Kuncitara! Perkuat Windows 10 untuk keamanan maksimum

Anda mungkin pernah mendengar bahwa Microsoft telah membuat Windows 10 lebih aman daripada pendahulunya, mengemasnya dengan barang keamanan. Apa yang mungkin tidak Anda ketahui adalah bahwa beberapa fitur keamanan yang dibanggakan ini tidak tersedia di luar kotak atau mereka memerlukan perangkat keras tambahan - Anda mungkin tidak mendapatkan tingkat keamanan yang Anda tawar-menawar.

Fitur seperti Credential Guard hanya tersedia untuk edisi Windows 10 tertentu, sedangkan biometrik lanjutan yang dijanjikan oleh Windows Hello memerlukan investasi besar dalam perangkat keras pihak ketiga. Windows 10 mungkin adalah sistem operasi Windows yang paling aman hingga saat ini, tetapi organisasi yang paham keamanan - dan pengguna individu - perlu mengingat perangkat keras berikut dan persyaratan edisi Windows 10 untuk membuka kunci fitur yang diperlukan untuk mencapai keamanan optimal .

Catatan: Saat ini, ada empat edisi desktop Windows 10 - Home, Pro, Enterprise, dan Education - bersama dengan beberapa versi masing-masing, menawarkan berbagai tingkat beta dan perangkat lunak pratinjau. Woody Leonard menjelaskan versi Windows 10 mana yang akan digunakan. Panduan keamanan Windows 10 berikut ini berfokus pada penginstalan Windows 10 standar - bukan Pratinjau Orang Dalam atau Cabang Layanan Jangka Panjang - dan menyertakan Pembaruan Hari Jadi jika relevan.

Perangkat keras yang tepat

Windows 10 memberikan jaring yang luas, dengan persyaratan perangkat keras minimum yang tidak menuntut. Selama Anda memiliki yang berikut ini, Anda dapat meningkatkan dari Win7 / 8.1 ke Win10: prosesor 1GHz atau lebih cepat, memori 2GB (untuk Pembaruan Hari Jadi), 16GB (untuk OS 32-bit) atau 20GB (OS 64-bit ) ruang disk, kartu grafis DirectX 9 atau lebih baru dengan driver WDDM 1.0, dan layar resolusi 800 kali 600 (layar 7 inci atau lebih besar). Itu menggambarkan hampir semua komputer dari dekade terakhir.

Tetapi jangan berharap mesin dasar Anda sepenuhnya aman, karena persyaratan minimum di atas tidak akan mendukung banyak kapabilitas berbasis kriptografi di Windows 10. Fitur kriptografi Win10 memerlukan Trusted Platform Module 2.0, yang menyediakan area penyimpanan yang aman untuk kriptografi kunci dan digunakan untuk mengenkripsi kata sandi, mengautentikasi kartu pintar, mengamankan pemutaran media untuk mencegah pembajakan, melindungi VM, dan mengamankan pembaruan perangkat keras dan perangkat lunak dari gangguan, di antara fungsi-fungsi lainnya.

Prosesor AMD dan Intel modern (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) sudah mendukung TPM 2.0, sehingga sebagian besar mesin yang dibeli dalam beberapa tahun terakhir memiliki chip yang diperlukan. Layanan manajemen jarak jauh vPro Intel, misalnya, menggunakan TPM untuk mengotorisasi perbaikan PC jarak jauh. Tetapi ada baiknya memverifikasi apakah TPM 2.0 ada di sistem apa pun yang Anda tingkatkan, terutama mengingat bahwa Pembaruan Ulang Tahun memerlukan dukungan TPM 2.0 di firmware atau sebagai chip fisik terpisah. PC baru, atau sistem yang menginstal Windows 10 dari awal, harus memiliki TPM 2.0 sejak awal, yang berarti memiliki sertifikat kunci dukungan (EK) yang disediakan oleh vendor perangkat keras saat dikirimkan. Alternatifnya, perangkat dapat dikonfigurasi untuk mengambil sertifikat dan menyimpannya di TPM saat pertama kali boot.

Sistem lama yang tidak mendukung TPM 2.0 - baik karena tidak memiliki chip yang terpasang atau cukup tua sehingga hanya memiliki TPM 1.2 - perlu menginstal chip yang mendukung TPM 2.0. Jika tidak, mereka tidak akan bisa mengupgrade ke Pembaruan Hari Jadi sama sekali.

