Οι υπολογιστές με ασφαλή πυρήνα είναι μια κατηγορία υπολογιστών που έχουν σχεδιαστεί για να αποτρέπουν επίμονες επιθέσεις κακόβουλου λογισμικού, ειδικά Εκείνα που στοχεύουν ευπάθειες εκτός προστασίας προστασίας Ring 0, όπως υλικολογισμικό κακόβουλο λογισμικό. Τα προνόμια είναι πέρα από αυτά που ένας κανονικός χρήστης θα είχε πρόσβαση.
Η Microsoft έχει εγκρίνει αυτήν την κατηγορία υπολογιστών με τεχνολογίες ασφαλείας που αναπτύχθηκαν σε συνεργασία με μεγάλους κατασκευαστές υπολογιστών και προμηθευτές τσιπ πυριτίου. Τι ακριβώς είναι οι υπολογιστές με ασφαλή πυρήνα; Και γιατί οι μεγάλες επιχειρήσεις μπορούν να χρησιμοποιήσουν μία;
Γιατί οι υπολογιστές Secured-Core είναι τόσο ασφαλείς;
Εξαρτήματα σε υπολογιστές με ασφαλή πυρήνα λειτουργούν σε μια ολιστική συγχωνευμένη δομή για να διασφαλίζουν την ακεραιότητα του υλικολογισμικού, του υλικού και του λογισμικού. Τα μηχανήματα είναι ιδιαίτερα σημαντικά για οργανισμούς όπως επιχειρήσεις, τράπεζες, νοσοκομεία και κρατικά ιδρύματα που χειρίζονται τακτικά ευαίσθητα δεδομένα.
Συγκεκριμένα, αποστέλλονται με ενεργοποιημένες προστασίες που μπορούν να απενεργοποιηθούν μόνο από εξουσιοδοτημένους ειδικούς από τους αντίστοιχους πωλητές τσιπ.
Η Microsoft έχει συνεργαστεί με κατασκευαστές chip όπως Intel, AMD και Qualcomm για την ανάπτυξη chip CPU αφιερωμένο στην εκτέλεση έλεγχοι ακεραιότητας για υπολογιστές με ασφαλή πυρήνα. Μόλις ενσωματωθούν στη μητρική πλακέτα, τα τσιπ χειρίζονται πρωτόκολλα ασφαλείας που βασίζονται συνήθως υλικολογισμικό.
Η διαδικασία επαλήθευσης συνεπάγεται έλεγχο ταυτότητας κρυπτογραφικών κατακερματισμών για τη διατήρηση της ακεραιότητας του κώδικα.
Πώς οι υπολογιστές με ασφαλή πυρήνα εντοπίζουν κακόβουλο λογισμικό υλικολογισμικού
Οι υπολογιστές με ασφαλή πυρήνα έχουν σχεδιαστεί για έλεγχο ταυτότητας όλων των λειτουργιών που περιλαμβάνονται κατά τη διάρκεια και μετά τη διαδικασία εκκίνησης. Επειδή τα διαπιστευτήρια του συστήματός τους είναι απομονωμένα και κλειδωμένα για την προστασία κρυπτογραφικών κατακερματισμών, το κακόβουλο λογισμικό που προσπαθεί να αναλάβει κρίσιμα πρωτόκολλα συστήματος δεν είναι σε θέση να ανακτήσει διακριτικά ελέγχου ταυτότητας.
Αυτό το επίπεδο ασφάλειας καθίσταται δυνατό μέσω των Windows HyperVisor Code Integrity (HVCI) και ασφάλειας βάσει εικονικοποίησης (VBS). Το HVCI λειτουργεί κάτω από το VBS και λειτουργεί για την ενίσχυση της ακεραιότητας του κώδικα, έτσι ώστε να εκτελούνται μόνο επαληθευμένες διαδικασίες μέσω μνήμης πυρήνα.
