Hvad er pc'er med sikker kerne, og hvordan beskytter de mod malware?

Secured-core pc'er er en klasse computere designet til at modvirke vedvarende malwareangreb, især dem, der målretter mod sårbarheder uden for beskyttelse Ring 0-kontrolrettigheder såsom firmware malware. Privilegierne er ud over, hvad en almindelig bruger ville få adgang til.

Microsoft har sanktioneret denne kategori af pc'er med sikkerhedsteknologier, der er udviklet i samarbejde med større pc-producenter og silicium-chip-leverandører. Så hvad er nøjagtigt pc'er med sikret kerne? Og hvorfor kan store virksomheder bruge en?

Hvorfor er pc'er med sikker kerne så sikre?

Komponenter på pc'er med sikret kerne arbejder i en holistisk sammensmeltet struktur for at sikre firmware, hardware og softwareintegritet. Maskinerne er især vigtige for organisationer som virksomheder, banker, hospitaler og statslige institutioner, der regelmæssigt håndterer følsomme data.

Især sendes de med aktiveret beskyttelse, der kun kan slås fra af autoriserede specialister fra de respektive chipleverandører.

Microsoft har samarbejdet med chipproducenter som Intel, AMD og Qualcomm om at udvikle CPU-chips dedikeret til kørsel integritetskontrol af pc'er med sikret kerne. Når chipsene er integreret i bundkortet, håndterer de sikkerhedsprotokoller, der typisk er afhængige af firmware.

Verifikationsprocessen indebærer godkendelse af kryptografiske hashes for at opretholde kodeintegritet.

Hvordan Secured-Core-pc'er afskrækker firmware-malware

Secured-core pc'er er designet til at godkende alle involverede operationer under og efter opstartsprocessen. Da deres systemlegitimationsoplysninger er isoleret og låst for at sikre kryptografiske hashes, kan malware, der forsøger at overtage kritiske systemprotokoller, ikke hente godkendelsestokens.

Dette sikkerhedsniveau muliggøres gennem Windows HyperVisor Code Integrity (HVCI) og virtualiseringsbaseret sikkerhed (VBS). HVCI fungerer under VBS og arbejder på at forbedre kodeintegriteten, så kun verificerede processer udføres via kernen.

VBS bruger hardwarebaseret virtualisering til at isolere sikre hukommelsessektorer fra operativsystemet. Via VBS er det muligt at udelukke vitale sikkerhedsprocesser for at forhindre dem i at blive kompromitteret. Dette er vigtigt, når du prøver at begrænse skader, især når du beskæftiger dig med malware, der er målrettet mod systemkomponenter med højt privilegium.

Derudover bruger pc'er med sikkerhedskerne Microsofts Virtual Secure Mode (VSM). Dette fungerer for at beskytte vigtige data såsom brugeroplysninger i Windows. Dette betyder, at i sjældne tilfælde, hvor malware kompromitterer systemkernen, er skaden begrænset.

VSM kan oprette nye sikkerhedszoner i operativsystemet i sådanne tilfælde og opretholde isolering gennem Virtual Trust Levels (VTL'er), der fungerer på et niveau pr. Partition.

I pc'er med sikret kerne er VSM vært for sikkerhedsafskrækkende løsninger som Credential Guard, Device Guard og virtual Trusted Platform Module (TPM).

Adgang til disse stærkt befæstede VSM-sektorer gives udelukkende af systemadministratoren, som også styrer hukommelsen Management Unit (MMU) processor samt Input – output memory management unit (IOMMU), som er involveret i opstart.

Når det er sagt, har Microsoft allerede betydelig erfaring med at oprette hardwarebaserede sikkerhedsløsninger; Xbox-værket bærer vidnesbyrd om dette.

Relaterede: Sådan omkonfigureres Windows Defender for bedre at sikre din computer

Nuværende Microsoft-sikrede kernepartnere inkluderer Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic og virksomhedens helt eget Microsoft Surface-segment, der handler personligt computere.

Yderligere pc-sikkerhedsgarantier

Mens pc'er med sikret kerne har omfattende hardwarebaserede sikkerhedsforstærkninger, kræver de også en række softwarebaserede sikkerhedshjælpere. De fungerer som den første forsvarslinje under et malwareangreb.

En af de vigtigste softwarebaserede afskrækkere er Windows Defender, der implementerer System Guard Secure Launch. Først tilgængelig i Windows 10 bruger den Dynamic Root of Trust for Measurement (DRTM) -protokol til at starte opstartsprocesser til ubekræftet kode, når den startes.

Kort efter tager den fat på alle processer og gendanner dem til en betroet tilstand. Dette hjælper med at forhindre opstartsproblemer, hvis UEFI-kode er blevet manipuleret med og opretholder kodeintegritet.

For absolut sikker opstart kommer Windows 10 med S-tilstand, som er designet til at forbedre sikkerhed og CPU-ydeevne. I denne tilstand kan Windows kun indlæse underskrevne apps fra Microsoft Store. Browsing i denne tilstand er begrænset til at bruge Microsoft Edge.

Relaterede: Sådan bruges Kids Mode i Microsoft Edge for at holde børnene sikre

PC-brugere med sikker kerne kan også forbedre pc-sikkerheden ved hjælp af Windows Defender Application Control (WDAC) for at begrænse de drivere, der har tilladelse til at køre på Windows 10. Funktionen implementerer driver- og softwarepolitikker, der kun tillader betroede apps at køre.

Windows Hello er en anden funktion, der er nødvendig for at forbedre sikkerheden i pc'er med sikret kerne. Det bruger ansigtsgenkendelses-, PIN- og fingeraftrykslåsning til at styrke login-sikkerheden.

Windows Hello er afhængig af specialiseret biometrisk hardware, der inkluderer en fingeraftrykslæser og infrarøde sensorer. Hardwaren bruger TPM-teknologi (Trusted Platform Module) til at beskytte legitimationsoplysninger.

Hvorfor Microsoft besluttede at udvikle pc'er med sikret kerne

Microsoft har investeret et betydeligt beløb i forskning og udvikling af pc'er med sikret kerne. Følgende er nogle af grundene til, at virksomheden prioriterede sikkerhedsprojektet.

Behovet for at beskytte virksomheder mod firmware-malware

Trusler mod cybersikkerhed udvikler sig, og ifølge en Microsoft-rapport, angreb bliver mere sofistikerede. Det fremhæver resultaterne af en undersøgelse foretaget i 2021 og afslører, at over 80 procent af virksomhederne i den udviklede verden har oplevet et firmwareangreb i løbet af de foregående to år.

Dette betyder, at mange virksomheder over hele verden er sårbare over for at udnytte ordninger, der udnytter firmwaremalware.

Firmwareudnyttelser er meget svære at opdage og fjerne, når de får fat i et system. Desuden deler de fleste computere den samme BIOS-kode, og således kan smuthuller i firmware, der er afdækket af hackergrupper, udnyttes mod millioner af computere overalt i verden uanset mærke eller leverandør, deraf behovet for sikrede kernepc'er.

Secured-Core-pc'er løser perifere firmwareproblemer

Enheder med usigneret firmware udgør store sikkerhedsproblemer i standard-pc'er. Periferiudstyr som webkameraer er berygtede for at køre unormal firmware, der kan bruges til at spionere på brugere. Deres chauffører kan også opdateres uden kundens samtykke, hvilket øger risikoen for, at dette sker.

Manglen på harmoniserede sikkerhedsstandarder i branchen er blandt de primære grunde til, at hackere målretter mod dem under indtrængningsangreb. I øjeblikket inkluderer sårbare enheder touchpads, Wi-Fi-adaptere, webcams og USB-hubs. De fleste af dem mangler kryptografisk hashing og firmwareverifikation, som bruges i pc'er med sikret kerne.

Vanskeligheden ved at harmonisere deres sikkerhedsinfrastruktur betyder, at smuthullet sandsynligvis forbliver åbent i mange år. I øjeblikket er pc'er med sikret kerne den bedste mulighed for organisationer, der ønsker at undgå sådanne sikkerhedshuller.

Microsoft arbejder på flere firmware-sikkerhedsløsninger

Mens Microsoft har oprettet sikrede kernepc'er til at modvirke firmware-malware, arbejder det også på værktøjer, der hjælper med at tilpasse angrebene på standardcomputere. Dens nylige erhvervelse af ReFirm Labs, Binwalk open source-firmwareintegritetsscannerudvikler, er et skridt i denne retning.

Det forventes, at flere relaterede løsninger vil blive udviklet af tech-giganten i den nærmeste fremtid.

Er Microsoft Defender det bedste antivirusprogram til din pc i 2021?

Microsoft Defender er et kompatibelt antivirusprogram. Men er det det bedste valg til din pc i 2021?

Læs Næste

Om forfatteren