Surface Hub 安全性概述

  • 项目
  • 适用于:
    Surface Hub, Surface Hub 2S

Surface Hub 和 Surface Hub 2S 通过运行 Windows 10 协同版 操作系统的自定义平台固件提供类似于锁定的设备体验。 生成的设备采用传统的“一次性”安全展台,“仅运行所需内容”的理念,并提供现代应用。 Surface Hub 是为支持丰富的协作用户体验而构建的,可抵御不断演变的安全威胁。

以 Windows 10 为基础,Surface Hub 可提供企业级现代安全性,支持 IT 管理员利用 BitLocker、受信任的平台模块 2.0 (TPM) 以及通过 Windows Defender(也称为 Microsoft Defender)实现的云驱动安全性实施数据保护。

提示

对于 Surface Hub 3,请参阅 Surface Hub 3 安全最佳做法

深层防御安全性

打开 Surface Hub 后,安全协议将立即启动。 从固件级别开始,Surface Hub 将仅加载操作系统及其组件,以响应多个安全检查。 Surface Hub 采用深度防御策略,该策略涉及分层独立的防御子组件,以在发生部分故障时保护整个系统。 事实证明,这种行业做法在减轻子组件中潜在的单方面攻击和弱点方面非常有效。

新式统一可扩展固件接口 (UEFI) 由 Microsoft 静态且安全地配置为仅从内部存储启动经过身份验证的Windows 10 协同版操作系统。 在 Surface Hub 上运行的每一行代码在执行前都会验证其签名。 只有由 Microsoft 签署的应用程序(无论是操作系统的一部分还是通过 Microsoft Store 安装的)才能在 Surface Hub 上运行。 不符合这些要求的代码或应用将会被阻止。

Surface Hub 安全系统包括以下各项:

  • 启动时间防御。 仅加载受信任的 Surface Hub 操作系统组件。
  • 操作系统防御。 防止意外或恶意软件或代码的执行。
  • 用户界面防御。 提供对最终用户而言安全的用户界面,阻止访问有可能存在风险的活动,例如从命令行运行可执行文件。

启动时间防御

该 SoC 有一个安全处理器,它与其他各个内核都是分开的。 首次启动 Surface Hub 时,安全处理器会在加载任何其他内容之前启动。

显示安全处理器保护的中心启动启动阶段。

安全启动

安全启动用于验证启动过程的组件(包括驱动程序和操作系统)是否针对有效且已知签名的数据库进行了验证。 在 Surface Hub 上,必须先验证特定于平台的签名,然后才能加载获得授权的 Windows 协同版操作系统。 这有助于防止来自克隆或被修改的系统的攻击,这种系统运行的恶意代码隐藏在看似正常的用户体验中。 有关详细信息,请参阅安全启动概述

操作系统防御

在验证操作系统来自 Microsoft 并且 Surface Hub 成功完成启动过程后,设备会仔细检查可执行代码。 我们保护操作系统的方法涉及识别所有可执行文件的代码签名,只允许那些通过我们的限制的文件加载到运行时中。 此代码签名方法使操作系统能够在设备上运行之前验证作者并确认代码未更改。

Surface Hub 在 Windows 应用程序控制(以前称为 Device Guard)中使用一种称为用户模式代码完整性 (UMCI) 的代码签名功能。 我们将策略设置配置为仅允许使用符合以下任一要求的应用:

  • 得到官方认证的通用 Windows 平台 (Microsoft Store) 应用。
  • 使用唯一的 Microsoft 生产根证书颁发机构 (CA) 签署的应用,只有具有这些证书的授权访问权限的 Microsoft 员工才能对其进行签名。
  • 使用唯一的 Surface Hub 生产根 CA 签署的应用。

配置文件是使用 Microsoft 生产根 CA 签署的,旨在防止第三方删除或修改限制。 此时,所有其他可执行文件直接在操作系统运行时级别被阻止,并且无法获得处理能力。 这种攻击面的减少可提供以下保护:

  • 无旧版文档模式
  • 无旧版脚本引擎
  • 无矢量标记语言
  • 无浏览器帮助程序对象
  • 无 ActiveX 控件

除了通过 UMCI 阻止未签名或签名不当的代码之外,Surface Hub 还使用 Windows 应用程序控制功能来阻止 Windows 组件,如命令提示符、PowerShell 和任务管理器。 这些安全措施反映了 Surface Hub 作为安全计算设备的一个关键设计特性。 有关详细信息,请参阅以下内容:

用户界面防御

虽然启动时间防御和操作系统锁定保护机制提供了基础的安全性,但用户界面又提供了一个额外的保护层,旨在进一步降低风险。 为了防止恶意代码通过驱动程序到达设备,Surface Hub 不下载用于即插即用 (PnP) 设备的高级驱动程序。 使用基本驱动程序的设备(例如 USB 闪存驱动器或经认证的 Surface Hub 外围设备 (扬声器、麦克风、相机) )按预期工作,但高级系统(如打印机)将无法正常工作。

用户界面防御还简化了 UI,可进一步阻止恶意软件或代码的执行。 以下 Surface Hub UI 元素对代码签名提供的核心安全性进行了分层:

  • 文件资源管理器。 Surface Hub 有一个自定义的文件资源管理器,可快速访问“音乐”、“视频”、“文档”、“图片”和“下载”文件夹,无需向用户呈现系统或程序文件。 本地硬盘上的其他位置无法通过文件资源管理器访问。 此外,许多运行的文件类型(例如 .exe 和 .msi 安装文件)无法运行,从而为潜在的恶意可执行文件提供了另一层安全保护。

  • “开始”和“所有应用”。 Surface Hub 的“开始”和“所有应用”组件不提供对命令提示符、PowerShell 或其他通过应用程序控制阻止的 Windows 组件的访问。 此外,在 Surface Hub 上,通常从电脑上的搜索框访问的 Windows 运行功能将处于关闭状态。

Surface Hub 2S 中的安全增强功能

尽管 Surface Hub 和 Surface Hub 2S 都运行相同的操作系统软件,但 Surface Hub 2S 特有的某些功能提供了额外的管理和安全功能,使 IT 管理员能够执行以下任务:

  • 使用 SEMM 管理 UEFI 设置
  • 使用可启动的 USB 恢复 Hub
  • 通过密码轮换强化设备帐户

使用 SEMM 管理 UEFI 设置

UEFI 是基础硬件平台部件和操作系统之间的接口。 在 Surface Hub 上,自定义 UEFI 的实现使你可以精细控制这些设置,并阻止任何非 Microsoft 实体更改设备的 UEFI 设置 — 或启动到可移动驱动器以修改或更改操作系统。

在较高级别上,我们在出厂预配过程中将 Surface Hub UEFI 预配置为启用安全启动,并将其设置为仅从内部固态硬盘 (SSD) 启动,同时锁定对 UEFI 菜单的访问并删除快捷方式。 这将封装 UEFI 访问,并确保设备只能启动到安装在 Surface Hub 上的 Windows 协同版操作系统。

通过 Microsoft Surface 企业管理模式 (SEMM) 进行管理时,IT 管理员可在整个组织内的 Hub 设备上部署 UEFI 设置。 这包括以下功能:启用或禁用内置硬件组件、防止未经授权的用户更改 UEFI 设置,以及调整启动设置。

Surface Hub UEFI 设置。

管理员可以使用可下载的 Microsoft Surface UEFI 配置器来实现 SEMM 和注册 Surface Hub 2 设备。 有关详细信息,请参阅 使用 SEMM 保护和管理 Surface Hub

使用可启动的 USB 恢复 Hub

Surface Hub 2S 允许管理员使用恢复映像在 20 分钟内将设备重新安装到出厂设置。 通常,只有在 Surface Hub 无法再正常工作时,才需要执行此操作。 此外,如果丢失了 Bitlocker 密钥或不再拥有“设置”应用的管理员凭据,则恢复操作也将很有用。

通过密码轮换强化设备帐户

Surface Hub 使用设备帐户(也称为“会议室帐户”)对 Exchange、Microsoft Teams 和其他服务进行身份验证。 启用密码轮换时,Hub 2S 每七天自动生成一个新密码,由 15-32 个字符组成,包含大写字母和小写字母、数字和特殊字符的组合。 由于没有人知道密码,因此设备帐户密码轮换可有效缓解人为错误和潜在社会工程安全攻击的相关风险。

企业级安全性

除了本文中所提及的 Surface Hub 所特有的配置和功能之外,Surface Hub 还使用标准 Windows 安全功能。 这些地方包括:

  • BitLocker。 Surface Hub SSD 配有 BitLocker,以保护设备上的数据。 其配置符合行业标准。 有关详细信息,请参阅 BitLocker 概述
  • Windows Defender。 Windows Defender 反恶意软件引擎在 Surface Hub 上持续运行,可自动修复在 Surface Hub 上发现的威胁。 Windows Defender 引擎将自动接收更新,且可通过面向 IT 管理员的远程管理工具进行管理。 Windows Defender 引擎是我们的深度防御方法的一个完美示例:如果恶意软件能够找到一种方法来绕过我们基于核心代码签名的安全解决方案,它将在此处被捕获。 有关详细信息,请参阅 Windows Defender 应用程序控制和对代码完整性的基于虚拟化的保护
  • 即插即用驱动程序。 为了防止恶意代码通过驱动程序到达设备,Surface Hub 不下载用于 PnP 设备的高级驱动程序。 因此,U 盘等利用基本驱动程序的设备可按预期工作,但打印机等高级系统则会被阻止。
  • 受信任的平台模块 2.0。 Surface Hub 有一个行业标准的离散受信任平台模块 (dTPM),可生成和存储加密密钥和哈希代码。 dTPM 可保护用于启动阶段验证的密钥、BitLocker 主密钥、无密码登录密钥等。 dTPM 满足 FIPS 140-2 级别 2 认证(美国政府计算机安全标准)条件,且符合全球范围使用的通用标准认证条件。

Surface Hub 的无线安全性

Surface Hub 采用了 Wi-Fi Direct/Miracast 技术以及关联的 802.11、Wi-Fi 保护访问 2 (WPA2) 和无线保护设置 (WPS) 标准。 由于本设备仅支持 WPS(与 WPA2 预共享密钥 (PSK) 或 WPA2 企业相反),因此,问题通常与 802.11 密钥的设计进行过简化有关。

Surface Hub 与 Miracast 接收器领域一起运行。 因此,它容易受到与所有基于 WPS 的无线网络设备类似的攻击。 但 WPS 的 Surface Hub 实现内置了额外的预防措施。 此外,其内部体系结构有助于防止入侵 Wi-Fi Direct/Miracast 层的攻击者通过网络接口移动到其他攻击面和连接的企业网络。

Miracast 是 WLAN 显示标准的一部分,本身受 WLAN Direct 协议的支持。 这些标准受用于屏幕共享和协作的现代移动设备的支持。 Wi-Fi Direct 或 Wi-Fi 对等 (P2P) 是 Wi-Fi 联盟针对“临时”网络发布的标准。 此标准允许受支持的设备直接通信和创建网络组,无需传统的 WLAN 接入点或 Internet 连接。

WLAN Direct 的安全性由 WPA2 使用 WPS 标准提供。 设备的身份验证机制包括数字 PIN 码、物理或虚拟“推送”按钮以及使用近场通信的带外消息。 Surface Hub 支持“推送”按钮(默认方式)和 PIN 方法。

Surface Hub 如何解决 Wi-Fi 直接漏洞

Wi-Fi 直接邀请、广播和发现过程中的漏洞和攻击: Wi-Fi 直接/Miracast 攻击可能针对组建立、对等发现、设备广播或邀请流程中的弱点。

Wi-Fi 直接漏洞 Surface Hub 缓解
发现过程可能会长时间保持活动状态,这可能允许在未经设备所有者批准的情况下建立邀请和连接。 Surface Hub 仅作为组所有者运行,不执行客户端发现或 GO 协商过程。 可以完全禁用无线投影以关闭广播。
通过PBC的邀请和发现允许未经身份验证的攻击者执行重复的连接尝试,或者自动接受未经身份验证的连接。 通过要求 WPS PIN 安全性,管理员可以降低出现此类未经授权的连接或“邀请炸弹”的可能性,其中会反复发送邀请,直到用户错误地接受邀请。

Wi-Fi 保护设置 (WPS) 按钮连接 () 与 PIN 输入: WPS-PIN 方法设计和实现中已经展示了公共弱点。 WPS-PBC 还存在其他漏洞,这些漏洞可能允许对设计为一次性使用的协议进行主动攻击。

