PC inti aman adalah kelas komputer yang dirancang untuk menggagalkan serangan malware yang terus-menerus, terutama yang menargetkan kerentanan di luar perlindungan Hak kontrol Ring 0 seperti firmware perangkat lunak jahat. Hak istimewanya melampaui apa yang akan diakses oleh pengguna biasa.
Microsoft telah menyetujui kategori PC ini dengan teknologi keamanan yang dikembangkan bersama dengan produsen PC besar dan vendor chip silikon. Jadi apa sebenarnya PC inti aman itu? Dan mengapa bisnis besar mungkin menggunakannya?
Mengapa PC Secured-Core Begitu Aman?
Komponen pada PC inti aman bekerja dalam struktur gabungan holistik untuk memastikan integritas firmware, perangkat keras, dan perangkat lunak. Mesin sangat penting untuk organisasi seperti bisnis, bank, rumah sakit, dan lembaga negara yang secara teratur menangani data sensitif.
Khususnya, mereka dikirimkan dengan perlindungan yang diaktifkan yang hanya dapat dimatikan oleh spesialis resmi dari masing-masing vendor chip.
Microsoft telah berkolaborasi dengan produsen chip seperti Intel, AMD, dan Qualcomm untuk mengembangkan chip CPU yang didedikasikan untuk menjalankan pemeriksaan integritas untuk PC inti aman. Setelah tertanam di motherboard, chip menangani protokol keamanan yang biasanya mengandalkan firmware.
Proses verifikasi memerlukan otentikasi hash kriptografi untuk menegakkan integritas kode.
Bagaimana PC Inti Aman Mencegah Malware Firmware
PC inti aman dirancang untuk mengotentikasi semua operasi yang terlibat selama dan setelah proses boot. Karena kredensial sistemnya diisolasi dan dikunci untuk mengamankan hash kriptografi, malware yang mencoba mengambil alih protokol sistem penting tidak dapat mengambil token autentikasi.
Tingkat keamanan ini dimungkinkan melalui Windows HyperVisor Code Integrity (HVCI) dan keamanan Berbasis Virtualisasi (VBS). HVCI beroperasi di bawah VBS dan bekerja untuk meningkatkan integritas kode sehingga hanya proses terverifikasi yang dijalankan melalui memori kernel.
VBS menggunakan virtualisasi berbasis perangkat keras untuk mengisolasi sektor memori yang aman dari sistem operasi. Melalui VBS, dimungkinkan untuk mengasingkan proses keamanan vital untuk mencegahnya dikompromikan. Ini penting ketika mencoba membatasi kerusakan, terutama ketika berhadapan dengan malware yang menargetkan komponen sistem dengan hak istimewa tinggi.
Selain itu, PC inti aman menggunakan Virtual Secure Mode (VSM) Microsoft. Ini berfungsi untuk melindungi data penting seperti kredensial pengguna di dalam Windows. Ini berarti bahwa dalam kejadian yang jarang terjadi ketika malware menyusup ke kernel sistem, kerusakannya terbatas.
VSM dapat membuat zona keamanan baru dalam sistem operasi selama kejadian tersebut dan mempertahankan isolasi melalui Virtual Trust Levels (VTL), yang bekerja pada tingkat per-partisi.
Di PC inti aman, VSM menghosting solusi pencegahan keamanan seperti Credential Guard, Device Guard, dan Trusted Platform Module (TPM) virtual.
Akses ke sektor VSM yang sangat diperkaya ini diberikan hanya oleh manajer sistem, yang juga mengontrol Memori Prosesor Unit Manajemen (MMU) serta unit manajemen memori Input-output (IOMMU), yang terlibat dalam booting.
Meskipun demikian, Microsoft telah memiliki pengalaman yang signifikan dalam menciptakan solusi keamanan berbasis perangkat keras; benteng Xbox memberikan kesaksian tentang hal ini.
Terkait: Cara Mengonfigurasi Ulang Windows Defender untuk Lebih Mengamankan Komputer Anda
Mitra inti aman Microsoft saat ini termasuk Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic, dan segmen Microsoft Surface milik perusahaan yang menangani secara pribadi komputer.
Pengamanan PC Inti Aman Tambahan
Sementara PC inti aman memiliki penguatan keamanan berbasis perangkat keras yang ekstensif, mereka juga memerlukan berbagai alat bantu keamanan berbasis perangkat lunak. Mereka berfungsi sebagai garis pertahanan pertama selama serangan malware.
Salah satu pencegah berbasis perangkat lunak utama adalah Windows Defender, yang mengimplementasikan System Guard Secure Launch. Pertama kali tersedia di Windows 10, ia menggunakan protokol Dynamic Root of Trust for Measurement (DRTM) untuk meluncurkan proses boot ke kode yang belum diverifikasi saat memulai.
