Прочитать на английском

Поделиться через


Обзор безопасности Surface

По мере развития киберугроз должны развиваться и стратегии борьбы с ними. Microsoft Surface использует упреждающий подход "Никому не доверяй" для устранения возникающих угроз путем внедрения расширенных функций безопасности на всех уровнях по умолчанию — от оборудования до облачных служб, от концепции продукта до вывода из эксплуатации. Это гарантирует, что устройства Surface остаются высокозащищенными, адаптируемыми и устойчивыми на протяжении всего жизненного цикла.

Безопасность в облаке — это центральное место в стратегии Surface. Мы предоставляем надежную защиту платформы с мощными Windows 11 возможностями безопасности, включенными по умолчанию. По мере продвижения к будущему с поддержкой ИИ Surface помогает организациям повысить уровень безопасности оборудования, ОС, данных, приложений и удостоверений, используя встроенную защиту.

Защищенная цепочка поставок Surface

Чтобы обеспечить безопасность устройств Surface по умолчанию и безопасность при развертывании, корпорация Майкрософт применяет строгие средства контроля безопасности на протяжении всего жизненного цикла продукта. Эти элементы управления охватывают как физические аппаратные, так и программные компоненты. Устройства Surface проходят строгие проверки безопасности, начиная с концепции, переходя через проектирование, разработку, производство, поставку и обслуживание. Эти комплексные проверки безопасности поддерживают беспроблемную цепочку доверия на протяжении всего жизненного цикла устройства.

На уровне производства корпорация Майкрософт проводит регулярные аудиты поставщиков, чтобы предотвратить потенциальные угрозы, такие как программы-шантажисты, фишинг и вредоносные программы. Кроме того, устройства Surface также получают выгоду от программ безопасности Таможенно-торгового партнерства по борьбе с терроризмом (C-TPAT) и Ассоциации защиты транспортных активов (TAPA), которые в дальнейшем защищают глобальную торговлю и поддерживают безопасную логистику для доставки устройств Surface по всему миру.

Для программного обеспечения корпорация Майкрософт разработала жизненный цикл безопасной разработки (SDL) и применила эту платформу во всех продуктах для упреждающей адаптации к изменяющемуся ландшафту угроз и нормативным требованиям, таким как Указ 14028 ("Улучшение кибербезопасности страны"). Кроме того, корпорация Майкрософт и ее поставщики должны подписывать компоненты программного обеспечения цифровой подписью, использовать безопасные каналы и протоколы для связи, а также своевременно и регулярно обновлять устройства Surface для устранения любых потенциальных проблем. Наконец, разработка Surface UEFI сотрудничает с проектом Project Mu корпорации Майкрософт с открытым исходным кодом, чтобы предоставить полностью принадлежащий Корпорации Майкрософт стек единого расширяемого встроенного ПО (UEFI) для каждого устройства Surface, что снижает зависимость от сторонних поставщиков встроенного ПО, обеспечивая прозрачность и защиту для самых низких и конфиденциальных уровней вашего устройства.

Владея проектированием оборудования и разработкой встроенного ПО, корпорация Майкрософт сводит к минимуму риски цепочки поставок, что позволяет быстро реагировать на любые потенциальные уязвимости. Благодаря этим упреждающим методикам устройства Surface разработаны в соответствии с самыми высокими стандартами безопасности как цифровой, так и физической цепочки поставок. Этот унифицированный внутренний подход повышает безопасность устройств Surface до того, как они покинут фабрику.

Компоненты, разработанные корпорацией Майкрософт &

Корпорация Майкрософт разрабатывает и обслуживает устройства Surface, чтобы обеспечить клиентам полный контроль, упреждаемую защиту и спокойствие в любой рабочей среде. Устройства Surface оснащены ведущими функциями безопасности Корпорации Майкрософт для защиты от сложных атак и упрощения управления устройствами.

Встроенная безопасность Surface

С момента нажатия кнопки питания и до завершения работы устройства Surface обеспечивает встроенную безопасность на каждом этапе своего жизненного цикла.

Каждое устройство Surface, работающее Windows 11 из коробки, использует доверенный платформенный модуль (TPM) 2.0, который помогает обеспечить целостность платформы, предотвращая незаконное изменение криптографических ключей и управление ими для различных безопасных операций. Доверенный платформенный модуль поддерживает аппаратный корень доверия, выделенный модуль, который помогает создать аппаратную границу безопасности, чтобы обеспечить загрузку устройства в доверенном состоянии. Вместе TPM и root of Trust функционируют в качестве защищенной привязки для интегрированного шифрования и безопасных операций, создавая основу безопасности для BitLocker, безопасности на основе виртуализации (VBS),целостности памяти/HVCI, расширенной Sign-In безопасности (ESS) для Windows Hello для бизнеса и других безопасных операций.

