняются только последние координаты: каждое новое местоположение затирает старое, предыдущее. Многие сервисы и приложения используют данные геолокации для того, чтобы, например, порекомендовать пользователю ближайшие рестораны, кинотеатры или проложить маршрут.

И, наконец, данные геолокации используются еще и для обеспечения безопасности: если пользователь вдруг заходит в свой аккаунт из другой страны, то есть вероятность, что его аккаунт взломали, поэтому потребуется дополнительная проверка пользователя. Что такое телеметрия?

Телеметрия — системные данные, загружаемые компонентом Connected User Experience и Telemetry. Телеметрические данные используются, чтобы сохранить устройства Windows в безопасности и помочь Microsoft повысить качество служб Windows и Microsoft.

О настройке геолокации написаны уже много статей. Вместе с тем стоит отметить, что существуют следующие уровни телеметрии:

  1. Безопасность. Собираются телеметрические данные, необходимые для обеспечения безопасности Windows. Доступно только в редакциях Windows 10 Enterprise, Windows 10 Education, и Windows 10 IoT Core.
  2. Основной. Этот уровень собирает минимальный набор данных, которые критически важны для идентификации проблем.
  3. Улучшенный. Собирает данные как вы используете Windows и его приложения.
  4. Полный. Этот уровень собирает всю вышеупомянутую информацию и любые дополнительные данные, которые могут потребоваться, чтобы идентифицировать и решать проблемы.

1

Рисунок 1 Разрешение телеметрии

Для установки в локальной политике «Разрешения телеметрии» необходимо:

  1. Открыть редактор групповых политик gpedit.msc
  2. Выбрать «Административные шаблоны»
  3. «Компоненты Windows»
  4. «Сборки для сбора данных и предварительные сборки»
  5. «Разрешить телеметрию»

Этот параметр политики определяет объем данных о диагностике и использовании, отправляемых в Майкрософт.

Значение «0» будет отправлять минимум данных в Майкрософт. Эти данные включают в себя средство удаления вредоносных программ (MSRT) & данные Защитника Windows, если включен, и параметры клиента телеметрии. Установка значения «0» применяется только к версиям Enterprise, EDU, IoT и серверным устройствам. Установка значения «0» для других устройств эквивалентно выбору значения «1».

Значение «1» отправляет только базовый объем данных диагностики и использования. Обратите внимание, что установка значений 0 или 1 снизит удобство пользования некоторых функций устройства.

Значение «2» отправляет расширенные данные диагностики и использования.

Значение «3» отправляет аналогичные данные, что и «2», а также дополнительные данные диагностики, включая файлы и содержимое, которые могут вызвать проблему.

Параметры телеметрии Windows 10 применяются к операционной системе Windows и некоторым приложениям, получающим данные напрямую из источника. Этот параметр не применяется к сторонним приложениям, работающим на Windows 10.

Если вы выключите или не настроите этот параметр политики, пользователи смогут задать уровень данных телеметрии в настройках.

Отключение телеметрии средствами реестра

В случае если вы по каким-то причинам не можете использовать редактор групповых политик, вы можете отключить сбор телеметрии средствами реестра.

2

Рисунок 2 Отключение телеметрии средствами реестра

Создайте новый (32-разрядный) DWORD, назовите его AllowTelemetry и задайте значение 0. Это отключит телеметрию.

Вместе с тем вы должны отключить службу Connected User Experiences and Telemetry (Функциональные возможности для подключенных пользователей и телеметрия).

3

Рисунок 3 Отключение службы

Настройки Telemetry для отдельных компонентов

4

Рисунок 4 Настройки телеметрии для компонентов

Отключение Windows Customer Experience Improvement Program

5

Рисунок 5 Отключение Windows Customer Experience Improvement Program

Кроме телеметрии, данные передаются также в рамках программы по улучшению качества программного обеспечения Windows.

