Saugaus branduolio kompiuteriai yra kompiuterių klasė, skirta sutrukdyti nuolatinėms kenkėjiškų programų atakoms, ypač tie, kurie taikomi pažeidžiamumui, esantiems ne apsaugai, „Ring 0“ valdo tokias privilegijas kaip programinė aparatinė įranga kenkėjiškų programų. Privilegijos viršija tai, ką galėtų pasiekti įprastas vartotojas.
„Microsoft“ sankcionavo šios kategorijos kompiuterius saugumo technologijomis, sukurtomis kartu su pagrindiniais kompiuterių gamintojais ir silicio mikroschemų pardavėjais. Taigi, kas yra saugių branduolių kompiuteriai? Ir kodėl didžiosios įmonės gali ją naudoti?
Kodėl saugūs branduolių kompiuteriai yra tokie saugūs?
Saugiųjų branduolių kompiuterių komponentai veikia holistiškai sujungtoje struktūroje, kad užtikrintų aparatinės, aparatinės ir programinės įrangos vientisumą. Mašinos yra ypač svarbios organizacijoms, tokioms kaip verslas, bankai, ligoninės ir valstybinės institucijos, kurios reguliariai tvarko neskelbtinus duomenis.
Pažymėtina, kad jie tiekiami su įjungtomis apsaugomis, kurias gali išjungti tik įgalioti specialistai iš atitinkamų lustų pardavėjų.
„Microsoft“ bendradarbiavo su lustų gamintojais, tokiais kaip „Intel“, AMD ir „Qualcomm“, kurdami procesoriaus lustus, skirtus paleisti saugių branduolių kompiuterių vientisumo patikrinimai. Įdėjusios į pagrindinę plokštę, lustai tvarko saugos protokolus, kuriais paprastai remiamasi firmware.
Patvirtinimo procesas reikalauja autentifikuoti kriptografines maišas, kad būtų išlaikytas kodo vientisumas.
Kaip saugaus branduolio kompiuteriai atbaido kenkėjišką programinę įrangą
Saugaus branduolio kompiuteriai yra skirti autentifikuoti visas operacijas, susijusias su įkrovos procesu ir po jo. Kadangi jų sistemos kredencialai yra izoliuoti ir užrakinti, kad būtų užtikrinta kriptografinė maiša, kenkėjiška programa, bandanti perimti kritinius sistemos protokolus, negali gauti autentifikavimo žetonų.
Tokį saugumo lygį leidžia pasiekti „Windows HyperVisor“ kodo vientisumas (HVCI) ir virtualizavimu grįstas saugumas (VBS). HVCI veikia pagal VBS ir siekia pagerinti kodo vientisumą, kad tik patikrinti procesai būtų vykdomi per branduolio atmintį.
VBS naudoja aparatine įranga pagrįstą virtualizaciją, kad izoliuotų saugius atminties sektorius nuo operacinės sistemos. Per VBS galima užkirsti kelią gyvybiškai svarbiems saugumo procesams, kad jie nebūtų pažeisti. Tai svarbu bandant apriboti žalą, ypač kovojant su kenkėjiška programa, nukreipta į aukštos privilegijos sistemos komponentus.
Be to, saugių branduolių kompiuteriuose naudojamas „Microsoft“ virtualusis saugus režimas (VSM). Tai apsaugo svarbiausius duomenis, tokius kaip vartotojo kredencialai sistemoje „Windows“. Tai reiškia, kad retais atvejais, kai kenkėjiškos programos pažeidžia sistemos branduolį, žala yra ribota.
Tokiais atvejais VSM operacinėje sistemoje gali sukurti naujas saugumo zonas ir išlaikyti izoliaciją per virtualiųjų pasitikėjimo lygius (VTL), kurie veikia kiekvieno skaidinio lygiu.
Saugaus branduolio kompiuteriuose VSM talpina saugumo atgrasymo sprendimus, tokius kaip „Credential Guard“, „Device Guard“ ir virtualusis patikimas platformos modulis (TPM).
Prieigą prie šių labai įtvirtintų VSM sektorių suteikia tik sistemos valdytojas, kuris taip pat valdo Atmintį Valdymo bloko (MMU) procesorius, taip pat įvesties – išvesties atminties valdymo blokas (IOMMU), paleidimas.
Be to, „Microsoft“ jau turi didelę aparatinės įrangos saugos sprendimų patirtį; tai liudija „Xbox“ atrama.
Susijęs: Kaip pertvarkyti „Windows Defender“, kad geriau apsaugotumėte kompiuterį
Dabartiniai „Microsoft“ saugūs pagrindiniai partneriai yra „Dell“, „Dynabook“, „Lenovo“, HP, „Getac“, „Fujitsu“, „Acer“, „Asus“, „Panasonic“ ir pats kompanijos „Microsoft Surface“ segmentas, kuris užsiima asmenine veikla kompiuteriai.
Papildomos saugaus branduolio kompiuterio apsaugos priemonės
Nors saugaus branduolio kompiuteriuose yra daugybė aparatine įranga pagrįstų saugumo sustiprinimų, jiems taip pat reikia įvairios programinės įrangos saugos pagalbinių priemonių. Jie veikia kaip pirmoji gynybos linija kenkėjiškos atakos metu.
Vienas pagrindinių programinės įrangos atgrasymo priemonių yra „Windows Defender“, įgyvendinanti „System Guard Secure Launch“. Pirmą kartą prieinama sistemoje „Windows 10“, ji naudoja „Dynamic Root of Trust for Measurement“ (DRTM) protokolą, kad paleisdami paleidimo procesus paleistų į nepatikrintą kodą.
