Microsoft Surface na liście NSA. Nie trzeba zalewać portów USB klejem, admin wyłączy je w firmware

Prawdziwi paranoicy zabezpieczają swoje komputery fizycznie –zalewając porty USB klejem cyjanoakrylowym, zalepiając kamerki,wylutowując mikrofony. W microsoftowych komputerach Surface niebędzie tego jednak trzeba robić. Częścią budowy tej holistyczneji zwinnej platformy bezpieczeństwa, o której już pisaliśmy, jestwciągnięcie je na listę NSA, obejmującą urządzenia, które mogąbyć używane w różnych tajnych, rządowych projektach. Co więcej,nowe urządzenia Surface, odpowiednio skonfigurowane i wykorzystywanew ramach właściwie zaprojektowanego środowiska, zapewnią pełnebezpieczeństwo danych bez fizycznego wandalizmu.

Na utrzymywaną przez Narodową Agencję Bezpieczeństwa StanówZjednoczonych listęCommercial Solutions for Classified Programs trafiły komputerySurface Pro 3 (działające pod kontrolą Windows 8.1 lub Windows 10)oraz Surface Pro 4, Surface Book i Surface Studio – oczywiściedziałające pod kontrolą Windowsa 10. Innych urządzeń przenośnychz systemami Microsoftu na tej liście zresztą nie znajdziemy.

Surface Pro 3 to już jednak zeszłoroczny śnieg, nowe urządzeniaz tej linii (Surface Pro 4, Surface Book i Surface Studio) mogąteraz korzystać z czegoś, co nazywa się Surface EnterpriseManagement Mode (SEMM). Ten nowy tryb działania komputerówMicrosoftu pozwala administratorom na zablokowanie zintegrowanychperyferiów, w tym portów USB, kamerki i mikrofonu. Wszystko napoziomie ustawień firmware, czyniąc to niedostępnym dla systemuoperacyjnego. Tubka z klejem może zostać na półce.

Nie tylko bowiem unikamy nieodwracalnego niszczenia sprzętu, alemożemy SEMM tak skonfigurować, by komputery Surface dopasowywałyswój profil zabezpieczeń do lokalizacji, w której się znajdują.Pracownikowi NSA wchodzącemu ze swoim Surface do tajnegolaboratorium (w którym oczywiście powstaje komputer kwantowy)automatycznie zostaną wyłączone kamerka, głośniki i porty – agdy wróci do kafeterii, znów będzie mógł np. porozmawiać przezSkype. Konfiguracje zabezpieczeń są podpisane cyfrowo, a centralnezarządzanie uniemożliwia użytkownikom samodzielne ichprzełączenie.

Oczywiście Microsoft nie chce, by organizacje wyłączałykamerki, wręcz przeciwnie. Następnym elementem „holistycznej” układankijest dodanie obsługi biometrycznego uwierzytelniania przez WindowsHello do Active Directory – i to także w pełni lokalnego ActiveDirectory, bez żadnego połączenia z chmurą Azure. Oznacza to, żeuwierzytelnianie twarzą za kilka lat stanie się codziennością dlapracowników korporacji.

Kolejnym etapem rozszerzaniem zakresu metod uwierzytelnianiabędzie połączenie Windows Hello ze sprzętowym systememuwierzytelniania Intel Authenticate (będącego częścią platformyzdalnego zarządzania Intel vPro) oraz udostępnienie w środowiskachbiznesowych mechanizmu Dynamicznej Blokady (niedawno pokazanego wbuildzie15031 dla Insiderów), który pozwala automatycznie zablokowaćurządzenie, gdy użytkownik od niego odejdzie (i nie zapomnismartfonu na biurku).