هنگامی که مایکروسافت ویندوز 10 را منتشر کرد، ساتیا نادلا اعلام کرد که این سیستم عامل به یک پلتفرم اینترنت اشیا تبدیل خواهد شد زیرا مایکروسافت از قوی ترین ماژول های امنیتی در طراحی خود استفاده کرده است. زمان نشان داده است که عملکرد مایکروسافت در ایمن سازی ویندوز 10 تقریبا قابل قبول است و این سیستم عامل به جز در چند مورد خاص، آسیب پذیری کمتری نسبت به نسخه های قبلی خود داشته است.
سرانجام، مایکروسافت تصمیم گرفت نسخه ویژه ای از این سیستم عامل به نام Windows 10 IoT را بر اساس ویژگی های امنیتی ویژه تعبیه شده در ویندوز 10 منتشر کند. اکنون، چند سال بعد، مایکروسافت در زمان عرضه رسمی ویندوز 11 اعلام کرد که سیستم عامل جدید امنیت بیشتری نسبت به ویندوز 10 داشت. سختگیری مایکروسافت به حدی بود که ابتدا اعلام کرد که فقط کاربران ویندوز 11 را که سیستم آنها از ماژول TPM 2.0 پشتیبانی می کند و ویژگی Secure Boot در سیستم آنها فعال شده است، می تواند نصب کند. درست است که مایکروسافت در نهایت از تصمیم سخت خود در مورد تراشه TPM 2.0 عقب نشینی کرد و به کاربران اجازه داد تا از این ویژگی امنیتی برای نصب ویندوز 11 بر روی سیستم خود عبور کنند، اما واقعیت این است که ویندوز 11 دارای ویژگی های امنیتی است.
ویندوز 11 نه تنها به دلیل تغییرات ظاهری نسبت به ویندوز 10 توجه رسانه ها را به خود جلب کرده است، بلکه دارای ویژگی های امنیتی جالبی در سیستم عامل است که برخی از آنها واقعا کارآمد هستند. یکی از گلایه های کاربران ویندوز 10 این است که مجبورند دائماً به روز رسانی های امنیتی مختلف ویندوز 10 را نصب کنند تا از سوء استفاده هکرها از آسیب پذیری های حیاتی مانند Spectre، Multdown و PrintSpoller جلوگیری کنند.
در حالی که بیشتر آسیبپذیریها در ویندوز 10 حیاتی نبودند، با این وجود به آسیبپذیریهایی آلوده بودند که هکرها میتوانستند از آنها برای حمله به سیستمهای کاربران در صورت بهروز نبودن ویندوز 10 استفاده کنند. این امر باعث شد تا شرکت هنگام عرضه ویندوز 11 توجه بیشتری به امنیت داشته باشد. در یک کلام، ویندوز 11 از زمان انتشار تا کنون از ویندوز 10 ایمن تر بوده است. برای بهبود امنیت ویندوز 11، مایکروسافت بر روی اجزای کلیدی خاصی تمرکز کرده است که نگاهی کوتاه به آنها خواهیم داشت.
زمانی که مایکروسافت الزامات پیش از نصب ویندوز 11 را اعلام کرد، تاکید زیادی بر تراشه TPM 2.0 داشت. تراشههای TPM تقریباً ده سال است که روی مادربردها و لپتاپهای خانگی وجود دارند، اما اکثر شرکتهای نرمافزاری و حتی مایکروسافت آنها را چندان جدی نمیگرفتند. تراشه رمزگذاری TPM برای ذخیره رمزهای عبور و احراز هویت مختلف استفاده می شود. به بیان دقیق تر، TPM از اطلاعات ذخیره شده برای شناسایی و احراز هویت دستگاه ها، نرم افزارها و کاربران استفاده می کند.
