Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft publiceert 'standaarden voor veilige Windows 10-apparaten'

Microsoft heeft standaarden gepubliceerd die volgens het bedrijf voor een zo veilig mogelijk Windows 10-systeem gelden. Daarin stelt het Redmondse bedrijf bijvoorbeeld eisen aan een bepaalde processor en voor een trusted platform module.

Microsoft meldt dat de gepubliceerde standaarden gelden voor de laatste Feature Update van Windows 10, de Fall Creators Update. Op het gebied van processoren beveelt Microsoft een 7e generatie Kaby Lake-processor van Intel aan. Bleeping Computer, dat de pagina opmerkte, vermeldt een tweet van Microsoft-onderzoeker Dave Weston, die stelt dat die generatie processors beschikt over mbec, wat belangrijk is voor virtualisatie. Voor AMD geldt eveneens een processor van de 7e generatie.

Daarnaast moet het gaan om een 64bit-systeem, omdat virtualisatie gebruikmaakt van de Windows-hypervisor die alleen voor 64bit-systemen beschikbaar is. Andere eisen zijn dat iommu en slat aanwezig zijn. Een systeem dat aan die standaarden voldoet, zou ook voorzien moeten zijn van een trusted platform module van versie 2.0. Dat is een hardwaremodule die encryptieprocessen uitvoert. Windows maakt bijvoorbeeld van de module gebruik als de gebruiker BitLocker inschakelt voor de encryptie van de harde schijf.

Ten slotte meldt Microsoft dat bootverificatie aanwezig moet zijn, bijvoorbeeld via Intel Boot Guard, Hardware Verified Boot van AMD of een soortgelijke oem-implementatie. Het stelt verdere eisen aan firmware; zo moet bijvoorbeeld uefi op versie 2.4 of hoger zitten.

Door Sander van Voorst

Nieuwsredacteur

07-11-2017 • 08:11

64 Linkedin Google+

Reacties (64)

Wijzig sortering
Ten slotte meldt Microsoft dat bootverificatie aanwezig moet zijn, bijvoorbeeld via Intel Boot Guard, Harware Verified Boot van AMD of een soortgelijke oem-implementatie. Het stelt verdere eisen aan firmware, zo moet bijvoorbeeld uefi op versie 2.4 of hoger zitten.
Hurgh...die zooi zijn ze nu net aan het uitschakelen bij sommige bedrijven zoals Librem probeert te doen. Proprietary blobs die intern een webserver draaien, je weet wel 'Omdat het handig is' (niet echt voor jou maar wel voor 3 en 4 letter overheidsorganisaties).

Dergelijke technieken beperken wat er met de hardware kan worden gedaan. Voor Microsoft is dat handig omdat ze zo beter kunnen controleren dat hun Windows goed werkt op de systemen. Ik begrijp dat een dergelijk bedrijf dat wilt. Maar toch blijft het zuur, bekeken vanuit een ander punt dan dat van Microsoft dan natuurlijk.

[Reactie gewijzigd door Auredium op 7 november 2017 08:22]

Intel boot guard werkt onafhankelijk van de kwetsbare remote management (AMT).
Boot guard is een check op de digitale handtekening van de firmware. Niks onveilig aan, integendeel.
Boot guard betekent toch dat je geen zelfgecompileerde Linux kernels kunt gebruiken? Of ben ik nu in de war met iets anders?
Boot Guard is een key in de CPU die er voor zorgt dat de firmware niet 'ongeoorloofd' gemanipuleerd kan worden. De PC start alleen op als de CPU een correcte signed firmware detecteert.

Die firmware is waar UEFI Secure Boot geïmplementeerd is. Dat kan op twee manieren, de slechte manier waarbij de microsoft KEK sleutel aanwezig is, maar de eigenaar van de PC niets kan doen aan key management. Op deze PCs kan je dan alleen Linux opstarten als de bootfiles gesigned zijn met de MS key.

Of een volledige implementatie, waarbij je als eigenaar zelf keys kan toevoegen en verwijderen. Je kan dan de MS key verwijderen en windows kan niet meer starten. Je kan je eigen KEK key toevoegen waarmee je een zelf gecompileerde en getekende linux kan opstarten. Zolang je je eigen signing key goed geheim houd kan niemand jouw bootfiles aanpassen zonder jouw weten. Je kan dan ook third party keys verwijderen en de PK wijzigen, zodat er geen keys op het systeem staan van partijen die je niet vertrouwt.

