Hva er PC-er med sikret kjerne og hvordan beskytter de mot skadelig programvare?

PCer med sikret kjerne er en klasse datamaskiner designet for å hindre vedvarende angrep av skadelig programvare, spesielt de som retter seg mot sårbarheter utenfor beskyttelse Ring 0-kontrollrettigheter som fastvare skadevare. Privilegiene er utenfor det en vanlig bruker ville ha tilgang til.

Microsoft har sanksjonert denne kategorien PCer med sikkerhetsteknologier utviklet i samarbeid med store PC-produsenter og silisiumbrikkeleverandører. Så hva er egentlig sikrede PCer? Og hvorfor kan store bedrifter bruke en?

Hvorfor er PC-er med sikre kjerner så sikre?

Komponenter på PC-er med siktekjerner fungerer i en helhetlig sammenslått struktur for å sikre fastvare, maskinvare og programvareintegritet. Maskinene er spesielt viktige for organisasjoner som bedrifter, banker, sykehus og statlige institusjoner som regelmessig håndterer sensitive data.

Spesielt leveres de med aktivert beskyttelse som bare kan slås av av autoriserte spesialister fra de respektive chipleverandørene.

Microsoft har samarbeidet med brikkeprodusenter som Intel, AMD og Qualcomm for å utvikle CPU-brikker dedikert til å kjøre integritetskontroller for PC-er med sikret kjerne. Når brikkene er innebygd i hovedkortet, håndterer de sikkerhetsprotokoller som vanligvis er avhengige av firmware.

Bekreftelsesprosessen innebærer autentisering av kryptografiske hashes for å opprettholde kodeintegritet.

Hvordan sikre kjerne-PCer avskrekker fast programvare

PC-er med sikret kjerne er designet for å autentisere alle involverte operasjoner under og etter oppstartsprosessen. Fordi systeminformasjonen deres er isolert og låst for å sikre kryptografiske hashes, kan ikke malware som prøver å overta kritiske systemprotokoller, hente godkjenningstokener.

Dette sikkerhetsnivået er mulig gjennom Windows HyperVisor Code Integrity (HVCI) og virtualiseringsbasert sikkerhet (VBS). HVCI opererer under VBS og arbeider for å forbedre kodeintegriteten slik at bare bekreftede prosesser kjøres via kjerneminne.

VBS bruker maskinvarebasert virtualisering for å isolere sikre minnesektorer fra operativsystemet. Gjennom VBS er det mulig å skjule viktige sikkerhetsprosesser for å forhindre at de blir kompromittert. Dette er viktig når du prøver å begrense skader, spesielt når du håndterer skadelig programvare som er rettet mot systemkomponenter med høyt privilegium.

I tillegg bruker PC-er med sikret kjerne Microsofts Virtual Secure Mode (VSM). Dette fungerer for å beskytte viktige data som brukerlegitimasjon i Windows. Dette betyr at i sjeldne tilfeller skadelig programvare kompromitterer systemkjernen, er skaden begrenset.

VSM kan opprette nye sikkerhetssoner i operativsystemet i slike tilfeller og opprettholde isolasjon gjennom virtuelle tillitsnivåer (VTL), som fungerer på et per-partisjonsnivå.

I sikrede kjerne-PCer er VSM vert for sikkerhetsavskrekkende løsninger som Credential Guard, Device Guard og virtual Trusted Platform Module (TPM).

Tilgang til disse høyt befestede VSM-sektorene gis kun av systemadministratoren, som også kontrollerer minnet Management Unit (MMU) -prosessor samt Input-output memory management unit (IOMMU), som er involvert i oppstart.

Når det er sagt, har Microsoft allerede betydelig erfaring med å lage maskinvarebaserte sikkerhetsløsninger; Xbox-bærverket vitner om dette.

I slekt: Hvordan konfigurere Windows Defender på nytt for å sikre datamaskinen bedre

Nåværende Microsoft-sikrede kjernepartnere inkluderer Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic og selskapets helt eget Microsoft Surface-segment som handler personlig datamaskiner.

Ytterligere PC-beskyttelseskort

Mens sikrede kjerne-PCer har omfattende maskinvarebaserte sikkerhetsforsterkninger, krever de også en mengde programvarebaserte sikkerhetshjelpere. De fungerer som den første forsvarslinjen under et angrep på skadelig programvare.

En av de viktigste programvarebaserte avskrekkende er Windows Defender, som implementerer System Guard Secure Launch. Først gjort tilgjengelig i Windows 10, bruker den Dynamic Root of Trust for Measurement (DRTM) -protokollen for å starte oppstartsprosesser i ubekreftet kode når du starter.

Like etter tar den tak i alle prosesser og gjenoppretter dem til en pålitelig tilstand. Dette hjelper til med å forhindre oppstartsproblemer hvis UEFI-kode har blitt manipulert og opprettholder kodeintegritet.

For absolutt sikker oppstart kommer Windows 10 med S-modus, som er designet for å forbedre sikkerhet og CPU-ytelse. I denne modusen kan Windows bare laste signerte apper fra Microsoft Store. Bla i denne tilstanden er begrenset til å bruke Microsoft Edge.

I slekt: Hvordan bruke barnemodus i Microsoft Edge for å holde barn trygge

PC-brukere med sikret kjerne kan også forbedre PC-sikkerheten ved å bruke Windows Defender Application Control (WDAC) for å begrense driverne som har lov til å kjøre på Windows 10. Funksjonen implementerer driver- og programvarepolicyer som bare tillater pålitelige apper å operere.

Windows Hello er en annen funksjon som trengs for å forbedre sikkerheten i PCer med sikret kjerne. Den bruker ansiktsgjenkjenning, PIN-kode og fingeravtrykk for å styrke funksjonen for pålogging.

Windows Hello er avhengig av spesialisert maskinvare for biometri som inkluderer en fingeravtrykksleser og infrarøde sensorer. Maskinvaren bruker TPM-teknologi (Trusted Platform Module) for å sikre legitimasjon.

Hvorfor Microsoft bestemte seg for å utvikle PC-er med sikret kjerne

Microsoft har investert en betydelig sum penger i forskning og utvikling av sikrede kjerner-PCer. Følgende er noen av grunnene til at selskapet prioriterte sikkerhetsprosjektet.

Behovet for å beskytte virksomheter mot fast programvare

Cybersikkerhetstrusler utvikler seg, og ifølge en Microsoft-rapport, blir angrep mer sofistikerte. Den fremhever funn av en studie utført i 2021 og avslører at over 80 prosent av bedriftene i den utviklede verden har opplevd et firmwareangrep de to siste årene.

Dette betyr at mange bedrifter over hele verden er sårbare for å utnytte ordninger som bruker firmware-malware.

Fastvareutnyttelse er veldig vanskelig å oppdage og fjerne når de får tak i et system. Videre deler de fleste datamaskiner den samme BIOS-koden, og slik kan firmware smutthull som er avdekket av hackergrupper, utnyttes mot millioner av datamaskiner over hele verden, uavhengig av fabrikat eller leverandør, derav behovet for PC-er med sikret kjerne.

PCer med sikret kjerne løser problemer med perifer firmware

Enheter med usignert fastvare utgjør store sikkerhetsproblemer på standard-PC-er. Periferiutstyr som webkameraer er beryktet for å kjøre unormal firmware som kan brukes til å spionere på brukere. Driverne deres kan også oppdateres uten samtykke fra klienten, og dermed øke risikoen for at dette skjer.

Mangelen på harmoniserte sikkerhetsstandarder i bransjen er blant de viktigste årsakene til at hackere retter seg mot dem under innbruddsangrep. For tiden inkluderer sårbare enheter styreplater, Wi-Fi-adaptere, webkameraer og USB-hubber. De fleste av dem mangler kryptografisk hashing og firmware-verifisering, som brukes i sikrede kjerne-PCer.

Vanskeligheten med å harmonisere sikkerhetsinfrastrukturen betyr at smutthullet sannsynligvis vil være åpent i mange år. For øyeblikket er sikrede kjerne-PCer det beste alternativet for organisasjoner som ønsker å unngå slike sikkerhetshull.

Microsoft jobber med flere fastvaresikkerhetsløsninger

Mens Microsoft har opprettet PC-er med sikret kjerne for å motvirke fastvareprogramvare, jobber det også med verktøy som hjelper til med å avta angrepene på standarddatamaskiner. Den nylige anskaffelsen av ReFirm Labs, utvikleren Binwalk med åpen kildekode for firmwareintegritet, er et skritt i denne retningen.

Det forventes at flere relaterte løsninger vil bli utviklet av teknologigiganten i nær fremtid.

Er Microsoft Defender det beste antivirusprogrammet for din PC i 2021?

Microsoft Defender er et dyktig antivirusprogram. Men er det det beste valget for din PC i 2021?

Les Neste

Om forfatteren