Режим Windows 10 S mode – что он даёт пользователю
19.11.2020Windows 10 – это самая универсальная операционная система. Именно её, скорее всего, выберет профессионал, заядлый компьютерный игрок или обычный пользователь. Причин много: от поддержки последних стандартов, совместимость с программами и играми, до простого и интуитивно понятного управления.
На первый взгляд удивительно, что Microsoft даёт инструмент, который позволяет эту универсальность «отрезать» – зачем это делать и что со всем этим общего имеет режим S?
Windows 10 S-Mode: почему так назвали?
Дешевые модели 2-в-1, такие как Microsoft Surface Go, стандартно не поставляются с Windows 10 Home или Pro, а только с Windows 10 в S-режиме. Что такое «S» в версии Windows, разработчик Microsoft пока не раскрыл. Между тем, многие пользователи уже подобрали для «расшифровки» этой таинственной буквы слова «safe — безопасно» и «speed — быстро». И действительно, эти два слова хорошо характеризуют отличия Windows 10 S-Mode от обычной Windows 10.
Windows 10 S: вместо инструментов сторонних разработчиков есть только приложения из Windows Store
Разрешение отдельных приложений
В качестве примера возьмем браузер Chrome и разрешим его запуск, сохраняя запрет на прочие сторонние приложения и консоли.
Создание правила для издателя
Правило Publisher будет опираться на сертификат издателя, которым подписан исполняемый файл браузера Chrome (см. также примечание Артема в комментариях по поводу правил Publisher и FilePublisher).
Командлет New-CIPolicy
умеет сканировать указанную папку и создавать правила в соответствии с заданными параметрами. Пример продолжает работу в папке temp.
New-CIPolicy -Level Publisher -ScanPath «C:Program Files (x86)GoogleChromeApplication» -FilePath ‘.AllowPolicy.xml’ -UserPE
Здесь задается уровень правил для издателя, а параметр UserPEs
обеспечивает применение политики к приложениям, запускаемым в режиме пользователя (без этого параметра защита блокирует запуск). По результатам сканирования создается файл
AllowPolicy.xml
, где в разделе Signers вы найдете правило для конкретного сертификата Symantec, которым подписан исполняемый файл Chrome.
Файл политик формируется для режима аудита, поэтому для форсирования надо удалить из него правило Enabled:Audit Mode.
Объединение и применение политик
Теперь нужно объединить три правила уже знакомым командлетом Merge-CIPolicy
. Команда та же, что и раньше, но в теперь список политик добавляется разрешающая:
Merge-CIPolicy -PolicyPaths ‘.DefaultWindows_Enforced.xml’,’.FilePolicy_Enforced.xml’, ‘.AllowPolicy.xml’ -OutputFilePath ‘.MergedPolicy.xml’
Создание файла политики из XML вы уже видели:
ConvertFrom-CIPolicy -XmlFilePath C:tempMergedPolicy.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b
В результате Chrome будет запускаться, а все сторонние приложения и консоли – блокироваться.
Тему разрешения запуска неподписанных приложений я оставляю вам для самостоятельного изучения
Особенности Windows 10 S
Поддержка программ. В то время как в Windows 10 может быть установлено любое количество сторонних программ, Windows 10 S позволяет загружать и использовать только приложения из Windows Store. Невозможно установить сторонние программы, которые вы могли бы в ином случае загрузить из Интернета.
Персонализация: одним из следствий отсутствия поддержки сторонних приложений стала невозможность персонализации. В частности, стандартный браузер и стандартная поисковая система в Windows 10 S не могут быть изменены. Поэтому вы должны довольствоваться Microsoft Edge и Bing.
Драйверы: отсутствие поддержки внешних инструментов до сих пор в некоторых случаях не позволяет использовать принтеры, жесткие диски и другие периферийные устройства. И это вполне объяснимо: большая часть аппаратного обеспечения требует установки собственных драйверов, что в данном случае не возможно.
Хотя Windows 10 S предоставляет подходящие драйверы почти для каждого устройства, они часто позволяют использовать только стандартные функции. На сегодняшний день в Windows Store уже есть много производителей подходящих приложений, которые обеспечивают «допоставку» большей части отсутствующего функционала.
