Was ist ein Secure Core PC für Windows 11?

Heim-PCs können einer Vielzahl von Bedrohungen durch Geschäftsgeräte ausgesetzt sein, weshalb Microsoft und seine Fertigungspartner Unternehmens-PCs mit sicherem Kern entwickelt haben . Einige ihrer Sicherheitsfunktionen sind jedoch in allen Versionen von Windows 11 enthalten. Mal sehen, wie ein sicherer Core-PC im Vergleich zu Ihrem Heim-Laptop abschneidet.

Sicherheitsbasis

Sicherheit in Windows 11 beginnt mit den Grundlagen der Sicherheit, die Microsoft Sicherheitsbaselines nennt. Diese Baselines können je nach Gerätetyp und branchenspezifischen Bedrohungen wie Websicherheit oder Datenschutz variieren.

Der Begriff „Sicherheitsbaseline“ bezieht sich speziell auf Windows Pro-PCs, es gibt jedoch einige Grundlagen, die die meisten modernen PCs, einschließlich Windows 11 Home-Geräten, für die Sicherheit verwenden. Ein Beispiel ist das Trusted Platform Module Version 2.0 (TPM 2.0), das Microsoft bekanntermaßen für Windows 11-PCs verlangt.TPM ist eine Sicherheitsfunktion auf Hardwareebene, die Verschlüsselungsschlüssel sicher speichert, um Hardware und Software zu authentifizieren, einschließlich BitLocker-Verschlüsselung, sofern verfügbar , und zum Schutz biometrischer Identifikations- und anderer Daten.

Das nächste wichtige Kernfeature ist Secure Boot, das nur die Ausführung von signierten (bekannten) Betriebssystemen zulässt. Dadurch wird verhindert, dass Rootkits und andere bösartige Malware das System infizieren. Auch Windows Hello mit biometrischer Identifikation gilt als wichtige Basis.

Schließlich gibt es noch die BitLocker-Laufwerkverschlüsselung, die Ihre Daten schützt, wenn sie nicht verwendet werden. BitLocker ist für Windows 11-Heim-PCs nicht verfügbar, aber einige unterstützen eine leichtere Version namens Windows Device Encryption.

Was ist also ein Secure Core PC?

Microsoft und seine Partner zielen auf sichere Core-PCs für Personen ab, die aufgrund der Branche oder des Berufs, in dem sie arbeiten, ein höheres Maß an Sicherheit benötigen. oder Unternehmen mit stark nachgefragtem geistigem Eigentum oder Ingenieure, die an kritischen Infrastrukturen arbeiten. Diese Personen können fortgeschrittenen Bedrohungen ausgesetzt sein, einschließlich gezielter und physischer Angriffe auf ihre Computer, um vertrauliche Daten oder Authentifizierungsdaten zu stehlen. Secured-Core konzentriert sich auf eine breite Palette potenzieller Angriffe auf Firmware, die (bei Erfolg) auch nach der Reinigung des Betriebssystems oder dem Austausch von Komponenten auf einer Maschine verbleiben können.

Welche zusätzlichen Sicherheitsebenen erhalten Sie also mit Secured Core? Ein Beispiel ist der Speicherzugriffsschutz. Dies schützt vor DMA-Angriffen (Direct Memory Access), bei denen sich ein bösartiges Gerät über Thunderbolt , PCIe oder eine andere Hochgeschwindigkeitsschnittstelle mit einem PC verbindet, um direkten Speicherzugriff zu erhalten.

Von dort aus kann es Malware starten, versuchen, Verschlüsselungsschlüssel zu erhalten, oder die Kontrolle über das System übernehmen. Microsoft zeigte während der Microsoft Ignite 2020 ein Beispiel dafür, wie dies bewerkstelligt werden kann und wie der Speicherzugriffsschutz diese Angriffe abmildert . Damit ein DMA-Angriff funktioniert, muss der Angreifer in der Regel damit beginnen, sich physisch Zugang zu dem anfälligen Gerät zu verschaffen. Natürlich müssen sich die meisten von uns keine Sorgen machen, dass sich ein Unternehmensspion in unser Hotelzimmer schleicht, um unseren Laptop zu stehlen. Unternehmen und Regierungen tun es jedoch.

Ein weiteres Merkmal von Secured Core-Computern ist virtualisierungsbasierte Sicherheit (VBS) und Hypervisor-Codeintegrität, deren Hauptattraktion die Speicherintegrität ist, eine zusätzliche Sicherheitsfunktion in Windows 11 Home. Auf sicheren Core-PCs ist diese Funktion standardmäßig aktiviert, und auf neueren vorgefertigten Windows 11 Home-PCs und -Laptops kann sie ebenfalls aktiviert sein. Ältere Systeme, die auf Windows 11 aktualisiert wurden, tun dies jedoch normalerweise nicht.

Um eine böswillige Kompromittierung Ihres Systems zu verhindern, führt Memory Integrity Schlüsselprozesse in einer virtuellen Umgebung aus, um sie vom System zu isolieren und die Wahrscheinlichkeit eines böswilligen Angriffs zu verringern. Dazu nutzt es jedoch die Leistungsfähigkeit der PC-Virtualisierung.

Dies bedeutet, dass Sie möglicherweise auf Probleme stoßen, wenn Sie virtuelle Maschinen mit Programmen wie VirtualBox ausführen oder versuchen, Ihr System mit etwas wie Ryzen Master zu übertakten. Meistens funktioniert Memory Integrity mit diesen Programmen nicht. Wenn Sie auf Probleme stoßen, müssen Sie entweder in den abgesicherten Modus booten, um die Speicherintegrität zu deaktivieren, oder sogar Windows Security ausführen und diese Funktion deaktivieren, bevor der blaue Bildschirm des Todes auf Ihrem Monitor erscheint.

Memory Integrity funktioniert auch nicht, wenn Sie ältere Hardware mit veralteten Treibern haben. Die gute Nachricht ist, dass Windows Sie bei einem Treiberproblem auf das Problem hinweist und Sie die Speicherintegrität nicht aktivieren lässt, bis das Problem behoben ist.

Wenn Sie nach all diesen Einschränkungen versuchen möchten, die Speicherintegrität auf einem aktualisierten Windows 11-Heim-PC zu aktivieren, öffnen Sie die Windows-Sicherheits-App, indem Sie auf Start > Alle Apps > Windows-Sicherheit klicken.

Wählen Sie im linken Bereich „Gerätesicherheit“ und dann auf der Seite, die im Abschnitt „Kernel Isolation“ angezeigt wird, den Link „Kernel Isolation Details“ aus.

Bewegen Sie schließlich im Abschnitt „Speicherintegrität“ den Schieberegler von „Aus“. auf „Ein“.

Windows 11 fordert Sie dann auf, Ihren Computer neu zu starten. Danach sei das Schicksal mit dir.

Zwei weitere wichtige Funktionen von Secured Core sind System Guard und Dynamic Root of Trust Measurement (DRTM). Diese beiden Funktionen arbeiten zusammen, um das System während des Bootens und während des Betriebs sicher zu halten.

System Guard konzentriert sich darauf, die Integrität eines Computersystems während des Starts zu schützen und dann durch Remote- und lokale Überprüfungsmethoden sicherzustellen, dass es sich in einem fehlerfreien Zustand befindet. Dazu gehört die Möglichkeit für die IT-Abteilung, die Ergebnisse des Systemstartvorgangs mithilfe von Daten, die auf dem Gerät mit TPM 2.0 gespeichert und geschützt sind, aus der Ferne zu analysieren.

DRTM ist Teil von System Guard. Dadurch kann das System in einem nicht vertrauenswürdigen Zustand (aus Windows-Perspektive) gestartet werden, um die Notwendigkeit zu umgehen, jedes mögliche Motherboard-BIOS unter der Sonne zu überprüfen und auf die Whitelist zu setzen. Kurz nach Beginn des Startvorgangs stellt DRTM dann sicher, dass alle Systemprozessoren einem bekannten und vertrauenswürdigen Pfad folgen, um das System zum Laufen zu bringen.

Weitere technische Details zu System Guard und DRTM finden Sie in der Online-Dokumentation von Microsoft .

Kommen Sie zum blanken Metall

Im Wesentlichen ist ein Computer mit einem sicheren Kern darauf ausgelegt, fortgeschrittene Bedrohungen zu bekämpfen, die versuchen, das System zu infiltrieren, bevor das Betriebssystem hochfährt. Eine unternehmenskritische Funktion für PCs, die wichtige Daten beispielsweise zur Energiesicherheit oder extrem wertvolles geistiges Eigentum enthalten.

Einige dieser oder ähnlicher Funktionen sind für Windows Home-PCs verfügbar, und wenn Sie einen neuen PC kaufen, sind viele von ihnen standardmäßig aktiviert. Wenn Sie Ihr System erstellt oder von Windows 10 aktualisiert haben, werden sie oft nicht aktiviert, aber Sie können sie aktivieren. Secure Boot ist kein Problem, aber die Speicherintegrität sollte mit Vorsicht behandelt werden, insbesondere auf älteren Maschinen.

Sie können eine Liste der verfügbaren Secured-Core-Computer auf der Microsoft-Website anzeigen.