Το VBS χρησιμοποιεί εικονικοποίηση βάσει υλικού για την απομόνωση ασφαλών τομέων μνήμης από το λειτουργικό σύστημα. Μέσω του VBS, είναι δυνατό να απομονωθούν ζωτικές διαδικασίες ασφαλείας για να αποφευχθούν οι παραβιάσεις τους. Αυτό είναι σημαντικό όταν προσπαθείτε να περιορίσετε τις ζημιές, ειδικά όταν αντιμετωπίζετε κακόβουλο λογισμικό που στοχεύει στοιχεία συστήματος υψηλών προνομίων.
Επιπλέον, οι υπολογιστές με ασφαλή πυρήνα χρησιμοποιούν την εικονική ασφαλή λειτουργία της Microsoft (VSM). Αυτό λειτουργεί για την προστασία κρίσιμων δεδομένων, όπως διαπιστευτήρια χρήστη στα Windows. Αυτό σημαίνει ότι στη σπάνια περίπτωση που το κακόβουλο λογισμικό θέτει σε κίνδυνο τον πυρήνα του συστήματος, η ζημιά είναι περιορισμένη.
Το VSM μπορεί να δημιουργήσει νέες ζώνες ασφαλείας στο λειτουργικό σύστημα κατά τη διάρκεια τέτοιων περιπτώσεων και να διατηρήσει την απομόνωση μέσω εικονικών επιπέδων εμπιστοσύνης (VTL), τα οποία λειτουργούν σε επίπεδο ανά διαμέρισμα.
Σε υπολογιστές με ασφαλή πυρήνα, το VSM φιλοξενεί λύσεις αποτροπής ασφαλείας, όπως Credential Guard, Device Guard και εικονική μονάδα αξιόπιστης πλατφόρμας (TPM).
Η πρόσβαση σε αυτούς τους ιδιαίτερα ενισχυμένους τομείς VSM παρέχεται αποκλειστικά από τον διαχειριστή συστήματος, ο οποίος ελέγχει επίσης τη Μνήμη Επεξεργαστής μονάδας διαχείρισης (MMU) καθώς και η μονάδα διαχείρισης μνήμης εισόδου-εξόδου (IOMMU), η οποία εμπλέκεται εκκίνηση.
Τούτου λεχθέντος, η Microsoft έχει ήδη σημαντική εμπειρία στη δημιουργία λύσεων ασφαλείας βάσει υλικού. το προπύργιο Xbox μαρτυρεί αυτό.
Σχετιζομαι με: Τρόπος επαναδιαμόρφωσης του Windows Defender για καλύτερη ασφάλεια του υπολογιστή σας
Τρέχοντες συνεργάτες ασφαλούς πυρήνα της Microsoft περιλαμβάνουν τις Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Η Asus, η Panasonic και το τμήμα Microsoft Surface της εταιρείας που ασχολείται προσωπικά Υπολογιστές.
Πρόσθετα προστατευτικά μέτρα ασφαλούς πυρήνα υπολογιστή
Ενώ οι υπολογιστές με ασφαλή πυρήνα διαθέτουν εκτεταμένες ενισχύσεις ασφαλείας με βάση το υλικό, απαιτούν επίσης μια πληθώρα βοηθητικών ασφαλείας που βασίζονται σε λογισμικό. Λειτουργούν ως η πρώτη γραμμή άμυνας κατά τη διάρκεια μιας επίθεσης κακόβουλου λογισμικού.
Ένας κύριος αποτρεπτικός παράγοντας που βασίζεται σε λογισμικό είναι το Windows Defender, το οποίο εφαρμόζει το System Guard Secure Launch. Πρώτα διαθέσιμο στα Windows 10, χρησιμοποιεί το πρωτόκολλο Dynamic Root of Trust for Measurement (DRTM) για την εκκίνηση διαδικασιών εκκίνησης σε μη επαληθευμένο κώδικα κατά την εκκίνηση.
