O que é um PC Secure Core para Windows 11?

0
49


Microsoft

Os PCs domésticos podem enfrentar ameaças muito diferentes das máquinas de negócios, razão pela qual a Microsoft e seus parceiros de fabricação desenvolveram o Secured-Core PC for Business. No entanto, alguns de seus recursos de segurança estão incluídos em todas as versões do Windows 11. Vamos dar uma olhada em como um PC núcleo seguro se compara ao seu laptop em casa.

linhas de base de segurança

A segurança no Windows 11 começa com o básico de manter a segurança, o que a Microsoft chama de linhas de base de segurança. Essas linhas de base podem variar com base nos tipos de dispositivos e ameaças específicas do setor, como segurança da Web ou proteção de dados confidenciais.

O termo “linhas de base de segurança” refere-se especificamente a máquinas Windows Pro, no entanto, existem alguns princípios básicos que a maioria dos PCs modernos, incluindo dispositivos Windows 11 Home, usam para se manterem seguros. Um exemplo é o Trusted Platform Module Versão 2.0 (TPM 2.0), que a Microsoft começou a exigir para máquinas Windows 11. TPM é um recurso de segurança em nível de hardware que armazena com segurança chaves de criptografia para autenticar hardware e software, habilitar a criptografia BitLocker se disponível e proteger a identidade biométrica e outros dados.

O próximo recurso importante a ser referenciado é o Secure Boot, que permite que apenas sistemas operacionais assinados (conhecidos) sejam executados. Isso ajuda a evitar que rootkits e outros malwares nocivos infectem seu sistema. O Windows Hello com autenticação de identidade biométrica também é considerado uma linha de base essencial.

Por fim, há a Criptografia de Unidade de Disco BitLocker, que mantém seus dados seguros quando não estão em uso. O BitLocker não está disponível para PCs domésticos com Windows 11, mas alguns oferecem suporte a uma versão mais leve chamada Windows Device Encryption.

Então, o que são PCs core seguros?

A Microsoft e seus parceiros visam PCs Secured-Core para pessoas que precisam de um nível mais alto de segurança devido ao seu setor ou profissão. Os governos podem querer um PC de núcleo seguro para lidar com informações altamente privilegiadas, por exemplo, como bancos, empresas com propriedade intelectual muito procurada ou engenheiros que trabalham em infraestrutura crítica. Essas pessoas podem enfrentar ameaças avançadas, incluindo ataques direcionados e físicos contra suas máquinas para roubar dados importantes ou dados de autenticação. O Secured-Core tem como alvo uma ampla gama de possíveis ataques de firmware, que (quando bem-sucedidos) podem permanecer em uma máquina mesmo após o sistema operacional ser apagado ou os componentes serem alterados.

Um laptop Windows 11 prateado em uma mesa de madeira.
Microsoft

Então, quais são os níveis extras de segurança que você obtém com o Secured Core? Um exemplo é a proteção de acesso à memória. Isso protege contra ataques de acesso direto à memória (DMA) quando um dispositivo mal-intencionado se conecta a um PC via Thunderbolt, PCIe ou alguma outra interface de alta velocidade para obter acesso direto à memória.

A partir daí, ele pode executar malware, tentar obter chaves de criptografia ou obter o controle do sistema. A Microsoft mostrou um exemplo de como isso pode ser feito e como a Proteção de Acesso à Memória mitiga esses ataques durante o Microsoft Ignite em 2020. Para que um ataque DMA funcione, normalmente o invasor deve começar com acesso físico a um dispositivo vulnerável. Claramente, a maioria de nós não precisa se preocupar com um espião corporativo entrando em nosso quarto de hotel para roubar nosso laptop. Corporações e governos, no entanto, o fazem.

