該計劃旨在以 Secured-core PC 對抗針對固件和操作系統層面的威脅。Secured-core PC 是在固件層應用安全最佳實踐的設備。
微軟解釋稱,這些設備的目標用戶是金融服務、政府和醫療行業,以及處理高敏感性 IP、客戶或個人數據的人士。
此類數據對國家級攻擊者極具吸引力,據稱俄羅斯相關黑客組織 Strontium 已經在攻擊中使用固件漏洞,令惡意代碼極難檢測且難以清除。
相較於虛擬機管理程序和操作系統內核,固件負責初始化機上硬件及其他軟件,具有較高級別的訪問權限。
微軟指出:針對固件的攻擊會暗中破壞 Secure Boot 等機制,削弱虛擬機管理程序或操作系統實現的其他安全功能,令系統或用戶被黑的情況更加難以覺察。
更重要的是,終端防護和檢測解決方案對固件的可見性有限,針對固件層的攻擊者更容易實現規避操作。
微軟稱,Secured-core PC 結合了身份、虛擬化、操作系統、硬件和固件防護,可以阻止此類攻擊。因此,設備能夠安全啟動,不受固件漏洞影響,操作系統和數據都能保證安全。
另外,SecOps 和 IT 管理員可利用內置機制遠程監視系統健康情況,實現基於硬件的零信任網絡。
微軟的固件防護之路始於 Windows 8 中引入的 Secure Boot,緩解引導加載程序和 rootkit 等風險。然而,Secure Boot 擋不住針對受信固件中漏洞的威脅。
微軟解釋稱:採用 AMD、英特爾和高通的新硬件功能,Windows 10 如今實現 Secured-core PC 設備關鍵要求 System Guard Secure Launch,旨在保護氣功過程不受固件攻擊危害。
System Guard 利用 AMD、英特爾和高通最新芯片中的衡量用動態信任根 (Dynamic Root of Trust for Measurement (DRTM)) 功能,確保系統重新初始化到可信狀態,限制固件獲得的信任,交付威脅緩解。
該功能也可保護虛擬機管理程序,使其基於虛擬化的安全 (VBS) 功能完整性不受固件入侵損害。
微軟稱:VBS 依賴虛擬機管理程序將敏感功能與操作系統其他功能隔離開來,幫助防止 VBS 功能不受已感染正常操作系統的惡意軟件影響,即便惡意軟件已經提權。
Secured-core PC 設備還配備了可信平臺模塊 2.0 (TPM),衡量安全啟動過程中使用的組件,幫助客戶以 System Guard 運行時驗證實現零信任網絡。
Secured-core PC 設備的各項功能還應結合深度防禦方法,包括代碼安全審查、自動更新和攻擊界面削減。
符合 Secured-core PC 標準的設備,比如戴爾、Dynabook、惠普、聯想、松下和 Surface,可於文末鏈接查詢更多信息。
閱讀更多 安全牛 的文章
