Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Sprzętowe metody ochrony systemu

Data publikacji: 14-07-2022 Autor: Adam Kamiński

Microsoft twierdzi, że jego najnowsze dzieło to najbardziej dopracowany i najbezpieczniejszy system operacyjny. Część użytkowników, zwłaszcza tych zmagających się z wczesną wersją systemu, nie zgodziłaby się z tym. Wśród wielu z nich wymagania sprzętowe konieczne do zainstalowania Windowsa 11 wywołały spore oburzenie. Czy polityka Microsoftu wymuszająca wymianę starego sprzętu w imię bezpieczeństwa jest uzasadniona?

 

Windows 11 nie miał łatwego startu. Krytycy nie mogli się zdecydować, czy to, co wyszło z połączenia Windowsa 10 z jego wersją rozwijaną na Surface’y (czyli z Windowsem 10X) jest niedorobioną karykaturą macOS-a czy starą, dobrą „dychą” z nowym interfejsem. W prezentacjach nowego systemu operacyjnego Panos Panay, dyrektor ds. produktów w Microsofcie, skupiał się głównie na doświadczeniu użytkownika i kwestiach wizualnych w obcowaniu z ich konsumencką ofertą, starając się, aby zwłaszcza pod tym względem mogła konkurować z produktami Apple’a. Reakcje w najlepszym wypadku można określić jako „ambiwalentne”, a nowy wygląd Okien zdecydowanie wywoływał wiele emocji, choć kontrowersje nie były związane tylko z nim. Po ponad ośmiu miesiącach od premiery, gdy część użytkowników zdążyła oswoić się z nowościami systemu, należy zastanowić się, jakie racjonalne przesłanki stoją za wymaganiami sprzętowymi stawianymi przez Windowsa 11 i czy równie wiele uwagi co interfejsowi i doświadczeniu użytkownika zostało poświęcone zagadnieniom naprawdę ważnym – kwestiom bezpieczeństwa.

 

> SECURITY BY DESIGN

 

Do tej pory Windows 10 był najbezpieczniejszą wersją systemu operacyjnego w historii Microsoftu. Zbudowany z wykorzystaniem zabezpieczeń zapewniających ochronę danych na poziomie hosta, przez chmurę, aż po sprzęt. Rozwiązania takie jak biometryczne rozpoznawanie twarzy Windows Hello, wbudowany program antywirusowy Microsoft Defender, zabezpieczenia firmware’owe i zaawansowane funkcje systemowe, takie jak System Guard, Application Control for Windows i inne, pozwalały opierać się zmieniającemu się krajobrazowi zagrożeń. Jednak przez ostatnich kilka lat wzrost częstotliwości ataków phishingowych, ransomware’owych na łańcuchy dostaw czy na podatności w urządzeniach IoT spowodowały, że podejście security by design to obecnie główny priorytet Microsoftu.

 

Podejście, które przyjął Microsoft, jest ewolucją tego, co robili już od jakiegoś czasu. Wiele opcjonalnych lub zaawansowanych zabezpieczeń z systemu Windows 10 jest teraz domyślnie włączonych i wymaganych na nowych komputerach z systemem Windows 11. Uargumentowane jest to rosnącą liczbą cyberataków i ich coraz większym wyrafinowaniem. Wiele z tego, co zawarte jest w jedenastce, jest tym, co zostało zdefiniowane jako bezpieczny komputer PC. Podejście Zero Trust na drodze chip-to-cloud, które Microsoft rozwijał przez ostatnie lata, zaowocowało utworzeniem standardu secured-core PC (ramka Standard secured-core), który definiował najlepsze praktyki bezpieczeństwa w warstwie firmware’u. To połączenie zabezpieczeń sprzętowych, software’owych i systemowych ma na celu ochronę typu end-to-end przeciwko
złożonym atakom. A jeśli spojrzymy na wyniki raportu „March 2021 Security Signals” sporządzonego przez Microsoft, jest się przed czym bronić. Aż 83% firm doświadczyło ataku na firmware i tylko 29% z nich przeznaczyło zasoby na ochronę przed takimi zagrożeniami. Zgodnie z zapewnieniami Davida Westona, wiceprezesa ds. przedsiębiorstw i bezpieczeństwa w Microsofcie, w przypadku Windowsa 11 ochrona przed wyrafinowanymi atakami ma być dostępna praktycznie od samego początku.

