Os PCs domésticos podem enfrentar ameaças muito diferentes das máquinas empresariais, e é por isso que a Microsoft e seus parceiros de fabricação desenvolveram o Secured-Core PC para empresas . No entanto, alguns de seus recursos de segurança estão incluídos em todas as versões do Windows 11. Vamos dar uma olhada em como um PC Secured-Core se compara ao seu laptop doméstico.
Índice
Linhas de base de segurança
A segurança no Windows 11 começa com o básico para permanecer seguro, que a Microsoft chama de linhas de base de segurança. Essas linhas de base podem variar com base nos tipos de dispositivos e nas ameaças específicas do setor, como segurança na Web ou proteção de dados confidenciais.
O termo “linhas de base de segurança” refere-se especificamente às máquinas Windows Pro; no entanto, existem alguns princípios básicos que a maioria dos PCs modernos, incluindo dispositivos Windows 11 Home, usam para se manterem seguros. Um exemplo é o Trusted Platform Module versão 2.0 (TPM 2.0) , que a Microsoft começou a exigir para máquinas com Windows 11. TPM é um recurso de segurança em nível de hardware que armazena chaves de criptografia de maneira segura para autenticar hardware e software, permitindo a criptografia BitLocker, se disponível, bem como protegendo a identidade biométrica e outros dados.
O próximo recurso básico importante é o Secure Boot , que permite apenas a execução de sistemas operacionais assinados (conhecidos). Isso ajuda a prevenir rootkits e outros malwares desagradáveis que podem infectar o sistema. O Windows Hello com autenticação de identidade biométrica também é considerado uma linha de base essencial.
Finalmente, existe a criptografia de unidade BitLocker , que mantém seus dados seguros quando não estão em uso. O BitLocker não está disponível para PCs domésticos com Windows 11, mas alguns oferecem suporte a uma versão mais leve chamada Windows Device Encryption .
Então, o que são PCs com núcleo seguro?
A Microsoft e seus parceiros visam PCs Secured-Core para pessoas que precisam de um nível mais alto de segurança devido ao setor ou profissão em que atuam. Os governos podem querer um PC Secured-Core para lidar com informações altamente privilegiadas, por exemplo, como fariam os bancos , ou empresas com propriedade intelectual muito procurada, ou engenheiros que trabalham em infraestruturas críticas. Essas pessoas podem enfrentar ameaças avançadas, incluindo ataques físicos e direcionados contra suas máquinas, a fim de roubar dados importantes ou dados de autenticação. O Secured-Core se concentra em uma ampla gama de possíveis ataques de firmware, que (quando bem-sucedidos) podem permanecer em uma máquina mesmo depois de limpar o sistema operacional ou trocar componentes.
Então, quais são os níveis extras de segurança que você obtém com o Secured Core? Um exemplo é a proteção de acesso à memória. Isso protege contra ataques de acesso direto à memória (DMA) quando um dispositivo malicioso se conecta a um PC via Thunderbolt , PCIe ou alguma outra interface de alta velocidade para obter acesso direto à memória.
A partir daí, ele pode executar malware, tentar obter chaves de criptografia ou obter controle do sistema. A Microsoft mostrou um exemplo de como isso poderia ser feito e como a Proteção de Acesso à Memória mitiga esses ataques durante o Microsoft Ignite em 2020 . Para que um ataque DMA funcione, normalmente o invasor deve começar com acesso físico a um dispositivo vulnerável. Claramente, a maioria de nós não precisa se preocupar com um espião corporativo entrando furtivamente em nosso quarto de hotel para roubar nosso laptop. As corporações e os governos, no entanto, o fazem.
Outro recurso dos PCs Secured Core é a segurança baseada em virtualização (VBS) e a integridade do código do hipervisor, cuja principal atração é a integridade da memória , um recurso de segurança opcional no Windows 11 Home. Em PCs Secured-Core, isso é habilitado por padrão, e PCs e laptops pré-construídos mais recentes com Windows 11 Home também podem tê-lo ativado. Sistemas mais antigos que foram atualizados para o Windows 11, entretanto, geralmente não o fazem.
Para evitar comprometimento malicioso do seu sistema, o Memory Integrity executa processos importantes dentro de um ambiente virtual para isolá-los do sistema e reduzir as chances de um ataque malicioso. Para fazer isso, porém, ele utiliza os recursos de virtualização do PC.
Isso significa que você pode ter problemas se estiver executando máquinas virtuais por meio de programas como o VirtualBox ou se estiver tentando fazer overclock em seu sistema com algo como Ryzen Master . Na maioria das vezes, o Memory Integrity não funciona bem com esses programas. Se você tiver problemas, terá que inicializar no modo de segurança para desligar a Integridade da Memória ou até mesmo correr para abrir a Segurança do Windows e desligar o recurso antes que a Tela Azul da Morte se espalhe pelo seu monitor.
A integridade da memória também não funcionará se você tiver hardware mais antigo com drivers desatualizados. A boa notícia é que se você tiver um problema de driver, o Windows irá alertá-lo sobre o problema e não permitirá que você ative a integridade da memória até que o problema seja resolvido.
Se, depois de todas essas advertências, você quiser tentar ativar a integridade da memória em seu PC doméstico com Windows 11 atualizado, abra o aplicativo Segurança do Windows clicando em Iniciar > Todos os aplicativos > Segurança do Windows.
No painel esquerdo, selecione Segurança do dispositivo e, na página que aparece em Core Isolation, selecione o link “Core Isolation Details”.
Finalmente, em Integridade da Memória, mude o controle deslizante de Desligado para Ligado.
O Windows 11 solicitará que você reinicie sua máquina. Depois disso, que o destino esteja com você.
Dois recursos principais adicionais do Secured Core são System Guard e Dynamic Root of Trust Measurement (DRTM). Esses dois recursos funcionam juntos para garantir que o sistema permaneça seguro durante a inicialização e durante a execução.
O System Guard se concentra em proteger a integridade do sistema do computador durante a inicialização e, em seguida, garante que o sistema esteja em bom estado por meio de métodos de verificação remotos e locais. Isto inclui a capacidade do departamento de TI analisar remotamente os resultados do processo de inicialização de um sistema usando dados armazenados e protegidos no dispositivo pelo TPM 2.0.
DRTM faz parte do System Guard. Ele permite que o sistema inicie em um estado não confiável (do ponto de vista do Windows) para superar a necessidade de verificar e colocar na lista de permissões todas as variantes possíveis do BIOS da placa- mãe. Logo após o início do processo de inicialização, o DRTM garante que todas as CPUs do sistema passem por um caminho conhecido e confiável para colocar o sistema em funcionamento.
Para ler mais detalhes técnicos sobre o System Guard e o DRTM, verifique a documentação online da Microsoft .
Chegando ao Bare Metal
Basicamente, um PC Secured-Core trata de lutar contra ameaças avançadas que tentam infiltrar malware antes que o sistema operacional seja carregado. Um recurso crítico para PCs que possuem dados críticos relacionados, por exemplo, à segurança energética ou à propriedade intelectual extremamente valiosa.
Alguns desses recursos, ou similares, estão disponíveis para PCs domésticos com Windows e, se você comprar um novo PC , muitos deles serão ativados por padrão. Se você construiu seu sistema ou atualizou do Windows 10, eles geralmente não serão ativados, mas você pode ativá-los. A inicialização segura é óbvia, mas a integridade da memória deve ser tratada com cautela, especialmente em máquinas mais antigas.
Você pode ver uma lista de PCs Secured-Core disponíveis no site da Microsoft.