Voor optimale veiligheid wil je dus Boot Guard met een Signed firmware die jou volledig Key management toestaat.
ZIjn er eigenlijk consumenten moederborden met een volledige implementatie?
MSI heeft moederborden met een implementatie die je toestaat eigen keys te gebruiken als ik het goed herinner. Kwam handig uit toen ze de standaard key setup verkloot hadden en Windows Secure boot niet werkte ;)
Ja best wat denk ik, mijn asus z170 pro gaming(ugh) heeft het in ieder geval, meestal zitten dat soort dingen dan ook in budget implementaties van asus maar daar heb ik me niet echt in verdiept. https://www.manualslib.co...0-Pro-Gaming.html?page=83
de slechte manier waarbij de microsoft KEK sleutel aanwezig is, maar de eigenaar van de PC niets kan doen aan key management. Op deze PCs kan je dan alleen Linux opstarten als de bootfiles gesigned zijn met de MS key.
Elke distro kan zo'n key gratis aanvragen bij Microsoft.

Ligt aan de OEM welke KEK ze meeleveren voor welke OSen. Dat de Linux distro's niet hun eigen KEKs maken hiervoor, tja. Zal ook wel weinig markt voor zijn vanuit de OEMs. Het is niet Microsoft's implementatie die slecht is. Leg je klacht anders hier neer: http://www.uefi.org/members

Voor de rest kan je -doorgaans- gewoon controle nemen over secure boot en de sleutels zelf beheren. Om Linuxjournal maar even te quoten:
Secure boot is designed to allow someone with physical control over a computer to take control of the installed keys. A pre-installed manufacturer PK can be programmatically replaced only by signing it with the existing PK. With physical access to the computer, and access to the UEFI firmware environment, this key can be removed and a new one installed. Requiring physical access to the system to override the default keys is an important security requirement of secure boot to prevent malicious software from completing this process. Note that some locked-down ARM-based devices implement UEFI secure boot without the ability to change the pre-installed keys.
Ik heb het niet over Microsoft, ik heb het over slecht/niet volledig geïmplementeerde UEFI welke geen custom keys toestaat.

En dat is wat je nodig hebt als je bijvoorbeeld je eigen linux (bootloader) compileert vanuit de source. Je kan bij een goede implementatie je eigen KEK toevoegen aan de sleutel database in de UEFI.

Sowieso wil je als organisatie je eigen Platform Key gebruiken, dan heb je controle over welke keys er allemaal toegevoegd worden. Dan weet je zeker dat jouw moederbord fabrikant niet een key toevoegt voor de NSA.
Alleen respecteerd zo'n beetje elke fabrikant netjes de UEFI guidelines en staan je toe secure boot te beheren. Zelfs Linux bronnen geven aan dat hier geen probleem in zit.

Als grote organisatie wil je dat natuurlijk het liefst zelf doen, want de meeste fabrikanten zullen per mobo 1 PK hebben. Als je pech hebt heb je er fabrikanten tussen zitten die MS een klasse 4 noemt, 1 PK per OEM.

Overheden e.d. zullen vaak voor elk systeem een eigen PK hebben.
Ben nu al een paar vage goedkope laptops tegen gekomen die twee standen hadden Secure boot aan en secure boot uit. Secure boot aan moet je het doen met de keys die de fabrikant had toegevoegd, geen custom setting in de BIOS.

Ik geloof best dat de grote partijen als Lenovo, Dell etc... dit voor elkaar hebben, evenals de moederbord fabrikanten voor de zelfbouw markt.

edit: Op die systemen kan je waarschijnlijk wel Ubuntu installeren, heb ik niet geprobeerd. Garantie heb je echter niet, aangezien Ubuntu de bootloader als ik het goed herinner signt met een MS recommended key, niet met een verplichte.

[Reactie gewijzigd door Omega Supreme op 7 november 2017 16:44]

Boot Guard waakt over de firmware (bios/(u)efi), niet over het OS
Leuk dat ze na zo een lange tijd het document publiceren, maar wat is er het praktisch nut van? Het is niet dat 75% van de mensen nu als een gekke hier verandering in gaan brengen. Als je wilt dat het nagestreefd wordt, zou je een hardware checker moeten inbouwen of alle vereiste componenten aanwezig zijn in de machine en extra beveiligingen standaard aanzetten.
Het document is ook niet voor consumenten bedoelt, maar voor systeembouwers.
Ben ik het niet volledig mee eens, genoeg mensen (waaronder ik) bouwen als consument ook een systeem. Daarnaast wilt het niet zeggen dat de grote jongens zich aan dit document gaan houden.
Hoeveel zelfbouwers zijn er nog? Het aantal winkels waar je componenten kunt kopen kan je tegenwoordig op 1 hand (goed, misschien 2) tellen. Dat zegt genoeg over de markt lijkt me.
Hoeveel zelfbouwers zijn er nog?
Euhm.. je kan overal computer onderdelen kopen zoals voeding, behuizing, processors, harde schijven, grafische kaarten. Markt werking zegt genoeg.