Netrukus po to jis užvaldo visus procesus ir grąžina juos į patikimą būseną. Tai padeda išvengti paleidimo problemų, jei UEFI kodas buvo sugadintas ir palaiko kodo vientisumą.
Norint užtikrinti visišką saugų paleidimą, „Windows 10“ yra „S“ režimas, skirtas apsaugai ir procesoriaus našumui pagerinti. Šiuo režimu „Windows“ iš „Microsoft Store“ gali įkelti tik pasirašytas programas. Naršymas šioje būsenoje ribojamas naudojant „Microsoft Edge“.
Susijęs: Kaip naudoti vaikų režimą „Microsoft Edge“, kad vaikai būtų saugūs
Saugiųjų kompiuterių vartotojai taip pat gali pagerinti kompiuterio saugumą naudodami „Windows Defender Application Control“ (WDAC), kad apribotų tvarkykles, kurioms leidžiama veikti „Windows 10“. Ši funkcija įgyvendina tvarkyklių ir programinės įrangos politiką, leidžiančią veikti tik patikimoms programoms.
„Windows Hello“ yra dar viena funkcija, reikalinga saugių branduolių kompiuterių saugumui pagerinti. Norint sustiprinti prisijungimo saugumą, naudojamos veido atpažinimo, PIN kodo ir atrakinimo pirštais atrakinimo galimybės.
„Windows Hello“ remiasi specializuota biometrinės įrangos įranga, apimančia pirštų atspaudų skaitytuvą ir infraraudonųjų spindulių jutiklius. Aparatinė įranga naudoja patikimos platformos modulio (TPM) technologiją, kad apsaugotų kredencialus.
Kodėl „Microsoft“ nusprendė kurti saugaus branduolio kompiuterius
„Microsoft“ investavo didelę pinigų sumą į saugių branduolių kompiuterių tyrimus ir plėtrą. Toliau pateikiamos kelios priežastys, kodėl įmonė pirmenybę teikė saugos projektui.
Poreikis apsaugoti verslą nuo kenkėjiškos programinės įrangos
Kibernetinio saugumo grėsmės vystosi ir, pasak a „Microsoft“ ataskaita, atakos tampa vis sudėtingesnės. Jame pabrėžiamos 2021 m. Atlikto tyrimo išvados ir atskleidžiama, kad per pastaruosius dvejus metus daugiau nei 80 proc. Išsivysčiusių šalių įmonių patyrė programinės įrangos ataką.
Tai reiškia, kad daugelis įmonių visame pasaulyje yra pažeidžiamos naudojant schemas, naudojančias kenkėjišką programinės įrangos programinę įrangą.
Programinės aparatinės įrangos išnaudojimus yra labai sunku aptikti ir pašalinti, kai jie pasiekia sistemą. Be to, dauguma kompiuterių dalijasi tą patį BIOS kodąir todėl įsilaužėlių grupių atskleistos programinės aparatinės įrangos spragos gali būti panaudotos milijonams kompiuterių visame pasaulyje, neatsižvelgiant į jų gamintoją ar pardavėjus, todėl reikia saugių branduolių kompiuterių.
Saugaus branduolio kompiuteriai sprendžia periferinės programinės įrangos problemas
Įrenginiai su nepasirašyta programine aparatine įranga kelia didelių saugumo problemų standartiniuose kompiuteriuose. Periferiniai įrenginiai, tokie kaip interneto kameros, garsėja tuo, kad naudoja nenormalią programinę-aparatinę įrangą, kuri gali būti naudojama šnipinėti vartotojus. Jų vairuotojai taip pat gali būti atnaujinami be kliento sutikimo, taip padidinant šio įvykio riziką.
Suderintų pramonės saugumo standartų nebuvimas yra viena iš pagrindinių priežasčių, dėl kurių įsilaužėliai nukreipia juos įsibrovimo atakų metu. Šiuo metu pažeidžiami įrenginiai yra jutikliniai kilimėliai, „Wi-Fi“ adapteriai, interneto kameros ir USB šakotuvai. Daugumai jų trūksta kriptografinio maišos ir programinės aparatinės įrangos patikrinimo, kurie naudojami saugaus branduolio kompiuteriuose.
Sudėtinga suderinti jų saugumo infrastruktūrą reiškia, kad spraga greičiausiai išliks daugelį metų. Šiuo metu saugių branduolių kompiuteriai yra geriausias pasirinkimas organizacijoms, siekiančioms išvengti tokių saugumo spragų.
„Microsoft“ dirba su daugiau programinės įrangos saugos sprendimų
Nors „Microsoft“ sukūrė saugių branduolių kompiuterius, kad sutrukdytų kenkėjišką programinę-aparatinę programinę įrangą, ji taip pat dirba su įrankiais, padedančiais sumažinti standartinių kompiuterių atakas. Neseniai įsigytas „ReFirm Labs“, „Binwalk“ atvirojo kodo programinės įrangos vientisumo skaitytuvo kūrėjas, yra žingsnis šia linkme.
Tikimasi, kad artimiausiu metu technologijų gigantas sukurs daugiau susijusių sprendimų.
„Microsoft Defender“ yra pajėgi antivirusinė programa. Bet ar tai geriausias pasirinkimas jūsų kompiuteriui 2021 m.
Skaitykite toliau
- „Windows“
- Paaiškinta technologija
- Saugumas
- Kompiuterių sauga
- Kenkėjiška programa
Samuelis Gushas yra „MakeUseOf“ technologijų rašytojas. Dėl bet kokių klausimų galite susisiekti su juo el. Paštu [email protected].
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Dar vienas žingsnis…!
Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.
