Surface Hub 安全性概觀
Surface Hub 和 Surface Hub 2S 透過執行 Windows 10 團隊版 操作系統的自定義平臺韌體,提供類似鎖定的設備體驗。 產生的裝置會採用傳統的「單一使用」安全 kiosk,「只執行您需要的作業」原理,並提供新式的功能。 Surface Hub 是建置以支援豐富的共同作業使用者體驗,受到保護以防禦不斷演變的安全性威脅。
Surface Hub 內建在 Windows 10 上,提供企業級新式安全性,讓 IT 系統管理員能夠使用 BitLocker、信賴平台模組 2.0 (TPM) 強制執行資料保護,以及使用 Windows Defender (也稱為 Microsoft Defender) 的雲端技術安全性。
提示
針對 Surface Hub 3,請參閱 Surface Hub 3 安全性最佳做法
深層防禦安全性
當 Surface Hub 開啟時,就會立即開始安全性通訊協定。 從韌體層級開始,Surface Hub 只會載入作業系統及其元件,以回應多重安全性檢查。 Surface Hub 採用深度防禦策略,其涉及分層獨立防禦子元件,以在發生部分失敗時保護整個系統。 此產業做法已證明非常有效,可減輕子元件中潛在的惡意探索和弱點。
Microsoft 會靜態且安全地設定新式整合可延伸韌體介面 (UEFI),只從內部儲存體啟動經過驗證的 Windows 10 團隊版作業系統。 在 Surface Hub 上執行的每一行程式代碼都會在執行之前驗證其簽章。 只有由 Microsoft 所簽署的應用程式 (屬於作業系統或是透過 Microsoft Store 安裝),才能在 Surface Hub 上執行。 無法符合這些需求的程式碼或應用程式會遭到封鎖。
Surface Hub 安全性系統包含下列項目:
- 開機時防護。 僅載入信任的 Surface Hub 作業系統元件。
- 作業系統防護。 防止執行非預期或惡意的軟體或程序代碼。
- 使用者介面防護。 提供對於使用者而言是安全的使用者介面,防止存取潛在有風險的活動,例如,從命令列執行可執行檔。
開機時防護
SoC 的安全處理器與其他核心不同。 當您第一次啟動 Surface Hub 時,安全性處理器會先啟動,再載入任何其他專案。
安全開機
「安全開機」是用來驗證開機程序的元件,包括驅動程式和作業系統,根據有效和已知的簽章進行驗證。 在 Surface Hub 上,必須先驗證平台特定簽章,然後才可以載入授權的 Windows 團隊版作業系統。 這可協助防止隱藏在正常使用者體驗中,來自執行惡意程式碼的複製或修改過系統的攻擊。 如需詳細資訊,請參閱安全開機概觀。
作業系統防護
當作業系統驗證為來自 Microsoft 且 Surface Hub 順利完成開機程序之後,裝置會仔細檢查可執行檔程式碼。 我們保護作業系統的方法涉及識別所有可執行檔的程式碼簽章,只允許將通過限制的程式碼載入執行階段。 此程式代碼簽署方法可讓操作系統驗證作者,並確認程式代碼在裝置上執行之前未變更。
Surface Hub 在 Windows 應用程式控制 (先前稱為 Device Guard) 中,使用稱為使用者模式程式碼完整性 (UMCI) 的程式碼簽章功能。 原則設定是設定為僅允許符合下列其中一個需求的應用程式:
- 官方認證的通用 Windows 平台 (Microsoft Store) 應用程式。
- 使用唯一 Microsoft 生產環境根授權單位 (CA) 簽署的應用程式,只能由具有這些憑證存取權的 Microsoft 員工簽署。
- 以唯一 Surface Hub 生產環境根 CA 來簽署的應用程式。