 

> ZASKAKUJĄCE WYMAGANIA

 

Wymagania systemowe Windowsa 11 były dla wielu zaskoczeniem. Choć od czasu październikowej premiery system szybko dociera do klientów indywidualnych, obecnie niewiele firm korzysta z nowego systemu właśnie ze względu na wysokie wymagania sprzętowe.

 

Zasady kompatybilności sprzętowej wprowadzone przez Microsoft dla Windowsa 11 podniosły poziom bezpieczeństwa komputerów PC. Wcześniej obowiązującą zasadą dla każdej nowej wersji systemu Windows była maksymalna zgodność wsteczna – nawet na 10-letnich komputerach mogły być instalowane nowe systemy operacyjne. Wszystko to zmieniło się wraz z nadejściem jedenastki. Po raz pierwszy w historii oficjalne specyfikacje sprzętowe zostały drastycznie zwiększone w stosunku do poprzedniej wersji. W polityce bezpieczeństwa praktykowanej przez Microsoft zakładającej zgodność z zasadami Zero Trust zastosowano warstwowe zabezpieczenia, począwszy od samego krzemu na płycie głównej, poprzez proces rozruchu, logowanie użytkownika i aplikacje, z których korzysta on na co dzień. Filary bezpieczeństwa
Windows 11 to TPM (sprzętowy moduł szyfrujący), Secure Boot (funkcja bezpiecznego rozruchu), integralność kodu chroniona na poziomie hypervisora (HVCI) oraz technologia izolacji rdzenia (VBS). Funkcja ta znana jest oczywiście jeszcze od czasów Windows 10, ale dopiero w jedenastce może być ona włączana automatycznie – w przypadku instalacji nowego systemu z ISO. Windows 11 będzie też wyposażony w procesor bezpieczeństwa Microsoft Pluton oraz ochronę stosu dla wspieranych modeli Intel i AMD.

 

> TPM

 

TPM to fizyczne lub wirtualne układy, które znajdują się na płycie głównej komputera lub w procesorze. Ich zadaniem jest ochrona kluczy szyfrowania, danych uwierzytelniających użytkownika i innych poufnych danych za barierą sprzętową, aby uniemożliwić złośliwemu oprogramowaniu i napastnikom dostęp do tych danych lub manipulowanie nimi. W systemie Windows 11 moduł TPM 2.0 jest domyślnie wymagany w nowych instalacjach. Większość komputerów zbudowanych w ciągu ostatnich pięciu lat jest w niego wyposażona. Czasami układ TPM jest wyłączony w oprogramowaniu sprzętowym i wystarczy go włączyć w BIOS-ie. Układ TPM w oprogramowaniu układowym może być również określany jako IPTT w systemach firmy Intel lub fTPM w komputerach z chipsetami firmy AMD.

 

Oprócz konieczności posiadania modułu TPM w wersji 2.0 największą zmianą w stosunku do poprzedniej edycji był wymóg aktywnego Secure Boot – funkcji wykorzystującej podpisy kryptograficzne w celu zapewnienia, że urządzenie uruchamia się z systemem operacyjnym, który nie został zmodyfikowany.

