微软与英特尔、高通和 AMD 合作 具有硬件保护功能的移动系统,可防止通过固件进行的攻击。 由于所谓的“白帽黑客”(隶属于政府机构的黑客专家团体)对用户的攻击越来越多,该公司被迫创建此类计算平台。 特别是,ESET 安全专家将此类行为归咎于俄罗斯黑客组织 APT28(Fancy Bear)。 据称,APT28 组织测试了在从 BIOS 加载固件时运行恶意代码的软件。
Microsoft 网络安全专家和处理器开发人员共同以硬件信任根的形式提出了硅解决方案。 该公司将此类PC称为Secured-core PC(具有安全核心的PC)。 目前,安全核心 PC 包括戴尔、联想和松下的多款笔记本电脑以及 Microsoft Surface Pro X 平板电脑。这些以及未来具有安全核心的 PC 应该让用户完全放心,所有计算都将受到信任,并且不会导致数据泄露。
到目前为止,坚固型 PC 的问题在于固件微代码是由主板和系统 OEM 创建的。 事实上,这是微软供应链中最薄弱的环节。 例如,Xbox 游戏机多年来一直作为安全核心平台运行,因为该平台从硬件到软件各个级别的安全性均由 Microsoft 本身监控。 到目前为止,这在 PC 上是不可能实现的。
微软在授权书的初步验证过程中做出了一个简单的决定,将固件从会计列表中删除。 更准确地说,他们将验证过程外包给处理器和特殊芯片。 这似乎使用了在制造过程中写入处理器的硬件密钥。 当固件加载到 PC 上时,处理器会检查其安全性以及是否可信。 如果处理器没有阻止固件加载(它接受固件为可信),则对 PC 的控制权将转移到操作系统。 系统开始考虑可信平台,然后,通过 Windows Hello 过程,允许用户访问它,也提供安全登录,但处于最高级别。
除了处理器之外,System Guard Secure Launch 芯片和操作系统加载程序也参与信任根(和固件完整性)的硬件保护。 该过程还包括虚拟化技术,该技术隔离操作系统中的内存,以防止对操作系统内核和应用程序的攻击。 所有这些复杂性首先是为了保护企业用户,但类似的情况迟早会出现在消费 PC 中。
来源: 3dnews.ru