Cómo usa Microsoft el hardware para proteger el firmware
Desde Windows 8 y Server 2012, Windows ha estado usando UEFI Verifique las firmas de los controladores de arranque, los controladores de firmware y el propio sistema operativo para asegurarse de que el código no haya sido manipulado (por ejemplo, por un rootkit), luego inicie cualquier software antimalware instalado antes de iniciar cualquier otro código.
Si tienes un TPM, que Windows puede usar para almacenar medidas de componentes de arranque para pasar a antimalware para que sepa que esos componentes han sido inspeccionados. Windows 10 también puede usar Hyper-V para proteger el proceso de inicio de sesión de Windows contra malware (Seguridad basada en virtualización), aunque esto es algo que tienes que abrir tú mismo, a excepción de la última PC basadas en brazos.
Mirar: 20 consejos profesionales para hacer que Windows 10 funcione como usted quiere (PDF gratuito) (República tecnológica)
Pero todo esto supone que puede confiar en UEFI y otro firmware en su PC. Si el firmware en sí está comprometido, puede engañar al software antimalware; incluso formatear y reinstalar el sistema operativo no lo borrará de la PC.A medida que Windows se vuelve más difícil de atacar, los piratas informáticos recurren a los ataques de firmware, incluidos modo de gestión del sistema (Características de la CPU Intel que manejan la administración de energía, el monitoreo térmico y otras configuraciones de hardware).
El firmware consta de millones de líneas de código, y no es solo que cada OEM escriba su propio firmware, sino que pueden proporcionar diferentes versiones de firmware para diferentes PC. El código se ejecuta con privilegios muy altos, a menudo es difícil de actualizar y, como cualquier otro software, falla. Se descubrieron y explotaron más fallas de firmware en el ataque; por ejemplo, uno usó una función antirrobo en el firmware para ubicar una PC robada para rastrear la ubicación diaria del usuario.
En lugar de confiar en la capacidad del OEM para corregir rápidamente errores de firmware, PC de núcleo seguro Cambie por completo la forma en que se inicia Windows, ya no confíe más en el firmware, solo en la CPU, el TPM y el código de Windows.
«Dado el aumento en los ataques de firmware que hemos visto en los últimos tres años, nuestro objetivo es eliminar el firmware como un componente confiable del proceso de arranque, por lo que estamos previniendo ataques de firmware tan avanzados», dijo Dave Weston, director de operaciones. seguridad del sistema en Microsoft El responsable le dijo a Tecnopedia.
La primera línea del cargador de arranque de Windows en una PC de núcleo seguro pone la CPU en un nuevo estado seguro, en lugar de aceptar Arranque seguro, volverá y revalidará las medidas aunque estén en el TPM. Si no coinciden, la PC no se iniciará y entrará en el modo de recuperación de BitLocker. Si administra su PC por tonotambién envía una señal al servicio de que el dispositivo no es de confianza y no se le debe permitir conectarse a su red.
«Estas PC usan los últimos chips de AMD, Intel y Qualcomm, con Módulo de plataforma de confianza 2.0 y raíz dinámica de confianza (DRTM) incorporado. Una raíz de confianza es un conjunto de funciones en un módulo informático confiable en el que el sistema operativo de la computadora siempre confía y está integrado en un dispositivo «, explica Weston. «Crear una raíz de confianza basada en hardware significa que estamos agregando capacidades en el hardware nivel para asegurarse de que el dispositivo se inicie de forma segura y que el malware no se haya infiltrado en el firmware. «
«La raíz de confianza para una PC central segura es la propia CPU. Cuando se ejecuta el gestor de arranque de Windows, Arranque seguro de System Guard Las instrucciones DTRM se invocan en la CPU para eliminar cualquier confianza asociada con el firmware «, dijo Weston. «El TPM de los componentes clave de arranque de Windows se midió durante todo el proceso. Los componentes que se miden son un conjunto relativamente pequeño de Microsoft y proveedores de CPU, lo que limita la cantidad de cosas que necesitamos medir y evita problemas como el seguimiento del código del proveedor de firmware/OEM. Esto evita que Safe Boot ralentice el arranque.
Windows no puede evitar las vulnerabilidades en el modo de administración del sistema de la misma manera usando una raíz de confianza dinámica o un arranque seguro porque se carga demasiado pronto, pero es importante protegerlo porque tiene más privilegios en el sistema que el hipervisor. Para solucionar esto, Microsoft trabajó con los proveedores de chips para descubrir qué debía hacer SMM y rediseñó el sistema de paginación de memoria en Windows para bloquear las páginas de memoria críticas para que no se pudieran cambiar. SMM aún puede encender la luz de encendido en la computadora portátil, pero ya no puede cambiar la memoria utilizada por el hipervisor. Es posible que los atacantes aún puedan comprometer el SMM, pero esto ya no les permite comprometer el resto del sistema.
