Microsoft on ettevõte, kes on pühendunud oma klientide kaitsmisele oma toodete, teenuste ja seadmetega seotud turvaaukude eest. Enamike probleemide lahendamiseks kipub tarkvara hiiglane tökoha saamiseks tarkvaravärskenduse avaldama ja nende aastate jooksul on need väga abiks.
Ettevõte ütleb, et ta soovib kliendiga ja turvateadlasega läbipaistvaks lahendada probleeme. See on tõenäoliselt tingitud varasematest süüdistustest, mille kohaselt Microsoft ei hooli privaatsusest. Sellest ajast alates on tarkvaraarendaja teinud kõik endast oleneva, et olla privaatsusega seotud läbipaistvam, ja see on ideaalne.
Microsofti turvalisuse teenindamise kriteeriumid
Mis tüüpi turvakriteeriumid Microsoft kasutab?
Olgu, siin on see, mida me suutsime koguda. Kui ettevõte tahab hinnata, kas see peab töötama ja avaldama ühe toote turvavärskenduse, tuleb kõigepealt võtta arvesse kahte küsimust ja need on järgmised:
Kas haavatavus rikub turvapiiri või turvafunktsiooni eesmärki või eesmärki?
Kas haavatavuse raskus vastab hooldusribale?
Microsofti sõnul on mõlema küsimuse puhul vastus jah, siis on idee probleemi lahendada turvavärskenduse või juhendiga, kui see on võimalik. Kui peaks vastama mõlemale küsimusele kindlasti, siis peaks plaan kaaluma järgmise 10-aastase versiooni haavatavuse parandamist.
Mis on turvalisuse piiridest?
Kui jõuame turvapiirini, siis me mõistame, et see annab mõistliku vahega koodi ja erinevate usaldustasemega turvamudeliandmete vahel. Lisaks nõuab Microsofti tarkvarast mitmeid turvalisuse piiranguid, mis on loodud nakatunud seadmete eraldamiseks võrgust.
Andke mõned näited turvalisuse piiridest ja nende turvalisuse eesmärkidest
Turvalisuse piirid ja eesmärgid
- Võrgupiir: Volitamata võrgu lõpp-punkt ei võimalda kliendi seadme koodi ega andmeid juurde pääseda ega mõjutada seda.
- Kerneli piir: Mitte-administratiivse kasutaja režiimiga protsess ei saa juurdepääsu tuumikoodile ja andmetele ega nendega manipuleerida. Administraator-to-kernel ei ole turbepiir.
- Protsessi piir: Volitamata kasutaja režiimi protsess ei võimalda teise protsessi koodi ega andmeid juurde pääseda ega mõjutada seda.
Turvaelemendid
See on koht, kus asjad hakkavad saama väga huvitavaks. Näete, et turvafunktsioonid tuginevad turvalisuse piiridele, et pakkuda kindlat kaitset teatud ohtude vastu. Lihtsalt öeldes toimivad nii turvafunktsioonid kui ka turbepiirid käsikäes.
Siin loetleme mõned turvafunktsioonid koos nende turvalisuse eesmärkidega, et saaksite paremini mõista, mis toimub.
- BitLocker: Kettalt krüptitud andmeid ei saa pärast seadme väljalülitamist.
- Turvaline boot: UEFI püsivara poliisis määratletud operatsioonisüsteemi eelinstallitud operatsioonisüsteem, sealhulgas OS-i laadurid, võib käitada ainult volitatud koodi.
- Windows Defender süsteemi kaitsja (WDSG): Ebakorrektselt allkirjastatud binaarfailid ei saa käivitada ega laadida rakenduse kontrollipoliitikaga süsteemi jaoks. Politsei poolt lubatud rakenduste võimenduse ümbersõit ei hõlma.
Kaitse-põhised turvaelemendid
Neile, kes soovivad teada saada, on kaitse-põhised turvafunktsioonid turvaelementide liik, mis kaitsevad suurt julgeolekuohtu ilma igasuguse kindlast kaitsest.
See tähendab, et nad ei suuda täielikult leevendada ohtu, kuid võivad sellist ohtu sisaldada, kuni segaduse puhastamiseks kasutatakse õiget tarkvara.
Tuntum kaitse-põhjalik turbefunktsioon on praegu kasutajakonto kontroll (UAC). Selle eesmärk on vältida soovimatuid kogu süsteemi hõlmavaid muudatusi (faile, registrit jne) ilma administraatori nõusolekuta."