Meskipun beberapa fitur keamanan berfungsi dengan TPM 1.2, lebih baik dapatkan TPM 2.0 jika memungkinkan. TPM 1.2 hanya memungkinkan untuk algoritma hashing RSA dan SHA-1, dan mengingat migrasi SHA-1 ke SHA-2 sedang berjalan, tetap bermasalah dengan TPM 1.2. TPM 2.0 jauh lebih fleksibel, karena mendukung SHA-256 dan kriptografi kurva elips.

Unified Extensible Firmware Interface (UEFI) BIOS adalah perangkat keras yang harus dimiliki berikutnya untuk mencapai pengalaman Windows 10 yang paling aman. Perangkat harus dikirimkan dengan UEFI BIOS yang diaktifkan untuk memungkinkan Boot Aman, yang memastikan bahwa hanya perangkat lunak sistem operasi, kernel, dan modul kernel yang ditandatangani dengan kunci yang diketahui yang dapat dijalankan selama waktu boot. Secure Boot memblokir rootkit dan BIOS-malware agar tidak menjalankan kode berbahaya. Secure Boot memerlukan firmware yang mendukung UEFI v2.3.1 Errata B dan memiliki Otoritas Sertifikasi Microsoft Windows dalam database tanda tangan UEFI. Sementara keuntungan dari perspektif keamanan, Microsoft menunjuk Secure Boot wajib untuk Windows 10 telah mengalami kontroversi, karena membuatnya lebih sulit untuk menjalankan distribusi Linux yang tidak ditandatangani (seperti Linux Mint) pada perangkat keras yang mendukung Windows 10.

Pembaruan Hari Jadi tidak akan diinstal kecuali perangkat Anda sesuai dengan UEFI 2.31 atau yang lebih baru.

Daftar singkat fitur Windows 10 dan persyaratan perangkat keras
Fitur Windows 10 TPM Unit manajemen memori input / output Ekstensi virtualisasi SLAT UEFI 2.3.1 Hanya untuk arsitektur x64
Penjaga Kredensial Direkomendasikan Tidak digunakan Yg dibutuhkan Yg dibutuhkan Yg dibutuhkan Yg dibutuhkan
Pelindung Perangkat Tidak digunakan Yg dibutuhkan Yg dibutuhkan Yg dibutuhkan Yg dibutuhkan Yg dibutuhkan
BitLocker Direkomendasikan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan
Integritas kode yang dapat dikonfigurasi Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Direkomendasikan Direkomendasikan
Microsoft Halo Direkomendasikan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan
VBS Tidak dibutuhkan Yg dibutuhkan Yg dibutuhkan Yg dibutuhkan Tidak dibutuhkan Yg dibutuhkan
Boot Aman UEFI Direkomendasikan Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Yg dibutuhkan Tidak dibutuhkan
Pengesahan kesehatan perangkat melalui Boot Terukur Membutuhkan TPM 2.0 Tidak dibutuhkan Tidak dibutuhkan Tidak dibutuhkan Yg dibutuhkan Yg dibutuhkan

Mempertahankan otentikasi, identitas

Keamanan kata sandi telah menjadi masalah yang signifikan dalam beberapa tahun terakhir, dan Windows Hello membawa kita lebih dekat ke dunia bebas kata sandi karena mengintegrasikan dan memperluas login biometrik dan otentikasi dua faktor untuk "mengenali" pengguna tanpa kata sandi. Windows Hello juga berhasil menjadi fitur keamanan Windows 10. yang paling dapat diakses dan tidak dapat diakses secara bersamaan. Ya, ini tersedia di semua edisi Win10, tetapi memerlukan investasi perangkat keras yang signifikan untuk mendapatkan hasil maksimal dari apa yang ditawarkannya.

Untuk melindungi kredensial dan kunci, Hello memerlukan TPM 1.2 atau yang lebih baru. Tetapi untuk perangkat di mana TPM tidak diinstal atau dikonfigurasi, Hello dapat menggunakan perlindungan berbasis perangkat lunak untuk mengamankan kredensial dan kunci, sehingga Windows Hello dapat diakses oleh hampir semua perangkat Windows 10.

