Microsoft brengt Secured-core-label voor extra beveiligingseisen naar servers

Microsoft brengt zijn Secured-core-keurmerk in de toekomst ook uit voor servers. Het beveiligingsinitiatief is bedoeld om apparaten veiliger te maken en vereist een aantal hardware- en software-eisen zoals secure boot en tpm 2.0. Op die servers gaat dan HVCI draaien.

Microsoft breidt daarmee het bestaande programma verder uit. Het bedrijf introduceerde Secured-core in 2019, maar alleen voor pc-makers. Nu wordt dat programma ook gebruikt voor servers. Het gaat dan zowel om apparaten die Windows Server draaien als om Azure Stack HCI en iot-apparaten die Azure-certified zijn. Fabrikanten kunnen samenwerken met Microsoft om hun apparatuur als Secured-core te verifiëren.

Een fabrikant moet aan verschillende eisen voldoen voor het onder het Secured-core-label mag vallen. Zo moeten apparaten minimaal tpm 2.0 bevatten en secure boot aan hebben staan. Ook moeten servers gebruikmaken van een trusted execution environment die mogelijk worden gemaakt door een dynamic root of trust for measurement. Dat voorkomt dat tijdens het booten onbetrouwbare code kan worden opgestart. Het bedrijf zegt in de toekomst meer eisen bekend te maken voor het label.

Servers die onder het Secured-core-label vallen draaien op Hypervisor-Protected Code Integrity of HVCI. Daarmee kan een server alleen starten als de code vooraf is geverifieerd. De Hypervisor bepaalt bijvoorbeeld permissies om geheugenaanvallen te voorkomen. Microsoft zegt dat het plan bedoeld is om grote cyberaanvallen tegen te gaan. Het bedrijf noemt specifiek de ransomware-infecties van REvil, die volgens het bedrijf voorkomen hadden kunnen worden met HVCI.

Door Tijs Hofmans

Nieuwscoördinator

08-12-2021 • 15:20

19

Reacties (19)

Sorteer op:

Weergave:

Wel jammer dat Microsoft zijn beveiligings-inspanningen voornamelijk op bedrijven richt, terwijl de doorsnee thuis-gebruiker volgens mij toch het meest getroffen wordt door malware? Of vergis ik me daarin?
Bij Windows 11 dwingend ze TPM af, volgens mij is dat een aardige stap in de juiste richting.

Ook kan je diverse settings qua hardening zelf toepassen (Windows/Edge/Defender). Als ze alles default dicht zetten heb je kans dat de normale gebruiker tegen issues gaat aanlopen die deze niet kunnen oplossen.
Zolang ze niet standaard bitlocker activeren heb je er als gebruiker geen baat bij. En voor de rest is windows nog steeds zo lek als een vergiet. En als je het goed wilt beveiligen (hardening) heb je een cursus nodig.
Zolang ze niet standaard bitlocker activeren heb je er als gebruiker geen baat bij. En voor de rest is windows nog steeds zo lek als een vergiet. En als je het goed wilt beveiligen (hardening) heb je een cursus nodig.
BitLocker is leuk, maar voor het risicoprofiel van een thuisgebruiker is het faciliteren van diverse wachtwoorden en MFA een veel betere stap, iets wat MS hard probeert met Windows Hello. Een TPM wordt verder voor veel meer gebruikt dan alleen maar het opslaan van BitLocker keys.

[Reactie gewijzigd door the_shadow op 26 juli 2024 14:40]

Men dwingt niet enkel TPM af in W11, men dwingt ook secure boot, VBS & HVCI af, toch zeker bij OEM.
Onder Win10 is dat ook beschikbaar maar is het optioneel in te schakelen (mits de nodige hardware ondersteuning aanwezig is)

Kan zijn dat het niet volledig ingeschakeld is onder W11 maar dan heb je vermoedelijk een upgrade gedaan waarbij het niet ingeschakeld kon worden doordat ofwel TPM niet volledig actief is of er nog niet ondersteunde drivers aanwezig zijn.

Zit onder settings - privacy & security - windows security - device security
core isolation - memory integrity = HVCI
Daarnaast kan je daar nog zien of TPM actief is alsook secure boot

Onderaan zou hij moeten zeggen "Your device meets the requirements for enhanced hardware security" => dan zit je op hetzelfde niveau als wat dit "Secured-core-label" wilt zeggen en ook wat MS van OEM afdwingt als ze W11 met een device meeleveren.

Als hij zegt "Your device exceeds the requirements for enhanced hardware security" dan heb je ook SMM protectie, iets wat onder AMD nog niet mogelijk is gezien AMD het bij mijn weten nog niet heeft.

