晶片輔助安全性
除了新式硬體信任根目錄之外,最新晶元中還有多項功能可強化操作系統以抵禦威脅。 這些功能可保護開機程式、保護記憶體的完整性、隔離安全性相關計算邏輯等等。
安全的核心
為了保護核心,我們有兩個主要功能:虛擬化型安全性 (VBS) 和受 Hypervisor 保護的程式代碼完整性 (HVCI) 。 所有 Windows 11 裝置都支援 HVCI,而且在大部分/所有裝置上預設都會開啟 VBS 和 HVCI 保護。
虛擬化型安全性 (VBS)
虛擬化型安全性 (VBS) 也稱為核心隔離,是安全系統中的重要建置組塊。 VBS 使用硬體虛擬化功能來裝載與操作系統分隔的安全核心。 這表示即使操作系統遭到入侵,安全核心仍會受到保護。 隔離的 VBS 環境可保護進程,例如安全性解決方案和認證管理員,免於在記憶體中執行的其他進程。 即使惡意代碼取得主要OS核心的存取權,Hypervisor 和虛擬化硬體也有助於防止惡意代碼在 VBS 環境中執行未經授權的程式碼或存取平臺秘密。 VBS 會實作虛擬信任層級 1 (VTL1) ,其許可權高於主要核心中實作的虛擬信任層級 0 (VTL0) 。
由於較具特殊許可權的虛擬信任層級 (VTL) 可以強制執行自己的記憶體保護,因此較高的 VTL 可以有效地保護記憶體區域免於較低的 VTL。 實際上,這可讓較低的 VTL 透過較高的 VTL 來保護隔離的記憶體區域。 例如,VTL0 可以將秘密儲存在 VTL1 中,此時只有 VTL1 可以存取它。 即使 VTL0 遭到入侵,秘密仍是安全的。
瞭解更多資訊
受 Hypervisor 保護的程式代碼完整性 (HVCI)
受 Hypervisor 保護的程式代碼完整性 (HVCI) 也稱為記憶體完整性,會使用 VBS 在安全 VBS 環境內執行內核模式程式代碼完整性 (KMCI) ,而不是在主要 Windows 核心內執行。 這有助於防止嘗試修改驅動程式等項目之內核模式程式代碼的攻擊。 KMCI 會檢查所有核心程序代碼是否都已正確簽署,而且在允許執行之前並未遭到竄改。 HVCI 可確保只能在核心模式中執行已驗證的程序代碼。 Hypervisor 會使用處理器虛擬化延伸模組來強制執行記憶體保護,以防止內核模式軟體執行程式代碼完整性子系統尚未先驗證的程序代碼。 HVCI 可防範常見的攻擊,例如依賴將惡意代碼插入核心的 WannaCry。 即使驅動程式和其他內核模式軟體有 Bug,HVCI 仍可防止插入惡意的內核模式程式代碼。
透過新的 Windows 11 安裝,預設會針對符合必要條件的所有裝置開啟 VBS 和 HVCI 的 OS 支援。
瞭解更多資訊
Hypervisor 強制分頁翻譯 (HVPT)
Hypervisor 強制執行的分頁翻譯 (HVPT) 是一項安全性增強功能,可強制執行來賓虛擬位址對來賓實體地址轉譯的完整性。 HVPT 可協助保護重要系統數據免於發生寫入何種攻擊,攻擊者通常會因為緩衝區溢位而將任意值寫入任意位置。 HVPT 可協助保護設定重要系統數據結構的分頁表。
硬體強制堆疊保護
硬體強制執行的堆疊保護會整合軟體和硬體,以防禦像是記憶體損毀和零時差入侵等網路威脅的新式防禦。 根據控制流程強制技術 (來自 Intel 和 AMD 陰影堆疊的 CET) ,硬體強制執行的堆疊保護旨在防範嘗試在堆疊上劫持傳回位址的惡意探索技術。
應用程式程式代碼包含程式處理堆疊,駭客會在稱為 堆疊破壞的攻擊類型中試圖損毀或中斷。 當可執行空間保護之類的防禦開始抵禦這類攻擊時,駭客會轉向新的方法,例如傳回導向的程序設計。 傳回導向程式設計是一種進階堆疊損毀形式,可以略過防禦、劫持數據堆疊,最後強制裝置執行有害的作業。 為了防範這些控制流程劫持攻擊,Windows 核心會為傳回位址建立個別的 陰影堆疊 。 Windows 11 擴充堆疊保護功能,以提供使用者模式和核心模式支援。
瞭解更多資訊
核心直接記憶體存取 (DMA) 保護
Windows 11 可防範實體威脅,例如磁碟驅動器直接記憶體存取 (DMA) 攻擊。 介面元件互連 Express (PCIe) 可熱外掛程式裝置,包括Bolt、USB4 和 CFexpress,可讓使用者以與 USB 相同的隨插即用便利性,將各種外部週邊設備連線到其電腦。 這些裝置包含圖形卡片和其他PCI元件。 由於PCI熱插即用埠是外部且易於存取的,因此電腦很容易受到由 DMA 驅動的攻擊。 記憶體存取保護 (也稱為核心 DMA 保護) 防止外部周邊未經授權存取記憶體,以防止這些攻擊。 磁碟驅動器式 DMA 攻擊通常會在系統擁有者不存在時快速發生。 攻擊是使用簡單到仲裁的攻擊工具來執行,這些工具是使用價格實惠、現成且不需要計算機反組譯碼的現成硬體和軟體所建立。 例如,計算機擁有者可能會離開裝置以進行快速咖啡休息。 同時,攻擊者會將外部工具插入埠,以竊取資訊或插入可讓攻擊者遠端控制計算機的程序代碼,包括略過鎖定畫面的能力。 內建並啟用記憶體存取保護后,Windows 11 會在人員工作的地方受到保護,免於遭受實體攻擊。
