A Windows mint szolgáltatás modell alapján működtetett Windows 10 operációs rendszer évente kétszer kap nagyszabású funkciófrissítést, amelyeket a megjelenés előtti hónapokban az Insider program résztvevőinek bevonásával alaposan tesztel a Microsoft. Ez a folyamat az utóbbi időben egyáltalán nem működött zökkenőmentesen, a hosszú ideig tartó tesztelés ellenére rendre vannak komolyabb hibák a végleges változatokban, a tavaly októberben megjelent frissítést egy ilyen, fájltörlést okozó hiba miatt vissza kellett vonni.
Most pedig úgy tűnik, hogy a következő, idén ősszel esedékes, 19H2 kódnéven emlegetett funkciófrissítés inkább afféle szervizcsomag lesz, az igazi újdonságok pedig csak jövő tavasszal várhatók. Akárhogy is lesz, örvendetes, hogy az operációs rendszer folyamatos fejlesztése új biztonsági funkciók rendszeres bevezetését is jelenti.
Az alábbiakban áttekintjük a Windows 10 legfrissebb, 1903-as verziószámú kiadásának (May 2019 Update) új biztonsági szolgáltatásait, a Windows Defender Advanced Threat Protection (ATP) továbbfejlesztéseit, a vállalatoknak és otthoni felhasználóknak nyújtott kibővített lehetőségeket a frissítések elhalasztására, valamint a Windows Sandboxot, amely biztonságos terepet kínál a nem megbízhatónak tartott szoftverek tesztelésére.
Változások a Windows Update-ben
A Windows Update és a Windows Update for Business változásai szélesítik a frissítések telepítése feletti ellenőrzést. Immár a Windows minden változatában, az otthoni felhasználóknak készült Home-ban is elhalasztható bármely frissítés, legfeljebb ötször hét, vagyis összesen 35 napig. A Pro verzióban továbbra is 365 napig késleltethető egy-egy funkciófrissítés telepítése.
Ráadásul a Windows Update több információt közöl a frissítések telepítésének állapotáról. Tudatja, ha új frissítés tölthető le és telepíthető, mint ahogy azt is, hogy a telepítés befejezéséhez újra kell indítani a számítógépet. Az aktív órák jobban igazodnak a tényleges munkaidőhöz, és nem indul újra a számítógép használat közben.
Ami a Windows Update for Business változásait illeti, megszűnik a Semi Annual Channel és Semi Annual Targeted konstrukció, ami lehetővé teszi a vállalatok számára, hogy maguk határozzák meg a telepítés késleltetésének időtartamát. A rendszergazdáknak a Windows Update for Business oldalon meg kell adniuk a halasztás kívánt időtartamát, amelynek letelte után készek új funkciófrissítést fogadni. Szakértők azt ajánlják, hogy távoli időpontot (például 365 napos halasztást) állítsanak be, amelyet később módosíthatnak, ha mégis elérkezettnek látják az időt az új verzió telepítésére.
Fenyegetések elleni védelem
További védelmi funkciókkal látta el a Windows 10 legújabb kiadását a Microsoft, ezek közül az egyik legfontosabb a várva várt Windows Sandbox, amelynek köszönhetően egy, a számítógépünkön kialakított izolált környezetben futtathatjuk a nem megbízhatónak minősített végrehajtható állományokat. Amikor bezárjuk a Windows Sandboxot, minden, ami benne volt, nyomtalanul törlődik, így legközelebbi használatakor tiszta környezetben kezdhetjük a munkát.
A Windows Sandbox a Windows 10 Pro és Enterprise kiadásában érhető el. Használatához az alábbi feltételeknek kell teljesülniük:
- Windows 10 Pro vagy Enterprise 18305-ös vagy későbbi build
- AMD64 architektúra
- Virtualizációs képességek engedélyezése a BIOS-ban
- Legalább 4 gigabájt RAM (8 gigabájt ajánlott)
- Legalább 1 gigabájt szabad lemezterület (SSD ajánlott)
- Legalább két CPU mag (négy mag hyperthreadinggel ajánlott)
A Windows Sandboxot használat előtt engedélyezni kell a Windows szolgáltatások be- és kikapcsolása párbeszédablakban. Ha egy gépen nem támogatott a virtualizáció, a lehetőség kiszürkítve jelenik meg a listán, és nem engedélyezhető. A Windows Sandbox engedélyezése után újra kell indítani a számítógépet. Ezt követően olyan beépített virtuális gép birtokába jutunk, amely lehetővé teszi a nem megbízhatónak minősített programok és hivatkozások tesztelését úgy, hogy ez nem lesz káros hatással PC-nkre és - ami még ennél is fontosabb - a vállalati hálózatra.