Tetapi cara terbaik untuk menggunakan Hello adalah dengan menyimpan data biometrik dan informasi otentikasi lainnya di chip TPM on-board, karena perlindungan perangkat keras mempersulit penyerang untuk mencurinya. Selanjutnya, untuk mendapatkan keuntungan penuh dari otentikasi biometrik, perangkat keras tambahan - seperti kamera inframerah khusus yang diterangi atau pembaca iris atau sidik jari khusus - diperlukan. Sebagian besar laptop kelas bisnis dan beberapa lini laptop konsumen dilengkapi dengan pemindai sidik jari, memungkinkan bisnis untuk memulai Hello dalam edisi apa pun dari Windows 10. Namun pasar masih terbatas dalam hal kamera 3D penginderaan mendalam untuk pengenalan wajah dan retina. pemindai untuk pemindaian iris mata, jadi biometrik Windows Hello yang lebih canggih adalah kemungkinan masa depan bagi sebagian besar orang, daripada kenyataan sehari-hari.

Tersedia untuk semua edisi Windows 10, Windows Hello Companion Devices adalah kerangka kerja untuk memungkinkan pengguna menggunakan perangkat eksternal - seperti telepon, kartu akses, atau perangkat yang dapat dikenakan - sebagai satu atau beberapa faktor autentikasi untuk Hello. Pengguna yang tertarik bekerja dengan Windows Hello Companion Device untuk menjelajah dengan kredensial Windows Hello mereka di antara beberapa sistem Windows 10 harus menginstal Pro atau Enterprise di masing-masing sistem.

Windows 10 sebelumnya memiliki Microsoft Passport, yang memungkinkan pengguna untuk masuk ke aplikasi tepercaya melalui kredensial Hello. Dengan Pembaruan Hari Jadi, Paspor tidak lagi ada sebagai fitur terpisah tetapi dimasukkan ke dalam Hello. Aplikasi pihak ketiga yang menggunakan spesifikasi Fast Identity Online (FIDO) akan dapat mendukung sistem masuk tunggal melalui Hello. Misalnya, aplikasi Dropbox dapat diautentikasi secara langsung melalui Hello, dan browser Microsoft's Edge memungkinkan integrasi dengan Hello meluas ke web. Anda juga dapat mengaktifkan fitur di platform pengelolaan perangkat seluler pihak ketiga. Masa depan tanpa kata sandi akan datang, tetapi belum cukup.

Mencegah malware

Windows 10 juga memperkenalkan Device Guard, teknologi yang membalik antivirus tradisional. Device Guard mengunci perangkat Windows 10, mengandalkan daftar putih agar hanya aplikasi tepercaya yang diinstal. Program tidak diizinkan untuk dijalankan kecuali jika ditentukan aman dengan memeriksa tanda tangan kriptografik file, yang memastikan semua aplikasi yang tidak ditandatangani dan malware tidak dapat dijalankan. Device Guard mengandalkan teknologi virtualisasi Hyper-V milik Microsoft untuk menyimpan daftar putihnya di mesin virtual terlindung yang tidak dapat diakses atau diubah oleh administrator sistem. Untuk memanfaatkan Device Guard, mesin harus menjalankan Windows 10 Enterprise atau Education dan mendukung TPM, virtualisasi CPU perangkat keras, dan virtualisasi I / O. Device Guard mengandalkan pengerasan Windows seperti Secure Boot.

AppLocker, hanya tersedia untuk Perusahaan dan Pendidikan, dapat digunakan dengan Device Guard untuk menyiapkan kebijakan integritas kode. Misalnya, administrator dapat memutuskan untuk membatasi aplikasi universal mana dari Windows Store yang dapat diinstal pada perangkat. 

Integritas kode yang dapat dikonfigurasi adalah komponen Windows lain yang memverifikasi bahwa kode yang berjalan dipercaya dan bijak. Integritas kode mode kernel (KMCI) mencegah kernel menjalankan driver yang tidak ditandatangani. Administrator dapat mengelola kebijakan di otoritas sertifikat atau tingkat penerbit serta nilai hash individu untuk setiap biner yang dapat dieksekusi. Karena sebagian besar malware komoditas cenderung tidak ditandatangani, penerapan kebijakan integritas kode memungkinkan organisasi segera melindungi dari malware yang tidak bertanda tangan.

