Microsoft udostępnił dokument zawierający specyfikację bezpiecznego komputera

Jak wiadomo, kwestia bezpieczeństwa naszych komputerów znacząco przybrała na znaczeniu w ciągu ostatnich lat. Jest to oczywiście wynikiem tego, że użytkownicy zaczęli przechowywać na nich coraz bardziej poufne dane, w tym tak newralgiczne, jak chociażby dane karty kredytowej. Jak łatwo odgadnąć, informacje tego pokroju są idealnym celem ataku dla cyberprzestępców, którzy wykorzystają każdą słabość i lukę w naszych zabezpieczeniach – nie wyłączając z tego nawet tych spowodowanych przez wykorzystywany przez ofiarę sprzęt. Sprawa jest o tyle poważna, że wiele osób nie zdaje sobie nawet tak naprawdę sprawy z tego, że wykorzystanie starszych komponentów czy urządzeń peryferyjnych jest potencjalnie groźne. Spowodowane jest to przez dosyć prozaiczny sposób – im dłużej dany sprzęt istnieje na rynku, tym więcej jego słabości zostaje ujawnionych. Dodatkowo, usprawnieniu ulegają metody ataku w niego skierowanego. Wobec tego problemu Microsoft postanowił wydać specjalny dokument, określający standardy bardzo bezpiecznego urządzenia Windows 10, ułatwiający użytkownikom określenie tego, czy ich sprzęt jest w pełni zabezpieczony. Czego potrzebujemy, aby uznać nasze urządzenie za w pełni z nimi zgodne?

Dokument wydany przez Microsoft dzieli się zasadniczo na dwie części – poświęconą wymaganiom sprzętowym oraz tym stawianym przed wykorzystanym oprogramowaniem. Oczywiście nadrzędnie wymagane jest posiadanie systemu operacyjnego Windows 10 w wersji Fall Creators Update (1709), koniecznie zaktualizowanego. W kwestii komponentów, największym zaskoczeniem okazuje się wymagany procesor – musi to być AMD lub Intel co najmniej 7 generacji. Oznacza to, że całkiem spora ilość sprzętu produkowanego przez Microsoft nie spełnia przedstawionych warunków – nawet Surface Studio, będący marzeniem niejednego grafika operuje na starszej serii procesorów Intela, czyli Skylake (6 generacja). Dodatkowo, sam procesor musi obsługiwać instrukcje 64-bitowe chociaż to już akurat standard. Nieco więcej wymagań postawiono w kwestii wirtualizacji – konieczne jest posiadanie procesora obsługującego IOMMU (Input-Output Memory Management Unit) oraz zabezpieczenie wszystkich urządzeń I/O przez IOMMU/SMMU. Ponadto, system (komputer) musi posiadać rozszerzenie maszyn wirtualnych z translacją adresów drugiego poziomu (SLAT). Funkcje te muszą być jawne i zgłoszone jako obsługiwane przez oprogramowanie systemowe oraz dostępne do użycia przez system operacyjny. Nieco bardziej skomplikowaną sprawą jest to, że komputer musi zostać wyposażony w specjalny moduł TPM (Trusted Platform Module) w wersji 2.0 oraz spełniać wymogi specyfikacji Trustworthy Computing Group (TCG). Jeśli zaś chodzi o sposób bootowania (rozruchu), podzespoły muszą obsługiwać jego kryptograficzną wersję (platformę bootowania). Jednym z prostszych, a zarazem ostatnim warunkiem sprzętowym jest posiadanie co najmniej 8 GB pamięci RAM. Na szczęście wymagania względem firmware (oprogramowania wewnętrznego) dużo łatwiej jest spełnić. Konieczne jest posiadanie płyty głównej obsługującej UEFI w standardzie co najmniej 2,4 (klasa 2 lub 3), zaś wszystkie sterowniki muszą być zgodne kodem integralności hypervisor (HVCI). Dodatkowo, domyślnie aktywne musi być UEFI Secure Boot, zaś urządzenie obsługiwać ma Secure MOR w wersji drugiej. Ostatnim już wymaganiem jest obsługa przez system uaktualniania kapsułowego UEFI.

Jak widać, aby spełnić wszelkie wymagania zawarte w dokumencie trzeba posiadać całkiem niezły (i dosyć drogi) sprzęt. Oczywiście nie jest tak bez powodu – w tym przypadku konieczne jest skorzystanie z zaawansowanych mechanizmów zabezpieczeń, które w znacznej mierze nie występują w standardowych komputerach. Ponadto, pod uwagę należy wziąć fakt, że tak naprawdę żaden PC nigdy nie będzie w pełni bezpieczny, przynajmniej do czasu odpięcia go od Sieci i zasilania – cyberprzestępcy prędzej czy później i tak opracują odpowiednie metody ataku. Pozostaje mieć nadzieje, że Microsoft nie ustąpi im pola wprowadzając coraz to nowe zabezpieczenia do swojego systemu operacyjnego.