• Статья
  • Чтение занимает 4 мин

Чтобы защитить критически важные ресурсы, такие как Windows стек проверки подлинности, однотонные маркеры, биометрический стек Windows Hello и модуль виртуальной надежной платформы, необходимо доверять прошивке и оборудованию системы.

Защитник Windows System Guard реорганизует существующие Windows 10 функции целостности системы под одной крышей и задает следующий набор инвестиций в Windows безопасности. Он предназначен для обеспечения этих гарантий безопасности:

  • Защита и сохранение целостности системы по мере ее начала
  • Проверка того, что целостность системы действительно поддерживается с помощью локальной и удаленной проверки

Поддержание целостности системы по мере ее начала

Статический корень доверия для измерения (SRTM)

С Windows 7 одним из средств, которые злоумышленники будут использовать для сохраняющегося обнаружения и уклоняющегося от обнаружения, является установка в системе так часто именуемого как bootkit или rootkit.
Это вредоносное программное обеспечение начнется Windows или во время самого процесса загрузки, что позволит ему начать с самого высокого уровня привилегий.

С Windows 10 на современном оборудовании (то есть Windows 8 сертифицировано или больше) корневое доверие на основе оборудования помогает гарантировать, что несанкционированное прошивка или программное обеспечение (например, bootkit) может начаться до загрузки Windows загрузщика. Это корневое доверие на основе оборудования происходит от функции Безопасной загрузки устройства, которая является частью единого extensible интерфейса прошивки (UEFI). Этот метод измерения статических ранних компонентов загрузки UEFI называется статическим корнем доверия для измерения (SRTM).

Так как существуют тысячи поставщиков ПК, которые производят много моделей с различными версиями UEFI BIOS, при загрузке становится невероятно большое количество измерений SRTM. Для установления доверия здесь существуют два метода: либо поддерживать список известных «плохих» измерений SRTM (также известных как блок-лист), либо список известных «хороших» измерений SRTM (также известный как список разрешительных данных).

У каждого варианта есть недостаток:

  • Список известных «плохих» измерений SRTM позволяет хакеру изменить только 1 бит в компоненте, чтобы создать совершенно новый хэш SRTM, который необходимо перечислить. Это означает, что поток SRTM по своей сути является хрупким — незначительное изменение может привести к недействительным для всей цепочки доверия.
  • Список известных «хороших» измерений SRTM требует, чтобы каждое новое измерение комбинации BIOS/PC было тщательно добавлено, что является медленным. Кроме того, исправление ошибки для кода UEFI может занять много времени для разработки, сборки, повторной проверки, проверки и переделокации.

Безопасный запуск — динамический корень доверия для измерения (DRTM)

Защитник Windows System Guard Secure Launch,впервые представленная в Windows 10 версии 1809, направлена на устранение этих проблем с помощью технологии, известной как динамический корень доверия для измерения (DRTM). DRTM позволяет системе свободно загрузиться в ненадзорный код изначально, но вскоре после запуска системы в надежное состояние, взяв под контроль все процессоры и вынудив их вниз по известному и измеренного пути кода. Это позволяет ненадежным ранним кодом UEFI загрузить систему, но затем безопасно перейти в надежное и измеренное состояние.

Безопасный запуск System Guard.

Secure Launch упрощает управление измерениями SRTM, так как код запуска теперь не связан с определенной конфигурацией оборудования. Это означает, что количество допустимых измерений кода невелико, а будущие обновления можно развернуть более широко и быстро.

Защита режима управления системой (SMM)

Режим управления системой (SMM) — это режим ЦП специального назначения в микроконтроллерах x86, который обрабатывает управление питанием, конфигурацию оборудования, мониторинг тепловой среды и все остальное, что производитель считает полезным. Всякий раз, когда запрашивается одна из этих системных операций, во время выполнения вызывается не маскируемый прерывание (SMI), который выполняет SMM-код, установленный BIOS. SMM-код выполняется на самом высоком уровне привилегий и невидим для ОС, что делает его привлекательной целью для вредоносных действий. Даже если для позднего запуска используется system Guard Secure Launch, SMM-код потенциально может получить доступ к памяти гипервизора и изменить гипервизор.

Для защиты от этого используются два метода:

  • Paging protection to prevent inappropriate access to code and data
  • Наблюдение и атестация оборудования SMM

Защита от пагинга может быть реализована для блокировки определенных таблиц кода для чтения только для предотвращения фальсификации. Это предотвращает доступ к памяти, которая не была назначена.

Функция обработчика SMI с аппаратным обеспечением, известная как обработчик SMI, может отслеживать SMM и не получать доступ к какой-либо части адресного пространства, на которую она не должна.

Защита SMM построена на основе технологии Secure Launch и требует ее функционирования. В будущем Windows 10 также будет измерять поведение обработера SMI и засвидетельировать, что ни одна из памяти, которая принадлежит ОС, не была подделана.

Проверка целостности платформы после Windows (время запуска)

Хотя Защитник Windows System Guard предоставляет расширенные средства защиты, которые помогут защитить и сохранить целостность платформы во время загрузки и во время запуска, реальность такова, что мы должны применить ментальность «предположить нарушение» даже для наших самых сложных технологий безопасности. Мы можем доверять, что технологии успешно делают свою работу, но нам также нужна возможность убедиться, что они успешно добиваются своих целей. Для целостности платформы мы не можем просто доверять платформе, которая потенциально может быть скомпрометирована, чтобы самостоятельно подтвердить ее состояние безопасности. Так Защитник Windows System Guard включает ряд технологий, которые позволяют удаленно анализировать целостность устройства.

Как Windows 10 сапоги, ряд измерений целостности Защитник Windows System Guard с помощью доверенного модуля платформы 2.0 (TPM 2.0). System Guard Secure Launch не поддерживает более ранние версии TPM, например TPM 1.2. Этот процесс и данные изолированы от Windows, чтобы гарантировать, что данные измерений не подвержены типу фальсификации, которое может произойти в случае взлома платформы. Здесь измерения можно использовать для определения целостности прошивки устройства, состояния конфигурации оборудования и Windows компонентов, связанных с загрузкой.

Целостность времени загрузки.

После сапог системы Защитник Windows system Guard подписывает и запечатывает эти измерения с помощью TPM. По запросу система управления, например Intune или Microsoft Endpoint Configuration Manager, может приобрести их для удаленного анализа. Если Защитник Windows system Guard указывает на отсутствие целостности устройства, система управления может принять ряд действий, например запретить устройству доступ к ресурсам.