Hvordan Microsoft bruker maskinvare for å sikre firmware

Håndtering av endepunktsikkerhet uten å overvelde fagfolk med informasjonsoverbelastning Chris Bell, direktør for produktstyring i Secureworks, beskriver den vanskelige balansen å finne for å presentere handlingsfull informasjon for sikkerhetsfolk uten å utmatte dem med informasjonsoverbelastning.

Siden Windows 8 og Server 2012 har Windows brukt UEFI for å sjekke underskriftene på oppstartsdrivere, firmwaredrivere og selve operativsystemet for å sikre at koden ikke har blitt tuklet med (for eksempel av en rootkit), og deretter lansert noen installerte programvare mot skadelig programvare før du lanserer noen annen kode.

Mer om Windows

  • Slik bruker du God Mode i Windows 10
  • Windows 10 PowerToys: Et jukseark
  • Microsofts største flopper i tiåret
  • 10 triks og finpusse for tilpasning av Windows 10 (gratis PDF)

Hvis du har en TPM, kan Windows bruke den til å lagre målinger av startkomponentene for å overføre til programvaren mot malware, slik at den vet at komponentene ble sjekket. Windows 10 kan også bruke Hyper-V for å beskytte Windows-påloggingsprosessen mot malware (Virtualisation Based Security), selv om det er noe du må slå på selv på alle unntatt de nyeste armbaserte PC-ene.

20 pro-tips for å få Windows 10 til å fungere slik du vil (gratis PDF)

Men alt det forutsetter at du kan stole på UEFI og den andre firmware på PC-en. Hvis selve firmware er kompromittert, kan den ligge til anti-malware-programvaren - og til og med formatering og installering av operativsystemet vil ikke rense den fra PC-en. Ettersom Windows selv blir vanskeligere å angripe, går hackere til firmwareangrep, inkludert System Management Mode (en Intel CPU-funksjon som håndterer strømstyring, termisk overvåking og annen maskinvarekonfigurasjon).

Firmware inneholder millioner av kodelinjer, og det er ikke bare at hver OEM skriver sin egen firmware - de kan ha forskjellige versjoner av firmware for forskjellige PC-er. Den koden kjører med et veldig høyt privilegium, det er ofte vanskelig å oppdatere, og som all annen programvare vil den ha feil. Flere firmwaresårbarheter blir oppdaget og utnyttet i angrep - en brukte anti-tyverifunksjonene i firmware for å finne en stjålet PC for å spore hvor brukeren var hver dag, for eksempel.

I stedet for å stole på OEMs evne til å fikse firmwarefeil raskt, endrer sikrede kjerne-PC-er helt hvordan Windows starter opp, ved ikke å stole på firmware - bare CPU, TPM og Windows-koden.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Sikrede kjerne-PCer bruker sikkerhetspraksis for isolasjon og minimal tillit til firmwarelaget som understøtter Windows.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Bilde: Microsoft

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Gitt økningen i firmwareangrep vi har sett de siste tre årene alene, var målet å fjerne firmware som en pålitelig komponent i oppstartsprosessen, så vi forhindrer denne typen avanserte firmwareangrep, " Dave Weston, direktør av OS-sikkerhet hos Microsoft, fortalte TechRepublic.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Den første linjen i Windows boot loader på Secured-core PCer setter CPU inn i en ny sikkerhetsstat der, i stedet for å godta målingene som er gjort under Secure Boot, selv om de er i TPM, går den tilbake og validerer målingen. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvis de ikke stemmer, starter ikke PCen og går i BitLocker-gjenopprettingsmodus i stedet. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvis du administrerer PC-en via Intune, sender den også et signal til tjenesten om at enheten ikke kan stole på, og at den ikke skal få lov til å koble seg til nettverket.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Disse PC-ene bruker det nyeste silisiumet fra AMD, Intel og Qualcomm som har Trusted Platform Module 2.0 og Dynamic Root of Trust (DRTM) innebygd. Roten til tillit er et sett med funksjoner i den pålitelige datamodulen som alltid er klarert av en datamaskins operativsystem og innebygd i enheten, "forklarer Weston. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Å lage en maskinvarebasert rot av tillit betyr at vi legger til funksjonalitet på maskinvarenivå for å sikre at enheten starter opp sikkert og at malware ikke har trengt gjennom firmware."

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Resten av tillit på en sikret kjerne-PC er selve CPU-en. Når Windows-startladeren kjører, påkaller System Guard Secure Launch DTRM-instruksjoner på CPU-en for å fjerne all tillit tilknyttet firmware, " sier Weston. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Målinger blir gjort gjennom hele prosessen til TPM for de kritiske Windows-startkomponentene. Komponentene som måles er et relativt lite sett fra Microsoft og CPU-leverandøren, som begrenser antall ting vi trenger å måle og sidesteg problemer som å holde spor av OEM / firmware-leverandørkode. " Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Dette unngår at Secure Boot bremser oppstart.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Windows kan ikke bruke Dynamic Root of Trust eller Secure Launch for å unngå sårbarheter i System Management Mode på samme måte fordi det laster for tidlig - men det er viktig å beskytte det fordi det har enda flere privilegier på systemet enn hypervisoren. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">For å løse dette jobbet Microsoft sammen med silisiumprodusentene for å finne ut hva SMM trenger å gjøre og redesignet minnesidesystemet i Windows for å låse nøkkelminnesider slik at de ikke kan endres. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">SMM kan fortsatt slå på strømlampen på den bærbare datamaskinen, men den kan ikke lenger endre minne som brukes av hypervisoren. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">En angriper kan fortsatt være i stand til å kompromittere SMM, men det gir dem ikke lenger muligheten til å kompromittere resten av systemet.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Sikrede kjerne-PCer slår også på alle Windows 10-sikkerhetsfunksjonene som HyperVisor Code Integrity, som bare lar signerte drivere kjøre og forhindrer mange Return-Oriented-Programming-angrep som WannaCry.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Når du låser en Secured-core PC, kan du ikke installere en ny DMA-enhet festet over Thunderbolt før du låser opp enheten med en PIN-kode eller biometri. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Det forhindrer angripere som får fysisk tilgang til maskinen din og ellers kan plugge inn en ondsinnet enhet forkledd som en kabel (som du kan lage med deler som selges på eBay og kode tilgjengelig på GitHub).

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvis du administrerer PC-er med Intune, kan administratorer kreve sikrede kjerne-PCer for tilgang til ekstremt konfidensielle dokumenter. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Intune kan også se på målingene som er gjort for å vise PC-ens helse mens du bruker den. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Dette betyr at hvis det er kompromittert, og en angriper slår av antivirusprogramvaren slik at de ikke blir oppdaget, for eksempel, vil det vises som en mistenkelig endring som betinget tilgangspolicy kan bruke for å blokkere PC-en.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Weston sammenligner det med sabotasjesikre forseglinger på medisinpakker: "Vi har gått fra en verden hvor jeg kan pop en PC og sideveis gå gjennom hele nettverket ditt, til en verden der skyen vil avvise deg hvis CPU ikke tror maskinen."

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Lapping av eldre PC-er

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Det er muligheter PC-produsenter kan ta uten å gå så langt som Secured-core, som å bruke Windows Update til å levere automatiske firmwareoppdateringer slik at eventuelle oppdateringer blir brukt så snart som mulig. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">UEFI håndterer fortsatt selve installasjonen av oppdateringene, men det betyr at du ikke trenger å stole på at brukere går til OEM-nettstedet for å se etter firmwareoppdateringer (eller administrere tester og skyver dem), så det er mer sannsynlig at du kjører den siste, sikreste versjonen av firmware.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Overflateenheter gjør dette allerede, og Microsoft har åpnet grunnlaget for Surface UEFI-firmware som Project Mu i et forsøk på å gi OEM-er et forsprang med sin egen sikre firmware. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvis PC-en ikke gjør det, foreslår Weston at "sluttbrukere kan redusere risikoen ved å sikre at UEFI Secure Boot er aktivert i BIOS-innstillinger, og ved å rutinemessig sjekke enhetens OEM-nettsted for oppdatert firmware og drivere."

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Du kan også slå på Secure Launch på eksisterende PCer med Windows 10 Pro versjon 1809 eller nyere, så lenge de har Intel Coffee Lake / Qualcomm Snapdragon 850 og nyere CPUer og TPM 2.0. Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Den er ikke på som standard: du kan aktivere den i Innstillinger / Oppdatering og sikkerhet / Windows-sikkerhet / Åpne Windows-sikkerhet / Enhetssikkerhet / Kjerneisolasjon / firmwarebeskyttelse.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Sikker lansering kan aktiveres på PCer med Intel Coffee Lake / Qualcomm Snapdragon 850 eller nyere CPUer og TPM 2.0, men den er ikke på som standard.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Bilde: Microsoft

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Denne bruker TPM som en dynamisk Root of Trust for de samme målingene, leverer den samme personsøkingsbeskyttelsen og tilsynet med systemadministrasjonsmodus, og lar deg bruke Intune eller SCCM for å sjekke om du har manipulert på samme måte. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Hvis du har riktig maskinvare for å slå den på, bør du absolutt gjøre det.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Årsaken til at Microsoft og OEMene har jobbet sammen for å lage Secured-core PCer, er at det å ha sikkerhet som er slått på fra fabrikken når TPM er levert - før PCen noen gang kan bli kompromittert - er viktig for regulerte selskaper. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">"Disse PC-ene er spesielt designet for målrettede næringer som håndterer supersensitive data og trenger flere, flere lag med sikkerhet innebygd, " bemerket Weston.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Fuskark: Microsoft Surface Pro 7 (gratis PDF)

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">I tillegg er de avhengige av spesifikke CPU-funksjoner som eldre PC-er bare ikke har, så du kan oppleve at du ikke har systemer som støtter Secure Launch. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">På samme måte, hvis du vil bruke Virtualisation Based Security (som setter opp flere små, raske, usynlige VM-er på PC-en for funksjoner som Credential Guard), må du sjekke om de fungerte på PCene dine, og deretter sjekke at de ikke gjorde det ikke ødelegge driverne eller redusere ytelsen for mye. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Nå kan du bare kjøpe en PC der du vet at de vil fungere.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">En av de mest nyttige tingene med sikrede kjerner-PCer er faktisk at for mange virksomheter er det vanskelig å velge en PC med riktige funksjoner for å aktivere alle sikkerhetsalternativene i Windows, fordi listen over enheter som er godkjent for kjøp i en stor organisasjon ofte er utdatert. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Du trenger TPM 2.0 for å gjøre BitLocker og Windows Hello så sikre som mulig, og for å lagre andre krypteringsnøkler. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Bare å ha en etikett som dette vil gjøre det lettere å velge en PC som kan dra nytte av sikkerhetsfunksjonene som allerede er i Windows.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Microsoft Weekly Newsletter

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Vær din virksomhets Microsoft-innsider ved hjelp av disse Windows- og Office-opplæringsprogrammene og våre eksperters analyser av Microsofts bedriftsprodukter. Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Leveres mandager og onsdager

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">Registrer deg i dag

© Copyright 2020 | mobilegn.com