Nová úroveň zabezpečení ve Windows 10

Hackeři a počítačoví piráti jsou stále více a více vynalézavější. Ani kvalitní antivirus, firewall a pravidelné aktualizace operační systém dostatečně neochrání. Tyto prvky jsou aktivní teprve po nabootování operačního systému. 

S novými Windows přichází i nová úroveň zabezpečení – jak chránit počítač tam, kde antiviry a firewall nedosáhnou?

Zákeřné havěti, kterými jsou například rootkity, umožní útočníkovi ovládat počítač ještě před tím, než samotný operační systém nabootuje. Jak tedy zabránit tomu, aby se tyto zbraně útočníků dostaly k moci? Je nutno provést ochranu samotného bootování. Pojďme si o tom povědět více.

Microsoft proti zmíněné možnosti útoku vystavil tvrdá opatření. Každé nové zařízení, které má nainstalovaný nejnovější systém od Microsoftu, musí již od července povinně obsahovat TPM čip a tzv. Secure Boot.

Secure Boot souvisí s rozhraním UEFI (rozhraní, které v současné době nahrazuje BIOS – jedná se o bezpečnější řešení). Obrovskou výhodou UEFI je, že jeho firmware se nedá přepsat a tím zamaskovat některý rootkit.  Jeho funkcí je, že povolí spuštění pouze důvěryhodného a digitálně podepsaného zavaděče operačního systému. (bootloaderu)

Secure Boot kromě kontroly zavaděče nezapomíná ani na kontrolu jednotlivých modulů (komponenty firmwaru, kernel, systémový ovladač apod.) Co se stane, pokud je některá komponenta zmanipulována nebo má chybný podpis? Zablokuje se start příslušných komponent. Původ veškerých komponent se ověřuje pomocí vlastní šifrované databanky.

V této fázi klasický Secure Boot končí. Doposud jsme ještě nepotřebovali vůbec další část povinné bezpečnostní výbavy nových zařízení – TPM čip. Windows 10 nabízí za pomoci využití čipu TPM ještě jedno vylepšení, které Microsoft nazývá pojmem Measured boot.

Tento princip rozšiřuje ověřování bezpečnosti na lokální bázi na ověřování vzdálené skrze server. Princip je jednoduchý. Pro každý nahrávaný modul je vypočtena jeho hash hodnota. Veškeré hash hodnoty jsou následně uloženy v TPM čipu. Ještě před rozběhnutím OS jsou veškeré vypočítané hashe prostřednictvím logů odeslány na ověřovací server, který zkontroluje jejich platnost a v případě nesrovnalostí pošle varování. (ve schématu je Measured boot fáze označena růžovou barvou)

Jedná se bezpochyby o velký přínos do firem, zejména pak do takových, které využívají i notebooky a přenosná zařízení. U těchto zařízení hrozí mnohem vyšší riziko nákazy např. kvůli postupnému připojování do různě zabezpečených bezdrátových sítí či používání těchto zařízení pro jakékoliv soukromé účely. Před vpuštěním do firemní sítě tedy je možno zajistit, aby havěť nerozšiřovaly napadená zařízení dále.

Skulinka pro hackery? 

Ještě je stále otevřená jedna malá skulinka pro šikovné hackery. Pouhé porovnávání s databází by přece jen nemuselo některou zmanipulovanou komponentu odhalit – počítačoví zločinci jsou vynalézaví a před bezpečnostními experty jsou vždy o krok napřed.

V ideálním případě bychom mohli přizvat na pomoc některý z běžných antivirových programů. Jenže před chvílí jsme zmiňovali, že tyto komponenty se rozběhnou až po nastartování operačního systému. Pro odhalení skrytých hrozeb je to příliš pozdě!

I k tomuto bezpečnostnímu problému se ale Secure boot postavil čelem – jeho řešením je funkce Early-Launch Anti-Malware (ELAM) – antivirový skener, který startuje společně s ostatními komponentami hned po zavaděči. Tato komponenta může spustit klasický bezpečnostní program od kterékoliv firmy (ESET, AVG…) a tím pádem probíhá kontrola nebezpečných virů ještě před nastartováním OS. (viz Schéma)

Schéma: bezpečný start systému Windows 10 bez využití TPM 

Na obrázku níže vidíme zeleně jednotlivé komponenty, které jsou porovnávány s databází platných podpisů a následně je z nich vypočítávána hash hodnota, která je poté uložena v TPM čipu a pomocí odeslání logů na vzdálený server v konečné fázi (Measured boot) kontrolována.

Schéma 2: bezpečný start systému Windows 10 s využitím TPM  a vzdálené kontroly

Poznámka – k samotné implementaci využívající ověření pomocí remote attestatin klienta a serveru budete potřebovat speciální software dostupný např. zde: http://research.microsoft.com/en-us/downloads/74c45746-24ad-4cb7-ba4b-0c6df2f92d5d/

Jak správně implementovat Windows 10 se dozvíte na Oficiálních kurzech Microsoft (MOC) 

• 20697-1: Windows 10 - instalace a konfigurace 
• 20697-2: Windows 10 - nasazení a správa v podnikovém prostředí

Zdroje:

http://blogs.msdn.com/b/olivnie/archive/2013/01/09/windows-8-trusted-boot-secure-boot-measured-boot.aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/hh848050(v=vs.85).aspx

http://www.chip.cz/casopis-chip/earchiv/vydani/rocnik-2013/chip-08-2013/uefi-secure-boot-prilis-bezpecny-start-pc/

http://www.chip.cz/soubory/dokumenty/08-13-112-technicky-lexokon.pdf

http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_boot

http://technet.microsoft.com/en-us/library/mt592023(v=vs.85).aspx

CHIP. Windows 10 - Kompletní průvodce. 2015, (Speciál), 36-38.