Обзор безопасности Surface Hub

Surface Hub предоставляет заблокированный интерфейс, похожий на устройство, со встроенным ПО для платформы под управлением операционной системы Windows 10 для совместной работы. Итоговое устройство использует традиционный "одноразовый" безопасный киоск, принцип "запуск только необходимого" и обеспечивает современный подход. Разработанный для поддержки широкого взаимодействия пользователей, Surface Hub защищен от постоянно развивающихся угроз безопасности.

Основанный на Windows 10, Surface Hub обеспечивает современную защиту корпоративного уровня, позволяя ИТ-администраторам обеспечивать защиту данных с помощью BitLocker, Trusted Platform Module 2.0 (TPM), а также облачную защиту с помощью Защитника Windows (также известного как Microsoft Defender).

Защита в глубине безопасности

Протоколы безопасности начинаются, как только Surface Hub включен. Начиная с уровня встроенного программного обеспечения, Surface Hub загружает операционную систему и ее компоненты только в ответ на многочисленные проверки безопасности. Surface Hub использует стратегию под названием «Защита в глубине», которая включает в себя наложение независимых защитных подкомпонентов для защиты всей системы в случае частичного отказа. Эта отраслевая практика доказала свою высокую эффективность в борьбе с потенциальными узконаправленными эксплойтами и слабостью подкомпонентов.

Современный единый расширяемый интерфейс встроенного ПО (UEFI) статически и безопасно настроен корпорацией Майкрософт для загрузки только проверенной операционной системы Windows 10 для совместной работы из внутреннего хранилища. Подпись каждой строки кода, выполняемой на Surface Hub, проверяется перед выполнением. Только приложения, подписанные Microsoft, либо как часть операционной системы, либо установленные через Microsoft Store, могут работать на Surface Hub. Код или приложения, не соответствующие этим требованиям, блокируются.

Системы безопасности Surface Hub включают в себя следующее:

  • Защита при загрузке. Загружает только доверенные компоненты операционной системы Surface Hub.
  • Защита операционной системы. Защищает от запуска непреднамеренного или вредоносного программного обеспечения или кода.
  • Защита интерфейса пользователя. Предоставляет пользовательский интерфейс, безопасный для конечных пользователей, предотвращая доступ к потенциально опасным действиям, таким как запуск исполняемых файлов из командной строки.

Защита при загрузке

SoC имеет процессор безопасности, который отделен от любого другого ядра. При первом запуске Surface Hub запускается только обработчик безопасности перед загрузкой других компонентов.

Этапы загрузки при запуске Hub с демонстрацией средств защиты обработчика безопасности.

Безопасная загрузка

Безопасная загрузка используется для проверки того, что компоненты процесса загрузки, в том числе драйверы и операционная система, проверены по базе данных действительных и известных сигнатур. В Surface Hub сначала необходимо проверить подпись для конкретной платформы, прежде чем можно будет загрузить авторизованную операционную систему Windows Team. Это помогает предотвратить атаки со стороны клонированной или модифицированной системы, на которой запущен вредоносный код, скрытый в том, что кажется обычным для пользователя. Дополнительные сведения см. в статье общие сведения о безопасной загрузке.

Защита операционной системы

Как только операционная система подтверждена как исходящая от Microsoft, и Surface Hub успешно завершает процесс загрузки, устройство анализирует исполняемый код. Наш подход к защите операционной системы включает идентификацию подписи кода всех исполняемых файлов, позволяя загружать в среду выполнения только те из них, которые соответствуют нашим ограничениям. Этот метод подписи кода позволяет операционной системе проверять автора и подтверждать, что код не был изменен до запуска на устройстве.

Surface Hub использует функцию подписи кода, известную как целостность кода пользовательского режима (UMCI) в Windows Application Control (ранее известная как Device Guard). Параметры политики настроены так, чтобы разрешать только приложения, удовлетворяющие одному из следующих требований:

  • Приложения универсальной платформы Windows (Microsoft Store), которые официально сертифицированы.
  • Приложения подписаны с помощью уникального корневого центра сертификации Microsoft (CA), который может быть подписан только сотрудниками Microsoft с авторизованным доступом к этим сертификатам.
  • Приложения подписаны с использованием уникального Microsoft Surface Hub Root C.