[Reactie gewijzigd door Barryke op 7 november 2017 09:07]

Als de goedkoopsten al stoppen, Zercom en 4Launch zijn hier dicht, dan is de markt behoorlijk op zijn gat.
Heb ook het idee dat makers van content enkel nog op iMacs en Macbooks werken.

[Reactie gewijzigd door blanka op 7 november 2017 10:10]

Hoeveel zelfbouwers komen er nog in fysieke winkels? PC onderdelen zijn typisch iets dat je uitzoekt op specs en online kunt bestellen, een processor van een bepaald type is precies hetzelfde bij elke webshop.
De twee die ik noem waren zeer populaire webshops.
Ja, maar er zouden minder dan 30 miljoen gaming rigs zijn (weet niet meer waar de stats vandaan komen, denk Nvidia) en het grootste deel van de PC-gamers spelen games als LoL (100 miljoen), Overwatch en PUBG op een aardappel.

Hardcore gamers verschuiven toch langzaam naar consoles. En met tegenwoordig ook al mods op consoles...

[Reactie gewijzigd door Enai op 7 november 2017 10:57]

Hardcore gamers verschuiven toch langzaam naar consoles. En met tegenwoordig ook al mods op consoles...
Say what? Dat lijkt me nou juist niet de hardcore gamers, die schuiven juist naar het hoge GTX1080+ segment. Multi-screen setups, kasten vol met (water) koeling (en RGB). Deze mensen gaan echt niet naar consoles schuiven, vooral omdat een heel stel gigantische franchises niet op console te spelen zijn, denk DoTA, LoL, competitive CS:GO, Civ, Cities Skylines, de stategy games en ga zo maar door. Die bestaan of alleen op PC of spelen veel beter op PC. LoL met een controller, moet er niet aan denken.
Die mensen niet nee, maar de groep jonge kinderen die opgroeien met tablets waar zij hun simpele spelletjes op spelen en via vriendjes/familie in aanraking met consoles komen zodra ze basis/middelbareschool leeftijden hebben, groeit veel harder dan de groep die aan PC games begint. Dat komt alleen al, omdat al die papa's en mama's geen pc meer in huis hebben en de laptop alleen voor basale zaken gebruikt wordt. Het is dus niet zozeer opschuiven van de groep gamers die overstappen op een ander platform, maar juist de ontwikkelaars die gaan ontwikkelen voor andere platformen, omdat dat daar simpelweg meer spelers te vinden zijn en die groep ook veel harder groeit dan de pc wereld. En die trend veranderd ook nauwelijks naarmate de leeftijd toeneemt richting de twintigers.

Dat consoles beperkter zijn dan pc's met dikke specs doet niets af aan de betekenis 'hardcore gamers'.
Hier op tweakers? Nog best wel een aantal hoor :)
Ik vind het afentoe ook nog leuk, niet omdat het goedkoper is maar wel omdat je dan zelf kan kiezen wat je belangrijk vind. Laatste PC moest vooral still zijn dus dan kies je daar onderdelen op uit!
Kijk hier maar eens rond, en dat zijn alleen Tweakers die assistentie/advies vragen, zegt genoeg imo.
Ben ik het niet volledig mee eens, genoeg mensen (waaronder ik) bouwen als consument ook een systeem.
Ben jij Lenovo Dell hp want dar woord met systeem bouwers bedoelt en niet pietje die zelf een pc samenstelt.
Het staat nota bene in het artikel dat het voor OEM's is...
Daarnaast wilt het niet zeggen dat de grote jongens zich aan dit document gaan houden.

Als je het niet doet, krijg je bepaalde certificaten niet, mag je bepaalde Windows/Microsoft marketing logo's niet gebruiken, en zal Microsoft via haar contaten die systemen niet aanraden bij bedrijven.

Dus ja voor de low-cost consumentenmarkt zullen er ongetwijfeld veel OEM's zijn die dit niet volgen, maar in de enterprise markt is de trend juist dat men het juist gaat volgen, omdat de grote bedrijven hier naar vragen.
Ik denk ook voor het bedrijfsleven. Als B2B gebruiker van IT-systemen wil je een deployment die voldoende robuust is en die signaleert wanneer er bepaalde veranderingen aan het systeem plaatsvinden. Ik gok erop dat binnen mijn organisatie dit document volgend jaar de basis vormt om te bepalen welke apparatuur vervangen gaat worden of van het netwerk wordt gehaald.
Wat ik een beetje krom vindt, W10 werkt op alle machines, zelfs op een dualcore pc.
En dan gaan ze nu ind "eisen" van wat geschikte hardware is? Ik vindt dat ze weer een verkeerde weg inslaan.
Ik snap best, dat ze willen dat iedereen bij blijft, maar niet iedereen heeft een portemonnee als de ander, maar wordt wel verwacht te gaan upgraden.
Wat ik ook om me heen zie, men koopt geen complete pc`s meer, men gaat online kijken naar de wensen die men zelf heeft ervoor en qua kosten wat men kan dragen. Enige wat compleet gekocht wordt zijn de laptops, want die stel je niet ff samen of bouw je even.
Mijn W7 blijft voorlopig nog ff
Het leuke van dit soort artikeltjes vind ik ook altijd dat er niet in staat waarom Microsoft dit stelt, en waarom Microsoft dit precies nu nodig vindt om dit uit te spreken. Zo mis ik als lezer een hoop context. Waarschijnlijk is het meer een juridisch gedreven stellingname. Om zichzelf in te kunnen dekken tegen toekomstige inbreuken op het OS. Op zich zijn die suggesties die Microsoft doet natuurlijk zinnig. Alleen de complete install base staat het bedrijf nu aan te gapen met een vraagteken van: "Wat is het nu precies wat je als bedrijf wilt communiceren"?
Inderdaad, maar ik blijf t vreemd vinden dat ze dit soort eisen stellen als t (bijna) op elk platform werkt (dual/quad/triple etc) en zelfs een uefi 2.4 of hoger. Ik sta dus ook te gapen met de vraagtekens, wat is hier aan de hand, welke adder zit er onder t gras ;)
ongedocumenteerde cpu functies, intel ME lekken, kwetsbare UEFI implementaties. lekker veilig |:(
Mijn ps4 als die op stand bij staat/semi uitgeschakeld is kan os updates en games downloaden.
Wil dat zoiets naar Windows komt.
Ook dat sommige kern activiteit actief blijven om het opstart proces te versnellen.
Edit: ik bedoel dat Microsoft ook zulke dingen kan eisen bij bepaald Windows versie.

[Reactie gewijzigd door raro007 op 7 november 2017 08:20]

Ik heb liever dat ze windows kunnen updaten terwijl het gewoon draait, bij linux zijn ze er ook al mee bezig om tot op kernel niveau dingen te patchen zonder een herstart te vereisen. Kunnen ze bij MS nog wat van leren.

Linux-kernel 4.0 hoeft niet meer te rebooten voor updates - update
Voor een PC is dat niet zo relevant. Voor servers wel.
denk niet dat zoiets mogelijk s aangezien de hardware de standby bij houd
windows kan wel zeggen waneer de pc op standby gaat maar niet waneer het eraf moet
Zoiets is wel mogelijk. Apple heeft een functie genaamd Powernap en het OS kan gewoon updates uitvoeren, apps uit de store updaten en mail en agenda's bijwerken terwijl de Mac in slaapstand/sluimerstand staat.

