硬體支援的完整性和執行時間證明

文章
07/12/2023
適用於:

HoloLens 2

硬體支援的完整性和執行時間證明可防範在作業系統啟動時、在執行時間、裝置使用硬體和遠端證明服務時，在啟動時和整個執行時間期間源自的威脅。

UEFI 安全開機

HoloLens 2會強制執行統一可擴展韌體介面 (UEFI) 安全開機，而 UEFI 只會開機Windows Holographic for Business。安全開機可確保整個開機鏈結都已驗證完整性，而且 Windows 一律會以套用正確的安全性原則進行開機。深入瞭解安全開機。

TPM

信賴平臺模組 (TPM) 是端點裝置上的特製化晶片。 HoloLens 2會使用 TPM 2.0，以提供硬體強制執行的金鑰隔離。深入瞭解 TPM 基本概念。

持續性存取威脅防護

大部分網路攻擊的目標是要維護裝置的持續存取權。針對網路犯罪，維護此持續性可讓遭入侵的 Windows 裝置加入 BotNet、銷售裝置或其他惡意使用者的存取權，或啟用重複的資料竊取。在目標式攻擊的世界中，持續性對於成功的網路攻擊至關重要，無論是在裝置上還是 (更常見的) ，都是整個網路。

事實上，目標攻擊會被視為「進階持續性威脅」，因為其策略性需要維護目標裝置或網路的存取權。基於這個理由，Windows Holographic for Business考慮防禦絕對重要的持續性，並使用反持續性技術來實現客戶安全性承諾。

安全開機

HoloLens 2會在所有核心作業系統狀態上強制執行整合可擴展韌體介面 (UEFI) 安全開機。 UEFI 只會開機 Microsoft 信任的平臺，這可確保整個開機鏈經驗證的完整性，而且 Windows 一律會以套用正確的安全性原則進行開機。 HoloLens 2不會關閉安全開機，也不會允許協力廠商開機載入器。

提示

深入瞭解安全開機。

Windows 反持續性保證

HoloLens 2反持續性可保證其使用者即使在罕見的情況下，系統執行時間遭到入侵，例如遠端惡意探索，這類事件會藉由關閉裝置來降低從系統移除的所有惡意程式碼。為了進一步強化其反持續性，HoloLens 2已新增強大的完整性保護，並備妥唯讀保護。

除非使用者執行 PBR 重設 (PBR) 抹除所有可變動磁碟分割的裝置，否則仍可能以資料形式保存作業系統資料的持續性。雖然不可變分割區的持續性變得更困難，但使用者需要 PBR HoloLens 2，才能從可變元件中移除任何可能的威脅持續性。

程式碼完整性保護

程式碼完整性 (CI) 是新式作業系統的重要安全性屬性。強制執行 CI 可做出健全的安全性決策，因為它保證使用者和作業系統的程式碼證明是透明的。完整的程式碼完整性必須擴充過去的二進位映射簽署，並包含執行時間強制執行，例如控制流程完整性和動態程式碼限制。 CI 對於防止多個類別的攻擊非常重要，包括社交工程的惡意程式碼，例如勒索軟體、遠端程式碼執行惡意探索，以及各種其他攻擊類別。