除了現代硬體的信任根外,最新晶片還具備多項強化作業系統以抵禦威脅的能力。 這些功能保護開機過程、維護記憶體完整性、隔離安全敏感的計算邏輯等。
安全核心
為了保護核心,請使用兩項關鍵特性:基於虛擬化 (VBS) 的安全,以及 HVCI) (虛擬機監控程式保護的程式碼完整性。 所有 Windows 11 裝置都支援 HVCI,且大多數或全部裝置預設都開啟了 VBS 和 HVCI 保護。
虛擬化型安全性 (VBS)
基於虛擬化的安全 (VBS) ,也稱為核心隔離,是安全系統中的關鍵基石。 VBS 利用硬體虛擬化功能來承載一個與作業系統分離的安全核心。 這種分離意味著即使作業系統遭到入侵,安全核心仍能受到保護。 隔離的 VBS 環境保護程序,如安全解決方案與憑證管理器,免受記憶體中其他程序的干擾。 即使惡意軟體取得主作業系統核心的存取權,虛擬機監控程式與虛擬化硬體仍能防止惡意軟體執行未經授權的程式碼或存取 VBS 環境中的平台機密。 VBS 實作虛擬信任等級 1 (VTL1) ,其權限高於主核心實作的虛擬信任等級 0 (VTL0) 。
由於) VTL (更高特權的虛擬信任等級能強制執行自己的記憶體保護,較高的 VTL 能有效保護記憶體區域免受較低 VTL 的侵害。 實務上,這種保護允許較低的 VTL 透過依賴較高的 VTL 來保護隔離的記憶體區域。 例如,VTL0 可以在 VTL1 中儲存一個秘密,此時只有 VTL1 能存取該秘密。 即使 VTL0 被洩露,秘密依然安全無虞。
了解更多
HVCI) (Hypervisor 保護的程式碼完整性
HVCI) (Hypervisor 保護程式碼完整性,也稱為記憶體完整性,利用 VBS 在安全的 VBS 環境中執行核心模式程式碼完整性 (KMCI) ,而非主 Windows 核心。 此功能有助於防止試圖修改核心模式程式碼以修改驅動程式等目的的攻擊。 KMCI 會檢查所有核心程式碼是否正確簽署且未被竄改,然後才會執行。 HVCI 確保只有經過驗證的程式碼才能在核心模式下執行。 虛擬機監控程式使用處理器虛擬化擴充來強制執行記憶體保護,防止核心模式軟體執行程式碼完整性子系統未先驗證的程式碼。 HVCI 可防範像 WannaCry 這類依賴惡意程式碼注入核心的常見攻擊。 HVCI 能防止惡意核心模式程式碼的注入,即使驅動程式及其他核心模式軟體有錯誤。
新安裝的 Windows 11 系統會預設對所有符合先決條件的裝置啟用 VBS 和 HVCI 支援。
了解更多
虛擬機監控程式強制分頁轉換 (HVPT)
虛擬機監控程式強制分頁轉換 (HVPT) 是一項安全增強,確保訪客虛擬位址轉為訪客實體地址轉換的完整性。 HVPT 有助於保護關鍵系統資料免於「寫入何處」攻擊,攻擊者可將任意值寫入任意位置,通常是緩衝區溢位所致。 HVPT 協助保護配置關鍵系統資料結構的頁面資料表。
硬體強制堆疊保護
硬體強制堆疊保護整合軟硬體,作為對抗記憶體損毀與零時差攻擊等網路威脅的現代防禦。 基於 Intel 與 AMD Shadow Stacks (CET) 控制流強制技術,硬體強制堆疊保護旨在防範試圖劫持堆疊回傳位址的漏洞利用技術。
應用程式程式碼包含一個程式處理堆疊,駭客試圖破壞或破壞它,這是一種稱為 堆疊破壞(stack smashing)的攻擊方式。 當像可執行空間保護這類防禦開始阻擋此類攻擊時,駭客轉向新方法,如回傳導向程式設計。 回傳導向程式設計,也就是進階的堆疊破壞,可以繞過防禦,劫持資料堆疊,最終迫使裝置執行有害操作。 為了防範這些控制流程劫持攻擊,Windows 核心會建立一個獨立的 影子堆疊 來處理回傳位址。 Windows 11 擴充了堆疊保護功能,提供使用者模式與核心模式的支援。
了解更多
核心直接記憶體存取 (DMA) 保護
Windows 11 可防範實體威脅,如路過直接存取記憶體 (DMA) 攻擊。 周邊元件互連 Express (PCIe) 可熱插拔裝置,包括 Thunderbolt、USB4 和 CFexpress,讓使用者能以與 USB 相同的即插即用便利性,將各種外接周邊設備連接到電腦。 這些裝置包含顯示卡及其他 PCI 元件。 由於 PCIe 熱插拔埠是外接且容易存取,PC 容易受到 drive-by DMA 攻擊。 記憶體存取保護 (也稱為核心 DMA 保護) 透過防止外部周邊設備未經授權存取記憶體來防範這些攻擊。 經過的DMA攻擊通常在系統擁有者不在場時迅速發生。 這些攻擊使用簡單到中度的攻擊工具,這些工具使用價格合理、現成的硬體和軟體,不需要拆解電腦。 例如,電腦使用者可能會留下裝置去喝杯咖啡。 同時,攻擊者會將外部工具插入埠口竊取資訊或注入程式碼,讓攻擊者能遠端控制電腦,包括繞過鎖定畫面的能力。 內建並啟用記憶體存取保護後,Windows 11 無論在哪裡工作都能抵禦實體攻擊。
了解更多
安全核心 PC 與 Edge Secured-Core
2021 年 3 月的 Security Signals 報告發現,超過80%的企業在過去兩年內至少遭遇過一次韌體攻擊。 針對金融服務、政府及醫療保健等資料敏感產業的客戶,Microsoft與原始設備製造商(OEM)合作夥伴合作,推出一種稱為安全核心 PC(Secured-core PC) (SCPC) 的特殊類別,以及一種等效的嵌入式物聯網裝置類別,稱為 Edge Secured-Core (ESc) 。 這些裝置在韌體層(也就是裝置核心)上啟用了更多安全措施,而這正是 Windows 的基礎。
安全核心的個人電腦與邊緣裝置透過啟動時進入乾淨且可信的狀態,並採用硬體強制的信任根,有助於防止惡意軟體攻擊並減少韌體漏洞。 基於虛擬化的安全預設已啟用。 內建的 HVCI) (虛擬機監控程式完整性保護系統記憶體,確保所有核心可執行程式碼僅由已知且核准的權威簽署。 安全核心 PC 與邊緣裝置也能防範實體威脅,例如直接存取記憶體 (DMA) 攻擊,並具備核心 DMA 保護。
安全核心電腦與邊緣裝置提供多層強健的防護,抵禦硬體與韌體攻擊。 複雜的惡意軟體攻擊通常會嘗試在系統上安裝 啟動套件 或 rootkit ,以規避偵測並達成持久化。 這些惡意軟體可能在 Windows 載入前的韌體層級或 Windows 開機過程中執行,使系統能以最高權限啟動。 由於 Windows 的關鍵子系統採用基於虛擬化的安全,保護虛擬機監控程式變得越來越重要。 為確保未經授權的韌體或軟體無法在 Windows 開機載入程式前啟動,Windows 電腦依賴統一擴充韌體介面(Unified Extensible Firmware Interface) (UEFI) 安全開機標準,這是所有 PC 的基本安全功能Windows 11。 安全啟動確保只有授權的韌體與具備可信數位簽章的軟體才能執行。 此外,所有開機元件的測量數據都會安全地儲存在 TPM,以協助建立一個不可否認的開機稽核日誌,稱為 SRTM) 靜態信任根測量 (。
數千家 OEM 廠商生產多種裝置型號,配備多樣化的 UEFI 韌體元件,進而在開機時產生大量 SRTM 簽名與測量值。 由於安全啟動本質上信任這些簽章和測量數據,因此要只信任任何特定裝置啟動所需的資訊,可能會很有挑戰性。 傳統上,封鎖清單與允許清單是限制信任的兩大主要技術,若裝置僅依賴SRTM測量,這些技術會持續擴大。
DRTM) 測量 (動態信任根
在安全核心電腦與邊緣裝置中,System Guard Secure Launch 利用稱為 動態信任根測量(Dynamic Root of Trust for Measurement) (DRTM) 技術保護開機。 使用 DRTM 時,系統最初會遵循一般的 UEFI 安全開機程序。 然而,在啟動前,系統會進入一個硬體控制的信任狀態,強制 CPU 沿著硬體安全的程式碼路徑前進。 若惡意軟體 rootkit 或 bootkit 繞過 UEFI 安全開機並存在記憶體中,DRTM 會阻止其存取由虛擬化安全環境保護的秘密及關鍵程式碼。 韌體攻擊面減少 (FASR) 技術可用於支援的裝置,如 Microsoft Surface,取代 DRTM。
系統管理模式 (SMM) 隔離,是基於 x86 處理器的執行模式,執行權限高於虛擬機管理程式。 SMM 補充了 DRTM 所提供的防護,協助減少攻擊面。 依賴 Intel 和 AMD 等矽晶片供應商提供的功能,SMM 隔離強制執行政策,實施限制措施,例如防止 SMM 程式碼存取作業系統記憶體。 SMM 隔離政策包含在可傳送給 Microsoft Azure 遠端檢測等驗證者中的 DRTM 測量中。
了解更多
配置鎖定
在許多組織中,IT 管理員會對企業裝置執行政策,以保護作業系統並保持裝置合規狀態,防止使用者更改設定並造成設定漂移。 當具有本機系統管理員權限的使用者變更設定,並且讓裝置與安全性原則不同步時,會發生設定漂移。 處於不合規狀態的裝置可能處於脆弱狀態,直到下一次同步時,設定會透過裝置管理解決方案重置。
配置鎖定是一項安全核心的電腦與邊緣裝置功能,防止使用者對安全設定做出不必要的更改。 使用組態鎖定後,Windows 監控器支援登錄檔金鑰,並在偵測到漂移後數秒內恢復 IT 所需的狀態。
了解更多