A szolgáltatás hasonló a virtuális Windows XP-hez, amelyet annak idején az XP-ről Windows 7-re történő migrációhoz használtak sokan. Egy nagy különbség van: ennek tartalma semmivé foszlik, amint bezárjuk a virtuális gép ablakát.
Változások a Defender ATP-ben
A Microsoft Defender ATP szolgáltatás licencelői több újdonsággal találkozhatnak a Windows 10 májusi kiadásában. A szolgáltatás igénybe vételéhez Windows Enterprise licencre és E5 Windows vagy egy E5 Microsoft 365 licencre van szükség. Az újdonságok:
- A támadási felületek csökkentése. Immár megadhatók engedélyezési és tiltási listák speciális URL-ekre és IP-címekre.
- Bénítás elleni védelem. A funkció bekapcsolása esetén a támadók nem tudják kikapcsolni a Defender antivírus modult.
- Védelem vészhelyzetekben. Ha nulladik napi sérülékenységet használnak ki a hackerek, a gépi tanulást használó fejlett diagnosztika automatikusan frissíti az eszközöket az elhárításhoz szükséges információkkal.
Identitáskezelés
Nagyot lépett a Microsoft a jelszavak nélküliség, valamint a többfaktoros azonosítás, a biometrikus azonosítás és más fejlett módszerek bevezetése irányába annak érdekében, hogy megvédje a felhasználói fiókokat a támadásoktól. Az alkalmazott változások:
- Távoli asztal biometriával. Ha vannak a cégnél az Azure Active Directoryt és Active Directoryt, valamint a Windows Hello for Businesst használók, az 1903-as változat immár megengedi a Távoli asztal munkamenetek során a felhasználók biometrikus azonosítását. Ez a szolgáltatás segít megvédeni a Távoli asztal szervereket is az azonosítók feltörését használó támadásoktól.
- A Windows Hello immár FIDO2-minősítésű hitelesítővel rendelkezik, így lehetséges a jelszó nélküli bejelentkezés a FIDO2-t támogató weboldalakra, például a Microsoft-fiókokba és az Azure Active Directoryba.
Biztonsági ajánlások
Közzétette a Microsoft biztonsági útmutatásait a Windows 10 1903-as változatához. Ezek közül fontos megemlíteni, hogy a szoftvergyártó ajánlja az Enable svchost.exe mitigation lehetőség engedélyezését, amely szigorúbb biztonsági szabályokat tartat be az svchost.exe folyamaton hosztolt Windows-szolgáltatásoknál, így például a svchost.exe által betöltött minden bináris fájlnak a Microsoft aláírásával kell rendelkeznie, a dinamikusan generált kódok futtatása pedig tiltott.
Szerepel a Microsoft dokumentumában az a kitétel, hogy e beállítás használata különös odafigyelést igényel, mivel kompatibilitási problémákat okozhat egyes, az svchost.exe hosztoló folyamatot használni próbáló, külső cégek által készített kódok, például smart card pluginok esetében. Kiadott a Microsoft egy előzetes, Intune-alapú biztonsági útmutatót is.
Bevezetés
Többféle módon kezdeményezhető a Windows 10 1903-as verziójának telepítése. Beszerezhető egyrészt a Windows Update-en keresztül, ehhez az kell, hogy a rendszer megfelelőnek tartsa számítógépünket az új verzió fogadására. A Microsoft ugyanis folyamatosan figyeli a kompatibilitási problémákat, és nem kínálja fel a frissítést olyan PC-ken, amelyeken a gyártó javításai nélkül nem biztosítható a zökkenőmentes működés. A blokkolást kiváltó problémák leírása a Microsoft erre a célra létrehozott oldalán olvasható (https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1903).
Szintén kezdeményezhető a frissítés a WSUS-en és SCCM-en keresztül, valamint új telepítés esetén a Windows AutoPilot (https://www.microsoft.com/en-us/microsoft-365/windows/windows-autopilot) használatával, amely a felhőből konfigurálja a rendszert, és nyomon követhető a telepítési folyamat.
Mindent egybevetve a Windows 10 May 2019 Update kiadásának biztonsági továbbfejlesztései, valamint a Windows Update működésének felhasználóbarát változtatásai már önmagukban is vonzóvá teszik ez a verziót.