ویژگی‌های امنیتی ویندوز 10

این مطلب یکی از مقالات پرونده ویژه «دهمین پنجره» است. برای دریافت کل این پرونده ویژه اینجا کلیک کنید. 

مقایسه ویژگی‌های امنیتی ویندوز 7 و 10
ویندوز 7 موفق‌ترین و در دسترس‌ترین سیستم‌عامل تاریخ مایکروسافت بود و در پنج سال گذشته خدمات زیادی به ما ارائه داد. اما واقعیت دیگری درباره ویندوز 7 وجود دارد. ویندوز 7 نتوانست سطحی از حفاظت در برابر تهدیدات امنیتی جدید ارائه کند که با آن‌ها روبه‌رو بودیم. تاریخ به ما نشان داد، هرچند امکان اضافه کردن لایه‌های دفاعی با استفاده از محصولات ثالث در اختیار ما قرار دارد، اما هیچ‌کدام از محصولاتی که از طرف سازمان‌های امنیتی بزرگ که هر روزه درباره آن‌ها مطالبی می‌خوانیم و محصولات امنیتی در اختیار ما قرار می‌دهند، کافی نبودند. به همین دلیل چالش‌های جدید نیازمند یک پلتفرم جدید هستند. 

Windows Hello 
از زمانی ‌که چرخه ساخت ویندوز 10 آغاز شد، گروه طراحی ویندوز زمان و انرژی زیادی صرف پیاده‌سازی محاسبات شخصی سازی شده کرد، به ‌گونه‌ای ‌که دستگاه‌های مجهز به ویندوز 10 توانایی تشخیص کاربر و درک آن‌چه کاربر به آن‌ها می‌گوید را داشته باشند. نتیجه فعالیت‌های انجام گرفته در این زمینه به وجود آمدن ویژگی محاسبات شخصی در ویندوز 10 است. روزگاری مایکروسافت وعده داده بود، شما به وارد کردن گذرواژه در کامپیوترهای شخصی مجهز به ویندوز 10 نیازی نخواهید داشت. آن وعده سرانجام با Windows Hello رنگ واقعیت به خود دید. Windows Hello یک مکانیسم احراز هویت بیومتریک است که امکان دسترسی سریع به دستگاه‌های مجهز به ویندوز 10 را امکان‌پذیر می‌سازد. با استفاده از ویژگی Windows Hello کاربر توانایی نشان دادن چهره یا اثر انگشت خود را به دستگاه‌های جدیدی که ویندوز 10 روی آن‌ها اجرا می‌شود خواهد داشت، به‌ طوری‌ که این دستگاه‌ها در یک بازه زمانی کوتاه توانایی شناسایی او را دارند. نه تنها به‌کارگیری Windows Hello راحت‌تر از تایپ گذرواژه است، بلکه امن‌تر هم به‌نظر می‌رسد. این ویژگی باعث می‌شود تا احراز هویت کاربر در برنامه‌های کاربردی، محتوای سازمانی و حتی محتوای آنلاین بدون نیاز به استفاده از گذرواژه‌ای انجام شود که در دستگاهش یا در سرور شبکه ذخیره شده باشد. 

این ویژگی چگونه کار می‌کند؟
Windows Hello سیستمی را معرفی می‌کند که از احراز هویت بیومتریک پشتیبانی می‌کند. این سیستم از چهره، عنبیه یا اثر انگشت برای باز کردن دستگاه‌ها استفاده می‌کند که به‌ مراتب امن‌تر از گذرواژه‌های سنتی است. رمز موفقیت Windows Hello در ترکیب دو عامل کاربر و دستگاهی که از آن استفاده می‌کند قرار دارد. ترکیب این دو عامل باعث می‌شود، به‌جای آن‌که از یک دسته از حروف و اعداد تصادفی که به‌راحتی فراموش شده، هک شده یا باید در مکانی نوشته شوند، از حس‌گرهای پیش‌رفته استفاده شود که توانایی تشخیص ویژگی‌های منحصر به‌فرد کاربر را دارند. این حس‌گرهای پیش‌رفته به کاربر اجازه می‌دهند به دستگاهی که از ویندوز 10 پشتیبانی می‌کند، وارد شوند.

