Droša kodola datori ir datoru klase, kas īpaši paredzēta, lai kavētu pastāvīgus ļaunprātīgas programmatūras uzbrukumus tie, kas vērsti uz ievainojamībām ārpus aizsardzības Ring 0 kontrolē privilēģijas, piemēram, programmaparatūru ļaunprātīgu programmatūru. Privilēģijas pārsniedz to, ko varētu piekļūt parasts lietotājs.

Microsoft ir sankcionējis šo datoru kategoriju ar drošības tehnoloģijām, kas izstrādātas kopā ar lielākajiem datoru ražotājiem un silīcija mikroshēmu pārdevējiem. Kas tad īsti ir nodrošināto kodolu datori? Un kāpēc lielie uzņēmumi to varētu izmantot?

Kāpēc Secure-Core datori ir tik droši?

Droša kodola datoru komponenti darbojas holistiskā apvienotā struktūrā, lai nodrošinātu programmaparatūras, aparatūras un programmatūras integritāti. Mašīnas ir īpaši svarīgas organizācijām, piemēram, uzņēmumiem, bankām, slimnīcām un valsts iestādēm, kas regulāri apstrādā sensitīvus datus.

Īpaši tie tiek piegādāti ar iespējotu aizsardzību, kuru var izslēgt tikai pilnvaroti speciālisti no attiecīgajiem mikroshēmu piegādātājiem.

instagram viewer

Microsoft ir sadarbojies ar tādu mikroshēmu ražotājiem kā Intel, AMD un Qualcomm, lai izstrādātu darbināšanai veltītas procesora mikroshēmas droša kodola datoru integritātes pārbaudes. Kad mikroshēmas ir iegultas mātesplatē, tās apstrādā drošības protokolus, uz kuriem parasti paļaujas programmaparatūra.

Pārbaudes process ietver kriptogrāfisko jaukumu autentificēšanu, lai saglabātu koda integritāti.

Kā drošā kodola datori novērš programmaparatūras ļaunprātīgu programmatūru

Droša kodola datori ir paredzēti, lai autentificētu visas darbības, kas saistītas ar sāknēšanas procesu un pēc tā. Tā kā viņu sistēmas akreditācijas dati ir izolēti un bloķēti, lai nodrošinātu kriptogrāfijas jaukšanu, ļaunprātīga programmatūra, mēģinot pārņemt kritiskos sistēmas protokolus, nespēj izgūt autentifikācijas marķierus.

Šis drošības līmenis ir iespējams, izmantojot Windows HyperVisor koda integritāti (HVCI) un uz virtualizāciju balstītu drošību (VBS). HVCI darbojas zem VBS un darbojas, lai uzlabotu koda integritāti tā, lai caur kodola atmiņu tiktu veikti tikai pārbaudīti procesi.

VBS izmanto aparatūras virtualizāciju, lai izolētu drošās atmiņas sektorus no operētājsistēmas. Izmantojot VBS, ir iespējams izslēgt svarīgus drošības procesus, lai novērstu to apdraudēšanu. Tas ir svarīgi, mēģinot ierobežot bojājumus, it īpaši, ja nodarbojas ar ļaunprātīgu programmatūru, kuras mērķis ir sistēmas privilēģiju komponenti.

Turklāt drošā kodola datoros tiek izmantots Microsoft virtuālais drošais režīms (VSM). Tas darbojas, lai aizsargātu svarīgus datus, piemēram, lietotāja akreditācijas datus sistēmā Windows. Tas nozīmē, ka retos gadījumos, kad ļaunprogrammatūra apdraud sistēmas kodolu, bojājumi ir ierobežoti.

Šādos gadījumos VSM var izveidot jaunas drošības zonas operētājsistēmā un uzturēt izolāciju, izmantojot virtuālos uzticamības līmeņus (VTL), kas darbojas nodalījuma līmenī.

Droša kodola personālajos datoros VSM mitina drošības novēršanas risinājumus, piemēram, Credential Guard, Device Guard un virtuālo uzticamās platformas moduli (TPM).

Piekļuvi šiem ļoti stiprinātajiem VSM sektoriem piešķir tikai sistēmas pārvaldnieks, kas arī kontrolē atmiņu Vadības bloka (MMU) procesors, kā arī ievades un izvades atmiņas pārvaldības bloks (IOMMU), kas ir iesaistīts sāknēšana.

Tas nozīmē, ka Microsoft jau ir ievērojama pieredze, veidojot uz aparatūru balstītus drošības risinājumus; par to liecina Xbox nocietinājums.

Saistīts: Kā pārkonfigurēt Windows Defender, lai labāk aizsargātu datoru

Pašreizējie Microsoft drošā kodola partneri ir Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic un pats uzņēmuma Microsoft Surface segments, kas nodarbojas ar personisku datori.

Papildu drošā kodola datoru drošības pasākumi

Kaut arī nodrošināta kodola datoriem ir plaši uz aparatūru balstīti drošības pastiprinājumi, tiem ir nepieciešami arī dažādi programmatūras drošības palīgierīces. Ļaunprātīgas programmatūras uzbrukuma laikā tie darbojas kā pirmā aizsardzības līnija.

Viens no galvenajiem programmatūras balstītajiem preventīvajiem faktoriem ir Windows Defender, kas īsteno System Guard Secure Launch. Pirmo reizi padarot pieejamu operētājsistēmā Windows 10, tā izmanto Dynamic Root of Trust for Measurement (DRTM) protokolu, lai palaistu sāknēšanas procesus nepārbaudītā kodā.

Drīz pēc tam tas pārņem visus procesus un atjauno tos uzticamā stāvoklī. Tas palīdz novērst sāknēšanas problēmas, ja UEFI kods ir sagrozīts un saglabā koda integritāti.

