Microsoft опубликовала новый список рекомендуемых стандартов безопасности для устройств под управлением Windows 10. Стандарты включают в себя ряд требований к аппаратному и программному обеспечению, гарантирующих максимальную защиту устройства.
Требования к аппаратному обеспечению разделены на 6 категорий: поколение процессора, архитектура процессора, виртуализация, криптографические спецификации Trusted Platform Module (TPM), верификация загрузчика и оперативная память.
Microsoft рекомендует использовать процессоры Intel и AMD 7-го поколения. По словам исследователя безопасности из Windows Offensive Security Team Дэйва Уэстона (Dave Weston), процессоры 7-го поколения содержат режим Mode based execution control (MBEC), обеспечивающий дополнительную безопасность ядра. Требования к архитектуре процессора включают наличие 64-разрядного процессора, поскольку только в них доступна функция безопасности на основе виртуализации (Virtualization-based Security, VBS).
Помимо этого, устройства под управлением Windows 10 должны поддерживать Intel VT-d, AMD-Vi или ARM64 SMMU для использования преимуществ виртуализации устройств ввода-вывода (Input-Output Memory Management Unit, IOMMU). Для использования функции трансляции адресов второго уровня (Second Layer Address Translation, SLAT), процессоры должны поддерживать Intel Vt-x с технологией Extended Page Tables (EPT) или AMD-v с функцией Rapid Virtualization Indexing (RVI).
Еще одним рекомендуемым компонентом является криптографическая спецификация Trusted Platform Module — аппаратный модуль, интегрированный в компьютерный набор микросхем, либо приобретенный в виде отдельного модуля для поддерживаемых материнских плат, который отвечает за безопасное генерирование криптографических ключей, их хранение, безопасную генерацию случайных чисел и аппаратную аутентификацию.
Microsoft также подчеркивает важность функции верификации загрузчика платформы, которая не допускает загрузку прошивки, разработанной кем-либо, кроме производителя системы.
Оптимальное количество оперативной памяти должно составлять не менее 8 ГБ.
Также Microsoft выдвигает следующие требования к программному обеспечению устройства:
— Система должна иметь прошивку, в которой реализован интерфейс Unified Extension Firmware Interface (UEFI) версии 2.4 или выше.
— Система должна иметь прошивку, в которой реализован UEFI Class 2 или UEFI Class 3.
— Все драйверы должны быть совместимы с инструментом Hypervisor-based Code Integrity (HVCI).
— Прошивка системы должна поддерживать UEFI Secure Boot. Данная функция должна быть активирована по умолчанию.
— В прошивке системы должен быть реализован инструмент Secure MOR revision 2.
— Система должна поддерживать спецификацию обновления прошивки Windows UEFI Firmware Capsule Update.

Источник: securitylab.ru