Outro recurso dos PCs Secured Core é a segurança baseada em virtualização (VBS) e a integridade do código do hipervisor, cuja principal atração é a integridade da memória, um recurso de segurança opcional no Windows 11 Home. Em PCs Secured-Core, isso é ativado por padrão, e os PCs e laptops pré-construídos do Windows 11 Home mais recentes também podem habilitá-lo. No entanto, os sistemas mais antigos que foram atualizados para o Windows 11 geralmente não.

Para evitar o comprometimento mal-intencionado do seu sistema, o Memory Integrity executa os principais processos em um ambiente virtual para isolá-los do sistema e reduzir as chances de um ataque mal-intencionado. No entanto, para fazer isso, ele usa os recursos de virtualização do PC.

Isso significa que você pode ter problemas se estiver executando máquinas virtuais por meio de programas como o VirtualBox ou se estiver tentando fazer overclock em seu sistema com algo como o Ryzen Master. Na maioria das vezes, o Memory Integrity não funcionará bem com esses programas. Se você estiver com problemas, precisará inicializar no modo de segurança para desabilitar a integridade da memória ou até mesmo executar para abrir a Segurança do Windows e desabilitar o recurso antes que a tela azul da morte apareça em seu monitor.

A integridade da memória também não será executada se você tiver hardware antigo com drivers desatualizados. A boa notícia é que, se você tiver um problema de driver, o Windows o alertará sobre o problema e não permitirá que você ative a integridade da memória até que o problema seja resolvido.

Se, depois de todos esses avisos, você quiser tentar ativar a integridade da memória em seu computador doméstico com Windows 11 atualizado, abra o aplicativo de segurança do Windows clicando em Iniciar > Todos os aplicativos > Segurança do Windows.

No trilho esquerdo, selecione Device Security e, na página que aparece em Kernel Isolation, selecione o link “Kernel Isolation Details”.

O aplicativo Windows Security mostrando a opção de menu Device Security e a opção Core Isolation

Finalmente, em Memory Integrity, alterne o controle deslizante de Off para On.

O Windows 11 solicitará que você reinicie sua máquina. Depois disso, que o destino esteja com você.

Dois recursos principais adicionais do Secured Core são System Guard e Dynamic Root of Trust Measurement (DRTM). Esses dois recursos trabalham juntos para garantir que o sistema permaneça seguro durante a inicialização e enquanto estiver em execução.

O System Guard se concentra na proteção da integridade do sistema do computador durante a inicialização e, em seguida, garante que o sistema esteja saudável por meio de métodos de verificação remotos e locais. Isso inclui a capacidade de a TI analisar remotamente os resultados do processo de inicialização de um sistema usando dados armazenados e protegidos no dispositivo pelo TPM 2.0.

O DRTM faz parte do System Guard. Ele permite que o sistema inicialize em um estado não confiável (do ponto de vista do Windows) para superar a necessidade de verificar e colocar na lista de permissões todas as variantes possíveis do BIOS da placa-mãe sob o sol. Então, logo após o início do processo de inicialização, o DRTM garante que todas as CPUs do sistema passem por um caminho conhecido e confiável para colocar o sistema em funcionamento.

Para ler mais detalhes técnicos sobre o System Guard e o DRTM, consulte a documentação online da Microsoft.

Basicamente, um PC com núcleo seguro tem tudo a ver com combater ameaças avançadas que tentam introduzir malware antes que o sistema operacional seja carregado. Um recurso crítico para PCs que possuem dados críticos relacionados a, por exemplo, segurança energética ou propriedade intelectual extremamente valiosa.

Alguns desses recursos, ou similares, estão disponíveis para PCs domésticos com Windows e, se você comprar um novo PC, muitos deles serão ativados por padrão. Se você criou seu sistema ou atualizou do Windows 10, eles geralmente não serão ativados, mas você poderá ativá-los. A Inicialização Segura é um acéfalo, mas a integridade da memória deve ser tratada com cautela, especialmente em máquinas mais antigas.

Você pode ver uma lista de PCs Secure Core disponíveis no site da Microsoft.