A biztonságos magú PC-k a számítógépek olyan osztálya, amelyeket különösen a tartós kártevő-támadások megakadályozására terveztek azok, amelyek a védelemen kívüli sebezhetőségeket célozzák meg, a 0 gyűrű vezérli a privilégiumokat, például a firmware-t rosszindulatú. A jogosultságok meghaladják azokat, amelyeket egy rendszeres felhasználó elérhet.

A Microsoft a PC-k ezen kategóriáját a nagyobb PC-gyártókkal és szilícium-chip-gyártókkal közösen kifejlesztett biztonsági technológiákkal szankcionálta. Mi tehát pontosan a biztonságos magú PC? És miért használhatják a nagyvállalkozások?

Miért olyan biztonságosak a biztonságos magú PC-k?

A biztonságos magú PC-k összetevői holisztikus, összevont struktúrában működnek a firmware, a hardver és a szoftver integritásának biztosítása érdekében. A gépek különösen fontosak olyan szervezetek számára, mint a vállalkozások, bankok, kórházak és állami intézmények, amelyek rendszeresen kezelnek bizalmas adatokat.

Különösen engedélyezett védelemmel vannak ellátva, amelyeket csak a megfelelő chipgyártók felhatalmazott szakemberei kapcsolhatnak ki.

instagram viewer

A Microsoft együttműködött olyan chipgyártókkal, mint az Intel, az AMD és a Qualcomm a futásnak szánt CPU chipek fejlesztésében a biztonságos magú PC-k integritásának ellenőrzése. Miután beágyazódott az alaplapba, a chipek olyan biztonsági protokollokat kezelnek, amelyekre általában támaszkodnak firmware.

Az ellenőrzési folyamat magában foglalja a kriptográfiai kivonatok hitelesítését a kód integritásának fenntartása érdekében.

Hogyan védik a biztonságos magú PC-k a firmware rosszindulatú programjait

A biztonságos magú számítógépeket úgy tervezték, hogy hitelesítsék az összes műveletet az indítás során és után. Mivel a rendszerük hitelesítő adatait elkülönítették és a kriptográfiai hashok biztonságos rögzítéséhez szükségesek, a kritikus rendszerprotokollok átvételét megkísérlő rosszindulatú programok nem képesek lekérni a hitelesítési tokeneket.

Ezt a biztonsági szintet a Windows HyperVisor Code Integrity (HVCI) és a virtualizációs alapú biztonság (VBS) teszi lehetővé. A HVCI a VBS alatt működik, és a kódintegritás javításán dolgozik, így csak a kernelmemórián keresztül hajtanak végre ellenőrzött folyamatokat.

A VBS hardver alapú virtualizációt használ a biztonságos memóriaszektorok elkülönítésére az operációs rendszertől. A VBS-en keresztül el lehet zárni a létfontosságú biztonsági folyamatokat annak megakadályozása érdekében, hogy azok veszélybe kerüljenek. Ez fontos, ha megpróbáljuk korlátozni a károkat, különösen akkor, ha olyan rosszindulatú programokkal foglalkozunk, amelyek nagy jogosultsággal rendelkező rendszerelemeket céloznak meg.

Ezenkívül a biztonságos magú számítógépek a Microsoft virtuális biztonságos módját (VSM) használják. Ez a létfontosságú adatok, például a felhasználói hitelesítő adatok védelmét szolgálja a Windows rendszerben. Ez azt jelenti, hogy abban a ritka esetben, amikor a rosszindulatú program veszélyezteti a rendszermagot, a kár korlátozott.

Az ilyen esetek során a VSM új biztonsági zónákat hozhat létre az operációs rendszeren belül, és fenntarthatja a szigetelést a virtuális megbízhatósági szinteken (VTL) keresztül, amelyek partíciónként működnek.

A biztonságos magú PC-kben a VSM olyan biztonsági elrettentő megoldásokat üzemeltet, mint a Credential Guard, az Device Guard és a virtuális Trusted Platform Module (TPM).

Ezekhez a rendkívül erősített VSM szektorokhoz kizárólag a memória vezérlését biztosító rendszergazda biztosítja a hozzáférést MMU processzor, valamint a bemenet-kimenet memória kezelő egység (IOMMU), amely részt vesz a indítás.

Ennek ellenére a Microsoftnak már jelentős tapasztalata van hardveralapú biztonsági megoldások létrehozásában; az Xbox védőbástyája erről tanúskodik.

Összefüggő: A Windows Defender újrakonfigurálása a számítógép jobb biztonsága érdekében

A Microsoft jelenlegi biztonsági magokkal rendelkező partnerei közé tartozik a Dell, a Dynabook, a Lenovo, a HP, a Getac, a Fujitsu, az Acer, Az Asus, a Panasonic és a vállalat saját Microsoft Surface szegmense, amely személyes ügyekkel foglalkozik számítógépek.

További Secured-Core PC biztosítékok

Míg a biztonságos magú PC-k kiterjedt hardver alapú biztonsági megerősítéssel rendelkeznek, a szoftver alapú biztonsági segédeszközökre is szükségük van. Az első védelmi vonalként működnek egy rosszindulatú program támadása során.

Az egyik legfőbb szoftveralapú elrettentő tényező a Windows Defender, amely a System Guard biztonságos indítását valósítja meg. Először a Windows 10-ben tette elérhetővé, és a Dynamic Root of Trust for Measurement (DRTM) protokollt használja az indítási folyamatok ellenőrzése nélküli kódba indításához az indításkor.

