Wie Microsoft Hardware verwendet, um Firmware zu sichern

Umgang mit Endpunktsicherheit ohne Überlastung von Fachleuten mit Informationsüberflutung Chris Bell, Direktor für Produktmanagement bei Secureworks, beschreibt die schwierige Balance, um Sicherheitsexperten verwertbare Informationen zu präsentieren, ohne sie mit Informationsüberflutung zu erschöpfen.

Seit Windows 8 und Server 2012 hat Windows UEFI verwendet, um die Signaturen auf den Boot-Treibern, Firmware-Treibern und dem Betriebssystem selbst zu überprüfen, um sicherzustellen, dass der Code nicht manipuliert wurde (z. B. durch ein Rootkit), und anschließend alle installierten Programme gestartet Anti-Malware-Software vor dem Starten eines anderen Codes.

Mehr über Windows

  • Verwendung des Gott-Modus in Windows 10
  • Windows 10 PowerToys: Ein Spickzettel
  • Microsofts größte Flops des Jahrzehnts
  • 10 Tricks und Optimierungen zum Anpassen von Windows 10 (kostenloses PDF)

Wenn Sie über ein TPM verfügen, kann Windows damit Messungen der Startkomponenten speichern, die an die Anti-Malware-Software übergeben werden sollen, damit diese Komponenten überprüft wurden. Windows 10 kann Hyper-V auch verwenden, um den Windows-Anmeldevorgang vor Malware (Virtualization Based Security) zu schützen. Dies müssen Sie jedoch auf allen PCs außer den neuesten Arm-basierten PCs selbst aktivieren.

20 Pro-Tipps, damit Windows 10 so funktioniert, wie Sie es möchten (kostenloses PDF)

Dies setzt jedoch voraus, dass Sie UEFI und der anderen Firmware auf dem PC vertrauen können. Wenn die Firmware selbst kompromittiert wird, kann dies an der Anti-Malware-Software liegen - und selbst das Formatieren und Neuinstallieren des Betriebssystems wird den PC nicht bereinigen. Da Windows selbst immer schwerer anzugreifen ist, wenden sich Hacker Firmware-Angriffen zu, einschließlich des Systemverwaltungsmodus (eine Intel-CPU-Funktion, die die Energieverwaltung, die Wärmeüberwachung und andere Hardwarekonfigurationen übernimmt).

Die Firmware besteht aus Millionen von Codezeilen, und nicht nur, dass jeder OEM seine eigene Firmware schreibt, sondern möglicherweise auch unterschiedliche Firmware-Versionen für verschiedene PCs. Dieser Code wird mit einem sehr hohen Maß an Berechtigungen ausgeführt, ist oft schwer zu aktualisieren und weist wie jede andere Software Fehler auf. Bei Angriffen werden immer mehr Firmware-Schwachstellen entdeckt und ausgenutzt. Mithilfe der Diebstahlsicherungsfunktionen der Firmware wurde beispielsweise ein gestohlener PC gefunden, um beispielsweise zu verfolgen, wo sich der Benutzer täglich befand.

Anstatt sich auf die Fähigkeit der OEMs zu verlassen, Firmware-Fehler schnell zu beheben, ändern Secured-Core-PCs die Art und Weise, wie Windows startet, vollständig, indem sie der Firmware nicht mehr vertrauen - nur der CPU, dem TPM und dem Windows-Code.

Secured-core PCs apply the security best practices of isolation and minimal trust to the firmware layer that underpins Windows.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Secured-Core-PCs wenden die bewährten Sicherheitsmethoden für Isolation und minimales Vertrauen auf die Firmware-Schicht an, auf der Windows basiert.

Bild: Microsoft

"Angesichts der Zunahme von Firmware-Angriffen, die wir allein in den letzten drei Jahren gesehen haben, bestand das Ziel darin, Firmware als vertrauenswürdige Komponente des Startprozesses zu entfernen, damit wir diese Art von fortgeschrittenen Firmware-Angriffen verhindern", so Dave Weston, Director der Betriebssystemsicherheit bei Microsoft, sagte TechRepublic.

Die erste Zeile des Windows-Bootloaders auf Secured-Core-PCs versetzt die CPU in einen neuen Sicherheitsstatus, in dem die beim Secure Boot vorgenommenen Messungen nicht akzeptiert werden, obwohl sie sich im TPM befinden, sondern zurückgehen und die Messung erneut validieren. Wenn sie nicht übereinstimmen, startet der PC nicht und wechselt stattdessen in den BitLocker-Wiederherstellungsmodus. Wenn Sie den PC über Intune verwalten, sendet er auch ein Signal an den Dienst, dass das Gerät nicht vertrauenswürdig ist und keine Verbindung zu Ihrem Netzwerk herstellen darf.

