Salı günü Microsoft, sıfır güveni desteklemeye büyük önem vererek, Windows 11’in yeni güvenlik odaklı özelliklerini detaylandıran ağır bir PDF yayınladı.
Birkaç yıldır Microsoft, Google ve Amazon, diğer tekniklerin yanı sıra sıfır güven yoluyla siber güvenliği geliştirmek için ABD federal hükümetiyle birlikte çalışıyor. Bunların üç büyük bulut hizmeti sağlayıcısı olması elbette tesadüf değil; Felaket niteliğindeki siber saldırıları önlemek için kontroller oluşturmak için en iyi konumdadırlar.
Ancak Microsoft, güvenliği, bulut rakiplerinin takip edemediği bir yere taşıyor: bellenim.
Donanım Güvenliği Saldırı Altında
Ağ düzeyinde güvenlik zorunlu olmakla birlikte, bir bilgisayarın donanım yazılımını ve diğer düşük düzeyli öğelerini hedef alan saldırganlara karşı koruma sağlamak yeterli değildir.
CPU’lar, yazıcılar ve diğer donanımlar için ürün yazılımındaki kusurlar, kurumsal bir ağa kapı açabilir. TrickBot, MoonBounce ve LoJax gibi silikonun içine giren kötü amaçlı yazılımları ortadan kaldırmak zordur.
Microsoft, “Bu yeni tehditler, hassas iş bilgilerini depolayan donanım yongaları ve işlemciler de dahil olmak üzere, özüne kadar güvenli bilgi işlem donanımı gerektiriyor” dedi. yeni raporda. “Donanım tabanlı korumayla, yalnızca yazılımla engellenmesi zor olan tüm güvenlik açıkları sınıflarına karşı güçlü bir azaltma sağlayabiliriz.” Korumanın ekstra gücünün yanı sıra, Microsoft, yazılımda çalıştırmaya kıyasla donanım tabanlı korumayı kullanarak daha az yavaşlama sağlar.
Yerleşik donanım güvenliğinin temeli, donanım güven kökü ve silikon destekli güvenlik arasındaki bir ortaklıktır.
Donanım Güven Kökü
Donanım güven kökü, tanım olarak, “dolaylı olarak güvenilen bir başlangıç noktası.” PC söz konusu olduğunda, önyüklemeden önce yasal olduğundan emin olmak için BIOS kodunu kontrol eden kısımdır. Ve virüslü BIOS’lu bir makineden kötü amaçlı yazılımları kaldırmak zorunda kalan herkes bunun ne kadar hayati olduğunu bilir.
Yeni güvenlik önlemleri, işletim sisteminden izole edilmiş kriptografik anahtarlar ve kullanıcı kimlik bilgileri gibi hassas verilerin ayrı bir güvenli alanda saklanmasını içeriyor. Microsoft, hem yeni hem de yükseltilmiş Windows 11 makinelerinde bir Güvenilir Platform Modülü (TPM) 2.0 yongasının yüklenmesini gerektirir. Şirket, tüm yeni Windows 10 makinelerinde TPM 2.0 özelliklerine ihtiyaç duymuştu, ancak PC’de bir TPM 2.0 güvenlik yongası yoksa Windows’un en son sürümü çalışmaz bile.
Microsoft yeni raporunda, “Çipte başlayan donanım tabanlı izolasyon güvenliği ile Windows 11, hassas verileri işletim sisteminden ayrılmış ek engellerin arkasında depolar” dedi. “Sonuç olarak, şifreleme anahtarları ve kullanıcı kimlik bilgileri dahil olmak üzere bilgiler yetkisiz erişime ve kurcalamaya karşı korunur.”
Doğrudan anakart üzerinde TPM 2.0 koruması sağlamak için, Windows 11 makinelerinde çip üzerinde sistem üzerinde Microsoft Pluton güvenlik işlemcisi bulunur. Pluton yepyeni olmasa da – önizleme Kasım 2020’de – TPM 2.0 yeteneklerini bu şekilde entegre etmek, bir saldırı vektörünü ortadan kaldırır: CPU ile TPM yongası arasındaki veri yolu arabirimi.
Tüm Windows 11 makinelerinde bir Pluton yongası olmayacak, ancak hepsinde bir TPM 2.0 yongası olacak.
Silikon Destekli Güvenlik
Windows 11’deki silikon destekli güvenlik önlemleri, sanallaştırma tabanlı güvenlik (VBS) kullanılarak oluşturulmuş güvenli bir çekirdekle başlar. Microsoft, “İzole VBS ortamı, güvenlik çözümleri ve kimlik bilgileri yöneticileri gibi işlemleri bellekte çalışan diğer işlemlerden korur” diye yazdı. “Kötü amaçlı yazılım ana işletim sistemi çekirdeğine erişim kazansa bile, hiper yönetici ve sanallaştırma donanımı, kötü amaçlı yazılımın yetkisiz kod yürütmesini veya VBS ortamındaki platform sırlarına erişmesini önlemeye yardımcı olur.”
Hiper yönetici korumalı kod bütünlüğü (HCVI), kodun geçerliliğini ana Windows çekirdeği yerine güvenli VBS ortamında kontrol etmek için VBS’yi kullanır. Çekirdek modu kod bütünlüğü (KMCI), sürücüleri ve benzerlerini değiştirme girişimlerini savuşturur. KMCI, tüm çekirdek kodunun düzgün bir şekilde imzalandığını ve çalışmasına izin vermeden önce değiştirilmediğini doğrular. HVCI, Windows 11’in tüm sürümlerinde desteklenir ve çoğu sürümde varsayılan olarak etkinleştirilir.
Donanım tarafından uygulanan yığın koruması, bellek bozulması ve sıfırıncı gün açıklarından yararlanma gibi saldırılara karşı ek bir koruma önlemi sunar. Microsoft, “Intel ve AMD Shadow Stacks’ın Controlflow Enforcement Technology’sine (CET) dayalı olarak, donanım tarafından uygulanan yığın koruması, yığındaki dönüş adreslerini ele geçirmeye çalışan istismar tekniklerine karşı koruma sağlamak için tasarlanmıştır.” İşletim sistemi bunu, dönüş adresleri için diğer yığınlardan ayrı bir “gölge yığını” oluşturarak yapar.
Bir davetsiz misafirin bir cihazdan gizlice kötü amaçlı yazılım yüklediği fiziksel saldırılara karşı koruma sağlamak için, Microsoft’un Güvenli Çekirdekli PC serisi yalnızca “bilinen ve onaylanmış yetkililer” tarafından imzalanmış yürütülebilir dosyaları çalıştıracak ve harici çevre birimlerinin yetkisiz olarak belleğe erişmesini önleyecektir.
Windows 11’in Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Güvenli Önyükleme standardının evrensel uygulamasından daha da fazla ürün yazılımı koruması gelir. TPM, önyüklemeyi bozma girişimlerinin yapılıp yapılmadığını kontrol etmek için bir önyükleme denetim günlüğü, Ölçüm için Statik Güven Kökü (SRTM) depolar.
UEFI, elbette Windows makinelerine özgü değildir, ancak Windows 11, devam etmesine izin vermeden önce UEFI önyükleme sürecini şüpheli etkinlik için kontrol eden Ölçüm için Dinamik Güven Kökü (DRTM) ekler. Surface tablet gibi PC olmayan cihazlar, DRTM yerine Firmware Attack Surface Reduction’ı kullanır.
Silikon destekli güvenlik, Windows 11’in Pro, Pro Workstation, Enterprise, Pro Education ve Education sürümlerinin bir parçasıdır. Home sürümlerinde bu korumalardan bazıları bulunur, ancak tam liste bulunmaz. Görmek Microsoft’un web sitesi karşılaştırmalar için.