Новые информационные технологии и программное обеспечение
  RSS    

20231128 200x200



Windows 11 и корень доверия: безопасность от чипа до облака

tpm in windows 11

 

Разрешение проблемы установки Windows 11

В ходе анонсированного выпуска новой операционной системы Windows 11 было сразу озвучено, что одним из требований для инсталляции системы станет наличие в компьютере чипа Trusted Platform Module 2.0 (TPM).  Сейчас все выглядит так, что обычная Windows 11 требует либо физических TPM-ключей (требуется наличие чипа), либо поддержки программных fTPM-эмуляторов.

Разумеется, в пост-ковидном мире, где до сих пор имеется ощутимый дефицит самых различных микросхем, требование наличия на системной плате какого-то особенного чипа тут же вызвало дефицит этих самых плат.

По планам в Windows 11 должна была появится поддержка TPM версии 1.2, однако в итоге все переиграли и  теперь новую операционной системой обзаведутся только владельцы TPM 2.0. 

 

Впрочем, все не так плохо. Некоторые компьютеры без TPM 2.0 получат Windows 11 вполне легально. Вероятно, это в рамках особых лицензионных соглашений, либо с некой отсрочкой выполнения данного условия - как сказано в презентации - «с одобрения Microsoft, OEM-системы для коммерческих систем специального назначения, специальные заказы и коммерческие системы со специальными образами не будут нуждаться в поставках с активированной поддержкой TPM».

Также часть локализованных версий Windows 11 будет освобождена от "чипирования".  Речь о странах, где  криптопроцессоры типа TPM либо запрещены, либо требуют лицензирования. К их числу относятся Россия и Китай - они не применяют данный метод шифрования по соображениям безопасности и используют альтернативные технологии. 

Обязательное требование к использованию TPM-модулей не добавляет никакой функциональности операционной системе и по сути для многих является лишним элементом. Разумеется, как всегда в таких случаях возникает соблазн использовать альтернативные чипам решения, в частности, идет речь о программной эмуляции. Уже найден способ обхода при установке систем на компьютеры без TPM, однако не ясно, будет ли работать схема обхода на финальных сборках Windows 11.

В коробке сюрпризов Windows 11 и ограничение на работу со старыми процессорами. В ряд "старичков" Microsoft поместила все процессоры AMD Ryzen первого поколения или с первого по седьмое   поколения моделей Intel. Забавно, что из процессоров вроде Skylake-X, таки имеют TPM-функциональность. Но для Windows 11 всё равно не подходят. То есть по сути для установки Windows 11 в общем случае понадобится не только соответствующая системная плата, но и процессоры выпущенные не ранее 2018 года (2990WX,2970WX,2950X,2920X,2700X,2700X PRO,2700,2700 PRO,2700E,2600X,2600,1600 AF,2600E,2500X,2300X,1200 AF).

 

Что нового в Windows 11 

 root1

В течение последних лет компьютеры позволяли нам оставаться на связи с семьей, друзьями, контролировать детей и позволяли бизнесу продолжать работать, используя связку стационарной и мобильной техники. Все эти удаленные экраны(речь и об удаленном управлении и о онлайн-конференциях), сквозное хранение паролей, общие облачные хранилища - безусловно очень удобны для пользователей.

Новая парадигма гибридной работы заставила нас задуматься о том, как будет обеспечиваться качество, надежность, удобство и безопасность для более чем 1 миллиарда человек, использующих Windows. За последний год мы адаптировались к работе из дома, однако от этого не стали реже сообщения о промышленном шпионаже или взломе частных ПК. 

Фишинг, программы-вымогатели, уязвимости Интернета вещей - злоумышленники постоянно разрабатывают новые подходы, чтобы используя  цифровые технологии для нанесения ущерба.