Security Core PC también activa todas las funciones de seguridad opcionales de Windows 10, como Integridad del código HyperVisorque solo permite la ejecución de controladores firmados y evita muchos ataques de programación orientados al retorno como WannaCry.
Cuando bloquea una PC central segura, no puede instalar nuevos dispositivos DMA conectados a través de Thunderbolt a menos que use un PIN o datos biométricos para desbloquear el dispositivo. Esto evita que los atacantes accedan físicamente a su máquina que, de otro modo, podría conectar un dispositivo malicioso disfrazado de cable (puede hacerlo usando piezas vendidas en eBay y código disponible en GitHub).
Si usa Intune para administrar equipos, es posible que los administradores necesiten equipos centrales seguros para acceder a documentos extremadamente confidenciales. Intune también puede ver las medidas tomadas para mostrar el estado de su PC mientras la usa. Esto significa que si se ve comprometida y el atacante desactiva el software antivirus para que no sea detectado, por ejemplo, esto aparecerá como una política de acceso condicional que se puede usar para bloquear cambios sospechosos en la PC.
Weston lo compara con los sellos a prueba de manipulaciones en los envases de medicamentos: «Hemos pasado de un mundo en el que puedo abrir una PC y mover la web lateralmente, a un mundo en el que la nube lo rechazará si la CPU no confía en la máquina .»
Parchear computadoras viejas
Los fabricantes de PC tienen opciones sin usar Windows Update para entregar como lo hace Secured-core Actualización automática de firmware Por lo tanto, los parches se aplicarán lo antes posible. UEFI aún maneja la instalación real de la actualización, pero significa que no tiene que depender de que los usuarios vayan al sitio web del OEM para encontrar actualizaciones de firmware (o los administradores las prueben y las envíen), por lo que es más probable que esté ejecutando el versión de firmware más reciente y segura.
Los dispositivos Surface ya lo han hecho, y Microsoft abrió la base del firmware Surface UEFI como Proyecto mu Intentar que los OEM tengan su propio firmware de seguridad. Si su PC no lo hace, Weston recomienda que «los usuarios finales puedan reducir el riesgo asegurándose de que UEFI Secure Boot esté habilitado en la configuración del BIOS y revisando regularmente el sitio web del OEM de su dispositivo para obtener firmware y controladores actualizados».
También puedes encender Arranque seguro En PC existentes con Windows 10 Pro versión 1809 o superior, siempre que tengan una CPU Intel Coffee Lake/Qualcomm Snapdragon 850 y superior y TPM 2.0. No habilitado de forma predeterminada: puede habilitarlo en Configuración/Actualización y seguridad/Seguridad de Windows/Activar seguridad de Windows/Seguridad del dispositivo/Aislamiento del núcleo/Protección de firmware.
Esto usa el TPM como una raíz de confianza dinámica para las mismas medidas, proporciona la misma protección de paginación y supervisión del modo de administrador del sistema, y le permite verificar la manipulación de la misma manera usando Intune o SCCM. Si tiene el hardware adecuado para encenderlo, debería hacerlo.
La razón por la que Microsoft y los OEM colaboraron para crear PC Secure Core es que es importante que las empresas reguladas tengan la seguridad activada en la fábrica al configurar el TPM (antes de que la PC se vea comprometida). «Estas PC están diseñadas para industrias altamente específicas que manejan datos ultra sensibles y necesitan agregar múltiples capas de seguridad integrada», señaló Weston.
Mirar: Hoja de referencia: Microsoft Surface Pro 7 (PDF gratuito) (República tecnológica)
Además, se basan en características específicas de la CPU que las PC más antiguas no tienen, por lo que es posible que no tenga un sistema compatible con el Arranque seguro. Del mismo modo, si desea utilizar la seguridad basada en la virtualización (configure varias máquinas virtuales pequeñas, rápidas e invisibles en su PC para cosas como Credential Guard), debe verificar si se están ejecutando en su PC, luego verifique ¿No se rompen? cualquier controlador o degradar demasiado el rendimiento. Ahora todo lo que necesita hacer es comprar una PC que sepa que funcionará.
De hecho, una de las cosas más útiles de una PC central segura es que, para muchas empresas, elegir una PC con las funciones adecuadas para habilitar todas las opciones de seguridad de Windows es difícil porque la lista de dispositivos aprobados para la compra en grandes organizaciones a menudo está fuera de fecha Necesita TPM 2.0 para que BitLocker y Windows Hello sean lo más seguros posible y para almacenar otras claves de cifrado. El simple hecho de tener una etiqueta como esta hace que sea más fácil elegir una PC que pueda aprovechar las características de seguridad que ya tiene Windows.