Röviddel ezután minden folyamatot kézbe vesz és helyreállítja őket megbízható állapotba. Ez segít megelőzni az indítási problémákat, ha az UEFI kódot megváltoztatták, és fenntartja a kód integritását.

Az abszolút biztonságos indítás érdekében a Windows 10 S módot tartalmaz, amelyet a biztonság és a CPU teljesítményének növelésére terveztek. Ebben a módban a Windows csak az aláírt alkalmazásokat töltheti be a Microsoft Store-ból. A böngészés ebben az állapotban a Microsoft Edge használatára korlátozódik.

Összefüggő: Hogyan használjuk a Gyerekek módot a Microsoft Edge-ben a gyermekek biztonságának megőrzéséhez

A biztonságos magú PC-felhasználók a Windows Defender Application Control (WDAC) használatával is növelhetik a számítógép biztonságát a Windows 10 rendszeren futtatható illesztőprogramok korlátozásához. A szolgáltatás az illesztőprogram és a szoftver házirendjét valósítja meg, amely csak a megbízható alkalmazások működését teszi lehetővé.

A Windows Hello egy másik funkció, amely a biztonságos magú számítógépek biztonságának növeléséhez szükséges. Az arcfelismerés, a PIN-kód és az ujjlenyomat-feloldás képességeit használja a bejelentkezés biztonságának megerősítésére.

A Windows Hello speciális biometrikus hardverekre támaszkodik, amelyek ujjlenyomat-olvasót és infravörös érzékelőket tartalmaznak. A hardver a Trusted Platform Module (TPM) technológiát használja a hitelesítő adatok megőrzéséhez.

Miért döntött a Microsoft a Secure-Core PC-k fejlesztése mellett?

A Microsoft jelentős összeget fektetett a biztonságos magú PC-k kutatásába és fejlesztésébe. Az alábbiakban felsoroljuk azokat az okokat, amelyek miatt a vállalat prioritásként kezelte a biztonsági projektet.

A vállalkozások védelme a firmware malware ellen

A kiberbiztonsági fenyegetések fejlődnek, és a Microsoft jelentés, a támadások egyre kifinomultabbak. Kiemeli egy 2021-ben végzett tanulmány eredményeit, és kiderül, hogy a fejlett világ vállalkozásainak több mint 80 százaléka tapasztalt firmware támadást az elmúlt két évben.

Ez azt jelenti, hogy világszerte sok vállalkozás kiszolgáltatott a firmware kártékony programokat kihasználó rendszerek kiaknázásának.

A firmware-kiaknázásokat nagyon nehéz felismerni és eltávolítani, ha megszerzik a rendszert. Sőt, a legtöbb számítógép megosztja ugyanaz a BIOS-kód, és így a hackercsoportok által feltárt firmware-kiskapukat világszerte számítógépek millióival lehet kihasználni, függetlenül a gyártótól vagy a gyártótól, ezért szükség van biztonságos magú PC-kre.

A biztonságos magú PC-k megoldják a periférikus firmware problémáit

Az aláíratlan firmware-t használó eszközök komoly biztonsági problémákat vetnek fel a szokásos PC-kben. A perifériák, például a webkamerák arról ismertek, hogy rendellenes firmware-t futtatnak, amely felhasználható a felhasználók kémkedésére. Illesztőprogramjaik az ügyfél beleegyezése nélkül is frissíthetők, ezáltal növelve ennek kockázatát.

A harmonizált ipari biztonsági előírások hiánya az elsődleges ok, amely miatt a hackerek megcélozzák őket a behatolási támadások során. Jelenleg a sérülékeny eszközök közé tartoznak az érintőpadok, a Wi-Fi adapterek, a webkamerák és az USB elosztók. Legtöbbjüknek hiányzik a titkosított hash és a firmware-ellenőrzés, amelyet a biztonságos magú PC-knél használnak.

Biztonsági infrastruktúrájuk összehangolásának nehézsége azt jelenti, hogy a kiskapu valószínűleg sok évig nyitva marad. Jelenleg a biztonságos magú PC-k jelentik a legjobb választást azoknak a szervezeteknek, akik el akarják kerülni az ilyen biztonsági hiányosságokat.

A Microsoft további firmware biztonsági megoldásokon dolgozik

Míg a Microsoft védett magú számítógépeket hozott létre a firmware kártevőinek megakadályozása érdekében, azon az eszközökön is dolgozik, amelyek megkönnyítik a szabványos számítógépek támadásait. A ReFirm Labs, a Binwalk nyílt forráskódú firmware-integritás-szkenner fejlesztő nemrégiben megszerzett lépése ebbe az irányba mutat.

Várhatóan a közeljövőben további kapcsolódó megoldásokat fog kidolgozni a technológiai óriás.

Email
A Microsoft Defender a legjobb víruskereső a PC-jéhez 2021-ben?

A Microsoft Defender képes egy antivírusra. De vajon a legjobb választás-e a számítógépére 2021-ben?

Olvassa el a következőt

Kapcsolódó témák
  • ablakok
  • Technológia magyarázata
  • Biztonság
  • Számítógép biztonság
  • Rosszindulatú
A szerzőről
Samuel Gush (10 cikk megjelent)

Samuel Gush a MakeUseOf technológiai írója. Ha bármilyen kérdése van, lépjen kapcsolatba vele e-mailben a [email protected] címen.

Tovább Samuel Gush-tól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.