Počítače so zabezpečeným jadrom sú triedou počítačov určených najmä na prekazenie pretrvávajúcich útokov škodlivého softvéru tie, ktoré sa zameriavajú na zraniteľné miesta mimo ochrany, ovláda privilégiá Ring 0, ako je firmvér malware. Oprávnenia sú nad rámec toho, k čomu by mal prístup bežný používateľ.

Spoločnosť Microsoft schválila túto kategóriu počítačov bezpečnostnými technológiami vyvinutými v spolupráci s hlavnými výrobcami počítačov a dodávateľmi silikónových čipov. Čo sú to vlastne počítače so zabezpečeným jadrom? A prečo by veľké podniky mohli jeden používať?

Prečo sú zabezpečené počítače tak bezpečné?

Komponenty na počítačoch so zabezpečeným jadrom pracujú v holistickej zlúčenej štruktúre, aby zabezpečili integritu firmvéru, hardvéru a softvéru. Tieto stroje sú obzvlášť dôležité pre organizácie, ako sú podniky, banky, nemocnice a štátne inštitúcie, ktoré pravidelne spracúvajú citlivé údaje.

Dodávajú sa predovšetkým s povolenými ochranami, ktoré môžu vypnúť iba autorizovaní odborníci od príslušných predajcov čipov.

instagram viewer

Spoločnosť Microsoft spolupracovala s výrobcami čipov, ako sú Intel, AMD a Qualcomm, na vývoji čipov CPU určených na beh kontroly integrity pre počítače so zabezpečeným jadrom. Čipy sú po zabudovaní do základnej dosky vybavené bezpečnostnými protokolmi, na ktoré sa zvyčajne spoliehajú firmvér.

Proces verifikácie vyžaduje autentifikáciu kryptografických hashov na udržanie integrity kódu.

Ako počítače so zabezpečeným jadrom odstraňujú malvér firmvéru

Počítače so zabezpečeným jadrom sú navrhnuté tak, aby autentifikovali všetky operácie spojené s procesom bootovania a po ňom. Pretože ich systémové poverenia sú izolované a uzamknuté na zabezpečenie kryptografických hashov, malware, ktorý sa pokúša prevziať kritické systémové protokoly, nedokáže načítať autentifikačné tokeny.

Túto úroveň zabezpečenia umožňujú Windows HyperVisor Code Integrity (HVCI) a virtualizačné zabezpečenie (VBS). HVCI pracuje pod VBS a pracuje na zlepšení integrity kódu tak, aby sa cez pamäť jadra vykonávali iba overené procesy.

VBS využíva hardvérovú virtualizáciu na izolovanie bezpečných sektorov pamäte od operačného systému. Prostredníctvom VBS je možné vylúčiť dôležité bezpečnostné procesy, aby sa zabránilo ich zneužitiu. To je dôležité pri pokuse o obmedzenie poškodenia, najmä pri riešení problému s malvérom, ktorý je zameraný na komponenty systému s vysokými právami.

Počítače so zabezpečeným jadrom navyše využívajú Microsoft Virtual Secure Mode (VSM). Toto slúži na ochranu dôležitých údajov, ako sú napríklad prihlasovacie údaje používateľov v systéme Windows. To znamená, že v zriedkavých prípadoch, keď malvér poškodí jadro systému, je poškodenie obmedzené.

VSM môže počas takýchto inštancií vytvárať nové zóny zabezpečenia v operačnom systéme a udržiavať izoláciu prostredníctvom úrovní virtuálnej dôveryhodnosti (VTL), ktoré fungujú na úrovni jednotlivých oddielov.

V počítačoch so zabezpečeným jadrom hostuje VSM riešenia na odstrašenie bezpečnosti, ako sú Credential Guard, Device Guard a virtuálny modul Trusted Platform Module (TPM).

Prístup k týmto vysoko obohateným sektorom VSM poskytuje výlučne správca systému, ktorý tiež ovláda pamäť Procesor Management Unit (MMU), ako aj procesor správy vstupno-výstupnej pamäte (IOMMU), ktorý je do systému zapojený bootovanie.

Spoločnosť Microsoft však už má značné skúsenosti s vytváraním hardvérových bezpečnostných riešení; o tom svedčí hrádza pre Xbox.

Súvisiace: Ako prekonfigurovať program Windows Defender na lepšie zabezpečenie počítača

Medzi súčasných zabezpečených partnerov spoločnosti Microsoft patria spoločnosti Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic a vlastný segment spoločnosti Microsoft Surface, ktorý sa zaoberá osobne počítačov.

Ďalšie ochranné prvky zabezpečeného počítača

Zatiaľ čo počítače so zabezpečeným jadrom majú rozsiahle hardvérové ​​posilnenia zabezpečenia, vyžadujú tiež množstvo softvérových bezpečnostných doplnkov. Fungujú ako prvá línia obrany počas útoku malvéru.

Jedným z hlavných odstrašujúcich prvkov založených na softvéri je Windows Defender, ktorý implementuje program System Guard Secure Launch. Prvýkrát sprístupnený v systéme Windows 10 a na spustenie spúšťacích procesov do neovereného kódu používa pri spustení protokol Dynamic Root of Trust for Measurement (DRTM).

Čoskoro potom sa ujme všetkých procesov a obnoví sa ich dôveryhodný stav. To pomáha predchádzať problémom so zavádzaním, ak bol s kódom UEFI manipulované, a zachováva sa integrita kódu.

Pre absolútne bezpečné zavedenie je Windows 10 dodávaný s režimom S, ktorý je navrhnutý na zvýšenie bezpečnosti a výkonu procesora. V tomto režime môže systém Windows načítať iba podpísané aplikácie z obchodu Microsoft Store. Prehliadanie v tomto stave je obmedzené na používanie aplikácie Microsoft Edge.

Súvisiace: Ako používať detský režim v aplikácii Microsoft Edge na zaistenie bezpečnosti detí

Používatelia počítačov so zabezpečeným jadrom môžu tiež zvýšiť zabezpečenie počítača pomocou ovládania aplikácií Windows Defender (WDAC), aby obmedzili ovládače, ktoré môžu bežať v systéme Windows 10. Táto funkcia implementuje zásady ovládačov a softvéru, ktoré umožňujú fungovanie iba dôveryhodných aplikácií.

Windows Hello je ďalšia funkcia potrebná na zvýšenie bezpečnosti v počítačoch so zabezpečeným jadrom. Na zvýšenie bezpečnosti prihlásenia využíva funkcie rozpoznávania tváre, PIN a odomykania odtlačkom prsta.

Windows Hello sa spolieha na špecializovaný biometrický hardvér, ktorý obsahuje čítačku odtlačkov prstov a infračervené snímače. Hardvér využíva na zabezpečenie prihlasovacích údajov technológiu Trusted Platform Module (TPM).

Prečo sa spoločnosť Microsoft rozhodla vyvinúť zabezpečené základné počítače

Spoločnosť Microsoft investovala značné množstvo peňazí do výskumu a vývoja zabezpečených základných počítačov. Nasleduje niekoľko dôvodov, prečo spoločnosť uprednostnila bezpečnostný projekt.

Potreba chrániť podniky pred malvérom firmvéru

Kybernetické bezpečnostné hrozby sa vyvíjajú a podľa a Správa spoločnosti Microsoft, útoky sú čoraz sofistikovanejšie. Zdôrazňuje zistenia štúdie uskutočnenej v roku 2021 a ukazuje, že viac ako 80 percent firiem v rozvinutom svete zažilo za posledné dva roky útok na firmvér.

To znamená, že mnoho firiem na celom svete je zraniteľných voči schémam využívajúcim firmvérový malware.

Využitie firmvéru je veľmi ťažké odhaliť a odstrániť hneď, ako sa zmocnia systému. Väčšina počítačov sa navyše delí rovnaký kód BIOSA tak môžu byť medzery vo firmvéri odhalené hackerskými skupinami zneužité proti miliónom počítačov na celom svete bez ohľadu na ich značku alebo dodávateľa, a preto sú potrebné počítače so zabezpečeným jadrom.

Počítače so zabezpečeným jadrom riešia problémy s periférnym firmvérom

Zariadenia s nepodpísaným firmvérom spôsobujú v štandardných počítačoch veľké problémy so zabezpečením. Periférne zariadenia, ako sú napríklad webové kamery, sú známe tým, že používajú neobvyklý firmvér, pomocou ktorého je možné špehovať používateľov. Ich ovládače je tiež možné aktualizovať bez súhlasu klienta, čím sa zvyšujú riziká tejto udalosti.

Nedostatok harmonizovaných priemyselných bezpečnostných štandardov je jedným z hlavných dôvodov, prečo sa na nich hackeri zameriavajú počas útokov. Medzi zraniteľné zariadenia v súčasnosti patria touchpady, adaptéry Wi-Fi, webové kamery a rozbočovače USB. Väčšine z nich chýba kryptografický hash a overenie firmvéru, ktoré sa používajú v počítačoch so zabezpečeným jadrom.

Ťažkosti s harmonizáciou ich bezpečnostnej infraštruktúry znamenajú, že medzera pravdepodobne zostane otvorená mnoho rokov. Počítače so zabezpečeným jadrom sú v súčasnosti najlepšou voľbou pre organizácie, ktoré sa snažia vyhnúť takýmto bezpečnostným medzerám.

Spoločnosť Microsoft pracuje na ďalších riešeniach zabezpečenia firmvéru

Aj keď spoločnosť Microsoft vytvorila počítače so zabezpečeným jadrom, aby zabránila malvéru firmvéru, pracuje tiež na nástrojoch, ktoré pomôžu zmierniť útoky na štandardných počítačoch. Jeho nedávna akvizícia spoločnosti ReFirm Labs, vývojára integrovaného skenera integrity open-source firmvéru Binwalk, je krokom týmto smerom.

Očakáva sa, že technologický gigant v blízkej budúcnosti vyvinie ďalšie súvisiace riešenia.

Email
Je program Microsoft Defender najlepším antivírusom pre váš počítač v roku 2021?

Microsoft Defender je schopný antivírus. Je to však najlepšia voľba pre váš počítač v roku 2021?

Prečítajte si Ďalej

Súvisiace témy
  • Windows
  • Vysvetlená technológia
  • Bezpečnosť
  • Počítačová bezpečnosť
  • Malvér
O autorovi
Samuel Gush (10 publikovaných článkov)

Samuel Gush je technický spisovateľ v MakeUseOf. V prípade akýchkoľvek otázok ho môžete kontaktovať prostredníctvom e-mailu na adrese [email protected].

Viac od Samuela Gush

Prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!

Ešte jeden krok…!

V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.

.