Gesicherter Kern PCs sind seither in aller Munde Microsoft genehmigt diese Kategorie von PC, und obwohl sie gesagt haben, dass sie den Computer schützen vor Malware Angriffe mit ihrer Hardware, wissen nicht viele Leute, wie sie tatsächlich funktionieren. Aus diesem Grund erklären wir Ihnen in diesem Artikel alles, was Sie über diese Kategorie von Secured Core-PCs wissen müssen, damit Sie sie leicht verstehen.
Microsoft hat die Kategorie Secured Core PC mit Sicherheitstechnologien genehmigt, die in Zusammenarbeit mit führenden PC-Herstellern und Siliziumchip-Herstellern entwickelt wurden. Diese PC-Typen wurden entwickelt, um hartnäckige Malware-Angriffe zu vereiteln, insbesondere solche, die auf Schwachstellen außerhalb der Kontrollrechte des Sicherheitsrings der Ebene 0 (auf Systemkernel-Ebene) abzielen, wie Malware, die die Firmware betrifft und weit über die Zugriffsebene eines normaler Benutzer.
Dies ist die Definition von Microsoft, aber was genau sind Secured Core PCs und wie funktionieren sie? Mal sehen.
Was ist ein Secured Core-PC?
Die Hardwarekomponenten von Secured-Core-PCs arbeiten in einer ganzheitlichen, fusionierten Struktur, um die Integrität der System-Firmware, -Hardware und sogar deren Software zu gewährleisten. Maschinen sind besonders wichtig für Organisationen wie Unternehmen, Banken, Krankenhäuser und staatliche Einrichtungen, die regelmäßig mit sensiblen Daten umgehen.
Insbesondere werden diese PCs mit aktivierten Schutzfunktionen ausgeliefert, die nur von einem auf die jeweiligen Chips spezialisierten Ingenieur deaktiviert werden können. Microsoft hat mit Herstellern wie z Intel, AMD, und Qualcomm, um dedizierte CPU Chips, um Integritätsprüfungen durchzuführen, und nach der Integration in die Hauptplatine diese Chips handhaben Sicherheitsprotokolle, die im Allgemeinen nur auf Firmware basieren.
Der Verifizierungsprozess beinhaltet die Authentifizierung von kryptografischen Hashes, um die Integrität des Codes zu erhalten, weshalb unbedingt spezielle Chips verwendet werden, damit sie keine Ressourcen der Haupt-CPU des Systems verbrauchen und daher keine negativen Auswirkungen haben auf Leistung.
Wie funktionieren Secure Core-PCs?
Secure-Core-PCs sind darauf ausgelegt, alle Vorgänge während und nach dem Startvorgang zu authentifizieren; Da die Systemanmeldeinformationen isoliert und gesperrt sind, um die kryptografischen Hashes zu schützen, kann Malware, die versucht, kritische Systemprotokolle zu übernehmen, die Authentifizierungstoken in keiner Weise wiederherstellen und kann daher nicht wirksam werden. .
Diese Sicherheit wird ermöglicht durch Windows HyperVisor Code Integrity (HVCI) und virtualisierungsbasiert Sicherheit (VBS, aber nicht zu verwechseln mit Visual Basic Script, das von Windows verwendet wird). HVCI arbeitet unter VBS und arbeitet an der Verbesserung der Codeintegrität, sodass nur verifizierte Prozesse durch den Kernelspeicher des Systems laufen können. Diese Sicherheitsstufe ist die niedrigste Stufe und hat daher Vorrang vor jeglicher Software und sogar Hardware.
VBS verwendet hardwarebasierte Virtualisierung, um sichere Speichersektoren vom Betriebssystem zu isolieren. Durch VBS ist es möglich, wichtige Sicherheitsprozesse gegen Kompromittierung zu isolieren. Dies ist wichtig, um Schäden zu begrenzen oder zu vermeiden, da viele Malware hochprivilegierte Systemkomponenten direkt angreift.
Darüber hinaus verwenden Secured Core-PCs den virtuellen abgesicherten Modus (VSM) von Microsoft; Dies dient dem Schutz wichtiger Daten wie Benutzeranmeldeinformationen innerhalb von Windows, und das bedeutet, dass im seltenen Fall, dass Malware den Systemkern kompromittiert, diese unter keinen Umständen auf die Systemanmeldeinformationen zugreifen kann und daher der Schaden, den sie verursachen kann, enorm begrenzt ist .
VSM kann in solchen Fällen neue Sicherheitszonen innerhalb des Betriebssystems erstellen und die Isolation durch Virtual Trust Levels (VTL) aufrechterhalten, die auf Systempartitionsebene arbeiten. Auf Secured Core-PCs hostet VSM Sicherheitsabschreckungslösungen wie Credential Guard, Devide Guard und das virtuelle Trusted Platform Module (TPM).
Der Zugriff auf diese hochgehärteten VSM-Sektoren wird nur vom Systemadministrator gewährt, der auch den Prozessor in der am Start beteiligten Memory Management Unit (MMU) und der Input/Output Memory Management Unit (IOMMU) steuert. Microsoft verfügt jedoch bereits über umfangreiche Erfahrung in der Entwicklung hardwarebasierter Sicherheitslösungen, und seine Xbox Konsolen zeugen davon.
Zu den aktuellen Microsoft Secure Core-Partnern zählen Hersteller wie Dell, Lenovo Dynabook, HP, Getac, Fujitsu, Acer, Asus, Panasonic, und das Microsoft Surface-Segment des Unternehmens, das PCs für Profis gewidmet ist.
Zusätzliche Sicherheitsvorkehrungen gegen Malware
Secured Core PCs verfügen zwar über umfangreiche hardwarebasierte Sicherheitsverbesserungen, benötigen jedoch auch eine Vielzahl von softwarebasierten Supportsystemen, um einen umfassenden Schutz zu bieten. Sie fungieren als erste Sicherheitslinie bei einem Malware-Angriff, aber es gibt offensichtlich keine Definition von „nicht hackbar“, sodass sie etwas „Hilfe“ von der Software benötigen.
Ein primäres softwarebasiertes Abschreckungsmittel ist Windows Defender, das System Guard Secure Launch implementiert; Es ist zum ersten Mal in Windows 10 verfügbar und verwendet das Protokoll Dynamic Root of Trust for Measurement (DRTM), um Bootprozesse in nicht überprüftem Code beim Start zu initiieren. Kurz darauf übernimmt es alle Prozesse und stellt sie in einen vertrauenswürdigen Zustand wieder her, wodurch Startprobleme vermieden werden, wenn der UEFI-Code manipuliert wurde, aber seine Integrität beibehält.
Für einen absolut sicheren Start wird Windows 10 mit dem S-Modus geliefert, der die CPU-Leistung und -Sicherheit verbessern soll. In diesem Modus kann Windows nur digital signierte Anwendungen aus dem Windows Store laden und das Surfen im Internet ist auf Microsoft beschränkt Edge; Dies ist ein extrem restriktiver Modus, aber nur so kann maximale Sicherheit gewährleistet werden. Dies ist besonders wichtig, wenn Sie vermuten, dass Ihr Computer mit Malware infiziert ist.
