Microsoft опубликовала обновленный список стандартов безопасности для устройств на базе Windows 10

Microsoft опубликовала обновленный список стандартов безопасности для устройств на базе Windows 10

Microsoft опубликовала новый список рекомендуемых стандартов безопасности для устройств под управлением Windows 10. Стандарты включают в себя ряд требований к аппаратному и программному обеспечению, гарантирующих максимальную защиту устройства.

 Требования к аппаратному обеспечению разделены на 6 категорий: поколение процессора, архитектура процессора, виртуализация, криптографические спецификации Trusted Platform Module (TPM), верификация загрузчика и оперативная память.

 Microsoft рекомендует использовать процессоры Intel и AMD 7-го поколения. По словам исследователя безопасности из Windows Offensive Security Team Дэйва Уэстона (Dave Weston), процессоры 7-го поколения содержат режим Mode based execution control (MBEC), обеспечивающий дополнительную безопасность ядра. Требования к архитектуре процессора включают наличие 64-разрядного процессора, поскольку только в них доступна функция безопасности на основе виртуализации (Virtualization-based Security, VBS).

 Помимо этого, устройства под управлением Windows 10 должны поддерживать Intel VT-d, AMD-Vi или ARM64 SMMU для использования преимуществ виртуализации устройств ввода-вывода (Input-Output Memory Management Unit, IOMMU). Для использования функции трансляции адресов второго уровня (Second Layer Address Translation, SLAT), процессоры должны поддерживать Intel Vt-x с технологией Extended Page Tables (EPT) или AMD-v с функцией Rapid Virtualization Indexing (RVI).

 Еще одним рекомендуемым компонентом является криптографическая спецификация Trusted Platform Module - аппаратный модуль, интегрированный в компьютерный набор микросхем, либо приобретенный в виде отдельного модуля для поддерживаемых материнских плат, который отвечает за безопасное генерирование криптографических ключей, их хранение, безопасную генерацию случайных чисел и аппаратную аутентификацию.

 Microsoft также подчеркивает важность функции верификации загрузчика платформы, которая не допускает загрузку прошивки, разработанной кем-либо, кроме производителя системы.

 Оптимальное количество оперативной памяти должно составлять не менее 8 ГБ.

 Также Microsoft выдвигает следующие требования к программному обеспечению устройства:

 - Система должна иметь прошивку, в которой реализован интерфейс Unified Extension Firmware Interface (UEFI) версии 2.4 или выше.

 - Система должна иметь прошивку, в которой реализован UEFI Class 2 или UEFI Class 3.

 - Все драйверы должны быть совместимы с инструментом Hypervisor-based Code Integrity (HVCI).

 - Прошивка системы должна поддерживать UEFI Secure Boot. Данная функция должна быть активирована по умолчанию.

 - В прошивке системы должен быть реализован инструмент Secure MOR revision 2.

 - Система должна поддерживать спецификацию обновления прошивки Windows UEFI Firmware Capsule Update.

Securitylab