Файл конфигурации подписан с использованием Microsoft Production Root CA, разработанного для предотвращения удаления или изменения ограничений третьей стороной. Все остальные исполняемые файлы на этом этапе просто блокируются на уровне среды выполнения операционной системы и не имеют доступа к вычислительной мощности. Это уменьшение поверхности атаки обеспечивает следующие меры защиты:

  • Нет устаревших режимов документов
  • Нет устаревших скриптовых движков
  • Нет языка векторной разметки
  • Нет объектов помощника браузера
  • Нет элементов управления ActiveX

Помимо блокировки неподписанного или неправильно подписанного кода с помощью UMCI, Surface Hub использует Windows Application Control для блокировки компонентов Windows, таких как командная строка, PowerShell и диспетчер задач. Эти меры безопасности отражают ключевую конструктивную особенность Surface Hub как защищенного вычислительного устройства. Дополнительные сведения см. в следующих разделах:

Защита интерфейса пользователя

В то время как средства защиты при загрузке и блокировки операционной системы обеспечивают основную безопасность, пользовательский интерфейс обеспечивает дополнительный уровень, разработанный для дальнейшего снижения риска. Чтобы предотвратить попадание вредоносного кода на устройство через драйверы, Surface Hub не загружает расширенные драйверы для устройств Plug and Play (PnP). Устройства, использующие базовые драйверы, такие как USB-устройства флэш-памяти или сертифицированные периферийные устройства Surface Hub (динамики, микрофоны, камеры), работают должным образом, но современные системы, такие как принтеры, не будут работать.

Защита пользовательского интерфейса также упрощает пользовательский интерфейс, дополнительно предотвращая выполнение вредоносного программного обеспечения или кода. Следующие элементы пользовательского интерфейса Surface Hub обеспечивают безопасность ядра, обеспечиваемую подписью кода:

  • Проводник. В Surface Hub имеется специальный проводник, который обеспечивает быстрый доступ к папкам «Музыка», «Видео», «Документы», «Изображения» и «Загрузки», не подвергая пользователей системным или программным файлам. Другие расположения на локальном жестком диске недоступны через проводник. Кроме того, многие типы выполняемых файлов, такие как установочные файлы .exe и .msi, не могут работать, обеспечивая еще один уровень безопасности от потенциально вредоносных исполняемых файлов.

  • Запустите & все приложения. Компоненты «Пуск» и «Все приложения» Surface Hub не предоставляют доступ к командной строке, PowerShell или другим компонентам Windows, заблокированным с помощью Application Control. Кроме того, функция запуска Windows, обычно доступная на ПК из поля поиска, отключена для Surface Hub.

Улучшения безопасности в Surface Hub 2S

Хотя Surface Hub и Surface Hub 2S работают под управлением одного и того же программного обеспечения операционной системы, некоторые функции, уникальные для Surface Hub 2S, обеспечивают дополнительные возможности управления и безопасности, позволяющие ИТ-администраторам выполнять следующие задачи:

  • Управление настройками UEFI с помощью SEMM
  • Восстановите концентратор с загрузочным USB
  • Укрепить учетную запись устройства с ротацией пароля

Управление настройками UEFI с помощью SEMM

UEFI - это интерфейс между базовыми компонентами аппаратной платформы и операционной системой. В Surface Hub пользовательская реализация UEFI позволяет детально контролировать эти параметры и не позволяет любому объекту, не принадлежащему Microsoft, изменять настройки UEFI устройства или загружаться на съемный диск для изменения или изменения операционной системы.

На высоком уровне, в процессе подготовки к работе на заводе-изготовителе Surface Hub UEFI предварительно настроен для включения безопасной загрузки и настроен на загрузку только с внутреннего твердотельного накопителя (SSD), при этом доступ к меню UEFI заблокирован, а ярлыки удалены. Это закрывает доступ к UEFI и гарантирует, что устройство может загружаться только в операционной системе Windows Team, установленной на Surface Hub.

При управлении через Microsoft Surface Enterprise Management Mode (SEMM) ИТ-администраторы могут развертывать параметры UEFI на устройствах-концентраторах в организации. Это включает в себя возможность включать или отключать встроенные компоненты оборудования, защищать настройки UEFI от несанкционированного изменения пользователями и настраивать параметры загрузки.

Настройки Surface Hub UEFI.

Администраторы могут внедрять SEMM и зарегистрированные устройства Surface Hub 2S, используя загружаемый конфигуратор Microsoft Surface UEFI. Для получения дополнительной информации см. Защита и управление Surface Hub 2S с помощью SEMM и UEFI. Защищенный с помощью сертификата для защиты конфигурации от несанкционированного вмешательства или удаления, SEMM позволяет управлять следующими компонентами:

  • Проводная сеть
  • Камера
  • Bluetooth
  • Wi-Fi
  • Датчик занятости
  • IPv6 для загрузки PXE
  • Альтернативная загрузка
  • Блокировка порядка загрузки
  • USB-загрузка
  • Интерфейс UEFI на первой странице
    • Устройства
    • Загрузка
    • Дата и время

Восстановите концентратор с загрузочным USB

Surface Hub 2S позволяет администраторам переустанавливать устройство до заводских настроек, используя образ для восстановления всего за 20 минут. Как правило, вам нужно будет это сделать, только если ваш Surface Hub больше не работает. Восстановление также полезно, если вы потеряли ключ Bitlocker или у вас больше нет учетных данных администратора в приложении «Настройки».

Укрепить учетную запись устройства с ротацией пароля

Surface Hub использует учетную запись устройства, также известную как «учетная запись помещения», для аутентификации в Exchange, Microsoft Teams и других службах. Когда вы включаете ротацию паролей, Hub 2S автоматически генерирует новый пароль каждые 7 дней, состоящий из 15-32 символов с комбинацией прописных и строчных букв, цифр и специальных символов. Поскольку никто не знает пароль, ротация пароля учетной записи устройства эффективно снижает риск, связанный с человеческими ошибками и потенциальными атаками на социальную инженерию.

Защита корпоративного уровня

В дополнение к конкретным конфигурациям и функциям Surface Hub, описанным в этом документе, Surface Hub также использует стандартные функции безопасности Windows. К ним можно отнести следующие.

  • BitLocker. Surface Hub SSD оснащен BitLocker для защиты данных на устройстве. Его конфигурация соответствует отраслевым стандартам. Для получения дополнительной информации см. Обзор BitLocker.
  • Защитник Windows. Механизм защиты от вредоносных программ Защитника Windows постоянно работает на Surface Hub и автоматически устраняет угрозы, обнаруженные на Surface Hub. Механизм Защитника Windows автоматически получает обновления и управляется с помощью инструментов удаленного управления для ИТ-администраторов. Механизм Защитника Windows является прекрасным примером нашего подхода к защите в глубине: если вредоносное ПО может найти способ обойти наше основное решение безопасности на основе кодовых обозначений, оно будет здесь обнаружено. Дополнительные сведения см. в разделе управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации.
  • Драйверы Plug and Play. Чтобы предотвратить попадание вредоносного кода на устройство через драйверы, Surface Hub не загружает расширенные драйверы для устройств PnP. Это позволяет устройствам, использующим базовые драйверы, такие как USB-устройства флэш-памяти, работать должным образом, в то же время блокируя более сложные системы, такие как принтеры.
  • Модуль доверенной платформы 2.0. Surface Hub оснащен стандартным дискретным модулем Trusted Platform Module (dTPM) для генерации и хранения криптографических ключей и хэшей. Модуль dTPM защищает ключи, используемые для проверки фаз загрузки, мастер-ключ BitLocker, ключ входа без пароля и многое другое. DTPM соответствует стандарту FIPS 140-2 Level 2, государственному стандарту компьютерной безопасности США, и соответствует сертификации Общие критерии, используемой во всем мире.

Беспроводная безопасность для Surface Hub

Surface Hub использует технологию Wi-Fi Direct / Miracast и соответствующие стандарты 802.11, Wi-Fi Protected Access (WPA2) и Wireless Protected Setup (WPS). Поскольку данное устройство поддерживает только WPS (в отличие от предварительного ключа (PSK) WPA2 или WPA2 Enterprise), проблемы, традиционно связываемые с шифрованием 802.11, намеренно упрощены.

Miracast является частью стандарта Wi-Fi Display, который в свою очередь поддерживается протоколом Wi-Fi Direct. Эти стандарты поддерживаются в современных мобильных устройствах для совместного использования экрана и совместной работы.

Wi-Fi Direct или Wi-Fi "peer to peer" (P2P) - это стандарт, выпущенный Wi-Fi Alliance для сетей "Ad-Hoc". Он позволяет поддерживаемым устройствам взаимодействовать напрямую и создавать группы сетей без необходимости в подключении к традиционным точкам доступа Wi-Fi или к Интернету.

Безопасность для Wi-Fi Direct обеспечивается технологией WPA2 с помощью стандарта WPS. Устройства могут быть аутентифицированы с использованием цифрового контакта, физической или виртуальной кнопки или внеполосного сообщения с использованием связи ближнего поля. По умолчанию Surface Hub поддерживает как кнопки, так и методы PIN. Дополнительную информацию смотрите в разделе Как Surface Hub решает проблемы безопасности Wi-Fi Direct.

Подробнее