"Diese PCs verwenden das neueste Silizium von AMD, Intel und Qualcomm, in das das Trusted Platform Module 2.0 und das Dynamic Root of Trust (DRTM) integriert sind. Das Root of Trust besteht aus einer Reihe von Funktionen im Trusted Computing-Modul, denen immer vertraut wird durch das Betriebssystem eines Computers und in das Gerät eingebettet ", erklärt Weston. "Wenn wir eine hardwarebasierte Vertrauensbasis erstellen, fügen wir Funktionen auf Hardwareebene hinzu, um sicherzustellen, dass das Gerät sicher startet und Malware nicht in die Firmware eingedrungen ist."

"Die Wurzel des Vertrauens auf einem PC mit gesichertem Kern ist die CPU selbst. Wenn der Windows-Bootloader ausgeführt wird, ruft der sichere Start von System Guard DTRM-Anweisungen auf der CPU auf, um jegliches mit der Firmware verbundene Vertrauen zu entfernen", sagt Weston. "Während des gesamten Prozesses werden Messungen im TPM der kritischen Windows-Startkomponenten vorgenommen. Bei den gemessenen Komponenten handelt es sich um einen relativ kleinen Satz von Microsoft und dem CPU-Hersteller, wodurch die Anzahl der zu messenden Dinge begrenzt wird und Probleme wie das Beibehalten von Nebenschritten auftreten Track des OEM / Firmware-Herstellercodes. " Dadurch wird vermieden, dass Secure Boot den Start verlangsamt.

Windows kann das dynamische Stammvertrauen oder den sicheren Start nicht verwenden, um Schwachstellen im Systemverwaltungsmodus auf dieselbe Weise zu vermeiden, da es zu früh geladen wird. Es ist jedoch wichtig, es zu schützen, da es auf dem System noch mehr Berechtigungen als der Hypervisor hat. Um dieses Problem zu lösen, hat Microsoft mit den Siliziumanbietern zusammengearbeitet, um herauszufinden, was SMM tun muss, und das Speicher-Paging-System in Windows neu gestaltet, um wichtige Speicherseiten zu sperren, damit sie nicht geändert werden können. SMM kann die Betriebsanzeige Ihres Laptops weiterhin einschalten, den vom Hypervisor verwendeten Speicher jedoch nicht mehr ändern. Ein Angreifer ist möglicherweise immer noch in der Lage, SMM zu gefährden, aber dies gibt ihm nicht mehr die Möglichkeit, den Rest des Systems zu gefährden.

Secured-Core-PCs aktivieren auch alle optionalen Windows 10-Sicherheitsfunktionen wie HyperVisor Code Integrity, mit denen nur signierte Treiber ausgeführt werden können, und verhindern viele rückkehrorientierte Programmierangriffe wie WannaCry.

Wenn Sie einen Secured-Core-PC sperren, können Sie ein neues DMA-Gerät, das über Thunderbolt angeschlossen ist, erst installieren, wenn Sie das Gerät mit einer PIN oder einer Biometrie entsperren. Dies verhindert, dass Angreifer physischen Zugriff auf Ihren Computer erhalten und andernfalls ein als Kabel getarntes bösartiges Gerät anschließen könnten (das Sie mit bei eBay verkauften Teilen und auf GitHub verfügbarem Code herstellen können).

Wenn Sie PCs mit Intune verwalten, können Administratoren Secured-Core-PCs für den Zugriff auf äußerst vertrauliche Dokumente benötigen. Intune kann auch die Messungen anzeigen, die durchgeführt wurden, um den Zustand des PCs während der Verwendung anzuzeigen. Dies bedeutet, dass wenn es kompromittiert ist und ein Angreifer die Antivirensoftware ausschaltet, damit sie beispielsweise nicht erkannt werden, dies als verdächtige Änderung angezeigt wird, mit der Richtlinien für den bedingten Zugriff den PC blockieren können.

Weston vergleicht dies mit manipulationssicheren Siegeln auf Medikamentenverpackungen: "Wir sind von einer Welt, in der ich einen PC platzen lassen und seitlich durch Ihr gesamtes Netzwerk gehen kann, in eine Welt gegangen, in der die Cloud Sie ablehnt, wenn die CPU nicht glaubt Die Maschine."

Ältere PCs patchen

Es gibt Optionen, die PC-Hersteller nutzen können, ohne bis zum Secured-Core zu gehen, z. B. die Verwendung von Windows Update zur Bereitstellung automatischer Firmware-Updates, damit Patches so schnell wie möglich angewendet werden. UEFI übernimmt weiterhin die eigentliche Installation der Updates, bedeutet jedoch, dass Sie sich nicht darauf verlassen müssen, dass Benutzer auf der OEM-Website nach Firmware-Updates suchen (oder Administratoren diese testen und pushen), damit Sie mit größerer Wahrscheinlichkeit ausgeführt werden die neueste, sicherste Version der Firmware.

