بهترین امکانات پیشرفته امنیتی ویندوز ۱۱ الان در ویندوز ۱۰ نیز هست. و فقط کافیست آن‌ها را فعال کنید.

زمانی که ویندوز ۱۱ در اواخر ژوئن ۲۰۲۱ منتشر شد خیلی از مردم مجذوب ظاهر متفاوت آن شدند و بسیاری از طرفداران PC به سایت دانلود نسخه آزمایشی آن رجوع کردند.



مطالعه نمایید: ویندوز ۱۱ در برابر ۱۰: آیا باید ارتقا بدهید؟

اما طولی نکشید که معلوم شد این نسخه جدید ملزومات جدیدی را برای کامپیوترها اجبار می‌کند تا بتوان از ویژگی‌های جدید سخت افزاری و مجازی‌سازی آن استفاده نمود. این‌ها ویژگی‌های حیاتی است برای ایجاد امنیت در حیطه کار تجار و مصرف کنندگان که از آن‌ها در برابر بدافزارهای پیچیده نوین محافظت می‌کند.


مطالعه نمایید: 5 مورد از تنظیمات امنیتی ویندوز 10 که باید تغییر دهید

سپس معلوم شد که تمام این ویژگی‌ها هم اکنون در ویندوز ۱۰ وجود دارد اگر که نسخه 20H2 را استفاده کنید. چه یک کاربر ساده باشید چه یک تجارت یا سازمان،‌ می‌توانید با ایجاد تغییراتی در قسمت group policy یا با تنظیم منوی Device Security این ویژگی‌ها را فعال کنید. نیاز نیست که تا انتشار ویندوز ۱۱ و خرید یک کامپیوتر جدید صبر کنید.

ویژگی اول:‌ TMP 2.0 و Secure boot

TPM یا ماژول بستر قابل اطمینان نام یک فناوری است که امکانات امنیتی رمزنگاری را از طریق سخت‌افزار فراهم می‌کند. اگر کامپیوتر شما حدود پنج سال عمر داشته باشد احتمالاً سخت‌افزار مورد نیاز روی مادربورد شما وجود دارد. برای تحقیق این موضوع می‌توانید Device Manager را باز کرده و دنبال Trusted Platform Module 2.0 در قسمت Security devices بگردید.

خب حالا ببینیم این امکان دقیقاً چکار می‌کند.

با استفاده از این امکان می‌تواند کلید‌های رمز‌نگاری تولید کرد که مختص سیستم شما باشد. این ویژگی زمان زیادی با کارت‌های هوشمند و VPN استفاده می‌شده است. علاوه بر آن حالا برای پشتیبانی قابلیت Secure boot یا بوت امن کاربرد دارد. کاری که انجام می‌دهد این است که صحت و سلامت کد بوت سیستم عامل را شامل سخت افزار و قسمت‌های جداگانه سیستم عامل  بررسی می‌کند تا اطمینان حاصل شود که دست‌کاری نشده‌اند.

از سمت شما نیازی نیست کاری انجام شود. اگر سیستم شما پشتیبانی کند خود به خود فعال می‌شود مگر آن‌که در تنظیمات UEFI غیر‌فعال کرده باشید. سازمان مسئول این اختیار را دارد که این ویژگی را با استفاده از Group Policy در ویندوز ۱۰ فعال کند.

اکثر سازندگان کامپیوتر شخصی این قابلیت را فعال می‌کنند اما برخی نیز غیرفعال می‌کنند. اگر در تنظیمات Device Manager اسم این ویژگی را نمی‌بینید یا این‌که به شکل غیرفعال نمایش داده می‌شود،‌ باید به تنظیمات UEFI بروید و نگاهی بیندازید.

اگر که TPM برای سیستم شما آماده نشده باشد می‌توانید با اجرای ابزار tmp.msc از طریق خط فرمان آن را تنظیم کنید.

ویژگی دوم: امنیت تحت مجازی سازی و HVCI

در حالی که TPM چندین سال است که بر روی اکثر کامپیوترهای شخصی وجود دارد،‌ یکی از ویژگی خاص امکانات پیشرفته امنیتی ویندوز ۱۱ و ۱۰ چیز دیگری به نام HVCI است که در‌ واقع ویژگی محافظت کد به وسیله ماشین مجازی است. که در منوی Device Security ویندوز با نام Memory Integrity  شناسایی می‌شود.

این ویژگی یکی از ملزومات استفاده از ویندوز ۱۱ است و بنابراین از اول فعال می‌باشد. اما در ویندوز ۱۰ باید آن را دستی فعال کنید. برای این کار روی Core Isolation Details کلیک کرده و گزینه  Memory Integrity را فعال کنید. شاید حدود یک دقیقه طول بکشد تا فعال شود زیرا که نیازمند بررسی شدن صفحات حافظه است.

این ویژگی فقط روی پردازنده‌های ۶۴ بیتی دارای اضافات مجازی‌سازی قابل استفاده است مانند AMD-V یا Intel VT-X. این قابلیت در چیپ‌های سرورها از سال ۲۰۰۵ وجود داشته است ولی در سیستم‌های خانگی از سال ۲۰۱۵ ایجاد شد. همچنین نیازمند ویژگی SLAT می‌باشد که در فناوری‌های VT-X2 اینتل و RVI ای ام دی وجود دارد.

