Sådan bruger Microsoft hardware til at sikre firmware

Håndtering af endepunktssikkerhed uden overvældende fagfolk med informationsoverbelastning Chris Bell, direktør for produktstyring i Secureworks, beskriver den vanskelige balance, der er at finde for at præsentere handlingsmæssige oplysninger til sikkerhedsfolk uden at udtømme dem med information overbelastning.

Siden Windows 8 og Server 2012 har Windows brugt UEFI til at kontrollere underskrifterne på bootdrivere, firmwaredrivere og selve operativsystemet for at sikre, at koden ikke er blevet manipuleret med (f.eks. Af en rootkit) og derefter lanceret alle installerede anti-malware-software, inden nogen anden kode startes.

Mere om Windows

  • Sådan bruges God Mode i Windows 10
  • Windows 10 PowerToys: Et snyderi
  • Microsofts største flopper i årtiet
  • 10 tricks og tweaks til tilpasning af Windows 10 (gratis PDF)

Hvis du har en TPM, kan Windows bruge det til at gemme målinger af bootkomponenterne til at videresendes til anti-malware-softwaren, så det ved, at disse komponenter blev kontrolleret. Windows 10 kan også bruge Hyper-V til at beskytte Windows-logonprocessen mod malware (Virtualisation Based Security), selvom det er noget, du er nødt til at tænde for dig selv på alle undtagen de nyeste arm-baserede pc'er.

20 pro tip til at få Windows 10 til at fungere som du vil (gratis PDF)

Men alt dette antager, at du kan stole på UEFI og den anden firmware på pc'en. Hvis firmwaren selv er kompromitteret, kan den ligge til anti-malware-softwaren - og endda formatering og geninstallation af operativsystemet renser det ikke fra pc'en. Efterhånden som Windows selv bliver sværere at angribe, henvender hackere sig til firmwareangreb, herunder System Management Mode (en Intel CPU-funktion, der håndterer strømstyring, termisk overvågning og anden hardwarekonfiguration).

Firmware omfatter millioner af kodelinjer, og det er ikke kun, at hver OEM skriver deres egen firmware - de har muligvis forskellige versioner af firmware til forskellige pc'er. Denne kode kører med et meget højt privilegium, det er ofte svært at opdatere, og som enhver anden software vil den have fejl. Flere firmwaresårbarheder opdages og udnyttes i angreb - en brugte anti-tyverifunktioner i firmware til at lokalisere en stjålet pc for at spore, hvor brugeren var hver dag, for eksempel.

I stedet for at stole på OEM'ers evne til hurtigt at løse firmwarefejl ændrer Secured-core pc'er den måde, hvorpå Windows starter, ved ikke længere at have tillid til firmwaren - kun CPU, TPM og Windows-koden.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Sikrede kerne-pc'er anvender de bedste sikkerhedsrutiner for isolering og minimal tillid til firmwarelaget, som understøtter Windows.

Billede: Microsoft

"I betragtning af stigningen i firmwareangreb, som vi har set alene i de sidste tre år, var målet at fjerne firmware som en betroet komponent i bootprocessen, så vi forhindrer denne slags avancerede firmwareangreb, " direktør Dave Weston, direktør om OS-sikkerhed hos Microsoft, fortalte TechRepublic.

Den første linje i Windows boot loader på Secured-core pc'er sætter CPU'en i en ny sikkerhedstilstand, hvor den i stedet for at acceptere målingerne, der er foretaget under Secure Boot, selvom de er i TPM, går tilbage og revaliderer målingen. Hvis de ikke stemmer overens, starter pc'en ikke og går i BitLocker gendannelsestilstand i stedet. Hvis du administrerer pc'en via Intune, sender den også et signal til tjenesten om, at enheden ikke kan stole på og ikke bør have tilladelse til at oprette forbindelse til dit netværk.

"Disse pc'er bruger det nyeste silicium fra AMD, Intel og Qualcomm, der har Trusted Platform Module 2.0 og Dynamic Root of Trust (DRTM) indbygget. Roden til tillid er et sæt funktioner i det betroede computermodul, der altid er tillid til af en computers OS og integreret i enheden, "forklarer Weston. "Oprettelse af en hardware-baseret rod af tillid betyder, at vi tilføjer funktionalitet på hardwareniveau for at sikre, at enheden starter sikkert, og malware ikke har trængt ind i firmwaren."

"Roden til tillid på en sikret kerne-pc er selve CPU'en. Når Windows boot loader kører, påkalder System Guard Secure Launch DTRM-instruktioner på CPU'en for at fjerne enhver tillid, der er forbundet med firmware, " siger Weston. "Der foretages målinger igennem hele processen ind i TPM for de kritiske Windows-startkomponenter. Komponenterne, der måles, er et relativt lille sæt fra Microsoft og CPU-leverandøren, hvilket begrænser antallet af ting, vi har brug for at måle, og sidetrin problemer som at holde spor af OEM / firmwareleverandørkode. " Dermed undgår Secure Boot at nedsætte opstart.

Windows kan ikke bruge Dynamic Root of Trust eller Secure Launch for at undgå sårbarheder i System Management Mode på samme måde, fordi det indlæses for tidligt - men det er vigtigt at beskytte det, fordi det har endnu flere privilegier på systemet end hypervisoren. For at løse dette arbejdede Microsoft sammen med siliconeleverandørerne for at finde ud af, hvad SMM skal gøre, og redesignede hukommelsessidesystemet i Windows for at låse hukommelsessider, så de ikke kan ændres. SMM kan stadig tænde for strømlampen på din bærbare computer, men det kan ikke længere ændre hukommelse, som hypervisoren bruger. En angriber kan stadig være i stand til at kompromittere SMM, men det giver dem ikke længere muligheden for at kompromittere resten af ​​systemet.

Secured-core PC'er tænder også alle de valgfri Windows 10-sikkerhedsfunktioner som HyperVisor Code Integrity, som kun tillader underskrevne drivere at køre og forhindrer mange returorienterede programmering angreb som WannaCry.

Når du låser en Secured-core-pc, kan du ikke installere en ny DMA-enhed, der er tilsluttet over Thunderbolt, før du låser enheden op med en pinkode eller biometri. Det forhindrer angribere, der får fysisk adgang til din maskine og ellers kunne tilslutte en ondsindet enhed, der er forklædt som et kabel (som du kan lave med dele, der sælges på eBay og kode tilgængelig på GitHub).

Hvis du administrerer pc'er med Intune, kan administratorer kræve Secured-core pc'er for adgang til ekstremt fortrolige dokumenter. Intune kan også se på målingerne, der er foretaget for at vise pc'ens helbred, mens du bruger den. Dette betyder, at hvis det går på kompromis, og en angriber slår anti-virus-softwaren fra, så de ikke opdages, for eksempel, der vises som en mistænkelig ændring, som betingede adgangspolitikker kan bruge til at blokere pc'en.

Weston sammenligner det med manipulationssikre tætninger på medicinpakker: "Vi er gået fra en verden, hvor jeg kan pop en pc og sideværts bevæge sig gennem hele dit netværk, til en verden, hvor skyen vil afvise dig, hvis CPU'en ikke tror maskinen."

Lapning af ældre pc'er

Der er muligheder, som pc-producenter kan tage uden at gå så langt som Secured-core, som at bruge Windows Update til at levere automatiske firmwareopdateringer, så eventuelle programrettelser anvendes så hurtigt som muligt. UEFI håndterer stadig den faktiske installation af opdateringerne, men det betyder, at du ikke behøver at stole på, at brugere går til OEM-webstedet for at se efter firmwareopdateringer (eller admins-test og skubbe dem), så det er mere sandsynligt, at du kører den seneste, mest sikre version af firmwaren.

Overfladeapparater gør allerede dette, og Microsoft har åbnet grundlaget for Surface UEFI-firmware som Project Mu i et forsøg på at give OEM'er et ben med deres egen sikre firmware. Hvis din pc ikke gør det, foreslår Weston, at "slutbrugere kan reducere deres risiko ved at sikre, at UEFI Secure Boot er aktiveret i BIOS-indstillinger, og ved rutinemæssigt at kontrollere deres enheds-OEM-websted for opdateret firmware og drivere."

Du kan også aktivere Secure Launch på eksisterende pc'er med Windows 10 Pro version 1809 eller nyere, så længe de har Intel Coffee Lake / Qualcomm Snapdragon 850 og nyere CPU'er og TPM 2.0. Det er ikke slået til som standard: du kan aktivere det i Indstillinger / Opdatering & sikkerhed / Windows-sikkerhed / Åbn Windows-sikkerhed / Enhedssikkerhed / Kerneisolering / Firmwarebeskyttelse.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Secure Launch kan aktiveres på pc'er med Intel Coffee Lake / Qualcomm Snapdragon 850 eller nyere CPU'er og TPM 2.0, men det er ikke som standard til.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Billede: Microsoft

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Dette bruger TPM som en dynamisk Root of Trust til de samme målinger, leverer den samme personsikringsbeskyttelse og overvågning af systemadministrationstilstand, og lader dig bruge Intune eller SCCM til at kontrollere, om der er manipuleret på samme måde. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvis du har den rigtige hardware til at tænde den, skal du bestemt.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Årsagen til at Microsoft og OEM'erne har samarbejdet om at skabe Secured-core PC'er er, at det at have sikkerhed, der er tændt fra fabrikken, når TPM leveres - før pc'en nogensinde kan kompromitteres - er vigtigt for regulerede virksomheder. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Disse pc'er er specifikt designet til meget målrettede industrier, der håndterer superfølsomme data og har brug for tilføjet, flere lag af sikkerhed indbygget, " bemærkede Weston.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Snyderi: Microsoft Surface Pro 7 (gratis PDF)

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Plus, de er også afhængige af specifikke CPU-funktioner, som ældre pc'er bare ikke har, så du kan opleve, at du ikke har systemer, der understøtter Secure Launch. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">På samme måde, hvis du vil bruge Virtualisation Based Security (som opsætter flere små, hurtige, usynlige VM'er på pc'en til funktioner som Credential Guard), skal du kontrollere, om de arbejdede på dine pc'er, og derefter kontrollere, at de ikke gjorde det 't ødelægge nogen drivere eller reducere ydeevnen for meget. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Nu kan du bare købe en pc, hvor du ved, at de vil arbejde.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Faktisk er en af ​​de mest nyttige ting ved Secured-core-pc'er, at det for mange virksomheder er svært at vælge en pc med de rigtige funktioner for at aktivere alle Windows-sikkerhedsindstillingerne, fordi listen over enheder, der er godkendt til køb i en stor organisation ofte er Umoderne. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Du har brug for TPM 2.0 for at gøre BitLocker og Windows Hello så sikre som muligt og for at gemme andre krypteringsnøgler. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Bare at have en sådan etiket gør det lettere at vælge en pc, der kan drage fordel af de sikkerhedsfunktioner, der allerede findes i Windows.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Microsoft ugentlig nyhedsbrev

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Vær din virksomheds Microsoft-insider ved hjælp af disse Windows- og Office-tutorials og vores eksperters analyser af Microsofts virksomhedsprodukter. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Leveres mandage og onsdage

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Tilmeld dig i dag

© Copyright 2020 | mobilegn.com