چه دستگاه‌هایی از این ویژگی پشتیبانی می‌کنند؟
در حال حاضر، طیف گسترده‌ای از دستگاه‌های مجهز به ویندوز 10 که از این ویژگی پشتیبانی می‌کنند در حال ساخته شدن هستند. اگر دستگاه شما به یک حس‌گر اثر انگشت مجهز باشد، شما می‌توانید برای باز کردن دستگاه خود از Windows Hello استفاده کنید. برای تشخیص چهره یا عنبیه، Windows Hello از ترکیب سخت‌افزار و نرم‌افزار ویژه‌ای که از دقت بالایی برخوردار است استفاده می‌کند. به ‌طوری‌ که اگر یک عکس از خودتان را به آن نشان دهید یا اگر شخصی سعی کند تصویر خود را به‌جای شما به دستگاه نشان دهد، Windows Hello به‌راحتی این موضوع را متوجه خواهد شد (شکل 1).

 شکل 1: کپی برابر اصل نیست!

دوربین‌هایی که از فناوری مادون قرمز برای شناسایی چهره یا عنبیه استفاده می‌کنند، می‌توانند شما را در یک وضعیت نوردهی مناسب شناسایی کنند. Windows Hello یک درجه امنیت سازمانی که مطابق با نیازهای یک سازمان است را با پیاده‌سازی دقیق‌ترین نیازها و مقررات ارائه می‌کند. امنیت به کار رفته در این فناوری باعث می‌شود تا دولت‌ها و سازمان‌های مالی، بهداشتی و دفاعی به‌منظور افزایش امنیت کلی خود به‌سادگی از آن استفاده کنند.
کارکرد برنامه‌های احراز هویت، محتوای سازمانی و تجربیات آنلاین همگی بدون نیاز به گذرواژه‌ها امروزه گذرواژه‌ها اصلی‌ترین روشی هستند که ما برای محافظت از داده‌ها و اطلاعات شخصی از آن‌ها استفاده می‌کنیم. اما گذرواژه‌ها دردسرساز و ناامن هستند. آن‌ها به‌آسانی هک می‌شوند و حتی زمانی که پیچیده می‌شوند نیز مؤثر نخواهند بود. بیش‌تر ما به گذرواژه ساده‌ای نیاز داریم که به‌سادگی بتوانیم آن ‌را به خاطر آوریم؛ بنابراین، از گذرواژه‌های ساده استفاده می‌کنیم که همین موضوع باعث می‌شود امنیت گذرواژه‌ها به حداقل برسد. همچنین، اگر نیاز به سطح بالایی از امنیت وجود داشته باشد، لازم است از ده‌ها گذرواژه برای ورود به دستگاه‌ها و سرویس‌ها استفاده کنیم. تا به ‌امروز نزدیک به 1.2میلیارد نام ‌کاربری و گذرواژه در سایت‌های مختلف هک شده است. Passport (گذرنامه) نام ویژه‌ای برای سیستم‌های برنامه‌نویسی است که مدیران آی‌تی، طراحان نرم‌افزار و نویسندگان سایت‌ها از آن به‌عنوان روش امنیتی استفاده می‌کنند که به کاربر اجازه ورود به سایت‌ها یا برنامه‌هایشان را می‌دهد. به‌جای آن‌که از یک راز به اشتراک‌گذاری شده یا به اشتراک گذاشته شده شبیه به یک گذرواژه استفاده کنید، ویندوز 10 به شما کمک می‌کند به‌صورت امن هویت خود را به برنامه‌ها، سایت‌ها و شبکه‌ها بدون آن‌که نیازی به ارسال گذرواژه‌ها وجود داشته باشد، نشان دهید.

