Incluso el cifrado de disco completo no puede mantenerlo seguro si el firmware de su PC se ve comprometido, por lo que las PC con núcleo seguro utilizarán la CPU para verificar si UEFI está diciendo la verdad sobre el arranque seguro.
Desde Windows 8 y Server 2012, Windows ha utilizado UEFI para verificar las firmas en los controladores de arranque, controladores de firmware y el sistema operativo en sí para asegurarse de que el código no haya sido alterado (por ejemplo, por un rootkit), y luego lanzó cualquier software anti-malware instalado antes de lanzar cualquier otro código.
Si tienes un TPM, Windows puede usarlo para almacenar mediciones de los componentes de arranque para pasar al software antimalware para que sepa que esos componentes fueron verificados. Windows 10 también puede usar Hyper-V para proteger el proceso de inicio de sesión de Windows del malware (Seguridad basada en virtualización), aunque eso es algo en lo que tienes que ponerte todo menos lo último PC basadas en brazos.
VER: 20 consejos profesionales para que Windows 10 funcione de la manera que desee (PDF gratuito) (TechRepublic)
Pero todo eso supone que puede confiar en UEFI y el otro firmware en la PC. Si el firmware en sí está comprometido, puede mentirle al software antimalware, e incluso formatear y reinstalar el sistema operativo no lo limpiará de la PC. A medida que Windows se vuelve más difícil de atacar, los piratas informáticos recurren a ataques de firmware, incluidos Modo de gestión del sistema (una función de CPU Intel que maneja la administración de energía, monitoreo térmico y otra configuración de hardware).
El firmware comprende millones de líneas de código, y no solo cada OEM escribe su propio firmware, sino que también pueden tener diferentes versiones de firmware para diferentes PC. Ese código se ejecuta con un nivel de privilegio muy alto, a menudo es difícil de actualizar y, como cualquier otro software, tendrá errores. Se están descubriendo y explotando más vulnerabilidades de firmware en los ataques: uno usó las características antirrobo en el firmware para localizar una PC robada para rastrear dónde estaba el usuario todos los días, por ejemplo.
En lugar de confiar en la capacidad de los OEM para corregir errores de firmware rápidamente, PC con núcleo seguro cambie completamente la forma en que se inicia Windows, al no confiar más en el firmware, solo en la CPU, el TPM y el código de Windows.
Las PC con núcleo seguro aplican las mejores prácticas de seguridad de aislamiento y mínima confianza a la capa de firmware que sustenta Windows.
"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow "> Las PC con núcleo seguro aplican las mejores prácticas de seguridad de aislamiento y mínima confianza a la capa de firmware que sustenta Windows. Imagen: Microsoft
"Dado el aumento de los ataques de firmware que hemos visto solo en los últimos tres años, el objetivo era eliminar el firmware como un componente confiable del proceso de arranque, por lo que estamos evitando este tipo de ataques avanzados de firmware", Dave Weston, director de seguridad del sistema operativo en Microsoft, dijo a TechRepublic.
La primera línea del cargador de arranque de Windows en PC con núcleo seguro coloca a la CPU en un nuevo estado de seguridad donde, en lugar de aceptar las mediciones realizadas durante Arranque seguro, a pesar de que están en el TPM, retrocede y revalida la medición. Si no coinciden, la PC no se inicia y en su lugar entra en modo de recuperación de BitLocker. Si está administrando la PC a través de Afinado, también envía una señal al servicio de que no se puede confiar en el dispositivo y no se debe permitir que se conecte a su red.
"Estas PC utilizan el último silicio de AMD, Intel y Qualcomm que tienen Trusted Platform Module 2.0 y Raíz dinámica de confianza (DRTM) integrado. La raíz de la confianza es un conjunto de funciones en el módulo informático confiable en el que siempre confía el sistema operativo de una computadora e integrado en el dispositivo ", explica Weston." Crear una raíz de confianza basada en hardware significa que ' estamos agregando funcionalidad a nivel de hardware para garantizar que el dispositivo se inicie de forma segura y que el malware no haya penetrado en el firmware ".
"La raíz de la confianza en una PC con núcleo seguro es la propia CPU. Cuando se ejecuta el cargador de arranque de Windows, el Lanzamiento seguro de System Guard invoca instrucciones DTRM en la CPU para eliminar cualquier confianza asociada con el firmware ", dice Weston." Las mediciones se realizan durante todo el proceso en el TPM de los componentes críticos de arranque de Windows. Los componentes que se miden son un conjunto relativamente pequeño de Microsoft y el proveedor de CPU, lo que limita la cantidad de cosas que necesitamos medir y problemas secundarios, como realizar un seguimiento del código del proveedor de OEM / firmware ". Eso evita que el arranque seguro ralentice el inicio.
Windows no puede usar la raíz dinámica de confianza o el inicio seguro para evitar vulnerabilidades en el modo de administración del sistema de la misma manera porque se carga demasiado pronto, pero es importante protegerlo porque tiene aún más privilegios en el sistema que el hipervisor. Para resolver esto, Microsoft trabajó con los proveedores de silicio para descubrir qué necesita hacer SMM y rediseñó el sistema de paginación de memoria en Windows para bloquear las páginas de memoria clave para que no se puedan modificar. SMM aún puede encender la luz de encendido de su computadora portátil, pero ya no puede cambiar la memoria utilizada por el hipervisor. Un atacante aún puede comprometer SMM, pero eso ya no le da la capacidad de comprometer el resto del sistema.