設定檔是使用 Microsoft 生產環境根 CA 簽署,旨在避免由第三方移除或修改限制。 此時所有其他可執行檔都會在作業系統執行階段層級遭到封鎖,並防止存取處理能力。 此攻擊面降低可提供下列保護:
- 沒有舊版文件模式
- 沒有舊版指令碼引擎
- 沒有向量標記語言
- 沒有瀏覽器協助程式物件
- 沒有 ActiveX 控制項
除了透過 UMCI 封鎖未簽署或未正確簽署的程式碼以外,Surface Hub 還會使用 Windows 應用程式控制封鎖 Windows 元件,例如命令提示字元、PowerShell 和工作管理員。 這些保護措施會以安全計算設備的方式反映 Surface Hub 的重要設計功能。 如需詳細資訊,請參閱下列各項:
使用者介面防護
雖然開機時防護和作業系統鎖定保護措施會提供基礎安全性,但使用者介面提供額外層,可進一步降低風險。 為了防止惡意程式碼透過驅動程式到達裝置,Surface Hub 不會下載隨插即用 (PnP) 裝置的進階驅動程式。 利用基本驅動程式的裝置,例如USB快閃磁碟驅動器或經認證的Surface Hub介面設備, (喇叭、麥克風、相機) 如預期般運作,但印表機等進階系統將無法運作。
使用者介面防護也可簡化 UI,進一步防止執行惡意軟體或程式碼。 下列 Surface Hub UI 元素加上由程式碼簽署所提供的一層核心安全性:
檔案總管。 Surface Hub 具有自訂「檔案總管」,可以快速存取 [音樂]、[影片]、[文件]、[圖片] 及 [下載] 資料夾,不需要將使用者公開至系統或應用程式檔案。 本機硬碟上的其他位置無法透過「檔案總管」取得。 此外,許多執行的檔類型,例如 .exe 和 .msi 安裝檔案,都無法執行,為潛在的惡意可執行檔提供另一層安全性。
[開始] 和 [所有應用程式]。 Surface Hub 的 [開始] 和 [所有應用程式] 元件不會將存取權公開至透過應用程式控制封鎖的命令提示字元、PowerShell,或其他 Windows 元件。 此外,通常可以在電腦上從 [搜尋] 方塊存取的 Windows 執行功能,針對 Surface Hub 關閉。
Surface Hub 2S 的安全性增強功能
雖然 Surface Hub 和 Surface Hub 2S 都執行相同的作業系統軟體,但 Surface Hub 2S 特有的某些功能提供額外的管理和安全性功能,讓 IT 系統管理員能夠執行下列工作:
- 使用 SEMM 管理 UEFI 設定
- 使用可開機 USB 復原 Hub
- 使用密碼變換管理裝置帳戶
使用 SEMM 管理 UEFI 設定
UEFI 是基本硬體平台元件與作業系統之間的介面。 在 Surface Hub 上,自訂 UEFI 實作可讓您以精細的方式控制這些設定,並防止任何非 Microsoft 實體變更裝置的 UEFI 設定,或開機至抽取式磁碟磁碟機來修改或變更作業系統。
更高階的在工廠佈建程序期間,Surface Hub UEFI 已預先設定為啟用「安全開機」,已設定為僅從內部固態硬碟 (SSD) 開機,並且將 UEFI 功能表鎖定和快速鍵的存取權移除。 這樣可密封 UEFI 存取權,並確保裝置只能開機至安裝在 Surface Hub 上的 Windows 團隊版作業系統。
當透過 Microsoft Surface 企業管理模式 (SEMM) 進行管理時,IT 系統管理員可以在組織間的 Hub 裝置上部署 UEFI 設定。 這包括啟用或停用內建硬體元件、保護 UEFI 設定不受未經授權使用者變更,以及調整開機設定。
系統管理員可以使用可下載的 Microsoft Surface UEFI 設定程式 來實作 SEMM 和註冊的 Surface Hub 2S 裝置。 如需詳細資訊,請參閱 使用 SEMM 保護和管理 Surface Hub。
使用可開機 USB 復原 Hub