 

Status obu tych ustawień można sprawdzić na karcie Zabezpieczenia urządzenia w aplikacji Zabezpieczenia systemu Windows. Jeśli są widoczne wpisy dla opcji Procesor bezpieczeństwa (ang. Security Processor) i Bezpieczne uruchamianie (ang. Secure Boot), wszystko jest w porządku. Jeśli brakuje jednego lub obu tych wpisów, należy przejść do ustawień oprogramowania sprzętowego urządzenia, aby ponownie włączyć te ustawienia. Na koniec, aby w pełni zadbać o bezpieczeństwo sprzętowe, należy skonfigurować kod PIN usługi Windows Hello i włączyć uwierzytelnianie biometryczne, jeśli urządzenie jest wyposażone w czytnik linii papilarnych lub kamerę na podczerwień obsługującą rozpoznawanie twarzy.

 

Wraz z opublikowaniem informacji o wymaganiach sprzętowych, wśród których znalazł się TPM, pojawiły się obawy, że ze względu na to, że Microsoft powiązał Windowsa 11 z konkretną funkcją sprzętową, użytkownicy, którzy nie zdecydują się przesiąść na nowy OS, w 2025 r. zostaną na lodzie, gdyż w październiku tego roku Microsoft przestanie wspierać dziesiątkę i udostępniać poprawki techniczne, w tym aktualizacje bezpieczeństwa. Jednak, jak już powszechnie wiadomo, moduł TPM jest opcjonalnym wymogiem dla Windowsa 11 i można się bez niego obejść.

 

> VBS

 

Zabezpieczenia oparte na wirtualizacji (ang. virtualization-based security, VBS) lub inaczej izolacja rdzenia to funkcja zabezpieczeń w systemie Windows 11 (obecna już w Windowsie 10), która tworzy odizolowany region pamięci na potrzeby funkcji zabezpieczeń. Ten wirtualny bezpieczny tryb jest tworzony przy użyciu hypervisora Windows i jest oddzielony od reszty systemu operacyjnego. Microsoft twierdzi, że VBS może zmniejszyć wpływ działania wirusów i ataków złośliwego oprogramowania na jądro. Jedną z kluczowych funkcji bezpieczeństwa udostępnianych przez VBS jest integralność pamięci (ang. Hypervisor-protected Code Integrity, HVCI). Sprawdza ona wszystkie sterowniki i pliki binarne trybu jądra przed ich uruchomieniem i zatrzymuje niepodpisane sterowniki lub pliki systemowe.

 

Już połączenie wymogu trybu UEFI (funkcje Secure Boot oraz Trusted Boot) i modułu TPM do przechowywania kluczy haseł dają sporo w kwestii bezpieczeństwa, jednak te zabezpieczenia nie będą wystarczające, jeżeli atakujący wejdzie w fizyczne posiadanie naszego sprzętu (o czym więcej w ramce Atak z logowaniem biometrycznym). To właśnie izolacja rdzenia i tworzona za pomocą funkcji wirtualizacji enklawa w pamięci zabezpieczona przed modyfikacją kodu okazuje się w takiej sytuacji kluczowa.

 

AKTYWACJA VBS

 

Aby włączyć zwiększone bezpieczeństwo logowania za pomocą biometrii, należy w PowerShellu ISE dodać wpis rejestru: REG ADD „HKLMSYSTEMCurrent-ControlSetControlDeviceGuardScenariosSecureBiometrics” /v Enabled /t REG_DWORD /d 1 /f do ustawień ochrony urządzenia. Wpisując polecenie REG query „HKLMSYSTEMCurrentControlSetControlDevice- GuardScenariosSecureBiometrics”, możemy upewnić się, że jest włączony i działa poprawnie. Aby zmiany zostały wprowadzone, konieczny jest ponowny rozruch, co z poziomu PowerShella możemy wykonać poleceniem shutdown. Po ponownym uruchomieniu, wchodząc do PowerShella, możemy się przekonać, że VBS jest aktywny i, co ważne, że był aktywny podczas uruchamiania.

 

[...]

 

Autor jest testerem oprogramowania oraz entuzjastą technologii kwantowych i rozproszonych rejestrów. Redaktor prowadzący „IT Professional”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"