Microsoft släppte på tisdagen en rejäl PDF som beskriver Windows 11:s nya säkerhetsfokuserade funktioner, med stor tonvikt på att stödja noll förtroende.
Sedan ett par år tillbaka har Microsoft, Google och Amazon varit det arbeta med den amerikanska federala regeringen på att förbättra cybersäkerhet genom noll förtroende, bland andra tekniker. Det är ingen slump att dessa är de tre stora molntjänstleverantörerna, förstås; de är bäst placerade för att införa kontroller för att förhindra katastrofala cyberattacker.
Men Microsoft flyttar också säkerheten långt ner i stacken dit molnrivaler inte kan följa: firmware.
Hårdvarusäkerhet under attack
Även om säkerhet på nätverksnivå är obligatorisk, är det inte tillräckligt för att skydda mot angripare som riktar in sig på firmware och andra lågnivåelement i en dator.
Fel i firmware för CPU: er, skrivare, och annan hårdvara kan öppna en dörr till ett företagsnätverk. Skadlig programvara som TrickBot, MoonBounceoch LoJax
som maskar sig in i kislet är svårt att få bort.
"Dessa nya hot kräver datorhårdvara som är säker ner till kärnan, inklusive hårdvaruchips och processorer som lagrar känslig affärsinformation," sa Microsoft i den nya rapporten. "Med hårdvarubaserat skydd kan vi möjliggöra stark begränsning mot hela klasser av sårbarheter som är svåra att motverka med bara programvara." Förutom den extra styrkan i skyddet, bjuder Microsoft på mindre avmattning med hårdvarubaserat skydd jämfört med att köra det i programvara.
Grunden för den inbyggda hårdvarusäkerheten är ett partnerskap mellan hårdvara root-of-trust och kiselassisterad säkerhet.
Hårdvara Root-of-Trust
Hårdvara root-of-trust är, per definition, "en utgångspunkt som är implicit betrodd." När det gäller en PC är det den del som kontrollerar BIOS-koden för att säkerställa att den är legitim innan den startar upp. Och alla som har varit tvungna att ta bort skadlig programvara från en maskin med infekterad BIOS vet hur viktigt det är.
De nya säkerhetsåtgärderna inkluderar lagring av känslig data såsom kryptografiska nycklar och användaruppgifter isolerade från operativsystemet inom ett separat säkert område. Microsoft kräver att ett Trusted Platform Module (TPM) 2.0-chip installeras på både nya och uppgraderade Windows 11-maskiner. Företaget hade krävt TPM 2.0-funktioner på alla nya Windows 10-maskiner, men senaste versionen av Windows kommer inte ens att köras om datorn inte har ett TPM 2.0-säkerhetschip.
"Med hårdvarubaserad isoleringssäkerhet som börjar vid chippet lagrar Windows 11 känslig data bakom ytterligare barriärer separerade från operativsystemet", skrev Microsoft i sin nya rapport. "Som ett resultat skyddas information inklusive krypteringsnycklar och användaruppgifter från obehörig åtkomst och manipulering."
För att ge TPM 2.0-skydd direkt på moderkortet, inkluderar Windows 11-maskiner Microsoft Pluton säkerhetsprocessor på systemet-på-chipet. Även om Pluton inte är helt ny – det var det förhandsvisas tillbaka i november 2020 – att integrera TPM 2.0-funktioner på detta sätt eliminerar en attackvektor: bussgränssnittet mellan CPU:n och TPM-chippet.
Inte alla Windows 11-maskiner kommer att ha ett Pluton-chip, men de kommer alla att ha ett TPM 2.0-chip.
Silikonassisterad säkerhet
De kiselstödda säkerhetsåtgärderna i Windows 11 börjar med en säker kärna som skapats med virtualiseringsbaserad säkerhet (VBS). "Den isolerade VBS-miljön skyddar processer, såsom säkerhetslösningar och behörighetshanterare, från andra processer som körs i minnet", skrev Microsoft. "Även om skadlig programvara får åtkomst till huvudoperativsystemets kärna, hjälper hypervisorn och virtualiseringshårdvaran till att förhindra skadlig programvara från att exekvera otillåten kod eller komma åt plattformshemligheter i VBS-miljön."
Hypervisor-skyddad kodintegritet (HCVI) använder VBS för att kontrollera giltigheten av koden i den säkra VBS-miljön istället för i Windows-huvudkärnan. Kärnlägeskodintegritet (KMCI), som det kallas, avvärjer försök att modifiera drivrutiner och liknande. KMCI verifierar att all kärnkod är korrekt signerad och inte har ändrats innan den låter den köras. HVCI stöds i alla versioner av Windows 11 och är aktiverat som standard i de flesta utgåvor.
Ett ytterligare skyddsmått mot sådana attacker som minneskorruption och nolldagars utnyttjande erbjuds av hårdvarupåtvingat stackskydd. "Baserat på Controlflow Enforcement Technology (CET) från Intel och AMD Shadow Stacks, är hårdvaruförstärkt stackskydd utformat för att skydda mot utnyttjande tekniker som försöker kapa returadresser på stacken," förklarade Microsoft. OS gör detta genom att skapa en "skuggstack", som skiljer sig från andra stackar, för returadresser.
För att skydda mot fysiska intrång där en inkräktare i smyg installerar skadlig programvara från en enhet, kommer Microsofts serie av datorer med säker kärna endast att köra körbara filer signerade av "kända och godkända myndigheter" och hindra extern kringutrustning från att komma åt minnet utan tillstånd.
Ännu mer firmware-skydd kommer från Windows 11:s universella implementering av Unified Extensible Firmware Interface (UEFI) Secure Boot-standard. TPM:n lagrar en uppstartsrevisionslogg, Static Root of Trust for Measurement (SRTM), för att kontrollera om några försök att undergräva uppstarten gjordes.
UEFI är naturligtvis inte unikt för Windows-maskiner, men Windows 11 lägger till Dynamic Root of Trust for Measurement (DRTM) som kontrollerar UEFI-startprocessen för misstänkt aktivitet innan den tillåts fortsätta. Icke-PC-enheter som Surface-surfplattan använder Firmware Attack Surface Reduction istället för DRTM.
Silicon-assisterad säkerhet är en del av Pro, Pro Workstation, Enterprise, Pro Education och Education-versionerna av Windows 11. Home-utgåvorna kommer att ha några av dessa skydd, men inte hela bladet. Ser Microsofts webbplats för jämförelser.