SMM slaagt op system management mode, is een modus waarbij de CPU alle gewone instructies halt om low level instructies uit te voeren (zoals een S state activeren, cpu temp beveiliging, communiceren met een TPM, etc) => als malware erin slaagt om in die modus code uit te voeren dan heb je een dik probleem.
Ja, het was juist eerst bedoelt voor gewone pc’s en wordt nu uitgebreid naar servers
Microsoft heeft voor de thuis-gebruiker in Windows 11 toch ook de beveiligingseisen verhoogd met TPM 2.0 en Secure Boot, naast de eisen voor de processor (ook al zijn ze daarin m.i. niet helemaal consequent geweest, vooral voor de 77xxx reeks processoren).
software-eisen zoals secure boot en tmp 2.0
Dat zal TPM 2.0 moeten zijn denk ik?
Tja, dan beveilig jij jouw eigen pijpleidingen toch met iets anders? Ik snap deze reactie niet zo. Het is een oplossing die ze aanbieden. Geen verplichting.
Ik snap jouw reactie niet zo goed. Het is toch duidelijk dat het hier niet om individuele keuzes gaat, maar om een strategie die er is en in het verleden heeft gewerkt, waarmee de keuzes uiteindelijk weggehaald worden voor iedereen. Het gaat erom dat dit een mogelijk pad is naar wél een verplichting in de toekomst.

Persoonlijk ben ik niet bekend met deze strategie, maar gezien hoe Microsoft zich ethisch niet sterk gedraagt (sinds de oprichting en tot de dag van vandaag), lijkt het me zeker niet raar om zulke vermoedens te hebben. Het delen daarvan zou ik dan ook aanmoedigen ipv het te bagatelliseren.
Dit heeft niets rechtstreeks te maken met de cloud, maar met on prem hardware.
Het is een bepaalde garantie die ze koppelen aan bepaalde voorwaarden. Niks meer, niks minder.
Per ongeluk azijn in plaats van een kopje koffie gedronken? Overdrijven is ook een vak zeg.
Killercow drinkt alleen maar azijn! ;-)

Ik snap zijn punt, maar dat is echt heel erg techneut centrisch. Als die techneut ook met klanten werkt en bv. management/directie moet adviseren, dan is zo een labeltje een toevoeging die heel welkom is. Vanuit de laptop/desktop markt kan je als IT veel makkelijker eisen stellen aan hardware ipv. een enorme lijst aan hardware opties die je nodig hebt waar de doorsnee inkoper/manager niets van snapt en niet de waarde daarvan kan inschatten. Waardoor je opeens wel eens met machines kan komen te zitten waar geen TPM (2.0) chip inzit...

Ik hoop dat dit met servers iets minder gebeurd, maar als je een hybrid Azure cloud omgeving wil draaien is meer en makkelijke keuze bij verschillende leveranciers dmv. een labeltje imho ook erg fijn ipv. diep in de documentatie duiken of de verkopers maar geloven op hun mooie blauwe ogen...
Dus als u het zo graag aan management wil presenteren, geef het dan gewoon het label 'openstaande geheime toegangsdeur voor Microsoft / Amerikaanse overheid / succesvolle hackers tot al je data', a.k.a. rootkit.
Erm... Je weet dat het gros van het bedrijfsleven op O365/AWS/Google zit... Dus die Amerikaanse bedrijven en overheid kunnen er sowieso al bij als men echt wilt. En wat betreft die hackers, de kans dat een hacker MS of de TPM chip hackt is VEEL kleiner dan dat deze een gebruiker zover krijgt om op iets te klikken waar ze niet op moeten klikken. Of überhaupt in een bedrijfsnetwerk terecht te komen door beheerders die het 'beter' weten.

Als iemand echt bij je data zou willen komen, dan houd iets wat jij als 'veilig' acht echt niet iemand tegen die voldoende gemotiveerd is. Je beheerders/gebruikers blijven de zwakste schakel.
En wat betreft die hackers, de kans dat een hacker MS of de TPM chip hackt is VEEL kleiner dan dat deze een gebruiker zover krijgt om op iets te klikken waar ze niet op moeten klikken.
Een rootkit voor iedere Windows gebruiker is een veel interessanter doel, qua kosten / baten, dan een gebruiker op een linkje laten klikken. Zie Solar flare.

Een TPM hack kan al door slechts 2 personen uitgevoerd worden:

https://hackaday.com/2017...-intel-management-engine/

Dus dat gebruikers de zwakste schakel zijn is natuurlijk ook onzin als de master key van de rootkit is uitgelekt of de 'trusted' omgeving gekraakt, het is niets voor niets dat ik hierboven de AACS hack als voorbeeld geef.

Je kan je gebruikers nog zo goed trainen, als ze een ondetecteerbare rootkit hebben heeft dat geen zin. Bovendien scoort een ME hack met ondetecteerbare admin toegang tot de hele machine natuurlijk veel hoger op 'severity' dan een aanval op 1 gebruikers-account.

Met fysieke toegang is het al gelukt de TPM key uit de TPM chip te halen: https://arstechnica.com/g...xposes-a-cpus-master-key/

Intel Bootguard SDK is ook al een keer geopenbaard na een hack op Intel: https://appleinsider.com/...ata-released-in-20gb-dump

Maar goed, als men liever het gevaar van O365 en Pluton ontkent en liever de kop in het zand steekt, databescherming kennelijkj moeilijker te verkopen vind dan een sticker voor het management, mij best.

Gelukkig is er nog ergens een 3 letter organisatie die _wel_ in privacy van hun data gelooft, en wel het belang inziet om deze rootkits uit te kunnen zetten:

https://www.notebookcheck...-to-the-NSA.245922.0.html

Op dit item kan niet meer gereageerd worden.