Počítače se zabezpečeným jádrem jsou třídou počítačů určených k maření zejména trvalých útoků škodlivého softwaru ty, které se zaměřují na zranitelná místa mimo ochranu Ovládací oprávnění Ring 0, jako je firmware malware. Oprávnění jsou nad rámec toho, k čemu by měl běžný uživatel přístup.
Společnost Microsoft schválila tuto kategorii počítačů bezpečnostními technologiemi vyvinutými ve spolupráci s hlavními výrobci počítačů a prodejci silikonových čipů. Co přesně jsou to počítače se zabezpečeným jádrem? A proč by ji mohli používat velké podniky?
Proč jsou zabezpečené počítače tak bezpečné?
Komponenty na zabezpečených počítačích pracují v holistické sloučené struktuře, aby zajistily integritu firmwaru, hardwaru a softwaru. Tyto stroje jsou zvláště důležité pro organizace, jako jsou podniky, banky, nemocnice a státní instituce, které pravidelně zpracovávají citlivá data.
Zejména jsou dodávány s povolenými ochranami, které mohou vypnout pouze autorizovaní odborníci od příslušných prodejců čipů.
Společnost Microsoft spolupracovala s výrobci čipů, jako jsou Intel, AMD a Qualcomm, na vývoji procesorových čipů určených pro běh kontroly integrity pro počítače se zabezpečeným jádrem. Jakmile jsou čipy integrovány do základní desky, zpracovávají bezpečnostní protokoly, na které se obvykle spoléhají firmware.
Proces ověřování zahrnuje ověřování kryptografických hodnot hash pro zachování integrity kódu.
Jak počítače se zabezpečeným jádrem zabraňují malwaru firmwaru
Počítače se zabezpečeným jádrem jsou navrženy tak, aby ověřovaly všechny operace spojené s procesem spouštění a po něm. Vzhledem k tomu, že jejich systémová pověření jsou izolována a uzamčena pro zabezpečení kryptografických hashů, malware, který se pokouší převzít kritické systémové protokoly, není schopen načíst tokeny ověřování.
Tato úroveň zabezpečení je možná díky Windows HyperVisor Code Integrity (HVCI) a virtualizačnímu zabezpečení (VBS). HVCI pracuje pod VBS a pracuje na zlepšení integrity kódu tak, aby se prostřednictvím paměti jádra prováděly pouze ověřené procesy.
VBS využívá virtualizaci založenou na hardwaru k izolaci bezpečných sektorů paměti od operačního systému. Prostřednictvím VBS je možné vyloučit zásadní bezpečnostní procesy, aby se zabránilo jejich ohrožení. To je důležité, když se snažíte omezit poškození, zejména při řešení malwaru, který cílí na systémové komponenty s vysokými oprávněními.
Počítače se zabezpečeným jádrem navíc využívají virtuální zabezpečený režim (VSM) společnosti Microsoft. To funguje na ochranu důležitých dat, jako jsou pověření uživatele v systému Windows. To znamená, že ve výjimečných případech, kdy malware kompromituje jádro systému, je poškození omezené.
VSM může během takových instancí vytvářet nové zóny zabezpečení v operačním systému a udržovat izolaci prostřednictvím úrovní virtuálního důvěryhodnosti (VTL), které fungují na úrovni jednotlivých oddílů.
V počítačích se zabezpečeným jádrem hostuje VSM řešení pro odstrašení zabezpečení, jako je Credential Guard, Device Guard a virtuální modul Trusted Platform Module (TPM).
Přístup k těmto vysoce opevněným sektorům VSM poskytuje pouze správce systému, který také ovládá paměť Procesor Management Unit (MMU) a také jednotka správy vstupně-výstupní paměti (IOMMU), která je součástí bootování.
Společnost Microsoft již má s vytvářením hardwarových bezpečnostních řešení značné zkušenosti; bašta Xbox o tom svědčí.
Příbuzný: Jak překonfigurovat program Windows Defender pro lepší zabezpečení počítače
Mezi současné partnery společnosti Microsoft se zabezpečeným jádrem patří společnosti Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic a vlastní segment společnosti Microsoft Surface, který se zabývá osobně počítače.
Další zabezpečená jádra pro PC
Zatímco počítače se zabezpečeným jádrem mají rozsáhlá hardwarová posílení zabezpečení, vyžadují také řadu softwarových bezpečnostních pomocných zařízení. Fungují jako první obranná linie během útoku malwaru.
Jedním z hlavních softwarových odstrašujících prostředků je Windows Defender, který implementuje System Guard Secure Launch. Nejprve k dispozici ve Windows 10, používá protokol Dynamic Root of Trust for Measurement (DRTM) ke spuštění spouštěcích procesů do neověřeného kódu při spuštění.