Отключить их можно с помощью редактора локальных групповых политик. Для этого необходимо:

  1. Gpedit.msc
  2. Административные шаблоны
  3. Система
  4. Управление связью через Интернет
  5. Параметры связи через Интернет
  6. Отключить программу по улучшению качества программного обеспечения Windows

Программа по улучшению качества программного обеспечения Windows выполняет сбор информации о конфигурации оборудования и способах применения программного обеспечения и служб Майкрософт, чтобы определить тенденции и статистические характеристики использования. При этом не собираются личные сведения, такие как имя или адрес пользователя.

Если вы включаете этот параметр политики, то все пользователи исключаются из участия в программе по улучшению качества программного обеспечения Windows.

Если вы отключаете этот параметр политики, то все пользователи участвуют в программе по улучшению качества программного обеспечения Windows.

Если вы не настраиваете этот параметр политики, администратор сможет воспользоваться компонентом «Отчеты о проблемах и решениях» в панели управления, чтобы включить участие в программе по улучшению качества программного обеспечения Windows для всех пользователей.

Отключить этот параметр можно и с помощью реестра.

Для этого вам необходимо:

  1. Найти ключ реестра HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \SQMClient \Windows
  2. Если ключи SQMClient и Windows не существуют, создайте их.
  3. Создайте параметр CEIPEnable типа Dword (32-разрядное) и установите значение в 0
  4. Перезапустите свой компьютер.

Как видите все достаточно просто. Нужно всего лишь учиться и работать!


Windows Hello

02/03/2017

Мы продолжаем рассматривать технологии безопасности Windows 10, перечисленные на странице

Windows Hello — технология биометрической аутентификации от компании Microsoft, включающая сканирование радужной оболочки глаза, отпечатка пальца и систему распознавания лиц. В частности, многие ноутбуки сегодня предусматривают дактилоскопическую аутентификацию, смартфоны Lumia 950 и Lumia 950 XL поддерживают сканирование радужной оболочки глаза, а устройства Surface Pro 4 и Surface Book — распознавание лиц.

В Windows 10 Mobile данная функция используется для распознавания пользователя (см. рисунок). При этом Windows Hello создает учетные данные, используемые как второй фактор аутентификации Microsoft Passport. Эти данные могут применяться не только для регистрации в системе Windows, но и для безопасной аутентификации пользователя в приложении на определенном устройстве. При этом разработчику приложения вовсе не нужно разбираться в шифровании, биометрике или технологии работы с учетными записями Microsoft.

1

Рисунок 1 Схема аутентификации Windows 10 Mobile

Когда мы говорим о сканировании глаза, следует понимать, что существует две технологии: сканирование радужной оболочки глаза и сканирование сетчатки. Сканер сетчатки считывает экран кровеносных сосудов глаза, и этот способ весьма надежен и защищен от случайных ошибок. При сканировании радужной оболочки снимаются образцы на цветной части радужной оболочки глаза. Сканирование сетчатки — более сложный способ биометрии.

В Windows Phone используется сканирование радужной оболочки глаза. Для этого нужна только камера, поддерживающая соответствующую технологию. Дополнительных аппаратных средств не требуется. Помимо камеры используется светодиод и датчик, который будет получать отраженную информацию. Как правило, глаз освещается инфракрасными лучами таким образом, чтобы камера смогла отсканировать оболочку.

Сканеры радужной оболочки дешевле, чем трехмерное распознавание лиц, да и камер нужно меньше. Из-за меньшего размера и возможности работать на расстоянии порядка 30 см эта технология распознавания идеальна для смартфонов. Именно поэтому данная технология используется в смартфонах Lumia 950 и Lumia 950 XL.

Настройка Windows Hello

Для настройки Windows Hello необходимо открыть меню «Параметры», «Учетные записи», «Параметры входа» (см. экран 2). При этом учтите, что перед настройкой Windows Hello вам нужно настроить PIN-код. Сканер радужной оболочки работает в темном помещении. И может применяться даже при использовании прозрачных контактных линз и очков (см. экран 3).

2

Рисунок 2 Настройка Windows Hello

3

Рисунок 3 Выполнение сканирования

Как видите, все просто.