مطلب پیشنهادی: بهترین ضدویروس برای ویندوز 10 چیست؟

به این شکل، هیچ گذرواژه به‌اشتراک گذاشته شده‌ای که روی سرورها ذخیره شده و خطر بالقوه‌ای از جانب هکرها آن‌ها را تهدید می‌کند وجود نخواهد داشت. ویندوز 10 از شما می‌خواهد هویت خود را قبل از آن‌که احراز هویت انجام گیرد، با یک پین‌کد یا دستگاه‌های مجهز به حس‌گر بیومتریک نشان دهید. یک‌ بار که احراز هویت با Passport انجام شد، توانایی دسترسی سریع به سایت‌ها و سرویس‌های مختلف شخصی یا تجاری را که روی شبکه‌های تجاری قرار دارند، خواهید داشت. Passport همچنین با هزاران سرویس Azure Active Directory که در حال اجرا هستند کار خواهد کرد. مکانیسم حذف گذرواژه‌ها با استفاده از فناوری‌های پیش‌رفته رویکردی است که توسط سازمان FIDO در حال پیگیری است. سازمانی که مایکروسافت نیز به عضویت آن درآمده است. این سازمان در نظر دارد گذرواژه‌ها را با انواع مختلفی از سرویس‌های امنیتی پیش‌رفته جایگزین کند. 

چرا بعضی کاربران شانس استفاده از Windows Hello را از دست خواهند داد؟
برای آن‌که بتوان از Windows Hello استفاده کرد، به دوربین‌های گران‌قیمتی نیاز است که از عمق زیاد برای نشان دادن واقعیت به کامپیوترها پشتیبانی کنند. این دوربین‌ها در همه جا در دسترس نیستند. همان ‌گونه که اشاره کردیم ویژگی Windows Hello و Passport به دوربین‌هایی با عمق زیاد که از نور مادون قرمز استفاده می‌کنند نیاز دارد. این دوربین‌ها توسط اینتل ساخته می‌شوند (دوربین‌های RealSense). تحلیل‌گران و برخی سازندگان کامپیوترهای شخصی بر این باور هستند که ساخت آن‌ها برای کامپیوترهای شخصی ارزان‌قیمتی (‌با وب‌کم‌های ارزان‌قیمت) که بیش‌تر مصرف‌کنندگان ترجیح می‌دهند از آن‌ها استفاده کنند، بیش از اندازه گران تمام می‌شود. همچنین، بعید به‌نظر می‌رسد، ماژول‌های این مدل از دوربین‌ها درون بیش‌تر مانیتورهای کامپیوترهای خانگی و لپ‌تاپ‌ها قابل نصب باشد. به این نکته توجه داشته باشید که میلیون‌ها نوت‌بوک مجهز به ویندوز 7 و 8 وجود دارند که قصد ارتقا به ویندوز 10 را دارند، اما این دوربین‌ها روی آن‌ها وجود ندارد. 

چگونه می‌توان از Windows Hello و اثر انگشت برای ورود به ویندوز 10 استفاده کرد؟
مایکروسافت تمام توان خود را به کار گرفته است تا یکی از امن‌ترین سیستم‌عامل‌هایی را که در تاریخ این شرکت ساخته شده است، عرضه کند. مایکروسافت دو ویژگی Windows Hello و Passport را برای شناسایی چهره و اثر انگشت در سیستم‌عامل ویندوز 10 قرار داده است. با توجه به این‌که هنوز زمان لازم است تا سخت‌افزارهای ویژه که از Windows Hello پشتیبانی می‌کنند به‌طور عمومی عرضه شوند، می‌توان از فناوری دیگری استفاده کرد که Windows Hello از آن پشتیبانی می‌کند. به دلیل این‌که اسکنرهای اثر انگشت از مدت‌ها قبل وجود داشته‌اند، می‌توان از آن‌ها برای ورود به ویندوز 10 استفاده کرد. برای این منظور به یک اسکنر اثر انگشت نیاز است که با ویندوز 10 سازگار باشد. در حال حاضر، با استفاده از اسکنر اثر انگشت (K-Byte Biometric Fingerprint Scanner) به قیمت 11 دلار که در سایت آمازون به فروش می‌رسد و همراه با دو کابل یواس‌بی عرضه می‌شود، می‌توان این‌ کار را انجام داد (شکل 2).

 شکل 2: سیستم بیومتریک K-Byte که برای احراز هویت مورد استفاده قرار می‌گیرد. 

این دستگاه از یک طرف به یواس‌بی دستگاه و از طرف دیگر به خود دستگاه متصل می‌شود. در پایین دستگاه مکانی قرار دارد که برای دریافت اثر انگشت مورد استفاده قرار می‌گیرد (شکل 3).

 شکل 3: تجهیزات احراز هویت K-Byte 

این دستگاه به‌خوبی با ویندوز 10 کار کرده است و برای آن‌که بتوان از آن استفاده کرد، به نصب هیچ درایوری نیاز نیست. زمانی‌ که اسکنر به سیستم متصل شد، با مراجعه به تنظیمات قرار گرفته در نشانی Settings-> Accounts-> Sign-in و پیدا کردن گزینه Windows Hello و انتخاب گزینه Face یا Fingerprint می‌توانید فرآیند پیکربندی را آغاز کنید (شکل 4).

 شکل 4: فرآیند تنظیم Windows Hello 

با کلیک روی گزینه تنظیم اثر انگشت فرآیند تنظیم آغاز می‌شود و از شما برای ورود با PIN/Password سؤال می‌کند. به محض این‌که فرآیند ثبت یک تصویر خوب از اثر انگشت به اتمام رسید، رهگیری اثر انگشت در سیستم انجام می‌شود و می‌تواند تصویر درستی از اثر انگشت را نشان دهد. زمانی ‌که فرآیند ثبت اثر انگشت به اتمام رسید، همه پنجره‌ها را ببندید و از ویندوز 10 خارج شوید. در ورود مجدد گزینه‌ای را مشاهده خواهید کرد که شامل به‌کارگیری اثر انگشت است (شکل 5).

 شکل 5: گزینه احراز هویت اثر انگشت با استفاده از Finger Print Reader  

در این حالت، اگر از یک اثر انگشت غیرمعتبر استفاده شود، سیستم به‌آسانی آن‌ را تشخیص می‌دهد و مانع از ورود شما به سیستم می‌شود (شکل6).

 شکل 6: Windows Hello به‌سرعت نا‌معتبر بودن اثر انگشت را شناسایی می‌کند.

 Device Guard
زمانی ‌که صحبت از حملات سایبری به میان می‌آید، این حملات دو زاویه اولیه دارند؛ به سرقت بردن هویت کاربر و ورود به شبکه و دوم اجرای نرم‌افزارهای مخرب از درون سازمان. البته اغلب اوقات حملات هر دو حالت را در خود جای می‌دهند. متوقف کردن این حملات یکی دیگر از زمینه‌های تخصصی ویندوز 10 به شمار می‌رود که در آن خوش می‌درخشد. زمانی ‌که یک حمله فیشینگ از طریق ایمیل روی دستگاهی رخ دهد که ویندوز 10 روی آن نصب بوده و Device Guard روی آن فعال است، نصب برنامه مخرب متوقف می‌شود، زیرا آن برنامه قبل از آن‌که اجرا شود، توسط یک منبع قابل اعتماد امضا نشده است. به عبارت دیگر، نفوذ قبل از آن‌که حتی شروع شود متوقف می‌شود. Device Guard می‌تواند ترکیبی از ویژگی‌های امنیتی سخت‌افزاری و نرم‌افزاری باشد. زمانی‌ که این دو مؤلفه با یکدیگر ترکیب شوند، یک دستگاه را به‌ گونه‌ای قفل می‌کنند که تنها با اجرای برنامه‌های قابل اعتماد باز شود. 

 Windows Hello کاربر توانایی نشان دادن چهره یا اثر انگشت خود را به دستگاه‌های جدیدی که ویندوز 10 روی آن‌ها اجرا می‌شود خواهد داشت، به‌ طوری‌ که این دستگاه‌ها در یک بازه زمانی کوتاه توانایی شناسایی او را دارند.

اگر برنامه‌ای قابل اعتماد نباشد، امکان اجرا پیدا نخواهد کرد. این ویژگی همچنین به این معنا است که حتی اگر هکری توانایی اعمال مدیریت و کنترل روی کرنل ویندوز را به دست آورد، بعد از آن‌که کامپیوتر راه‌اندازی شود، کم‌ترین شانس را برای اجرای کدهای مخرب اجرایی خواهد داشت. همچنین، این‌که چطور درباره آن‌چه می‌تواند اجرا کند یا اجرا خواهد کرد تصمیم‌گیری می‌کند؟ Device Guard از یک مکانیسم امنیت مجازی‌سازمحور، برای جدا کردن سرویس کد یک‌پارچه از کرنل ویندوز 10 استفاده می‌کند. Device Guard به سرویس‌ کد یک‌پارچه اجازه می‌دهد از امضاهایی که با سیاست کنترلی سازمان تعریف شده است، برای تعیین آن‌چه قابل اطمینان است استفاده کند. 
 
چرا از Device Guard استفاده کنیم؟
با وجود هزاران فایل مخربی که هر روزه ساخته می‌شود، دیگر نمی‌توان از روش‌های سنتی همچون شناسایی امضامحور برای مبارزه با بدافزارها استفاده کرد، به دلیل این‌که یک دفاع ناکارآمد به شمار می‌روند. Device Guard به ‌گونه‌ای طراحی شده است که وقتی‌ برنامه‌ای اجرا می‌شود، در برابر بدافزارها از کاربران محافظت ‌کند. به‌ طوری که به ویندوز اجازه می‌دهد درباره قابل اعتماد بودن یا نبودن برنامه‌ها تصمیم بگیرد. در صورتی ‌که برنامه‌ای قابل اعتماد نباشد، پیام هشداری به کاربر نشان داده خواهد شد. 

Device Guard چگونه کار می‌کند؟
Device Guard محدودیت‌هایی را برای سیستم‌عامل ویندوز 10 به وجود می‌آورد که فقط کدهایی را اجرا کند که امضا‌کنندگان معتبر امضا کرده باشند. همچنین، هر پردازه‌ای را که قرار است داخل حافظه اصلی سیستم بارگذاری و اجرا شود، مورد بررسی قرار می‌دهد، به ‌طوری‌ که از اجرای برنامه‌هایی که فاقد امضا هستند ممانعت به‌ عمل می‌آورد و اجازه نمی‌دهد این برنامه‌ها درون حافظه سیستم بارگذاری شوند.

برای اجرای Device Guard چه چیزی نیاز است؟
برای استفاده مؤثر از ویندوز 10 به نصب سخت‌افزار و نرم‌افزارهای زیر نیاز دارید.

• Device Guard :Windows10 فقط با دستگاه‌هایی کار می‌کند که ویندوز 10 را اجرا می‌کنند. 

