什么是 Secured-Core PC,它们如何防范恶意软件?

安全核心 PC 是一类旨在阻止持续恶意软件攻击的计算机,尤其是那些针对保护 Ring 0 控制权限之外的漏洞(例如固件恶意软件)的计算机。权限超出了普通用户的访问权限。

Microsoft 已批准使用与主要 PC 制造商和硅芯片供应商共同开发的安全技术的此类 PC。那么究竟什么是安全核心 PC?为什么大企业会使用它?

为什么 Secured-Core PC 如此安全?

安全核心 PC 上的组件在一个整体的合并结构中工作,以确保固件、硬件和软件的完整性。这些机器对于定期处理敏感数据的企业、银行、医院和国家机构等组织尤为重要。

值得注意的是,它们附带启用的保护功能,只能由各自芯片供应商的授权专家关闭。

微软与英特尔、AMD 和高通等芯片制造商合作开发 CPU 芯片,专门用于对安全核心 PC 进行完整性检查。一旦嵌入到主板中,芯片就会处理通常依赖于固件的安全协议。

验证过程需要验证加密哈希以维护代码完整性。

Secured-Core PC 如何阻止固件恶意软件

安全核心 PC 旨在验证启动过程中和启动后涉及的所有操作。由于他们的系统凭据被隔离并锁定以保护加密哈希,因此试图接管关键系统协议的恶意软件无法检索身份验证令牌。

这种级别的安全性是通过 Windows HyperVisor 代码完整性 (HVCI) 和基于虚拟化的安全性 (VBS) 实现的。 HVCI 在 VBS 下运行并致力于增强代码完整性,以便只有经过验证的进程才能通过内核内存执行。

VBS 利用基于硬件的虚拟化将安全内存扇区与操作系统隔离。通过 VBS,可以隔离重要的安全进程以防止它们受到损害。这在尝试限制损害时很重要,尤其是在处理针对高特权系统组件的恶意软件时。

此外,安全核心 PC 使用 Microsoft 的虚拟安全模式 (VSM)。这可以保护关键数据,例如 Windows 中的用户凭据。这意味着在极少数情况下恶意软件会破坏系统内核,损害是有限的。

VSM 可以在此类实例期间在操作系统内创建新的安全区域,并通过虚拟信任级别 (VTL) 保持隔离,该级别在每个分区级别工作。

在安全核心 PC 中,VSM 托管安全威慑解决方案,例如 Credential Guard、Device Guard 和虚拟可信平台模块 (TPM)。

对这些高度强化的 VSM 扇区的访问仅由系统管理器授予,系统管理器还控制内存管理单元 (MMU) 处理器以及参与启动的输入-输出内存管理单元 (IOMMU)。

也就是说,微软已经在创建基于硬件的安全解决方案方面拥有丰富的经验。 Xbox 壁垒证明了这一点。

相关: 如何重新配置​​ Windows Defender 以更好地保护您的计算机

目前微软的安全核心合作伙伴包括戴尔、Dynabook、联想、惠普、Getac、富士通、宏碁、华硕、松下,以及该公司自己经营个人电脑的微软 Surface 部门。

额外的 Secured-Core PC 保护措施

虽然安全核心 PC 具有广泛的基于硬件的安全增强功能,但它们还需要各种基于软件的安全辅助设备。它们充当恶意软件攻击期间的第一道防线。

一种主要的基于软件的威慑是 Windows Defender,它实现了 System Guard Secure Launch。它首先在 Windows 10 中可用,它使用动态信任测量根 (DRTM) 协议在启动时将启动进程启动到未经验证的代码中。

不久之后,它会控制所有进程并将它们恢复到受信任状态。如果 UEFI 代码被篡改并维护代码完整性,这有助于防止启动问题。

对于绝对安全启动,Windows 10 带有 S 模式,旨在增强安全性和 CPU 性能。在此模式下,Windows 只能从 Microsoft Store 加载已签名的应用程序。在此状态下浏览仅限于使用 Microsoft Edge。

相关:如何在 Microsoft Edge 中使用儿童模式来确保儿童安全

安全核心 PC 用户还可以通过使用 Windows Defender 应用程序控制 (WDAC) 来限制允许在 Windows 10 上运行的驱动程序来增强 PC 安全性。该功能实施驱动程序和软件策略,仅允许受信任的应用程序运行。

Windows Hello 是增强安全核心 PC 安全性所需的另一项功能。它使用面部识别、PIN 和指纹解锁功能来加强登录安全性。

Windows Hello 依赖于专门的生物识别硬件,包括指纹读取器和红外传感器。硬件利用可信平台模块 (TPM) 技术来保护凭证。

为什么 Microsoft 决定开发 Secured-Core PC

微软在安全核心 PC 的研发上投入了大量资金。以下是公司优先考虑安全项目的一些原因。

需要保护企业免受固件恶意软件的侵害

网络安全威胁不断发展,根据微软的一份报告,攻击变得越来越复杂。它强调了 2021 年进行的一项研究的结果,并显示发达国家 80% 以上的企业在过去两年中都经历过固件攻击。

这意味着世界各地的许多企业都容易受到利用固件恶意软件的攻击。

一旦他们掌握了系统,固件漏洞就很难被检测和删除。此外,大多数计算机共享相同的 BIOS 代码,因此黑客组织发现的固件漏洞可以被用于全球数百万台计算机,无论其制造商或供应商如何,因此需要安全核心 PC。

安全核心 PC 解决外围固件问题

带有未签名固件的设备会在标准 PC 中造成重大安全问题。网络摄像头等外围设备因运行可用于监视用户的异常固件而臭名昭著。他们的驱动程序也可以在未经客户同意的情况下更新,从而增加发生这种情况的风险。

缺乏统一的行业安全标准是黑客在入侵攻击中瞄准他们的主要原因之一。目前,易受攻击的设备包括触摸板、Wi-Fi 适配器、网络摄像头和 USB 集线器。它们中的大多数都缺乏用于安全核心 PC 的加密散列和固件验证。

协调他们的安全基础设施的困难意味着漏洞可能会持续多年。目前,安全核心 PC 是希望避免此类安全漏洞的组织的最佳选择。

微软致力于更多固件安全解决方案

虽然微软已经创建了安全核心 PC 来阻止固件恶意软件,但它也在开发工具来帮助减少对标准计算机的攻击。它最近收购了 Binwalk 开源固件完整性扫描仪开发商 ReFirm Labs,这是朝着这个方向迈出的一步。

预计在不久的将来,这家科技巨头将开发出更多相关的解决方案。