מחשבי ליבה מאובטחים הם סוג של מחשבים המיועדים לסכל התקפות זדוניות מתמשכות, במיוחד אלה הממוקדים לפגיעות מחוץ להגנה על הרשאות שליטה בטלפון 0 כגון קושחה תוכנה זדונית. ההרשאות הן מעבר למה שמשתמש רגיל היה ניגש אליו.

מיקרוסופט אישרה את הקטגוריה הזו של מחשבי PC עם טכנולוגיות אבטחה שפותחו בשיתוף עם יצרני מחשבים גדולים וספקי שבבי סיליקון. אז מה הם בעצם מחשבי ליבה מאובטחים? ולמה עסקים גדולים עשויים להשתמש בכזה?

מדוע מחשבי ליבות מאובטחים כל כך מאובטחים?

רכיבים במחשבי ליבה מאובטחים פועלים במבנה מאוחד הוליסטי כדי להבטיח שלמות קושחה, חומרה ותוכנה. המכונות חשובות במיוחד עבור ארגונים כגון עסקים, בנקים, בתי חולים ומוסדות מדינה המטפלים באופן קבוע בנתונים רגישים.

יש לציין כי הם נשלחים עם הגנות מופעלות שניתן לכבות רק על ידי מומחים מורשים מספקי השבבים המתאימים.

מיקרוסופט שיתפה פעולה עם יצרני שבבים כמו אינטל, AMD וקוואלקום לפיתוח שבבי מעבד המוקדשים להפעלה בדיקות תקינות למחשבי ליבות מאובטחים. לאחר ההטמעה בלוח האם, השבבים מטפלים בפרוטוקולי אבטחה שבדרך כלל נשענים עליהם קושחה.

תהליך האימות כולל אימות חשיפות קריפטוגרפיות כדי לשמור על שלמות הקוד.

instagram viewer

כיצד מחשבים בעלי ליבות מאובטחות מרתיעים תוכנות זדוניות

מחשבי ליבה מאובטחים נועדו לאמת את כל הפעולות הכרוכות בתהליך האתחול ולאחריו. מכיוון שאישורי המערכת שלהם מבודדים ונעולים כדי לאבטח חשיפות הצפנה, תוכנה זדונית שמנסה להשתלט על פרוטוקולי מערכת קריטיים אינה מצליחה לאחזר אסימונים לאימות.

רמת אבטחה זו מתאפשרת באמצעות Windows HyperVisor Code Integrity (HVCI) ואבטחה מבוססת וירטואליזציה (VBS). HVCI פועלת תחת VBS ופועלת לשיפור שלמות הקוד כך שרק תהליכים מאומתים מבוצעים באמצעות זיכרון הליבה.

VBS משתמשת בווירטואליזציה מבוססת חומרה לבידוד מגזרי זיכרון מאובטחים ממערכת ההפעלה. באמצעות VBS ניתן להפריד תהליכי אבטחה חיוניים בכדי למנוע פגיעה בהם. זה חשוב כשמנסים להגביל נזק, במיוחד כאשר מתמודדים עם תוכנות זדוניות המכוונות לרכיבי מערכת בעלי הרשאות גבוהות.

בנוסף, מחשבי ליבת מאובטחים משתמשים במצב Secure Virtual (VSM) של מיקרוסופט. זה עובד כדי להגן על נתונים חיוניים כגון אישורי משתמשים ב- Windows. המשמעות היא שבמקרה הנדיר שתוכנות זדוניות פוגעות בגרעין המערכת, הנזק מוגבל.

VSM יכול ליצור אזורי אבטחה חדשים במערכת ההפעלה במקרים כאלה ולשמור על בידוד באמצעות רמות אמון וירטואליות (VTL), שעובדות ברמה לכל מחיצה.

במחשבי PC מאובטחים, VSM מארח פתרונות הרתעת אבטחה כגון Credential Guard, Device Guard ומודול פלטפורמה מהימן וירטואלי (TPM).

הגישה למגזרי VSM מבוצרים מאוד ניתנת אך ורק על ידי מנהל המערכת, השולט גם בזיכרון מעבד יחידת ניהול (MMU) וכן יחידת ניהול זיכרון קלט-פלט (IOMMU), העוסקת ב אתחול.

עם זאת, למיקרוסופט כבר יש ניסיון משמעותי ביצירת פתרונות אבטחה מבוססי חומרה; מבצר ה- Xbox מעיד על כך.

קָשׁוּר: כיצד להגדיר מחדש את Windows Defender כדי לאבטח טוב יותר את המחשב שלך

השותפים הנוכחיים המאובטחים של מיקרוסופט כוללים את Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, אסוס, פנסוניק ופלח השטח של מיקרוסופט משלה של החברה העוסק באופן אישי מחשבים.

אמצעי הגנה על ליבות מאובטחות נוספות

בעוד שלמחשבים מאובטחים יש חיזוק אבטחה נרחב המבוסס על חומרה, הם דורשים גם מגוון עזרי אבטחה מבוססי תוכנה. הם מתפקדים כקו ההגנה הראשון במהלך התקפת תוכנה זדונית.

אחד המרתיעים העיקריים המבוססים על תוכנה הוא Windows Defender, המיישמת את השקת Secure Secure. לראשונה זמין ב- Windows 10, הוא משתמש בפרוטוקול Dynamic Root of Trust for Measurement (DRTM) כדי להפעיל תהליכי אתחול לקוד לא מאומת בעת ההפעלה.