Благодаря проверкам виртуализации и целостности, предоставляемым VBS и HVCI соответственно, ядро устройства размещается отдельно от операционной системы для защищенного ядра. Это означает, что даже если операционная система скомпрометирована, ядро по-прежнему защищено. Кроме того , защита DMA ядра помогает защитить память устройства от атак на диск с прямым доступом к памяти (DMA), защищая ядро от внешних периферийных устройств, получающих несанкционированный доступ к памяти.

Чтобы обеспечить целостность загрузки устройства при включении питания, безопасная загрузка использует корень доверия устройства, чтобы предотвратить запуск несанкционированного встроенного ПО во время загрузки. Эта функция включена в UEFI и TPM 2.0, созданная корпорацией Майкрософт, и позволяет гарантировать, что только авторизованное встроенное ПО запускается перед загрузкой ОС. Это встроенное ПО должно быть создано корпорацией Майкрософт, ее независимыми поставщиками оборудования (IHV) или утвержденными репозиториями с открытым кодом и оставаться без изменений во время передачи и подготовки на устройство. Этот процесс защищает целостность встроенного ПО на каждом этапе последовательности загрузки — от нажатия кнопки питания до запуска ОС. В рамках System Guard безопасного запуска устройства Surface также защищают начальную загрузку с помощью динамического корневого элемента измерения доверия (DRTM) или сокращения поверхности атак по встроенному ПО (FASR)1, которые создают аппаратный корень доверия, предназначенный для обеспечения целостности процесса загрузки и защиты от атак на уровне встроенного ПО.

Многие из этих встроенных функций безопасности составляют основу secured-core PC (SCPC), который интегрирует оборудование, встроенное ПО и виртуализацию для защиты устройств от различных угроз, включая вредоносные программы, проблемы физического владения (например, потеря или кража) и атаки доступа. SCPC помогает защитить данные, даже если устройство скомпрометировано.

С конца 2021 года каждое устройство Surface под управлением Windows 11 является Secured-Core компьютером с самым высоким уровнем защиты, включенным в коробке. Следующие функции безопасности являются подмножеством этих функций, включенных по умолчанию для всех устройств SCPC Surface:

Функция Описание Подробнее
Доверенный платформенный модуль (TPM) 2.0 Безопасный криптопроцессор для обеспечения целостности платформы путем предоставления механизмов безопасности для предотвращения незаконного изменения, а также создания криптографических ключей и управления ими для таких функций, как разблокировка системного диска, шифрование диска, измерение процесса загрузки и биометрическая проверка подлинности. Обзор технологии доверенного платформенного модуля
Аппаратный корень доверия Помогает установить доверенное состояние загрузки путем применения TPM устройства и возможностей измерения корневого элемента доверия для устранения уязвимостей встроенного ПО. Она создает аппаратную границу безопасности, изолируя системную память от ОС для защиты критически важных служб и конфиденциальных данных от уязвимостей ОС, поддерживая целостность системы путем аттестации. Аппаратный корень доверия
BitLocker Обеспечивает шифрование для устранения угроз кражи данных или раскрытия данных с потерянных, украденных или недостаточно списанных устройств. Если этот параметр включен, BitLocker помогает гарантировать, что данные остаются недоступными, даже если устройство попадает в несанкционированные руки. Обзор BitLocker
Безопасность на основе виртуализации (VBS) Использует аппаратную виртуализацию для создания и изоляции безопасной области памяти от обычной операционной системы. Windows может использовать этот "виртуальный безопасный режим" для размещения ряда решений безопасности, чтобы защитить операции от любых потенциальных уязвимостей или эксплойтов в ОС. Безопасность на основе виртуализации (VBS)
Целостность памяти

