Windows Defender System Guard: Wie ein hardwarebasierter Vertrauensstamm zum Schutz Windows 10

Um wichtige Ressourcen wie den Windows-Authentifizierungsstapel, Single Sign-On-Token, den Windows Hello biometrischen Stapel und das Virtual Trusted Platform Module zu schützen, muss die Firmware und Hardware eines Systems vertrauenswürdig sein.

Windows Defender System Guard organisiert die vorhandenen Windows 10 Systemintegritätsfunktionen unter einem Einzigen neu und richtet die nächsten Investitionen in Windows Sicherheit ein. Es wurde entwickelt, um diese Sicherheitssicherheitssicherheiten zu bieten:

  • Schützen und Verwalten der Integrität des Systems beim Start
  • Überprüfen, ob die Systemintegrität wirklich durch lokale und Remotenachweise aufrechterhalten wurde

Verwalten der Integrität des Systems beim Start

Statischer Vertrauensstamm für Messungen (SRTM)

Mit Windows 7 würden Angreifer unter anderem das installieren, was häufig als Bootkit oder Rootkit auf dem System bezeichnet wird, um die Erkennung zu speichern und zu umgehen. Diese Schadsoftware würde vor dem Start Windows oder während des Startvorgangs selbst gestartet, sodass sie mit der höchsten Berechtigungsstufe gestartet werden kann.

Wenn Windows 10 auf moderner Hardware (d. h. Windows 8 zertifiziert oder höher) ausgeführt wird, stellt ein hardwarebasierter Vertrauensstamm sicher, dass keine nicht autorisierte Firmware oder Software (z. B. ein Bootkit) vor dem Windows Bootloader gestartet werden kann. Dieser hardwarebasierte Vertrauensstamm stammt aus dem Feature "Sicherer Start" des Geräts, das Teil der Unified Extensible Firmware Interface (UEFI) ist. Diese Technik zum Messen der statischen UEFI-Komponenten für den frühen Start wird als statischer Vertrauensstamm für Messungen (Static Root of Trust for Measurement, SRTM) bezeichnet.

Da es Tausende von PC-Anbietern gibt, die viele Modelle mit unterschiedlichen UEFI-BIOS-Versionen erstellen, gibt es beim Start eine unglaublich große Anzahl von SRTM-Messungen. Es gibt zwei Techniken, um hier eine Vertrauensstellung herzustellen– entweder eine Liste bekannter "ungültiger" SRTM-Messungen (auch als Blockliste bezeichnet) oder eine Liste bekannter "guter" SRTM-Messungen (auch als Zulassungsliste bezeichnet).

Jede Option hat einen Nachteil:

  • Eine Liste bekannter "ungültiger" SRTM-Messungen ermöglicht es einem Hacker, nur 1 Bit in einer Komponente zu ändern, um einen völlig neuen SRTM-Hash zu erstellen, der aufgelistet werden muss. Dies bedeutet, dass der SRTM-Fluss grundsätzlich gültig ist – eine geringfügige Änderung kann die gesamte Vertrauenskette ungültig werden lassen.
  • Eine Liste bekannter "guter" SRTM-Messungen erfordert, dass jede neue BIOS/PC-Kombinationsmessung sorgfältig hinzugefügt wird, was langsam ist. Außerdem kann ein Fehlerkorrektur für UEFI-Code sehr lange dauern, bis das Entwerfen, Erstellen, erneute Testen, Überprüfen und erneute Bereitstellen erfolgt.

Sicherer Start – der dynamische Vertrauensbasis für Messungen (DRTM)

Windows Defenderin Windows 10 Version 1809 eingeführte System Guard Secure Launch zielt darauf ab, diese Probleme durch die Nutzung einer Technologie zu verringern, die als dynamic Root of Trust for Measurement (DRTM) bezeichnet wird. DRTM ermöglicht dem System zunächst den freien Start in nicht vertrauenswürdigen Code, aber kurz nachdem das System in einen vertrauenswürdigen Zustand gestartet wurde, indem alle CPUs gesteuert und ein bekannter und gemessener Codepfad erzwungen wird. Dies hat den Vorteil, dass nicht vertrauenswürdiger früher UEFI-Code das System starten kann, dann aber sicher in einen vertrauenswürdigen und kontrollierten Zustand übergehen kann.

Sicherer Start von System Guard.