• UEFI: نسل جدید میان‌افزارها یا UEFI شامل یک ویژگی امنیتی به‌نام راه‌اندازی امن Secure Boot هستند که از یک‌پارچگی دستگاه شما با خود سفت‌افزار محافظت می‌کند و به شما اطمینان می‌دهد ویندوز قبل از اجرای هر گونه نرم‌افزار مخربی اجرا می‌شود.
• Trusted Boot: بخشی از سیستم‌عامل است که بر ویژگی راه‌اندازی ایمن UEFI برای جلوگیری از اجرای برنامه‌های مخربی که در مدت زمان بارگذاری سیستم‌عامل اجرا می‌شوند، تکیه می‌کند. راه‌اندازی ایمن تغییری در معماری است که به محافظت در برابر حملات روت‌کیت‌ها کمک می‌کند. حملاتی که با هدف دسترسی به سیستم سعی‌ می‌کنند فرآیند راه‌اندازی ویندوز را دست‌کاری کنند.

اگر دستگاه شما به یک حس‌گر اثر انگشت مجهز باشد، شما می‌توانید برای باز کردن دستگاه خود از Windows Hello استفاده کنید.

1- Virtualization-based security
 یک کانتینر محافظت شده Hyper-V است که فرآیندهای حساس ویندوز 10 را ایزوله می‌کند. این کار باعث می‌شود، حتی اگر کرنل ویندوز 10 در دسترس قرار گیرد، دست‌کاری در فرآیندها برای استخراج داده‌های ضروری که در حملات مورد استفاده قرار می‌گیرند، برای بدافزارها مشکل شود. برای استفاده از امنیت مبتنی بر مجازی‌سازی لازم است تا افزونه‌های مجازی‌ساز روی سیستم اجرا شده باشند.

مطلب پیشنهادی: مایکروسافت زیر تیغ تیز منتقدین به خاطر نقض حریم خصوصی

2- Package inspector tool
ابزاری است که به شما کمک می‌کند تا کاتالوگی از فایل‌هایی ایجاد کنید که برای اجرای برنامه‌های کلاسیک ویندوز مورد استفاده قرار می‌گیرند. زمانی که این کاتالوگ ساخته شود، برنامه‌ها به‌آسانی توسط یک امضا‌کننده معتبر امضا می‌شوند. البته برای پیاده‌سازی Device Guard در یک سازمان لازم است به یک سری از دستورالعمل‌ها که از سوی مایکروسافت در این باره ارائه شده است، توجه کنید.

3- Enterprise Data Protection (محافظت از داده‌های سازمانی)
با افزایش دستگاه‌های شخصی متعلق به کاربران در سازمان‌ها، ریسک افشای تصادفی اطلاعات از طریق برنامه‌ها و سرویس‌هایی که خارج از کنترل یک سازمان هستند وجود دارد. برنامه‌هایی همچون ایمیل، شبکه‌های اجتماعی و فضای ابری عمومی ریسک افشای اطلاعات را افزایش می‌دهند. ویژگی حفاظت از داده‌های سازمانی EDP تجربه کاربری ویژه‌ای را ارائه می‌کند، به ‌طوری ‌که به جداسازی بهتر و کمک به محافظت از برنامه‌های سازمانی بدون نیاز به اعمال تغییرات در محیط یا برنامه‌ها کمک می‌کند. همچنین، EDP زمانی که همراه با RMS (سرنام Rights Management Services) کاربرد دارد، می‌تواند برای محافظت از داده‌های محلی سازمان نیز مورد استفاده قرار گیرد. تداوم حفاظت از داده‌ها حتی زمانی که داده‌های شما به ‌اشتراک گذاشته شده‌اند، از مزیت‌های EDP به شمار می‌رود.

زمانی ‌که یک حمله فیشینگ از طریق ایمیل روی دستگاهی رخ دهد که ویندوز 10 روی آن نصب بوده و Device Guard روی آن فعال است، نصب برنامه مخرب متوقف می‌شود، زیرا آن برنامه قبل از آن‌که اجرا شود، توسط یک منبع قابل اعتماد امضا نشده است. 

