Microsoft опубликовала стандарты безопасности для устройств на базе Windows 10

Microsoft опубликовала новый список рекомендуемых стандартов безопасности для устройств под управлением Windows 10. Стандарты включают в себя ряд требований к аппаратному и программному обеспечению, гарантирующих максимальную защиту устройства.

Требования к аппаратному обеспечению разделены на 6 категорий: поколение процессора, архитектура процессора, виртуализация, криптографические спецификации Trusted Platform Module (TPM), верификация загрузчика и оперативная память.

Microsoft рекомендует использовать процессоры Intel и AMD 7-го поколения. По словам исследователя безопасности из Windows Offensive Security Team Дэйва Уэстона (Dave Weston), процессоры 7-го поколения содержат режим Mode based execution control (MBEC), обеспечивающий дополнительную безопасность ядра. Требования к архитектуре процессора включают наличие 64-разрядного процессора, поскольку только в них доступна функция безопасности на основе виртуализации (Virtualization-based Security, VBS).

Помимо этого, устройства под управлением Windows 10 должны поддерживать Intel VT-d, AMD-Vi или ARM64 SMMU для использования преимуществ виртуализации устройств ввода-вывода (Input-Output Memory Management Unit, IOMMU). Для использования функции трансляции адресов второго уровня (Second Layer Address Translation, SLAT), процессоры должны поддерживать Intel Vt-x с технологией Extended Page Tables (EPT) или AMD-v с функцией Rapid Virtualization Indexing (RVI).

Еще одним рекомендуемым компонентом является криптографическая спецификация Trusted Platform Module - аппаратный модуль, интегрированный в компьютерный набор микросхем, либо приобретенный в виде отдельного модуля для поддерживаемых материнских плат, который отвечает за безопасное генерирование криптографических ключей, их хранение, безопасную генерацию случайных чисел и аппаратную аутентификацию.

Microsoft также подчеркивает важность функции верификации загрузчика платформы, которая не допускает загрузку прошивки, разработанной кем-либо, кроме производителя системы.

Оптимальное количество оперативной памяти должно составлять не менее 8 ГБ.

Также Microsoft выдвигает следующие требования к программному обеспечению устройства:

- Система должна иметь прошивку, в которой реализован интерфейс Unified Extension Firmware Interface (UEFI) версии 2.4 или выше.

- Система должна иметь прошивку, в которой реализован UEFI Class 2 или UEFI Class 3.

- Все драйверы должны быть совместимы с инструментом Hypervisor-based Code Integrity (HVCI).

- Прошивка системы должна поддерживать UEFI Secure Boot. Данная функция должна быть активирована по умолчанию.

- В прошивке системы должен быть реализован инструмент Secure MOR revision 2.

- Система должна поддерживать спецификацию обновления прошивки Windows UEFI Firmware Capsule Update.

Источник