ویندوز ۱۱ نسبت به نسخههای قبلی امنتر است، اما امن به معنای نفوذناپذیر نیست. نقاط نفوذپذیری آن بیشتر از جنس رفتار، تنظیمات و پیچیدگی است تا ضعف فنی خالص. اگر قرار باشد ویندوز ۱۱ واقعا امن باشد، باید کاربر، مدیر سیستم و سیاست امنیتی همزمان رشد کنند. تجربه پروندههای واقعی نشان میدهد امنیت فقط با نصب آخرین نسخه به دست نمیآید، بلکه با فهمیدن اینکه خطر دقیقا از کجا وارد میشود.
من پیمان محمدپور هستم، کارشناس رسمی دادگستری در رشته جرایم رایانهای و فناوری اطلاعات و مدیر تیم جرایم سایبری فایل فاکس. سالها بررسی پروندههای واقعی، بدافزارها، نفوذها و اختلافات فنی باعث شده ویندوز را نه از روی بروشورهای تبلیغاتی، بلکه از دل رخدادهای واقعی ببینم. ویندوز ۱۱ روی کاغذ امنترین نسخه تاریخ مایکروسافت است، اما در عمل، همانجایی آسیبپذیر میشود که کاربر، تنظیمات پیشفرض و پیچیدگیهای مدرن سیستمعامل به هم میرسند.
مایکروسافت ویندوز ۱۱ را با تمرکز جدی روی امنیت معرفی کرد. الزام TPM 2.0، Secure Boot، مجازیسازی حافظه و جداسازی هسته باعث شد بسیاری تصور کنند با یک سیستم نفوذناپذیر طرف هستند. اما واقعیت این است که بیش از ۶۰ درصد حملات موفق به سیستمهای ویندوزی نه به خاطر ضعف رمزنگاری، بلکه به خاطر تنظیمات، رفتار کاربر و سرویسهای فعال رخ میدهد. ویندوز ۱۱ فقط سطح حمله را تغییر داده، نه اینکه آن را حذف کند.
وجود TPM یکی از نقاط قوت ویندوز ۱۱ است، اما همینجا اولین سوءتفاهم شکل میگیرد. TPM قرار نیست جلوی بدافزار را بگیرد، بلکه از کلیدها محافظت میکند. در بسیاری از پروندههای بررسیشده، سیستم قربانی کاملا دارای TPM فعال بوده، اما مهاجم با دسترسی کاربر وارد شده و بدون نیاز به شکستن رمزنگاری، همه چیز را دور زده است. جالب است بدانید بیش از ۴۵ درصد بدافزارهای شناساییشده در سال گذشته، اصلا کاری به سطح بوت ندارند.
ویندوز ۱۱ وابستگی شدیدی به آپدیت دارد. از یک طرف، بیش از ۷۰ درصد آسیبپذیریهای شناختهشده با آپدیتها بسته میشوند. از طرف دیگر، سیستمهای زیادی هستند که یا آپدیت نمیشوند یا نیمهکاره بهروزرسانی شدهاند. همین وضعیت باعث شده در بسیاری از حملات، نسخه ویندوز جدید باشد اما پچ امنیتی حیاتی نصب نشده باشد. حتی مواردی دیده شده که آپدیت ناقص باعث غیرفعال شدن برخی ماژولهای امنیتی شده است.
Windows Defender در ویندوز ۱۱ به بلوغ خوبی رسیده و در تستها نرخ شناسایی بالای ۹۵ درصد دارد. اما این عدد فقط برای تهدیدهای شناختهشده است. بدافزارهای سفارشی، لودرهای حافظهای و ابزارهای Living off the Land بهراحتی از Defender عبور میکنند. طبق بررسیهای میدانی، نزدیک به ۳۰ درصد نفوذهای موفق بدون شناسایی توسط آنتیویروس انجام شدهاند، چون اصلا فایل مخربی روی دیسک ننشسته است.
یکی از آسیبپذیرترین بخشهای ویندوز ۱۱ همچنان موضوع حساب کاربری است. بسیاری از کاربران با دسترسی Administrator کار میکنند. در چنین شرایطی، اگر یک فایل ساده اجرا شود، عملا کل سیستم در اختیار مهاجم قرار میگیرد. در پروندههای واقعی، بیش از نیمی از آلودگیها از طریق یک فایل به ظاهر بیخطر شروع شده که با دسترسی ادمین اجرا شده است.
ویندوز ۱۱ پر از ابزارهای قدرتمند داخلی است. PowerShell، WMI، Task Scheduler و حتی Event Viewer. این ابزارها برای مدیریت طراحی شدهاند، اما مهاجمان حرفهای دقیقا از همینها استفاده میکنند. آماری که کمتر به آن اشاره میشود این است که حدود ۴۰ درصد حملات پیشرفته اصلا نیاز به بدافزار جداگانه ندارند و فقط با ابزارهای خود ویندوز انجام میشوند.
مایکروسافت استور Microsoft Store نسبت به گذشته امنتر شده، اما هنوز هم برنامههایی دیده میشوند که داده بیش از حد جمعآوری میکنند یا از مجوزهای غیرضروری استفاده میکنند. در چند پرونده بررسیشده، نرمافزارهایی از استور نصب شده بودند که در عمل نقش Spyware نرم را بازی میکردند، بدون اینکه بهعنوان بدافزار شناخته شوند.
ویندوز ۱۱ از VBS و HVCI پشتیبانی میکند، اما در بسیاری از سیستمها بهصورت پیشفرض غیرفعال است یا کاربر آن را برای افزایش سرعت خاموش کرده. اینجاست که فاصله بین امنیت نظری و امنیت واقعی شکل میگیرد. طبق برآوردها، کمتر از ۳۵ درصد کاربران خانگی این قابلیتها را فعال نگه داشتهاند.
درایورهای ناسازگار یا قدیمی یکی از نقاط نفوذ جدی هستند. ویندوز ۱۱ تلاش کرده امضای دیجیتال را سختگیرانهتر کند، اما هنوز هم درایورهایی وجود دارند که باگهای سطح کرنل دارند. نفوذ از طریق درایور یعنی دور زدن تقریبا تمام لایههای امنیتی کاربرمحور.
هرچقدر هم ویندوز ۱۱ امن باشد، فیشینگ هنوز پادشاه حملات است. ایمیلها، پیامها و لینکهایی که کاربر را فریب میدهند. آمارها نشان میدهد بیش از ۸۰ درصد نفوذهای موفق با یک تعامل ساده کاربر شروع شدهاند. کلیک، دانلود یا وارد کردن رمز عبور در یک صفحه جعلی.
