Windows 하드웨어 보안
Windows의 하드웨어 보안 기능 지원에 대해 자세히 알아보세요.
하드웨어 신뢰 루트
| 기능 이름 | 설명 |
|---|---|
| Windows Defender System Guard | 보안 코어 PC에서 Windows Defender System Guard Secure Launch는 DRTM(Dynamic Root of Trust for Measurement)이라는 기술로 부팅을 보호합니다. DRTM을 사용하면 시스템은 처음에 일반적인 UEFI 보안 부팅 프로세스를 따릅니다. 그러나 시작하기 전에 시스템은 하드웨어로 제어되는 신뢰할 수 있는 상태로 들어가 CPU를 하드웨어 보안 코드 경로로 강제 적용합니다. 맬웨어 루트킷/부트킷이 UEFI 보안 부팅을 우회하고 메모리에 있는 경우 DRTM은 가상화 기반 보안 환경으로 보호되는 비밀 및 중요한 코드에 액세스하지 못하게 합니다. Microsoft Surface와 같은 지원 디바이스에서 DRTM 대신 펌웨어 공격 표면 감소 기술을 사용할 수 있습니다. |
| TPM(신뢰할 수 있는 플랫폼 모듈) | TPM은 시스템 하드웨어, 플랫폼 소유자 및 사용자에게 보안 및 개인 정보 혜택을 제공합니다. Windows Hello, BitLocker, Windows Defender System Guard 및 기타 Windows 기능은 키 생성, 보안 스토리지, 암호화, 부팅 무결성 측정 및 증명과 같은 기능에 TPM을 사용합니다. 2.0 버전의 사양에는 드라이버 서명 및 키 생성 성능을 향상시킬 수 있는 최신 알고리즘에 대한 지원이 포함되어 있습니다. Windows 10 Microsoft의 하드웨어 인증을 사용하려면 모든 새 Windows PC에 기본적으로 기본 제공 및 사용하도록 설정된 TPM 2.0이 포함되어야 합니다. Windows 11 경우 새 디바이스와 업그레이드된 디바이스 모두 TPM 2.0이 있어야 합니다. |
| Microsoft Pluton | Microsoft Pluton 보안 프로세서는 Microsoft가 실리콘 파트너와 협력하여 설계되었습니다. Pluton은 암호화 키 및 기타 비밀에 대한 추가 보호를 제공하는 하드웨어 신뢰 루트를 사용하여 Windows 디바이스의 보호를 향상시킵니다. Pluton은 보안 칩을 프로세서에 직접 통합할 때 공격 표면을 줄이기 위해 설계되었습니다. 신중한 TPM 2.0 또는 독립 실행형 보안 프로세서로 사용할 수 있습니다. 신뢰 루트가 마더보드의 별도의 불연속 칩에 있는 경우 신뢰 루트와 CPU 간의 통신 경로는 물리적 공격에 취약할 수 있습니다. Pluton은 TPM 2.0 업계 표준을 지원하므로 고객은 BitLocker, Windows Hello 및 Windows Defender System Guard 포함한 TPM을 사용하는 Windows 기능의 향상된 보안을 즉시 활용할 수 있습니다. Pluton은 신뢰의 루트를 제공하는 것 외에도 TPM 2.0 사양으로 가능한 것 이상의 다른 보안 기능을 지원하며, 이 확장성을 통해 시간이 지남에 따라 추가 Pluton 펌웨어 및 OS 기능을 Windows 업데이트 통해 제공할 수 있습니다. Pluton 지원 Windows 11 장치를 사용할 수 있으며 Pluton을 사용하는 옵션의 선택이 증가하고 있습니다. |
실리콘 지원 보안
| 기능 이름 | 설명 |
|---|---|
| VBS(가상화 기반 보안) | 최신 하드웨어 신뢰 루트 외에도 최신 칩에는 부팅 프로세스 보호, 메모리 무결성 보호, 보안에 민감한 컴퓨팅 논리 격리 등 위협으로부터 운영 체제를 강화하는 다양한 다른 기능이 있습니다. 두 가지 예로는 VBS(가상화 기반 보안) 및 HVCI(하이퍼바이저 보호 코드 무결성)가 있습니다. 핵심 격리라고도 하는 VBS(가상화 기반 보안)는 보안 시스템의 중요한 구성 요소입니다. VBS는 하드웨어 가상화 기능을 사용하여 운영 체제와 분리된 보안 커널을 호스트합니다. 즉, 운영 체제가 손상되더라도 보안 커널은 보호된 상태로 유지됩니다. Windows 10 시작하는 모든 새 디바이스는 BIOS에서 기본적으로 사용하도록 설정된 VBS 및 HCVI에 대한 펌웨어 지원과 함께 제공되어야 합니다. 그러면 고객은 Windows에서 OS 지원을 사용하도록 설정할 수 있습니다. Windows 11 새로 설치하면 필수 구성 요소를 충족하는 모든 디바이스에 대해 기본적으로 VBS 및 HVCI에 대한 OS 지원이 설정됩니다. |
| HVCI(하이퍼바이저로 보호된 코드 무결성) | 메모리 무결성이라고도 하는 HVCI(하이퍼바이저 보호 코드 무결성)는 VBS를 사용하여 기본 Windows 커널 대신 보안 VBS 환경 내에서 KMCI(커널 모드 코드 무결성)를 실행합니다. 이렇게 하면 드라이버와 같은 커널 모드 코드를 수정하려는 공격을 방지할 수 있습니다. KMCI 역할은 모든 커널 코드가 올바르게 서명되었고 실행이 허용되기 전에 변조되지 않았음을 검사 것입니다. HVCI는 유효성이 검사된 코드만 커널 모드에서 실행할 수 있도록 하는 데 도움이 됩니다. Windows 10 시작하는 모든 새 디바이스는 BIOS에서 기본적으로 사용하도록 설정된 VBS 및 HCVI에 대한 펌웨어 지원과 함께 제공되어야 합니다. 그러면 고객은 Windows에서 OS 지원을 사용하도록 설정할 수 있습니다. Windows 11 새로 설치하면 필수 구성 요소를 충족하는 모든 디바이스에 대해 기본적으로 VBS 및 HVCI에 대한 OS 지원이 설정됩니다. |
| 하드웨어 적용 스택 보호 | 하드웨어 적용 스택 보호는 메모리 손상 및 제로 데이 익스플로잇과 같은 사이버 위협에 대한 최신 방어를 위해 소프트웨어와 하드웨어를 통합합니다. Intel 및 AMD 섀도 스택의 CET(제어 흐름 적용 기술)를 기반으로 하드웨어 적용 스택 보호는 스택의 반환 주소를 하이재킹하려는 악용 기술로부터 보호하도록 설계되었습니다. |
| 커널 DMA(직접 메모리 액세스) 보호 | 커널 DMA 보호는 외부 주변 장치가 메모리에 무단으로 액세스하지 못하도록 보호합니다. 드라이브 기반 DMA(직접 메모리 액세스) 공격과 같은 물리적 위협은 일반적으로 시스템 소유자가 없는 동안 빠르게 발생합니다. Thunderbolt, USB4 및 CFexpress와 같은 PCIe 핫 플러그 디바이스를 사용하면 사용자가 USB의 플러그 앤 플레이 용이성으로 그래픽 카드 또는 기타 PCI 디바이스를 포함한 새로운 외부 주변 장치 클래스를 PC에 연결할 수 있습니다. PCI 핫 플러그 포트는 외부 및 쉽게 액세스할 수 있으므로 디바이스는 DMA 공격에 취약합니다. |
보안 강화 PC
| 기능 이름 | 설명 |
|---|---|
| 보안 코어 PC 펌웨어 보호 | Microsoft는 OEM 파트너와 협력하여 보안 코어 PC라는 특별한 범주의 디바이스를 제공합니다. 디바이스는 Windows를 뒷받침하는 펌웨어 계층 또는 디바이스 코어에서 사용하도록 설정된 추가 보안 조치를 제공합니다. 보안 코어 PC는 하드웨어 적용 신뢰 루트를 사용하여 시작할 때 클린 신뢰할 수 있는 상태로 시작하여 맬웨어 공격을 방지하고 펌웨어 취약성을 최소화하는 데 도움이 됩니다. 가상화 기반 보안은 기본적으로 사용하도록 설정됩니다. 또한 기본 제공 하이퍼바이저 보호 코드 무결성(HVCI) 차폐 시스템 메모리를 사용하여 보안 코어 PC는 모든 실행 파일이 알려진 인증 기관에서만 서명되도록 합니다. 또한 보안 코어 PC는 DMA(직접 메모리 액세스) 공격과 같은 물리적 위협으로부터 보호합니다. |
| 보안 강화 구성 잠금 | 보안 코어 구성 잠금은 사용자가 보안 설정을 원치 않게 변경할 수 없도록 하는 SCPC(보안 코어 PC) 기능입니다. 구성 잠금을 사용하면 OS는 각 기능을 구성하는 레지스트리 키를 모니터링하고 드리프트를 감지하면 몇 초 만에 IT에서 원하는 SCPC 상태로 되돌아갑니다. |
피드백
출시 예정: 2024년 내내 콘텐츠 피드백 메커니즘인 GitHub 문제를 단계적으로 폐지하고 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 https://aka.ms/ContentUserFeedback을 참조하세요.
다음에 대한 사용자 의견 제출 및 보기