瞭解更多資訊
安全核心計算機和Edge Secured-Core
2021 年 3 月的安全性訊號報告發現,在過去兩年中,超過 80% 的企業至少有一次韌體攻擊。 針對金融服務、政府與醫療保健等數據敏感產業的客戶,Microsoft已與 OEM 合作夥伴合作,提供稱為安全核心計算機的特殊類別 (SCPC) ,以及稱為 Edge Secured-Core (ESc) 的對等內嵌 IoT 裝置類別。 隨附的裝置會在韌體層或裝置核心啟用更多安全性措施,以支援 Windows。
安全核心計算機和邊緣裝置可透過硬體強制執行的信任根目錄,在啟動時進入乾淨且受信任的狀態,協助防止惡意代碼攻擊,並將韌體弱點降到最低。 依預設會啟用虛擬化型安全性。 內建受 Hypervisor 保護的程式代碼完整性 (HVCI) 防護系統記憶體,確保所有核心可執行程式代碼僅由已知和核准的授權單位簽署。 安全核心計算機和邊緣裝置也可防範實體威脅,例如磁碟驅動器直接記憶體存取 (DMA) 具有核心 DMA 保護的攻擊。
安全核心計算機和邊緣裝置提供多層強固的保護,可抵禦硬體和韌體攻擊。 複雜的惡意代碼攻擊通常會嘗試在系統上安裝 bootkit 或 rootkit ,以規避偵測並達到持續性。 在載入 Windows 之前或在 Windows 開機程式本身期間,此惡意軟體可能會在韌體層級執行,讓系統能夠以最高層級的許可權啟動。 由於 Windows 中的重要子系統使用虛擬化型安全性,因此保護 Hypervisor 變得越來越重要。 為了確保沒有任何未經授權的韌體或軟體可以在 Windows 開機載入器之前啟動,Windows 計算機依賴統一可擴展固件介面 (UEFI) 安全開機標準,這是所有 Windows 11 計算機的基準安全性功能。 安全開機有助於確保只能執行具有受信任數位簽名的授權韌體和軟體。 此外,所有開機組件的度量都會安全地儲存在 TPM 中,以協助建立不可否認的開機稽核記錄,稱為 Static Root of Trust for Measurement (SRTM) 。
數以千計的 OEM 廠商會產生許多具有各種 UEFI 韌體元件的裝置型號,進而在開機時建立非常大量的 SRTM 簽章和度量。 由於安全開機原本就信任這些簽章和度量,因此將信任限制在任何特定裝置上開機所需的專案可能很困難。 傳統上,封鎖清單和允許清單是用來限制信任的兩個主要技術,如果裝置只依賴 SRTM 度量,則會繼續擴充。
DRTM (的動態信任根目錄)
在安全核心計算機和邊緣裝置中,系統防護 安全啟動會使用稱為「測量的動態信任根目錄」的技術來保護開機 (DRTM) 。 使用DRTM時,系統一開始會遵循一般的 UEFI 安全開機程式。 不過,在啟動之前,系統會進入硬體控制的信任狀態,以強制 CPU 關閉硬體保護的程式碼路徑。 如果惡意代碼 rootkit 或 bootkit 略過 UEFI 安全開機並位於記憶體中,DRTM 會防止它存取受虛擬化型安全性環境保護的秘密和重要程序代碼。 您可以在支援的裝置上使用韌體受攻擊面縮小 (FASR) 技術,而非DRTM,例如 Microsoft Surface。
系統管理模式 (SMM) 隔離是 x86 型處理器中的執行模式,其以比 Hypervisor 更高的有效許可權執行。 SMM 藉由協助減少受攻擊面,來補充DRTM所提供的保護。 依賴 Intel 和 AMD 等晶片提供者所提供的功能,SMM 隔離會強制執行原則來實作限制,例如防止 SMM 程式代碼存取 OS 記憶體。 SMM 隔離原則包含在DRTM測量中,可傳送至驗證器,例如Microsoft Azure 遠程證明。
瞭解更多資訊
組態鎖定
在許多組織中,IT 系統管理員會在其公司裝置上強制執行原則來保護OS,並防止使用者變更設定並建立設定漂移,讓裝置保持符合規範狀態。 當具有本機系統管理員權限的使用者變更設定,並且讓裝置與安全性原則不同步時,會發生設定漂移。 當裝置管理解決方案重設組態時,處於不符合規範狀態的裝置可能會在下次同步處理之前容易受到攻擊。
設定鎖定是安全的核心計算機和邊緣裝置功能,可防止使用者對安全性設定進行不必要的變更。 使用設定鎖定時,Windows 會監視支援的登錄機碼,並在偵測到漂移後幾秒內還原為 IT 所需的狀態。
瞭解更多資訊