Безопасность: ограниченная поддержка приложений может показаться странной, но имеет значительное преимущество. Windows уже давно стал системой, наиболее подверженной атакам вирусов и троянов. Такие вредоносные программы распространяются, в частности, через ПО, установленное из ненадежных источников.
Поскольку в Windows 10 S-Mode могут быть установлены только предварительно протестированные приложения из официального магазина, система может считаться более безопасной. Согласно Microsoft, Windows 10 S особенно хорошо подходит для школ и университетов, для которых часто действуют определенные ограничения и правила безопасности.
Скорость: Еще одним преимуществом версии Windows 10 S-Mode считается ее производительность. Особенно при слабом аппаратном обеспечении Windows 10 в режиме S намного быстрее, чем в «нормально» не урезанной версии. Время загрузки также заметно короче.
Но есть и недостатки: поскольку классические антивирусные программы не могут быть установлены, пользователи должны полагаться на Windows Defender, который нередко плохо показывает себя в различных тестах.
Блокировка отдельных приложений
Надо понимать, что в состав Windows входит немало приложений, с помощью которых можно выполнить произвольный код, даже если они для этого не предназначены. Формально Microsoft может не считать это уязвимостью, если нет повышения привилегий, но факт остается фактом.
Осмотрительные администраторы блокируют такие приложения с помощью SRP или AppLocker, но можно использовать и Device Guard.
Правила для файлов: пример запрета
Давайте посмотрим, как в S Mode блокируются CMD, PowerShell и прочие системные приложения, позволяющие выполнение кода. Документация перечисляет полный набор доступных уровней правил для файлов — от имени файла до издателя. На другой странице есть образец политики в формате XML, где содержатся правила для приложений, которые могут послужить для выполнения произвольного кода.
В списке нет консолей, но их несложно добавить. Скопируйте файл в текстовый редактор, и двигайтесь по нему сверху вниз.
Узел Rules
В узле Rules сформулированы общие правила Device Guard.
Enabled:UMCI
По умолчанию Device Guard форсирует только KMCI, a это правило включает UMCI (оно активно и в образце DefaultWindows_Enforced.xml). Форсирование UMCI переводит PowerShell 5.1 в режим Constrained Language, значительно снижая поверхность атаки. Это даже важнее, чем просто блокировка запуска powershell.exe, потому что злоумышленники могут задействовать PowerShell и другими способами.
Enabled:Audit Mode
Образец рассчитан на аудит. Если вы планируете форсировать политику, удалите правило.
Узел File Rules
Раздел содержит правила для файлов.
По порядку:
- ID
— идентификатор правила на ваше усмотрение. - FriendlyName
и
FileName
— имя файла, причем обойти политику переименованием файла не получится, поскольку отслеживание ведется на уровне имени в ресурсах файла (FileName). Замена ресурсов ломает цифровую подпись, что тоже ведет к блокировке. - MinimumFileVersion
— минимальная версия файла, которую
разрешает
политика. В примере указана максимально возможная версия, т.е. полный запрет. Но если, скажем, уязвимость есть в версии 3.2.1, а в версии 3.2.2 она исправлена, в политике можно указать 3.2.2.
Добавьте полный запрет на запуск консолей:
Узел Signers
Раздел содержит правила для подписей. В образце есть такой узел:
…
Здесь перечислены идентификаторы файловых правил, добавьте свои:
Сохраните файл с любым именем, например, FilePolicy_Enforced.xml
где-нибудь в C:temp.
Объединение и применение политик
Теперь надо объединить политику с правилами для файлов с общей политикой контроля кода. Тем самым будут блокироваться не только сторонние приложения, но и файлы из списка.
Я буду форсировать политику, и чтобы не набирать длинные пути, я скопировал в C:temp образец DefaultWindows_Enforced.xml. Для объединения используется командлет Merge-CIPolicy
.
cd c:temp Merge-CIPolicy -PolicyPaths ‘.DefaultWindows_Enforced.xml’,’.FilePolicy_Enforced.xml’ -OutputFilePath ‘.MergedPolicy.xml’
На выходе получается файл MergedPolicy.xml
, который теперь можно конвертировать в политику. Я сразу помещаю сформированный файл в системную папку.
ConvertFrom-CIPolicy -XmlFilePath C:tempMergedPolicy.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b
Результат после перезагрузки:
Работает! Конечно, на практике обязательно потребуется не только запретить что-то, но и разрешить какие-то приложения.