Lai nodrošinātu absolūtu drošu sāknēšanu, Windows 10 ir aprīkots ar S režīmu, kas paredzēts drošības un procesora veiktspējas uzlabošanai. Šajā režīmā Windows no Microsoft veikala var ielādēt tikai parakstītas lietotnes. Pārlūkošana šajā stāvoklī ir ierobežota, izmantojot Microsoft Edge.

Saistīts: Kā lietot bērnu režīmu Microsoft Edge, lai bērni būtu drošībā

Droša kodola datoru lietotāji var arī uzlabot datoru drošību, izmantojot Windows Defender lietojumprogrammu vadību (WDAC), lai ierobežotu draiverus, kuriem atļauts darboties operētājsistēmā Windows 10. Funkcija ievieš draiveru un programmatūras politikas, ļaujot darboties tikai uzticamām lietotnēm.

Windows Hello ir vēl viena funkcija, kas nepieciešama, lai uzlabotu drošību nodrošināto datoru datoros. Lai stiprinātu pieteikšanās drošību, tiek izmantotas sejas atpazīšanas, PIN un pirkstu nospiedumu atbloķēšanas iespējas.

Windows Hello paļaujas uz specializētu biometrisko aparatūru, kas ietver pirkstu nospiedumu lasītāju un infrasarkano staru sensorus. Aparatūra izmanto uzticamās platformas moduļa (Trusted Platform Module - TPM) tehnoloģiju, lai aizsargātu akreditācijas datus.

Kāpēc Microsoft nolēma izstrādāt drošā kodola datorus

Microsoft ir ieguldījusi ievērojamu naudas summu nodrošināto kodolu datoru izpētē un izstrādē. Tālāk ir minēti daži iemesli, kāpēc uzņēmums par prioritāti izvirzīja drošības projektu.

Nepieciešamība aizsargāt uzņēmumus pret programmaparatūras ļaunprātīgu programmatūru

Kiberdrošības draudi attīstās, un saskaņā ar a Microsoft ziņojums, uzbrukumi kļūst arvien sarežģītāki. Tajā uzsvērti 2021. gadā veiktā pētījuma rezultāti un atklāts, ka vairāk nekā 80 procenti attīstīto valstu uzņēmumu iepriekšējo divu gadu laikā ir piedzīvojuši programmaparatūras uzbrukumu.

Tas nozīmē, ka daudzi uzņēmumi visā pasaulē ir neaizsargāti pret tādu shēmu izmantošanu, kurās tiek izmantota programmaparatūras ļaunprātīga programmatūra.

Programmaparatūras izmantojumus ir ļoti grūti noteikt un noņemt, tiklīdz tie saņem sistēmu. Turklāt lielākā daļa datoru ir koplietojami to pašu BIOS koduun tādējādi hakeru grupu atklātās programmaparatūras nepilnības var izmantot miljoniem datoru visā pasaulē neatkarīgi no to ražotāja vai pārdevējiem, tāpēc ir vajadzīgi droša kodola datori.

Droša kodola datori risina perifērās programmaparatūras problēmas

Ierīces ar neparakstītu programmaparatūru rada nopietnas drošības problēmas standarta datoros. Tādas perifērijas ierīces kā tīmekļa kameras ir pazīstamas ar anomālas programmaparatūras palaišanu, ko var izmantot, lai izspiegotu lietotājus. Viņu vadītājus var atjaunināt arī bez klienta piekrišanas, tādējādi palielinot šī notikuma risku.

Saskaņotu nozares drošības standartu trūkums ir viens no galvenajiem iemesliem, kāpēc hakeri vēršas pret viņiem ielaušanās uzbrukumu laikā. Pašlaik neaizsargātās ierīces ir skārienpaliktņi, Wi-Fi adapteri, tīmekļa kameras un USB centrmezgli. Lielākajai daļai no tām trūkst kriptogrāfijas jaukšanas un programmaparatūras verifikācijas, kuras tiek izmantotas drošā kodola datoros.

Grūtības saskaņot viņu drošības infrastruktūru nozīmē, ka nepilnība, iespējams, paliks atvērta daudzus gadus. Pašlaik drošā koda datori ir labākais risinājums organizācijām, kuras vēlas izvairīties no šādām drošības nepilnībām.

Microsoft strādā pie vairākiem programmaparatūras drošības risinājumiem

Kaut arī Microsoft ir izveidojis droša kodola datorus, lai kavētu programmaparatūras ļaunprātīgo programmatūru, tā strādā arī pie rīkiem, kas palīdz samazināt uzbrukumus standarta datoros. Nesen iegādātais uzņēmums ReFirm Labs, Binwalk atvērtā koda programmaparatūras integritātes skeneru izstrādātājs, ir solis šajā virzienā.

Paredzams, ka tuvākajā nākotnē tehnoloģiju gigants izstrādās vairāk saistītu risinājumu.

E-pasts
Vai Microsoft Defender ir labākais antivīruss jūsu datoram 2021. gadā?

Microsoft Defender ir spējīgs antivīruss. Bet vai tā ir labākā izvēle jūsu datoram 2021. gadā?

Lasiet Tālāk

Saistītās tēmas
  • Windows
  • Tehnoloģija izskaidrota
  • Drošība
  • Datoru drošība
  • Ļaunprātīga programmatūra
Par autoru
Semjuels Gušs (Publicēti 10 raksti)

Semjuels Gušs ir tehnoloģiju rakstnieks vietnē MakeUseOf. Par jebkuru jautājumu varat sazināties ar viņu pa e-pastu [email protected].

Vairāk no Semjuela Guša

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!

Vēl viens solis !!!

Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.

.