Но по мере того, как масштабы и изощренность атак увеличиваются, Microsoft пытается ответить. Сразу отметим тот факт, что к сожалению, добавление новых функций безопасности практически всегда осуществляется за счет тех или проверок,а это все - потеря процессорного времени. Впрочем, при должной оптимизации процесса, а также  с использованием специальных чипов либо микропрограмм процессора, замедление может оказаться минимальным 

Итак, Windows 11 была переработана для организации гибридной работы, она имеет возможность работы с аппаратным модулем шифрования и  надежной защитой от вредоносных программ.

Безопасность Windows 11 и корень доверия (Root-of-Trust)

Связка "Дизайн+Безопасность" долгое время была приоритетом в Microsoft. Какие еще компании инвестируют в безопасность более 1 миллиарда долларов в год? Эти деньги корпорация тратит на 3500 профессионалов в области безопасности, обеспечивающих спокойный сон пользователей.

 

В 2019 году корпорация анонсировала компьютеры с защищенным ядром, которые применяют передовые методы безопасности на уровне микропрограмм процессора и специального аппаратного модуля. Эти решения сочетает в себе средства защиты оборудования, программного обеспечения и ОС, и обеспечивают сквозную защиту от сложных угроз, в том числе для подключенного оборудования "Интернета вещей"

В Windows 11 происходит упрощение защиты от сложных атак до уровня покупки "решения из коробки". Все сертифицированные системы Windows 11 будут поставляться с микросхемой TPM 2.0, чтобы клиенты могли воспользоваться преимуществами безопасности, поддерживаемой аппаратным корнем доверия.

 

В основном рассматривают 4 этапа защиты устройств. Можно посмотреть как это работает по мере возникновения в процессе работы устройства.

  • Безопасная загрузка (Secure Boot) - Проверяется, что прошивка является подлинной, не была изменена и не может быть понижена в версии (downgrade).
    • Безопасное обновление прошивки по воздуху (Secure FOTA)
    • Могут быть загружены только аутентифицированные и проверенные обновления.
    • Будущие угрозы безопасности могут быть устранены (сохранение контроля над обновлением в будущем)
  • Безопасные физические интерфейсы и API
    • Только авторизованные пользователи могут получить отладочный доступ к устройству, и каждое разрешение на доступ уникально.
    • Блокирует «разработку» закладок и обеспечивает авторизованное использование API.
    • Данные аутентифицированы и защищены целостностью в обоих направлениях — внутри и снаружи модуля
  • Безопасный транспортный уровень
    • Устройство может аутентифицировать и подписывать или шифровать сообщения с сервером
    • Нет атак посредника (MITM) на пути между устройством и сервером

итак, для защиты устройства идентифицируются либо верифицируются  данные, поступающие на каждом этапе. В основе концепции лежит идея корня доверия (Root-of-Trust, RoT). Суть в том, что в устройстве зашивается некий идентификатор (ключ) и происходит аппаратная процедура проверки соответствия уникальности ключа текущей платформе и исполняемому коду. В дальнейшем все важные библиотеки используют RoT для собственной работы.

Как правило процедура делится на 3 этапа:

  • Предоставление доверия: включение Root-of-Trust на этапе производства в структуру чипа
    • Неизменяемый идентификатор чипа и аппаратный корень доверия обеспечивают базовую безопасность и уникальную идентификацию устройства.
  • Использование доверия: получение доверенных ключей
    • Защищенные библиотеки позволяют создавать аппаратные криптографические функции и ключи, которые используются обычными функциями в дальнейшем
  • Гарантия доверия: ключи используются для защиты любой функции
    • Гарантируется подлинность, целостность и конфиденциальность работы любой функции с использованием ключей и функций со 2 этапа.

 

Модуль доверенной платформы

Модуль доверенной платформы (TPM) - это микросхема, которая либо интегрирована в материнскую плату вашего ПК, либо добавляется отдельно в ЦП. Ее цель - помочь защитить ключи шифрования, учетные данные пользователей и другие конфиденциальные данные за аппаратным барьером, чтобы вредоносные программы и злоумышленники не могли получить доступ к этим данным или вмешаться в них.