Хранение ключей шифрования BitLocker в облаке — нарушение приватности?

02/03/2017

Среди технологий безопасности, применяемых в Windows 10, особо необходимо отметить шифрование BitLocker.

При использовании многих устройств использование учетной записи Microsoft Account с административными правами при входе в систему автоматически включит шифрование данных. Если устройство под управлением Windows 8, 8.1, 10 или Windows RT (планшет, ультрабук или устройство 2-в-1) поддерживает режим Connected Standby, если оперативная память фиксирована и если в качестве системного накопителя используется флэш-память (eMMC, UFS2.0 или SSD), а также – немаловажный момент! – устройство укомплектовано модулем TPM2.0, оно готово к использованию системы защиты данных BitLocker Device Protection. Пользователь вообще может ничего не знать о шифровании, ведь оно начнется автоматически.

С одной стороны, это повышает защищенность, но с другой есть и то, что существенно ее снизит.

  1. Ключ шифрования, используемый BitLocker Device Protection для для доступа к системному разделу, хранится в Microsoft OneDrive и доступен всем, у кого есть доступ к учётной записи Microsoft Account пользователя.
  2. Для извлечения ключа BitLocker Device Protection достаточно авторизоваться с учётной записью пользователя Microsoft Account (потребуется указать логин и пароль пользователя от учётной записи Microsoft; если в учётной записи включен режим двухфакторной аутентификации, потребуется доступ к приложению-аутентификатору) по адресу http://windows.microsoft.com/recoverykey или https://onedrive.live.com/recoverykey

А теперь давайте подумаем, насколько это плохо? Если ваш пароль к Microsoft Account «password» или «123456», то кто ж вам поможет?

А если вы используете для доступа к Microsoft Account двухэтапную аутентификацию, то уровень вашей защищенности намного выше и получить доступ к ключу расшифровки BitLocker намного сложнее. Но есть и еще один путь. Расшифровать ваш диск и зашифровать его заново, но уже вручную.

При шифровании вам предлагают:

  • Сохранить резервный ключ в облаке.
  • Сохранить резервный ключ в файле на другом носителе.
  • Распечатать резервный ключ.

Запомните, вы сами выбираете что вы будете делать! Единственное — помните, что вы должны его не потерять, следовательно, наиболее оптимальным является сохранить его в нескольких местах.

Учтите: при сохранении файла с ключом на OneDrive вы не видите данный файл при просмотре облака. Он не виден при просмотре файлов и папок. Для того чтобы увидеть данный файл, вы должны перейти по ссылке http://windows.microsoft.com/recoverykey или https://onedrive.live.com/recoverykey.

Запомните: существует несколько мест, в которых может храниться ключ восстановления BitLocker. Вот что нужно проверить:

  • Подключенную к Интернету учетную запись Microsoft. Это возможно только на компьютерах, не входящих в домен. Чтобы получить ключ восстановления, перейдите на страницу Ключи восстановления BitLocker.
  • Сохраненную копию ключа восстановления. Возможно, копия ключа восстановления BitLocker сохранена в файле, на USB-флэшке либо имеется печатная бумажная копия.
  • Если ключ сохранен в файл или напечатан, найдите эту копию, следуйте инструкциям на заблокированном компьютере и введите ключ при отображении запроса.
  • Если ключ сохранен на флэшке, вставьте ее и следуйте инструкциям на экране компьютера. Если ключ восстановления сохранен в качестве файла на флэшке, потребуется открыть файл и ввести ключ вручную.

Что же касается того, что некоторые пользователи считают, что хранение ключа BitLocker в облаке является нарушением закона о персональных данных, спешу их огорчить и порекомендовать прочесть ФЗ «О персональных данных».

Согласно п.1 ст.3 152-ФЗ «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», а ключ расшифрования BitLocker относится в первую очередь к ПК, а не к его пользователю.

 


Технологии безопасности в Windows 10. Биометрия.

