• IT-Karriere:
  • Services:

Surface: Microsoft setzt standardmäßig auf Hardware-Security

Für die Geräte der Surface-Reihe setzt Microsoft künftig auf Sicherheits-Techniken, die auf einer Hardware-Virtualisierung aufbauen.

Artikel veröffentlicht am ,
Die Geräte der Surface-Reihe setzen nun standardmäßig auf Hardware-Security.
Die Geräte der Surface-Reihe setzen nun standardmäßig auf Hardware-Security. (Bild: Microsoft)

Das neue Surface Pro 7+ von Microsoft soll ebenso wie weitere Geräte der Surface-Reihe standardmäßig auf Hardware-Sicherheitstechniken setzen, die Angriffe zum Auslesen von Speicherinhalten deutlich erschweren sollen. In der Ankündigung schreibt Microsoft dazu in seinem Security-Blog, dass Sicherheitslücken, die eine Rechteausweitung ermöglichen, aus einem kleinen Fehler im Userspace eine vollständige Übernahme des Betriebssystems ermöglichen könnten. Die nun standardmäßig genutzten Techniken VBS und HVCI sollen dies verhindern.

Stellenmarkt
  1. PVS eCommerce-Services GmbH, Meckenheim
  2. Universität Passau, Passau

Die Abkürzung VBS steht für Virtualization-Based Security, was schlicht die grundlegende Idee der Technik beschreibt. Auf Grundlage einer Hardware-Virtualisierung, die die meisten CPUs inzwischen bieten, werden sichere und voneinander isolierte Speicherbereiche erstellt. Ermöglicht wird dies wiederum durch den Windows-Hypervisor, der als unterste Schicht des Systems läuft.

Hauptziel der VBS-Technik ist dabei, den Schaden möglicher Exploits so weit es geht einzuschränken. Dazu heißt es: "Selbst wenn Malware Zugriff auf den Betriebssystemkern erhält, können die möglichen Exploits stark eingeschränkt und eingedämmt werden, da der Hypervisor verhindern kann, dass die Malware Code ausführt oder auf Secrets zugreift".

Die auf VBS aufbauende Hypervisor-Protected Code Integrity (HVCI) sorgt darüber hinaus dafür, dass Speicherbereiche des Kernels entweder beschreibbar oder ausführbar sind (W^X, Write XOR Execute). Der ausführbare Code kann außerdem nicht direkt modifiziert werden. Zusätzlich zu VBS und HVCI setzt Microsoft in seinen Surface-Geräten auf sein eigenes UEFI, ein TPM, das etwa für Bitlocker genutzt wird, sowie Secure Boot.

Microsoft weist in seiner Ankündigung außerdem darauf hin, dass die Techniken, die nun standardmäßig in der Surface-Reihe genutzt werden, bereits Malware-Angriffe des vergangenen Jahres aktiv verhindern konnten. Eine komplette Einführung der Technik auf allen Windows-Geräten, statt nur jenen, die Microsoft selbst herstellt und vertreibt, verhindern wohl aber weiter verschiedene Probleme mit Treibern, die noch nicht an die neuen Techniken angepasst sind. Das zeigte sich etwa im Frühjahr 2020, als HVCI wegen inkompatibler Treiber das Windows-Update blockierte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Xbox Series X für 490€)
  2. 499,99€

Folgen Sie uns
       


Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
    •  /