PC com núcleo seguro: como funciona contra malware

PC com núcleo seguro

Núcleo Seguro PCs estão na boca de todos desde Microsoft aprovou esta categoria de PC, e embora eles tenham dito que protegem o computador de malwares ataques usando seu hardware, muitas pessoas não sabem como eles realmente funcionam. Por esse motivo, neste artigo, vamos contar tudo o que você precisa saber sobre esta categoria de PCs com núcleo seguro para que você entenda facilmente.

A Microsoft aprovou a categoria Secured Core PC com tecnologias de segurança desenvolvidas em conjunto com os principais fabricantes de PCs e fornecedores de chips de silício. Esses tipos de PCs são projetados para impedir ataques de malware persistentes, especialmente aqueles que visam vulnerabilidades fora dos privilégios de controle de nível 0 do anel de segurança (no nível do kernel do sistema), como malware que afeta o firmware que está muito além do nível de acesso de um usuário normal.

Esta é a definição que a Microsoft deu, mas o que exatamente são Secured Core PCs e como eles funcionam? Vamos ver isso.

O que é um PC com núcleo seguro?

cabouqueiro

Os componentes de hardware dos PCs Secured Core operam em uma estrutura holística combinada para garantir a integridade do firmware do sistema, hardware e até mesmo seu software. As máquinas são particularmente importantes para organizações como empresas, bancos, hospitais e instituições estaduais que lidam regularmente com dados confidenciais.

Em particular, esses PCs são fornecidos com proteções habilitadas de tal forma que apenas um engenheiro especializado nos chips específicos será capaz de desabilitá-los. A Microsoft colaborou com fabricantes como Intel, AMDe a Qualcomm para desenvolver CPU chips para executar verificações de integridade, e uma vez integrados ao motherboard esses chips lidam com protocolos de segurança que geralmente dependem apenas de firmware.

O processo de verificação envolve a autenticação de hashes criptográficos para manter a integridade do código, razão pela qual são obrigatoriamente utilizados chips especializados, para que não consumam recursos da CPU principal do sistema e, portanto, não haja impacto negativo no desempenho.

Como funcionam os PCs Secure Core?

PC Core seguro

Os PCs com núcleo seguro são projetados para autenticar todas as operações envolvidas durante e após o processo de inicialização; Como as credenciais do sistema são isoladas e bloqueadas para proteger os hashes criptográficos, o malware que tenta assumir o controle de protocolos críticos do sistema não será capaz de recuperar os tokens de autenticação de forma alguma e, portanto, é impossível que tenha efeito. .

Este nível de segurança é possibilitado por Windows HyperVisor Code Integrity (HVCI) e virtualização baseada Segurança (VBS, mas não deve ser confundido com o Visual Basic Script usado pelo Windows). HVCI opera sob VBS e trabalha para melhorar a integridade do código de forma que apenas processos verificados possam ser executados na memória kernel do sistema. Esse nível de segurança está no nível mais baixo e, portanto, tem precedência sobre qualquer software e até mesmo hardware.

O VBS usa virtualização baseada em hardware para isolar setores de memória seguros do sistema operacional. Por meio do VBS, é possível isolar processos de segurança vitais para evitar que sejam comprometidos, e isso é importante quando se trata de limitar ou evitar danos, já que existem muitos malwares que atacam diretamente componentes de sistema altamente privilegiados.

Além disso, os PCs Secured Core usam o Virtual Safe Mode (VSM) da Microsoft; Isso funciona para proteger dados cruciais, como credenciais de usuário dentro do Windows, e isso significa que, no raro evento em que o malware compromete o kernel do sistema, ele não será capaz de acessar as credenciais do sistema em nenhuma circunstância e, portanto, é extremamente limitado os danos que pode causar .

CPU Seguridad

VSM pode criar novas zonas de segurança dentro do sistema operacional durante tais instâncias e manter o isolamento por meio de Níveis de Confiança Virtual (VTL) que operam no nível de partição do sistema. Em PCs Secured Core, o VSM hospeda soluções de dissuasão de segurança, como Credential Guard, Devide Guard e Virtual Trusted Platform Module (TPM).

O acesso a esses setores VSM altamente protegidos é concedido apenas pelo administrador do sistema, que também controla o processador na Unidade de Gerenciamento de Memória (MMU) e a Unidade de Gerenciamento de Memória de Entrada / Saída (IOMMU) que participam da inicialização. Dito isso, a Microsoft já tem experiência significativa na criação de soluções de segurança baseadas em hardware, e seu Xbox consoles testemunham isso.

Os atuais parceiros do Microsoft Secure Core incluem fabricantes como Dell, Lenovo Dynabook, HP, Getac, Fujitsu, Acer, Asus, Panasonice o segmento Microsoft Surface da empresa dedicado a PCs projetados para profissionais.

Proteções adicionais contra malware

Edição de computador inalável

Embora os PCs Secured Core tenham amplos aprimoramentos de segurança baseados em hardware, eles também exigem uma ampla variedade de sistemas de suporte baseados em software para fornecer proteção abrangente. Eles funcionam como a primeira linha de defesa de segurança durante um ataque de malware, mas obviamente não existe uma definição de “não hackável”, portanto, eles precisam de alguma “ajuda” do software.

O principal impedimento baseado em software é o Windows Defender, que implementa o System Guard Secure Launch; Disponível pela primeira vez no Windows 10, ele usa o protocolo Raiz Dinâmica de Confiança para Medição (DRTM) para iniciar processos de inicialização em código não verificado na inicialização. Logo depois, ele assume todos os processos e os restaura para um estado confiável, ajudando a evitar problemas de inicialização se o código UEFI for adulterado, mas mantém sua integridade.

Para uma inicialização totalmente segura, o Windows 10 vem com o modo S, que foi projetado para melhorar o desempenho e a segurança da CPU. Nesse modo, o Windows só pode carregar aplicativos assinados digitalmente da Windows Store, e a navegação na Internet é limitada à Microsoft borda; É um modo extremamente restritivo, mas é a única forma de garantir a segurança máxima, o que é especialmente importante se você acha que seu computador pode estar infectado por malware.