Windows 11 čini jako mnogo toga da zaštiti vaše računalo od mnoštva prijetnji u današnjem digitalnom dobu. Ovi rizici dolaze od zlonamjernih aplikacija, krađe identiteta, njuškanja po nekriptiranom prometu, pa čak i rupa u zakonu na razini administratora lokalnog računala.
U nastavku ćemo pogledati neke od Microsoftovih vrhunskih sigurnosnih inovacija integriranih u Windowsima 11. Pa krenimo redom.
Smart App Control (SAC) / Pametna kontrola aplikacija
“Smart App Control” (SAC) – ili po hrvatski “Pametna kontrola aplikacija” – značajka je koja radi na zaustavljanju prijetnji i potencijalno neželjenih aplikacija na razini procesa. To je puno prije nego što maliciozne aplikacije mogu uzrokovati štetu na vašem računalu. To čini pomoću sofisticirane cloud usluge umjetne inteligencije koja pokušava utvrditi smatra li se aplikacija koju pokušavate pokrenuti sigurnom.
Prema Microsoftu: “Ako dotična usluga vjeruje da je aplikacija sigurna, omogućit će njezino pokretanje. Ako usluga smatra da je aplikacija zlonamjerna ili potencijalno neželjena, blokirat će je. Ako usluga ne može pouzdano odrediti o kakvoj se aplikaciji radi, provjerit će ima li aplikacija valjani potpis (signature).”
Upišite “Smart App Control” u prozor za pretraživanje u izborniku Start za pristup postavkama ove usluge.
Valja napomenuti da trenutačno ne postoji način za zaobilaženje ovog sustava ili kreiranje “white liste” za pojedinačne aplikacije. Jedino rješenje je isključivanje SAC-a, ako vam smeta. No, jednom kada isključite “Smart App Control”, to je trajno. Ne možete ga više uključiti, osim ako ne vratite Windowse na tvorničke postavke ili ne napravite čistu instalaciju Windowsa 11 na računalo.
Također, da biste koristili Smart App Control na računalu koje već (odavno) ima Windows 11, morat ćete ih resetirati na tvorničke postavke. To je zato što SAC nije došao s Windowsima 11, nego je prilično nova usluga. Moguće je da mnogi Windows 11 korisnici imaju dotični OS prije dolaska SAC-a.
DNS Over HTTPS (DoH) / DNS preko HTTPS-a
Po defaultu, Domain Name System (DNS) zahtjevi se šalju preko UDP ili TCP mrežnog protokola (u običnom i čitljivom tekstu). To inherentno čini tradicionalni nekriptirani DNS promet ranjivim na prisluškivanje i lažiranje.
“DNS over HTTPS“ (DoH) napredni je kriptirani protokol; dizajniran je za dodatnu zaštitu na transportnom sloju. DNS preko HTTPS-a “omotava” DNS upit unutar standardnog HTTPS zahtjeva i zatim ga šifrira.
Pojednostavljeno rečeno, to znači da se vaši DNS upiti i njihovi odgovarajući odgovori neće razlikovati od svog drugog HTTPS prometa na mreži.
Windows 11 sada podržava “DNS preko HTTPS” konfiguracije na mrežnoj razini, kao što je prikazano u nastavku teksta.
Kako konfigurirati “DNS over HTTPS” na Windowsima 11
Ako želite omogućiti ovu mogućnost na vašem računalu, evo kako to učiniti:
- Pritisnite “Start” i idite na “Settings” > “Network & Internet”
- Kliknite svoju “Wi-Fi” ili “Ethernet” vezu
- Kliknite na “Hardware properties”
- Kliknite na “Edit” na “DNS Server assignment”
- Pojavit će se “Edit DNS settings” popup i odaberite “Manual”
- Upalite IPv4 ili IPv6 switch.
