Zaščiteni jedri osebnih računalnikov so vrsta računalnikov, namenjenih predvsem preprečevanju trajnih napadov zlonamerne programske opreme tiste, ki ciljajo na ranljivosti zunaj zaščite Ring 0, nadzorne privilegije, kot je vdelana programska oprema zlonamerne programske opreme. Privilegiji presegajo tiste, ki bi jih imel običajen uporabnik.
Microsoft je to kategorijo osebnih računalnikov sankcioniral z varnostnimi tehnologijami, razvitimi v sodelovanju z večjimi proizvajalci osebnih računalnikov in prodajalci silicijevih čipov. Kaj pravzaprav so osebni računalniki z varnim jedrom? In zakaj bi ga lahko velika podjetja uporabljala?
Zakaj so osebni računalniki z varnim jedrom tako varni?
Komponente osebnih računalnikov z zaščitenim jedrom delujejo v celostni združeni strukturi, da zagotovijo integriteto vdelane, strojne in programske opreme. Stroji so še posebej pomembni za organizacije, kot so podjetja, banke, bolnišnice in državne institucije, ki redno obdelujejo občutljive podatke.
Predvsem so dobavljeni z omogočenimi zaščitami, ki jih lahko izključijo samo pooblaščeni strokovnjaki ustreznih prodajalcev čipov.
Microsoft je sodeloval s proizvajalci čipov, kot so Intel, AMD in Qualcomm, pri razvoju procesorskih čipov, namenjenih za delovanje preverjanje celovitosti osebnih računalnikov z varnim jedrom. Ko so čipi vgrajeni v matično ploščo, uporabljajo varnostne protokole, na katere se običajno zanašajo firmware.
Postopek preverjanja vključuje preverjanje pristnosti kriptografskih zgoščenk, da se ohrani celovitost kode.
Kako zaščiteni jedri osebnih računalnikov določajo zlonamerno programsko opremo
Zaščiteni jedri osebnih računalnikov so zasnovani za preverjanje pristnosti vseh operacij, ki so vključene med in po zagonskem postopku. Ker so njihove sistemske poverilnice izolirane in zaklenjene za zaščito kriptografskih zgoščenk, zlonamerna programska oprema, ki poskuša prevzeti kritične sistemske protokole, ne more pridobiti žetonov za preverjanje pristnosti.
Ta raven varnosti je omogočena s sistemom Windows HyperVisor Code Integrity (HVCI) in Virtualization-Based Security (VBS). HVCI deluje v okviru VBS in si prizadeva izboljšati integriteto kode, tako da se prek pomnilnika jedra izvajajo samo preverjeni procesi.
VBS uporablja virtualizacijo na osnovi strojne opreme, da izolira varne pomnilniške sektorje od operacijskega sistema. Preko VBS je mogoče osamiti vitalne varnostne procese, da ne bi bili ogroženi. To je pomembno, kadar poskušate omejiti škodo, še posebej, če se ukvarjate z zlonamerno programsko opremo, ki cilja na visoko privilegirane sistemske komponente.
Zaščiteni jedri osebnih računalnikov poleg tega uporabljajo Microsoftov virtualni varni način (VSM). To deluje za zaščito ključnih podatkov, kot so uporabniške poverilnice v sistemu Windows. To pomeni, da je v redkih primerih, ko zlonamerna programska oprema ogrozi sistemsko jedro, škoda omejena.
VSM lahko v takih primerih ustvari nova varnostna območja znotraj operacijskega sistema in ohranja izolacijo prek navideznih nivojev zaupanja (VTL), ki delujejo na ravni vsake particije.
V osebnih računalnikih z zaščitenim jedrom VSM gosti rešitve za odvračanje od varnosti, kot so Credential Guard, Device Guard in virtualni Trusted Platform Module (TPM).
Dostop do teh visoko utrjenih sektorjev VSM omogoča izključno sistemski upravitelj, ki nadzoruje tudi pomnilnik Upravljalna enota (MMU) in enota za upravljanje vhodno-izhodnega pomnilnika (IOMMU), ki sodeluje pri zagon.
Kljub temu ima Microsoft že izkušnje z ustvarjanjem varnostnih rešitev, ki temeljijo na strojni opremi; trdnjava Xbox o tem priča.
Sorodno: Kako znova konfigurirati Windows Defender za boljšo zaščito računalnika
Med sedanjimi Microsoftovimi zavarovanimi partnerji so Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic in lastni Microsoftov segment Surface podjetja, ki se ukvarja osebno računalniki.
Dodatne zaščite za zaščiteno jedro računalnika
Medtem ko imajo osebni računalniki z zaščitenim jedrom obsežne varnostne ojačitve, ki temeljijo na strojni opremi, pa potrebujejo tudi raznovrstne varnostne pomožne programe. Med napadom zlonamerne programske opreme delujejo kot prva obrambna linija.
Glavno odvračilno sredstvo, ki temelji na programski opremi, je Windows Defender, ki izvaja sistemsko zaščito Secure Launch. Prvič na voljo v operacijskem sistemu Windows 10, uporablja protokol Dynamic Root of Trust of Trust for Measurement (DRTM) za zagon zagonskih procesov v nepreverjeno kodo ob zagonu.
Kmalu zatem zajame vse procese in jih obnovi v zanesljivo stanje. To pomaga pri preprečevanju težav z zagonom, če je bila koda UEFI posežena in ohranja celovitost kode.
Za popolno varno zagon ima Windows 10 način S, ki je zasnovan za izboljšanje varnosti in zmogljivosti CPU. V tem načinu lahko Windows naloži samo podpisane aplikacije iz trgovine Microsoft Store. Brskanje v tem stanju je omejeno na uporabo programa Microsoft Edge.
Sorodno: Kako uporabljati otroški način v programu Microsoft Edge za zaščito otrok
Uporabniki osebnih računalnikov z zaščitenim jedrom lahko tudi povečajo varnost računalnika z uporabo programa Windows Defender Application Control (WDAC), da omejijo gonilnike, ki jih je dovoljeno izvajati v sistemu Windows 10. Funkcija izvaja pravilnike o gonilnikih in programski opremi, ki omogočajo delovanje samo zaupanja vrednim aplikacijam.
Windows Hello je še ena funkcija, potrebna za povečanje varnosti v osebnih računalnikih z zaščitenim jedrom. Za krepitev varnosti prijave uporablja prepoznavanje obrazov, PIN in odklepanje prstnih odtisov.
Windows Hello se zanaša na specializirano biometrično strojno opremo, ki vključuje bralnik prstnih odtisov in infrardeče senzorje. Strojna oprema uporablja tehnologijo Trusted Platform Module (TPM) za zaščito poverilnic.
Zakaj se je Microsoft odločil za razvoj osebnih računalnikov z zaščitenim jedrom
Microsoft je veliko sredstev vložil v raziskave in razvoj osebnih računalnikov z zavarovanim jedrom. Spodaj je nekaj razlogov, zakaj je podjetje dalo prednost varnostnemu projektu.
Potreba po zaščiti podjetij pred zlonamerno programsko opremo
Grožnje kibernetske varnosti se razvijajo in po navedbah a Microsoftovo poročilonapadi postajajo vse bolj izpopolnjeni. Izpostavlja izsledke študije, izvedene leta 2021, in razkriva, da je več kot 80 odstotkov podjetij v razvitem svetu v zadnjih dveh letih doživelo napad na vdelano programsko opremo.
To pomeni, da so številna podjetja po vsem svetu ranljiva za sisteme izkoriščanja zlonamerne programske opreme vdelane programske opreme.
Izkoriščanja vdelane programske opreme je zelo težko zaznati in odstraniti, ko pridejo v sistem. Poleg tega si večina računalnikov deli isto kodo BIOS-ain tako lahko vrzeli vdelane programske opreme, ki jih odkrijejo hekerske skupine, vplivajo na milijone računalnikov po vsem svetu, ne glede na njihovo znamko ali prodajalca, zato je potrebna zaščitena jedra osebnih računalnikov.
Zaščiteni računalniki rešujejo težave z zunanjo vdelano programsko opremo
Naprave z nepodpisano vdelano programsko opremo povzročajo velike varnostne težave v običajnih osebnih računalnikih. Periferne naprave, kot so spletne kamere, so znane po tem, da poganjajo nenavadno vdelano programsko opremo, s katero lahko vohunijo za uporabniki. Njihove gonilnike je mogoče posodobiti tudi brez soglasja stranke, s čimer se poveča tveganje za to.
Pomanjkanje usklajenih industrijskih varnostnih standardov je eden glavnih razlogov, zakaj jih hekerji usmerjajo med napadi na vdor. Trenutno ranljive naprave vključujejo sledilne ploščice, adapterje Wi-Fi, spletne kamere in zvezdišča USB. Večina jih nima kriptografskega razprševanja in preverjanja vdelane programske opreme, ki se uporabljajo v osebnih računalnikih z zaščitenim jedrom.
Težave pri usklajevanju njihove varnostne infrastrukture pomenijo, da bo vrzel verjetno ostala odprta še vrsto let. Trenutno so osebni računalniki z varnim jedrom najboljša možnost za organizacije, ki se želijo izogniti takšnim varnostnim vrzelim.
Microsoft dela na več rešitvah za varnost vdelane programske opreme
Medtem ko je Microsoft ustvaril varne računalnike z jedrom, da bi preprečil zlonamerno programsko opremo vdelane programske opreme, se ukvarja tudi z orodji za lažje napade v običajnih računalnikih. Njegova nedavna pridobitev podjetja ReFirm Labs, razvijalca odprtokodne programske opreme za integrirano programsko opremo Binwalk, je korak v to smer.
Pričakuje se, da bo tehnološki velikan v bližnji prihodnosti razvil več sorodnih rešitev.
Microsoft Defender je sposoben protivirusni program. Toda ali je to najboljša izbira za vaš računalnik leta 2021?
Preberite Naprej
- Windows
- Pojasnjena tehnologija
- Varnost
- Računalniška varnost
- Zlonamerna programska oprema
Samuel Gush je pisec tehnologij pri MakeUseOf. Za vsa vprašanja se lahko obrnete nanj po e-pošti na [email protected].
Naročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!
Še en korak…!
Potrdite svoj e-poštni naslov v e-poštnem sporočilu, ki smo vam ga pravkar poslali.