4- Microsoft Passport
در ویندوز 10، Microsoft Passport جایگزین گذرواژه‌ها شده است. Microsoft Passport به کاربران اجازه می‌دهد احراز هویت را با یک حساب مایکروسافتی، یک حساب اکتیودایرکتوری (Active Directory)، یک حساب Microsoft Azure Active Directory (AD) یا حتی سرویس غیر مایکروسافتی که از احراز هویت (Fast ID Online (FIDO پشتیبانی می‌کند، انجام دهند. بعد از آن‌که تأیید اولیه دو مرحله‌ای که در مدت زمان ثبت Microsoft Passport انجام می‌شود سپری شد، گذرنامه مایکروسافت روی دستگاه کاربر تنظیم می‌شود و کاربر این توانایی را دارد تا از مواردی همچون Windows Hello یا PIN استفاده کند. کاربر این ژست‌ها را برای بررسی هویت آماده می‌کند. در ادامه، ویندوز از Microsoft Passport برای احراز هویت کاربران استفاده و به آن‌ها برای دسترسی به منابع و سرویس‌های محافظت شده کمک می‌کند. 

5- Provisioning packages
این ابزار به شما اجازه می‌دهد با سرعت و کارایی بالا به پیکربندی یک دستگاه بدون نیاز به داشتن یک تصویر جدید از آن بپردازید. بسته‌های تأمینی (Provisioning Package) شامل مجموعه مختصری از دستورالعمل‌ها است و به‌کارگیری آن‌ها به اندازه کافی ساده است. به ‌طوری‌ که یک دانش‌آموز یا یک کارمند غیرفنی می‌توانند از آن‌ها برای پیکربندی دستگاه‌های خود استفاده کنند. در نتیجه، زمان لازم برای پیکربندی چند دستگاه در یک سازمان به میزان قابل توجهی کاهش می‌یابد.

مزایای به‌کارگیری Provisioning packages
- پیکربندی سریع یک دستگاه جدید بدون نیاز به نصب یک تصویر جدید؛
- صرفه‌جویی در زمان با پیکربندی چند دستگاه با استفاده از یک بسته تأمینی؛
- پیکربندی سریع دستگاه‌های کارمندان در یک سازمان بدون نیاز به زیرساخت MDM (سرنام Mobile Device Management)؛
- تنظیم یک دستگاه بدون آن‌که هیچ ارتباط شبکه‌ای را در اختیار داشته باشد؛
- آن‌ها می‌توانند با استفاده از رسانه‌های قابل حمل همچون فلاپی درایوهای یواس‌بی یا کارت SD نصب شوند؛
- آن‌ها می‌توانند به یک ایمیل ضمیمه شوند.
- آن‌ها می‌توانند از طریق یک اشتراک شبکه‌ای دانلود شوند.

یک بسته تأمینی را چگونه می‌توان ایجاد کرد؟
در ویندوز 10 می‌توانید از Windows Images و ابزار (Configuration Designer (ICD برای ساخت بسته‌های تأمینی استفاده کنید. برای نصب Windows ICD و ساخت بسته‌های تأمینی ابتدا باید Windows Assessment and Deployment Kit (ADK) RC را نصب کنید. 
برای نصب کیت ارزیابی و استقرار ویندوز، ابتدا ‌باید آن ‌را از Windows Insider و از این نشانی دانلود کنید (برای دانلود این کیت لازم است عضوی از Windows Insider باشید): 
همچنان که در حال نصب ADKsetup.exe هستید، ویژگی‌هایی که در دیالوگ مربوط نشان داده می‌شوند را انتخاب کنید. این ویژگی‌ها عبارتند از: 
• Deployment Tools
• Windows Preinstallation Environment (Windows PE)
• Windows Imaging and Configuration Designer (ICD)
• Windows User State Migration Tool (USMT)

البته لازم به توضیح است که اجرای درست Windows ICD به ابزارهای دیگر وابسته است. اگر فقط Windows ICD را در ویزارد نصب انتخاب کرده باشید، ابزارهایی که به آن‌ها اشاره کردیم، به‌طور خودکار انتخاب و نصب می‌شوند. زمانی ‌که Windows ICD را نصب کردید، می‌توانید از آن برای ساخت بسته‌های امنیتی استفاده کنید. جزییات مربوط به ساخت و استفاده از بسته‌های تأمینی در این نشانی وجود دارد.

