Microsoft vysvětluje, jak jsou počítače se zabezpečeným jádrem Windows imunní vůči útokům, jako je Thunderspy
2 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Nedávno výzkumníci prokázána neodhalitelný a rychlý hardwarový útok zvaný Thunderspy, který snadno obchází bezpečnostní funkce Intel Thunderbolt a umožňuje útočníkovi zkopírovat paměť z uzamčeného a zašifrovaného počítače. Microsoft dnes vysvětlil, že počítače se zabezpečeným jádrem nejsou Thunderspy ovlivněny.
Zde je návod, jak počítače se zabezpečeným jádrem nabízejí ochranu před Thunderspy:
- Počítače se zabezpečeným jádrem používají strategii hloubkové obrany, která využívá funkce, jako je Windows Defender System Guard a zabezpečení založené na virtualizaci (VBS), ke zmírnění rizik v různých oblastech a poskytuje komplexní ochranu proti útokům, jako je Thunderspy.
- Počítače se zabezpečeným jádrem se dodávají s hardwarem a firmwarem, které podporují ochranu Kernel DMA, která je v OS Windows standardně povolena. Ochrana jádra DMA spoléhá na jednotku IOMMU (Input/Output Memory Management Unit), která blokuje externí periferie ve spouštění a provádění DMA, pokud není přihlášen oprávněný uživatel a obrazovka není odemčená.
- Počítače se zabezpečeným jádrem se dodávají s integritou chráněného kódu hypervisorem (HVCI) ve výchozím nastavení. HVCI využívá hypervizor k povolení VBS a izolaci subsystému integrity kódu, který ověřuje, že veškerý kód jádra ve Windows je podepsán normálním jádrem. Kromě izolace kontrol zajišťuje HVCI také to, že kód jádra nemůže být zapisovatelný i spustitelný, což zajišťuje, že se neověřený kód nespustí.
Microsoft poprvé oznámil Počítače se zabezpečeným jádrem v roce 2019. Jedná se o bezprostředně po vybalení nejbezpečnější zařízení s Windows 10 s integrovaným hardwarem, firmwarem, softwarem a ochranou identity. Pro získání této certifikace musí výrobci Windows OEM splňovat přísné bezpečnostní požadavky uvedené společností Microsoft. Tyto nové počítače se zabezpečeným jádrem jsou zaměřeny na lidi, kteří pracují v odvětvích nejvíce citlivých na data, jako jsou státní správa, finanční služby a zdravotnictví.
Zdroj: Microsoft