Konec aplikacím bez dozoru. Microsoft přináší zásadní změnu v zabezpečení Windows 11

Změna přichází v době, kdy Windows 11 běží na více než jedné miliardě zařízení po celém světě. Podle inženýra Logana Iyera z týmu Windows Platform byl nový bezpečnostní model nutný kvůli tomu, že aplikace stále častěji mění nastavení systému, instalují nežádoucí software nebo zasahují do základních funkcí Windows bez vědomí uživatelů.

Dva hlavní pilíře nového zabezpečení

Microsoft představil dvě hlavní iniciativy. První z nich nese název Windows Baseline Security Mode a druhá User Transparency and Consent. Obě spadají pod širší program Secure Future Initiative, který společnost spustila v listopadu 2023.

Windows Baseline Security Mode zajistí, že ve výchozím nastavení budou moci běžet pouze řádně podepsané aplikace, služby a ovladače. Tím systém získá ochranu před neoprávněnými změnami a manipulací. Uživatelé i správci IT oddělení si však budou moci v případě potřeby tato ochranná opatření pro konkrétní aplikace vypnout.

User Transparency and Consent přinese uživatelům přehled o tom, které aplikace mají přístup k jakým zdrojům. Podobně jako na telefonu se systém zeptá, když aplikace bude chtít získat přístup k souborům, kameře, mikrofonu nebo když se pokusí nainstalovat další software. Uživatel bude moci svá rozhodnutí kdykoli změnit.

Reakce na bezpečnostní incidenty

Celá iniciativa je částečně reakcí na bezpečnostní problémy, kterým Microsoft čelil a čelí. V roce 2023 označila americká Rada pro kybernetickou bezpečnost bezpečnostní kulturu společnosti za nedostatečnou. Stalo se tak po incidentu, kdy čínští hackeři získali přístup ke cloudovým službám Microsoftu pomocí ukradeného klíče.

Od té doby Microsoft výrazně investuje do posílení zabezpečení. Kromě nových funkcí pro Windows 11 zakázal všechny ovládací prvky ActiveX v aplikacích Microsoft 365 a Office 2024, zablokoval přístup k SharePointu, OneDrive a Office souborům přes zastaralé autentizační protokoly a chystá další bezpečnostní vylepšení.

Co to přinese pro uživatele

V praxi budou mít uživatelé mnohem lepší kontrolu nad tím, co aplikace s jejich počítačem dělají. V přehledném rozhraní uvidí, které programy mají přístup k citlivým datům nebo hardwaru. Pokud narazí na aplikaci, kterou neznají nebo které nevěří, budou moci přístup jednoduše odebrat.

Výzvy k udělení oprávnění mají být jasné a srozumitelné. Uživatel dostane možnost přístup povolit nebo zamítnout, stejně jako to funguje při instalaci aplikace na Android nebo iOS. Všechna udělená oprávnění půjde později kdykoli změnit.
Nový model se bude vztahovat i na agenty s umělou inteligencí, kteří budou muset dodržovat přísnější standardy transparentnosti. Uživatelé i správci IT tak budou mít lepší přehled o tom, jak se tyto nástroje chovají.

Postupné zavádění s ohledem na vývojáře

Microsoft zdůrazňuje, že změny přijdou postupně. Společnost chce úzce spolupracovat s vývojáři, podniky a partnery z ekosystému, aby byl přechod co nejhladší. Vývojáři dostanou nástroje a dokumentaci, která jim pomůže přizpůsobit aplikace novému modelu. Stávající aplikace budou fungovat i nadále, což vývojářům dá čas na potřebné úpravy.

První verze nových funkcí by měly dorazit do programu Windows Insider pravděpodobně v polovině roku. Podle dostupných informací se dá očekávat, že plné nasazení přijde s verzí Windows 11 26H2, případně až s eventuálním Windows 12.

Nové bezpečnostní prvky získaly pozitivní ohlasy od předních technologických společností. Firmy jako 1Password, Adobe, CrowdStrike, OpenAI nebo Raycast vyjádřily podporu iniciativě a přislíbily spolupráci na jejím vývoji.

Microsoft ujišťuje, že i přes nová bezpečnostní opatření zůstane Windows otevřenou platformou. Uživatelé budou moci dál instalovat jakékoli aplikace a systém zůstane přístupný všem vývojářům. Nový model má pouze zajistit, aby měli uživatelé kontrolu nad tím, co se na jejich počítači děje.

Zdroj: Microsoft Blog, Thurrott, Bleeping Computer