Core securizat De atunci, computerele sunt pe buzele tuturor Microsoft au aprobat această categorie de PC-uri și, deși au spus că protejează computerul de malware atacuri folosind hardware-ul lor, nu mulți oameni știu cum funcționează de fapt. Din acest motiv, în acest articol vă vom spune tot ce trebuie să știți despre această categorie de PC-uri Secured Core, astfel încât să o înțelegeți cu ușurință.
Microsoft a aprobat categoria Secured Core PC cu tehnologii de securitate dezvoltate împreună cu principalii producători de PC-uri și furnizori de cipuri de siliciu. Aceste tipuri de PC-uri sunt concepute pentru a contracara atacurile malware persistente, în special cele care vizează vulnerabilitățile în afara privilegiilor de control de nivel de inel de securitate 0 (la nivelul nucleului de sistem), cum ar fi malware-ul care afectează firmware-ul care depășește cu mult nivelul de acces al unui utilizator normal.
Aceasta este definiția pe care Microsoft a dat-o, dar ce sunt exact PC-urile Secured Core și cum funcționează acestea? Să vedem.
Ce este un PC securizat de bază?
Componentele hardware ale PC-urilor Secured Core funcționează într-o structură holistică amalgamată pentru a asigura integritatea firmware-ului, hardware-ului și chiar software-ului acestuia. Mașinile sunt deosebit de importante pentru organizații precum companii, bănci, spitale și instituții de stat care gestionează în mod regulat date sensibile.
În special, aceste PC-uri sunt livrate cu protecții activate astfel încât numai un inginer specializat în cipurile specifice să le poată dezactiva. Microsoft a colaborat cu producători precum Intel, AMD, și Qualcomm să dezvolte dedicat Procesor cipuri pentru a rula verificări de integritate și odată integrate în Plăci de bază aceste cipuri gestionează protocoale de securitate care, în general, se bazează doar pe firmware.
Procesul de verificare implică autentificarea hashurilor criptografice pentru a menține integritatea codului, motiv pentru care sunt utilizate neapărat cipuri specializate, astfel încât să nu consume resurse ale procesorului principal al sistemului și, prin urmare, să nu existe impact negativ pe performanță.
Cum funcționează computerele securizate de bază?
PC-urile securizate sunt concepute pentru a autentifica toate operațiunile implicate în timpul și după procesul de boot; Deoarece acreditările de sistem sunt izolate și blocate pentru a proteja hashurile criptografice, malware-ul care încearcă să preia protocoalele de sistem critice nu va putea recupera în niciun fel jetoanele de autentificare și, prin urmare, este imposibil ca acesta să aibă efect. .
Acest nivel de securitate este posibil de către ferestre din Integritatea codului HyperVisor (HVCI) și bazată pe virtualizare Securitate (VBS, dar nu trebuie confundat cu Visual Basic Script folosit de Windows). HVCI funcționează sub VBS și lucrează pentru a îmbunătăți integritatea codului, astfel încât numai procesele verificate să poată rula prin memoria kernel a sistemului. Acest nivel de securitate este la cel mai scăzut nivel și, prin urmare, are prioritate față de orice software și chiar hardware.
VBS utilizează virtualizarea bazată pe hardware pentru a izola sectoarele de memorie securizate de sistemul de operare. Prin VBS este posibil să se izoleze procesele de securitate vitale pentru a preveni compromiterea acestora, iar acest lucru este important atunci când vine vorba de limitarea sau evitarea daunelor, deoarece există multe programe malware care atacă direct componentele sistemului extrem de privilegiate.
În plus, PC-urile Secured Core utilizează modul virtual de siguranță (VSM) Microsoft; Acest lucru funcționează pentru a proteja datele esențiale, cum ar fi acreditările de utilizator din Windows, iar acest lucru înseamnă că, în cazul rar în care malware-ul compromite nucleul sistemului, în niciun caz nu va putea accesa acreditările sistemului și, prin urmare, este limitat enorm de mult daunele pe care le poate provoca. .
VSM poate crea noi zone de securitate în cadrul sistemului de operare în timpul acestor instanțe și poate menține izolarea prin nivelurile de încredere virtuală (VTL) care funcționează la nivelul partiției de sistem. Pe computerele securizate de bază, VSM găzduiește soluții de descurajare a securității, cum ar fi Credential Guard, Devide Guard și Virtual Trusted Platform Module (TPM).
Accesul la aceste sectoare VSM extrem de întărite este acordat numai de administratorul de sistem, care controlează și procesorul din Unitatea de gestionare a memoriei (MMU) și Unitatea de gestionare a memoriei de intrare / ieșire (IOMMU) care participă la start. Acestea fiind spuse, Microsoft are deja o experiență semnificativă în crearea de soluții de securitate bazate pe hardware și a acestuia Xbox consolele mărturisesc acest lucru.
Partenerii actuali Microsoft Secure Core includ producători precum Dell, Lenovo Dynabook, HP, Getac, Fujitsu, Acer, Asus, Panasonic, și segmentul Microsoft Surface al companiei dedicat PC-urilor concepute pentru profesioniști.
Măsuri de protecție suplimentare împotriva malware-ului
În timp ce PC-urile Secured Core au îmbunătățiri extinse de securitate bazate pe hardware, acestea necesită, de asemenea, o mare varietate de sisteme de asistență bazate pe software, pentru a oferi o protecție cuprinzătoare. Acestea funcționează ca prima linie de apărare a securității în timpul unui atac malware, dar, evident, nu există o definiție a „nepotrivit”, așa că au nevoie de „ajutor” din software.
Un element principal de descurajare bazat pe software este Windows Defender, care implementează System Guard Secure Launch; Disponibil pentru prima dată în Windows 10, folosește protocolul Dynamic Root of Trust for Measurement (DRTM) pentru a iniția procesele de boot în cod neconfirmat la pornire. La scurt timp, preia toate procesele și le restabilește într-o stare de încredere, ajutând la evitarea problemelor de pornire dacă codul UEFI a fost modificat, dar își păstrează integritatea.
Pentru o pornire complet sigură, Windows 10 vine cu modul S, conceput pentru a îmbunătăți performanța și securitatea procesorului. În acest mod, Windows poate încărca numai aplicații semnate digital din Magazinul Windows, iar navigarea pe Internet este limitată la Microsoft Margine; Este un mod extrem de restrictiv, dar este singura modalitate de a garanta securitatea maximă, ceea ce este deosebit de important dacă credeți că computerul dvs. poate fi infectat de malware.