به عنوان مثال، در ویندوز 11، از ویژگی هلو ویندوز به همراه ریزتراشه TPM 2.0 میتوان برای ایمنتر کردن فرآیند ورود به سیستم استفاده کرد. TPM 2.0 یک ویژگی خاص مرتبط با ویندوز هلو را ذخیره می کند که برای احراز هویت کاربر استفاده می شود. مایکروسافت در توضیح اینکه چرا آنها از تراشه TPM 2.0 به جای نسخه قدیمی تر، TPM 1.2 استفاده کردند، گفت که نسخه جدید از الگوریتم های رمزگذاری بهتری پشتیبانی می کند. به عبارت ساده تر، تراشه TPM 2.0 تضمین می کند که رایانه هایی که از ویندوز 11 استفاده می کنند، از همیشه ایمن تر هستند.
یکی دیگر از قابلیت هایی که مایکروسافت به ویندوز 11 اضافه کرده امنیت مبتنی بر مجازی سازی است. البته این ویژگی جدیدی نیست و مایکروسافت قبلاً آن را در ویندوز 10 به عنوان یک لایه حفاظتی اختیاری در اختیار سازمان ها قرار داده بود. این ویژگی در حال حاضر معمولاً در ویندوز 11 استفاده می شود این ویژگی برای محافظت از فرآیندها و بخش های داده ذخیره شده در حافظه سیستم استفاده می شود. به طوری که مکانی امن و ایزوله برای آنها ایجاد می کند. VBS در ویندوز 11 به سیستم عامل اجازه می دهد تا از قابلیت مجازی سازی پردازنده های جدید در سطح سخت افزار برای جداسازی محیط حافظه امن و میزبانی از قابلیت های امنیتی جدید در محیط سیستم عامل مانند HVCI استفاده کند.
به عبارت دیگر، VBS بخشی از حافظه اصلی سیستم را می گیرد، آن را از سیستم جدا می کند و سپس از فضای ایزوله برای ذخیره ماژول های امنیتی استفاده می کند. مایکروسافت سعی دارد از این ویژگی به عنوان ابزاری برای مبارزه با هکرها و محافظت از کاربران در برابر حملات سایبری استفاده کند. کاری که دو ویژگی VBS و HVCI انجام می دهند این است که از نفوذ هکرها به سیستم با اجرای کدهای مخرب بر روی نرم افزارها و درایورهای ظاهراً تأیید شده جلوگیری می کند، زیرا آنها سعی می کنند با استفاده از Integrity Checker به سیستم نفوذ کنند. با این حال، کارشناسان امنیتی شک دارند، زیرا ماژول های فوق از نظر تئوری عملکرد خوبی دارند، اما مطالعات بیشتر نشان می دهد که این دو ویژگی عملکرد سیستم را کاهش می دهند و به ویژه عملکرد سیستم را تا 28٪ کاهش می دهند، به خصوص در هنگام بازی.
نکته ای که باید در نظر داشته باشید این است که اگر از ویندوز 10 به ویندوز 11 مهاجرت کرده اید، VBS تا زمانی که در ویندوز 10 فعال نباشد فعال نخواهد شد. البته این ویژگی به طور پیش فرض در رایانه های جدیدتر یا زمانی که کاملاً فعال می شود، فعال می شود. ویندوز 11 را از ابتدا روی سیستم نصب کنید. بنابراین، مهم است که بدانید آیا این ویژگی در دستگاه شما فعال است و چگونه آن را غیرفعال کنید تا به عملکرد قبلی دست یابید. اگر به هر دلیلی می خواهید این ویژگی را غیرفعال کنید، ابتدا باید از فعال بودن آن مطمئن شوید. برای این کار برنامه System Information را اجرا کنید که اطلاعات کامل سیستم را نمایش می دهد. در قسمت System Summary ردیف Virtualization-based security را تیک بزنید، اگر گزینه Not Enabled نمایش داده شد نیازی به کار اضافی نیست. اگر Running نمایش داده شد، مراحل زیر را دنبال کنید.
دو راه برای غیرفعال کردن VBS در ویندوز 11 وجود دارد، در روش اول برنامه Settings را اجرا کنید، در پنل سمت چپ تنظیمات بر روی Privacy & Security کلیک کنید. در این حالت تنظیمات امنیتی، مجوزهای ویندوز و برنامه ها را مشاهده خواهید کرد. روی گزینه اول به نام Windows Security و سپس Device Security کلیک کنید. در مرحله بعد گزینه آبی Core isolation details را انتخاب کنید. در این قسمت نماد تغییر وضعیت Memory Integrity را مشاهده خواهید کرد. اگر روشن است، باید آن را خاموش کنید. پس از انجام این مراحل، سیستم را بوت کنید تا تغییرات اعمال شود.