فونت‌هامی‌توانند آسیب‌پذیری‌هایی را که به حملات (سرنام EOP (Elevation of Privilege منجر می‌شوند، تولید کنند. حملات EOP امکان دسترسی از راه دور به سیستم کاربر را به یک هکر می‌دهد.

6- Untrusted font blocking
از آن‌جا ‌که فونت‌ها از ساختارهای داده‌ای پیچیده استفاده می‌کنند و درون صفحات وب و اسناد قرار می‌گیرند، می‌توانند آسیب‌پذیری‌هایی را که به حملات (سرنام EOP (Elevation of Privilege منجر می‌شوند، تولید کنند. حملات EOP امکان دسترسی از راه دور به سیستم کاربر را به یک هکر می‌دهد. این دسترسی زمانی رخ می‌دهد که کارمندان در حال به اشتراک‌گذاری فایل‌ها یا مرور وب هستند. برای محافظت از سازمان‌ها در برابر این گونه حملات، مایکروسافت ویژگی بلوکه کردن فونت‌های غیرقابل اعتماد را پیشنهاد داده است.

این ویژگی چگونه کار می‌کند؟
این ویژگی به سه روش می‌تواند مورد استفاده قرار گیرد:

On: زمانی‌ که این گزینه فعال باشد، هر فونتی که توسط GDI به کار رود، مورد بررسی قرار می‌گیرد. این فرآیند بارگذاری فونت‌هایی را متوقف می‌کند که خارج از پوشه %windir%/Fonts قرار دارند. همچنین، گزارشی از این عملیات در فهرست رویدادها ثبت می‌شود.

Audit: فعال بودن این گزینه امکان ثبت گزارش را ایجاد می‌کند، اما بارگذاری فونت‌ها را بلوکه نمی‌کند. نام برنامه‌هایی را که از فونت‌های تأیید نشده استفاده کرده‌اند، در فهرست گزارش ثبت می‌کند.

Exclude apps to load untrusted fonts: فعال بودن این گزینه باعث می‌شود تا برنامه‌های خاصی را به‌صورت انحصاری درآورید. به عبارت دیگر، به آن‌ها اجازه دهید فونت‌های تصدیق نشده را بارگذاری کنند. حتی اگر این ویژگی فعال باشد. 

برای تنظیم این ویژگی به یکی از سه وضعیت اشاره شده لازم است تا مراحل زیر را انجام دهید:

1- رجیستری را باز کنید و به مسیر زیر بروید:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel
 

2- اگر کلید MitigationOptions وجود ندارد، کلیک راست کرده و این کلید را (QWORD (64-bit اضافه کنید. دقت کنید نام آن ‌را MitigationOptions قرار دهید.

3- از کلید MitigationOptions مقدار Value Date را به‌روزرسانی کنید. دقت کنید مقادیر شما یکی از مقادیری باشد که در پاراگراف قبل به آن‌ها اشاره کردیم.

To turn this feature on. Type 1000000000000
To turn this feature off. Type 2000000000000
To audit with this feature. Type 3000000000000

نکته مهم: مقداری که در MitigationOptions وجود دارد، باید در مدت زمان به‌روزرسانی ذخیره شود. به‌طور مثال، اگر مقدار جاری برابر با 1000 است، مقدار به‌روزرسانی شده شما باید 1000000001000 باشد.

4- در این مرحله، لازم است تا سیستم یک بار راه‌اندازی شده تا تغییر مورد نظر اعمال شود. بعد از آن‌که این تغییر اعمال شد، با استفاده از مؤلفه ناظر رویدادها Event Viewer می‌توانید گزارش‌های تولید شده را مشاهده کنید.