Las PC con núcleo seguro también activan todas las características de seguridad opcionales de Windows 10 como Integridad del código de HyperVisor, que solo permite la ejecución de controladores firmados y evita muchos ataques de Programación orientada al retorno como WannaCry.
Cuando bloquea una PC con núcleo seguro, no puede instalar un nuevo dispositivo DMA conectado a través de Thunderbolt hasta que desbloquee el dispositivo con un PIN o datos biométricos. Eso previene a los atacantes que obtienen acceso físico a su máquina y que de otra manera podrían enchufar un dispositivo malicioso disfrazado de cable (que puede hacer con piezas vendidas en eBay y código disponible en GitHub).
Si administra PC con Intune, los administradores pueden requerir PC con núcleo seguro para acceder a documentos extremadamente confidenciales. Intune también puede ver las medidas tomadas para mostrar la salud de la PC mientras la está usando. Esto significa que si se ve comprometido y un atacante apaga el software antivirus para que no se detecten, por ejemplo, eso se mostrará como un cambio sospechoso que las políticas de acceso condicional pueden usar para bloquear la PC.
Weston compara eso con los sellos a prueba de manipulaciones en los paquetes de medicamentos: "Hemos pasado de un mundo donde puedo abrir una PC y moverme lateralmente a través de toda su red, a un mundo donde la nube lo rechazará si la CPU no cree la máquina."
Parchear PC más antiguas
Hay opciones que los fabricantes de PC pueden tomar sin ir tan lejos como Secured-core, como usar Windows Update para entregar actualizaciones automáticas de firmware por lo que cualquier parche se aplica lo antes posible. UEFI todavía maneja la instalación real de las actualizaciones, pero significa que no tiene que depender de que los usuarios vayan al sitio web de OEM para buscar actualizaciones de firmware (o que los administradores las prueben y las envíen), por lo que es más probable que esté ejecutando La última versión más segura del firmware.
Los dispositivos Surface ya lo hacen, y Microsoft ha abierto la base del firmware Surface UEFI como Proyecto mu en un intento de darles una ventaja a los OEM con su propio firmware seguro. Si su PC no hace eso, Weston sugiere que "los usuarios finales pueden reducir su riesgo al asegurarse de que UEFI Secure Boot esté habilitado en la configuración del BIOS, y al revisar de manera rutinaria el sitio web del OEM de su dispositivo para obtener firmware y controladores actualizados".
También puedes encender Lanzamiento seguro en PC existentes con Windows 10 Pro versión 1809 o posterior, siempre que tengan Intel Coffee Lake / Qualcomm Snapdragon 850 y CPU posteriores y TPM 2.0. No está activado de forma predeterminada: puede habilitarlo en Configuración / Actualización y seguridad / Seguridad de Windows / Seguridad de Windows abierta / Seguridad del dispositivo / Aislamiento del núcleo / Protección del firmware.
El Lanzamiento seguro se puede habilitar en PC con CPU Intel Coffee Lake / Qualcomm Snapdragon 850 o posterior y TPM 2.0, pero no está activado de manera predeterminada.
"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow "> El Lanzamiento seguro se puede habilitar en PC con CPU Intel Coffee Lake / Qualcomm Snapdragon 850 o posterior y TPM 2.0, pero no está activado de manera predeterminada. Imagen: Microsoft
Esto usa el TPM como una raíz dinámica de confianza para las mismas mediciones, ofrece la misma protección de paginación y supervisión del modo de administración del sistema y le permite usar Intune o SCCM para verificar la manipulación de la misma manera. Si tiene el hardware adecuado para encenderlo, definitivamente debería hacerlo.
La razón por la que Microsoft y los OEM han trabajado juntos para crear PC con núcleo seguro es que tener seguridad activada en la fábrica cuando se aprovisiona el TPM, antes de que la PC pueda verse comprometida, es importante para las compañías reguladas. "Estas PC están diseñadas específicamente para industrias altamente específicas que manejan datos súper sensibles y necesitan múltiples capas de seguridad incorporadas", señaló Weston.
VER: Hoja de trucos: Microsoft Surface Pro 7 (PDF gratuito) (TechRepublic)
Además, también se basan en características específicas de la CPU que las PC más antiguas simplemente no tienen, por lo que es posible que no tenga sistemas que admitan el Lanzamiento seguro. Del mismo modo, si desea utilizar la seguridad basada en virtualización (que configura varias máquinas virtuales pequeñas, rápidas e invisibles en la PC para funciones como Credential Guard), debe verificar si funcionaban en sus PC y luego verificar que no funcionaran No rompa ningún controlador ni reduzca demasiado el rendimiento. Ahora puedes comprar una PC donde sabes que funcionarán.
De hecho, una de las cosas más útiles sobre las PC con núcleo seguro es que para muchas empresas, seleccionar una PC con las características adecuadas para habilitar todas las opciones de seguridad de Windows es difícil porque la lista de dispositivos aprobados para la compra en una organización grande a menudo es fuera de plazo. Necesita TPM 2.0 para que BitLocker y Windows Hello sean lo más seguros posible y para almacenar otras claves de cifrado. Solo tener una etiqueta como esta hará que sea más fácil elegir una PC que pueda aprovechar las características de seguridad que ya están en Windows.
