Ano ang isang Secured-Core PC para sa Windows 11?

Maaaring harapin ng mga Home PC ang ibang mga banta mula sa mga makina ng negosyo, kaya naman binuo ng Microsoft at ng mga kasosyo nito sa pagmamanupaktura ang Secured-Core PC para sa mga negosyo. Gayunpaman, ang ilan sa kanilang mga feature sa seguridad ay kasama sa lahat ng bersyon ng Windows 11. Tingnan natin kung paano inihahambing ang isang Secured-Core PC sa iyong laptop sa bahay.

Mga Baseline ng Seguridad

Ang seguridad sa Windows 11 ay nagsisimula sa mga pangunahing kaalaman upang manatiling ligtas, na tinatawag ng Microsoft na mga baseline ng seguridad. Maaaring mag-iba ang mga baseline na ito batay sa mga uri ng device at mga banta na partikular sa industriya gaya ng seguridad sa web o proteksyon ng kumpidensyal na data.

Ang terminong mga baseline ng seguridad ay partikular na tungkol sa mga makina ng Windows Pro, gayunpaman, mayroong ilang mga pangunahing kaalaman na ginagamit ng karamihan sa mga modernong PC, kabilang ang mga Windows 11 Home device, upang manatiling ligtas. Ang isang halimbawa ay ang Trusted Platform Module Bersyon 2.0 (TPM 2.0), na sikat na sinimulan ng Microsoft para sa Windows 11 na mga makina. Ang TPM ay isang tampok na seguridad sa antas ng hardware na nag-iimbak ng mga susi sa pag-encrypt sa isang secure na paraan para sa pagpapatunay ng hardware at software, na pinapagana ang pag-encrypt ng BitLocker kung magagamit, pati na rin ang pagprotekta sa biometric na pagkakakilanlan at iba pang data.

Ang susunod na pangunahing tampok na baseline ay Secure Boot, na nagpapahintulot lamang sa mga naka-sign (kilalang) operating system na tumakbo. Nakakatulong ito na maiwasan ang mga rootkit at iba pang masasamang piraso ng malware na maaaring makahawa sa system. Ang Windows Hello na may biometric identity authentication ay itinuturing ding mahalagang baseline.

Sa wakas, mayroong BitLocker drive encryption, na nagpapanatili sa iyong data na ligtas kapag hindi ginagamit. Hindi available ang BitLocker para sa mga Windows 11 Home PC, ngunit sinusuportahan ng ilan ang mas magaan na bersyon na tinatawag na Windows Device Encryption.

Kaya Ano ang Mga Secured-Core na PC?

Ang Microsoft at ang mga kasosyo nito ay naglalayon ng mga Secured-Core PC sa mga taong nangangailangan ng mas mataas na antas ng seguridad dahil sa industriya o propesyon na kanilang ginagalawan. Maaaring gusto ng mga pamahalaan ang isang Secured-Core PC para sa pagharap sa mataas na pribilehiyong impormasyon, halimbawa, tulad ng mga bangko , o mga negosyong may lubos na hinahangad na intelektwal na ari-arian, o mga inhinyero na nagtatrabaho sa kritikal na imprastraktura. Ang mga taong ito ay maaaring harapin ang mga advanced na banta kabilang ang mga naka-target at pisikal na pag-atake laban sa kanilang mga makina upang kunin ang mahalagang data o data ng pagpapatunay. Nakatuon ang Secured-Core sa isang malawak na hanay ng mga potensyal na pag-atake ng firmware, na (kapag matagumpay) ay maaaring manatili sa isang makina kahit na matapos na punasan ang operating system o palitan ang mga bahagi.

Kaya ano ang mga karagdagang antas ng seguridad na nakukuha mo sa Secured Core? Isang halimbawa ay Memory Access Protection. Pinoprotektahan nito laban sa mga pag-atake ng Direct Memory Access (DMA) kapag kumokonekta ang isang nakakahamak na device sa isang PC sa pamamagitan ng Thunderbolt, PCIe, o ilang iba pang high-speed na interface upang makakuha ng direktang access sa memory.

Mula doon maaari itong magpatakbo ng malware, subukang kumuha ng mga susi sa pag-encrypt, o makakuha ng kontrol sa system. Nagpakita ang Microsoft ng isang halimbawa kung paano ito magagawa at kung paano pinapagaan ng Memory Access Protection ang mga pag-atakeng ito sa panahon ng Microsoft Ignite noong 2020. Para gumana ang isang DMA attack, karaniwang dapat magsimula ang attacker sa pisikal na access sa isang vulnerable device. Maliwanag, karamihan sa atin ay hindi kailangang mag-alala tungkol sa isang corporate espiya na palihim na pumasok sa aming silid ng hotel upang i-pwn ang aming laptop. Gayunpaman, ginagawa ng mga korporasyon at gobyerno.

Ang isa pang feature ng Secured Core PCs ay virtualization-based security (VBS), at Hypervisor Code Integrity ang pangunahing atraksyon kung saan ay Memory Integrity, isang opsyonal na feature ng seguridad sa Windows 11 Home. Sa Mga Secured-Core PC ito ay pinagana bilang default, at ang mga mas bagong pre-built na PC at laptop na may Windows 11 Home ay maaaring na-activate din ito. Ang mga mas lumang system na nag-upgrade sa Windows 11, gayunpaman, kadalasan ay hindi.

Upang maiwasan ang malisyosong kompromiso ng iyong system, ang Memory Integrity ay nagpapatakbo ng mga pangunahing proseso sa loob ng isang virtual na kapaligiran upang ihiwalay ang mga ito sa system at mabawasan ang mga pagkakataon ng isang malisyosong pag-atake. Upang gawin ito, gayunpaman, ginagamit nito ang mga kakayahan ng virtualization ng PC.

Nangangahulugan ito na maaari kang magkaroon ng problema kung nagpapatakbo ka ng mga virtual machine sa pamamagitan ng mga programa tulad ng VirtualBox, o kung sinusubukan mong i-overclock ang iyong system gamit ang isang bagay tulad ng Ryzen Master. Mas madalas kaysa sa hindi, ang Memory Integrity ay hindi maglalaro ng maganda sa mga program na ito. Kung magkakaroon ka ng mga isyu, kailangan mong mag-boot sa safe mode para i-off ang Memory Integrity, o kaya'y makipagsapalaran upang buksan ang Windows Security at i-off ang feature bago bumagsak ang Blue Screen of Death sa iyong monitor.

Hindi rin tatakbo ang integridad ng memory kung mayroon kang mas lumang hardware na may mga lumang driver. Ang magandang balita ay kung mayroon kang isyu sa driver, aalertuhan ka ng Windows sa problema at hindi ka papayagan na i-activate ang Memory Integrity hanggang sa malutas ang problema.

Kung, pagkatapos ng lahat ng mga caveat na iyon, gusto mong subukang i-on ang Memory Integrity sa iyong na-upgrade na Windows 11 Home PC, pagkatapos ay buksan ang Windows Security app sa pamamagitan ng pag-click sa Start > All Apps > Windows Security.

Sa kaliwang riles piliin ang Seguridad ng Device, at pagkatapos ay sa pahinang lalabas sa ilalim ng Core Isolation piliin ang link na Mga Detalye ng Core Isolation.

Panghuli, sa ilalim ng Memory Integrity, i-flip ang slider mula sa Off to On.

Pagkatapos ay hihilingin sa iyo ng Windows 11 na i-reboot ang iyong makina. Pagkatapos nito, nawa'y sumaiyo ang mga tadhana.

Dalawang karagdagang pangunahing tampok ng Secured Core ay System Guard at Dynamic Root of Trust Measurement (DRTM). Ang dalawang feature na ito ay nagtutulungan upang matiyak na ang system ay mananatiling secure sa panahon ng boot at habang tumatakbo.

Nakatuon ang System Guard sa pagprotekta sa integridad ng computer system sa panahon ng pagsisimula at pagkatapos ay tinitiyak na ang system ay nasa mabuting kalagayan sa pamamagitan ng malalayo at lokal na paraan ng pag-verify. Kabilang dito ang kakayahan ng IT department na malayuang suriin ang mga resulta ng proseso ng pag-boot ng system gamit ang data na nakaimbak at pinoprotektahan sa device ng TPM 2.0.

Ang DRTM ay bahagi ng System Guard. Pinapayagan nito ang system na magsimula sa isang hindi pinagkakatiwalaang estado (mula sa punto ng view ng Windows) upang mapagtagumpayan ang kinakailangang i-verify at i-whitelist ang bawat posibleng variant ng motherboard BIOS sa ilalim ng araw. Pagkatapos ilang sandali matapos magsimula ang proseso ng pag-boot, tinitiyak ng DRTM na ang lahat ng mga CPU ng system ay dumaan sa isang kilala at pinagkakatiwalaang landas upang mapatakbo ang system.

Para magbasa pa ng mga teknikal na detalye tungkol sa System Guard at DRTM tingnan ang online na dokumentasyon ng Microsoft.

Pagbaba sa Bare Metal

Karaniwan, ang isang Secured-Core PC ay tungkol sa paglaban sa mga advanced na banta na sumusubok na pumasok sa malware bago mag-load ang operating system. Isang kritikal na feature para sa mga PC na mayroong kritikal na data sa mga ito na nauugnay sa, halimbawa, seguridad sa enerhiya o lubhang mahalagang intelektwal na ari-arian.

Ang ilan sa mga feature na ito, o mga katulad nito, ay available sa mga Windows Home PC, at kung bibili ka ng bagong PC, marami sa kanila ang maa-activate bilang default. Kung binuo mo ang iyong system o na-upgrade mula sa Windows 10 madalas na hindi maa-activate ang mga ito, ngunit maaari mong i-on ang mga ito. Ang Secure Boot ay isang no-brainer, ngunit ang Memory Integrity ay dapat tratuhin nang may pag-iingat, lalo na sa mas lumang mga makina.

Maaari mong tingnan ang isang listahan ng mga available na Secured-Core PC sa website ng Microsoft.