Λίγο αργότερα, αναλαμβάνει όλες τις διαδικασίες και τις επαναφέρει σε αξιόπιστη κατάσταση. Αυτό βοηθά στην αποφυγή προβλημάτων εκκίνησης εάν έχει παραβιαστεί ο κώδικας UEFI και διατηρεί την ακεραιότητα του κώδικα.
Για απόλυτη ασφαλή εκκίνηση, τα Windows 10 διαθέτουν λειτουργία S, η οποία έχει σχεδιαστεί για να ενισχύει την ασφάλεια και την απόδοση της CPU. Ενώ σε αυτήν τη λειτουργία, τα Windows μπορούν να φορτώσουν μόνο υπογεγραμμένες εφαρμογές από το Microsoft Store. Η περιήγηση σε αυτήν την κατάσταση περιορίζεται στη χρήση του Microsoft Edge.
Σχετιζομαι με: Πώς να χρησιμοποιήσετε τη λειτουργία Kids στο Microsoft Edge για να διατηρήσετε τα παιδιά ασφαλή
Οι χρήστες υπολογιστών με ασφαλή πυρήνα μπορούν επίσης να βελτιώσουν την ασφάλεια του υπολογιστή χρησιμοποιώντας το Windows Defender Application Control (WDAC) για να περιορίσουν τα προγράμματα οδήγησης που επιτρέπεται να εκτελούνται στα Windows 10. Η δυνατότητα εφαρμόζει πολιτικές προγραμμάτων οδήγησης και λογισμικού που επιτρέπουν τη λειτουργία μόνο αξιόπιστων εφαρμογών.
Το Windows Hello είναι μια άλλη δυνατότητα που απαιτείται για τη βελτίωση της ασφάλειας σε υπολογιστές με ασφαλή πυρήνα. Χρησιμοποιεί δυνατότητες αναγνώρισης προσώπου, PIN και ξεκλειδώματος δακτυλικών αποτυπωμάτων για την ενίσχυση της ασφάλειας σύνδεσης.
Το Windows Hello βασίζεται σε εξειδικευμένο υλικό βιομετρίας που περιλαμβάνει αναγνώστη δακτυλικών αποτυπωμάτων και αισθητήρες υπερύθρων. Το υλικό χρησιμοποιεί την τεχνολογία Trusted Platform Module (TPM) για την προστασία των διαπιστευτηρίων.
Γιατί η Microsoft αποφάσισε να αναπτύξει υπολογιστές με ασφαλή πυρήνα
Η Microsoft έχει επενδύσει ένα σημαντικό χρηματικό ποσό στην έρευνα και ανάπτυξη υπολογιστών με ασφαλή πυρήνα. Οι παρακάτω είναι μερικοί από τους λόγους για τους οποίους η εταιρεία έδωσε προτεραιότητα στο έργο ασφαλείας.
Η ανάγκη προστασίας των επιχειρήσεων από κακόβουλο λογισμικό υλικολογισμικού
Οι απειλές για την ασφάλεια στον κυβερνοχώρο εξελίσσονται και σύμφωνα με ένα Αναφορά της Microsoft, οι επιθέσεις γίνονται πιο περίπλοκες. Υπογραμμίζει τα ευρήματα μιας μελέτης που πραγματοποιήθηκε το 2021 και αποκαλύπτει ότι πάνω από το 80 τοις εκατό των επιχειρήσεων στον ανεπτυγμένο κόσμο έχουν υποστεί επίθεση υλικολογισμικού τα δύο προηγούμενα χρόνια.
Αυτό σημαίνει ότι πολλές επιχειρήσεις σε όλο τον κόσμο είναι ευάλωτες σε εκμετάλλευση συστημάτων που χρησιμοποιούν το κακόβουλο λογισμικό υλικολογισμικού.