Secure Launch vereinfacht die Verwaltung von SRTM-Messungen, da der Startcode jetzt keinen Bezug zu einer bestimmten Hardwarekonfiguration hat. Dies bedeutet, dass die Anzahl der gültigen Codemessungen gering ist, und zukünftige Updates können umfassender und schneller bereitgestellt werden.

Schutz des Systemverwaltungsmodus (System Management Mode, SMM)

Der Systemverwaltungsmodus (System Management Mode, SMM) ist ein spezieller CPU-Modus in x86-Mikrocontrollern, der die Energieverwaltung, die Hardwarekonfiguration, die temperaturbezogene Überwachung und alles andere übernimmt, was der Hersteller als nützlich erachtet. Wenn einer dieser Systemvorgänge angefordert wird, wird zur Laufzeit ein nicht maskierbarer Interrupt (Non-Maskable Interrupt, SMI) aufgerufen, der vom BIOS installierten SMM-Code ausführt. SMM-Code wird auf der höchsten Berechtigungsstufe ausgeführt und ist für das Betriebssystem nicht sichtbar, was ihn zu einem attraktiven Ziel für böswillige Aktivitäten macht. Selbst wenn der sichere Start von System Guard zum späteren Start verwendet wird, kann SMM-Code potenziell auf den Hypervisorspeicher zugreifen und den Hypervisor ändern.

Um sich dagegen zu schützen, werden zwei Techniken verwendet:

  • Paging-Schutz, um unangemessenen Zugriff auf Code und Daten zu verhindern
  • SMM-Hardwareüberwachung und -Nachweis

Pagingschutz kann implementiert werden, um bestimmte Codetabellen schreibgeschützt zu sperren, um Manipulationen zu verhindern. Dadurch wird der Zugriff auf keinen zugewiesenen Speicher verhindert.

Ein hardwareerzwingtes Prozessorfeature, das als Vorgesetzter-SMI-Handler bezeichnet wird, kann das SMM überwachen und sicherstellen, dass es nicht auf einen Teil des Adressraums zugreift, für den er nicht vorgesehen ist.

Der SMM-Schutz basiert auf der Secure Launch-Technologie und erfordert seine Funktion. In Zukunft wird Windows 10 auch das Verhalten dieses SMI-Handlers messen und bestätigen, dass kein Speicher im Besitz des Betriebssystems manipuliert wurde.

Überprüfen der Plattformintegrität nach der Ausführung Windows (Laufzeit)

Während Windows Defender System Guard erweiterten Schutz bietet, der die Integrität der Plattform während des Starts und zur Laufzeit schützt und aufrechterhält, müssen wir in der Realität eine "Annahme von Sicherheitsverletzungen" auch auf unsere fortschrittlichsten Sicherheitstechnologien anwenden. Wir können darauf vertrauen, dass die Technologien ihre Aufgaben erfolgreich erledigen, aber wir benötigen auch die Möglichkeit, zu überprüfen, ob sie ihre Ziele erfolgreich erreicht haben. Für die Plattformintegrität können wir der Plattform, die potenziell kompromittiert werden könnte, nicht einfach vertrauen, um ihren Sicherheitsstatus selbst zu bestätigen. Daher enthält Windows Defender System Guard eine Reihe von Technologien, die eine Remoteanalyse der Geräteintegrität ermöglichen.

Beim Starten Windows 10 werden eine Reihe von Integritätsmessungen von Windows Defender System Guard mithilfe des Trusted Platform Module 2.0 (TPM 2.0) des Geräts durchgeführt. System Guard Secure Launch unterstützt keine früheren TPM-Versionen wie TPM 1.2. Dieser Prozess und die Daten sind hardwareisoliert von Windows, um sicherzustellen, dass die Messdaten nicht der Art von Manipulation unterliegen, die auftreten könnte, wenn die Plattform kompromittiert wurde. Von hier aus können die Messungen verwendet werden, um die Integrität der Firmware, des Hardwarekonfigurationsstatus des Geräts und Windows startbezogenen Komponenten zu ermitteln, um nur einige zu nennen.

Integrität der Startzeit.

Nachdem das System gestartet wurde, signiert und versiegelt Windows Defender System Guard diese Messungen mithilfe des TPM. Auf Anforderung kann ein Verwaltungssystem wie Intune oder Microsoft Endpoint Configuration Manager sie für die Remoteanalyse erwerben. Wenn Windows Defender System Guard angibt, dass dem Gerät die Integrität fehlt, kann das Verwaltungssystem eine Reihe von Aktionen ausführen, z. B. das Verweigern des Gerätezugriffs auf Ressourcen.