Lijkt mij ideaal als Microsoft dit ook kan implementeren in een van de komende Windows 10 versies O-)
Dit bedoel ik maar a.u.b niet de Apple lock in gedachten, ik wil dat steam spelen ook geüpdate kunnen worden.
Ze kunnen het volgens jou waarschijnlijk niet bij windows maar kijk eens naar hun Xbox one die doet dit al jaren, daarbij zoals @BJD1997 aangeeft kan mac dit ook al een behoorlijke tijd. @raro007 hopelijk maakt MS dan een API beschikbaar voor devs zoals valve die een protocol zodat deze een update protocol kunnen aanroepen als het os in een bepaalde state zit.
Apple kan in standby ook gewoon dingen syncen en online blijven voor facetime, dus het is wel mogelijk.
Maar het wordt niet gebruikt of wel?
En dat is wat ik met eisen bedoel.
Of dat ze finger print scanner op de toetsenbord.
Wel een speciale Windows versie dan.
Maar het wordt niet gebruikt of wel?
En dat is wat ik met eisen bedoel.
jawel het wordt wel gebruikt.En wat je met eisen bedoelt, als MS dat soort dingen gaat eisen dan gaan de prijzen van hardware alleen maar omhoog. Nu is er voor fabrikanten (en consumenten) de keuze.
Of dat ze finger print scanner op de toetsenbord.
Wel een speciale Windows versie dan.
Ook daar geld ; als je dat gaat eisen, dan gaan de prijzen van hardware alleen maar omhoog en neem je keuze weg.
ik zeg ook niet dat die eis standaard moet gelden voor alles maar dat je het voor de pro versie kan doen.
ik weet niet of je fingerprint scanner gebruikt op de mobiel maar als jij het gebruikt, is het niet raar dat jou pc dat niet kan?
dat de aan knop van de pc gewoon op de toetsenbord zit onder die scanner (wat mij betreft)?
Volgens mij is het punt dat @raro007 maakt juist dat hij wil dat Windows dat dus wel kan ;)
Lijkt dat jou niet rete handig?
Os updates of zelfs als het mogelijk is steam spelen updaten wanneer je van huis bent.
Nope, niet als ik de kwaliteit van de updates zie.
wat nope?
zoals je zegt kwaliteit nu is niet beter en starks niet dus alles blijft hetzelfde. :P
Ik hoef niet dat mijn OS zichzelf update zonder inmenging. Dat wil ik al niet met videokaart drivers. Irritant ook dat spelletjes daarover mekkeren tegenwoordig.
dan moet de hardware dat gaan supporten :)
Ik dacht dat xbox ook zoiets heeft en die draaid toch ook op w10?
De XB1 kan inderdaad games downloaden terwijl hij op standby staat, gaat wel op een wat lagere snelheid (50-100Mbit van wat ik ooit eens gezien heb, XB1 download bij mij (400/40@ Ziggo) sowieso niet harder dan een 180-200Mbit.

Nut van zo'n functie is redelijk verwaarloosbaar als je snel internet hebt, zelfs een game als Forza 7 had ik op de pc binnen <50 minuten. Voor een ieder met relatief traag internet (<50Mbit?) is dat een zeer nuttige functie.
Dus jij hebt liever dat je 50 minuten wacht dan helemaal niet?
Want op dit moment hoef ik nooit te wachten.
De keren dat ik wacht om een game te spelen is op 1 hand te tellen misschien. Meeste games zijn ook nog eens te preloaden. Maar ik beweer ook niet dat de functie nutteloos is, het nut wordt erg veel groter bij trage internet verbindingen; als je Forza 7 wilt downloaden op je pc op een 5Mbit lijnje kost je dit ~46 uur. Ter vergelijk; op 400Mbit kost dit een 35 minuten in theorie.

Als dit zou werken terwijl de pc op (een soort van) standby staat scheelt je dat een hoop stroomverbruik!.

[Reactie gewijzigd door Tortelli op 7 november 2017 08:34]

dat gebruikt toch echt andere hardware dan een pc(ik weet dat xbox onw ook bijna een pc(BIJNA))


edit: typo

[Reactie gewijzigd door Leon-B op 7 november 2017 10:32]

Het is gewoon pc hardware.
Alleen weet ik niet of ze zoals sony een extra arm processor bij hebben.
En dat extra arm processor hoeft echt geen rocker science te zijn.
maar dat heeft dus niks met windows te maken
niet alle hardware is hetzelfde, er kan kleine veranderingen in zitten
Zijn alle apparaten straks veilig voor de gebruiker, behalve Windows zelf die continue naar huis belt en bij updates de services (waar géén knopje voor is) die jij hebt uitgezet stilletjes weer aanzet. Lekker bezig. Begin zo langzamerhand een beetje moe te worden van het OS met al haar bemoeizucht.
Aanbevelen != eisen. Dit gaat voornamelijk om OEM bouwers, zodat je geen nieuwe PCs koopt met oude processoren.
Dat zullen ze waarschijnlijk niet voor elkaar kunnen krijgen. Ik denk eerder dat het logo windows10 op de buitenkant van de doos te mogen plaatsen, wordt voorbehouden aan producten die zich aan de standaard conformeren, of natuurlijk een nieuw logo-tje. :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True