Kalian tahu nggak sih, pada hari Senin lalu, Microsoft mengumumkan sejumlah fitur keamanan baru yang keren untuk Windows 11 bersamaan dengan peluncuran deretan PC baru bertenaga Copilot. “Kami nggak hanya menambahkan fitur keamanan baru ke Windows 11, tapi juga memperkuat fitur keamanan yang akan langsung aktif secara default,” ungkap Microsoft dalam sebuah blog.
Daftar Isi
Menghadapi Ancaman Siber di Era Modern
Di zaman sekarang, menjaga keamanan siber tetap tajam adalah hal yang sangat penting. Menurut penelitian Microsoft, serangan kata sandi telah meningkat sebesar 3.378% menjadi lebih dari 4.000 per detik sejak 2015. Dengan meningkatkan perangkat keras dan perangkat lunak serta mengarahkan fitur-fitur tersebut kepada para pengembang, Microsoft berupaya membuat Windows lebih aman baik di tingkat perusahaan maupun individu.
Peningkatan Perangkat Keras
Untuk memulainya, Microsoft meningkatkan keamanan perangkat keras “langsung dari kotak” dengan memastikan semua PC Copilot+ akan menjadi perangkat Secured-core. “PC Secured-core memberikan perlindungan firmware canggih dan pengukuran root-of-trust dinamis untuk membantu melindungi dari chip hingga cloud,” tulis blog tersebut.
Baca lainnya: Microsoft Hadirkan Fitur Terjemahan Video Real-Time di Edge dalam Pembaruan Terbarunya
PC baru ini juga akan dilengkapi dengan Pluton — prosesor keamanan berbasis Zero Trust dari Microsoft — yang diaktifkan secara default, memastikan keamanan yang lebih bawaan sejak hari pertama. Pluton melindungi segala hal mulai dari kredensial dan data pribadi hingga kunci enkripsi, yang menurut Microsoft membuatnya “jauh lebih sulit untuk dihilangkan, bahkan jika seorang penyerang siber menginstal malware atau memiliki kepemilikan fisik atas PC.”
Selain itu, PC Copilot+ baru akan hadir dengan Windows Hello Enhanced Sign-in Security (ESS), yang menggantikan kata sandi biasa dengan opsi sign-in biometrik yang lebih aman. Menggunakan perangkat keras dan perangkat lunak khusus seperti keamanan berbasis virtualisasi (VBS) — lingkungan virtual terisolasi yang melindungi solusi keamanan dari kerentanan OS — dan Trusted Platform Module 2.0, ESS melindungi data biometrik dengan saluran komunikasi yang diperkuat.
Jika kamu nggak berencana untuk mendapatkan PC Copilot+, ESS juga tersedia di perangkat lain yang menjalankan Windows 11.
Pembaruan Perangkat Lunak
Microsoft akan mengaktifkan beberapa fitur baru Windows 11 secara default — alih-alih mengandalkan pelanggan individu untuk bertanggung jawab atas inisiatif keamanan mereka sendiri. Ini termasuk perisai malware, perlindungan kredensial, dan perlindungan aplikasi, yang menurut Microsoft mengurangi insiden sebesar 58% menurut laporan 2022.
Menurut pengumuman tersebut, otentikasi multifaktor tidak lagi cukup untuk mengalahkan penyerang siber, yang telah beradaptasi mengelilinginya. Microsoft menargetkan ini dengan beberapa pembaruan, termasuk perlindungan Local Security Authority (LSA). LSA mengotentikasi pengguna dan menangani kredensial untuk single sign-on (SSO); perlindungan LSA “mencegah LSA memuat kode yang tidak terpercaya dan mencegah proses yang tidak terpercaya mengakses memori LSA,” tulis blog tersebut.
Sebelumnya hanya aktif secara default untuk perangkat komersial, perusahaan sekarang mengaktifkan perlindungan LSA secara default untuk perangkat konsumen juga.
Microsoft juga akan menghentikan penggunaan NT LAN Manager (NTLNM), suite keamanan yang sudah usang dan dikenal dengan kerentanannya, akhir tahun ini untuk meningkatkan otentikasi pengguna.
Baca lainnya: Pertarungan PC-Mac Kembali Memanas dengan Kehadiran AI: Microsoft dan Apple di Era Komputer Pintar
Selain itu, perusahaan menggunakan VBS untuk meningkatkan perlindungan kunci dan memperkuat Windows Hello. Didukung oleh CPU perangkat, yang pertama berarti perlindungan yang lebih baik daripada keamanan berbasis perangkat keras; untuk yang kedua, Windows Hello sekarang dapat melindungi passkey dan mengisolasi kredensial dari “serangan tingkat admin” untuk perangkat yang tidak memiliki biometrik bawaan, menurut blog. Perlindungan kunci lanjutan sekarang tersedia dalam pratinjau publik untuk Windows Insiders.
Peningkatan Verifikasi Aplikasi
Microsoft juga mengumumkan kemampuan baru yang bertujuan untuk meningkatkan keamanan aplikasi untuk pengembang Windows, termasuk Smart App Control, yang menggunakan model AI yang dilatih pada 78 triliun sinyal keamanan untuk memprediksi apakah sebuah aplikasi aman. Fitur ini, yang tersedia dan aktif secara default di sistem tertentu, memungkinkan aplikasi yang dikenal berjalan sambil memblokir yang terhubung dengan malware.
Fitur lainnya, Trusted Signing, membantu sebuah aplikasi mempertahankan reputasi baik dengan Smart App Control melalui pembaruan “dengan mengelola setiap aspek dari siklus hidup sertifikat,” jelas rilis tersebut. Baru-baru ini dipindahkan ke pratinjau publik, fitur ini juga terintegrasi dengan Azure DevOps dan Github untuk penggunaan yang mulus.
Juga dalam pratinjau adalah isolasi aplikasi Win32, yang memudahkan pengembang aplikasi untuk membatasi kerusakan dan melindungi privasi pengguna jika terjadi pelanggaran. Fitur ini sekarang dapat digunakan dengan integrasi Visual Studio.
Selain itu, Microsoft meningkatkan keamanan admin dengan mempersempit cakupan kapan hak admin diterapkan pada perangkat. Jika sebuah aplikasi memerlukan izin tertentu, misalnya, fitur ini meminta persetujuan khusus dari pengguna, dan Windows Hello memudahkan untuk menyetujui atau menolak permintaan.
Baca lainnya: Pembaruan Terbaru ChatGPT-4o: Integrasi Cloud dan Interaksi dengan Grafik
“Windows sedang diperbarui untuk membutuhkan akses administratif tepat waktu ke kernel dan layanan penting lainnya sesuai kebutuhan, bukan sepanjang waktu, dan tentu saja tidak secara default,” kata perusahaan dalam rilisnya. Fitur ini sedang dalam pratinjau pribadi, tetapi Microsoft mengatakan akan diperluas ke pratinjau publik segera.
Perusahaan juga mengumumkan bahwa enclave VBS, yang membantu melindungi beban kerja sensitif, sekarang tersedia untuk pengembang aplikasi pihak ketiga. Pengguna dapat mencoba API enclave.
Penguatan Kode
Microsoft juga mengumumkan bahwa mereka memperkuat kode Windows untuk menghadapi peningkatan serangan. Mode Cetak Terlindungi Windows (WPP), yang mencegah pihak ketiga memuat driver, akan menjadi mode cetak default pada perangkat ke depannya.
Perusahaan juga melakukan peningkatan pada tips alat untuk meningkatkan keamanan dan mengurangi eksploitasi.
“Tanggung jawab untuk mengelola siklus hidup tips alat telah dialihkan ke aplikasi yang digunakan,” kata rilis tersebut. “Sekarang, kernel memantau aktivitas kursor dan memulai hitungan mundur untuk tampilan dan penyembunyian jendela tips alat. Ketika hitungan mundur ini selesai, kernel memberi tahu lingkungan tingkat pengguna untuk menghasilkan atau menghilangkan jendela tips alat.”
Microsoft juga mengumumkan bahwa otentikasi server lapisan transport (TLS), yang mengonfirmasi identitas server ke klien, mendapatkan peningkatan: Windows sekarang hanya akan mempercayai sertifikat TLS dengan kunci RSA 2048 bit atau lebih, sebagai lawan dari kunci enkripsi yang lebih lemah 1024 bit yang sebelumnya didukung secara default.
Peningkatan Pelanggan Komersial
Perusahaan juga membuat pembaruan khusus untuk pengguna komersial guna membantu membuat Windows lebih aman dalam lingkungan mereka, termasuk Config Refresh, Firewall, dan Personal Data Encryption (PDE).
Config Refresh memungkinkan admin “menetapkan jadwal untuk perangkat agar menerapkan ulang pengaturan kebijakan tanpa perlu check-in ke Microsoft Intune atau vendor manajemen perangkat seluler lainnya, membantu memastikan pengaturan tetap sesuai dengan yang dikonfigurasi oleh admin IT,” tulis blog tersebut. Penyegaran diatur setiap 90 menit secara default tetapi dapat dilakukan sesering interval 30 menit, dan dapat dijeda selama periode pemeliharaan atau pemecahan masalah.
Baca lainnya: Arc Browser: Penjelajah Baru yang Menghadirkan Inovasi untuk Pengguna Windows 11
Firewall Configuration Service Provider (CSP) Windows menerapkan aturan dengan pendekatan all-or-nothing. “Sebelumnya, jika CSP mengalami masalah dengan menerapkan aturan apa pun dari sebuah blok, CSP tidak hanya akan menghentikan aturan tersebut tetapi juga akan berhenti memproses aturan selanjutnya, meninggalkan potensi celah keamanan dengan blok aturan yang diterapkan sebagian,” jelas blog tersebut. “Sekarang, jika ada aturan dalam blok yang tidak dapat diterapkan dengan sukses ke perangkat, CSP akan menghentikan pemrosesan aturan berikutnya dan semua aturan dari blok atom yang sama akan digulung kembali, menghilangkan ambiguitas blok aturan yang diterapkan sebagian.”
PDE hanya mendekripsi data saat PC dibuka dengan Windows Hello for Business. Fitur ini, yang sekarang dalam pratinjau, mempertahankan dua tingkat perlindungan data dan dipasangkan dengan BitLocker untuk keamanan tambahan.
Zero Trust DNS, saat ini dalam pratinjau pribadi, memastikan perangkat Windows hanya terhubung ke tujuan jaringan yang disetujui dan memblokir lalu lintas IPv4 dan IPv6 keluar.
Dengan serangkaian fitur baru ini, Microsoft terus berinovasi dalam menjaga keamanan Windows 11 di tingkat tertinggi. Jadi, siap-siap untuk lebih aman bersama Windows 11!