Állapot elkülönítése és elkülönítése
Az állapotok elkülönítése és elkülönítése megvédi az HoloLens 2 operációs rendszer kritikus részeit a változástól, például az operációs rendszer megbízható állapotba való indításához szükséges részeket. Az elkülönítési technológiával a nem megbízható alkalmazások egy elkülönített tesztkörnyezetbe kerülnek, hogy ne legyenek hatással a rendszer biztonságára.
Állapotleválasztás
Az állapotok elkülönítése HoloLens 2 jelentősen javítja a biztonságot és a használhatóságot (frissítés), és segít megvédeni az alkalmazásadatokat. Az állapotleválasztás a következőképpen működik:
- A központi operációs rendszer az operációs rendszer központi kötetében van tárolva (megbízható vagy igazolt Microsoft operációs rendszer, amely frissíti az operációs rendszert).
- Az operációs rendszer futásidőben módosítható részei (például letölthető illesztőprogramok és konfigurációk), az adatok particionálása és biztonságos, különálló tárolási helyeken való tárolása további állapotleválasztással.
- Minden biztonságos tárolóhelyhez külön biztonsági szabályzatok tartoznak, amelyek a következő szakaszban ismertetett különböző biztonsági előnyöket nyújtanak.
Államhatárolás előnyei
- Biztonság: A HoloLens 2 által kiemelt állapotelválasztás jelentősen javítja a platform integritását, a kártevők ellenállását és a felhasználói adatok védelmét. Az operációs rendszer elidegeníthetetlen részének elkülönítésével és írásvédett vagy integritás elleni védelmével az állapot elkülönítése megnehezíti a kártevők számára a hideg újraindítást.
- Frissítések: A HoloLens 2 esetén, ha a központi operációs rendszer nem módosítható, és az eszközön lévő többi adattól teljesen el lett választva, a frissítések egyszerűvé és megbízhatóvá válnak. Emellett az állapotleválasztás alapvető alapokat biztosít a drámaian gyorsabb frissítésekhez, ami lehetővé teszi az operációs rendszer egyetlen lépésben történő cseréjét (atomi egység).
- Eszköz alaphelyzetbe állítása: HoloLens 2 alaphelyzetbe állítás törli a felhasználó által létrehozott adatokat és a felhasználói alkalmazás adatait az eszközön – beleértve a belső és külső tárolási helyeket is. Megőrzi a jelenlegi operációsrendszer-alkalmazásokat és a biztonsági szempontból kritikus alkalmazásokat, valamint a Microsoft és az OEM által testre szabott (előre telepített) alkalmazásokat. Ezek az előre telepített alkalmazások rehidratálhatók az eszközön az alaphelyzetbe állítás befejezése után
Államelválasztási állapotok
Az állapot elkülönítése biztosítja, hogy az operációs rendszert csak a Microsoft megbízható eszközösszetevői módosíthatják, és csak a nagy értékű állapotok őrizhetők meg az újraindítások során; más rendszerállapot csak a rendszerindítási munkamenet során létezik, és az újraindítás után el lesz vetve. Az állapotleválasztás gyorsan visszaállítja az eszközt a gyári állapotba. Windows Holographic for Business állapotok az alábbi kategóriákra oszthatók:
- Alapvető operációs rendszer – Nem módosítható állapot
- Operációs rendszer adatai – Változtatható állapot
- Felhasználói adatok – Változtatható állapot
Ezen HoloLens 2 működési állapotok mindegyikét a következő szakaszban ismertetjük.
Alapvető operációs rendszer
A nem módosítható állapot olyan végrehajtható fájlokat és adatokat tartalmaz, amelyek nem adhatók meg, és amelyeket a Microsoft csak a frissítések telepítése során módosíthat. A központi operációs rendszer ilyen frissítése során engedélyezve van egy új rendszerkép, amely a legújabb kívánt működési állapotot tartalmazza. A nem módosítható állapot írásvédettként van megjelölve (vagy egyébként integritás-védelemmel rendelkezik), ami megakadályozza az emelt szintű jogosultságokkal rendelkező kártevők megőrzését. A következő végrehajtható fájlok és adatok nem módosítható állapotban vannak védve:
- Windows Holographic beérkezett üzenetek illesztőprogramjai
- Operációs rendszer bináris fájljai
- Windows beérkezett üzenetek illesztőprogramjai
- A Windows beállításjegyzék-struktúrájában (HKLM) tárolt statikus Windows holografikus beállítások
- Példa: A HKLM tárolja a gépre telepített alkalmazások konfigurációs adatait. Emellett adatokat is tárol a hardver és a megfelelő illesztőprogramok észleléséhez. Ezek nem módosítható (integritás és írásvédett) állapotban történő védelmével biztosítjuk, hogy a központi operációs rendszer mindig megbízható állapotba kerüljön. Emellett az eszköz alaphelyzetbe állításakor biztosíthatjuk, hogy az eszköz csak az ezen a nem módosítható szakaszon található összetevőkbe legyen elindítva.