Также известный как целостность кода, навязанная гипервизором (HVCI)
Помогает поддерживать целостность кода в ядре— области операционной системы с высоким уровнем привилегий. Он проверяет все драйверы и двоичные файлы в режиме ядра перед выполнением и блокирует загрузку неподписанных драйверов или системных файлов в память. Работая в изолированной среде, она проверяет целостность кода ядра в соответствии с политикой подписывания ядра. Включение функции защиты целостности кода на основе виртуализации
Расширенная Sign-In безопасность (ESS) Использует VBS и TPM 2.0 для изолированного и безопасного обмена биометрическими данными для проверки подлинности, чтобы включить Windows Hello с биометрическим входетым без пароля. Усиленная безопасность при входе в Windows Hello
Windows Hello для бизнеса Позволяет выполнять вход без пароля с использованием двухфакторной проверки подлинности на основе безопасной биометрии (ESS) или ПИН-кода и учетных данных для конкретного устройства, привязанных к корпоративному удостоверению. Этот метод проверки подлинности обеспечивает повышенную безопасность и удобство для пользователей. Принципы работы Windows Hello для бизнеса
Защищенное ядро Работает в виртуализированной среде для защиты от ОС Windows, обеспечивая проверку всех проверок политики целостности кода. Использует VBS и HVCI для изолированной среды для защиты ядра от потенциальных уязвимостей ОС. Защищенное ядро
Защита DMA для ядра Защищает от внешних периферийных устройств от несанкционированного доступа к памяти. Помогает защититься от атак DMA с помощью диска. Защита DMA для ядра
UEFI, созданный корпорацией Майкрософт Встроенное ПО, которое настраивает устройство и загружает ОС, разработанную совместно корпорацией Майкрософт и Surface. Предоставляет службы среды выполнения встроенного ПО, а с Microsoft Intune значительно улучшает контроль над оборудованием с помощью облачного или локального управления. Surface UEFI: эволюция загрузки, безопасности & управления устройствами для создания ведущего в отрасли защищенного компьютера



Управление параметрами UEFI Surface
Безопасная загрузка Гарантирует, что устройство загружает только доверенное программное обеспечение, проверяя сигнатуру каждого элемента загрузочного программного обеспечения перед переходом на следующий этап загрузки. Этот процесс устанавливает принудительные сигнатуры передачи между UEFI, загрузчиком, ядром и средами приложений для блокировки атак вредоносных программ или других потенциальных угроз в последовательности загрузки. Безопасная загрузка
Динамический корень измерения доверия (DRTM) Загружает устройство из недоверенного в доверенное состояние, заставляя ЦП отключать известный и измеряемый путь кода для динамически установленного аппаратного корня доверия во время выполнения для поддержки целостности системы. Принудительное измерение и аттестация кода встроенного ПО с помощью Secure Launch на Windows 10
Сокращение направлений атак на встроенное ПО (FASR) Устанавливает сертифицированный путь загрузки, который сводит к минимуму подверженность встроенного ПО потенциальным атакам, ограничивая исполняемый код в среде встроенного ПО. Сокращение направлений атак на встроенное ПО (FASR)

Преимущества коммерческой безопасности Surface

Удаленное управление

ИТ-администраторы могут удаленно управлять устройствами Surface. Microsoft Intune Центр администрирования с Intune и Windows Autopilot обеспечивает полное удаленное управление устройствами Surface из облака Azure, предоставляя полностью настроенные устройства пользователям при запуске. Функции очистки и снятия с учета позволяют ИТ-службам быстро перенацелить устройство для нового удаленного пользователя или очистить украденное устройство. Эти возможности обеспечивают быстрое и безопасное реагирование, позволяя удаленно удалять все корпоративные данные и перенастраивание Surface в качестве совершенно нового устройства.

В рамках Microsoft Intune интерфейс конфигурации встроенного ПО устройства (DFCI) позволяет управлять параметрами встроенного ПО на основе облака, включая удаленное отключение оборудования и блокировку параметров UEFI. В качестве аналогичной альтернативы режим управления Surface Enterprise (SEMM) — это еще одно решение для управления параметрами встроенного ПО в организации и управления ими.

Адаптивная безопасность

В быстро развивающийся цифровой век способность быстро и упреждающе реагировать имеет первостепенное значение. Microsoft Defender для конечной точки обеспечивает защиту от сложных угроз на основе ИИ в режиме реального времени, помогая защитить конфиденциальные данные и коммуникации. Организации могут воспользоваться преимуществами клиентский компонент Центра обновления Windows для бизнеса, используя поддерживаемый корпорацией Майкрософт стек встроенного ПО и приложений ОС. Эта служба обеспечивает актуальную версию систем с помощью новейших средств защиты и позволяет ИТ-управлению уже введенными в эксплуатацию устройствами.

Функция Описание Подробнее
Microsoft Intune Облачное решение для управления конечными точками, которое помогает организациям управлять доступом пользователей, приложениями и устройствами, обеспечивая безопасный доступ к корпоративным ресурсам. Он поддерживает модель безопасности "Никому не доверяй", обеспечивая соответствие устройств требованиям, интегрируя со службами защиты и защищая данные удостоверений и приложений. Microsoft Intune безопасно управляет удостоверениями, приложениями и устройствами
Windows Autopilot Позволяет облачную настройку и предварительную настройку новых устройств, чтобы подготовить их к продуктивному использованию и свести к минимуму нагрузку на ИТ-администраторов. Его также можно использовать для сброса, повторного назначения или восстановления устройств, чтобы упростить жизненный цикл устройств Windows. Общие сведения о Windows Autopilot
Интерфейс конфигурации встроенного ПО устройства (DFCI) Позволяет удаленно управлять параметрами UEFI на устройствах, зарегистрированных в Windows Autopilot и управляемых через Microsoft Intune. Он позволяет удаленно управлять параметрами встроенного ПО, отключать аппаратные компоненты и применять авторизованные конфигурации для повышения безопасности устройств. Управление DFCI на устройствах Surface
Surface Enterprise Management Mode (SEMM) Обеспечивает централизованное корпоративное управление параметрами встроенного ПО UEFI в локальных, гибридных и облачных средах. Позволяет ИТ-администраторам подготавливать параметры конфигурации UEFI и устанавливать их на устройствах Surface. Начало работы с режимом управления Surface Enterprise
Microsoft Defender для конечной точки Платформа безопасности корпоративного уровня, которая обнаруживает, предотвращает сложные угрозы и реагирует на них. Обеспечивает надежную безопасность конечных точек на основе ИИ для управляемых устройств Surface. Microsoft Defender для конечной точки
клиентский компонент Центра обновления Windows для бизнеса Позволяет ИТ-администраторам постоянно обновлять клиентские устройства Windows своей организации с помощью последних обновлений для системы безопасности и функций Windows, напрямую подключая эти системы к службе клиентский компонент Центра обновления Windows. Что такое Центр обновления Windows для бизнеса?

Безопасность масштабирования

По мере развития ландшафта угроз Surface начинает внедрять больше функций безопасности на некоторых устройствах. Эти функции еще не интегрированы во весь портфель продуктов Surface, но в течение следующих нескольких лет масштабируются в различных линейках продуктов. Ниже приведены некоторые функции безопасности, относящиеся к продукту:

Функция Описание Подробнее
Расширение безопасности памяти Язык программирования Rust обеспечивает определенные гарантии безопасности памяти, которые могут снизить до 70 % уязвимостей по сравнению с традиционным кодом C. Целевые компоненты программного обеспечения и встроенного ПО Surface преобразуются в Rust, начиная с частей стека UEFI и microcontroller Unit (MCU), а также создания платформы драйверов для разработки драйверов Rust. Поддержка Rust для разработки UEFI с помощью Project Mu



Платформа разработки драйверов Rust с открытым кодом
Microsoft Pluton Security Processor Microsoft Pluton Security Processor — это защищенный криптопроцессор, встроенный в ЦП для обеспечения безопасности на ядре устройства. Обработчик безопасности Microsoft Pluton
Microsoft Pluton TPM Microsoft Pluton поддерживает TPM 2.0 для кремниевого корня доверия для защиты конфиденциальной информации и ключей шифрования. Он также поддерживает прием улучшений безопасности через Windows Обновления. Microsoft Pluton как доверенный модуль платформы
Copilot+ PC Компьютеры со встроенными нейронными единицами обработки (NPU), которые ускоряют работу и операции искусственного интеллекта (ИИ) на устройстве. Дополнительные сведения о компьютерах Copilot+ и Windows 11 компьютерах с Surface

Хотя эти функции безопасности масштабируются, другие устройства Surface будут интегрировать их по умолчанию в свои продукты. Например, компьютеры Copilot + , новые компьютеры с Windows со встроенными нейронными процессорами (NPU), которые ускоряют работу и операции искусственного интеллекта (ИИ) на устройстве, содержат процессор Microsoft Pluton, включенный по умолчанию в дополнение к полному набору функций безопасности Surface, описанных на этой странице.

Ссылки

Функция FASR является эксклюзивной для продуктов Surface, разработанных Intel. FASR не применяется к продуктам Surface, разработанным с процессорами Qualcomm (QC) или AMD.