Brzy poté uchopí všechny procesy a obnoví je do důvěryhodného stavu. To pomáhá předcházet problémům se zaváděním, pokud došlo k neoprávněné manipulaci s kódem UEFI, a zachovává integritu kódu.
Pro absolutně bezpečné zavedení Windows 10 přichází s režimem S, který je navržen tak, aby zlepšil zabezpečení a výkon procesoru. V tomto režimu může Windows načítat pouze podepsané aplikace z Microsoft Storu. Prohlížení v tomto stavu je omezeno na používání Microsoft Edge.
Příbuzný: Jak používat dětský režim v Microsoft Edge k zajištění bezpečnosti dětí
Uživatelé počítačů se zabezpečeným jádrem mohou také zvýšit zabezpečení počítače pomocí Windows Defender Application Control (WDAC) k omezení ovladačů, které mohou běžet v systému Windows 10. Tato funkce implementuje zásady ovladače a softwaru umožňující provozovat pouze důvěryhodné aplikace.
Windows Hello je další funkce potřebná ke zvýšení zabezpečení počítačů se zabezpečeným jádrem. Využívá funkce rozpoznávání obličeje, PIN a odemykání otisků prstů k posílení zabezpečení přihlášení.
Windows Hello spoléhá na specializovaný biometrický hardware, který zahrnuje čtečku otisků prstů a infračervené senzory. Hardware využívá k zabezpečení pověření technologii Trusted Platform Module (TPM).
Proč se Microsoft rozhodl vyvíjet zabezpečené počítače
Společnost Microsoft investovala značné množství peněz do výzkumu a vývoje zabezpečených PC. Následují některé z důvodů, proč společnost upřednostnila bezpečnostní projekt.
Potřeba chránit firmy před malwarem firmwaru
Kybernetické bezpečnostní hrozby se vyvíjejí a podle a Zpráva společnosti Microsoft, útoky jsou čím dál sofistikovanější. Zdůrazňuje závěry studie provedené v roce 2021 a odhaluje, že více než 80 procent podniků v rozvinutém světě zažilo v posledních dvou letech útok na firmware.
To znamená, že mnoho podniků po celém světě je zranitelných vůči schématům využívajícím malware firmwaru.
Využití firmwaru je velmi těžké odhalit a odstranit, jakmile se dostane do rukou systému. Většina počítačů navíc sdílí stejný kód BIOSuA tak mohou být mezery firmwaru odkryté skupinami hackerů využity proti milionům počítačů po celém světě bez ohledu na jejich značku nebo dodavatele, a proto je potřeba zabezpečených PC.
Počítače se zabezpečeným jádrem řeší problémy s periferním firmwarem
Zařízení s nepodepsaným firmwarem představují u standardních počítačů hlavní bezpečnostní problémy. Periferní zařízení, jako jsou webové kamery, jsou notoricky známé pro provozování neobvyklého firmwaru, který lze použít ke špehování uživatelů. Jejich ovladače lze také aktualizovat bez souhlasu klienta, čímž se zvyšuje riziko, že k tomu dojde.
Nedostatek harmonizovaných průmyslových bezpečnostních standardů je jedním z hlavních důvodů, proč na ně hackeři útočí během útoků. Mezi zranitelná zařízení v současnosti patří touchpady, adaptéry Wi-Fi, webové kamery a rozbočovače USB. U většiny z nich chybí kryptografický hash a ověření firmwaru, které se používají v zabezpečených počítačích.
Problémy s harmonizací jejich bezpečnostní infrastruktury znamenají, že mezera pravděpodobně zůstane otevřená po mnoho let. Počítače se zabezpečeným jádrem jsou v současné době nejlepší volbou pro organizace, které se chtějí těmto bezpečnostním mezerám vyhnout.
Microsoft pracuje na dalších řešeních zabezpečení firmwaru
Zatímco společnost Microsoft vytvořila počítače se zabezpečeným jádrem, které by zmařily malware firmwaru, pracuje také na nástrojích, které pomáhají snižovat útoky na standardních počítačích. Jeho nedávná akvizice společnosti ReFirm Labs, vývojáře integrovaného skeneru integrity open-source firmwaru Binwalk, je krokem tímto směrem.
Očekává se, že technologický gigant v blízké budoucnosti vyvine více souvisejících řešení.
Microsoft Defender je schopný antivirus. Ale je to nejlepší volba pro váš počítač v roce 2021?
Přečtěte si další
- Okna
- Vysvětlení technologie
- Bezpečnostní
- Zabezpečení počítače
- Malware
Samuel Gush je technický spisovatel MakeUseOf. V případě jakýchkoli dotazů jej můžete kontaktovat prostřednictvím e-mailu na adrese [email protected].
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.
