Surface: Microsoft setzt standardmäßig auf Hardware-Security

Für die Geräte der Surface-Reihe setzt Microsoft künftig auf Sicherheits-Techniken, die auf einer Hardware-Virtualisierung aufbauen.

Artikel veröffentlicht am ,
Die Geräte der Surface-Reihe setzen nun standardmäßig auf Hardware-Security.
Die Geräte der Surface-Reihe setzen nun standardmäßig auf Hardware-Security. (Bild: Microsoft)

Das neue Surface Pro 7+ von Microsoft soll ebenso wie weitere Geräte der Surface-Reihe standardmäßig auf Hardware-Sicherheitstechniken setzen, die Angriffe zum Auslesen von Speicherinhalten deutlich erschweren sollen. In der Ankündigung schreibt Microsoft dazu in seinem Security-Blog, dass Sicherheitslücken, die eine Rechteausweitung ermöglichen, aus einem kleinen Fehler im Userspace eine vollständige Übernahme des Betriebssystems ermöglichen könnten. Die nun standardmäßig genutzten Techniken VBS und HVCI sollen dies verhindern.

Stellenmarkt
  1. Technische Spezialistinnen*Spezialisten mit dem Schwerpunkt (Satelliten-)Fernerkundung
    Umweltbundesamt, Leipzig, Berlin, Dessau-Roßlau
  2. Digital Operation Specialist (m/w/d)
    Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim
Detailsuche

Die Abkürzung VBS steht für Virtualization-Based Security, was schlicht die grundlegende Idee der Technik beschreibt. Auf Grundlage einer Hardware-Virtualisierung, die die meisten CPUs inzwischen bieten, werden sichere und voneinander isolierte Speicherbereiche erstellt. Ermöglicht wird dies wiederum durch den Windows-Hypervisor, der als unterste Schicht des Systems läuft.

Hauptziel der VBS-Technik ist dabei, den Schaden möglicher Exploits so weit es geht einzuschränken. Dazu heißt es: "Selbst wenn Malware Zugriff auf den Betriebssystemkern erhält, können die möglichen Exploits stark eingeschränkt und eingedämmt werden, da der Hypervisor verhindern kann, dass die Malware Code ausführt oder auf Secrets zugreift".

Die auf VBS aufbauende Hypervisor-Protected Code Integrity (HVCI) sorgt darüber hinaus dafür, dass Speicherbereiche des Kernels entweder beschreibbar oder ausführbar sind (W^X, Write XOR Execute). Der ausführbare Code kann außerdem nicht direkt modifiziert werden. Zusätzlich zu VBS und HVCI setzt Microsoft in seinen Surface-Geräten auf sein eigenes UEFI, ein TPM, das etwa für Bitlocker genutzt wird, sowie Secure Boot.

Golem Karrierewelt
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    06./07.10.2022, Virtuell
Weitere IT-Trainings

Microsoft weist in seiner Ankündigung außerdem darauf hin, dass die Techniken, die nun standardmäßig in der Surface-Reihe genutzt werden, bereits Malware-Angriffe des vergangenen Jahres aktiv verhindern konnten. Eine komplette Einführung der Technik auf allen Windows-Geräten, statt nur jenen, die Microsoft selbst herstellt und vertreibt, verhindern wohl aber weiter verschiedene Probleme mit Treibern, die noch nicht an die neuen Techniken angepasst sind. Das zeigte sich etwa im Frühjahr 2020, als HVCI wegen inkompatibler Treiber das Windows-Update blockierte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Für 44 Milliarden US-Dollar
Musk will Twitter nun doch übernehmen

Tesla-Chef Elon Musk ist nun doch bereit, Twitter für den ursprünglich vereinbarten Preis zu kaufen. Offenbar will er einen Prozess vermeiden.

Für 44 Milliarden US-Dollar: Musk will Twitter nun doch übernehmen
Artikel
  1. Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
    Die große Umfrage
    Das sind Deutschlands beste IT-Arbeitgeber 2023

    Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Elektromobilität: Sixt bestellt 100.000 Elektroautos bei BYD
    Elektromobilität
    Sixt bestellt 100.000 Elektroautos bei BYD

    Der Autovermieter Sixt macht Ernst mit der Umstellung seiner Flotte auf Elektroautos.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /