Desde Windows 8 y Server 2012, Windows ha utilizado UEFI para verificar firmas en controladores de arranque, controladores de firmware y el propio sistema operativo para garantizar que el código no haya sido alterado (por ejemplo, por un rootkit), luego inicia cualquier programa instalado. software anti-malware antes de ejecutar cualquier otro código.

Si tiene un TPM, Windows puede usarlo para almacenar métricas de componentes de inicio y pasarlas al software antimalware para que sepa que esos componentes se han verificado. Windows 10 también puede usar Hyper-V para proteger el proceso de inicio de sesión de Windows contra malware (seguridad basada en virtualización), aunque esto es algo que debe habilitar usted mismo en todas las PC excepto en las más recientes basadas en Arm. .

VER: 20 consejos profesionales para hacer que Windows 10 funcione como usted quiere (PDF gratuito) (República Tecnológica)

Pero todo eso supone que puede confiar en UEFI y otros firmwares de PC. Si el firmware en sí está comprometido, puede engañar al software antimalware, e incluso formatear y reinstalar el sistema operativo no lo limpiará de la PC. A medida que Windows se vuelve más difícil de atacar, los piratas informáticos recurren a los ataques de firmware, incluido el modo de administración del sistema (una función del procesador Intel que maneja la administración de energía, el monitoreo térmico y la refrigeración, además de otras configuraciones de hardware).

El firmware incluye millones de líneas de código, y no es solo que cada OEM escriba su propio firmware, sino que pueden tener diferentes versiones de firmware para diferentes PC. Este código se ejecuta con un nivel muy alto de privilegios, a menudo es difícil de actualizar y, como cualquier otro software, tiene errores. Cada vez se descubren y explotan más vulnerabilidades de firmware en ataques; uno de ellos usó las funciones antirrobo del firmware para ubicar una PC robada y averiguar dónde estaba el usuario todos los días, por ejemplo.

En lugar de confiar en la capacidad de los OEM para corregir errores de firmware rápidamente, las PC de núcleo seguro cambian por completo la forma en que se inicia Windows y ya no confían en el firmware, solo en la CPU, el TPM y el código de Windows.

"Dado el aumento de los ataques de firmware que hemos visto en los últimos tres años, el objetivo era eliminar el firmware como un componente confiable del proceso de arranque, por lo que estamos previniendo este tipo de ataques de firmware avanzado", Dave Weston, director de seguridad del sistema operativo de Microsoft, le dijo a TechRepublic.

La première ligne du chargeur de démarrage Windows sur les PC à cœur sécurisé place le CPU dans un nouvel état de sécurité où, au lieu d'accepter les mesures effectuées lors du démarrage sécurisé, même si elles sont dans le TPM, il revient et revalide la medida. Si no coinciden, la PC no se iniciará y, en su lugar, ingresará al modo de recuperación de BitLocker. Si administra la PC a través de Intune, también envía una señal al servicio de que el dispositivo no es de confianza y no se le debe permitir conectarse a su red.

"Estas PC usan el silicio más reciente de AMD, Intel y Qualcomm que incorpora Trusted Platform Module 2.0 y Dynamic Root of Trust (DRTM). Root of Trust es un conjunto de funciones dentro de la confianza del módulo informático en el que siempre confía el sistema operativo de una computadora. sistema e integrado en el dispositivo", explica Weston. "Construir una raíz de confianza basada en hardware significa que agregamos funcionalidad en el hardware para garantizar que el dispositivo se inicie de manera segura y que el malware no haya penetrado en el firmware".

“La raíz de la confianza en una PC de núcleo seguro es el propio procesador. Cuando se ejecuta el cargador de arranque de Windows, System Guard Secure Launch llama a las instrucciones DTRM en el procesador para eliminar cualquier confianza asociada con el firmware”, explica Weston. “Se realizan mediciones durante todo el proceso en el TPM de componentes críticos de arranque de Windows. Los componentes que se miden son un conjunto relativamente pequeño de Microsoft y el proveedor del procesador, lo que limita la cantidad de cosas que necesitamos medir y evita problemas como el seguimiento del código del proveedor de firmware/OEM. Esto evita que Secure Boot ralentice el inicio.

Windows no puede usar Dynamic Root of Trust o Secure Launch para evitar las vulnerabilidades del modo de administración del sistema de la misma manera porque se carga demasiado pronto, pero es importante protegerlo porque tiene incluso más privilegios en el sistema que el hipervisor. Para solucionar esto, Microsoft trabajó con los proveedores de silicio para descubrir qué debería hacer SMM y rediseñó el sistema de paginación de memoria en Windows para bloquear las páginas de memoria clave para que no se pudieran cambiar. SMM aún puede encender la luz de encendido de su computadora portátil, pero ya no puede cambiar la memoria utilizada por el hipervisor. Un atacante aún puede comprometer SMM, pero esto ya no le da la capacidad de comprometer el resto del sistema.

Las PC Secure-Core también habilitan todas las funciones de seguridad opcionales de Windows 10, como HyperVisor Code Integrity, que solo permite que se ejecuten los controladores firmados y evita muchos ataques de programación orientados al retorno como WannaCry.

Cuando bloquea una PC de núcleo seguro, no puede instalar un nuevo dispositivo DMA conectado a Thunderbolt hasta que desbloquee el dispositivo con un PIN o datos biométricos. Esto evita que los atacantes obtengan acceso físico a su máquina y, de lo contrario, podrían conectar un dispositivo malicioso disfrazado de cable (que puede fabricar con piezas vendidas en eBay y código disponible en GitHub).

Si administra PC con Intune, los administradores pueden requerir PC de núcleo seguro para acceder a documentos altamente confidenciales. Intune también puede ver las métricas tomadas para mostrar el estado de la PC mientras la usa. Esto significa que si está comprometida y un atacante desactiva el software antivirus para que no sea detectada, por ejemplo, aparecerá como un cambio sospechoso que las políticas de acceso condicional pueden usar para bloquear la PC.

Weston compara esto con los sellos a prueba de manipulaciones en los envases de medicamentos: "Hemos pasado de un mundo en el que puedo abrir una PC y moverme lateralmente por toda la red, a un mundo en el que la nube lo expulsará si el procesador no lo hace". No le creo a la máquina".

Índice
  • Parchear PC viejas
  • Parchear PC viejas

    Hay opciones que los fabricantes de PC pueden tomar sin ir al núcleo seguro, como usar Windows Update para proporcionar actualizaciones automáticas de firmware para que los parches se apliquen lo antes posible. UEFI todavía se encarga de la instalación real de las actualizaciones, pero eso significa que no tiene que depender de que los usuarios visiten el sitio web del OEM para buscar actualizaciones de firmware (o de que los administradores las prueben y las envíen), por lo que es más probable que esté ejecutando . la última y más segura versión de firmware.

    Los dispositivos Surface ya hacen esto, y Microsoft ha abierto la base de firmware Surface UEFI como Project Mu en un esfuerzo por dar a los OEM una ventaja con su propio firmware seguro. Si su PC no lo hace, Weston sugiere que "los usuarios finales pueden reducir su riesgo asegurándose de que UEFI Secure Boot esté habilitado en la configuración del BIOS y revisando regularmente el sitio web OEM de su dispositivo para obtener actualizaciones de firmware y controladores".

    También puede habilitar Secure Launch en PC existentes con Windows 10 Pro versión 1809 o posterior, siempre que tengan procesadores Intel Coffee Lake/Qualcomm Snapdragon 850 y posteriores y TPM 2.0. No está habilitado de forma predeterminada: puede habilitarlo en Configuración/Actualización y seguridad/Seguridad de Windows/Seguridad de Windows abierto/Seguridad del dispositivo/Aislamiento del kernel/Protección de firmware.

    Esto usa el TPM como la raíz de confianza dinámica para las mismas métricas, ofrece la misma protección de paginación y supervisión del modo de administración del sistema, y ​​le permite usar Intune o SCCM para verificar la manipulación de la misma manera. Si tiene el hardware adecuado para encenderlo, definitivamente debería hacerlo.

    La razón por la que Microsoft y los OEM han trabajado juntos para crear PC de núcleo seguro es porque es importante que las empresas reguladas tengan seguridad habilitada de fábrica cuando se aprovisiona el TPM, antes de que la PC pueda verse comprometida. "Estas PC están diseñadas específicamente para industrias altamente específicas que manejan datos ultrasensibles y necesitan múltiples capas de seguridad integrada", señaló Weston.

    VER: Hoja de referencia: Microsoft Surface Pro 7 (PDF gratuito) (República Tecnológica)

    Además, también se basan en funciones de procesador específicas que las PC más antiguas simplemente no tienen, por lo que es posible que no tenga sistemas compatibles con Secure Launch. De manera similar, si desea utilizar seguridad basada en virtualización (que configura varias máquinas virtuales pequeñas, rápidas e invisibles en la PC para funciones como Credential Guard), debe verificar si han funcionado en sus PC y luego verificar que no funcionaron. no rompa ningún controlador ni reduzca demasiado el rendimiento. Ahora puede comprar una PC en la que sabe que funcionará.

    De hecho, una de las cosas más útiles de las PC con núcleo seguro es que para muchas empresas es difícil seleccionar una PC con las funciones adecuadas para habilitar todas las opciones de seguridad de Windows porque la lista de dispositivos cuya compra está aprobada en una gran organización es a menudo rancio. Necesita TPM 2.0 para que BitLocker y Windows Hello sean lo más seguros posible y para almacenar otras claves de cifrado. El simple hecho de tener una etiqueta como esta hará que sea más fácil elegir una PC que pueda aprovechar las características de seguridad ya presentes en Windows.