Windows Defender, yang pertama kali dirilis sebagai perangkat lunak mandiri untuk Windows XP, menjadi paket perlindungan malware default Microsoft, dengan antispyware dan antivirus, di Windows 8. Defender secara otomatis dinonaktifkan ketika rangkaian antimalware pihak ketiga diinstal. Jika tidak ada antivirus atau produk keamanan pesaing yang diinstal, pastikan bahwa Windows Defender, tersedia di semua edisi dan tanpa persyaratan perangkat keras tertentu, dihidupkan. Untuk pengguna Windows 10 Enterprise, ada Windows Defender Advanced Threat Protection, yang menawarkan analisis ancaman perilaku waktu nyata untuk mendeteksi serangan online.

Mengamankan data

BitLocker, yang mengamankan file dalam wadah terenkripsi, telah ada sejak Windows Vista dan lebih baik dari sebelumnya di Windows 10. Dengan Pembaruan Hari Jadi, alat enkripsi tersedia untuk edisi Pro, Perusahaan, dan Pendidikan. Sama seperti Windows Hello, BitLocker berfungsi paling baik jika TPM digunakan untuk melindungi kunci enkripsi, tetapi juga dapat menggunakan perlindungan kunci berbasis perangkat lunak jika TPM tidak ada atau tidak dikonfigurasi. Melindungi BitLocker dengan kata sandi menyediakan pertahanan paling dasar, tetapi metode yang lebih baik adalah menggunakan kartu pintar atau Sistem File Enkripsi untuk membuat sertifikat enkripsi file untuk melindungi file dan folder terkait.

Ketika BitLocker diaktifkan pada drive sistem dan perlindungan brute-force diaktifkan, Windows 10 dapat memulai ulang PC dan mengunci akses ke hard drive setelah sejumlah percobaan kata sandi yang salah. Pengguna harus mengetikkan kunci pemulihan BitLocker 48 karakter untuk memulai perangkat dan mengakses disk. Untuk mengaktifkan fitur ini, sistem harus memiliki firmware UEFI versi 2.3.1 atau yang lebih baru.

Perlindungan Informasi Windows, sebelumnya Perlindungan Data Perusahaan (EDP), hanya tersedia untuk edisi Windows 10 Pro, Enterprise, atau Education. Ini menyediakan enkripsi tingkat file yang persisten dan manajemen hak dasar, sementara juga berintegrasi dengan layanan Azure Active Directory dan Manajemen Hak. Perlindungan Informasi memerlukan beberapa jenis manajemen perangkat seluler - Microsoft Intune atau platform pihak ketiga seperti VMware AirWatch - atau System Center Configuration Manager (SCCM) untuk mengelola pengaturan. Admin dapat menentukan daftar Windows Store atau aplikasi desktop yang dapat mengakses data kerja, atau memblokirnya sepenuhnya. Perlindungan Informasi Windows membantu mengontrol siapa yang dapat mengakses data untuk mencegah kebocoran informasi yang tidak disengaja. Active Directory membantu memudahkan manajemen tetapi tidak diharuskan untuk menggunakan Perlindungan Informasi,menurut Microsoft.

Virtualisasi pertahanan keamanan

Credential Guard, hanya tersedia untuk Windows 10 Enterprise dan Education, dapat mengisolasi "rahasia" menggunakan keamanan berbasis virtualisasi (VBS) dan membatasi akses ke perangkat lunak sistem dengan hak istimewa. Ini membantu memblokir serangan pass-the-hash, meskipun peneliti keamanan baru-baru ini menemukan cara untuk melewati perlindungan. Meski begitu, memiliki Credential Guard masih lebih baik daripada tidak memilikinya sama sekali. Ini hanya berjalan pada sistem x64 dan membutuhkan UEFI 2.3.1 atau lebih tinggi. Ekstensi virtualisasi seperti Intel VT-x, AMD-V, dan SLAT harus diaktifkan, serta IOMMU seperti Intel VT-d, AMD-Vi, dan BIOS Lockdown. TPM 2.0 direkomendasikan untuk mengaktifkan Pengesahan Kesehatan Perangkat untuk Penjaga Kredensial, tetapi jika TPM tidak tersedia, perlindungan berbasis perangkat lunak dapat digunakan sebagai gantinya.

Fitur Windows 10 Enterprise dan Education lainnya adalah Virtual Secure Mode, yang merupakan wadah Hyper-V yang melindungi kredensial domain yang disimpan di Windows.