Wi-Fi 直接漏洞 Surface Hub 缓解
WPS-PBC 易受主动攻击者的攻击。 WPS 规范指出: “在PBC方法中,其值为零位,并且只防止被动窃听攻击。将防范窃听攻击,并采取措施防止设备加入设备所有者未选择的网络。但是,缺少身份验证意味着PBC无法防范主动攻击。 攻击者可以使用选择性无线干扰或其他拒绝服务技术触发意外 Wi-Fi Direct GO 或连接。 此外,仅具有物理接近性的活动攻击者可以反复拆毁任何 Wi-Fi Direct 组并尝试攻击,直到成功。 在 Surface Hub 配置中启用 WPS-PIN 安全性。 Wi-Fi WPS 规范指出:“仅当没有支持 PIN 的注册机构可用且 WLAN 用户愿意接受与PBC相关的风险时,才应使用PBC方法。
WPS-PIN 实现可能会受到针对 WPS 标准中漏洞的暴力攻击。 在过去几年中,拆分 PIN 验证的设计导致一系列 Wi-Fi 硬件制造商出现多个实现漏洞。 2011年,研究人员Sttefan Viehböck和克雷格·赫夫纳发布了有关这种漏洞的信息和工具,如“Reaver”作为概念证明。 Surface Hub 中 WPS 的 Microsoft 实现每 30 秒更改一次 PIN。 若要破解 PIN,攻击者必须在 30 秒内完成整个攻击。 鉴于此领域的工具和研究的当前状态,通过 WPS 的暴力破解 PIN 破解攻击不太可能成功。
由于初始键 (E-S1、E-S2) 弱,因此脱机攻击可能会破解 WPS-PIN。 2014年,多米尼克·邦加德描述了一次“Pixie Dust”攻击,其中伪随机数字生成器的初始随机性差, (PRNG) 在无线设备中允许离线暴力攻击。 Surface Hub 中的 WPS 的 Microsoft 实现不会受到这种脱机 PIN 暴力攻击的影响。 WPS-PIN 针对每个连接进行了随机化。

网络服务意外暴露: 由于配置错误,例如绑定到“all”/0.0.0.0 接口 () ,可能会意外公开用于以太网或 WLAN 服务的网络守护程序。 其他可能的原因包括设备防火墙配置不当或缺少防火墙规则。

Wi-Fi 直接漏洞 Surface Hub 缓解
错误配置会将漏洞或未经身份验证的网络服务绑定到“所有”接口,包括 WLAN Direct 接口。 这可能会公开不应被 Wi-Fi Direct 客户端访问的服务,这些客户端可能弱或自动进行身份验证。 在 Surface Hub 中,默认防火墙规则仅允许所需的 TCP 和 UDP 网络端口,并且默认情况下会拒绝所有入站连接。 通过启用 WPS-PIN 模式配置强身份验证。

桥接 Wi-Fi Direct 和其他有线或无线网络: WLAN 或以太网网络之间的网络桥接违反了 Wi-Fi Direct 规范。 此类网桥或错误配置可能会有效地降低或删除内部公司网络的无线访问控制。

Wi-Fi 直接漏洞 Surface Hub 缓解
WLAN Direct 设备可允许对桥接的网络连接进行未经身份验证或经过不当身份验证的访问。 这可能允许 Wi-Fi 定向网络将流量路由到内部以太网 LAN 或其他基础结构,或者违反现有 IT 安全协议的企业 WLAN 网络。 无法将 Surface Hub 配置为桥接无线接口,也无法允许在不同的网络之间进行路由。 默认防火墙规则为任何此类路由或桥路连接添加深度防护。

Wi-Fi 直接“旧版”模式的使用: 在“旧版”模式下操作时,可能会接触到意外的网络或设备。 如果未启用 WPS-PIN,则可能会发生设备欺骗或非预期连接。

Wi-Fi 直接漏洞 Surface Hub 缓解
系统通过支持 WLAN Direct 和 802.11 基础结构客户端,以“旧”支持模式运行。 这可能会无限期地公开连接设置阶段,从而允许加入组或邀请设备在预期设置阶段终止后正常连接。 Surface Hub 不支持 Wi-Fi Direct 旧版客户端。 即使启用 WPS-PIN 模式,也只能对 Surface Hub 进行 WLAN Direct 连接。

在连接设置过程中Wi-Fi Direct GO 协商:Wi-Fi Direct 中的组所有者类似于传统 802.11 无线网络中的“接入点”。 协商可能会受恶意设备操纵。

Wi-Fi 直接漏洞 Surface Hub 缓解
如果组是动态建立的,或者 Wi-Fi Direct 设备可以加入新组,则组所有者协商可由始终将组所有者的最大“意向”值指定为 15 的恶意设备赢得。 (但如果设备配置为始终是组所有者,连接将失败。) Surface Hub 利用 Wi-Fi 直接“自治模式”,它跳过连接设置的 GO 协商阶段。 Surface Hub 始终是组所有者。

意外或恶意 Wi-Fi 取消身份验证: Wi-Fi 取消身份验证是一种旧攻击,其中本地攻击者可以加速连接设置过程中的信息泄漏,触发新的四向握手,针对 Wi-Fi Direct WPS-PBC 进行主动攻击,或创建拒绝服务攻击。