راه دوم غیرفعال کردن VBS از طریق رجیستری ویندوز است. در کادر جستجوی ویندوز 11، Registry Editor را تایپ کرده و روی گزینه انتخاب شده کلیک کنید. حالا به مسیر زیر بروید.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard
در قسمت سمت راست، یک کلید DWORD Value به نام EnableVirtualizationBasedSecurity وجود دارد. روی آن دوبار کلیک کنید و مقدار فیلد Value data را 0 قرار دهید. پس از انجام این کار، سیستم را بوت کنید تا تغییرات اعمال شود.
با آپدیت آوریل 2018 ویندوز 10، مایکروسافت ویژگی های امنیتی جدیدی به نام Core Isolation و Memory Integrity را معرفی کرد، اما فقط در نسخه سازمانی ویندوز 10، اما دیگر اینطور نیست و نسخه های مختلف ویندوز 11 از آن پشتیبانی می کنند. این دو ویژگی قدرتمند از رویکرد مجازی سازی برای محافظت از فرآیندهای اصلی سیستم عامل در برابر دستکاری و دستکاری استفاده می کنند. البته قابلیت محافظت از حافظه به صورت پیش فرض برای سیستم های دارای ویندوز 10 غیرفعال بود اما در ویندوز 11 قابلیت فوق از ابتدا فعال است.
این ویژگی با قابلیت جدید دیگری به نام Core Isolation از سیستم کاربران محافظت می کند. یکی دیگر از ویژگی های امنیتی مهم مربوط به ماژول های فوق، یکپارچگی حافظه نام دارد که با نام HVCI، Hypervisor protected Code Integrity نیز شناخته می شود. یکپارچه سازی کد مجازی (HVCI) یکی از ویژگی های VBS است که از محیط ایزوله ایجاد شده توسط VBS محافظت می کند. HVCI ایمن بودن هسته ویندوز را تضمین می کند. آمارها نشان می دهد که بیشتر آسیب پذیری های ویندوز مربوط به هسته سیستم عامل است، به همین دلیل است که HVCI نقش کلیدی در امنیت ویندوز 11 ایفا می کند. به عبارت ساده، HVCI به طور مداوم هسته سیستم عامل را کنترل می کند تا از ورود کدهای مخرب به آن جلوگیری کند.
تنها نقطه ضعف HVCI این است که ماژول فوق عملکرد پردازنده های قدیمی را کاهش می دهد، به همین دلیل است که مایکروسافت ویندوز 11 را به پردازنده های رده بالای نسل هشتم اینتل و پردازنده های Zen 2 و بالاتر محدود کرده است. پردازنده های جدیدتر از سخت افزار خاصی برای پشتیبانی از HVCI استفاده می کنند تا عملکرد آنها کاهش نیابد.
قبل از صحبت در مورد UEFI Secure Boot، شایان ذکر است که اگر سیستم شما قبل از بوت شدن آلوده شود، هیچ کاری نمی توانید در مورد ابزارها و پروتکل های امنیتی ویندوز انجام دهید و باید سیستم خود را به یک مرکز معتبر برای دریافت کدهای مخرب در رام سیستم ببرید. هنگامی که سیستم خود را با فلش درایو آلوده راه اندازی می کنید. به طور دقیق تر، اگر ویندوز با کدهای مخرب راه اندازی شود، کدهای مخرب می توانند تمام لایه های امنیتی را دور بزنند. UEFI Secure Boot به کاربران اطمینان می دهد که سیستم آنها به بدافزار آلوده نمی شود و فقط به برنامه ها و اسکریپت های معتبر اجازه اجرا می دهد. این منبع قابل اعتماد می تواند سازنده دستگاه، سازنده تراشه یا مایکروسافت باشد. تمامی دستگاه های ویندوز 11 از ابتدا از طریق بوت امن UEFI بوت می شوند که سطح امنیتی سیستم عامل جدید مایکروسافت را بهتر از ویندوز 10 می کند.