Operációs rendszer adatai
Fontos megjegyezni, hogy a futtatókörnyezetben módosítható végrehajtható fájlok és adatok (amelyek nem kritikus fontosságúak az operációs rendszer működéséhez) elvethetők és újra létrehozhatók, ha az adatok sérültek vagy sérültek. A nagy értékű, megváltoztatható állapotnak funkcionálisan szüksége van az operációs rendszer fenntartására, vagy az operációs rendszer leállítása és/vagy újraindítások között a támogatott Windows operációs rendszer- és eszközforgatókönyvek szerint. Példák a nagy értékű mutable állapotra:
- Az informatikai Rendszergazda konfigurált globális eszközbeállításokat, például az összes felhasználó helyének letiltását.
- A Wi-Fi hálózati kapcsolat hozzáfér az adat-eszköz által megjegyzett hálózatokhoz és a kapcsolódó kapcsolati jelszavakhoz.
- Összeomlási memóriaképek, beleértve a beállításokat és a naplókat.
- Az újonnan felfedezett eszközökhöz igény szerint letöltött illesztőprogramok. A HoloLens 2 nagy értékű változó állapota az operációs rendszer adatbiztonsági helyén található, akár a lemezen mentett fájlként, akár egy megőrzött beállításjegyzék-hive-ben.
Felhasználói adatok
Az utolsó állapotkategória az UWP-alkalmazások vagy az operációs rendszer által előállított vagy tárolt felhasználói adatokat jelöli. A rendszer ezen a helyen tárolja az összes ismert felhasználói mappát, például a Letöltéseket, a Dokumentumokat, a Videókat, a felhasználói profilokat és a HKEY_CURRENT_USER hive-t. Ezek az adatok nem nyerhetők ki megfelelő hitelesítő adatok nélkül; További információ az adatok védelméről: Titkosítás és adatvédelem.
Elkülönítés
Ennek az egyensúlynak az eléréséhez HoloLens 2 rendelkezik egy alapvető operációs rendszerrel, amelyet olyan elsődleges funkciókhoz használnak, mint a rendszerindítás, a hardvervezérlés, a bejelentkezés stb. A központi operációs rendszeren csak két alkalmazáskészlet fut: az előre telepített alkalmazások és az UWP-alkalmazások.
Kódaláírás
A digitálisan aláíró kód lehetővé teszi annak igazolását, hogy a végrehajtható elemek és szkriptek nem lettek módosítva, mivel megbízható forrás írta alá őket, így biztosítva a hitelességet és az integritást. Az alapértelmezés szerint megbízhatónak HoloLens 2 hatóságok a Microsoft és a Microsoft Store. A rendszergazdák új tanúsítványokat adhatnak hozzá az eszközhöz a ClientCertificateInstall és a RootCATrustedCertificates CSP-k segítségével. Az AllowAllTrustedApps szabályzattal megbízhatnak más, közvetlenül betöltött vagy üzletági alkalmazásokban is. A tanúsítványok a HKLM/Root helyi számítógép tanúsítványtárolójában találhatók, ha az "Eszköz" vagy a HKCU-ban vannak tárolva, ha a "Felhasználót" használja.
Defender-védelem
HoloLens 2 a Microsoft-szolgáltatásokat használja a felhasználók magasabb szintű biztonságának biztosításához:
A Defender SmartScreen automatikusan engedélyezve van a Windows Holographic rendszeren az operációs rendszer által, és védelmet nyújt az adathalászat és a kártevők ellen, valamint a potenciálisan rosszindulatú fájlok letöltését az Edge-en. A felhasználó nem kapcsolhatja ki, de a szabályzattal letilthatja.
A Defender tűzfal megakadályozza, hogy a jogosulatlan hálózati forgalom átfolyjon az eszközre és az eszközről. Alapértelmezés szerint engedélyezve van, és az ügyfél nem konfigurálhatja helyi műveletekkel vagy szabályzattal.
Windows Defender alkalmazásvezérlő: HoloLens 2 támogatja a WDAC-t, amely lehetővé teszi, hogy a rendszergazda leküldje az alkalmazásvezérlési szabályzatokat az eszközre. További információ: A WDAC használata HoloLens 2 eszközökön az MSFT Intune-nal.
Az informatikai rendszergazdák az AllowSmartScreen és a böngésző viselkedésével kezelhetik a SmartScreen viselkedését ezeken a szabályzatokon keresztül.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: