Nincs és soha nem is lesz száz százalékos védettség, legyen szó egy ingatlanról, egy járműről vagy akár egy szoftveres környezetről. Azonban törekedni lehet a minél nagyobb védelemre, különösen akkor, ha még az alapvető, józan paraszti ésszel belátható feladatokat sem veszik komolyan a felhasználók.

Korlátoz a virtualizáció

Ezen kíván segíteni a Microsoft új iránymutatása, melyet Windows 10 felhasználók számára készített a redmondi cég. A standardgyűjtemény alkalmazásával az általános célú asztali gépek, laptopok, tabletek, kettő az egyben eszközök, mobil munkaállomások biztonságossága tehető jobbá. Különösen azoké, melyek már a Windows 10 1709-es változatát futtatják, azaz megkapták a nagy őszi frissítést (Fall Creators Update).

A vállalati biztonsági funkciók akkor válnak igazán hatékonnyá, ha megfelelnek a most kiadott útmutatóban foglaltaknak, ösztönzi a felhasználókat a Microsoft a standardok alkalmazásba vételére. Ahhoz azonban, hogy a lehető legjobb védelmet lehessen elérni, az alkalmazott rendszerekben a legújabb, a Windows 10 legfrissebb változatához minősített processzoroknak kell dolgoznia, hívta fel a figyelmet a redmondi szoftvergigász. A lista tartalmazza a hetedik generációs Intel Core processzorokat és Xeon lapkákat, illetve az Intel Atom, Celeron és Pentium CPU-kat.

A felsorolás kiadása azonban egy igen érdekes helyzetet eredményezett. A Microsoft ugyanis így nyíltan beismerte, hogy saját, alig két éve bemutatkozott Surface Pro 4 eszköze nem felel meg a vállalat által bemutatott standardoknak, hiszen abban még egy hatodik generációs Core processzor dolgozik.

Ráadásul nem csupán a Surface Pro 4 nem tesz eleget a Windows 10-et futtató készülékek közül a frissen bemutatott útmutató ajánlásának. Eszerint legalább 8 GB RAM-ra, 64 bites processzorra és a Trusted Platform Module (TPM) jelenlétére van szükség ahhoz, hogy biztonságosnak minősíttessen az adott eszköz. Ekkor ugyanis a Windows kihasználhatja a virtualizációalapú biztonsági szolgáltatás kínálta előnyöket. A virtualizáció Windows hypervisort használ, ami viszont kizárólag 64 bites környezetben működik.

Fejlett funkciók nélkül nem megy

Mi kell még ahhoz, hogy az adott számítógép megkaphassa a „highly secure” minősítést? Ehhez a Microsoft megköveteli az úgynevezett boot verificationt, vagyis annak az eljárásnak a használatát, mellyel megakadályozható, hogy az eszköz nem a kifejezetten rá tervezett firmware-t is betölthesse. Ha ugyanis erre lehetősége van, akkor egy módosított firmware-rel már azelőtt átvehető az ellenőrzés a számítógép felett, mielőtt annak esélye lenne bármilyen védelmi megoldást – például antivírus szoftvert – futtatni.

A fentieken túl elengedhetetlen feltétele a minősítés megszerzésének az Intel VT-d, az AMD-Vi vagy az ARM64 SMMU támogatása. Ezzel kihasználhatók az Input-Output Memory Management Unit (IOMMU) eszközvirtualizációban levő előnyök. A Second Layer Address Translation (SLAT) használatához pedig a processzoroknak támogatniuk kell az Intel Vt-x Extended Page Tables (EPT) vagy AMD-v Rapid Virtualisation Indexing (RVI) technológiákat.

Így már érthető, miért nem elegendő egy hatodik generációs Core processzor ahhoz, hogy mindenben megfeleljen az eszköz a Microsoft ajánlásainak.

Hasonló védelem a Google adatközpontjaiban

Nem a Microsoft az egyetlen, amely ilyen ajánlásokkal igyekszik fokozni a biztonsági szintet. A Google például saját, Titan nevű chipjét használja az általa üzemeltetett szerverek védelme érdekében. Ahogy a Microsoft esetében, úgy a Google kiszolgálóinál is hitelesített boot firmware-re és boot loaderre van szükség, valamint digitálisan aláírt boot állományokra. A Google azonban túlmegy ezen; rendelkezik például az úgynevezett első utasítás sértetlenségének (first-instruction integrity) képességével. Ez utóbbi révén minden egyes gépen beazonosítható a rendszer felállása során elinduló legelső kód.

A bootolás folyamatát egyébként egy, ami a vállalat adatközpontjaiban különböző titkosítási feladatok megbízható alapjául is szolgáló végponti titkosításon alapuló azonosítási rendszer teszi még biztonságosabbá. A naplózás üzeneteinek titkosításával és hitelesítésével pedig garantálja, hogy a logok tartalma nem módosítható vagy törölhető utólag észrevétlenül – még azon belső emberek számára sem, akik root hozzáféréssel rendelkeznek az érintett géphez.

A Titan ökoszisztéma így a bootolás első pillanatától biztonságos, hitelesített és ellenőrzött kódokon alapuló infrastruktúrát nyújthat.