Что такое ПК с защищенным ядром и как они защищают от вредоносного ПО?

Компьютеры с защищенным ядром – это класс компьютеров, предназначенных для предотвращения постоянных атак вредоносных программ, особенно тех, которые нацелены на уязвимости вне зоны защиты с правами контроля Ring 0, например, с микропрограммными программами. Привилегии выходят за рамки того, к чему мог бы получить доступ обычный пользователь.

Microsoft ввела санкции в отношении этой категории ПК с использованием технологий безопасности, разработанных совместно с крупными производителями ПК и поставщиками кремниевых чипов. Так что же такое ПК с защищенным ядром? И почему крупный бизнес может его использовать?

Почему компьютеры с защищенным ядром настолько безопасны?

Компоненты ПК с защищенным ядром работают в единой объединенной структуре для обеспечения целостности микропрограмм, оборудования и программного обеспечения. Машины особенно важны для таких организаций, как предприятия, банки, больницы и государственные учреждения, которые регулярно обрабатывают конфиденциальные данные.

Примечательно, что они поставляются с включенной защитой, которую могут отключить только авторизованные специалисты соответствующих поставщиков микросхем.

Microsoft в сотрудничестве с такими производителями микросхем, как Intel, AMD и Qualcomm, разработала микросхемы ЦП, предназначенные для проверки целостности компьютеров с защищенным ядром. После встраивания в материнскую плату микросхемы обрабатывают протоколы безопасности, которые обычно зависят от прошивки.

Процесс проверки влечет за собой аутентификацию криптографических хэшей для поддержания целостности кода.

Как ПК с защищенным ядром обнаруживают вредоносное ПО

Компьютеры с защищенным ядром предназначены для аутентификации всех операций, выполняемых во время и после процесса загрузки. Поскольку их системные учетные данные изолированы и заблокированы для защиты криптографических хэшей, вредоносное ПО, пытающееся захватить важные системные протоколы, не может получить токены аутентификации.

Такой уровень безопасности стал возможным благодаря целостности кода Windows HyperVisor (HVCI) и безопасности на основе виртуализации (VBS). HVCI работает под VBS и работает над повышением целостности кода, так что только проверенные процессы выполняются через память ядра.

VBS использует аппаратную виртуализацию для изоляции защищенных секторов памяти от операционной системы. С помощью VBS можно изолировать жизненно важные процессы безопасности, чтобы предотвратить их взлом. Это важно при попытке ограничить ущерб, особенно при работе с вредоносным ПО, нацеленным на системные компоненты с высоким уровнем привилегий.

Кроме того, ПК с защищенным ядром используют виртуальный безопасный режим Microsoft (VSM). Это работает для защиты важных данных, таких как учетные данные пользователя в Windows. Это означает, что в редких случаях, когда вредоносная программа компрометирует ядро ​​системы, ущерб ограничен.

VSM может создавать новые зоны безопасности в операционной системе во время таких экземпляров и поддерживать изоляцию с помощью виртуальных уровней доверия (VTL), которые работают на уровне раздела.

В ПК с защищенным ядром VSM размещает решения сдерживания безопасности, такие как Credential Guard, Device Guard и виртуальный доверенный платформенный модуль (TPM).

Доступ к этим сильно укрепленным секторам VSM предоставляется исключительно системному администратору, который также управляет процессором блока управления памятью (MMU), а также блоком управления памятью ввода-вывода (IOMMU), который участвует в загрузке.

Тем не менее, Microsoft уже имеет значительный опыт создания аппаратных решений безопасности; Об этом свидетельствует оплот Xbox.

Связанный: Как перенастроить Защитник Windows для лучшей защиты вашего компьютера

Текущие партнеры Microsoft по защищенному ядру включают Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic и собственный сегмент Microsoft Surface, который занимается персональными компьютерами.

Дополнительные меры безопасности для ПК с защищенным ядром

В то время как ПК с защищенным ядром имеют обширные аппаратные средства обеспечения безопасности, им также требуется множество вспомогательных программных средств безопасности. Они действуют как первая линия защиты во время атаки вредоносного ПО.

Одним из основных программных средств сдерживания является Защитник Windows, который реализует System Guard Secure Launch. Впервые доступный в Windows 10, он использует протокол Dynamic Root of Trust for Measurement (DRTM) для запуска процессов загрузки в непроверенный код при запуске.

Вскоре после этого он захватывает все процессы и восстанавливает их в доверенное состояние. Это помогает предотвратить проблемы с загрузкой, если код UEFI был изменен, и поддерживает целостность кода.

Для абсолютно безопасной загрузки Windows 10 поставляется с S-режимом, который предназначен для повышения безопасности и производительности ЦП. В этом режиме Windows может загружать только подписанные приложения из Microsoft Store. Просмотр в этом состоянии ограничен использованием Microsoft Edge.

Связанный: Как использовать детский режим в Microsoft Edge, чтобы дети были в безопасности

Пользователи ПК с защищенным ядром также могут повысить безопасность ПК с помощью управления приложениями в Защитнике Windows (WDAC), чтобы ограничить драйверы, которые разрешено запускать в Windows 10. Эта функция реализует политики драйверов и программного обеспечения, позволяющие работать только надежным приложениям.

Windows Hello – еще одна функция, необходимая для повышения безопасности компьютеров с защищенным ядром. Он использует функции распознавания лиц, PIN-кода и разблокировки отпечатков пальцев для повышения безопасности входа в систему.

Windows Hello использует специализированное биометрическое оборудование, которое включает в себя считыватель отпечатков пальцев и инфракрасные датчики. Оборудование использует технологию доверенного платформенного модуля (TPM) для защиты учетных данных.

Почему Microsoft решила разрабатывать ПК с защищенным ядром

Microsoft вложила значительные средства в исследования и разработку ПК с защищенным ядром. Ниже приведены некоторые из причин, по которым компания отдает приоритет проекту безопасности.

Необходимость защиты предприятий от вредоносного программного обеспечения, встроенного в микропрограммное обеспечение

Угрозы кибербезопасности развиваются, и, согласно Отчет Microsoft, атаки становятся все более изощренными. В нем освещаются результаты исследования, проведенного в 2021 году, и выясняется, что более 80 процентов предприятий в развитых странах подвергались атакам на микропрограммное обеспечение за последние два года.

Это означает, что многие компании по всему миру уязвимы для использования схем, использующих вредоносное ПО.

Эксплойты прошивки очень трудно обнаружить и удалить, как только они попадают в систему. Более того, большинство компьютеров используют один и тот же код BIOS, и поэтому лазейки в прошивке, обнаруженные группами хакеров, могут быть использованы против миллионов компьютеров по всему миру независимо от их производителя или поставщиков, отсюда и потребность в ПК с защищенным ядром.

ПК с защищенным ядром решают проблемы с периферийным микропрограммным обеспечением

Устройства с неподписанным микропрограммным обеспечением создают серьезные проблемы с безопасностью на стандартных ПК. Периферийные устройства, такие как веб-камеры, печально известны запуском аномальных прошивок, которые можно использовать для слежки за пользователями. Их драйверы также могут быть обновлены без согласия клиента, что увеличивает риски этого.

Отсутствие гармонизированных отраслевых стандартов безопасности является одной из основных причин, по которым хакеры нацелены на них во время атак вторжения. В настоящее время уязвимые устройства включают сенсорные панели, адаптеры Wi-Fi, веб-камеры и концентраторы USB. В большинстве из них отсутствует криптографическое хеширование и проверка прошивки, которые используются в ПК с защищенным ядром.

Сложность согласования их инфраструктуры безопасности означает, что лазейка, вероятно, останется открытой в течение многих лет. В настоящее время ПК с защищенным ядром – лучший вариант для организаций, которые хотят избежать подобных пробелов в системе безопасности.

Microsoft работает над дополнительными решениями для защиты микропрограмм

Несмотря на то, что Microsoft создала компьютеры с защищенным ядром для защиты от вредоносного ПО, она также работает над инструментами, которые помогут предотвратить атаки на стандартные компьютеры. Недавнее приобретение компании ReFirm Labs, разработчика сканера целостности прошивки с открытым исходным кодом Binwalk, является шагом в этом направлении.

Ожидается, что в ближайшем будущем технологический гигант разработает и другие связанные решения.