Wi-Fi 直接漏洞 Surface Hub 缓解
未经身份验证的攻击者可以发送身份验证数据包,使工作站重新进行身份验证,然后嗅探生成的握手。 可能会尝试对生成的握手进行加密或暴力攻击。 这些攻击的缓解措施包括强制实施预共享密钥的长度和复杂性策略、配置接入点 ((如果适用)) 以检测恶意级别的取消身份验证数据包,以及使用 WPS 自动生成强密钥。 在PBC模式下,用户与物理或虚拟按钮交互以允许任意设备关联。 此过程应仅在设置时(在短时间内)发生。 自动“推送”按钮后,设备将接受任何通过规范 PIN 值 (所有零) 关联的工作站。 解除身份验证可以强制进行重复设置过程。 Surface Hub 在 PIN 或PBC 模式下使用 WPS。 不允许使用 PSK 配置。 此方法有助于强制生成强密钥。 最好为 Surface Hub 启用 WPS-PIN 安全性。
除了拒绝服务攻击,取消身份验证数据包还可用于触发重新连接,重新打开针对 WPS-XX 的活动攻击的机会窗口。 在 Surface Hub 配置中启用 WPS-PIN 安全性。

基本无线信息泄露: 无线网络(802.11 或其他)本身就存在信息泄露的风险。 尽管此信息主要是连接或设备元数据,但此问题对于任何 802.11 网络管理员来说仍然是一个已知风险。 通过 WPS-PIN 对设备进行身份验证的 WLAN Direct 有效显示了与 PSK 或企业 802.11 网络相同的信息。

Wi-Fi 直接漏洞 Surface Hub 缓解
在广播、连接设置甚至已加密连接的正常操作期间,将无线传输有关设备和数据包大小的基本信息。 在基本级别,无线范围内的本地攻击者可以检查相关的 802.11 信息元素,以确定无线设备的名称、通信设备的 MAC 地址,以及可能的其他详细信息,例如无线堆栈的版本、数据包大小或配置的接入点或组所有者选项。 与 802.11 企业版或 PSK 无线网络一样,无法进一步保护 Surface Hub 使用的 Wi-Fi Direct 网络免受元数据泄漏的防护。 物理安全性和消除来自无线邻近的潜在威胁有助于减少潜在的信息泄漏。

无线邪恶孪生体或欺骗攻击: 欺骗无线名称是一种简单的已知攻击,本地攻击者可以用来引诱不知情或错误的用户进行连接。

Wi-Fi 直接漏洞 Surface Hub 缓解
通过欺骗或克隆目标网络的无线名称或“SSID”,攻击者可能会诱使用户连接到虚假的恶意网络。 通过支持未经身份验证的自动加入 Miracast,攻击者可以捕获预期的显示材料或在连接设备上发起网络攻击。 虽然没有针对加入欺骗的 Surface Hub 的具体保护,但此漏洞可通过两种方式部分缓解。 首先,任何潜在攻击必须在物理上位于 WLAN 范围内。 其次,此攻击仅在第一次连接期间发生。 后续连接使用永久 Wi-Fi Direct 组,Windows 将在将来使用中心期间记住并优先处理之前的连接。 (注意:本报告未同时考虑欺骗 MAC 地址、Wi-Fi 通道和 SSID,并可能导致 Wi-Fi 行为不一致。) 总体而言,对于任何缺少企业 WPA2 协议(如 EAP-TLS 或 EAP-PWD)的 802.11 无线网络来说,此弱点是根本问题,Wi-Fi Direct 不支持。

Surface Hub 强化指南

Surface Hub 是专为促进协作和允许用户快速高效地开始和加入会议而设计。 Surface Hub 的默认 Wi-Fi Direct 设置已针对此方案进行优化。

为了提高无线接口安全性,Surface Hub 用户应启用 WPS-PIN 安全设置。 此设置禁用 WPS-PBC 模式并提供客户端身份验证。 它通过防止未经授权的连接到 Surface Hub 来提供最强的保护级别。

如果仍担心 Surface Hub 的身份验证和授权,建议将设备连接到单独的网络。 可以使用 Wi-Fi (,例如“来宾”Wi-Fi 网络) 或单独的以太网网络,最好是完全不同的物理网络。 但 VLAN 还可以提供附加的安全性。 当然,此方法可能会排除与内部网络资源或服务的连接,并且可能需要其他网络配置才能重新获得访问权限。

此外,还建议:

了解详细信息