Surface-Geräte tun dies bereits, und Microsoft hat die Basis der Surface UEFI-Firmware als Project Mu als Open-Source-Lösung bereitgestellt, um OEMs die Möglichkeit zu geben, ihre eigene sichere Firmware zu entwickeln. Wenn Ihr PC dies nicht tut, schlägt Weston vor, dass "Endbenutzer ihr Risiko verringern können, indem sie sicherstellen, dass UEFI Secure Boot in den BIOS-Einstellungen aktiviert ist, und indem sie die Website ihres Geräteherstellers regelmäßig auf aktualisierte Firmware und Treiber überprüfen."

Sie können Secure Launch auch auf vorhandenen PCs mit Windows 10 Pro Version 1809 oder höher aktivieren, sofern diese über Intel Coffee Lake / Qualcomm Snapdragon 850 und neuere CPUs und TPM 2.0 verfügen. Es ist nicht standardmäßig aktiviert: Sie können es unter Einstellungen / Update & Sicherheit / Windows-Sicherheit / Windows-Sicherheit öffnen / Gerätesicherheit / Kernisolation / Firmware-Schutz aktivieren.

Secure Launch can be enabled on PCs with Intel Coffee Lake/Qualcomm Snapdragon 850 or later CPUs and TPM 2.0, but it's not on by default.

" data-credit="Image: Microsoft" rel="noopener noreferrer nofollow">

Der sichere Start kann auf PCs mit Intel Coffee Lake / Qualcomm Snapdragon 850 oder höheren CPUs und TPM 2.0 aktiviert werden, ist jedoch nicht standardmäßig aktiviert.

Bild: Microsoft

Dadurch wird das TPM als dynamische Vertrauensbasis für dieselben Messungen verwendet, es bietet denselben Paging-Schutz und dieselbe Überwachung des Systemverwaltungsmodus und Sie können Intune oder SCCM verwenden, um auf dieselbe Weise nach Manipulationen zu suchen. Wenn Sie die richtige Hardware zum Einschalten haben, sollten Sie dies auf jeden Fall tun.

Der Grund, warum Microsoft und die OEMs zusammengearbeitet haben, um Secured-Core-PCs zu erstellen, ist, dass es für regulierte Unternehmen wichtig ist, dass die Sicherheit bei der Bereitstellung des TPM im Werk aktiviert ist - bevor der PC jemals kompromittiert werden kann. "Diese PCs wurden speziell für hochgradig zielgerichtete Branchen entwickelt, die mit hochsensiblen Daten umgehen und zusätzliche Sicherheitsebenen benötigen", so Weston.

Spickzettel: Microsoft Surface Pro 7 (kostenloses PDF)

Außerdem basieren sie auf bestimmten CPU-Funktionen, die ältere PCs einfach nicht haben, sodass Sie möglicherweise feststellen, dass Sie keine Systeme haben, die Secure Launch unterstützen. Wenn Sie Virtualization Based Security verwenden möchten (mit dem mehrere kleine, schnelle und unsichtbare VMs auf dem PC für Funktionen wie Credential Guard eingerichtet werden), müssen Sie überprüfen, ob sie auf Ihren PCs funktionieren, und dann überprüfen, ob dies nicht der Fall ist Brechen Sie keine Treiber und reduzieren Sie die Leistung nicht zu sehr. Jetzt können Sie einfach einen PC kaufen, von dem Sie wissen, dass er funktioniert.

Tatsächlich ist eines der nützlichsten Dinge bei Secured-Core-PCs, dass es für viele Unternehmen schwierig ist, einen PC mit den richtigen Funktionen auszuwählen, um alle Windows-Sicherheitsoptionen zu aktivieren, da die Liste der Geräte, die in einem großen Unternehmen zum Kauf zugelassen sind, häufig ist veraltet. Sie benötigen TPM 2.0, um BitLocker und Windows Hello so sicher wie möglich zu machen und andere Verschlüsselungsschlüssel zu speichern. Nur ein solches Etikett erleichtert die Auswahl eines PCs, der die bereits in Windows vorhandenen Sicherheitsfunktionen nutzen kann.

Microsoft Weekly Newsletter

Seien Sie der Microsoft-Insider Ihres Unternehmens mithilfe dieser Windows- und Office-Tutorials und der Analysen unserer Experten zu Microsoft-Unternehmensprodukten. Wird montags und mittwochs geliefert

Heute anmelden

© Copyright 2020 | mobilegn.com