Segera setelah itu, ia mengambil alih semua proses dan mengembalikannya ke status tepercaya. Ini membantu mencegah masalah booting jika kode UEFI telah dirusak dan menjunjung tinggi integritas kode.
Untuk booting yang benar-benar aman, Windows 10 hadir dengan mode S, yang dirancang untuk meningkatkan keamanan dan kinerja CPU. Saat dalam mode ini, Windows hanya dapat memuat aplikasi yang ditandatangani dari Microsoft Store. Penjelajahan saat dalam keadaan ini terbatas pada penggunaan Microsoft Edge.
Terkait: Cara Menggunakan Mode Anak di Microsoft Edge untuk Menjaga Anak Tetap Aman
Pengguna PC inti aman juga dapat meningkatkan keamanan PC dengan menggunakan Windows Defender Application Control (WDAC) untuk membatasi driver yang diizinkan berjalan di Windows 10. Fitur ini menerapkan kebijakan driver dan perangkat lunak yang hanya mengizinkan aplikasi tepercaya untuk beroperasi.
Windows Hello adalah fitur lain yang diperlukan untuk meningkatkan keamanan di PC inti aman. Ini menggunakan pengenalan wajah, PIN, dan kemampuan membuka kunci sidik jari untuk memperkuat keamanan login.
Windows Hello mengandalkan perangkat keras biometrik khusus yang mencakup pembaca sidik jari dan sensor inframerah. Perangkat keras menggunakan teknologi Trusted Platform Module (TPM) untuk melindungi kredensial.
Mengapa Microsoft Memutuskan untuk Mengembangkan PC Secured-Core
Microsoft telah menginvestasikan sejumlah besar uang dalam penelitian dan pengembangan PC inti aman. Berikut ini adalah beberapa alasan mengapa perusahaan memprioritaskan proyek keamanan.
Kebutuhan untuk Melindungi Bisnis dari Malware Firmware
Ancaman keamanan siber berkembang, dan menurut a laporan Microsoft, serangan semakin canggih. Ini menyoroti temuan studi yang dilakukan pada tahun 2021 dan mengungkapkan bahwa lebih dari 80 persen bisnis di negara maju telah mengalami serangan firmware selama dua tahun sebelumnya.
Ini berarti bahwa banyak bisnis di seluruh dunia rentan untuk mengeksploitasi skema yang memanfaatkan malware firmware.
Eksploitasi firmware sangat sulit dideteksi dan dihapus begitu mereka menguasai sistem. Selain itu, sebagian besar komputer berbagi kode BIOS yang sama, sehingga celah firmware yang ditemukan oleh kelompok peretas dapat dimanfaatkan terhadap jutaan komputer di seluruh dunia terlepas dari merek atau vendornya, oleh karena itu dibutuhkan PC inti aman.
PC Inti Aman Memecahkan Masalah Firmware Periferal
Perangkat dengan firmware yang tidak ditandatangani menimbulkan masalah keamanan utama di PC standar. Periferal seperti webcam terkenal menjalankan firmware anomali yang dapat digunakan untuk memata-matai pengguna. Driver mereka juga dapat diperbarui tanpa persetujuan klien, sehingga meningkatkan risiko terjadinya hal ini.
Kurangnya standar keamanan industri yang harmonis adalah salah satu alasan utama mengapa peretas menargetkan mereka selama serangan intrusi. Saat ini, perangkat yang rentan termasuk touchpad, adaptor Wi-Fi, webcam, dan hub USB. Sebagian besar dari mereka tidak memiliki hashing kriptografi dan verifikasi firmware, yang digunakan pada PC inti aman.
Kesulitan dalam menyelaraskan infrastruktur keamanan mereka berarti bahwa celah itu kemungkinan akan tetap terbuka selama bertahun-tahun. Saat ini, PC inti aman adalah pilihan terbaik bagi organisasi yang ingin menghindari celah keamanan seperti itu.
Microsoft Bekerja pada Lebih Banyak Solusi Keamanan Firmware
Sementara Microsoft telah membuat PC inti aman untuk menggagalkan malware firmware, Microsoft juga bekerja pada alat untuk membantu mengurangi serangan di komputer standar. Akuisisi ReFirm Labs baru-baru ini, pengembang pemindai integritas firmware sumber terbuka Binwalk, adalah langkah ke arah ini.
Diharapkan lebih banyak solusi terkait akan dikembangkan oleh raksasa teknologi dalam waktu dekat.
Microsoft Defender adalah antivirus yang mumpuni. Tetapi apakah ini pilihan terbaik untuk PC Anda di tahun 2021?
Baca Selanjutnya
- jendela
- Teknologi Dijelaskan
- Keamanan
- Keamanan komputer
- Perangkat lunak perusak
Samuel Gush adalah penulis teknologi di MakeUseOf. Untuk pertanyaan apa pun, Anda dapat menghubunginya melalui email di [email protected].
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Satu langkah lagi…!
Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan.