Корень доверия в Windows 11

 

ПК нуждаются в этом современном аппаратном корне доверия для защиты от обычных и сложных атак, таких как программы-вымогатели, и более изощренные атаки со стороны отдельных государств. Требование TPM 2.0 повышает стандарт безопасности оборудования, требуя встроенного корневого доверительного управления.

TPM 2.0 является важным элементом для обеспечения безопасности с помощью Windows Hello и BitLocker, который помогает клиентам лучше защищать свои удостоверения и данные. Кроме того, для многих корпоративных клиентов доверенные платформенные модули помогают обеспечить безопасность нулевого доверия Zero Trust (термин обозначает полное отсутствие доверия кому-либо – даже пользователям внутри периметра), обеспечивая безопасный способ для подтверждения работоспособности устройств.

 

Windows 11 также имеет встроенную поддержку Microsoft Azure Attestation (MAA) на базе Azure, что выводит вышеупомянутый механизм аппаратного нулевого доверия на передний план безопасности, позволяя клиентам применять политики нулевого доверия при доступе к конфиденциальным ресурсам в облаке с помощью поддерживаемых средств управления мобильными устройствами. 

 

Заключение

Microsoft предлагает обновление операционной системы для противостояния злоумышленникам. Часть решений доступна в Windows 10, часть же будет инновационной:

  • Повышение базового уровня безопасности в соответствии с меняющимся ландшафтом угроз. Следующее поколение Windows повысит базовый уровень безопасности, требуя более современных процессоров с такими средствами защиты, как безопасность на основе виртуализации (VBS), проверка целостности кода, использование  гипервизора (HVCI), и встроенная безопасная загрузка, которая по умолчанию включена для защиты от наиболее вредоносных программ, программ-вымогателей и защищающая от наиболее изощренных атак. Windows 11 будет поставляться с инновациями в области безопасности, такими как аппаратная защита стека для поддерживаемого оборудования Intel и AMD, что поможет проактивно защитить клиентов от уязвимостей нулевого дня. Инновации, подобные Microsoft Pluton процессор безопасности, когда его используют великие партнеры в экосистеме Windows, помогает укрепить фундамент, лежащий в основе надежной безопасности Zero Trust.
  • Использование сервиса Windows Hello - для защиты вашей информации. Для предприятий Windows Hello поддерживает упрощенные модели развертывания - без паролей - для сокращения времени запуска - в течение нескольких минут. Это включает в себя  контроль методов аутентификации со стороны ИТ-администраторов при обеспечении безопасности связи между облачными инструментами для лучшей защиты корпоративных данных. А для "домашних" потребителей новые устройства с Windows 11 по умолчанию будут работать без пароля с первого запуска.
  • Безопасность и производительность в одном блоке управления (TPM). Упомянутые компоненты работают вместе в фоновом режиме, для обеспечения безопасности пользователей без ущерба для качества, производительности или удобства. Новый набор требований к безопасности оборудования, который входит в этот новый выпуск Windows, призван создать основу, которая станет еще более прочной и устойчивой к атакам на сертифицированные устройства. Доказано, что компьютеры с защищенным ядром в два раза устойчивее к заражению вредоносными программами.
  • Всесторонняя безопасность и соответствие. Стандартная поддержка Microsoft Azure Attestation позволяет Windows 11 предоставлять доказательства доверия через аттестацию, которая формирует основу политик соответствия, на которые могут положиться организации, чтобы понять их истинное состояние безопасности. Эти политики соответствия, подкрепленные аттестацией Azure, проверяют как личность, так и платформу, и образуют основу для рабочих процессов нулевого доверия и условного доступа для защиты корпоративных ресурсов.

Итак, Windows 11 обеспечивает  уровень аппаратной безопасности, совместимый с системами, оснащенными Pluton, а также с любым устройством, использующим микросхему безопасности TPM 2.0, включая сотни устройств, доступных от Acer, Asus, Dell, HP, Lenovo, Panasonic и многих других. Windows 11 - это более разумный способ для всех для совместной работы, обмена и презентаций с уверенностью в аппаратной защите.

Поделиться:

 

 

Оставьте свой комментарий!


 

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии