Credential Guard в Защитнике Windows: требования. Требования к компьютеру windows 10


Требования к компьютеру с Windows 10: blueicecat4

При обновлении текущей операционной системы своего компьютера до Windows 10 вы должны убедиться, что он удовлетворяет определенным аппаратным и программным требованиям. В общем случае Windows 10 должна беспроблемно запускаться и работать на любых компьютерах, на которых установлена Windows 7, 8 или 8.1.Если ваш компьютер относится к эпохе царствования Windows Vista или даже Windows ХР, то вы все еще можете установить на него Windows 10, но ее работоспособность будет вызывать определенные сомнения. Не рекомендуется этого делать!Если у вас есть родственник или друг, не понаслышке знакомый с устройством компьютера, то попросите его объяснить рабочие характеристики, описанные ниже. Они представляют собой требования к компьютеру, на котором планируется устанавливать операционную систему Windows 10.Если хотя бы один из пунктов не соответствует его техническим параметрам, то отмените установку, а лучше всего - купите новый компьютер.

Требования к компьютеру, на котором устанавливается Windows10Процессор - с тактовой частотой 1 ГГц и вышеОперативная память (ОЗУ) - не менее 1 Гбайт для х86 (32-битовая) и не менее 2 Гбайт для х86 (64-битовая)Видеокарта - поддерживающая DirectX 9 и спецификацию Windows Display и Driver Model (WDDM)Свободное место на диске - 16 ГбайтПрошивка - Unified Extensible Firmware Interface (UEFI) 2.3.1 с поддержкой безопасного режима загрузки

Если описать требования простыми словами, то можно заключить, что для установки и обеспечения нормальной работоспособности Windows 10 подходит почти любой компьютер не старше пяти лет с момента производства.В Windows 10 выполняются (за редким исключением) те же программы, что и в Windows версий Vista, 7, 8 и 8.1. В ней также запускаются многие программы, устанавливаемые в Windows ХР. Конечно, совсем старые программы не будут корректно выполняться в новой операционной системе. В частности, это касается программного обеспечения, обеспечивающего безопасность компьютера, — антивирусов, брандмауэров и комплексных решений по защите компьютера. Чтобы узнать о том, какие версии программ сохраняют свою работоспособность в Windows 10, обратитесь к их производителям.Не знаете, операционная система какой версии установлена на вашем компьютере? Чтобы узнать это, щелкните на кнопке Пуск, затем в появившемся меню щелкните правой кнопкой на пункте Компьютер и выберите команду Свойства. На экране появится диалоговое окно, в основном разделе которого указывается версия Windows.Если кнопка Пуск в главном интерфейсе операционной системы отсутствует, то вы работаете в Windows 8. Если же после щелчка на кнопке Пуск экран заполняется красочными плитками с динамически изменяемым содержимым, то вы однозначно работаете в Windows 8.1

blueicecat4.livejournal.com

Рекомендации по доверенному платформенному модулю (Windows 10)

  • 05/16/2018
  • Время чтения: 6 мин
  • Соавторы

В этой статье

Относится к:

  • Windows 10
  • Windows Server 2016

В этом разделе содержатся рекомендации по технологии доверенного платформенного модуля (TPM) в Windows 10.

Описание основных функций доверенного платформенного модуля см. в разделе Обзор технологии доверенного платформенного модуля.

Проектирование и реализация доверенного платформенного модуля

Традиционно доверенные платформенные модули (TPM) представляют собой отдельные микросхемы, впаянные в материнскую плату компьютера. Некоторые реализации позволяют поставщикам оборудования оценивать и сертифицировать TPM отдельно от остальной системы. Хотя отдельные реализации TPM все еще распространены, их использование является проблематичным на тех встроенных устройствах, которые отличаются небольшими размерами или низким энергопотреблением. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.

Модули TPM являются пассивными: они получают команды и возвращают ответы. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы. Модули TPM изначально были разработаны для обеспечения безопасности и конфиденциальности владельца и пользователей платформы, однако более новые версии обеспечивают безопасность и конфиденциальность непосредственно самого системного оборудования. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе. Windows 10 автоматически настраивает TPM, но если пользователи планируют переустановить операционную систему, может потребоваться очистить TPM перед переустановкой, чтобы система могла воспользоваться всеми преимуществами TPM.

Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля. Целью TCG является разработка, определение и продвижение нейтральных по отношению к поставщикам, глобальных отраслевых стандартов, которые поддерживают аппаратный корень доверия для взаимодействующих доверенных вычислительных платформ. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).

Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон. Доверенные вычислительные платформы используют TPM, для обеспечения безопасности и конфиденциальности, достичь которых с использованием одного лишь программного обеспечения невозможно. Например, само по себе программное обеспечение не может достоверно сообщить о наличии вредоносного ПО при запуске системы. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство. Реализация TPM в составе доверенной вычислительной платформы формирует аппаратное ядро доверия, что означает, что поведение оборудования является доверенным. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ не может покидать TPM.

Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов. Например, при государственных закупках некоторые правительства четко определяют требования к безопасности модулей TPM, а некоторые — нет.

Сравнение TPM версии 1.2 и 2.0

С точки зрения отраслевых стандартов, корпорация Майкрософт остается лидером по стандартизации и переходу на модули TPM 2.0, которые имеют ряд ключевых преимуществ в области алгоритмов, криптографии, иерархии, корневых ключей, авторизации и энергонезависимой оперативной памяти.

Преимущества TPM 2.0

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:

  • Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.

  • В целях безопасности некоторые организации перестают использовать SHA-1. В частности, Национальный институт стандартов и технологий США (NIST) потребовал от многих федеральных агентств перейти на использование SHA-256, начиная с 2014 года, а технологические лидеры, включая Майкрософт и Google, объявили о прекращении с 2017 года поддержки подписывания и сертификатов на основе SHA-1.

  • TPM 2.0 обеспечивает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.

    • TPM 2.0 поддерживает новые алгоритмы, что может повысить производительность подписи дисков и создания ключей. Полный список поддерживаемых алгоритмов см. в разделе Реестр алгоритмов TCG. Некоторые доверенные платформенные модули поддерживают не все алгоритмы.

    • Список доступных алгоритмов, которые Windows поддерживает в поставщике хранилища платформы шифрования, см. в разделе Поставщики алгоритмов шифрования CNG.

    • TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).

    • Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.

  • TPM 2.0 предоставляет более согласованное взаимодействие при всем разнообразии внедрения.

    • Реализации TPM 1.2 различаются параметрами политики. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.

    • Политика блокировки TPM 2.0 настраивается Windows для гарантированной защиты от согласованных атак перебором по словарю.

  • Части TPM 1.2 — это дискретные кремниевые компоненты, которые обычно припаяны к системной плате, но модуль TPM 2.0 доступен как дискретный (dTPM) компонент в простом полупроводниковом корпусе, интегрированный компонент в одном или нескольких полупроводниковых корпусах (вместе с другими логическими модулями в одном корпусу) и как компонент на основе встроенного ПО (fTPM), который работает в доверенной среде выполнения (TEE) в системе на кристалле (SoC) общего назначения.

Дискретный, интегрированный TPM или TPM в виде встроенного ПО?

Существует три варианта реализации TPM:

  • дискретная микросхема TPM как отдельный компонент в собственном полупроводниковом корпусе;

  • интегрированное решение TPM, использующее специальное оборудование, интегрированное в один или несколько полупроводниковых корпусов, но логически отделенное от других компонентов;

  • решение TPM на основе встроенного ПО, работающее в режиме доверенного выполнения вычислительного модуля общего назначения.

Windows использует любой совместимый модуль TPM одинаково. Корпорация Майкрософт не отдает предпочтения тем или иным видам реализации TPM. Существует развитая экосистема доступных решений TPM, которые удовлетворяют всем потребностям.

Имеет ли модуль TPM какое-либо значение для потребителей?

Для конечных потребителей TPM не заметен, но по-прежнему очень важен. TPM используется для Windows Hello, Windows Hello для бизнеса и, в будущем, станет компонентом многих других ключевых функций обеспечения безопасности в Windows. TPM защищает PIN-код, позволяет шифровать пароли и служит залогом безопасности при взаимодействии пользователей с Windows 10. Использование Windows на системе с доверенным платформенным модулем TPM обеспечивает более глубокий и широкий уровень обеспечения безопасности.

Windows 10 и соответствие модуля TPM 2.0 нормативным требованиям

Windows 10 для настольных компьютеров (Домашняя, Pro, Корпоративная и для образовательных учреждений)

  • С 28 июля 2016 г. все новые модели, линейки и серии устройств (или если вы значительно обновляете конфигурацию оборудования существующей модели, линии или серии, например меняете ЦП или графическую карту) должны иметь включенный по умолчанию модуль TPM 2.0 (сведения см. в разделе 3.7 на странице Минимальные требования к оборудованию). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся. Рекомендации TPM в отношении конкретных компонентов Windows см. в разделе TPM и компоненты Windows.

IoT Базовая

  • TPM не является обязательным компонентом IoT Базовая.

Windows Server 2016

  • Доверенный платформенный модуль не является обязательным компонентом SKU Windows Server, если только SKU не должно соответствовать дополнительным квалификационным критериям (AQ) для сценария Host Guardian Services, в случае чего наличие TPM 2.0 является обязательным.

TPM и компоненты Windows

В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля.

Компоненты Windows Требуется протокол TPM Поддерживает TPM 1.2 Поддерживает TPM 2.0 Сведения
Измеряемая загрузка Да Да Да Для измеряемой загрузки требуется TPM 1.2 или 2.0 и безопасная загрузка UEFI.
BitLocker Да Да Да Требуется TPM 1.2 или 2.0
Шифрование устройства Да Н/Д Да Для шифрования устройства требуется сертификация текущего режима ожидания/режима ожидания с подключением, для которой необходим модуль TPM 2.0.
Элемент управления приложения Защитник Windows (устройства защиты) Нет Да Да
Exploit Guard в Защитнике Windows Да Да Да
Защита системы Защитника Windows Да Да Да
Credential Guard Нет Да Да Windows 10 версии 1507 (срок службы завершился в мае 2017 года) поддерживала только TPM 2.0 для Credential Guard. Начиная с Windows 10 версии 1511, поддерживаются TPM 1.2 и 2.0.
Аттестация работоспособности устройства Да Да Да
Windows Hello/Windows Hello для бизнеса Нет Да Да Присоединение к Azure AD поддерживает обе версии TPM, но требует использования кода проверки подлинности сообщения с использованием хэширования с ключом (HMAC) и сертификата ключа подтверждения (EK) для поддержки аттестации ключей.
Безопасная загрузка UEFI Нет Да Да
Поставщик хранилища ключей поставщика шифрования платформы TPM Да Да Да
Виртуальная смарт-карта Да Да Да
Хранилище сертификатов Нет Да Да Модуль TPM требуется только в случае хранения в нем сертификата.

Состояние OEM касательно доступности систем TPM 2.0 и сертифицированных компонентов

Пользователи государственных учреждений и корпоративные клиенты в регулируемых отраслях могут руководствоваться стандартами покупки, которые требуют использования общих сертифицированных компонентов TPM. В результате изготовители оборудования, которые предоставляют устройства, могут столкнуться с необходимостью использования только сертифицированных компонентов TPM в системах коммерческого уровня. За дополнительными сведениями обратитесь к OEM или поставщику данного оборудования.

Статьи по теме

docs.microsoft.com

Требования для Credential Guard в Защитнике Windows (Windows 10)

  • 01/12/2018
  • Время чтения: 9 мин
  • Соавторы

В этой статье

Область применения

  • Windows 10
  • WindowsServer2016

Предпочитаете видео? См. видео Развертывание Credential Guard в Защитнике Windows в серии видео "Глубокое погружение в Credential Guard в Защитнике Windows".

Для защиты учетных данных Защитника Windows для защиты компьютеров, обозначающих должны удовлетворять определенным базового требованиям оборудования, встроенного по и программного обеспечения, которые мы будет называть требования к оборудованию и программному обеспечению. Кроме того, Credential Guard в Защитнике Windows блокирует определенные средства проверки подлинности, поэтому приложения, которым требуются заблокированные средства, прекратят работу. Они будут упоминаться как Требования к приложениям. Кроме этого, компьютеры могут соответствовать дополнительным требованиям к оборудованию и встроенному ПО и получать дополнительную защиту. Эти компьютеры будут более защищены от определенных угроз. Подробные сведения о базовой защите, а также средствах защиты для повышения уровня безопасности, связанные с параметрами оборудования и встроенного ПО, доступные в 2015-2017 годах см. в таблицах в разделе Вопросы безопасности.

Требования к оборудованию и программному обеспечению

Чтобы обеспечить базовую защиту от попыток на уровне ОС считать учетные данные домена диспетчера учетных данных, а также учетные данные, извлеченные из NTLM и Kerberos, в Credential Guard в Защитнике Windows используются приведенные ниже функции.

  • Поддержка системы безопасности на основе виртуализации (обязательно)
  • Безопасная загрузка (обязательно)
  • TPM 1.2 или 2.0, либо точечные или микропрограммы (предпочитаемое - обеспечивает привязку для оборудования)
  • Блокировка UEFI (предпочитаемая— защита от злоумышленника с помощью простого изменения раздела реестра)

Требования к безопасности на основе виртуализации.

  • 64-разрядный ЦП
  • Расширения виртуализации в ЦП, а также расширенные таблицы страниц
  • Гипервизор Windows

Развертывание Credential Guard в Защитнике Windows на виртуальных машинах

Credential Guard может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Развертывание Credential Guard на виртуальной машине обеспечивает защиту секретных сведений от атак внутри виртуальной машины. Credential Guard не обеспечивает дополнительный уровень защиты от атак привилегированной системы, исходящих с узла.

Требования для запуска Credential Guard в Защитнике Windows на виртуальных машинах Hyper-V
  • Для узла Hyper-V требуется модуль IOMMU и по крайней мере операционная система Windows Server 2016 или Windows 10 версии 1607.
  • Виртуальная машина Hyper-V должна быть 2 поколения с включенным виртуальным модулем TPM и Windows Server 2016 или Windows 10.

Сведения о других платформах узлов см. в разделе Включение функций безопасности на основе виртуализации Hyper-V и Windows Server2016 на других платформах

Сведения о требованиях к оборудованию и программному обеспечению для удаленного Credential Guard в Защитнике Windows см. в разделе Требования к оборудованию и программному обеспечению для удаленного Credential Guard в Защитнике Windows

Требования к приложениям

При включении Credential Guard в Защитнике Windows блокируются определенные средства проверки подлинности, поэтому приложения, которым требуются заблокированные средства, прекратят работу. Приложения необходимо проверить перед развертыванием, чтобы обеспечить совместимость с ограниченными функциями.

Предупреждение

Включение Credential Guard в Защитнике Windows на контроллерах домена не поддерживается. На контроллере домена размещаются службы проверки подлинности, которые интегрируются с процессами, изолируемыми при включении Credential Guard в Защитнике Windows, что приводит к сбоям.

Примечание

Credential Guard в Защитнике Windows не обеспечивает защиту для базы данных Active Directory или диспетчера учетных записей безопасности (SAM). Учетные данные, защищенные с помощью Kerberos и NTLM при включенном Credential Guard в Защитнике Windows, также находятся в базе данных Active Directory (на контроллерах домена) и SAM (для локальных учетных записей).

Предложения прекратят работу, если потребуется приведенное ниже:

  • Поддержка шифрования Kerberos DES
  • Неограниченное делегирование Kerberos
  • Извлечение Kerberos TGT
  • NTLMv1

Приложения будут запрашивать учетные данные и подвергать их риску, если для них требуется приведенное ниже.

  • Дайджест-проверка подлинности
  • Делегирование учетных данных
  • MS-CHAPv2

Приложения могут приводить к проблемам с производительностью, когда пытаются подключить изолированный процесс Credential Guard в Защитнике Windows.

Службы и протоколы, зависящие от Kerberos, например общие файловые ресурсы, удаленный рабочий стол и BranchCache, продолжают работать и не попадают под действие Credential Guard в Защитнике Windows.

См. в этом видео: Учетные данные, защищенные с помощью Credential Guard в Защитнике Windows

Соображения безопасности

Все компьютеры, соответствующие базовой защите для оборудования, встроенного ПО и программного обеспечения, могут использовать Credential Guard в Защитнике Windows. Компьютеры, соответствующие дополнительным требованиям, могут обеспечить дополнительную защиту, чтобы уменьшить уязвимость.В следующих таблицах описываются базовые меры защиты, а также меры защиты для обеспечения повышенной безопасности, которые связаны с параметрами оборудования и встроенного ПО, доступными в 2015–2017 гг.

Базовые меры защиты

Базовые меры защиты Описание Преимущества безопасности
Оборудование: 64-разрядный ЦП Чтобы гипервизор Windows обеспечивал работу функций VBS, необходим 64-разрядный компьютер.
Оборудование: расширения виртуализации в ЦП,а также Extended Page Tables Требования: для работы VBS требуются следующие функциональные возможности оборудования/Одно из следующих расширений виртуализации:• VT-x (Intel) или• AMD-VА также:• Технология Extended Page Tables, также называемая Second Level Address Translation (SLAT). VBS обеспечивает изоляцию ядра безопасности от обычной операционной системы. Благодаря этой изоляции в обычной операционной системе нельзя воспользоваться уязвимостями и атаками "нулевого дня".
Оборудование: Доверенный платформенный модуль (TPM) Требование: TPM 1.2 или TPM 2.0, выделенный модуль или встроенное ПО.Рекомендации по TPM TPM защищает ключи шифрования VBS, которые хранятся во встроенном ПО. Это позволяет предотвращать атаки при физическом доступе пользователя к компьютеру и системе BIOS.
Встроенное ПО: версия встроенного ПО UEFI 2.3.1.c и выше с безопасной загрузкой UEFI Требования: см. следующее требование программы совместимости оборудования с Windows: System.Fundamentals.Firmware.UEFISecureBoot Безопасная загрузка UEFI обеспечивает запуск на устройстве только авторизованного кода. Она может предотвратить установку буткитов и руткитов и их сохранение между перезагрузками.
Встроенное ПО: безопасный процесс обновления встроенного ПО Требования: встроенное ПО UEFI должно поддерживать безопасное обновление встроенного ПО, которое указано в требованиях Программы совместимости оборудования Windows: System.Fundamentals.Firmware.UEFISecureBoot. Встроенное ПО UEFI, как и любое ПО, имеет уязвимости безопасности, которые при их обнаружении должны устраняться посредством обновления встроенного ПО, Исправление позволяет предотвратить установку руткитов.
Программное обеспечение: прошедшая проверку операционная система Windows Требование: Windows 10 Корпоративная, Windows 10 для образовательных учреждений, Windows Server 2016 или Windows 10 IoT Enterprise

Внимание!Windows Server 2016 в роли контроллера домена не поддерживает Credential Guard. В этой конфигурации поддерживается только Device Guard в Защитнике Windows.

Поддержка VBS и функций управления, которые упрощают настройку Credential Guard в Защитнике Windows.

Важно!

В следующих таблицах приводятся дополнительные требования для повышенной безопасности. Мы настоятельно рекомендуем выполнить дополнительные требования для повышенной безопасности в целях значительного повышения уровня безопасности, обеспечиваемого Credential Guard в Защитнике Windows.

2015: дополнительные требования к безопасности, начиная с Windows 10 версии 1507 и Windows Server 2016 Technical Preview 4

Меры защиты для повышенной безопасности Описание
Оборудование: IOMMU (модуль управления памятью ввода-вывода) Требование: VT-D или AMD Vi IOMMU Преимущества безопасности: модуль IOMMU повышает устойчивость системы к атакам на память. Дополнительные сведения см. в разделе Таблицы описания ACPI.
Встроенное ПО: защита конфигурации загрузки и управление ею Требования• Необходимо наличие пароля BIOS или более строгой проверки подлинности.• В конфигурации BIOS необходимо настроить проверку подлинности BIOS.• Необходима поддержка защищенного параметра BIOS для настройки списка разрешенных устройств загрузки (например, "Загружаться только со встроенного жесткого диска") и порядка устройств загрузки, переопределяющих изменения BOOTORDER, выполненные операционной системой.• В конфигурации BIOS необходимо обеспечить безопасность параметров BIOS, связанных с безопасностью и вариантами загрузки (список разрешенных устройств загрузки, порядок загрузки) во избежание запуска операционных систем, а также изменения параметров BIOS.
Встроенное ПО: Secure MOR, реализация версии 2 Требование: Secure MOR, реализация версии 2

2016 Дополнительные требования к безопасности начиная с Windows 10 версии 1607 и Windows Server 2016

Важно!

В следующих таблицах приводятся дополнительные требования для повышенной безопасности. Системы, которые соответствуют этим дополнительным требованиям, могут предоставлять дополнительные средства защиты.

Меры защиты для повышенной безопасности Описание Преимущества безопасности
Встроенное ПО: безопасная загрузка на основе доверенной платформы, встроенной в оборудование ТребованияНеобходимо обеспечение целостности загрузки (безопасная загрузка платформы). См. требования Программы совместимости оборудования Windows в разделе System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby• Необходимо внедрить интерфейс HSTI. См. спецификацию проверки безопасности оборудования. Целостность загрузки (безопасная загрузка платформы) с момента включения обеспечивает меры защиты от физического доступа злоумышленников, а также надежную защиту от вредоносного ПО.• HSTI обеспечивает дополнительную безопасность при правильном обеспечении безопасности микросхемы и платформы.
Встроенное ПО: обновление встроенного ПО через Центр обновления Windows Требования: встроенное ПО должно поддерживать обновление на месте через Центр обновления Windows и инкапсулированное обновление UEFI. Обеспечивает быстрое, надежное и безопасное обновление встроенного ПО.
Встроенное ПО: защита конфигурации загрузки и управление ею Требования• Требуемые возможности BIOS: возможность поставщика оборудования добавлять сертификаты независимых поставщиков программного обеспечения, поставщиков оборудования и корпоративные сертификаты в базу данных безопасной загрузки во время производства.• Требуемые конфигурации: Центр сертификации Microsoft UEFI CA должен быть удален из базы данных безопасной загрузки. Поддержка сторонних модулей UEFI разрешена, но необходимо использовать сертификаты, предоставленные независимыми поставщиками программного обеспечения, или сертификат поставщика оборудования для определенного программного обеспечения UEFI. • Предприятия могут разрешить запуск собственных драйверов и приложений EFI.• Удаление центра сертификации Microsoft UEFI CA из базы данных безопасной загрузки обеспечивает полный контроль предприятий над программным обеспечением, которое запускается до загрузки операционной системы.

2017 Дополнительные требования к безопасности начиная с Windows 10 версии 1703

В следующей таблице перечислены требования к Windows 10 версии 1703, которые являются дополнительными ко всем перечисленным выше требованиям.

Меры защиты для повышенной безопасности Описание Преимущества безопасности
Встроенное ПО: реализация защиты NX с помощью VBS для служб среды выполнения UEFI Требования• VBS обеспечит защиту от запуска исполняемого кода (NX) в коде службы среды выполнения UEFI и областях данных в памяти. Код служб среды выполнения UEFI должен поддерживать защиту страниц только для чтения. Кроме того, данные службы среды выполнения UEFI не должны быть исполняемыми.• Служба среды выполнения UEFI должна отвечать приведенным ниже требованиям.     - Требуется реализовать таблицу UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE. В этой таблице должны описываться все данные в памяти службы среды выполнения UEFI (код и данные).     - Разделы PE необходимо выровнять по страницам в памяти (не требуется для энергонезависимого хранилища).    - В таблице атрибутов памяти код и данные должны быть правильно помечены как RO/NX для настройки в операционной системе.        - Все объекты должны включать атрибуты EFI_MEMORY_RO, EFI_MEMORY_XP или оба сразу.         - Не должно остаться объектов без указанных выше атрибутов, то есть доступных для записи и исполнения. Память должна быть либо доступна для чтения и исполнения, либо доступна для записи и недоступна для исполнения.

Примечания.• Это касается только памяти службы среды выполнения UEFI, а не памяти службы загрузки UEFI. • Эта защита применяется VBS в таблицах страниц ОС.

Также имейте в виду вот что. • Не используйте разделы, которые доступны как для записи, так и для исполнения.• Не пытайтесь напрямую изменить исполняемую системную память.• Не используйте динамический код.
• Уязвимости в среде выполнения UEFI (при наличии) будут блокироваться для предотвращения взлома VBS (аналогично таким функциям, как UpdateCapsule и SetVariable).• Сокращение поверхности атаки на VBS со стороны системного встроенного ПО.
Встроенное ПО: поддержка защиты SMM во встроенном ПО Требования: спецификация таблиц Windows SMM Security Mitigations Table (WSMT) содержит сведения о таблице ACPI, которая была создана для использования с операционными системами Windows, поддерживающими функции безопасности на основе виртуализации Windows (VBS). • Защита от возможных уязвимостей в службах среды выполнения UEFI (при наличии). Уязвимости будут заблокированы для предотвращения взлома VBS (аналогично таким функциям, как UpdateCapsule и SetVariable).• Сокращение поверхности атаки на VBS со стороны системного встроенного ПО.• Блокировка дополнительных атак безопасности применительно к SMM.

docs.microsoft.com


Читайте также
  • Гиперскоростная звезда – более 1.000.000 миль в час
    Гиперскоростная звезда – более 1.000.000 миль в час
  • Астрономы обнаружили самую большую спиральную галактику
    Астрономы обнаружили самую большую спиральную галактику
  • Млечный путь содержит десятки миллиардов планет, схожих с Землей
    Млечный путь содержит десятки миллиардов планет, схожих с Землей
  • Млечный путь разорвал своего спутника на четыре отдельных хвоста
    Млечный путь разорвал своего спутника на четыре отдельных хвоста
  • Найден источник водородных газов для нашей Галактики
    Найден источник водородных газов для нашей Галактики