Surface Hub 2S 可讓系統管理員在不到 20 分鐘的時間內,使用復原映像將裝置重新安裝到原廠設定。 通常,只有在您的 Surface Hub 無法運作時,才需要這麼做。 如果您遺失 Bitlocker 金鑰或不再擁有 [設定] 應用程式的系統管理員認證,復原也相當實用。
使用密碼變換管理裝置帳戶
Surface Hub 會使用裝置帳戶,也稱為「會議室帳戶」,向 Exchange、Microsoft Teams 和其他服務進行驗證。 當您啟用密碼輪替時,中樞 2S 每七天會自動產生新的密碼,其中包含 15-32 個字元,以及大寫和小寫字母、數位和特殊字元的組合。 因為沒有人知道密碼,所以裝置帳戶密碼輪替可有效降低人為錯誤和潛在社交工程安全性攻擊的相關風險。
企業級安全性
除了本文件中所述的 Surface Hub 特定設定和功能,Surface Hub 還使用 Windows 標準安全性功能。 這些地方包括:
- BitLocker。 Surface Hub SSD 配備 BitLocker 來保護裝置上的資料。 其設定遵循業界標準。 如需詳細資訊,請參閱 BitLocker 概觀。
- Windows Defender。 Windows Defender 反惡意程式碼引擎會持續在 Surface Hub 上執行,並可自動補救在 Surface Hub 上發現的威脅。 Windows Defender 引擎會自動接收更新,而且可透過 IT 系統管理員的遠端管理工具加以管理。 Windows Defender 引擎是我們深入防禦方法的最佳範例:如果惡意程式碼可以在我們的核心程式碼告示型安全性解決方案找到方向,就會在該處被捕捉。 如需詳細資訊,請參閱 Windows Defender 應用程式控制和虛擬式程式碼完整性保護。
- 隨插即用驅動程式。 為了防止惡意程式碼透過驅動程式到達裝置,Surface Hub 不會下載 PnP 裝置的進階驅動程式。 這可讓運用基本驅動程式 (例如 USB 快閃磁碟機) 的裝置能夠正常運作,並封鎖更多進階系統 (例如印表機)。
- 信賴平台模組 2.0。 Surface Hub 擁有業界標準的離散信賴平台模組 (dTPM),可產生和儲存密碼編譯金鑰和雜湊。 dTPM 可保護用於開機階段驗證的金鑰、BitLocker 主要金鑰、無密碼登入金鑰等等。 dTPM 符合 FIPS 140-2 層級 2 憑證、美國政府電腦安全性性標準,且符合全世界使用通用準則憑證的規範。
Surface Hub 的無線安全性
Surface Hub 使用 Wi-Fi Direct / Miracast 技術,並與 802.11、Wi-Fi 保護的存取 (WPA2) 以及無線保護設定 (WPS) 標準相關。 由於裝置僅支援 WPS (與 WPA2 預先共用金鑰 (PSK) 或 WPA2 Enterprise 相反),通常與 802.11 加密相關的問題也因而被簡化。
Surface Hub 的運作方式與 Miracast 接收器的 欄位相等。 因此,它很容易受到與所有 WPS 型無線網路裝置類似的一組惡意探索。 但 WPS 的 Surface Hub 實作內建了額外的預防措施。 此外,其內部架構可協助防止入侵 Wi-Fi 直接/Miracast 層的攻擊者移過網路介面到其他受攻擊面和連線的企業網路。
Miracast 屬於 Wi-Fi 顯示標準的一部分,受到 Wi-Fi Direct 通訊協定的支援。 現代行動裝置的畫面分享以及共同作業功能支援這些標準。 Wi-Fi Direct 或 Wi-Fi「對等式網路」(P2P) 是由 Wi-Fi 聯盟為「臨機操作」網路所發佈的標準。 可以讓受支援的裝置直接通訊,並在不需要傳統 Wi-Fi 存取點或網際網路連線的情況下建立網路的群組。
Wi-Fi Direct 的安全性是 WPA2 使用 WPS 標準所提供。 裝置可以使用數字辨識碼、實體或虛擬按鈕,或使用近距離無線通訊的超出範圍訊息,進行驗證。 Surface Hub 預設支援按鈕和 PIN 方法。
Surface Hub 如何解決直接 Wi-Fi 弱點
Wi-Fi 直接邀請、廣播和探索程式中的弱點和攻擊: Wi-Fi 直接/Miracast 攻擊可能會以群組建立、對等探索、裝置廣播或邀請程式中的弱點為目標。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 探索程式可能會長時間保持作用中,這可讓您在未經裝置擁有者核准的情況下建立邀請和連線。 | Surface Hub 只會以群組擁有者身分運作,不會執行用戶端探索或 GO 交涉程式。 您可以完全停用無線投影以關閉廣播。 |
| 透過 PBC 的邀請和探索可讓未經驗證的攻擊者執行重複的連線嘗試,或自動接受未經驗證的連線。 | 透過要求 WPS PIN 安全性,系統管理員可以降低這類未經授權連線或「邀請邀請」的可能性,其中會重複傳送邀請,直到使用者誤接受邀請為止。 |
Wi-Fi 受保護的安裝程式 (WPS) 按鈕 (PBC) 與 PIN 專案連線: WPS-PIN 方法設計和實作中已示範公用弱點。 WPS-PBC 有其他弱點,可能會允許針對專為一次性使用而設計的通訊協議進行主動式攻擊。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| WPS-PBC 很容易受到主動式攻擊。 WPS 規格指出 :「PBC 方法有零位的熵,而且只會防止被動竊聽攻擊。PBC 可防範竊聽攻擊,並採取措施防止裝置加入裝置擁有者未選取的網路。不過,缺少驗證表示 PBC 無法防範主動式攻擊。」 攻擊者可以使用選擇性無線干擾或其他拒絕服務技術來觸發非預期的 Wi-Fi 直接 GO 或連線。 此外,只有實體鄰近性的主動式攻擊者可以重複終止任何 Wi-Fi 直接群組,並嘗試攻擊直到成功為止。 | 在 Surface Hub 設定中啟用 WPS-PIN 安全性。 Wi-Fi WPS 規格指出:「只有在沒有支援 PIN 的註冊機構,且 WLAN 用戶願意接受與 PBC 相關聯的風險時,才應該使用 PBC 方法。」 |
| WPS-PIN 實作可能會受到以WPS標準中的弱點為目標的暴力密碼破解攻擊。 分割 PIN 驗證的設計導致數年跨各種 Wi-Fi 硬體製造商的多個實作弱點。 在 2011 年,研究人員易於 Viehböck 和然後將此弱點的相關信息和「重新保護」等工具發佈為概念證明。 | Microsoft 在 Surface Hub 中的 WPS 實作會每隔 30 秒變更 PIN。 若要破解 PIN,攻擊者必須在 30 秒內完成整個惡意探索。 基於此領域的工具和研究的目前狀態,透過 WPS 的暴力密碼破解 PIN 破解攻擊不太可能成功。 |
| 由於 E-S1、E-S2) 熵的初始密鑰 (弱,因此 WPS-PIN 可能會受到離線攻擊。 在 2014 年,Dominique Bongard 描述了「Pixie Dust」攻擊,其中虛擬數位產生器的初始隨機性不佳, (無線裝置中的 PRNG) 允許離線暴力密碼破解攻擊。 | Microsoft 在 Surface Hub 中實作 WPS 不會受到此離線 PIN 暴力密碼破解攻擊。 每次連線都會隨機產生 WPS-PIN。 |
非預期的網路服務曝光: 適用於乙太網路或 WLAN 服務的網路精靈可能會因為 (設定錯誤而意外公開,例如系結至 「all」/0.0.0.0 介面) 。 其他可能的原因包括設定不良的裝置防火牆或缺少防火牆規則。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 錯誤設定會將安全性漏洞或未經驗證的網路服務聯繫到「所有」的介面,其中也包括 Wi-Fi Direct 介面。 這可能會公開不應可供 Wi-Fi 直接用戶端存取的服務,這些用戶端可能會弱式或自動驗證。 | 在 Surface Hub 中,預設防火牆規則只允許必要的 TCP 和 UDP 網路埠,而且預設會拒絕所有輸入連線。 啟用WPS-PIN 模式來設定強身份驗證。 |
橋接 Wi-Fi Direct 和其他有線或無線網路: WLAN 或乙太網路之間的網路橋接違反「Wi-Fi 直接」規格。 這類網橋或設定錯誤可能會有效地降低或移除內部公司網路的無線訪問控制。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| Wi-Fi Direct 裝置可能會允許至橋接網路連線未經驗證或不良驗證的存取。 這可能會允許 Wi-Fi 直接網路將流量路由傳送至內部乙太網路或其他基礎結構,或是違反現有 IT 安全性通訊協定的企業 WLAN 網路。 | Surface Hub 無法設定為橋接無線介面或允許不同網路之間的路由。 預設韌體規則可有效加強防禦,避免這類路由或橋接連線。 |
使用 Wi-Fi 直接「舊版」模式: 當您以「舊版」模式運作時,可能會暴露於非預期的網路或裝置。 如果未啟用 WPS-PIN,可能會發生裝置詐騙或非預期的連線。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 藉由支援 Wi-Fi Direct 與 802.11 的基礎結構用戶端,系統會以「傳統」支援模式執行作業。 這可能會無限期公開連線設定階段,允許群組加入,或在預定的設定階段終止之後邀請裝置順利連線。 | Surface Hub 不支援 Wi-Fi Direct 舊版用戶端。 即便是啟用 WPS-PIN 模式,也只有 Wi-Fi Direct 可以連線到連接到 Surface Hub 。 |
Wi-Fi Direct 連線設定期間的 GO 交涉:Wi-Fi Direct 中的群組擁有者類似於傳統 802.11 無線網路中的「存取點」。 惡意的裝置可以操弄交涉過程。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 如果以動態方式建立群組,或可以建立 Wi-Fi Direct 裝置來加入新群組,惡意裝置可能會贏得群組擁有者交涉,該裝置一律會指定最大群組擁有者「意圖」值 15。 (但如果裝置設定為一律為群組擁有者,連線就會失敗。) | Surface Hub 會利用直接「自發模式」Wi-Fi,這會略過連線設定的GO交涉階段。 Surface Hub 一律是群組擁有者。 |
非預期或惡意的 Wi-Fi 取消驗證: Wi-Fi 取消驗證是一種舊的攻擊,在這種攻擊中,本機攻擊者可以加速連線設定程式中的資訊外洩、觸發新的四向交握、針對作用中攻擊 Wi-Fi 直接 WPS-PBC 為目標,或建立阻斷服務攻擊。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 未經驗證的攻擊者可以傳送取消驗證封包,讓月臺重新驗證,然後探查產生的交握。 在所引發的信號交換中就可以嘗試進行密碼編譯或暴力攻擊。 這些攻擊的風險降低包括強制執行預先共用密鑰的長度和複雜性原則、在適用時設定存取點 () 偵測惡意層級的取消驗證封包,以及使用WPS自動產生強式密鑰。 在 PBC 模式中,使用者會與實體或虛擬按鈕互動,以允許任意裝置關聯。 此程式應該只在設定時短時間內發生。 自動「推送」按鈕之後,裝置會接受透過標準 PIN 值關聯的任何月臺, (所有零) 。 解除認證可強制執行反覆的安裝程序。 | Surface Hub 會在 PIN 或 PBC 模式中使用 WPS。 不允許使用 PSK 設定。 這個方法有助於強制產生強式密鑰。 最好為 Surface Hub 啟用 WPS-PIN 安全性。 |
| 除了拒絕服務攻擊之外,還可使用取消驗證封包來觸發重新連線,以重新開啟針對WPS-PBC 進行主動攻擊的機會視窗。 | 在 Surface Hub 組態中啟用 WPS-PIN 安全性。 |
基本無線資訊洩漏: 無線網路 802.11 或其他版本原本就具有資訊洩漏的風險。 雖然這項資訊大多是連線或裝置元數據,但此問題仍是任何802.11網路管理員的已知風險。 透過 WPS-PIN 的 Wi-Fi Direct 裝置驗證,能有效揭露與 PSK 或企業 802.11 網路的相同資訊。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 在廣播、連線設定,或甚至是已加密連線的正常作業期間,裝置和封包大小的基本資訊會以無線方式傳輸。 在基本層級,位於無線範圍內的本機攻擊者可以檢查相關的 802.11 資訊元素,以判斷無線裝置的名稱、通訊設備的 MAC 位址,以及其他可能的詳細數據,例如無線堆疊的版本、封包大小,或已設定的存取點或群組擁有者選項。 | Surface Hub 使用的 Wi-Fi Direct 網路無法進一步受到保護,以避免元數據流失,就像 802.11 企業版或 PSK 無線網路一樣。 實體安全性和從無線鄰近性移除潛在威脅,有助於減少潛在的資訊外洩。 |
無線對應項或詐騙攻擊: 詐騙無線名稱是簡單的已知惡意探索,本機攻擊者可用來誘使不知情或錯誤的用戶連線。
| Wi-Fi 直接弱點 | Surface Hub 風險降低 |
|---|---|
| 藉由詐騙或複製目標網路的無線名稱或 「SSID」,攻擊者可能會誘使用戶連線到假的惡意網路。 藉由支援未經驗證的自動加入Miracast,攻擊者可以擷取預期的顯示材質,或在連線裝置上發動網路攻擊。 | 雖然沒有特定的保護可防止加入詐騙 Surface Hub,但此弱點有兩種方式可部分緩解。 首先,任何可能的攻擊必須要在實際的 Wi-Fi 範圍內。 其次,只有在第一次連線期間才可能發生此攻擊。 後續聯機會使用持續性 Wi-Fi Direct 群組,而 Windows 會記住此先前連線,並在未來的中樞使用期間設定優先順序。 (注意:此報表並未同時考慮詐騙 MAC 位址、Wi-Fi 通道和 SSID,而且可能會導致 Wi-Fi 行為不一致。) 整體而言,對於缺少 EAP-TLS 或 EAP-PWD 等企業 WPA2 通訊協定且 Wi-Fi Direct 不支援的 802.11 無線網路而言,此弱點是根本問題。 |
Surface Hub 強化指導方針
Surface Hub 可協助共同作業,並讓使用者快速並有效率地開始或加入會議。 Surface Hub 的預設 Wi-Fi 直接設定已針對此案例優化。
為了獲得額外的無線介面安全性,Surface Hub 使用者應該啟用WPS-PIN 安全性設定。 此設定會停用WPS-PBC模式,並提供客戶端驗證。 它可防止未經授權的 Surface Hub 連線,以提供最強大的保護層級。
如果您對於 Surface Hub 的驗證和授權仍有疑慮,建議您將裝置連線到個別的網路。 您可以使用 Wi-Fi (,例如「來賓」Wi-Fi 網路) 或個別的乙太網路,最好是完全不同的實體網路。 但 VLAN 也可以提供額外的安全性。 當然,這種方法可能會排除內部網路資源或服務的連線,而且可能需要額外的網路設定才能重新取得存取權。
其他建議︰
- 安裝一般系統更新
- 更新Miracast設定以停用自動呈現模式
深入了解
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應