- Unesite primarnu IP adresu vašeg DNS servera u “Preferred DNS” polje
- Unesite sekundarnu IP adresu vašeg DNS Servera u “Alternate DNS” polje
- Odaberite “On (automatic template)” u oba “DNS over HTTPS” dropdown menija i stisnite “Save”
- Trebali biste vidjeti (Encrypted) pored IPv4 ili IPv6 DNS servera
Secured-Core PC Configuration Lock / Secured-Core zaključavanje konfiguracije računala
Jedan od mnogih izazova s kojima se suočava IT administrator u poslovnoj organizaciji je proces održavanja sigurnosnih pravila na više uređaja.
Na primjer, korisnik s pravima lokalnog administratora može promijeniti postavku i isključiti uređaj iz sinkronizacije sa sigurnosnim pravilima. To stvara ono što je poznato kao “konfiguracijski drift“.
Imajući to na umu, Microsoftovo zaključavanje konfiguracije računala sa sigurnosnom jezgrom omogućuje administratorima provođenje sigurnosnih pravila na njihovim korporativnim uređajima sa zaštićenom jezgrom računala (SCPC).
Zaključavanje konfiguracije računala sa zaštićenom jezgrom funkcionira nadgledanjem specifičnih ključeva registra koji se odnose na konfiguraciju računala sa zaštićenom jezgrom na operativnom sustavu klijenta (korisnika). Zatim, ako se otkrije pomak konfiguracije namjernim ili nenamjernim neusklađivanjem postavki, promjene se vraćaju nazad unutar nekoliko sekundi.
Zaključavanje konfiguracije računala Secured-Core nije omogućeno po defaultu u Windowsima 11 niti je uključeno tijekom bootanja. Umjesto toga, njime odvojeno upravlja administrator koji koristi Microsoft Intune.
Možete provjeriti dokumentaciju korak po korak koju pruža Microsoft za omogućavanje zaključavanja konfiguracije računala Secured-Core.
Enhanced Phishing Protection / Poboljšana zaštita od krađe identiteta
Microsoftova “poboljšana zaštita od krađe identiteta” radi unutar ekosustava Microsoft Defender SmartScreen. Ova značajka je predstavljena u Windows 11 ažuriranju “22H2”.
Poboljšana zaštita od krađe identiteta Microsoftov je odgovor na sve veću prijetnju hakera koji pokušavaju ukrasti osjetljive korisničke podatke, poput lozinki. Cilj joj je zaštititi korisničku organizacijsku ili standardnu lozinku za Windows 11 kada se upiše na potencijalno nesigurnu web stranicu ili aplikaciju.
Ova značajka štiti integritet korisničke lozinke na tri načina.
- Zlonamjerne aplikacije i web stranice: Ako upišete svoju lozinku na bilo kojoj web stranici ili aplikaciji koju Microsoft Defender SmartScreen smatra zlonamjernom, primit ćete upozorenje kao i upit da promijenite lozinku. Trenutačno je ova značajka ograničena na preglednike temeljene na Chromiumu kao što su Microsoft Edge, Google Chrome i Opera.
- Ponovno korištenje lozinke: poboljšana zaštita od krađe identiteta upozorit će vas ako otkrije da je vaša lozinka za Windows 11 ponovno korištena na drugom web-mjestu ili u aplikaciji. Ovo je neovisno o tome smatra li se dotično web mjesto ili aplikacija zlonamjernim ili ne.
- Pohranjivanje lozinki: Ako svoju lozinku za Windows 11 pohranite u Notepad, Word ili bilo koju aplikaciju Microsoft 365 Office, Enhanced Phishing Protection će vas upozoriti i preporučiti da izbrišete lozinku iz datoteke.
IT administratorima sustava je jednostavno postaviti i konfigurirati poboljšanu zaštitu od krađe identiteta. Može se konfigurirati u Microsoft Intuneu, putem editora pravila grupe ili kao pružatelj usluge konfiguracije s uslugom MDM.
Windows 11 štiti od rizičnog ponašanja
Kako svijet sve više prelazi na hibridne, udaljene i nove načine rada, imperativ će uvijek biti sigurnost. Organizacije i obični ljudi ne mogu dopustiti da njihovi osjetljivi podaci dospiju u pogrešne ruke. Microsoft širi granice sigurnosti Windowsa i koristi najnoviju tehnologiju u pokušaju da vas zaštiti.
Piše: Boris Plavljanić