Οι εκμεταλλεύσεις υλικολογισμικού είναι πολύ δύσκολο να εντοπιστούν και να αφαιρεθούν μόλις καταλάβουν ένα σύστημα. Επιπλέον, οι περισσότεροι υπολογιστές μοιράζονται τον ίδιο κωδικό BIOS, και έτσι τα κενά υλικολογισμικού που αποκαλύφθηκαν από ομάδες χάκερ μπορούν να αξιοποιηθούν έναντι εκατομμυρίων υπολογιστών παγκοσμίως, ανεξάρτητα από τη μάρκα ή τους προμηθευτές τους, εξ ου και η ανάγκη για υπολογιστές με ασφαλή πυρήνα.
Υπολογιστές ασφαλούς πυρήνα επιλύουν προβλήματα περιφερειακού υλικολογισμικού
Οι συσκευές με υλικολογισμικό χωρίς υπογραφή θέτουν σημαντικά προβλήματα ασφαλείας σε τυπικούς υπολογιστές. Περιφερειακά όπως οι κάμερες web είναι διαβόητα για τη λειτουργία ανώμαλου υλικολογισμικού που μπορεί να χρησιμοποιηθεί για την κατασκοπεία χρηστών. Τα προγράμματα οδήγησης τους μπορούν επίσης να ενημερωθούν χωρίς τη συγκατάθεση του πελάτη, αυξάνοντας έτσι τους κινδύνους από αυτό.
Η έλλειψη εναρμονισμένων προτύπων ασφάλειας του κλάδου είναι ένας από τους πρωταρχικούς λόγους για τους οποίους οι χάκερ τους στοχεύουν κατά τη διάρκεια εισβολών. Προς το παρόν, οι ευάλωτες συσκευές περιλαμβάνουν touchpad, προσαρμογείς Wi-Fi, κάμερες και διανομέα USB. Τα περισσότερα από αυτά στερούνται κρυπτογραφικής κατακερματισμού και επαλήθευσης υλικολογισμικού, τα οποία χρησιμοποιούνται σε υπολογιστές με ασφαλή πυρήνα.
Η δυσκολία εναρμόνισης των υποδομών ασφαλείας τους σημαίνει ότι το κενό μπορεί να παραμείνει ανοιχτό για πολλά χρόνια. Επί του παρόντος, οι υπολογιστές με ασφαλή πυρήνα είναι η καλύτερη επιλογή για οργανισμούς που θέλουν να αποφύγουν τέτοια κενά ασφαλείας.
Η Microsoft εργάζεται σε περισσότερες λύσεις ασφαλείας υλικολογισμικού
Ενώ η Microsoft δημιούργησε υπολογιστές με ασφαλή πυρήνα για την αποτροπή κακόβουλου λογισμικού υλικολογισμικού, εργάζεται επίσης σε εργαλεία που βοηθούν στη μείωση των επιθέσεων σε τυπικούς υπολογιστές. Η πρόσφατη εξαγορά της ReFirm Labs, του προγραμματιστή σαρωτή ακεραιότητας υλικολογισμικού ανοιχτού κώδικα Binwalk, είναι ένα βήμα προς αυτήν την κατεύθυνση.
Αναμένεται ότι στο μέλλον θα αναπτυχθούν περισσότερες σχετικές λύσεις από τον τεχνολογικό γίγαντα.
Το Microsoft Defender είναι ένα ικανό antivirus. Είναι όμως η καλύτερη επιλογή για τον υπολογιστή σας το 2021;
Διαβάστε Επόμενο
- Παράθυρα
- Η τεχνολογία εξηγείται
- Ασφάλεια
- Ασφάλεια του υπολογιστή
- Κακόβουλο λογισμικό
Ο Samuel Gush είναι συγγραφέας τεχνολογίας στο MakeUseOf. Για οποιαδήποτε απορία μπορείτε να επικοινωνήσετε μαζί του μέσω email στη διεύθυνση [email protected].
Εγγραφείτε στο Newsletter μας
Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Ένα ακόμη βήμα…!
Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.