זמן קצר לאחר מכן, היא תופסת את כל התהליכים ומחזירה אותם למצב מהימן. זה עוזר למנוע בעיות אתחול אם טופלו בקוד UEFI ושומרים על שלמות הקוד.

לצורך אתחול מאובטח מוחלט, Windows 10 מגיע עם מצב S, אשר נועד לשפר את ביצועי האבטחה והמעבד. במצב זה, Windows יכול לטעון רק יישומים חתומים מחנות Microsoft. הגלישה במצב זה מוגבלת לשימוש ב- Microsoft Edge.

קָשׁוּר: כיצד להשתמש במצב ילדים ב- Microsoft Edge כדי לשמור על בטיחות ילדים

משתמשי מחשב מאובטח ליבה יכולים גם לשפר את אבטחת המחשבים באמצעות Windows Defender Application Control (WDAC) כדי להגביל את מנהלי ההתקנים המורשים לפעול ב- Windows 10. התכונה מיישמת מדיניות מנהלי התקן ותוכנה המאפשרת לפעול רק לאפליקציות מהימנות.

Windows Hello היא תכונה נוספת הדרושה לשיפור האבטחה במחשבי ליבות מאובטחים. היא משתמשת ביכולות זיהוי פנים, PIN ונעילת טביעת אצבע כדי לחזק את אבטחת הכניסה.

Windows Hello מסתמך על חומרה ביומטרית מיוחדת הכוללת קורא טביעות אצבע וחיישני אינפרא אדום. החומרה משתמשת בטכנולוגיית Trusted Platform Module (TPM) כדי להגן על תעודות.

מדוע מיקרוסופט החליטה לפתח מחשבי ליבה מאובטחים

מיקרוסופט השקיעה סכום כסף משמעותי במחקר ופיתוח מחשבי ליבת מאובטחים. להלן כמה מהסיבות שבגללן החברה העדיפה את פרויקט האבטחה.

הצורך להגן על עסקים מפני תוכנות זדוניות קושחה

איומי אבטחה ברשת מתפתחים, ולפי א דו"ח של מיקרוסופט, ההתקפות הולכות ומשתכללות. הוא מדגיש את ממצאי המחקר שנערך בשנת 2021 ומגלה כי למעלה מ -80% מהעסקים בעולם המפותח חוו מתקפת קושחה בשנתיים הקודמות.

המשמעות היא שעסקים רבים ברחבי העולם חשופים לניצול תוכניות המשתמשות בתוכנות זדוניות של קושחה.

קשה מאוד לזהות ולהסיר ניצולי קושחה ברגע שהם משיגים מערכת. יתר על כן, רוב המחשבים משתפים אותו קוד ה- BIOSוכך פרצות קושחה שנחשפו על ידי קבוצות האקרים יכולות להיות ממונפות כנגד מיליוני מחשבים ברחבי העולם ללא קשר לתוצרתן או לספקיהן, ומכאן הצורך במחשבי PC מאובטחים.

מחשבים בעלי ליבות מאובטחות פותרים בעיות קושחה היקפית

התקנים עם קושחה לא חתומה מהווים בעיות אבטחה מרכזיות במחשבים סטנדרטיים. ציוד היקפי כגון מצלמות רשת ידוע לשמצה בהפעלת קושחה חריגה שבאמצעותה ניתן לרגל אחר משתמשים. ניתן לעדכן את הנהגים שלהם ללא הסכמת הלקוח, ובכך להגדיל את הסיכונים לכך.

היעדר תקני אבטחה מתואמים בתעשייה הוא בין הסיבות העיקריות לכך שהאקרים מכוונים אליהם במהלך התקפות חדירה. נכון לעכשיו, התקנים פגיעים כוללים לוחות מגע, מתאמי Wi-Fi, מצלמות רשת ומוקדי USB. לרובם חסר חשיש הצפנה ואימות קושחה, המשמשים במחשבי ליבה מאובטחים.

הקושי בהרמוניזציה של תשתית האבטחה שלהם גורם לכך שהפרצה עשויה להישאר פתוחה שנים רבות. נכון לעכשיו, מחשבי PC מאובטחים הם האפשרות הטובה ביותר עבור ארגונים המעוניינים להימנע מפערי אבטחה כאלה.

מיקרוסופט עובדת על פתרונות אבטחה נוספים של קושחה

בעוד שמיקרוסופט יצרה מחשבי ליבה מאובטחים בכדי לסכל תוכנות זדוניות קושחה, היא עובדת גם על כלים שיעזרו להתחדד ההתקפות במחשבים סטנדרטיים. הרכישה האחרונה שלה של ReFirm Labs, מפתחת סורק תקינות הקושחה המקורית Binwalk, היא צעד בכיוון זה.

צפוי כי פתרונות קשורים נוספים יפותחו על ידי ענקית הטכנולוגיה בעתיד הקרוב.

אימייל
האם Microsoft Defender הוא האנטי-וירוס הטוב ביותר עבור המחשב האישי שלך בשנת 2021?

Microsoft Defender הוא אנטי-וירוס מסוגל. אבל האם זו הבחירה הטובה ביותר עבור המחשב האישי שלך בשנת 2021?

קרא הבא

נושאים קשורים
  • חלונות
  • הסבירו טכנולוגיה
  • בִּטָחוֹן
  • אבטחת מחשב
  • תוכנה זדונית
על הסופר
סמואל גוש (10 מאמרים פורסמו)

סמואל גוש הוא סופר טכנולוגי ב- MakeUseOf. לכל בירור ניתן לפנות אליו באמצעות דוא"ל בכתובת [email protected].

עוד מסמואל גוש

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

צעד אחד נוסף !!!

אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.

.