Как переключиться из режима S-Mode в Windows 10 Pro
Из S-Mode можно один раз выйти с помощью Windows Store
Если на вашем устройстве Windows 10 предварительно установлена в S-режиме, вы всегда можете бесплатно переключиться на обычную версию Windows. Но будьте осторожны: изменение нельзя будет отменить и оно часто связано с заметными потерями производительности. Поэтому такой переход следует хорошенько обдумать.
Если вы решили перейти на стандартную версию Windows, запустите на вашем компьютере Microsoft Store (Магазин приложений).
В правом верхнем углу панели поиска введите команду «Выключить режим S» (switch out s-mode). Затем нажмите на запись «Выключить S-режим» и следуйте дальнейшим инструкциям. После короткого времени конфигурации произойдет перезапуск Windows 10 в обычном режиме.
Создание простой блокирующей политики WDAC
В папке C:windowsschemascodeIntegrityExamplePolicies есть образцы форсирования (Enforce) и аудита (Audit) политик в формате XML. Там, кстати, есть и образец для HVCI.
Для примера выше я взял файл DefaultWindows_Enforced.xml
и преобразовал его в двоичный формат PKCS #7 с помощью командлета PowerShell
ConvertFrom-CIPolicy
.
ConvertFrom-CIPolicy -XmlFilePath C:windowsschemasCodeIntegrityExamplePoliciesDefaultWindows_Enforced.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b
Команда сразу помещает в системную папку сформированный файл политик, которые начинают применяться после перезагрузки.
Все срабатывания политики регистрируются в журнале событий: Журналы приложений и служб – Microsoft – Windows – Code Integrity. На картинке событие, которое заносится при запуске заблокированного приложения.
Для аудита воспользуйтесь файлом DefaultWindows_Audit.xml
. В этом случае ничего не блокируется, но в журнал вносится запись с информационным уровнем.
Линейка гаджетов Surface и новая Surface Arc Mouse
Если не считать сенсорного столика Surface из середины 2000-х, линейка устройств под этим брендом всерьёз начала формироваться корпорацией в 2012 году.
За это время вышло семь моделей планшетов (3 Surface и 4 Surface Pro), трансформер Surface Book и его более производительная версия Performance Base, огромная настенная сенсорная панель Surface Hub, сенсорный моноблок Surface Studio и вот теперь Surface Laptop. О смартфонах Surface пока ходят лишь слухи.
Также в линейку Surface входит немало аксессуаров. Умные чехлы со встроенной клавиатурой. Стилусы. В прошлом году к ним добавился цилиндрический Surface Dial, а на прошедшей презентации Microsoft показала новую мышь Surface Arc Mouse, которую можно сгибать. Цена $80.
Устройства Surface вызывают у пользователей немалый интерес. К примеру, выпущенный прошлой осенью официальный ролик с первой демонстрацией моноблока Surface Studio к сегодняшнему дню собрал на YouTube свыше 12 миллионов просмотров и почти 160 тысяч лайков.
В реальные продажи, впрочем, интерес пока не превращается. Согласно недавнему квартальному отчёту компании, продажи устройств под брендом Surface, которые и прежде не отличались особо крупными цифрами, с января по март нынешнего года по сравнению с аналогичным периодом 2020 снизились на 26%.
- Об авторе
- Недавние публикации
Raik
Игорь Андреев – автор статей для ITRew.ru и Our-Firefox.ru. Увлечен современными технологиями, рассказываю о них в своих текстах) Follow me — twitter.com
Raik недавно публиковал (посмотреть все)
- Galaxy S20 FE против S20, S10 и S10 Lite: что лучше? — 25.09.2020
- Все отличия Xbox Series S от Xbox One S и X по характеристикам. Что выбрать? — 23.09.2020
- Все отличия Apple Watch 6 от Watch SE, 5 и 4 — 20.09.2020
Расскажи другим:
- Нажмите, чтобы поделиться на Twitter (Открывается в новом окне)
- Нажмите здесь, чтобы поделиться контентом на Facebook. (Открывается в новом окне)
- Нажмите для печати (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Pinterest (Открывается в новом окне)
- Нажмите, чтобы поделиться в Telegram (Открывается в новом окне)
- Нажмите, чтобы поделиться в WhatsApp (Открывается в новом окне)