بوت امن یک استاندارد امنیتی است که توسط اعضای صنعت کامپیوتر استفاده می شود تا اطمینان حاصل شود که دستگاه فقط با استفاده از نرم افزار مورد اعتماد سازنده تجهیزات اصلی (OEM) بوت می شود. Secure Boot کنترل می کند که کدام درایورهای بوت و فایل های سیستم روی رایانه مجاز هستند. این ویژگی مزایا و معایب خود را دارد. از یک طرف، می تواند با طیف گسترده ای از بدافزارها مقابله کند و از سیستم ها در برابر تهدیدات بدافزار و باج افزار محافظت کند. از طرفی می تواند از نصب سیستم عامل های متعدد و نمایش دو گزینه در هنگام روشن شدن سیستم ها جلوگیری کند. بنابراین، این امکان وجود دارد که اگر قصد دارید با توزیع های لینوکس کار کنید، Secure Boot مشکلاتی را ایجاد کند.
ویندوز 11 از Microsoft Azure Attestation پشتیبانی می کند و از راه حل های امنیتی Zero Trust برای ارائه یک لایه امنیتی دوگانه برای ویندوز 11 استفاده می کند. کاربران می توانند سیاست های اعتماد صفر را برای دسترسی به منابع ابر حساس اعمال کنند. پشتیبانی Microsoft Azure Attestation برای ویندوز 11 به شما کمک می کند اطلاعات مورد نیاز خود را از طریق گواهینامه ها دریافت کنید. به بیان دقیق تر، سازمان ها می توانند درک درستی از وضعیت امنیتی واقعی خود به دست آورند. این سیاست های تطبیقی گواهی Azure هویت و پلتفرم را تأیید می کند و نقش مهمی در حفاظت از منابع شرکت ایفا می کند.
در یک خبر منتشر شده در اوایل اکتبر 1400، مایکروسافت اعلام کرد که همچنان در حال کار بر روی ویژگی های امنیتی ویندوز 11 برای بهبود مکانیسم های امنیتی برای مقابله با تهدیدات جدید برای ارائه یک پلت فرم یکپارچه قدرتمند به کاربران است. سیستم عامل های دسکتاپ نسل بعدی مایکروسافت از پردازنده ها و مکانیسم های پیشرفته ای مانند VBS، HVCI و بوت داخلی ایمن داخلی برای بهبود امنیت دستگاه استفاده می کنند. در برابر بدافزارهای رایج، باج افزارها و حملات پیچیده تر محافظت کنید. ویندوز 11 سعی کرده مشکلات سال 2009 را با نوآوری های امنیتی جدید مانند محافظت از پشته های سخت افزاری برای قطعات سخت افزاری مانند پردازنده های اینتل و AMD تکرار نکند. رویکرد فوق به محافظت از کاربران در برابر آسیبپذیریهای روز صفر کمک میکند.
در ویندوز 11، عملکرد مکانیزم امنیتی Windows Hello برای محافظت بهتر از اطلاعات کاربران بهبود یافته است. علاوه بر این، برای شرکتها، Windows Hello for Business از مدلهای ساده بدون رمز عبور برای دستیابی به وضعیت Deploy-to-Ron در چند دقیقه پشتیبانی میکند. علاوه بر این، این سیستم شامل کنترل دقیق بر روش های احراز هویت مدیران فناوری اطلاعات است و می تواند از داده ها و هویت حساب های کاربری بهتر محافظت کند.
مایکروسافت می گوید امنیت و بهره وری در ویندوز 11 در حال پیشرفت است، اما در برخی موارد این درست نیست. این مؤلفهها در پسزمینه سعی میکنند بدون کاهش قابل توجه عملکرد یا خراب کردن تجربه کاربر، امنیت بهتری را برای کاربران فراهم کنند. با این حال، اخبار نشان می دهد که حداقل یک ویندوز 11 دیگر به ثبات و عملکرد مورد نظر کاربران حرفه ای دست خواهد یافت.