Windows 11, nový operační systém Microsoftu, má za sebou už několik měsíců ostrého provozu. Hodně se v souvislosti s ním mluví o větší bezpečnosti. Je tomu skutečně tak?
Windows 10 měly být posledním operačním systémem Microsoftu a procházet už jen periodickými aktualizacemi. Navzdory tomu jsou tu Jedenáctky. Jedním z hlavních argumentů pro nový OS byla ještě lepší bezpečnost, na kterou se Microsoft snaží stále více zaměřovat už několik posledních let.
Podle vyjádření na blogu společnosti testování prokázalo, že počítače s novými bezpečnostními funkcemi byly o 60 % méně infikované malwarem než modely bez těchto funkcí.
Jaké jsou tedy bezpečnostní požadavky a co nového v tomto směru Windows 11 přináší?
Bezpečnost, ale i vysoké požadavky na hardware
První informace o nových Windows vyvolaly lehkou paniku, protože slibovaly velmi přísná kritéria na hardware. Fámy se víceméně potvrdily, i když po vlně kritiky Microsoft některé požadavky zmírnil. Zjednodušeně lze říci, že Windows 11 jsou oficiálně dostupné pouze pro novější počítače, které splní řadu podmínek kladených na bezpečnost a výkon.
Potřebujete ve firmě zkontrolovat, jestli jsou vaše počítače připraveny na Windows 11, nebo je aktualizovat tak, abyste si mohli nový operační systém nainstalovat? Ozvěte se nám, kontrolu pro vás provedeme!
Pro posílení bezpečnosti slouží krom jiného povinný modul TPM 2.0 pro hardwarové šifrování a aktivní UEFI Secure Boot (Zabezpečené spouštění).
TPM (Trusted Platform Module)
Bezpečnostní čip, který zajišťuje bezpečnou interakci počítače s okolím. Při spouštění kontroluje výskyt malwaru a útoky ransomwaru, může také sloužit pro ukládání hesel, certifikátů, biometrických údajů nebo šifrovacích klíčů. Microsoft pro Windows 11 vyžaduje jeho verzi 2.0.
Novější notebooky z posledních cca 3-5 let by jej měly automaticky obsahovat. Některé starší, hlavně stolní počítače ho však nemají vůbec nebo je deaktivovaný. V případě starších stolních počítačů lze teoreticky TPM 2.0 čip dokoupit a přidat, pokud je na to připravena základní deska. Může se také stát, že máte TPM dostupný na úrovni firmwaru, ani o tom nevíte, pak je obvykle možné ho jen zapnout.
Microsoft sice oficiálně nabídl i návod, jak TPM 2.0 obejít v Editoru registru a vyhnout se jeho kontrole. Stále však musí zůstat aktivní TPM 1.2. My však doporučujeme respektovat původní vyžadovanou verzi. Už proto, že právě bezpečnost má být jedním z hlavních bonusů Windows 11. Obcházet systémové požadavky, které ji zvyšují, potom postrádá smysl, i když je oficiálně možné.
Secure Boot
Kontroluje, že při spouštění operačního systému jsou všechny jeho součásti v pořádku (nikdo s nimi nemanipuloval) a opatřené platným digitálním podpisem. Má tak zabránit spuštění operačního systému v případě, že by byl upraven nějakým malwarem.
V obou případech se tak jedná o další vrstvu ochrany, která má znemožnit útoky závadného softwaru už při zapínání počítače, a v oblasti cybersecurity nastavuje model zero trust.
Další bezpečnostní doporučení
Microsoft se snaží prosazovat i další bezpečnostní opatření, jako je například zabezpečení založené na virtualizaci (VBS) ve spojení s další ochranou před malwarem v podobě Hypervisor-Enforced Code Integrity (HVCI). Tyto funkce zatím nejsou povinné pro instalaci Windows 11, ale do budoucna je třeba s nimi zřejmě počítat.
Ochranu při surfování na internetu pak nabízí Microsoft Defender Application Guard (MDAG). Je založený také na principu virtualizace (zjednodušeně řečeno vytvoření izolovaného prostoru v paměti odděleného od zbytku systému), tentokrát v souvislosti s používáním webových prohlížečů. Primárně je určen pro Microsoft Edge, ale vztahuje se i na nejnovější verze některých dalších. Dosud byl dostupný pro vybrané verze Windows 10, u Jedenáctek se k němu již dostanou všichni.
Sbohem heslům s Windows 11
Viditelnou změnou pro uživatele bude také omezování hesel. Microsoft opakovaně dává najevo, že heslům, respektive tomu, jak s nimi uživatelé nakládají, příliš nedůvěřuje. Proto postupně pracuje na jejich odstranění a právě Windows 11 dělají velký krok tímto směrem. Při používání s online účtem nebudete už muset zadávat při přihlašování heslo. Ověřování bude probíhat pomocí aplikace Microsoft Authenticator, funkce Windows Hello, otisku prstu, fyzických tokenů nebo kódu zaslaného přes SMS či e-mail.
Konec hesel má zlepšit bezpečnost na straně uživatelů, stejně jako zabránit úspěchu phishingových útoků – když není žádné heslo, z uživatele není co vylákat.
Windows 11 tedy slibují výrazné zvýšení arzenálu ochranných prostředků proti napadení počítače. Herní fanoušci možná budou lehce nervózní, že jim to zpomalí bojovou akci, ale z hlediska podnikatele, který musí střežit spoustu citlivých dat, se každý krok ke zvýšení bezpečnosti hodí.