01/03/2017

О технологиях безопасности в Windows 10 говорили и писали уже неоднократно. Вместе с тем стоит понимать, что до сих пор все технологии биометрии, применяемые в качестве аутентификации – это не более чем удобство. И причин тому достаточно много. В данной заметке мы поговорим об отпечатке пальца.

Использование отпечатка пальца в качестве признака аутентификации, увы, сегодня не выдерживает ни малейшей критики. Неоднократно демонстрировались атаки на датчики отпечатков пальцев с помощью муляжей. Ведь отличить живой палец от муляжа простым датчикам, встраиваемым сегодня в 99% устройств просто невозможно. Именно поэтому настройка аутентификации в Windows начинается с создания строгого, длинного и устойчивого к взлому пароля. И только потом вы сможете задать PIN-код или аутентифицироваться с помощью отпечатка пальца. Единственное, что хотелось бы рекомендовать – не забудьте, что палец можно поранить, он может быть просто грязным. Потому позаботьтесь о том, чтобы заранее отсканировать все ваши пальцы. Просто на всякий случай.


Сказки о безопасности: Сомнительный перехват

28/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192784

— Иоганн, вам звонят из канцелярии императора.

— Доброе утро! Что произошло?

— У нас срочный вопрос. Газета V опубликовала статью, написанную на основании записи перехваченного телефонного разговора между руководителем департамента экономики и руководителем финансового департамента империи.

— И чем мы сможем помочь?

— Нам необходимо провести экспертизу. Чиновники утверждают, что такого разговора не было. Наши специалисты не смогли доказать подлинность переговоров, но также не смогли доказать и фальсификацию.

— Странно. Привозите запись. Но нам нужен оригинал.

— Да, конечно. Курьер уже выехал к вам.

— Макс, необходимо провести экспертизу записи.

— Хорошо. Как только привезут, мы приступаем.

Прошла неделя.

— Иоганн, увы, мы не можем ни подтвердить, ни опровергнуть подлинность. У нас есть сомнения. Впечатление такое, что голос чиновника подделан. Но для того чтобы это доказать, нам нужна аппаратура и программное обеспечение, с помощью которого синтезирован голос. А так как его нет, доказать невозможно.

— А что внушает вам уверенность, что этого разговора не было?

— Понимаете, этот звонок был на мобильный телефон. Но проблема в том, что в логах мобильного оператора он не зарегистрирован. Безусловно, это может быть просто сбой у мобильного оператора, а может и нет. Доказать, увы, мы ничего не можем.

— Получается, мы не можем сказать ни да, ни нет?

— Именно так.

На совещании у императора Иоганн предложил, чтобы все переговоры правительственных чиновников осуществлялись исключительно по шифрованной связи. Это позволит избежать подобных инцидентов, хотя и потребует больших расходов.

Увы, сегодня подделать ваш голос — не проблема. А вот подтвердить или опровергнуть подлинность уже становится проблемой. Нужно шифровать. Но шифрование аппаратное — дорого, ключи же программного шифрования могут быть похищены. Как быть? Не знаю!


Любителям поговорить о privacy

19/02/2017

Любителям визжать по поводу сбора телеметрических данных в Windows 10 (и не желающих самим отключить сбор подобных данных) хотелось бы заметить, что собирает подобные данные не только Windows 10. Более того, зная, что подобные данные собирает и Apple и Android, вы продолжаете возмущаться Windows 10.

Ну а теперь еще вопросы:

  1. Публикуя ваши фотографии в Facebook, ВКонтакте, Одноклассниках и прочих социальных сетях вы вытираете EXIF-коды? Правда?
  2. Прогуливаясь по магазинам, вы, безусловно, отключаете NFC на ваших смартфонах? ДА?
  3. У всех вас в социальных сетях не указано в каком городе и в какой стране вы проживаете?
  4. В письмах вы скрываете ваш IP-адрес, чтобы нельзя было отследить ваш адрес?

Вопросы я могу задавать еще и еще. А ответы? Дайте себе ответы сами. И потом задумайтесь, правы ливы?