微軟與英特爾、高通和 AMD 合作 具有硬體保護功能的行動系統,可防止透過韌體進行的攻擊。 由於所謂的「白帽駭客」(隸屬於政府機構的駭客專家團體)對用戶的攻擊越來越多,該公司被迫創建此類運算平台。 特別是,ESET 安全專家將此類行為歸咎於俄羅斯駭客組織 APT28(Fancy Bear)。 據稱,APT28 組織測試了在從 BIOS 載入韌體時運行惡意程式碼的軟體。
Microsoft 網路安全專家和處理器開發人員共同以硬體信任根的形式提出了矽解決方案。 該公司將此類PC稱為Secured-core PC(具有安全核心的PC)。 目前,安全核心 PC 包括戴爾、聯想和松下的多款筆記型電腦以及 Microsoft Surface Pro X 平板電腦。這些以及未來具有安全核心的 PC 應該讓用戶完全放心,所有計算都將受到信任,並且不會導致數據洩漏。
到目前為止,堅固型 PC 的問題在於韌體微代碼是由主機板和系統 OEM 創建的。 事實上,這是微軟供應鏈中最薄弱的環節。 例如,Xbox 遊戲機多年來一直作為安全核心平台運行,因為該平台從硬體到軟體各個層級的安全性都由 Microsoft 本身監控。 迄今為止,這在 PC 上是不可能實現的。
微軟在授權書的初步驗證過程中做出了一個簡單的決定,將韌體從會計清單中刪除。 更準確地說,他們將驗證過程外包給處理器和特殊晶片。 這似乎使用了在製造過程中寫入處理器的硬體密鑰。 當韌體載入到 PC 上時,處理器會檢查其安全性以及是否可信任。 如果處理器沒有阻止韌體載入(它接受韌體為可信),則對 PC 的控制權將轉移到作業系統。 系統開始考慮可信任平台,然後,透過 Windows Hello 流程,允許使用者存取它,也提供安全登錄,但處於最高層級。
除了處理器之外,System Guard Secure Launch 晶片和作業系統載入程式也參與信任根(和韌體完整性)的硬體保護。 該過程還包括虛擬化技術,該技術隔離作業系統中的內存,以防止對作業系統核心和應用程式的攻擊。 所有這些複雜性首先是為了保護企業用戶,但類似的情況遲早會出現在消費性 PC 中。
來源: 3dnews.ru