یک نیازمندی دیگر HVCI این است. که هرگونه دستگاه ورودی-خروجی IO که دارای امکان DMA باشند حتماً باید از طریق یک IOMMU ارتباط برقرار کنند. این فناوری نیز در پردازنده‌های VT-D با فناوری اینتل یا AMD-Vi وجود دارد.

با این وصف به نظر می‌آید که ملزومات زیادی وجود دارد. باید به منوی Device Security بروید و ببینید که این ویژگی‌ها وجود دارند یا نه که اگر داشتند،‌ پس دیگر مشکلی نیست.

حالا سؤالی که مطرح می‌شود این است که آیا مجازی‌سازی عموما برای بهبود کارکرد سرویس دهنده‌ها یا برای کار توسعه دهندگان نرم‌افزار استفاده نمی‌شود؟ بله اما امروزه بیشتر و بیشتر از این فناوری برای لایه‌بندی قسمت‌های امنیتی سیستم‌های عامل نظیر ویندوز استفاده می‌شود.

در ویندوز ۱۰ ویژگی VBS از فناوری Hyper-V مایکروسافت استفاده کرده تا یک منطقه امنیتی در حافظه به وجود آورد. این منطقه حفاظت شده برای اجرای چندین راهکار امنیتی جهت محافظت از رخنه‌های امنیتی کهنه،‌ ایجاد شده است.

ویژگی HVCI از قابلیت VBS برای محکم‌سازی اجرای قانون صحت کد استفاده می‌کند. این کار را با بررسی درایورهای کرنل و کدهای دودویی اجرایی قبل از بوت سیستم عامل انجام می‌دهد. بدین شکل از اجرا شدن درایورها و فایل‌های سیستمی  امضا نشده در حافظه جلوگیری می‌کند. این محدودیت‌ها باعث حفاظت منابع حیاتی سیستم عامل و دارایی‌های امنیتی نظیر رمز‌های عبور می‌شود. بنابراین حتی اگر یک بدافزار به کرنل دسترسی پیدا کند باز هم نمی‌تواند کار زیادی انجام دهد زیرا که سیستم مجازی سازی شده می‌تواند از اجرای بدافزار یا دسترسی آن به منابع مهم جلوگیری کند.

VBS نیز کارهای مشابهی انجام می‌دهد اما برای کد برنامه‌های کاربردی این ویژگی برنامه‌ها را قبل از اجرا شدن بررسی می‌کند و تنها زمانی که دارای گواهی معتبر باشند اجرا می‌کند. این کار را با مجوز‌دهی قسمت‌های جداگانه حافظه انجام می‌دهد. و تمام این کار در یک قسمت جداگانه امن در حافظه انجام می‌شود که محافظت بالایی در برابر ویروس‌ها و بدافزارهای سطح کرنل دارد.

می‌توان VBS را افسر بررسی کد ویندوز تصور کرد که پلیس برنامه‌ها و کرنل واقع در قسمت محافظت شده حافظه است که به وسیله پردازنده دارای قابلیت مجازی سازی فعال می‌شود.

ویژگی سوم: گارد برنامه Microsoft Defender

یک ویژگی که خیلی از کاربران ویندوز با آن آشنا نیستند Microsoft Defender Application Guard می‌باشد.

این نیز یک ویژگی مبتنی بر مجازی‌سازی می‌باشد که وقتی هم‌زمان با آخرین نسخه مرورگر Edge یا کروم یا فایرفاکس استفاده شود، باعث ایجاد یک کپی ایزوله شده از مرورگر می‌شود که منجر به حفاظت از سیستم و داده‌های سازمانی در برابر وبسایت‌های مخرب می‌شود.

در این حالت اگر که مرورگر به یک شکلی آلوده شود، سیستم مجازی‌ساز Hyper-V  که جدا از سیستم عامل اجرا می‌شود، به شکل ایزوله شده از قسمت‌های حیاتی و داده‌های سازمانی به کار خود در سلامت ادامه می‌دهد.

این ویژگی با تنظیمات Network Isolation کار می‌کند تا حریم شبکه خصوصی شما که توسط  Group Polcy سازمانی شکل گرفته است را مشخص کند.

علاوه برای محافظت از مرورگر شما،‌ این ویژگی با نرم‌افزار ماکروسافت ۳۶۵ و آفیس یکپارچه شده تا از دسترسی آن برنامه‌ها به منابع حساس مانند داده‌ها و رمزهای سازمانی جلوگیری کند .

می‌توان این ویژگی را در نسخه‌های Professional و Enterprise ویندوز ۱۰ با استفاده از تنظیمات Features یا یک دستور ساده Powershell فعال نمود. همچنین نیازمند فعال بودن  Hyper-V نمی‌باشد.

با این‌که مخاطب این ویژگی بیشتر سازمان‌ها و تجار کوچک هستند اما کاربران معمولی نیز می‌توانند با یک اسکریپت ساده  Group Policy Objects آن را فعال کنند.