Che cos'è un PC Secured-Core per Windows 11?

0
47
Microsoft

I PC domestici possono affrontare minacce molto diverse dalle macchine aziendali, motivo per cui Microsoft e i suoi partner di produzione hanno sviluppato il PC Secured-Core per le aziende. Tuttavia, alcune delle loro funzionalità di sicurezza sono incluse in tutte le versioni di Windows 11. Diamo un'occhiata a come un PC Secured-Core si confronta con il tuo laptop a casa.

Linee di base per la sicurezza

La sicurezza in Windows 11 inizia con le basi per rimanere al sicuro, che Microsoft chiama linee di base della sicurezza. Queste linee di base possono variare in base ai tipi di dispositivi e alle minacce specifiche del settore, come la sicurezza Web o la protezione dei dati riservati.

RELATEDPerché Windows 11 ha bisogno del TPM 2.0?

Il termine “basi di sicurezza” riguarda specificamente le macchine Windows Pro, tuttavia ci sono alcune nozioni di base che i PC più moderni, inclusi i dispositivi Windows 11 Home, utilizzano per rimanere al sicuro. Un esempio è il Trusted Platform Module versione 2.0 (TPM 2.0), che Microsoft ha notoriamente iniziato a richiedere per le macchine Windows 11. TPM è una funzionalità di sicurezza a livello hardware che archivia le chiavi di crittografia in modo sicuro per l'autenticazione di hardware e software, abilitando la crittografia BitLocker se disponibile, oltre a proteggere l'identità biometrica e altri dati.

La successiva funzionalità di base fondamentale è Secure Boot, che consente l'esecuzione solo di sistemi operativi (conosciuti) firmati. Questo aiuta a prevenire rootkit e altri malware dannosi che potrebbero infettare il sistema. Anche Windows Hello con autenticazione biometrica dell'identità è considerato una linea di base essenziale.

Infine, c'è la crittografia dell'unità BitLocker, che mantiene i tuoi dati al sicuro quando non sono in uso. BitLocker non è disponibile per PC Windows 11 Home, ma alcuni supportano una versione più leggera denominata Crittografia dispositivo Windows.

Quindi cosa sono i PC Secured-Core ?

Microsoft e i suoi partner puntano sui PC Secured-Core alle persone che necessitano di un livello di sicurezza più elevato a causa del settore o della professione in cui operano. I governi potrebbero volere un PC Secured-Core per gestire informazioni altamente privilegiate, ad esempio come banche o aziende con proprietà intellettuale molto ricercata o ingegneri che lavorano su infrastrutture critiche. Queste persone possono affrontare minacce avanzate, inclusi attacchi fisici e mirati contro le loro macchine per rubare dati importanti o dati di autenticazione. Secured-Core si concentra su un'ampia gamma di potenziali attacchi al firmware, che (in caso di successo) possono rimanere su una macchina anche dopo aver cancellato il sistema operativo o aver sostituito i componenti.

Microsoft

Quindi quali sono i livelli di sicurezza extra che ottieni con Secured Core? Un esempio è la protezione dell'accesso alla memoria. Questo protegge dagli attacchi Direct Memory Access (DMA) quando un dispositivo dannoso si connette a un PC tramite Thunderbolt, PCIe o qualche altra interfaccia ad alta velocità per ottenere l'accesso diretto alla memoria.

Da lì può eseguire malware, cercare di ottenere chiavi di crittografia o ottenere il controllo del sistema. Microsoft ha mostrato un esempio di come ciò potrebbe essere fatto e di come la protezione dell'accesso alla memoria mitiga questi attacchi durante Microsoft Ignite nel 2020. Affinché un attacco DMA funzioni, in genere l'attaccante deve iniziare con l'accesso fisico a un dispositivo vulnerabile. Chiaramente, la maggior parte di noi non deve preoccuparsi di una spia aziendale che si intrufola nella nostra camera d'albergo per impossessarsi del nostro laptop. Le aziende e i governi, tuttavia, lo fanno.

RELATED Cosa sono l'”isolamento del core” e l'”integrità della memoria” in Windows 10?

Un'altra caratteristica dei PC Secured Core è la sicurezza basata sulla virtualizzazione (VBS) e l'integrità del codice dell'hypervisor, la cui principale attrazione è l'integrità della memoria, una funzionalità di sicurezza opzionale in Windows 11 Home. Sui PC Secured-Core questo è abilitato per impostazione predefinita e anche i nuovi PC e laptop predefiniti con Windows 11 Home potrebbero averlo attivato. Tuttavia, i sistemi precedenti che hanno eseguito l'aggiornamento a Windows 11 di solito non lo fanno.

Per prevenire la compromissione dannosa del sistema, Memory Integrity esegue processi chiave all'interno di un ambiente virtuale per isolarli dal sistema e ridurre le possibilità di un attacco dannoso. Per fare ciò, tuttavia, utilizza le capacità di virtualizzazione del PC.

Ciò significa che potresti avere problemi se stai eseguendo macchine virtuali tramite programmi come VirtualBox o se stai cercando di overcloccare il tuo sistema con qualcosa come Ryzen Master. Il più delle volte, Memory Integrity non funzionerà bene con questi programmi. Se riscontri problemi, dovrai eseguire l'avvio in modalità provvisoria per disattivare l'integrità della memoria, o anche correre per aprire la sicurezza di Windows e disattivare la funzione prima che la schermata blu della morte si schiuda sul monitor.

Inoltre, l'integrità della memoria non viene eseguita se disponi di hardware meno recente con driver obsoleti. La buona notizia è che se si verifica un problema con il driver, Windows ti avviserà del problema e non ti consentirà di attivare l'integrità della memoria finché il problema non sarà risolto.

Se, dopo tutti questi avvertimenti, desideri provare ad attivare l'integrità della memoria sul tuo PC Windows 11 Home aggiornato, apri l'app Sicurezza di Windows facendo clic su Start > Tutte le app > Sicurezza di Windows.

Sulla barra di sinistra, seleziona Dispositivo Sicurezza, quindi nella pagina visualizzata in Core Isolation, seleziona il link “Core Isolation Details.”

Infine, in Integrità memoria sposta il cursore da Off a On.

Windows 11 ti chiederà quindi di riavviare la macchina. Dopodiché, che il destino sia con te.

Due ulteriori funzionalità principali di Secured Core sono System Guard e Dynamic Root of Trust Measurement (DRTM). Queste due funzionalità interagiscono per garantire che il sistema rimanga sicuro durante l'avvio e durante l'esecuzione.

System Guard si concentra sulla protezione dell'integrità del sistema informatico durante l'avvio e quindi assicura che il sistema sia in buono stato attraverso metodi di verifica remoti e locali. Ciò include la possibilità per il reparto IT di analizzare in remoto i risultati del processo di avvio di un sistema utilizzando i dati archiviati e protetti sul dispositivo dal TPM 2.0.

DRTM fa parte di System Guard. Consente al sistema di avviarsi in uno stato non attendibile (dal punto di vista di Windows) per superare la necessità di verificare e inserire nella whitelist ogni possibile variante di un BIOS della scheda madre sotto il sole. Quindi, subito dopo l'avvio del processo di avvio, DRTM si assicura che tutte le CPU di sistema attraversino un percorso noto e affidabile per far funzionare il sistema.

Per ulteriori informazioni sui dettagli tecnici su System Guard e verifica DRTM la documentazione online di Microsoft.

Come arrivare al Bare Metal

Fondamentalmente, un PC Secured-Core consiste nel combattere le minacce avanzate che tentano di intrufolarsi nel malware prima che il sistema operativo venga caricato. Una funzionalità fondamentale per i PC che contengono dati critici relativi, ad esempio, alla sicurezza energetica o alla proprietà intellettuale estremamente preziosa.

Alcune di queste funzionalità, o simili, sono disponibili per i PC Windows Home e, se acquista un nuovo PC, molti di essi verranno attivati ​​di default. Se hai creato il tuo sistema o eseguito l'aggiornamento da Windows 10, spesso non venivano attivati, ma puoi attivarli. Secure Boot è un gioco da ragazzi, ma l'integrità della memoria dovrebbe essere trattata con cautela, specialmente sui computer meno recenti.

Puoi visualizzare un elenco di PC Secured-Core disponibili sul sito Web di Microsoft.

The Best Laptops of 2022 Best Laptop Overall Dell XPS 13 Shop Now Il miglior laptop economico Acer Swift 3 Amazon

$ 755,00
 

Miglior laptop da gioco Asus ROG Zephyrus G15 Acquista ora Il miglior laptop per studenti HP Envy 13 Amazon

$699.00
 

Il miglior laptop 2 in 1 HP Spectre x360 13 Acquista ora Il miglior laptop per l'editing multimediale Apple MacBook Pro (14 pollici, M1 Pro) (2021) Acquista ora Il miglior laptop per le aziende ThinkPad X1 Carbon Gen 9 Acquista ora Il miglior laptop per bambini Lenovo Chromebook Duet Acquista ora Il miglior laptop touch screen Surface Laptop 4 Acquista ora Miglior MacBook Apple MacBook Pro 14″ Amazon

$ 2399,99
 

Miglior Chromebook Acer Chromebook Spin 713 Amazon

$829.00
 

Il miglior laptop per Linux Dell XPS 13 Developer Edition Acquista ora LEGGI SUCCESSIVO

  • › Quanto lontano può arrivare un'auto elettrica con una sola carica?
  • › Quanto costa ricaricare una batteria?
  • › Comprare un Mac? Probabilmente tutto ciò di cui hai bisogno è un chip M1 o M2 di base
  • › Questi gadget scacciano le zanzare
  • › I 10 migliori film originali Netflix del 2022
  • › “Atari era molto, molto difficile” Nolan Bushnell su Atari, 50 anni dopo