Безопасность оборудования Windows
Узнайте больше о поддержке функций безопасности оборудования в Windows.
Аппаратный корень доверия
| Имя компонента | Описание |
|---|---|
| System Guard в Защитнике Windows | На компьютерах с защищенными ядрами Защитник Windows System Guard Secure Launch защищает загрузку с помощью технологии, известной как динамический корень доверия для измерения (DRTM). При использовании DRTM система изначально следует обычному процессу безопасной загрузки UEFI. Однако перед запуском система переходит в доверенное состояние, управляемое оборудованием, что приводит ЦП к отключению аппаратно защищенного пути кода. Если вредоносная программа rootkit/bootkit обошла безопасную загрузку UEFI и находится в памяти, DRTM предотвратит доступ к секретам и критическому коду, защищенному средой безопасности на основе виртуализации. Технология уменьшения числа атак на встроенное ПО можно использовать вместо DRTM на вспомогательных устройствах, таких как Microsoft Surface. |
| Доверенный платформенный модуль (TPM) | TTPM обеспечивают преимущества безопасности и конфиденциальности для системного оборудования, владельцев платформ и пользователей. Windows Hello, BitLocker, Защитник Windows System Guard и другие функции Windows зависят от доверенного платформенного модуля для таких возможностей, как создание ключей, безопасное хранилище, шифрование, измерение целостности загрузки и аттестация. Версия спецификации 2.0 включает поддержку новых алгоритмов, которые могут повысить производительность подписывания драйверов и генерации ключей. Начиная с Windows 10, сертификация оборудования Майкрософт требует, чтобы все новые компьютеры с Windows включали встроенный И включенный по умолчанию TPM 2.0. При использовании Windows 11 новые и обновленные устройства должны иметь TPM 2.0. |
| Microsoft Pluton | Процессоры безопасности Microsoft Pluton разработаны корпорацией Майкрософт в партнерстве с партнерами по кремнию. Pluton повышает защиту устройств Windows с помощью аппаратного корня доверия, который обеспечивает дополнительную защиту криптографических ключей и других секретов. Pluton предназначен для уменьшения уязвимой области, так как он интегрирует микросхему безопасности непосредственно в процессор. Его можно использовать с сдержанным TPM 2.0 или в качестве автономного процессора безопасности. Если корень доверия находится на отдельной дискретной микросхеме на системной плате, путь связи между корнем доверия и ЦП может быть уязвим для физической атаки. Pluton поддерживает отраслевой стандарт TPM 2.0, что позволяет клиентам немедленно воспользоваться преимуществами повышенной безопасности в функциях Windows, которые используют TTPM, включая BitLocker, Windows Hello и Защитник Windows System Guard. Помимо предоставления корневого доверия, Pluton также поддерживает другие функции безопасности, выходящие за рамки спецификации TPM 2.0, и эта расширяемость позволяет предоставлять дополнительные функции встроенного ПО Pluton и ОС с течением времени через клиентский компонент Центра обновления Windows. Устройства с поддержкой Pluton Windows 11 доступны, и выбор вариантов с Pluton растет. |
Безопасность аппаратного обеспечения
| Имя компонента | Описание |
|---|---|
| Безопасность на основе виртуализации (VBS) | В дополнение к современному корню доверия оборудования в последних микросхемах есть множество других возможностей, которые защищают операционную систему от угроз, например путем защиты процесса загрузки, обеспечения целостности памяти, изоляции логики вычислений, чувствительных к безопасности, и т. д. Два примера включают безопасность на основе виртуализации (VBS) и целостность кода, защищенную гипервизором (HVCI). Безопасность на основе виртуализации (VBS), также известная как изоляция ядра, является критически важным строительным блоком в безопасной системе. VBS использует функции аппаратной виртуализации для размещения безопасного ядра, отделенного от операционной системы. Это означает, что даже если операционная система скомпрометирована, защищенное ядро остается защищенным. Начиная с Windows 10, все новые устройства должны поставляться с поддержкой встроенного ПО для VBS и HCVI, включенной по умолчанию в BIOS. Затем клиенты могут включить поддержку ОС в Windows. При новых установках Windows 11 поддержка ОС для VBS и HVCI включена по умолчанию для всех устройств, соответствующих предварительным требованиям. |
| Целостность кода, защищенная гипервизором (HVCI) | Целостность кода, защищенная гипервизором (HVCI), также называемая целостностью памяти, использует VBS для запуска целостности кода в режиме ядра (KMCI) в безопасной среде VBS вместо main ядра Windows. Это помогает предотвратить атаки, которые пытаются изменить код режима ядра, например драйверы. Роль KMCI заключается в том, чтобы проверка, что весь код ядра правильно подписан и не был изменен, прежде чем он будет разрешен к запуску. HVCI помогает обеспечить выполнение только проверенного кода в режиме ядра. Начиная с Windows 10, все новые устройства должны поставляться с поддержкой встроенного ПО для VBS и HCVI, включенной по умолчанию в BIOS. Затем клиенты могут включить поддержку ОС в Windows. При новых установках Windows 11 поддержка ОС для VBS и HVCI включена по умолчанию для всех устройств, соответствующих предварительным требованиям. |
| Принудительная аппаратная защита стека | Защита аппаратного стека интегрирует программное обеспечение и оборудование для современной защиты от киберугроз, таких как повреждение памяти и эксплойты нулевого дня. На основе технологии контроля потока управления (CET) от Intel и AMD Shadow Stacks защита аппаратного стека предназначена для защиты от эксплойтов, которые пытаются перехватывать адреса возврата в стеке. |
| Защита прямого доступа к памяти (DMA) ядра | Защита DMA ядра защищает внешние периферийные устройства от несанкционированного доступа к памяти. Физические угрозы, такие как атаки на диск с прямым доступом к памяти (DMA), обычно происходят быстро, когда владелец системы отсутствует. Устройства с горячей заменой PCIe, такие как Thunderbolt, USB4 и CFexpress, позволяют пользователям подключать новые классы внешних периферийных устройств, включая графические карты или другие устройства PCI, к своим компьютерам с удобством подключения USB. Поскольку порты горячей замены PCI являются внешними и легкодоступными, устройства подвержены атакам DMA с помощью диска. |
Компьютер с защищенным ядром
| Имя компонента | Описание |
|---|---|
| Защита встроенного ПО защищенного ядра | Корпорация Майкрософт сотрудничала с партнерами oem, чтобы предложить специальную категорию устройств под названием Защищенные компьютеры с ядром. Устройства поставляются с дополнительными мерами безопасности, включенными на уровне встроенного ПО или ядре устройства, которое лежит в основе Windows. Защищенные компьютеры с ядрами помогают предотвратить атаки с вредоносными программами и минимизировать уязвимости встроенного ПО, запуская в чистом и доверенном состоянии при запуске с аппаратным корнем доверия. Безопасность на основе виртуализации включена по умолчанию. А благодаря встроенной защищенной гипервизором целостности кода (HVCI), экранизующей системную память, компьютеры с защищенными ядрами гарантируют, что все исполняемые файлы подписываются только известными и утвержденными центрами. Компьютеры с защищенными ядрами также защищают от физических угроз, таких как атаки с прямым доступом к памяти (DMA). |
| Блокировка конфигурации с защищенным ядром | Блокировка конфигурации с защищенным ядром — это функция защищенного компьютера (SCPC), которая предотвращает внесение пользователями нежелательных изменений в параметры безопасности. При блокировке конфигурации ОС отслеживает разделы реестра, которые настраивают каждую функцию, и при обнаружении смещения за считанные секунды возвращается к требуемому ИТ-состоянию SCPC. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по